Tarjoajan valmiudet: todistukset, sertifikaatit ja luotettavuus

Hankintalaki määrittelee pakolliset poissulkuperusteet, joiden rikkominen johtaa automaattiseen hylkäykseen. Rikosperusteisia pakollisia poissulkuperusteita ovat lahjonta, petos, rahanpesu, terrorismin rahoittaminen, ihmiskauppa ja lapsityövoiman käyttö. Näistä tarjoaja antaa ESPD-lomakkeella itse vakuutuksen, mutta hankintayksikkö voi tarkistaa tiedot rikosrekisteristä.

Verovelkatodistus (Verohallinto) osoittaa, ettei yrityksellä ole maksamattomia veroja. Eläkevakuutusmaksutodistus (eläkevakuutusyhtiöltä) todistaa, että lakisääteiset eläkemaksut on hoidettu. Kaupparekisteriote (PRH) vahvistaa yrityksen rekisteröinnin ja perustiedot. Nämä kolme todistusta ovat käytännössä jokaisessa julkisessa kilpailutuksessa vaadittuja.

Tarjousvaiheessa ESPD-lomake korvaa yksittäisten todistusten toimittamisen — tarjoaja antaa vakuutuksen, että poissulkuperusteita ei ole ja soveltuvuusehdot täyttyvät. Alkuperäiset todistukset vaaditaan vain voittajalta ennen hankintapäätöksen tekemistä. Todistukset saavat olla enintään kolme kuukautta vanhoja.

Tapaturmavakuutustodistus on lakisääteisesti pakollinen kaikille työnantajille. Vastuuvakuutustodistus ei ole lain vaatima, mutta käytännössä lähes aina tarjouspyynnössä edellytetty. Tarkista aina tarjouspyynnön vaatimuslista huolellisesti — puuttuva todistus tarkoittaa tarjouksen hylkäämistä, eikä hankintayksiköllä ole harkintavaltaa.

Luotettava Kumppani on Vastuu Groupin (VAST) ylläpitämä tilauspalvelu (25 €/kk), joka seuraa ja julkaisee yrityksen vaatimustenmukaisuustiedot automaattisesti useista viranomaisrekistereistä. Palvelu tuottaa Luottamusmerkin — digitaalisen tunnuksen, joka on nähtävissä Vastuu Groupin Valvoja-palvelussa ja yrityksen omissa esitteissä.

Palvelu todentaa tilaajavastuulain mukaiset tiedot (ennakkoperintä-, työnantaja- ja ALV-rekisteröinti), taloudelliset tiedot (liikevaihto, käyttökate, maksuvalmius, omavaraisuusaste kolmelta vuodelta), reaaliaikaisen maksukyvyn (Intrumin tietojen pohjalta), kansainvälisten pakotelistojen tarkistuksen sekä henkilöyhteydet maksuhäiriöisiin tahoihin.

Julkisten hankintojen tilaajat käyttävät Vastuu Groupin Valvoja-palvelua alihankkijoiden ja toimittajien automaattiseen seurantaan. Käytännössä Luotettava Kumppani -merkki on muodostunut alan standardiksi — sen puuttuminen ei ole juridinen este, mutta se nostaa kynnystä: tilaaja joutuu tarkistamaan tilaajavastuulain tiedot manuaalisesti, mikä hidastaa prosessia.

Luotettava Kumppani on tällä hetkellä saatavilla vain suomalaisille yrityksille. Ulkomaiset yritykset voivat saada rajatun version valtakirjadokumentaatiolla. Rekisteröityminen vie muutaman päivän, ja tiedot päivittyvät automaattisesti — yritykselle ei koidu jatkuvaa hallinnollista työtä.

Tilaajavastuulaki (1233/2006) velvoittaa jokaisen yrityksen tarkistamaan alihankkijoidensa ja vuokratyöntekijöidensä lakisääteisten velvoitteiden hoitamisen ennen sopimuksen tekemistä. Laki soveltuu, kun alihankintasopimuksen arvo ylittää 9 000 euroa tai vuokratyöntekijän työskentelyaika ylittää 10 työpäivää.

Tarkistettavat tiedot ovat: rekisteröityminen ennakkoperintä-, työnantaja- ja ALV-rekisteriin, kaupparekisteriote, veronmaksutilannetta koskeva selvitys, eläkevakuutusmaksutodistus, sovellettava työehtosopimus tai keskeiset työehdot, selvitys työterveyshuollon järjestämisestä sekä tapaturmavakuutustodistus. Todistukset saavat olla enintään kolme kuukautta vanhoja.

Julkisissa hankinnoissa tilaajavastuulain merkitys korostuu kahdella tavalla. Ensinnäkin hankintayksikkö tarkistaa pääurakoitsijan vaatimustenmukaisuuden osana tarjouskilpailua. Toiseksi pääurakoitsija on itse velvollinen tarkistamaan omien alihankkijoidensa tiedot — ja JYSE 2025:n mukaan toimittaja vastaa alihankkijastaan kuin omasta työstään.

Rikkomus voi johtaa 2 000–65 000 euron laiminlyöntimaksuun. Käytännössä tehokkain tapa hoitaa tilaajavastuulain velvoitteet on Luotettava Kumppani -palvelun kautta: sekä oma yritys että alihankkijat ovat palvelun piirissä, jolloin tiedot päivittyvät ja ovat tarkistettavissa reaaliaikaisesti.

ISO 9001 (laadunhallintajärjestelmä) on yleisin julkisissa hankinnoissa vaadittu sertifikaatti. Se ei ole juridisesti pakollinen, mutta käytännössä joko soveltuvuusehto tai pisteytettävä kriteeri suurimmassa osassa palvelu- ja IT-hankintoja. Sertifioinnin saaminen kestää tyypillisesti 6–12 kuukautta ja vaatii dokumentoidun laadunhallintajärjestelmän rakentamista.

ISO 14001 (ympäristöjärjestelmä) on nopeasti yleistyvä vaatimus. Tulevan hankintalakiuudistuksen painotus ekologiseen vastuullisuuteen tulee entisestään lisäämään ympäristösertifikaattien merkitystä tarjouskilpailuissa. Myös vakavat ympäristörikokset ehdotetaan uudeksi pakolliseksi poissulkuperusteeksi.

ISO 45001 (työterveys ja -turvallisuus) on relevantti erityisesti rakentamisen ja teollisuuden hankinnoissa. Rakentamisen alalla RALA-sertifiointi (Rakentamisen Laatu ry) on kotimainen vaihtoehto, joka vastaa ISO 9001, ISO 14001 ja ISO 45001 -sertifiointeja mutta on räätälöity suomalaiseen rakentamiseen. RALA-pätevyys osoittaa teknisen osaamisen, RALA-sertifiointi vahvistaa johtamisjärjestelmät.

Hankintayksikkö ei saa vaatia tiettyä sertifikaattia (esim. juuri ISO 9001:tä) ainoana hyväksyttynä näyttönä. Hankintalain mukaan vastaavat todisteet on hyväksyttävä. Käytännössä tämä tarkoittaa, että yritys voi osoittaa laadunhallinnan myös muilla tavoilla — mutta tunnettu sertifikaatti tekee todistamisesta huomattavasti helpompaa.

ISO 27001 (tietoturvan hallintajärjestelmä) on de facto -standardi IT-, pilvi- ja datakäsittelysopimuksissa. Julkisen sektorin IT-hankinnoissa se on lähes poikkeuksetta joko soveltuvuusehto tai pisteytettävä kriteeri. Sertifiointi edellyttää kattavaa riskiarviointia, dokumentoituja tietoturvakontrolleja ja vuosittaisia auditointeja.

Katakri (kansallinen turvallisuusauditointikriteeristö) on viranomaisten käyttämä arviointityökalu, jolla auditoidaan turvaluokiteltua tietoa käsitteleviä organisaatioita. Se kattaa kolme osa-aluetta: T (turvallisuusjohtaminen), F (fyysinen turvallisuus) ja I (tekninen kyberturvallisuus). Katakri-auditoinnin perusteella myönnetty yritysturvallisuusselvitys (FSC) kelpaa sekä kotimaisiin että kansainvälisiin hankkeisiin.

PiTuKri (pilvipalveluiden tietoturvallisuuden arviointikriteeristö) on Traficomin Kyberturvallisuuskeskuksen julkaisema kriteeristö, jota vaaditaan kun viranomaisten turvaluokiteltua tietoa käsitellään pilvipalveluissa. Kriteeristöä päivitetään aktiivisesti vuonna 2025. Käytännössä PiTuKri on pakollinen kaikissa julkisen sektorin pilvipalveluhankinnoissa, joissa käsitellään luottamuksellista tietoa.

Kyberturvallisuuslaki (124/2025, NIS2-direktiivin toimeenpano) astui voimaan 8.4.2025 ja laajensi tietoturvavaatimukset noin 1 100:sta noin 5 500:aan organisaatioon. Laki koskee televiestintää, terveydenhuoltoa, valmistusta, energiaa, rahoitusta ja julkishallintoa. Näiden toimialojen hankintasopimuksiin tulee yhä useammin kyberturvallisuusvaatimuksia, jotka valuvat alaspäin myös alihankkijoille.

Puolustus- ja turvallisuushankinnoissa vaaditaan yritysturvallisuusselvitys (Facility Security Clearance, FSC), jonka myöntää Suojelupoliisi tai Pääesikunta. Selvitys arvioi yrityksen luotettavuutta, tietoturvan tasoa ja kykyä käsitellä turvaluokiteltua tietoa. Selvitys on voimassa enintään 5 vuotta. NATO-hankinnoissa vaaditaan lisäksi NCAGE-tunnus ja DoE-soveltuvuustodistus.

Digitaalisissa palveluissa saavutettavuusvaatimukset (digipalvelulaki 306/2019) edellyttävät WCAG 2.1 AA -tason noudattamista kaikissa julkisen sektorin digitaalisissa palveluissa. Kesäkuusta 2025 alkaen vaatimukset laajenivat myös yksityisen sektorin kuluttajapalveluihin. Julkisissa IT-hankinnoissa hankintayksikön on vaadittava EN 301 549 / WCAG 2.1 AA -yhteensopivuutta.

EU:n tekoälyasetus (AI Act) tuo uusia vaatimuksia julkisen sektorin AI-hankintoihin: läpinäkyvyys, inhimillinen valvonta ja syrjinnän ehkäisy. Suomi on valinnut hajautetun mallin 10 markkinavalvontaviranomaisella. Yleiset velvollisuudet yleiskäyttöisille AI-malleille alkoivat 2.8.2025. IT-toimittajien on varauduttava AI-läpinäkyvyysvaatimuksiin tarjouspyynnöissä.

Tietosuoja-asetuksen (GDPR) vaatimukset ovat pakollisia kaikissa henkilötietoja käsittelevissä sopimuksissa. Erillistä GDPR-sertifikaattia ei ole, mutta hankintayksiköt vaativat rutiininomaisesti tietojenkäsittelysopimuksen (DPA), selosteen käsittelytoimista, vaikutustenarvioinnin (DPIA) tarvittaessa sekä todisteet teknisistä ja organisatorisista suojatoimista.

D&B (Dun & Bradstreet) / Bisnode AAA-luottoluokitus on laajalti käytetty luotettavuusindikaattori. Korkein AAA-luokitus edellyttää yli 2 miljoonan euron liikevaihtoa, vähintään 10 vuoden toimintahistoriaa ja merkittävästi toimialan keskiarvoa parempaa taloudellista tilannetta. Luottoluokitus ei ole juridisesti pakollinen, mutta hankintayksiköt käyttävät sitä usein taloudellisen soveltuvuuden arvioinnissa.

Tilintarkastetut tilinpäätökset (tyypillisesti 2–3 viimeisintä tilikautta) ovat vakiovaatimus taloudellisen vakauden osoittamisena. Hankintayksikkö voi asettaa liikevaihdolle, omavaraisuusasteelle tai käyttökatteelle vähimmäisvaatimuksia. Liikevaihtoraja saa hankintalain mukaan olla korkeintaan kaksi kertaa sopimuksen arvioitu vuosiarvo.

Vastuuvakuutustodistus vaaditaan lähes kaikissa kilpailutuksissa. Vakuutuksen enimmäismäärä mitoitetaan tyypillisesti sopimuksen arvon mukaan. JYSE 2025:n mukainen vahingonkorvauksen enimmäismäärä on sopimuksen arvon viisinkertainen summa, joten vakuutusturvan riittävyys on tarkistettava aina sopimus kerrallaan.

Referenssit ovat käytännössä aina vaadittu soveltuvuusehto tai pisteytettävä kriteeri. Tyypillisesti vaaditaan 2–5 referenssiä viimeiseltä 3–5 vuodelta. Referenssien on oltava vastaavia kooltaan ja luonteeltaan. Hyvä referenssipankki on järjestelmällisesti ylläpidetty — jokaisesta merkittävästä projektista kerätään yhteyshenkilö, sopimuksen arvo, kuvaus ja palaute heti projektin päättyessä.

Hankintalakiuudistus on merkittävin tuleva muutos. Hallituksen esitys annettiin eduskunnalle syksyllä 2025, ja uuden lain odotetaan astuvan voimaan 1.1.2026. Keskeisiä muutoksia ovat ekologisen, sosiaalisen ja taloudellisen vastuullisuuden painottaminen arviointikriteereinä, vakavien ympäristörikosten lisääminen pakollisiksi poissulkuperusteiksi ja pakollinen uudelleenkilpailutus yhden tarjouksen tilanteissa.

EU:n Net-Zero Industry Act (2024/1735) tuo pakollisia ympäristövastuullisuuden vähimmäisvaatimuksia tiettyihin julkisiin hankintoihin. Käytännössä tämä tarkoittaa, että ympäristösuorituskyvyn mittaaminen ja raportointi tulevat osaksi yhä useampia tarjouskilpailuja. Yritysten kannattaa varautua hiilijalanjälkilaskentaan ja elinkaariarviointien tekemiseen.

Kaupparekisterilain muutokset tulevat voimaan 1.1.2026: pakollinen sähköinen ilmoittaminen ja viivästysmaksut rekisteritietojen päivittämättä jättämisestä. Tämä koskee kaikkia yrityksiä, mutta erityisesti julkisiin hankintoihin osallistuvia, joiden kaupparekisteritietojen on oltava ajan tasalla.

Kyberturvallisuuslain (NIS2) ja EU:n tekoälyasetuksen vaikutukset valuvat yhä selvemmin hankintasopimuksiin: tietoturva- ja AI-vaatimukset tulevat osaksi tarjouspyyntöjen vakioehtoja. Yritykset, jotka hankkivat ISO 27001 -sertifikaatin ja dokumentoivat AI-käytäntönsä proaktiivisesti, saavat kilpailuetua tulevissa kilpailutuksissa.

Perusvalmiudet (kaikki kilpailutukset): Luotettava Kumppani -rekisteröityminen, verovelkatodistuksen tilausautomaatti, eläkevakuutusmaksut ajantasalla, kaupparekisteritiedot päivitetty, tapaturmavakuutus voimassa, vastuuvakuutus riittävällä enimmäismäärällä, tilintarkastetut tilinpäätökset saatavilla ja referenssipankki järjestelmällisesti ylläpidetty.

Palvelu- ja IT-hankinnat: ISO 9001 -sertifiointi (tai vastaava näyttö laadunhallinnasta), ISO 27001 (erityisesti tietoa käsittelevissä sopimuksissa), GDPR-dokumentaatio (tietojenkäsittelysopimuspohja, selosteet, vaikutustenarviointi), saavutettavuusosaaminen (WCAG 2.1 AA) ja PiTuKri-valmius pilvipalveluissa.

Rakentaminen: RALA-pätevyys ja/tai -sertifiointi, ISO 45001 tai vastaava työterveys- ja turvallisuusjärjestelmä, YSE 1998 -osaaminen, vakuuskapasiteetin varmistaminen (10 % rakennusaikana, 2 % takuuaikana) ja alihankkijoiden tilaajavastuulain tietojen automaattinen seuranta.

Puolustus ja turvallisuus: yritysturvallisuusselvitys (FSC) Suojelupoliisilta, henkilöturvallisuusselvitykset (PSC) avainhenkilöille, NATO-hankinnoissa NCAGE-tunnus ja DoE-soveltuvuustodistus, Katakri-kriteeristön tuntemus ja ISO 27001. Varaa prosessille aikaa — turvallisuusselvitykset voivat kestää kuukausia.