Görüntüleme İhalesinde Bilgi Teknolojisi Yönetim Sistemi Belgesi İstenmesi?
İtirazen Şikayet Konusu; Başvuru sahibinin dilekçesinde özetle; Teknik Şartname’nin “İşletme” başlıklı 7’nci maddesinde yer alan “7.21. Firma internet üzerinden yapacağı görüntü transferinin ve göndereceği raporların ilgisiz kişi veya kuruluşlar eline geçmemesi ve hasta mahremiyetinin korunması konusunda gerekli donanım ve yazılımlara sahip olmalıdır. Verilerin ilgisiz kurum ya da kişilerin eline geçmesi durumunda sorumluluk yüklenici firmada olacaktır. Firma hastalara ait bilgi ve görüntüleri hiçbir şekilde kullanmayacak, üçüncü şahıslara devretmeyecektir. Yüklenici firma Sağlık Bakanlığı 2015/17 sayısı genelgesi gereği tüm bu verilerin güvenliğinden sorumlu olup Hukuki olarak Yüklenicinin konu ile alakalı bu sorumluluğu taşıyabildiğini gösterir ilgili ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi belgesi ve ISO 20000:2011 Bilgi Teknolojisi Yönetim Sistemi belgesi bulunmalıdır. Bu belgeleri yeterlik bilgileri tablosunda beyan etmesi aynı zamanda ihale dosyasında sunması gerekmektedir.” şeklindeki düzenlemenin ihale dokümanından çıkarılması gerektiği,
Şöyle ki, ihale konusu işin niteliği göz önünde bulundurulduğunda söz konusu belgenin istenmesinin ihaleye katılımı kısıtladığı ve rekabeti azalttığı, benzer hizmet alımı ihaleleri incelendiğinde bu belgenin yalnızca Türkiye’deki bir firmayı işaret ettiği ve bu belgenin zorunlu tutulduğu ihalelerde yalnızca bu firmanın katılımcı olduğunun görüldüğü,
Ayrıca Sağlık Bakanlığı’nın 2015/17 sayılı Genelgesi incelendiğinde Genelge’nin muhatabının KTS’de kayıtlı SBYS tedarikçilerinin olduğunun görüleceği, bahse konu Genelge’nin tıbbi cihazlarla hizmet alımı yapılması ile ilgili olmadığı, Sağlık Bakanlığı’nın tıbbi cihazlarla hizmet alımı yapılması ile ilgili genelgesinin 2022/2 sayılı Tıbbi Cihazlarla ilgili Mal ve Hizmet Alımı İşlemleri Genelgesi olduğu ve söz konusu Genelge’de şikâyete konu edilen belge/belgelerin bulunmadığı, dolayısıyla rekabeti kısıtlayan, fırsat eşitliğini ortadan kaldıran ve mevzuata aykırı olan bu düzenlemenin ihale dokümanından kaldırılması gerektiği, iddialarına yer verilmiştir.
04.12.2024 tarihli ve 2024/UH.II-1569 Sayılı Kamu İhale Kurulu Kararına Göre;
Yapılan inceleme ve tespitler neticesinde; Kamu İhale Genel Tebliği’nin “Kalite ve standarda ilişkin belgeler” başlıklı 74’üncü maddesinde “74.1. İdareler, ihale konusu işin niteliğini ve uygulama yönetmeliklerinin bu konuyu düzenleyen maddelerini esas alarak, ihale dokümanında kalite ve standart belgelerine ilişkin düzenleme yapabilirler. İhale konusu ile ilgisi bulunmayan veya işin niteliğinin gerektirmediği kalite ve standarda ilişkin belgelerin istenilmesi, 4734 sayılı Kanunun temel ilkelerine ve Hizmet Alımı İhaleleri Uygulama Yönetmeliğine aykırılık teşkil edecektir.
…
74.4. Hizmet alımı ihalelerinde; Tehlike Analizi ve Kritik Kontrol Noktaları Yönetim Sistemi (HACCP), İş Sağlığı ve Güvenliği Yönetim Sistemi (OHSAS), Bilgi Teknolojisi-Bilgi Güvenliği Yönetim Sistemi, Gıda Güvenliği Yönetim Sistemi (ISO 22000), Sosyal Sorumluluk Standardı (SA 8000), İyi Hijyen Uygulamaları (GPP) gibi kalite ve standarda ilişkin belgeler ve sertifikalar istenmeyecektir.
…
74.5.1. İdarelerin kendi hizmet binalarında veya diğer görev sahalarında gerçekleştirilen hizmet alımı ihaleleri (örneğin; temizlik, özel güvenlik, hasta ve ziyaretçi yönlendirme, veri işleme ve otomasyon sisteminin işletimi, yemek hazırlama ve dağıtım hizmetleri gibi) ile personel/ öğrenci taşıma hizmetleri ve araç kiralama hizmet alımı ihalelerinde kalite yönetim sistem belgesi istenmeyecektir…” açıklaması yer almaktadır.
Sözleşme Tasarısı’nın “İş tanımı” başlıklı 5’inci maddesinde “5.1. Sözleşme konusu iş; 36 AYLIK MANYETİK REZONANS (MR) HİZMETİ ALIMI (RAPORLAMA DAHİL) İşin teknik özellikleri ve diğer ayrıntıları sözleşme ekinde yer alan ve ihale dokümanını oluşturan belgelerde düzenlenmiştir.” düzenlemesi,
Aynı Tasarı’nın “İşin yapılma yeri, işyeri teslim ve işe başlama tarihi” başlıklı 10’uncu maddesinde “10.1. İşin yapılacağı yer/yerler: AKŞEHİR DEVLET HASTANESİ 10.2. İşyerinin teslimine ilişkin esaslar ve işe başlama tarihi: Sözleşmenin imzalandığı tarihten itibaren 3 (Üç) gün içinde işyeri teslimi yapılarak işe başlanır. Yüklenici veya vekili ile İdare yetkilisi/yetkilileri arasında düzenlenen işyeri teslim tutanağının imzalanmasıyla yükleniciye işyeri teslimi yapılmış olur. Ancak, işyeri teslim tutanağında, işyeri tesliminin, tutanağın onaylanması halinde gerçekleşmiş olacağının belirtilmesi halinde, tutanağın onaylandığının yükleniciye tebliğ edildiği tarihte işyeri teslimi yapılmış sayılır.” düzenlemesi,
Teknik Şartname’nin “Görüntüleme Sistemlerinin Özellikleri” başlıklı 3’üncü maddesinde “…3.4. Firma hastalara ait bilgi ve görüntüleri hiçbir şekilde kullanmayacak, üçüncü şahıslara devretmeyecektir. Yüklenici firma Sağlık Bakanlığı 2015/17 sayısı genelgesi gereği tüm bu verilerin güvenliğinden sorumlu olup Hukuki olarak Yüklenicinin konu ile alakalı bu sorumluluğu taşıyabildiğini gösterir ilgili TSE veya ISO gibi veri güvenliği sertifikası bulunmalıdır. Bu belge e-ihalede beyan edilecek olup ihale dosyasında sunulacaktır.
3.5. T.C. Sağlık Bakanlığı kalite ve akreditasyon başkanlığının düzenlediği sağlıkta kalite standartlarının (SKS) görüntüleme hizmetleri başlığı altındaki maddelerin sağlanması yükleniciye aittir. Ayrıca yüklenicinin ISO 9001 radyoloji hizmeti kalite belgesi olmalıdır. Bu belge isteklilerce e-ihalede beyan edilecek olup ihale dosyasında sunulmalıdır…” düzenlemesi yer almaktadır.
Teknik Şartname’nin “İşletme” başlıklı 7’nci maddesinde “…7.21. Firma internet üzerinden yapacağı görüntü transferinin ve göndereceği raporların ilgisiz kişi veya kuruluşlar eline geçmemesi ve hasta mahremiyetinin korunması konusunda gerekli donanım ve yazılımlara sahip olmalıdır. Verilerin ilgisiz kurum ya da kişilerin eline geçmesi durumunda sorumluluk yüklenici firmada olacaktır. Firma hastalara ait bilgi ve görüntüleri hiçbir şekilde kullanmayacak, üçüncü şahıslara devretmeyecektir. Yüklenici firma Sağlık Bakanlığı 2015/17 sayısı genelgesi gereği tüm bu verilerin güvenliğinden sorumlu olup Hukuki olarak Yüklenicinin konu ile alakalı bu sorumluluğu taşıyabildiğini gösterir ilgili ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi belgesi ve ISO 20000:2011 Bilgi Teknolojisi Yönetim Sistemi belgesi bulunmalıdır. Bu belgeleri yeterlik bilgileri tablosunda beyan etmesi aynı zamanda ihale dosyasında sunması gerekmektedir…” düzenlemesi yer almaktadır.
Teknik Şartname’nin şikâyete konu edilen 3.4’üncü ve 7.21’inci maddeleri birlikte değerlendirildiğinde, idarenin ISO 27001:2013 – Bilgi Güvenliği Yönetim Sistemi Belgesi ile ISO 20000:2011 – Bilgi Teknolojileri Yönetim Sistemi Belgelerinin, Teknik Şartname’nin 3.5’inci maddesinde ise ISO 9001 Radyoloji Hizmeti Kalite Belgesinin ihale dosyasında sunulması gerektiği şeklinde düzenlemelere yer verdiği görülmüştür.
Kamu İhale Genel Tebliği’nin 74.4’üncü maddesinde yer alan açıklama uyarınca hizmet alımı ihalelerinde idarece Bilgi Teknolojisi-Bilgi Güvenliği Yönetim Sistemi belgeleri istenmeyecektir.
Yapılan incelemede, idarece teknik şartnamede yer alan bir belgenin ihalede yeterlik kriteri olarak belirlenmesi isteniyorsa, söz konusu belgenin İdari Şartname’nin 7.5.4’üncü maddesinde belirtilmesi gerektiği, bahse konu ihaleye ait İdari Şartname’nin 7.5.4’üncü maddesinin boş bırakıldığı, Teknik Şartname’nin ilgili maddelerinde, düzenlemenin kaleme alınışı itibariyle bu belgelerin yeterlik bilgileri tablosunda beyan edilerek, ihale dosyasında sunulması, diğer bir ifadeyle bahse konu belgelerin yeterlik kriteri şeklinde düzenlendiği öngörülse de, bu hususun Teknik Şartname’de değil İdari Şartname’nin 7.5.4’üncü maddesinde belirtilmesi gerektiği tespit edilmiştir. Kaldı ki şikâyete konu edilen ihalenin bir hizmet alımı ihalesi olduğu ve Kamu İhale Genel Tebliği’nin 74’üncü maddesinde yer alan açıklama uyarınca hizmet alımı ihalelerinde idarece Bilgi Teknolojisi-Bilgi Güvenliği Yönetim Sistemi belgelerinin istenilemeyeceği göz önünde bulundurulduğunda, söz konusu belgelerin yeterlik kriteri olarak belirlenemeyeceği, dolayısıyla idare tarafından Teknik Şartname’nin 3.4’üncü ve 7.21’inci maddelerinde ISO 27001:2013-Bilgi Güvenliği Yönetim Sistemi Sertifikası ile ISO 20000:2011-Bilgi Teknolojileri Yönetim Sistemi belgelerinin istenilmesinin yukarıda yer verilen Tebliğ açıklamalarına aykırı olduğu ve başvuru sahibinin bu hususa ilişkin iddialarının yerinde olduğu sonucuna varılmıştır.
Mehmet ATASEVER
Simdata Danışmanlık Y.K. Başkanı
Sağlık Bak. SGB E. Bşk./KİK E. Üyesi
Mehmetatasever.org
