Konkurransegrunnlag - skytjenester (cloud)

Her finner du hvordan du kan utarbeide konkurransegrunnlaget, samt eksempel på krav du kan stille til tjenesten og leverandør

Publisert: 20. jun 2019, Sist endra: 28. aug 2020

Under har vi avgrenset veiledningen til det vi mener er spesielt ved kjøp av standardiserte skytjenester. 

Regelverk som kan påvirke din anskaffelse

Ved anskaffelse av skytjenester er det viktig å vurdere hvilken informasjon som skal lagres og behandles utenfor din egen kontroll. For enkelte typer informasjon gjelder spesielle regler. 

Arkivverdig materiale

Alle offentlige organer (statlige, fylkeskommunale eller kommunale virksomheter) skal ha arkiv. Som hovedregel skal alle dokumenter som saksbehandles eller har verdi som dokumentasjon journalføres og arkiveres. Det betyr at slike dokumenter er omfattet av arkivloven. 

I henhold til dagens regelverk kan ikke arkiv føres ut av landet. Dette har skapt mye usikkerhet knyttet til bruk av skytjenester for offentlige fagsystemer og kontorstøttesystemer, fordi slike systemer genererer dokumenter som vil falle inn under arkivloven.  

Arkivverket har uttalt at bruk av tjenester som ikke innebærer en permanent lagring av dokumentasjonen utenfor Norge vil være greit i henhold til regelverket. Så lenge informasjonen overføres til en server som befinner seg i Norge, så anses kravet i arkivloven å være oppfylt. 

Arkivloven er under revisjon. Da arkivlovutvalget leverte sin utredning, NOU 2019:9 Fra kalveskinn til datasjø anbefalte utvalget at det åpnes for å lagre digitale arkiv utenfor Norge. Foreløpig er dette ikke skjedd.

Husk at et arkiv kan inneholde mye ulik informasjon. Dersom arkivet ditt inneholder skjermingsverdig informasjon eller personopplysninger, så gjelder reglene i henholdsvis sikkerhetsloven og personopplysningsloven også for arkivet! 

Regnskap og bokføring

Virksomheter som fører regnskap etter regnskapsloven, samt kommuner og fylkeskommuner må følge bokføringslovens krav til oppbevaring av regnskapsdata. 

Bokføringsloven med forskrifter stiller krav om at bokføringsdata skal lagres i land innenfor EØS-området, som er nærmere angitt i en egen forskrift. I dag kan omfatter denne Danmark, Finland, Sverige og Island. Dette er land skattemyndighetene har egne avtaler med, slik at de kan få tilgang til dataene, dersom de trenger det.  

Det er ikke ulovlig å sende bokføringsinformasjon ut av landet, eller å lagre og behandle slik informasjon i utlandet. Kravet er da at det tas en kopi av regnskapet etter årsavslutning (senest innen 7 måneder) og at denne kopien lagres i Norge eller i et av de landene som er oppgitt i forskriften.  

Dersom bokføringsinformasjonen oppbevares utenfor Norge skal det sendes melding til Skatteetaten om dette. 

Det er også mulig å søke Skatteetaten om dispensasjon fra regelen. Du finner mer informasjon om dette på Skatteetatens nettsider 

Personopplysninger og helseinformasjon

Dersom skytjenesten du vurderer skal lagre eller behandle personopplysninger, gjelder det egne krav om hvor data kan lagres og behandles.  

Personopplysningsloven gjelder for alle som behandler personopplysninger, og det er ingen spesielle regler for skytjenester. Kravene i loven til hvor personopplysninger kan lagres og behandles, vil imidlertid være spesielt relevante for skytjenester. 

Personopplysninger «kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene».  Alle land innenfor EØS-området har regelverk som tilfredsstiller reglene for behandling av personopplysninger, GDPR (General Data Protection Regulation). 

Dersom en skyleverandør kan garantere lagring og behandling innenfor EØS-området, og ellers tilfredsstiller kravene til en databehandler, kan du bruke leverandørens tjenester. Det er også flere andre land som er også godkjent av EU som trygge mottakerstater for personopplysninger. I tillegg er det inngått en avtale mellom EU og USA som gjør at selskaper som deltar i ordingen "EU-US Privacy shield" kan behandle personopplysninger for EU/EØS-borgere. Det er også mulig å inngå en avtale med databehandleren (skyleverandøren) gjennom EUs standardkontrakter. Mange av de store skyleverandørene bruker allerede disse kontraktene. 

I utgangspunktet gjelder de samme reglene for helseinformasjon som for personopplysninger. Helsesektoren har imidlertid utarbeidet en egen norm for informasjonssikkerhet, normen.

Sikkerhetsgradert og skjermingsverdig informasjon

Det er bare en veldig liten andel av den informasjonen det offentlige behandler som er gradert eller skjermingsverdig, men det gjelder spesielle krav for slik informasjon. Anskaffelser der leverandør kan få tilgang til denne type informasjon kaller vi sikkerhetsgraderte anskaffelser.

Behovet

Kartlegg behovet og finn ut om tjenesten tilbys i marknaden. Ofte veit ein ikkje på førehand om den beste løysinga vil vere ei skyteneste eller ei meir tradisjonell IKT-løysing. Dersom du skriv spesifikasjonane dine ut frå behov og funksjon, er det mindre sjanse for at du stenger ute nokon teknologiske plattformer frå starten av. Då kan det vere at leverandørane kan komme med forslag for å dekke behovet ditt som du sjølv ikkje hadde tenkt på. 

Behovshavar:

  • eig behovet og har ansvar for at behovet blir dekt
  • tolkar brukarane sine ønsker og behov
  • treng ei teneste eller eit verktøy for å løyse sine oppgåver
  • kontaktar den som er ansvarleg for innkjøp for hjelp og rettleiing i å gjennomføre kjøpet
  • viktig bidragsytar ved gjennomføring av marknadsdialog

Meir om å vurdere behov

Risikovurdering

Risikovurderinga gir grunnlaget for å utarbeie krava til tryggleik, SLA (tenestenivåavtale) og vern av personopplysningar.  Du må gjere ein eigen risikovurdering i samband med anskaffinga. Alle offentlege verksemnder skal ha eit styringssystem for informasjonstryggleik. Styringssystemet er eit godt utgangspunkt for risikovurderinga.

Ein framgangsmåte kan være slik;

1. Kva type data og applikasjonar er det aktuelt å flytte ut i skya? Skaff deg heilheitleg oversikt over kva som er omfatta eller påverka

2. Kor viktige er desse dataene eller denne funksjonen for din verksemnd? Er det regelverk som legg føringar for handsaminga av dine data. Spørsmål er kva konsekvensar det får om

  • data blir tilgjengelege og distribuert offentleg?
  • leverandøranes tilsette får tilgang til våre data?
  • prosessane eller funksjonane blir manipulert av ein utanforståande?
  • prosessane eller funksjonane ikkje leverer forventa resultat?
  • data plutseleg vert endra?
  • data og system ikkje er tilgjengeleg over tid?

3. Vurder ulike leveringsmodellar som passar best;

- on-premis, public cloud, private cloud, community cloud eller hybrid cloud

4. Vurder tenestemodell og aktuelle leverandørar;

- kva grad av kontroll vil du ha i dei ulike leveringsmodellane?

5. Få oversikt over dataflyten

- korleis ser dataflyten ut mellom din verksemnd og leverandørens tenester og evt. dine kundar og/eller andre kontaktpunkter (nodar)

Krava du sett som følgje av risikovurderinga legg føringar for løysingane markedet kan tilby deg som kunde. 

Les meir

Marknadsdialog

Dialog med leverandørar før konkurranse er eit nyttig verktøy.

Skytenestar utviklast raskt og marknaden er i konstant endring. Nye tenester utviklast og nye aktørar entrar marknaden. Difor er det særs viktig å kjenne marknaden for skytenestar før man kunngjer ein konkurranse.

Ei tilnærming til marknaden

  • Fullfør behov- og risikoanalysane
  • Inviter leverandørane til møte. Gjerne ved å kunngjere møtet i ei veiledane kunngjering på Doffin
  • I møtet. Presenter behovet og risikoane
  • Avhold ein-til-ein-møter der du ber leverandørane presentere korleis deira løysingar tilfredsstiller behovet og svarer ut risikoane
  • Be leverandørane beskrive utfordringane dei har. Typisk kan vere at noko av løysinga bør vere on-premis løysing framfor i sky
  • Innarbeid innspela du har fått i marknadsdialogen i konkurransegrunnlaget
    • Kva type data og applikasjonar er det aktuelt å flytte ut i  skya? Skaff deg heilheitleg oversikt over kva som er omfatta eller påverka
    • Kor viktige er desse dataene eller denne funksjonen for din verksemnd?

Vil du vite meir om dialog med markedet

Kontrakt (SSA-L)

Denne veiledninga forutsett at behovet kan dekjast av ei standardisert skyteneste. Anbefalinga er då å bruke SSA-L. Dette er avtalen for levering av tenester over internett.

SSA-L passar best når

  • kjøpet gjeld standardiserte skytenester (plug and play)
  • tenestene kan takast i bruk slik dei er
  • tilpassingar og integrasjonar til andre system skjer i lite omfang
  • tilpassingar eller utvikling skjer i lite omfang
  • det ikkje er behov for å greie ut om kundens tekniske plattform i særleg stor grad

Ver merksam på at sjølv for ei plug and play løysing der tenestene kan takast i bruk slik dei er, er det lett å undervurdere kompleksiteten og arbeidet med eventuelle enkle integrasjonar. Ver derfor nøye med å skrive ut det leverandøren treng å vite om din tekniske plattform og dokumenter dette i bilag 1, kundens kravspesifikasjon. Leverandøren vil dermed få eit betre bilete av eksisterande løysingar og omfanget av arbeidet du vil ha utført.

Framdriftsplan for etablering av tenesta

Som nemnd over er det minimal regulering av tilpassningar av sjølve skyteneste i SSA-L. Den skal takast i bruk slik den er. Mindre tilpasningar kan du be leverandør gjere, men då må du hugse på å be om utfylt bilag 3 framdrifsplan som inneheld:

  • framdrift for konkrete aktivitetar med tilhøyrande leveranseplan og krav til deg som kunde
  • estimat for tallet på timar skal du finne i prisbilaget

Tredjepartsvilkår

Produsentane av standardiserte skytenester tilbyr dei same tenestene på like vilkår uavhengig av kven kunde er og kor dei held til. Nøyaktig dei same vilkåra gjeld for alle kundar i heile verda.

Tredjeparten er leverandørens underleverandør. Leverandøren er betrakta som ein ressellar av tenesta ein produsent (underleverandør eller tredjepart) har utvikla. Ansvaret du som kunde kan pålegge leverandøren gjennom denne avtalen er difor avgrensa til å dokumentere tredjepartsvilkåra.

Andre avtaler

Kravspesifikasjon

Krav til tenesten dokumenterast i kravspesifikasjonen i bilag 1 i SSA-L kundens kravspesifikasjon.

Vi rår til å bruke åpen kravspesifikasjon. Årsak, spesifikke krav kan føre til færre tilbod, dyre løysingar/tilpasningar eller avvisningar. Hugs at skytenester er standard tenester for "heile verda", og at vilkåra for bruk desse tenestene er fastlagt og gjeld alle kundar.

Kravspesifikasjon sitt innhald

  • Behov. Grei ut om behovet og korleis det dekjast i dag
  • Rammer. Nokre rammer gjeld sjølv om krava er åpne: Overhalde regelverk som gjeld di verksemnd. For personopplysningar, helseopplysningar, arkiv, regnskapsmaterial og gradert informasjon gjeld spesielle reglar. Grei ut om rammene og be leverandør gjere reie for tenesten ut frå behovet og rammene.
  • Integrasjonar. Informasjon om systema den kjøpte skya skal integrerast mot. SSA-L inneheld ikkje eit eiga bilag for den tekniske plattforma, bruk difor bilag 1 til dette
  • Krav til løysinga. Døme; Korleis dekker løysinga behovet for rapportering?
  • Krav til informasjonssikkerheit og vern av personopplysningar. Viktig: Baser krava på risikovurderinga du har gjennomført. Legg ved risikovurderinga i bilag 1, og hugs at unødige strenge krav er fordyrande. Krava kan også formulereast åpne. Be leverandør greie ut korleis løysinga dekker behovet for sikkerheit og personvern
  • Krav til etableringsfasen. Be leverandør tydeleggjere etablaleringsfasen med leveransar, pris og medverknad fra deg som kunde
  • Krav til tredjepartsvilkår. Be leverandøren dokumentere tenester og vilkår som leverast frå underleverndør/tredjepart i bilag 9 Vilkår for Kundens tilgang og bruk av tredjepartsleveransar
  • Krav til tenestenivå. Be leverandør dokumentere tenestenivå bilag 4 tjenestenivå med standardiserte kompensasjoner

Tenestenivå (SLA)

Krav til tjenestenivået dokumenterast i bilag 4 tenestenivå med standardiserte kompensasjonar.

Utgangspunktet for SSA-L som kontraktsmal er at alle kundar får tilbod om det same tenestenivået, den same målinga og rapporteringa og lik økonomiske kompensasjon ved brot på avtalen. Leverandøren skal i slike tilfelle fylle ut bilaget og opplyse kunden kva tenestenivå som gjeld.

Krav (SLA)

Dersom tenesta er kritisk for verksemda, rår vi kunden til å stille konkrete krav til tjenestenivået for å sikre drift og oppetid. Døme på krav:

  • Oppetid
  • Tillete tal driftsstans og maksimal lengde på avbrot
  • Responstid til service igangsetjast
  • Maksimal tid frå release til oppdatering av nye tryggere versjonar av tenesten
  • Åpningstider for support
  • Overvåking, rapportering og repsons på kritiske eller alvorlige hendingar

Sjekk i marknadsundersøkinga om leverandørane kan oppfylle krava du har sett til tenestenivået. Ver merksam på at krav utanom bransjenormar eller standarder er kompliserande. 

Måling og rapportering av oppnådd tenestenivå

Er oppetid verksemdkritisk rår vi til at kunden sett krav til rapportering straks oppetide er truga. I alle høve rår vi til at rapportering inngår som ein naturleg del av faktureringa. Be om eit døme frå leverandør på rapportering av tenestenivået med tilhøyrande faktura.

Kompensasjon ved brot

Ved brot på avtalt tenestenivå kan kunden krevje økonomisk kompensasjon i henhold til avtalte satsar. Det er vanlig å benytte prosentsatser og/eller kronebeløp per brot.

Her finn du meir om SLA

Pris

Leverandøren skal bruke bilag 6 Samlet pris og bestemmelser for å prissette tenesten.

Det er eit godt råd å bruke marknadsdialogen for å få innspel til prisinga av tenesten. Eit alternativ er å utarbeide ein case som tilbydar skal svare ut i tilbodet. Uansett skriv alltid følgjande i konkurransegrunnlaget: Leverandøren skal synliggjere alle kostnadene over kontraktperioden. Inkluder opp- og nedskallering av antallet lisensar. Skal du ha opplæring må dette sjølvsagt innkluderast. Det same gjeld konsulentbistand og andre tenester.

Under finn du eit døme der vi har brukt tre års drift slik standarden er i SSA-L.

TenesteEiningAntallPrisÅr 1År 2År 3
Abonnement (lisensar)Brukar/år300<beløp><beløp><beløp><beløp>
SupportFast pris pr månad12<beløp><beløp><beløp><beløp>
TilleggstenesterEtter behov <beløp><beløp><beløp><beløp>
Totale kostnadar   Sum år 1Sum år 2Sum år 3

Tredjepartsvilkår

Ofte er det ein tredjepart (underleverandør) som leverer heile eller delar av tenesten kunden skal ha. Dette blir omtala som tredjepartsleveransar i SSA-L. Med tredjepartsvilkår meiner vi dei vilkåra som gjeld for at kunden skal få tilgang denne tenesten.

Det er leverandør som skal beskrive forpliktelsane som kviler på kunden og dei ansvarsbegrensningane underlevernadør/tredjepart forbeholder seg. Dette skal skje i bilag 9, Vilkår for Kundens tilgang og bruk av tredjepartsleveranser.

Under finn du ei skisse der vi har satt opp forhaldet mellom kunde, leverandør, tredjepart og avtalane som gjeld.

Tredjepartsvilkår

Vår klare tilråing er at du ber leverandør legje ved heile settet av tredjepartsvilkår. Dette omfattar sjølvsagt også dei vilkåra det blir vist til i lenker til andre nettstader. Dette kan vere omfattande arbeid, men sikrar at kunde og leverandør har eit dokumentert sett vilkår stadfesta på tidspunktet kontrakten blei inngått.

Oppsettet i bilag 9 bidrar til at tredjepartsvilkåra kan samanliknast dersom dette er valt som tildelingskriterium.

Tredjepart som leverer tenestenKva teneste leverast frå tredjepartVilkåra
   
   

Kjøp av supplerande produkt

Skyløysingar oppdaterast kontiunerleg. Det kan difor tenkjast at tenesta du har anskaffa vil falle bort og at eksisterande funksjonalitet uthulast. Kjøp av nye produkt kan også vere sansynleg. Pass på at det du kjøper som supplement er innanfor omfanget av kontrakten.

For sikre deg mot uventa endringar kan du be leverandør redegjere for

  • framtidige tenestekatalog
  • om det vil bli tilbudt nye tenester i tillegg til dagens løysing
  • korleis framtidig tenestekatalog påverker tilbudt teneste med prisar

Kvalifikasjonskrav og tildelingskriterier

Kvalifikasjonskravene

Kvalifikasjonskravene ved kjøp av skytenester er like som for øvrige anskaffinger. Det viktigste er at krava skal reflekterer behovet.

Markedet for skytenester er i rask utvikling. Hugs at nyetablerte foretak kan vere aktuelle. Pass på at dei også kan kvalifisere. Vurdér også om det er viktig at leverandøren skal ha erfaring fra offentleg sektor. 

Tildelingskriteriene

Tildelingskriteriene skil seg lite frå ordinære kjøp. Det viktigaste er å forklare kva som er viktig i tenesten og vektlegginga i evalueringa.

Pris er eit velkjend tema. I denne veiledninga skal vi sjå på tre aktuelle tildelingskriterier:

  1. Bruka av tredjepartsvilkår som tildelingskriterium. Som nemnt skal leverandør dokumentere tredjepartsvilkåra. I konkurransen kan du lett bli presentert fleire sett med trejdepartsvilkår. Då skal du sjølvsagt velge dei vilkåra som er best dekker behovet. Dette kan du  gjere ved til dømes å evaluere ansvarbegrensningane leverandøren forbeholder seg, og eller, dei pliktene og ansvaret tredjeparten pålegger kunden for å ta i bruk tenesten. 

  2. Bruk av SLA som tildelingskriterium. Du bør gjere ein heilheitleg vurdering av SLA.  Kriteriane oppetid, responstidar, tid frå realease til oppdatering, åpningstider og respons ved feilrettingar kan vere eigna til dette.

  3. Bruk av sikkerheit som tildelingskriterium. Gjer ein heilheitleg vurdering korleis tilbodene dekker behovene til sikkerheit. Døme på tildelingskritier kan vere korleis tenesten blir oppdatert med nye sikkerheitskrav eller korleis leverandør dokumenterer tilstrekkeleg tryggeheit for dine data uansett kor dei er lagra.

Sharethis

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Hjelp oss å lage bedre nettsider
*