Innhold: Veiledende bilag til SSA-D Driftsavtalen versjon 2015

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Innhold: Veiledende bilag til SSA-D Driftsavtalen versjon 2015"

Transkript

1 Veiledende bilag til Veiledende bilag til Driftsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon Bilag 2: Leverandørens løsningsspesifikasjon Bilag 3: Beskrivelse av det som skal driftes Bilag 4: Prosjekt- og fremdriftsplan for etableringsfasen Bilag 5: Tjenestenivå med standardiserte kompensasjoner Bilag 7: Samlet pris og prisbestemmelser Bilag 8: Endringer i den generelle avtaleteksten Bilag 9: Endringer av driftstjenesten etter avtaleinngåelsen Bilag 10: Standardvilkår for tredjepartsleveranser 1

2 Veiledende bilag til Bilag 1: Kundens kravspesifikasjon Avtalens punkt 1.1 Avtalens omfang Avtalen omfatter sikker og stabil drift og vedlikehold av løsning for «Ressurs- og ProsesStyring med eldingstjenester (RPS)». Det tegnes en egen avtale (SSA-T) som regulerer prosjektperioden for tilpasning av løsningen som skal driftes og vedlikeholdes. Denne avtalen () er gjeldende for drifts- og vedlikeholdsperioden, samt etablering av dette. Dersom leverandøren tilbyr en SaaS-tjeneste skal den inkludere følgende tjenester: Tilgang til tjenesten, vedlikehold og drift av SaaS-tjenesten i henhold til avtalte tjenestenivåer, herunder ivaretakelse av informasjonssikkerheten. Brukerstøtte Feilretting Bistand i avtaleperioden Dersom leverandøren tilbyr en applikasjon med drift hos Kunden, skal avtalen omfatte: Vedlikehold Brukerstøtte Feilretting Bistand i avtaleperioden Kravtabeller Under kolonnen kategori er det to typer av krav: inimumskrav (definert som krav) og evalueringskrav (definert som E krav). Hvordan disse kravene skal besvares må sees i sammenheng med hva som er definert i etterfølgende kolonne utdypes. i kolonnen kategori betyr at kravet er et minimumskrav som må oppfylles av Leverandøren. -krav uten krav til Leverandørens utdypning vil vurderes som oppfylt eller ikke (ja/nei). -krav med krav til Leverandørens utdypning vil også vurderes som oppfylt eller ikke (ja/nei), og utdypningen vil dokumentere om kravet er oppfylt eller ikke. -krav som ikke er oppfylt kan medføre avvisning av tilbudet. E i kolonnen kategori betyr at kravet er et evalueringskrav, dvs. at besvarelsen av kravet vil inngå i evalueringen av tilbudet i henhold til tildelingskriteriene, jf. konkurransegrunnlaget. 2

3 Veiledende bilag til Nedenfor er det tabeller som Leverandør svarer opp i bilag 2. Tabellene er kravtabeller og knyttet til ulike punkter i avtalen. Felles for alle tabellene er at de omfattes av det som er Kundens kravspesifikasjon. Tabell D-1 Krav til leveransen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav Beskrivelse Kategori Utdypes nr D-1.1 Løsningen videreutvikles med hensiktsmessig bruk av tilgjengelige funksjonelle byggeklosser som er etablert i Oslo kommune og ITAS for grensesnitt mellom ulike systemer. Se SSA-T Bilag 3. E D-1.2 Forholdet til underleverandører og tredjeparter som Leverandøren benytter til oppfyllelse av avtalen: Leverandøren plikter å påse at alle underleverandører og alle tredjeparter er kjent med og etterlever alle kravene som påhviler leverandøren iht. avtalen. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparter som benyttes i avtalen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-2 Krav til åpningstider, ytelse, tilgjengelighet: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Krav nr D-2.1 D-2.2 D-2.3 D-2.4 D-2.5 Beskrivelse Tjenestenivået kan for enkelte perioder utvides til også å gjelde utenfor ordinær arbeidstid som beskrevet av Leverandøren. Dette vil bestilles av Kunden etter behov. Løsningen er døgnåpen men avtalt tilgjengelighet reguleres i bilag 5. Kunden ønsker å benytte Leverandørens standard tjenestenivåavtale, og ber Leverandøren fylle ut bilag 5 som del av sitt tilbud. Tjenesten skal være tilgjengelig for brukerne i 99,5% pr. måned (ref. bilag 5). Leverandørens Reaksjonstid skal på A feil være umiddelbart i arbeidstiden, for B feil maksimalt 15 minutter i arbeidstiden og for C feil maksimalt 60 min i arbeidstiden (ref. bilag 5). Kategori 3

4 Veiledende bilag til Tabell D-3 Krav til sikkerhet, rutiner og metoder (tildelingskriterium nr. 2 Gjennomføring) Gjelder SaaS-leverandører: Krav nr Beskrivelse Kategori Utdypes D-3.1 Leverandøren etterlever Kundens instruks for informasjonssikkerhet. Se Del C, vedlegg 2 Instruks for informasjonssikkerhet i Oslo Kommune. E D-3.2 Leverandøren har dokumenterte rutiner for opplæring av personell som sikrer at personellet til enhver tid har oppdatert kunnskap og kompetanse for å utføre sine oppgaver på en sikkerhetsmessig forsvarlig måte. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.3 Leverandøren forsikrer seg om at det er implementert tilstrekkelige fysiske sikringstiltak for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon. Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.4 Løsningen har mekanismer som sikrer at en systemmessig feilsituasjon eller en krisesituasjon ikke skal påvirke tilgjengelighet av løsningen. D-3.5 Leverandøren benytter en anerkjent drifts- og forvaltningsmetodikk. Det er beskrevet i bilag 4 som viser hvordan metodikken benyttes. D-3.6 Leverandøren overvåker og monitorerer driftsløsningen for å forebygge, oppdage og redusere skade som følge av feil, manipulering og uautoriserte handlinger. Uønskede hendelser logges av Leverandøren og meldes uten opphold til Kunden. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.7 Løsningen skal være tilgjengelig i henhold til tjenestenivå definert i Bilag 5 (Responstider). E D-3.8 Leverandøren har dokumenterte rutiner for autorisasjon av Leverandørens personell som skal ha tilgang til Kundens data. Som et minimum skal autorisasjonen angi hvilke IT-systemer, programrutiner og dataelementer Leverandørens ansatte til enhver tid har lovlig tilgang til og hvilke operasjoner disse har lov til å utføre. D-3.9 Leverandøren har fysiske sikringstiltak og rutiner for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon, for å sikre seg mot uønsket fysisk tilgang til områder og utstyr som benyttes for å utføre tjenesten for kunden 4

5 Veiledende bilag til Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskrivelse: Leverandøren beskriver etablerte sikringstiltak. D-3.10 Leverandøren har tiltak som sikrer at kundens data er adskilt fra andre kunders data, og at andre enn kunden ikke har tilgang til kundens data. Beskrivelse: Leverandøren beskriver hvordan D-3.11 Leverandøren har dokumenterte rutiner for autorisasjon og tilbaketrekking av autorisasjon av Leverandørens personell og personell til underleverandører eller andre som opptrer på vegne av underleverandøren og som skal ha tilgang til Kundens data og annen informasjon av betydning for informasjonssikkerheten. Fellesbrukere skal aldri benyttes. Oppdatert liste over hvilke type rettigheter og tilganger Leverandørens personell har til Kundens data og informasjon, skal fremlegges Kunden på forespørsel. Dokumentasjon skal inneholde opplysninger om tidsintervaller, hvem som er autorisert, type privilegier o.l. Beskrivelse: Leverandøren beskriver D-3.12 Leverandøren må være forberedt på at driftspersonell for deler av kundens driftsmiljøer vil måtte kunne fremvise politiattest eller måtte kunne sikkerhetsklareres. Dette vil f.eks. gjelde hvis nåværende eller fremtidig lovregulering som regulerer den virksomhet som driftes i det aktuelle driftsmiljøet forutsetter politiattest/sikkerhetsklarering for personell som gis innsyn i virksomhetens lagret informasjon. D-3.13 Leverandøren skal ha funksjonalitet som sikrer at så vel oppslag/lesetilgang til data som editering og sletting av data som utføres av Leverandøren eller andre som opptrer på vegne av underleverandøren logges. Beskrivelse: Leverandøren beskriver D-3-14 Leverandøren, underleverandører eller andre som opptrer på vegne av underleverandøren, skal ha en prosess for feilretting og utbedring av sårbarheter, inkludert sikkerhetstiltak og sikkerhetspatching, som beskriver hvordan leverandør sikrer at nødvendige sikkerhetstiltak og sikkerhetspatching til enhver tid gjennomføres uten ugrunnet opphold jf i. Beskrivelse: Leverandøren beskriver prosessen. D-3.15 Leverandøren har rutine for å sikre samspillet og 5

6 Veiledende bilag til ansvarsdelingen mellom Kunde og Leverandør, herunder underleverandører eller andre som opptrer på vegne av underleverandøren, ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D-3.16 Leverandøren sørger for at integrasjon mot andre systemer og andre kundespesifikke tilpasninger i løsningen blir ivaretatt ved vedlikehold/endringer/oppgraderinger av tjenesten. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D-3.17 Ved vedlikehold/endringer/oppgraderinger av tjenesten oppdateres all tilhørende dokumentasjon. D-3.18 Eventuelle feil og mangler i dokumentasjon likestilles med feil og mangler i programvaren og gir tilsvarende rett til standardisert prisavslag jfr. Bilag 5. D-3.19 Leverandør gir Kunden tid og mulighet for å teste endringer /feilrettinger / ny funksjonalitet i løsningen før driftssetting. Beskrivelse: Leverandøren beskriver. D-3.20 Leverandøren skal ha en prosess og løsning som sikrer tilgjengelighet til data, og mekanismer for til enhver tid å kunne gjenopprette data. anglende gjenoppretting av data, etter fristen medfører rett til standardisert prisavslag, jfr. Bilag 5. Beskrivelse: Leverandør beskriver prosess og løsning inkludert garanti for gjenopprettingstid av data. D-3.21 Leverandøren rapporterer månedlig på følgende parametere: Tilgjengelighet til løsningen (tjenesten tilgjengelig for brukerne): Nedetid i antall timer pr. måned Leverandør dokumenterer tilgjengelighet, og hvorfor leverandør eventuelt mener at nedetid ikke skyldes leverandøren. Retting av feil og håndtering av uønskede hendelser Tid fra mottatt feilmelding til start av løsningsarbeid Løsningstid Endringsforespørsler Tid for tilbud med løsningstid Brukerstøtte 6

7 Veiledende bilag til Svartid for henvendelser Risikovurderinger av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. Interne revisjoner av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. gjennomføringen av tiltak som er nødvendige for å etablere og opprettholde forsvarlig informasjonssikkerhet med utgangspunkt i leverandørens informasjonssikkerhetspolicy og resultatet av de risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. D-3.22 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-4 Krav til bistand (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-4.1 Leverandøren tilbyr utvidet beredskap i kritiske faser mot vederlag som spesifiseres i Bilag 7. Tabell D-5 Krav til vedlikehold av løsning (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-5.1 Leverandøren sikrer at løsningen holder tritt med teknologiutviklingen og beskriver hvilke planer som foreligger mht. løsningens fremtidige videreutvikling. Beskriver: Leverandøren beskriver hvordan dette er 7

8 Veiledende bilag til tenkt gjennomført. D-5.2 Dersom utviklet funksjonalitet ikke inngår som en del av et standardsystem, tilbyr Leverandøren vedlikehold på utviklet funksjonalitet slik at løsningen/tjenesten fungerer som forutsatt under hele avtalens varighet. D-5.3 Leverandøren holder Kunden løpende oppdatert med hensyn til sine utviklingsplaner. D-5.4 Leverandøren holder seg orientert om endringer innen aktuelle lover, forskrifter og myndighetskrav, samt sikrer at Kunden kan overholde relevante lover, forskrifter og føringsskriv fra sentral myndighet løpende gjennom kontraktstidens varighet. D-5.5 Ved videreutvikling av løsningen har oppfyllelse av myndighetskrav høyeste prioritet. Kunden skal tilbys ny funksjonalitet slik at det gis rimelig tid til testing, opplæring og implementering før nye krav trer i kraft. D-5.6 Løsningen videreutvikles for å beholde god ytelse med responstider i henhold til etablert baseline. D-5.7 Leverandøren beskriver prosessen, samspillet og ansvarsfordelingen mellom Kunde og Leverandør ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.8 Leverandøren sørger for at integrasjon mot andre systemer blir ivaretatt ved oppgradering/endringer i tjenesten. D-5.9 Ved oppdatering av løsningen er også all nødvendig dokumentasjon oppdatert. D Leverandøren yter brukerstøtte overfor Kunden i avtaleperioden, se bilag 5. Leverandøren beskriver sin brukerstøttetjeneste inkludert ev. støtteverktøy som brukes i denne forbindelsen. D Leverandøren håndterer alle avvik som meldes fra Kunden i henhold til avtalt tjenestenivå, og alle feil skal rettes i henhold til krav i bilag 5. E D Leverandør gir Kunden tilgang til verifisering og godkjenning av funksjoner og endringer før drifts-setting av nye versjoner. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D Leverandør gir Kunden tilgang til å gjenskape hendelser som kan kreve feilretting. D- Ved oppslag fra et bilde/felt vises hjelpeinformasjon knyttet 8

9 Veiledende bilag til 5.14 til aktuelt bilde/felt. Avtalens punkt 4.4 Avslutning av avtalen Dersom Kunden ønsker å spesifisere hvilken informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje, skal dette fremkomme her. Informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje: Kunden skal eie alle data og kunne få disse utlevert eller slettet på forespørsel. Ved avslutning av avtaleforholdet skal alle data overføres kostnadsfritt til Kunden, på et anerkjent og standard avtalt format som egner seg for enklest mulig dataoverføring til Kunden og/eller tredjepart. Leverandøren skal slette data på en sikker måte. Se ellers Del C, Vedlegg 12 Databehandleravtale for behandling av personopplysninger. Tabell D-6 Avslutning av avtalen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-6.1 Ved utløpet av avtalen skal Kundens data og tilhørende dataarkitektur overleveres til Kunden på et åpent format kunde og leverandør blir enige om. Kunden skal videre gis tilgang til nødvendige versjoner av aktuell programvare for å kunne lese og behandle dataene. E D-6.2 Ved avslutning av avtalen skal leverandør slette alle data som har vært registrert i løsningen på Leverandørens utstyr, etter at krav D-6.1 er bekreftet gjennomført av Kunde. E Avtalens punkt 5.1 Leverandørens ansvar for sine ytelser Dersom Kunden ønsker å stille krav til at Leverandøren skal følge gitte standarder eller kvalitetssystemer, skal dette fremgå her. Det samme gjelder eventuelle krav om Leverandørens dokumentasjon av hvordan standarder eller kvalitetssystemer følges. Kunden skal beskrive krav til Leverandørens samordning, styring og koordinering av arbeidet mellom de ulike aktører/leverandører som har betydning for driftstjenesten i forbindelse med etablering, testing og drift. 9

10 Veiledende bilag til Dersom Leverandøren ikke skal ha totalansvar for livssyklusforvaltning av utstyr, programvare og andre ytelser som er nødvendig for å opprettholde avtalt tjenestenivå, skal Kunden spesifisere dette her. Kunden skal spesifisere hvilke tredjepartsleveranser som Leverandøren skal administrere på vegne av Kunden her. Lisensbetingelsene skal vedlegges i bilag 10. Tabell D-7 Krav til standarder eller kvalitetssystemer som Leverandøren skal følge. (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-7.1 Løsningen må støtte de dominerende nettleserne i markedet. Kunden benytter i dag hovedsakelig IE10/11, Firefox og Google Chrome som oppdateres jevnlig. Beskrivelse: Leverandør beskriver hvilke nettlesere som støttes. D-7.2 D-7.3 D-7.4 Leverandøren og løsningen tilfredsstiller kravene i norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Se Del C, vedlegg 11. Løsningen er basert på åpne eller godkjente tekniske standarder og tilfredsstiller gjeldende godkjente produkter, GPL, i Oslo kommune infrastruktur (se Bilag 3,). Løsningen tilfredsstiller standarder spesifisert i Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. E Avtalens punkt 9.1 Eksterne rettslige krav og tiltak generelt Kunden skal identifisere hvilke rettslige eller partsspesifikke krav som har relevans for inngåelse og gjennomføring av denne avtalen. Kunden skal konkretisere relevante krav her. Tabell D-8 Krav vedr. eksterne rettslige krav og tiltak (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-8.1 Løsningen driftes og vedlikeholdes med det formål at Oslo kommune over tid kan oppfylle de forpliktelser som påhviler dem gjennom lov og forskriftsmessige krav. Leverandøren er ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med generell krav i norsk lovgivning som gjelder for IKT systemer. Oppdateringer skal gjøres slik at disse er 10

11 Veiledende bilag til D-8.2 D-8.3 D-8.4 D-8.5 implementert innen aktuell lovgivnings ikrafttredelse. Leverandøren er tilsvarende ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med spesielle krav som gjelder for den aktuelle virksomhet i Oslo kommune, dog slik at Kunden er ansvarlig for å opplyse Leverandøren om de aktuelle kravene. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Forholdt til ny Sikkerhetslov I den grad ny Sikkerhetslov jf.nou 2016: 19 «Samhandling for sikkerhet» medfører endrede krav til drift av Oslo kommunes IKT virksomhet, vil Leverandøren og dennes underleverandører måtte forholde seg til de endrede kravene og plikter bistå til å oppfylle disse. Leverandøren har et styringssystem for informasjonssikkerhet (ISO27001 eller tilsvarende 1 ) som dokumenterer leverandørens rutiner og tiltak for internkontroll og etterlevelse av personopplysningsforskriften kapittel 2 og Norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Styringssystemet skal på anmodning gjøres tilgjengelig for Kunden. Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Leverandøren skal regelmessig gjennomføre risikovurdering av tjenesteleveransen iht. leverandørens styringssystem. Dokumentet forelegges Kunden, senest innen 10 dager fra avtalt halvårsgjennomgang, hendelser mv E Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. D-8.6 Leverandøren skal gjennomføre jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos alle underleverandører eller andre som opptrer 1 Styringssystemet gir som minimum en beskrivelse av: Sikkerhetsorganisasjon med oversikt over ansvar og roller for sikkerhet hos Leverandøren Sikkerhetsmål og strategi for informasjonssikkerhet Krav og tiltak for informasjonssikkerhet, herunder bl.a. sikkerhetsledelse, risikostyring, tilgangskontroll, fysisk sikkerhet, forhold til andre virksomheter, sikkerhetsdokumentasjon, personellsikkerhet, oppfølging og kontroll Styringssystemet omfatter relevante underleverandører. 11

12 Veiledende bilag til på vegne av underleverandøren. Revisjonene gjennomføres minimum en gang per år, samt i forbindelse med utbedring etter alvorlige hendelser, større endringer av betydning for informasjonssikkerhet, avdekking av alvorlige nye sårbarheter mv. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avdekker revisjon eller risikovurderinger avvik i forhold til forsvarlig informasjonssikkerhet og gjeldende norsk rett, plikter Leverandøren å utbedre disse snarest og senest innen 30 dager. D-8.7 Kravene til informasjonssikkerhet gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalens punkt 9.2 informasjonssikkerhet Tabell D-9 Særskilte krav til dokumentasjon i forbindelse med informasjonssikkerhet (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kategori Utdypes D-9.1 Leverandørens kontrollerende sikkerhetsledelse er ansvarlig for at det gjennomføres jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos eventuelle underleverandører generelt, og spesielt for det som berører tilbudt løsning. Revisjonene gjennomføres minimum en gang per år. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.2 Leverandøren gjennomfører risikovurderinger minimum en gang per år, samt i forbindelse med særskilte hendelser som sikkerhetsbrudd, endringer av betydning for informasjonssikkerhet, nye sårbarheter mv. Resultatet av risikovurderinger gjøres tilgjengelig for Kunden på forespørsel, og ved resultat som avdekker risiko utover fastsatt akseptabelt nivå. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.3 Leverandøren gir Kunden, eller en 3. part valgt av Kunden, tilgang til å gjennomføre risikovurdering og/eller revisjon av informasjonssikkerhet relatert organisering, 12

13 Veiledende bilag til forvaltning og drift av egen løsning. D-9.4 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå og forelegger Kunden dette ved forespørsel. Avtalens punkt 9.3 Personopplysninger Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv, angis her. Tabell D-10 Krav til personopplysninger (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-10.1 Leverandøren behandler personopplysninger iht. personopplysningsloven og personopplysningsforskriften. E D-10.2 Leverandøren, underleverandør eller andre som opptrer på vegne av underleverandøren er databehandler på Kundens vegne i den grad de behandler data på kundens vegne.. Leverandøren behandler personopplysninger iht. EUs personvernlovgivning, personopplysningsloven og personopplysningsforskriften, samt iht. ny personvernforordning (tekst godkjent av EU den ) etter implementering av denne. Leverandøren vil implementere eventuelle endringer/tillegg etc. som er nødvendig for å oppfylle evt. nye krav i EUs personvernforordning før denne trer i kraft. E D-10.3 Ved inngåelse av avtalen forplikter Leverandøren seg til å signere selvstendig databehandleravtale som gjengitt i Del C_Vedlegg 12. Leverandøren behandler personopplysninger i henhold til vilkår i denne avtale. Eventuelle underleverandører/tredjeparter som opptrer på vegne av Leverandør, forplikter seg til å underskrive en likelydende databehandleravtale. Databehandleravtalen skal være mottatt og godkjent av Kunde før data kan overføres til underleverandør/tredjepart. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparter som benyttes i avtalen. Etterlevelse av databehandleravtalen og de krav som E 13

14 Veiledende bilag til påhviler databehandler iht. databehandleravtalen er i sin helhet å betrakte som obligatoriske krav. D-10.4 D.10.5 All behandling av/aksessering til data/personopplysninger og lagring av data/personopplysninger skal foretas i/fra lokasjoner innenfor EØS-området, og kun i land som har gjennomført EU-direktiv 95/46/EF. Dette inkluderer også teknisk support, brukerstøtte og evt. reserveløsning. Beskrivelse: Leverandøren beskriver sin lokalisering av servere og lagringsenheter, samt hvor fra og av hvem (leverandør eller eventuelt underleverandører) data behandles. Kravene til vern av personopplysninger gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalen punkt 11.6: Rekonstruksjon av data Tabell D-11 Rutiner for sikkerhetskopiering: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kategori Utdypes D-11.1 Leverandøren har sikkerhetskopieringsløsninger som forhindrer at data går tapt i driftsløsningen. E D-11.2 Leverandøren verifiserer jevnlig innhold i sikkerhetskopier og tester gjenoppretting av data for å verifisere kvaliteten på sikkerhetskopiene. Leverandøren varsler kunden umiddelbart ved avvik. Leverandøren beskriver hvordan dette blir ivaretatt. D-11.3 Sikkerhetskopiert informasjon gis nødvendig fysisk og miljømessig beskyttelse. 14

15 Veiledende bilag til Bilag 2: Leverandørens løsningsspesifikasjon Her skal leverandøren gi sin besvarelse stilt i kravene i bilag 1. Besvarelsen gis ved å fylle ut tabellene nedenfor. Dersom besvarelsen av et krav er for omfattende for tabellen, kan leverandøren vise til utførlige beskrivelse av kravet, som plasseres etter aktuelle tabell. Det er da viktig at det fremkommer tydelig i tabellen at mer utførlig besvarelse finnes etter tabellen, og besvarelsen etter tabellen må ha tydelig henvisning til aktuelt krav. Besvarelsene bør være så kortfattede som mulig. Under kolonnen kategori er det to typer av krav: inimumskrav (definert som krav) og evalueringskrav (definert som E krav). Hvordan disse kravene skal besvares må sees i sammenheng med hva som er definert i etterfølgende kolonne utdypes. i kolonnen kategori betyr at kravet er et minimumskrav som må oppfylles av Leverandøren. -krav uten krav til Leverandørens utdypning vil vurderes som oppfylt eller ikke (ja/nei). -krav med krav til Leverandørens utdypning vil også vurderes som oppfylt eller ikke (ja/nei), og utdypningen vil dokumentere om kravet er oppfylt eller ikke. -krav som ikke er oppfylt kan medføre avvisning av tilbudet. E i kolonnen kategori betyr at kravet er et evalueringskrav, dvs. at besvarelsen av kravet vil inngå i evalueringen av tilbudet i henhold til tildelingskriteriene, jf. konkurransegrunnlaget. Kolonnen Utdypes Dette er en hjelpekolonne for å vise leverandører hvilke krav som det er kreves en utdypende besvarelse på. Ved i denne kolonnen, skal leverandøren beskrive hvordan kravet løses i tilbudt løsning i bilag 2. Krav med i denne kolonnen trenger ingen ytterligere beskrivelse utover utfylt svarkode (neste kolonne). Kolonnen Svarkode 15

16 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til I dette feltet skal leverandøren besvare i hvilken grad det aktuelle kravet oppfylles. Som utgangspunkt foreslås det å benytte svarkoder som eller«delvis» eller knyttet til oppfyllelse av enkeltkrav, Følgende tolkning legges til grunn bak de angitte svarkoder: J betyr at Leverandøren leverer denne funksjonen, aksepterer dette kravet eller dekker behovet som er beskrevet. Dette svaret forplikter Leverandøren til å levere det omfanget som gir innfrielse som er inkludert i de priser som er oppgitt. D betyr at funksjonen eller kravet er delvis inkludert i tilbudet. Det kreves da en forklaring med spesifisering av hva som er inkludert og hva som ikke støttes. Kunden må deretter tolke besvarelsen opp mot det kravet, for å se om tilbudt løsning oppfyller/ikke oppfyller kundens behov og krav. Dersom må-krav besvares med «D», kan det medføre avvisning av tilbudet. N betyr at funksjonen, behovet eller kravet ikke støttes. Dersom et må-krav besvares med «N», kan det medføre avvisning av tilbudet. Kolonnen Kommentar/ ref. Dette er en hjelpekolonne for leverandør (for å sikre at alle krav og behov blir besvart). Er det korte enkle svar på et krav som skal utdypes kan leverandøren skrive dette direkte inn i denne kolonnen, er det mer omfattende svar, kan leverandøren her sette inn henvisning til hvor kravet er besvart som vist i konkurransegrunnlaget. Tabell D-1 Krav til leveransen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-1.1 D-1.2 Løsningen videreutvikles med hensiktsmessig bruk av tilgjengelige funksjonelle byggeklosser som er etablert i Oslo kommune og ITAS for grensesnitt mellom ulike systemer. Se SSA-T Bilag 3. Forholdet til underleverandører og tredjeparter som Leverandøren benytter til oppfyllelse av avtalen: Leverandøren plikter å påse at alle underleverandører og alle tredjeparter er kjent med E 16

17 Kategori Utdypes Svarkode (J/D/N) Veiledende bilag til og etterlever alle kravene som påhviler leverandøren iht. avtalen. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparte r som benyttes i avtalen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-2 Krav til åpningstider, ytelse, tilgjengelighet: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Krav nr Beskrivelse Kommentar/Ref. D-2.1 Tjenestenivået kan for enkelte perioder utvides til også å gjelde utenfor ordinær arbeidstid som beskrevet av Leverandøren. Dette vil bestilles av Kunden etter behov. D-2.2 Løsningen er døgnåpen men avtalt tilgjengelighet reguleres i bilag 5. D-2.3 Kunden ønsker å benytte Leverandørens standard tjenestenivåavtale, og ber Leverandøren fylle ut bilag 5 som del av sitt tilbud. D-2.4 Tjenesten skal være tilgjengelig for brukerne i 99,5% pr. måned (ref. bilag 5). D-2.5 Leverandørens Reaksjonstid skal på A feil være umiddelbart i arbeidstiden, for B feil maksimalt 15 minutter i arbeidstiden og for C feil maksimalt 60 min i arbeidstiden (ref. bilag 5). 17

18 Kategori Utdypes Svarkode (J/D/N) Veiledende bilag til Tabell D-3 Krav til sikkerhet, rutiner og metoder (tildelingskriterium nr. 2.Gjennomføring) Gjelder SaaS-leverandører: Krav nr Beskrivelse Kommentar/Ref. D-3.1 Leverandøren etterlever Kundens instruks for informasjonssikkerhet. Se Del C, vedlegg 2 Instruks for informasjonssikkerhet i Oslo Kommune. E D-3.2 Leverandøren har dokumenterte rutiner for opplæring av personell som sikrer at personellet til enhver tid har oppdatert kunnskap og kompetanse for å utføre sine oppgaver på en sikkerhetsmessig forsvarlig måte. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.3 Leverandøren forsikrer seg om at det er implementert tilstrekkelige fysiske sikringstiltak for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon. Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.4 Løsningen har mekanismer som sikrer at en systemmessig feilsituasjon eller en krisesituasjon ikke skal påvirke tilgjengelighet av løsningen. D-3.5 Leverandøren benytter en anerkjent drifts- og forvaltningsmetodikk. Det er beskrevet i bilag 4 som viser hvordan metodikken benyttes. D-3.6 Leverandøren overvåker og monitorerer driftsløsningen for å forebygge, oppdage og redusere skade som følge av feil, manipulering og uautoriserte handlinger. Uønskede hendelser logges av Leverandøren og meldes uten opphold til Kunden. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.7 Løsningen skal være tilgjengelig i henhold til tjenestenivå definert i Bilag 5 E 18

19 Veiledende bilag til (Responstider). D-3.8 Leverandøren har dokumenterte rutiner for autorisasjon av Leverandørens personell som skal ha tilgang til Kundens data. Som et minimum skal autorisasjonen angi hvilke IT-systemer, programrutiner og dataelementer Leverandørens ansatte til enhver tid har lovlig tilgang til og hvilke operasjoner disse har lov til å utføre. D-3.9 Leverandøren har fysiske sikringstiltak og rutiner for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon, for å sikre seg mot uønsket fysisk tilgang til områder og utstyr som benyttes for å utføre tjenesten for kunden Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskrivelse: Leverandøren beskriver etablerte sikringstiltak. D Leverandøren har tiltak som sikrer at kundens data er adskilt fra andre kunders data, og at andre enn kunden ikke har tilgang til kundens data. Beskrivelse: Leverandøren beskriver hvordan D Leverandøren har dokumenterte rutiner for autorisasjon og tilbaketrekking av autorisasjon av Leverandørens personell og personell til underleverandører eller andre som opptrer på vegne av underleverandøren og som skal ha tilgang til Kundens data og annen informasjon av betydning for informasjonssikkerheten. Fellesbrukere skal aldri benyttes. Oppdatert liste over hvilke type rettigheter og tilganger Leverandørens personell har til Kundens data og informasjon, skal fremlegges Kunden på forespørsel. Dokumentasjon skal inneholde opplysninger om tidsintervaller, hvem som er autorisert, type privilegier o.l. Beskrivelse: Leverandøren beskriver 19

20 Veiledende bilag til D Leverandøren må være forberedt på at driftspersonell for deler av kundens driftsmiljøer vil måtte kunne fremvise politiattest eller måtte kunne sikkerhetsklareres. Dette vil f.eks. gjelde hvis nåværende eller fremtidig lovregulering som regulerer den virksomhet som driftes i det aktuelle driftsmiljøet forutsetter politiattest/sikkerhetsklarering for personell som gis innsyn i virksomhetens lagret informasjon. D Leverandøren skal ha funksjonalitet som sikrer at så vel oppslag/lesetilgang til data som editering og sletting av data som utføres av Leverandøren eller andre som opptrer på vegne av underleverandøren logges. Beskrivelse: Leverandøren beskriver D-3-14 Leverandøren, underleverandører eller andre som opptrer på vegne av underleverandøren, skal ha en prosess for feilretting og utbedring av sårbarheter, inkludert sikkerhetstiltak og sikkerhetspatching, som beskriver hvordan leverandør sikrer at nødvendige sikkerhetstiltak og sikkerhetspatching til enhver tid gjennomføres uten ugrunnet opphold jf i. Beskrivelse: Leverandøren beskriver prosessen. D Leverandøren har rutine for å sikre samspillet og ansvarsdelingen mellom Kunde og Leverandør, herunder underleverandører eller andre som opptrer på vegne av underleverandøren, ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D Leverandøren sørger for at integrasjon mot andre systemer og andre kundespesifikke tilpasninger i løsningen blir ivaretatt ved vedlikehold/endringer/oppgraderinger 20

21 Veiledende bilag til av tjenesten. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D Ved vedlikehold/endringer/oppgraderinger av tjenesten oppdateres all tilhørende dokumentasjon. D Eventuelle feil og mangler i dokumentasjon likestilles med feil og mangler i programvaren og gir tilsvarende rett til standardisert prisavslag jfr. Bilag 5. D Leverandør gir Kunden tid og mulighet for å teste endringer /feilrettinger / ny funksjonalitet i løsningen før driftssetting. Beskrivelse: Leverandøren beskriver. D Leverandøren skal ha en prosess og løsning som sikrer tilgjengelighet til data, og mekanismer for til enhver tid å kunne gjenopprette data. anglende gjenoppretting av data, etter fristen medfører rett til standardisert prisavslag, jfr. Bilag 5. Beskrivelse: Leverandør beskriver prosess og løsning inkludert garanti for gjenopprettingstid av data. D Leverandøren rapporterer månedlig på følgende parametere: Tilgjengelighet til løsningen (tjenesten tilgjengelig for brukerne): Nedetid i antall timer pr. måned Leverandør dokumenterer tilgjengelighet, og hvorfor leverandør eventuelt mener at nedetid ikke skyldes leverandøren. Retting av feil og håndtering av uønskede hendelser Tid fra mottatt feilmelding til start av løsningsarbeid Løsningstid 21

22 Veiledende bilag til Endringsforespørsler Tid for tilbud med løsningstid Brukerstøtte Svartid for henvendelser Risikovurderinger av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. Interne revisjoner av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. gjennomføringen av tiltak som er nødvendige for å etablere og opprettholde forsvarlig informasjonssikkerhet med utgangspunkt i leverandørens informasjonssikkerhetsp olicy og resultatet av de risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. D Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av 22

23 Kategori Utdypes Svarkod e(j/d/n) Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til nye sårbarheter mv. som er av betydning for tjenesteleveransen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-4 Krav til bistand (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-4.1 Leverandøren tilbyr utvidet beredskap i kritiske faser mot vederlag som spesifiseres i Bilag 7. Tabell D-5 Krav til vedlikehold av løsning (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-5.1 Leverandøren sikrer at løsningen holder tritt med teknologiutviklingen og beskriver hvilke planer som foreligger mht. løsningens fremtidige videreutvikling. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.2 Dersom utviklet funksjonalitet ikke inngår som en del av et standardsystem, tilbyr Leverandøren vedlikehold på utviklet funksjonalitet slik at løsningen/tjenesten fungerer som forutsatt under hele avtalens varighet. D-5.3 Leverandøren holder Kunden løpende oppdatert med 23

24 Veiledende bilag til hensyn til sine utviklingsplaner. D-5.4 Leverandøren holder seg orientert om endringer innen aktuelle lover, forskrifter og myndighetskrav, samt sikrer at Kunden kan overholde relevante lover, forskrifter og føringsskriv fra sentral myndighet løpende gjennom kontraktstidens varighet. D-5.5 Ved videreutvikling av løsningen har oppfyllelse av myndighetskrav høyeste prioritet. Kunden skal tilbys ny funksjonalitet slik at det gis rimelig tid til testing, opplæring og implementering før nye krav trer i kraft. D-5.6 Løsningen videreutvikles for å beholde god ytelse med responstider i henhold til etablert baseline. D-5.7 Leverandøren beskriver prosessen, samspillet og ansvarsfordelingen mellom Kunde og Leverandør ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.8 Leverandøren sørger for at integrasjon mot andre systemer blir ivaretatt ved oppgradering/endringer i tjenesten. D-5.9 Ved oppdatering av løsningen er også all nødvendig dokumentasjon oppdatert. D Leverandøren yter brukerstøtte overfor Kunden i avtaleperioden, se bilag 5. Leverandøren beskriver sin brukerstøttetjeneste inkludert ev. støtteverktøy som brukes i 24

25 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til denne forbindelsen. D Leverandøren håndterer alle avvik som meldes fra Kunden i henhold til avtalt tjenestenivå, og alle feil skal rettes i henhold til krav i bilag 5. E D Leverandør gir Kunden tilgang til verifisering og godkjenning av funksjoner og endringer før drifts-setting av nye versjoner. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D Leverandør gir Kunden tilgang til å gjenskape hendelser som kan kreve feilretting. D Ved oppslag fra et bilde/felt vises hjelpeinformasjon knyttet til aktuelt bilde/felt. Avtalens punkt 4.4 Avslutning av avtalen Dersom Kunden ønsker å spesifisere hvilken informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje, skal dette fremkomme her. Informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje: Kunden skal eie alle data og kunne få disse utlevert eller slettet på forespørsel. Ved avslutning av avtaleforholdet skal alle data overføres kostnadsfritt til Kunden, på et anerkjent og standard avtalt format som egner seg for enklest mulig dataoverføring til Kunden og/eller tredjepart. Leverandøren skal slette data på en sikker måte. Se ellers Del C, Vedlegg 12 Databehandleravtale for behandling av personopplysninger. Tabell D-6 Avslutning av avtalen: (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. 25

26 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til D-6.1 Ved utløpet av avtalen skal Kundens data og tilhørende dataarkitektur overleveres til Kunden på et åpent format kunde og leverandør blir enige om. Kunden skal videre gis tilgang til nødvendige versjoner av aktuell programvare for å kunne lese og behandle dataene. D-6.2 Ved avslutning av avtalen skal leverandør slette alle data som har vært registrert i løsningen på Leverandørens utstyr, etter at krav D-6.1 er bekreftet gjennomført av Kunde. E E Avtalens punkt 5.1 Leverandørens ansvar for sine ytelser Dersom Kunden ønsker å stille krav til at Leverandøren skal følge gitte standarder eller kvalitetssystemer, skal dette fremgå her. Det samme gjelder eventuelle krav om Leverandørens dokumentasjon av hvordan standarder eller kvalitetssystemer følges. Kunden skal beskrive krav til Leverandørens samordning, styring og koordinering av arbeidet mellom de ulike aktører/leverandører som har betydning for driftstjenesten i forbindelse med etablering, testing og drift. Dersom Leverandøren ikke skal ha totalansvar for livssyklusforvaltning av utstyr, programvare og andre ytelser som er nødvendig for å opprettholde avtalt tjenestenivå, skal Kunden spesifisere dette her. Kunden skal spesifisere hvilke tredjepartsleveranser som Leverandøren skal administrere på vegne av Kunden her. Lisensbetingelsene skal vedlegges i bilag 10. Tabell D-7 Krav til standarder eller kvalitetssystemer som Leverandøren skal følge. (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-7.1 Løsningen må støtte de dominerende nettleserne i markedet. Kunden benytter i dag hovedsakelig IE10/11, Firefox og Google Chrome 26

27 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til som oppdateres jevnlig. Beskrivelse: Leverandør beskriver hvilke nettlesere som støttes. D-7.2 D-7.3 D-7.4 Leverandøren og løsningen tilfredsstiller kravene i norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Se Del C, vedlegg 11. Løsningen er basert på åpne eller godkjente tekniske standarder og tilfredsstiller gjeldende godkjente produkter, GPL, i Oslo kommune infrastruktur (se Bilag 3,). Løsningen tilfredsstiller standarder spesifisert i Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. E Avtalens punkt 9.1 Eksterne rettslige krav og tiltak generelt Kunden skal identifisere hvilke rettslige eller partsspesifikke krav som har relevans for inngåelse og gjennomføring av denne avtalen. Kunden skal konkretisere relevante krav her. Tabell D-8 Krav vedr. eksterne rettslige krav og tiltak (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-8.1 Løsningen driftes og vedlikeholdes med det formål at Oslo kommune over tid kan oppfylle de forpliktelser som påhviler dem gjennom lov og forskriftsmessige krav. Leverandøren er ansvarlig for å sikre at løsningen til 27

28 Veiledende bilag til D-8.2 D-8.3 enhver tid oppdateres slik at denne er i samsvar med generell krav i norsk lovgivning som gjelder for IKT systemer. Oppdateringer skal gjøres slik at disse er implementert innen aktuell lovgivnings ikrafttredelse. Leverandøren er tilsvarende ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med spesielle krav som gjelder for den aktuelle virksomhet i Oslo kommune, dog slik at Kunden er ansvarlig for å opplyse Leverandøren om de aktuelle kravene. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Forholdt til ny Sikkerhetslov I den grad ny Sikkerhetslov jf.nou 2016: 19 «Samhandling for sikkerhet» medfører endrede krav til drift av Oslo kommunes IKT virksomhet, vil Leverandøren og dennes underleverandører måtte forholde seg til de endrede kravene og plikter bistå til å oppfylle disse. Leverandøren har et styringssystem for informasjonssikkerhet (ISO27001 eller tilsvarende 2 ) som dokumenterer leverandørens rutiner og 2 Styringssystemet gir som minimum en beskrivelse av: Sikkerhetsorganisasjon med oversikt over ansvar og roller for sikkerhet hos Leverandøren Sikkerhetsmål og strategi for informasjonssikkerhet Krav og tiltak for informasjonssikkerhet, herunder bl.a. sikkerhetsledelse, risikostyring, tilgangskontroll, fysisk sikkerhet, forhold til andre virksomheter, sikkerhetsdokumentasjon, personellsikkerhet, oppfølging og kontroll Styringssystemet omfatter relevante underleverandører. 28

29 Veiledende bilag til tiltak for internkontroll og etterlevelse av personopplysningsforskriften kapittel 2 og Norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Styringssystemet skal på anmodning gjøres tilgjengelig for Kunden. D-8.4 D-8.5 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Leverandøren skal regelmessig gjennomføre risikovurdering av tjenesteleveransen iht. leverandørens styringssystem. Dokumentet forelegges Kunden, senest innen 10 dager fra avtalt halvårsgjennomgang, hendelser mv E Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. D-8.6 Leverandøren skal gjennomføre jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos alle underleverandører eller andre som opptrer på vegne av underleverandøren. Revisjonene gjennomføres minimum en gang per år, samt i forbindelse med utbedring etter alvorlige hendelser, større endringer 29

30 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til av betydning for informasjonssikkerhet, avdekking av alvorlige nye sårbarheter mv. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avdekker revisjon eller risikovurderinger avvik i forhold til forsvarlig informasjonssikkerhet og gjeldende norsk rett, plikter Leverandøren å utbedre disse snarest og senest innen 30 dager. D-8.7 Kravene til informasjonssikkerhet gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalens punkt 9.2 informasjonssikkerhet Tabell D-9 Særskilte krav til dokumentasjon i forbindelse med informasjonssikkerhet (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kommentar/Ref. D-9.1 Leverandørens kontrollerende sikkerhetsledelse er ansvarlig for at det gjennomføres jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos 30

31 Veiledende bilag til eventuelle underleverandører generelt, og spesielt for det som berører tilbudt løsning. Revisjonene gjennomføres minimum en gang per år. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.2 Leverandøren gjennomfører risikovurderinger minimum en gang per år, samt i forbindelse med særskilte hendelser som sikkerhetsbrudd, endringer av betydning for informasjonssikkerhet, nye sårbarheter mv. Resultatet av risikovurderinger gjøres tilgjengelig for Kunden på forespørsel, og ved resultat som avdekker risiko utover fastsatt akseptabelt nivå. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.3 Leverandøren gir Kunden, eller en 3. part valgt av Kunden, tilgang til å gjennomføre risikovurdering og/eller revisjon av informasjonssikkerhet relatert organisering, forvaltning og drift av egen løsning. D-9.4 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå og forelegger Kunden dette ved forespørsel. Avtalens punkt 9.3 Personopplysninger Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv, angis her. 31

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon

3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon 1 Innhold 1 INNLEDNING... 3 1.1 BESKRIVELSE BILAG 1... 3 2 AVTALENS OMFANG... 4 2.1 KUNDENS FORMÅL MED AVTALEN... 4 3 KRAV TIL DRIFT AV TILBUDT

Detaljer

SSA-D Bilag 1. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon

SSA-D Bilag 1. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon Driftsavtalen (SSA-D) Bilag : Kundens kravspesifikasjon Innhold INNLEDNING.... BESKRIVELSE BILAG.... KRAVTABELL... AVTALENS OMFANG... 4. KUNDENS FORMÅL MED AVTALEN... 4 KRAV TIL DRIFT AV TILBUDT LØSNING...

Detaljer

Bilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON. Administrativt system for skole og SFO

Bilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON. Administrativt system for skole og SFO Bilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON Administrativt system for skole og SFO SAK NR.: 15/05314 1 Kravmatrise Spesifikasjon av krav Skal (S) Bør (B) Kravet MÅ tilfredsstilles.

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Veiledende bilag til SSA-D Driftsavtalen versjon 2015

Veiledende bilag til SSA-D Driftsavtalen versjon 2015 Driftsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 2: Leverandørens løsningsspesifikasjon... 4 Bilag 3: Beskrivelse av det som skal driftes... 5 Bilag 4: Prosjekt- og fremdriftsplan

Detaljer

Veiledende bilag til SSA-D Driftsavtalen versjon 2015

Veiledende bilag til SSA-D Driftsavtalen versjon 2015 Driftsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 2: Leverandørens løsningsspesifikasjon... 4 Bilag 3: Beskrivelse av det som skal driftes... Feil! Bokmerke er ikke definert.

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

2B - SSA-V Bilag 1 Kundens kravspesifikasjon. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon

2B - SSA-V Bilag 1 Kundens kravspesifikasjon. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon 1 Innhold 1 INNLEDNING... 3 1.1 BESKRIVELSE BILAG 1... 3 1.2 KRAVTABELL... 3 2 AVTALENS OMFANG... 4 2.1 KUNDENS FORMÅL MED AVTALEN... 4 3

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Veiledende bilag til SSA-V Vedlikeholdsavtalen versjon 2015

Veiledende bilag til SSA-V Vedlikeholdsavtalen versjon 2015 Vedlikeholdsavtalen versjon 2015 Innhold: Bilag 1: Nittedal kommunes kravspesifikasjon (krav til vedlikeholdstjenesten)... 2 Bilag 2: Leverandørens løsningsspesifikasjon (beskrivelse av vedlikeholdstjenesten)...

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

SSA-V Bilag 1: Kundens kravspesifikasjon. "Digital døgnåpen forvaltning" - Ny portalløsning for Fosenkommunene

SSA-V Bilag 1: Kundens kravspesifikasjon. Digital døgnåpen forvaltning - Ny portalløsning for Fosenkommunene SS-V Bilag 1: Kundens kravspesifikasjon "Digital døgnåpen forvaltning" - Ny portalløsning for Fosenkommunene Innhold 1 Innledning... 3 1.1 Oppbygning av dokumentet... 3 1.2 vtalens omfang... 3 1.3 Generelle

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Bilag 6 Vedlegg 3 Definisjoner

Bilag 6 Vedlegg 3 Definisjoner Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon

Detaljer

IT Service Management i Statens Standardavtale for drift (SSA-D) DnD seminar Oslo 23. mars 2017 Bård-Erik Evensen

IT Service Management i Statens Standardavtale for drift (SSA-D) DnD seminar Oslo 23. mars 2017 Bård-Erik Evensen IT Service Management i Statens Standardavtale for drift (SSA-D) DnD seminar Oslo 23. mars 2017 Bård-Erik Evensen Vet du hva som står i SSA-D (2015) som du kan bruke direkte, eller bygge videre på, for

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Bilag 1 Utstyr og/eller programvare som skal vedlikeholdes Her angis det utstyr og/eller programvare som vedlikeholdstjenesten omfatter.

Bilag 1 Utstyr og/eller programvare som skal vedlikeholdes Her angis det utstyr og/eller programvare som vedlikeholdstjenesten omfatter. Bilag 1 Utstyr og/eller programvare som skal vedlikeholdes Her angis det utstyr og/eller programvare som vedlikeholdstjenesten omfatter. Beskrivelse/navn Rammeavtalen gjelder bistand til APEX programmering

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Presentasjon av nye bilagsmaler

Presentasjon av nye bilagsmaler Presentasjon av nye bilagsmaler Hvorfor veiledende bilag? - Og hva er egentlig nytt? Mari Benkow/avdeling for offentlige anskaffelser/team IKT Standardavtaler og bilagsmaler- et godt utgangspunkt Standard

Detaljer

Avtale mellom Utviklings- og kompetanseetaten og Leverandør: SafeComs sikre utskriftsløsning. SSA-K, Bilag 1: Kravspesifikasjon

Avtale mellom Utviklings- og kompetanseetaten og Leverandør: SafeComs sikre utskriftsløsning. SSA-K, Bilag 1: Kravspesifikasjon Avtale mellom Utviklings- og kompetanseetaten og Leverandør: SafeComs sikre utskriftsløsning SSA-K, Bilag 1: Kravspesifikasjon SSA- K Bilag 1 Side 1 Innholdsfortegnelse Innholdsfortegnelse... 2 1. Om avtalen...

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår UNDER FØLGER BILAG TIL AVTALEN. ALL UTFYLLING GJØRES I VEDLEGG 7 OG 8 OG FLYTTES INN I FRA VALGTE LEVERANDØRS TILBUD TIL KORREKT BILAG I AVTALEN FØR SIGNERING. SaaS-avtale Bilag 1 Omforenet spesifikasjon

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Praktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi

Praktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi Praktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi Tema for innlegget Overordnet innføring i avtalen Erfaringer - basert på bruk i praksis og tilbakemeldinger på

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

SSA-V Bilag 1 Kundens kravspesifikasjon KGV/KAV. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon

SSA-V Bilag 1 Kundens kravspesifikasjon KGV/KAV. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon Vedlikeholdsavtalen (SSA-V) Bilag : Kundens kravspesifikasjon Innhold INNLEDNING.... BESKRIVELSE BILAG.... KRAVTABELL... AVTALENS OMFANG... 5. KUNDENS FORMÅL MED AVTALEN... 5 KRAV TIL VEDLIKEHOLD AV LØSNING...

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Avtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 1 og Bilagene 3-9:

Avtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 1 og Bilagene 3-9: Avtale mellom Utviklings- og kompetanseetaten og Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 1 og Bilagene 3-9: Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 3:

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Lagring av forskningsdata i Tjeneste for

Lagring av forskningsdata i Tjeneste for AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Databehandleravtale Lagring av forskningsdata i Tjeneste for Sensitive Data 1 l 1. Avtalens parter 1.1 Parter Avtalen inngås mellom databehandlingsansvarlig:

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:

Detaljer

Avtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester.

Avtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester. Avtale mellom Utviklings- og kompetanseetaten og Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 2: Leverandørens beskrivelse av leveransen Bilag 1-10 Side 1 Veiledende bilag

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Oslo kommune Velferdsetaten Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Velferdsetaten Org.nr: behandlingsansvarlig og Org.nr.:

Detaljer

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2. Databehandleravtale for Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Vedlegg 10 Databehandleravtale Versjon 2.4 Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Avtaleskisse

Detaljer

VMAN Trådløst - bilag til SSA-V lille vedlikeholdsavtale

VMAN Trådløst - bilag til SSA-V lille vedlikeholdsavtale Bilag til Den lille Vedlikeholdsavtalen Avtale om vedlikehold og service av utstyr og programvare i mindre omfang Statens standardavtaler for IT-anskaffelser SSA-V lille Vedlikehold HW/ SW VMAN Trådløst

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 3.0 Dato: 15.12.2010 Målgruppe Dette faktaarket er

Detaljer

SSA-V Bilag 1. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon

SSA-V Bilag 1. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon SS-V Bilag Vedlikeholdsavtalen (SS-V) Bilag : Kundens kravspesifikasjon SS-V Bilag Dokumenthistorikk Versjon Dato Beskrivelse av endring Forfatter(e) 0.8 08.2 20 Dokumentet som ble sendt ut på innspillsrunden

Detaljer

Kundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet

Kundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet Bilag 1 til vedlikeholdsavtalen Kundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet Side 2 av 14 Innhold 1 KRAV TIL VEDLIKEHOLDSAVTALE... 3 1.1 KRAV TIL BRUKERSTØTTE OG OPPFØLGING.3 1.2

Detaljer

Bilag 1: Kundens kravspesifikasjon FoU og Innovasjonsleder Bygg21

Bilag 1: Kundens kravspesifikasjon FoU og Innovasjonsleder Bygg21 Bilag 1: Kundens kravspesifikasjon FoU og Innovasjonsleder Bygg21 Avtalens punkt 1.1: Avtalens omfang Anskaffelsens mål/formål Å engasjere en senior ressurs for å samordne, involvere og utfordre bygg og

Detaljer

e-læringsprogram for prosjektledelse Endringer i den generelle avtaleteksten Bilag 6

e-læringsprogram for prosjektledelse Endringer i den generelle avtaleteksten Bilag 6 e-læringsprogram for prosjektledelse Endringer i den generelle avtaleteksten Bilag 6 Anskaffelsesnummer: 14/0038 Saksnummer: 2014/00380 Difis kontaktperson: Herman Valen Innhold 1 Innledning... 3 1.1 Formålet

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Veiledende bilag til SSA-V Vedlikeholdsavtalen versjon 2015

Veiledende bilag til SSA-V Vedlikeholdsavtalen versjon 2015 Vedlikeholdsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon (krav til vedlikeholdstjenesten)... 2 Bilag 2: Leverandørens løsningsspesifikasjon (beskrivelse av vedlikeholdstjenesten)...

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

Avtale mellom Utviklings- og kompetanseetaten og Leverandør: Drift av fasttelefoni Bilag 5: Tjenestenivå med standardiserte kompensasjoner

Avtale mellom Utviklings- og kompetanseetaten og Leverandør: Drift av fasttelefoni Bilag 5: Tjenestenivå med standardiserte kompensasjoner Avtale mellom Utviklings- og kompetanseetaten og Leverandør: Drift av fasttelefoni Bilag 5: Tjenestenivå med standardiserte kompensasjoner Bilag 5 Side 1 Innhold 1 GENERELLE BESTEMMELSER... 3 1.1 AVREGNINGSPERIODE...

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

SSA V, Den store vedlikeholdsavtalen

SSA V, Den store vedlikeholdsavtalen SS V, Den store vedlikeholdsavtalen ilag 1: Kundens kravspesifikasjon Løsning for ny portal Rana kommune Innhold 1.1. Oppbygging av dokumentet 1.2. Mål og omfang 1.3. Juridiske rammebetingelser 1.4. Sikkerhet

Detaljer

Veiledende bilag til SSA-K Kjøpsavtalen versjon 2015

Veiledende bilag til SSA-K Kjøpsavtalen versjon 2015 Kjøpsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 2: Leverandørens beskrivelse av leveransen... 3 Bilag 3: Kundens tekniske plattform... 4 Bilag 4: Leveringstidspunkt og

Detaljer

SSA 2015. Gjennomføring av leveransen i SSA-T og SSA-D. seniorrådgiver Mari Vestre, Difi

SSA 2015. Gjennomføring av leveransen i SSA-T og SSA-D. seniorrådgiver Mari Vestre, Difi SSA 2015 Gjennomføring av leveransen i SSA-T og SSA-D seniorrådgiver Mari Vestre, Difi Mål med endringene i gjennomføring av leveransen i SSA-T og SSA-D Legge til rette for mindre detaljerte kravspesifikasjoner

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale mellom Behandlingsansvarlig Tjenesteleverandøren Iris skolefoto as Postboks

Detaljer

Dataforeningens kontraktsstandard for IT-drift. Del III - Bilag

Dataforeningens kontraktsstandard for IT-drift. Del III - Bilag Dataforeningens kontraktsstandard for IT-drift Del III - Bilag DEN NORSKE DATAFORENING Versjon : 1.0 Dato oppdatert : 03.12.2008 Kunde: Leverandør:USIT Driftsavtale nr.: Parafering: / Dataforeningens kontraktsstandard

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Vedlikehold datalagringsløsning. Bilag 1, vedlikeholdsavtalen Kundens kravspesifikasjon Versjon 1.0. Saksnr:

Vedlikehold datalagringsløsning. Bilag 1, vedlikeholdsavtalen Kundens kravspesifikasjon Versjon 1.0. Saksnr: sløsning Bilag 1, vedlikeholdsavtalen Kundens kravspesifikasjon Versjon 1.0 Saksnr: 201000157 versjon 1.0 Utdypende spesifikasjon av ytelsen og tjenestenivå INNHOLDSFORTEGNELSE 1 INNLEDNING... 3 2 BAKGRUNN...

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Veiledende bilag til SSA-K Kjøpsavtalen versjon 2015

Veiledende bilag til SSA-K Kjøpsavtalen versjon 2015 Kjøpsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 2: Leverandørens beskrivelse av leveransen... 3 Bilag 3: Kundens tekniske plattform... 4 Bilag 4: Leveringstidspunkt og

Detaljer

Hvilke punkter i avtalene bør man være oppmerksom på?

Hvilke punkter i avtalene bør man være oppmerksom på? Hvilke punkter i avtalene bør man være oppmerksom på? SSA-konferansen 11. mars 2009 advokat Ingvild Hanssen-Bauer ihb@wr.no WIKBORG REIN 1 Innledning Utgangspunkt i kjøpsavtalen og de viktigste endringene

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Bilag 1 Kundens kravspesifikasjon

Bilag 1 Kundens kravspesifikasjon Bilag 1 Kundens kravspesifikasjon I bilaget skal Kunden spesifisere utstyr, programvare og/eller andre ytelser ( leveransen ) som skal anskaffes etter avtalen. Kunden skal på bakgrunn av sine formål og

Detaljer

Avtale om bruk av KS SvarUt

Avtale om bruk av KS SvarUt Avtale om bruk av KS SvarUt mellom Ørland kommune (heretter kalt Oppdragsgiveren) og KS KommIT (heretter kalt Leverandøren) Side 1 av 7 avtale ks svarut.docx Innhold Innhold... 2 Avtalens formål... 3 Formål...

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Fagkurs for kommuner Ansvar og avtaler (45 minutter) Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1 Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess

Detaljer

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite BILAG 1 PRINSIPPSKISSE FOR TJENESTEN BILAG 2 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Bilag 1 Kundens kravspesifikasjon

Bilag 1 Kundens kravspesifikasjon ilag 1 Kundens spesifikasjon Mobil datatrafikk SS-D ilag 1 Kundens spesifikasjon Mobil datatrafikk v.0.1 Side 1 av 11 Innholdsfortegnelse 1 KUNDENS KRVSPESIFIKSJON... 3 1.1 Omfang... 3 1.2 esvarelsen...

Detaljer

DRIFT OG VEDLIKEHOLD PASIENTVARSLINGSSYSTEM

DRIFT OG VEDLIKEHOLD PASIENTVARSLINGSSYSTEM VEDLEGG 05 DRIFT OG VEDLIKEHOLD PSIENTVRSLINGSSYSTEM OVERHLL OG FOSNES KOMMUNER 1.0 Generelle krav Leverandøren vil ha et overordnet ansvar for drift og forvaltning av kundens pasientvarslingssystem. Krav

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Osen kommune behandlingsansvarlig

Detaljer

TJENESTENIVÅ MED STANDARDISERTE PRISAVSLAG

TJENESTENIVÅ MED STANDARDISERTE PRISAVSLAG DRIFTSAVTALEN BILAG 5: TJENESTENIVÅ MED STANDARDISERTE PRISAVSLAG 1 FEIL OG MANGLER Dersom Kunden blir oppmerksom på feil i Driftsløsningen, skal Kunden melde fra om dette til Leverandørens brukerstøttesenter

Detaljer

SSA-T Bilag 1 Vedlegg 01 Veiledning kravtabeller og prismatrise. Tilpasningsavtalen(SSA-T) Bilag 1 Vedlegg 01: Veiledning kravtabeller og prismatrise

SSA-T Bilag 1 Vedlegg 01 Veiledning kravtabeller og prismatrise. Tilpasningsavtalen(SSA-T) Bilag 1 Vedlegg 01: Veiledning kravtabeller og prismatrise Tilpasningsavtalen(SSA-T) Bilag 1 Vedlegg 01: Veiledning kravtabeller og prismatrise 1 Innhold 1.1. Utfylling av kravtabeller... 3 1.1.1. Generelt... 3 1.1.2. Kravkoder og svarkoder... 3 1.2. Prismatrise...

Detaljer

IKT-verktøy for Kvalitetsstyring og internkontroll

IKT-verktøy for Kvalitetsstyring og internkontroll Oslo kommune Byrådsavdelingen for Eldre, Helse og sosiale tjenester IKT-verktøy for Kvalitetsstyring og internkontroll Bilag 1-10 til SSA-V, versjon 2015 Side 1 av 21 Veiledende bilag til SSA-V Vedlikeholdsavtalen

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS

Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS Retningslinjene er hjemlet i Samarbeidsavtale mellom Oslo

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

SSA - V Bilag 1 Kundens Kravspesifikasjon

SSA - V Bilag 1 Kundens Kravspesifikasjon SS - V Bilag 1 Kundens Kravspesifikasjon Hvordan fylle ut Er fylt ut av Kunde Beskrivelse av krav. Er fylt ut av Kunde /B Er fylt ut av Kunde 1.3 Generellel krav 1.3.1 Leverandøren må levere driftsdokumentasjon

Detaljer

Styret Helse Sør-Øst RHF 14. desember 2017

Styret Helse Sør-Øst RHF 14. desember 2017 Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. desember 2017 SAK NR 122-2017 ORIENTERINGSSAK - INFORMASJONSSIKKERHET OG PERSONVERN. NY PERSONVERNLOVGIVNING I EU/EØS (GDPR) Forslag til

Detaljer