Konkurransegrunnlag - skytenester (cloud)

Her finn du korleis du kan utarbeide konkurransegrunnlaget, samt døme på krav du kan stille til tenesta og leverandør.

Publisert: 20. jun 2019, Sist endra: 21. jun 2019

Under har vi avgrensa veiledninga til det vi meiner er spesielt for kjøp av standardiserte skytenester. Her finn du full oversikt over anskaffelsesprosessen.

Behovet

Kartlegg behovet først, og finn ut om tenesten tilbys i marknaden. Hugs at skyen er ein måte behovet dekjast på, ikkje behovet i seg sjølv.

Behovshavar er ein person som

  • eier behovet og har ansvaret for at behovet dekjast
  • tolkar brukaranes ønskjer og behov
  • kan vere ein linjeleder, oftast ikkje ein IT-person
  • treng ei teneste eller verktøy i oppgåveløysinga
  • kontaktar innkjøpar for å få veiledning om gjennomføringa av anskaffelsen
  • gjennomfører marknadsdialog

Meir om å vurdere behov

Risikovurdering

Risikovurderinga gir grunnlaget for å utarbeie krava til tryggleik, SLA (tenestenivåavtale) og vern av personopplysningar.  Du må gjere ein eigen risikovurdering i samband med anskaffinga. Alle offentlege verksemnder skal ha eit styringssystem for informasjonstryggleik. Styringssystemet er eit godt utgangspunkt for risikovurderinga.

Ein framgangsmåte kan være slik;

1. Kva type data og applikasjonar er det aktuelt å flytte ut i skya? Skaff deg heilheitleg oversikt over kva som er omfatta eller påverka

2. Kor viktige er desse dataene eller denne funksjonen for din verksemnd? Er det regelverk som legg føringar for handsaminga av dine data. Spørsmål er kva konsekvensar det får om

  • data blir tilgjengelege og distribuert offentleg?
  • leverandøranes tilsette får tilgang til våre data?
  • prosessane eller funksjonane blir manipulert av ein utanforståande?
  • prosessane eller funksjonane ikkje leverer forventa resultat?
  • data plutseleg vert endra?
  • data og system ikkje er tilgjengeleg over tid?

3. Vurder ulike leveringsmodellar som passar best;

- on-premis, public cloud, private cloud, community cloud eller hybrid cloud

4. Vurder tenestemodell og aktuelle leverandørar;

- kva grad av kontroll vil du ha i dei ulike leveringsmodellane?

5. Få oversiklt over dataflyten

- korleis ser dataflyten ut mellom din verksemnd og leverandørens tenester og evt. dine kundar og/eller andre kontaktpunkter (nodar)

Krava du sett som følgje av risikovurderinga legg føringar for løysingane markedet kan tilby deg som kunde. 

Les meir

Marknadsdialog

Dialog med leverandørar før konkurranse er eit nyttig verktøy.

Skytenestar utviklast raskt og marknaden er i konstant endring. Nye tenester utviklast og nye aktørar entrar marknaden. Difor er det særs viktig å kjenne marknaden for skytenestar før man kunngjer ein konkurranse.

Ei tilnærming til marknaden

  • Fullfør behov- og risikoanalysane
  • Inviter leverandørane til møte. Gjerne ved å kunngjere møtet i ei veiledane kunngjering på Doffin
  • I møtet. Presenter behovet og risikoane
  • Avhold ein-til-ein-møter der du ber leverandørane presentere korleis deira løysingar tilfredsstiller behovet og svarer ut risikoane
  • Be leverandørane beskrive utfordringane dei har. Typisk kan vere at noko av løysinga bør vere on-premis løysing framfor i sky
  • Innarbeid innspela du har fått i marknadsdialogen i konkurransegrunnlaget
    • Kva type data og applikasjonar er det aktuelt å flytte ut i  skya? Skaff deg heilheitleg oversikt over kva som er omfatta eller påverka
    • Kor viktige er desse dataene eller denne funksjonen for din verksemnd? Spørsmål er kva konsekvensar får om

Vil du vite meir om dialog med markedet

Kontrakt (SSA-L)

Denne veiledninga forutsett at behovet kan dekjast av ei standardisert skyteneste. Anbefalinga er då å bruke SSA-L. Dette er avtalen for levering av tenester over internett.

SSA-L passar best når

  • kjøpet gjeld standardiserte skytenester (plug and play)
  • tenestene kan takast i bruk slik dei er
  • tilpasingar og integrasjonar til øvrige system skjer i lite omfang. Tilaspingar er regulert i liten grad
  • tilpassingar eller utvikling skjer i lite omfang
  • det ikkje er behov for å greie ut om kundens tekniske plattform. Det klassiske bilag 3, kundens tekniske plattform manglar

Sjølv for ei plug and play løysing er det lett å undervurdere kompleksiteten og arbeidet med integrasjonane.  Ver derfor nøye med å skrive ut kundens tekniske plattform. Dokumenter plattforma i bilag 1 kundens kravspesifikasjon. Leverandøren vil dermed få eit betre bilete av eksisterande løysingar og omfanget av arbeidet du vil ha utført.

Framdriftsplan for etablering av tenesta

Som nemnd over er det minimal regulering av tilpassningar av sjølve skyteneste i SSA-L. Den skal takast i bruk slik den er. Mindre tilpasningar kan du be leverandør gjere, men då må du hugse på å be om utfylt bilag 3 framdrifsplan som inneheld:

  • framdrift for konkrete aktivitetar med tilhøyrande leveranseplan og krav til deg som kunde
  • estimat for tallet på timar skal du finne i prisbilaget

Tredjepartsvilkår

Produsentane av standardiserte skytenester tilbyr dei same tenestene på like vilkår uavhengig av kven kunde er og kor dei held til. Nøyaktig dei same vilkåra gjeld for alle kundar i heile verda.

Tredjeparten er leverandørens underleverandør. Leverandøren er betrakta som ein ressellar av tenesta ein produsent (underleverandør eller tredjepart) har utvikla. Ansvaret du som kunde kan pålegge leverandøren gjennom denne avtalen er difor avgrensa til å dokumentere tredjepartsvilkåra.

Andre avtaler

Kravspesifikasjon

Krav til tenesten dokumenterast i kravspesifikasjonen i bilag 1 i SSA-L kundens kravspesifikasjon.

Vi rår til å bruke åpen kravspesifikasjon. Årsak, spesifikke krav kan føre til færre tilbod, dyre løysingar/tilpasningar eller at avvisningar. Hugs at skytenester er standard tenester for "heile verda", og at vilkåra for bruk desse tenestene er fastlagt og gjeld alle kundar.

Kravspesifikasjon sitt innhald

  • Behov. Grei ut om behovet og korleis det dekjast i dag
  • Rammer. Nokre rammer gjeld sjølv om krava er åpne: Overhalde regelverk som gjeld di verksemnd. For personopplysningar, helseopplysningar, arkiv, regnskapsmaterial og gradert informasjon gjeld spesielle reglar. Grei ut om rammene og be leverandør gjere reie for tenesten ut frå behovet og rammene.
  • Integrasjonar. Informasjon om systema den kjøpte skya skal integrerast mot. SSA-L inneheld ikkje eit eiga bilag for den tekniske plattforma, bruk difor bilag 1 til dette
  • Krav til løysinga. Døme; Korleis dekker løysinga behovet for rapportering?
  • Krav til informasjonssikkerheit og vern av personopplysningar. Viktig: Baser krava på risikovurderinga du har gjennomført. Legg ved risikovurderinga i bilag 1, og hugs at unødige strenge krav er fordyrande. Krava kan også formulereast åpne. Be leverandør greie ut korleis løysinga dekker behovet for sikkerheit og personvern
  • Krav til etableringsfasen. Be leverandør tydeleggjere etablaleringsfasen med leveransar, pris og medverknad fra deg som kunde
  • Krav til tredjepartsvilkår. Be leverandøren dokumentere tenester og vilkår som leverast frå underleverndør/tredjepart i bilag 9 Vilkår for Kundens tilgang og bruk av trejdepartsleveranser
  • Krav til tenestenivå. Be leverandør dokumentere tenestenivå bilag 4 tjenestenivå med standardiserte kompensasjoner

Tenestenivå (SLA)

Krav til tjenestenivået dokumenterast i bilag 4 tenestenivå med standardiserte kompensasjonar.

Utgangspunktet for SSA-L som kontraktsmal er at alle kundar får tilbod om det same tenestenivået, den same målinga og rapporteringa og lik økonomiske kompensasjon ved brot på avtalen. Leverandøren skal i slike tilfelle fylle ut bilaget og opplyse kunden kva tenestenivå som gjeld.

Krav (SLA)

Dersom tenesta er kritisk for verksemda, rår vi kunden til å stille konkrete krav til tjenestenivået for å sikre drift og oppetid. Døme på krav:

  • Oppetid
  • Tillete tal driftsstans og maksimal lengde på avbrot
  • Responstid til service igangsetjast
  • Maksimal tid frå release til oppdatering av nye tryggere versjonar av tenesten
  • Åpningstider for support
  • Overvåking, rapportering og repsons på kritiske eller alvorlige hendingar

Sjekk i marknadsundersøkinga om leverandørane kan oppfylle krava du har sett til tenestenivået. Ver merksam på at krav utanom bransjenormar eller standarder er kompliserande. 

Måling og rapportering av oppnådd tenestenivå

Er oppetid verksemdkritisk rår vi til at kunden sett krav til rapportering straks oppetide er truga. I alle høve rår vi til at rapportering inngår som ein naturleg del av faktureringa. Be om eit døme frå leverandør på rapportering av tenestenivået med tilhøyrande faktura.

Kompensasjon ved brot

Ved brot på avtalt tenestenivå kan kunden krevje økonomisk kompensasjon i henhold til avtalte satsar. Det er vanlig å benytte prosentsatser og/eller kronebeløp per brot.

Her finn du meir om SLA

Pris

Leverandøren skal bruke bilag 6 Samlet pris og bestemmelser for å prissette tenesten.

Det er eit godt råd å bruke marknadsdialogen for å få innspel til prisinga av tenesten. Eit alternativ er å utarbeide ein case som tilbydar skal svare ut i tilbodet. Uansett skriv alltid følgjande i konkurransegrunnlaget: Leverandøren skal synliggjere alle kostnadene over kontraktperioden. Inkluder opp- og nedskallering av antallet lisensar. Skal du ha opplæring må dette sjølvsagt innkluderast. Det same gjeld konsulentbistand og andre tenester.

Under finn du eit døme der vi har brukt tre års drift slik standarden er i SSA-L.

TenesteEiningAntallPrisÅr 1År 2År 3
Abonnement (lisensar)Brukar/år300<beløp><beløp><beløp><beløp>
SupportFast pris pr månad12<beløp><beløp><beløp><beløp>
TilleggstenesterEtter behov <beløp><beløp><beløp><beløp>
Totale kostnadar   Sum år 1Sum år 2Sum år 3

Tredjepartsvilkår

Ofte er det ein tredjepart (underleverandør) som leverer heile eller delar av tenesten kunden skal ha. Dette blir omtala som tredjepartsleveransar i SSA-L. Med tredjepartsvilkår meiner vi dei vilkåra som gjeld for at kunden skal få tilgang denne tenesten.

Det er leverandør som skal beskrive forpliktelsane som kviler på kunden og dei ansvarsbegrensningane underlevernadør/tredjepart forbeholder seg. Dette skal skje i bilag 9, Vilkår for Kundens tilgang og bruk av tredjepartsleveranser.

Under finn du ei skisse der vi har satt opp forhaldet mellom kunde, leverandør, tredjepart og avtalane som gjeld.

Tredjepartsvilkår

Vår klare tilråing er at du ber leverandør legje ved heile settet av tredjepartsvilkår. Dette omfattar sjølvsagt også dei vilkåra det blir vist til i lenker til andre nettstader. Dette kan vere omfattande arbeid, men sikrar at kunde og leverandør har eit dokumentert sett vilkår stadfesta på tidspunktet kontrakten blei inngått.

Oppsettet i bilag 9 bidrar til at tredjepartsvilkåra kan samanliknast dersom dette er valt som tildelingskriterium.

Tredjepart som leverer tenestenKva teneste leverast frå tredjepartVilkåra
   
   

Kjøp av supplerande produkt

Skyløysingar oppdaterast kontiunerleg. Det kan difor tenkjast at tenesta du har anskaffa vil falle bort og at eksisterande funksjonalitet uthulast. Kjøp av nye produkt kan også vere sansynleg. Pass på at det du kjøper sum supplement er innanfor omfanget av kontrakten.

For sikre deg mot uventa endringar kan du be leverandør redegjere for

  • framtidige tenestekatalog
  • om det vil bli tilbudt nye tenester i tillegg til dagens løysing
  • korleis framtidig tenestekatalog påverker tilbudt teneste med prisar

Kvalifikasjonskrav og tildelingskriterier

Kvalifikasjonskravene

Kvalifikasjonskravene ved kjøp av skytenester er like som for øvrige anskaffinger. Det viktigste er at krava skal reflekterer behovet.

Markedet for skytenester er i rask utvikling. Hugs at nyetablerte foretak kan vere aktuelle. Pass på at dei også kan kvalifisere. Vurdér også om det er viktig at leverandøren skal ha erfaring fra offentleg sektor. 

Tildelingskriteriene

Tildelingskriteriene skil seg lite frå ordinære kjøp. Det viktigaste er å forklare kva som er viktig i tenesten og vektlegginga i evalueringa.

Pris er eit velkjend tema. I denne veiledninga skal vi sjå på tre aktuelle tildelingskriterier:

  1. Bruka av tredjepartsvilkår som tildelingskriterium. Som nemnt skal leverandør dokumentere tredjepartsvilkåra. I konkurransen kan du lett bli presentert fleire sett med trejdepartsvilkår. Då skal du sjølvsagt velge dei vilkåra som er best dekker behovet. Dette kan du  gjere ved til dømes å evaluere ansvarbegrensningane leverandøren forbeholder seg, og eller, dei pliktene og ansvaret tredjeparten pålegger kunden for å ta i bruk tenesten. 

  2. Bruk av SLA som tildelingskriterium. Du bør gjere ein heilheitleg vurdering av SLA.  Kriteriane oppetid, responstidar, tid frå realease til oppdatering, åpningstider og respons ved feilrettingar kan vere eigna til dette.

  3. Bruk av sikkerheit som tildelingskriterium. Gjer ein heilheitleg vurdering korleis tilbodene dekker behovene til sikkerheit. Døme på tildelingskritier kan vere korleis tenesten blir oppdatert med nye sikkerheitskrav eller korleis leverandør dokumenterer tilstrekkeleg tryggeheit for dine data uansett kor dei er lagra.

Sharethis

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

Hjelp oss å bli bedre
*