Innhold: Veiledende bilag til SSA-D Driftsavtalen versjon 2015
|
|
- Lise Thorbjørnsen
- 7 år siden
- Visninger:
Transkript
1 Veiledende bilag til Veiledende bilag til Driftsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon Bilag 2: Leverandørens løsningsspesifikasjon Bilag 3: Beskrivelse av det som skal driftes Bilag 4: Prosjekt- og fremdriftsplan for etableringsfasen Bilag 5: Tjenestenivå med standardiserte kompensasjoner Bilag 7: Samlet pris og prisbestemmelser Bilag 8: Endringer i den generelle avtaleteksten Bilag 9: Endringer av driftstjenesten etter avtaleinngåelsen Bilag 10: Standardvilkår for tredjepartsleveranser 1
2 Veiledende bilag til Bilag 1: Kundens kravspesifikasjon Avtalens punkt 1.1 Avtalens omfang Avtalen omfatter sikker og stabil drift og vedlikehold av løsning for «Ressurs- og ProsesStyring med eldingstjenester (RPS)». Det tegnes en egen avtale (SSA-T) som regulerer prosjektperioden for tilpasning av løsningen som skal driftes og vedlikeholdes. Denne avtalen () er gjeldende for drifts- og vedlikeholdsperioden, samt etablering av dette. Dersom leverandøren tilbyr en SaaS-tjeneste skal den inkludere følgende tjenester: Tilgang til tjenesten, vedlikehold og drift av SaaS-tjenesten i henhold til avtalte tjenestenivåer, herunder ivaretakelse av informasjonssikkerheten. Brukerstøtte Feilretting Bistand i avtaleperioden Dersom leverandøren tilbyr en applikasjon med drift hos Kunden, skal avtalen omfatte: Vedlikehold Brukerstøtte Feilretting Bistand i avtaleperioden Kravtabeller Under kolonnen kategori er det to typer av krav: inimumskrav (definert som krav) og evalueringskrav (definert som E krav). Hvordan disse kravene skal besvares må sees i sammenheng med hva som er definert i etterfølgende kolonne utdypes. i kolonnen kategori betyr at kravet er et minimumskrav som må oppfylles av Leverandøren. -krav uten krav til Leverandørens utdypning vil vurderes som oppfylt eller ikke (ja/nei). -krav med krav til Leverandørens utdypning vil også vurderes som oppfylt eller ikke (ja/nei), og utdypningen vil dokumentere om kravet er oppfylt eller ikke. -krav som ikke er oppfylt kan medføre avvisning av tilbudet. E i kolonnen kategori betyr at kravet er et evalueringskrav, dvs. at besvarelsen av kravet vil inngå i evalueringen av tilbudet i henhold til tildelingskriteriene, jf. konkurransegrunnlaget. 2
3 Veiledende bilag til Nedenfor er det tabeller som Leverandør svarer opp i bilag 2. Tabellene er kravtabeller og knyttet til ulike punkter i avtalen. Felles for alle tabellene er at de omfattes av det som er Kundens kravspesifikasjon. Tabell D-1 Krav til leveransen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav Beskrivelse Kategori Utdypes nr D-1.1 Løsningen videreutvikles med hensiktsmessig bruk av tilgjengelige funksjonelle byggeklosser som er etablert i Oslo kommune og ITAS for grensesnitt mellom ulike systemer. Se SSA-T Bilag 3. E D-1.2 Forholdet til underleverandører og tredjeparter som Leverandøren benytter til oppfyllelse av avtalen: Leverandøren plikter å påse at alle underleverandører og alle tredjeparter er kjent med og etterlever alle kravene som påhviler leverandøren iht. avtalen. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparter som benyttes i avtalen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-2 Krav til åpningstider, ytelse, tilgjengelighet: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Krav nr D-2.1 D-2.2 D-2.3 D-2.4 D-2.5 Beskrivelse Tjenestenivået kan for enkelte perioder utvides til også å gjelde utenfor ordinær arbeidstid som beskrevet av Leverandøren. Dette vil bestilles av Kunden etter behov. Løsningen er døgnåpen men avtalt tilgjengelighet reguleres i bilag 5. Kunden ønsker å benytte Leverandørens standard tjenestenivåavtale, og ber Leverandøren fylle ut bilag 5 som del av sitt tilbud. Tjenesten skal være tilgjengelig for brukerne i 99,5% pr. måned (ref. bilag 5). Leverandørens Reaksjonstid skal på A feil være umiddelbart i arbeidstiden, for B feil maksimalt 15 minutter i arbeidstiden og for C feil maksimalt 60 min i arbeidstiden (ref. bilag 5). Kategori 3
4 Veiledende bilag til Tabell D-3 Krav til sikkerhet, rutiner og metoder (tildelingskriterium nr. 2 Gjennomføring) Gjelder SaaS-leverandører: Krav nr Beskrivelse Kategori Utdypes D-3.1 Leverandøren etterlever Kundens instruks for informasjonssikkerhet. Se Del C, vedlegg 2 Instruks for informasjonssikkerhet i Oslo Kommune. E D-3.2 Leverandøren har dokumenterte rutiner for opplæring av personell som sikrer at personellet til enhver tid har oppdatert kunnskap og kompetanse for å utføre sine oppgaver på en sikkerhetsmessig forsvarlig måte. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.3 Leverandøren forsikrer seg om at det er implementert tilstrekkelige fysiske sikringstiltak for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon. Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.4 Løsningen har mekanismer som sikrer at en systemmessig feilsituasjon eller en krisesituasjon ikke skal påvirke tilgjengelighet av løsningen. D-3.5 Leverandøren benytter en anerkjent drifts- og forvaltningsmetodikk. Det er beskrevet i bilag 4 som viser hvordan metodikken benyttes. D-3.6 Leverandøren overvåker og monitorerer driftsløsningen for å forebygge, oppdage og redusere skade som følge av feil, manipulering og uautoriserte handlinger. Uønskede hendelser logges av Leverandøren og meldes uten opphold til Kunden. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.7 Løsningen skal være tilgjengelig i henhold til tjenestenivå definert i Bilag 5 (Responstider). E D-3.8 Leverandøren har dokumenterte rutiner for autorisasjon av Leverandørens personell som skal ha tilgang til Kundens data. Som et minimum skal autorisasjonen angi hvilke IT-systemer, programrutiner og dataelementer Leverandørens ansatte til enhver tid har lovlig tilgang til og hvilke operasjoner disse har lov til å utføre. D-3.9 Leverandøren har fysiske sikringstiltak og rutiner for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon, for å sikre seg mot uønsket fysisk tilgang til områder og utstyr som benyttes for å utføre tjenesten for kunden 4
5 Veiledende bilag til Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskrivelse: Leverandøren beskriver etablerte sikringstiltak. D-3.10 Leverandøren har tiltak som sikrer at kundens data er adskilt fra andre kunders data, og at andre enn kunden ikke har tilgang til kundens data. Beskrivelse: Leverandøren beskriver hvordan D-3.11 Leverandøren har dokumenterte rutiner for autorisasjon og tilbaketrekking av autorisasjon av Leverandørens personell og personell til underleverandører eller andre som opptrer på vegne av underleverandøren og som skal ha tilgang til Kundens data og annen informasjon av betydning for informasjonssikkerheten. Fellesbrukere skal aldri benyttes. Oppdatert liste over hvilke type rettigheter og tilganger Leverandørens personell har til Kundens data og informasjon, skal fremlegges Kunden på forespørsel. Dokumentasjon skal inneholde opplysninger om tidsintervaller, hvem som er autorisert, type privilegier o.l. Beskrivelse: Leverandøren beskriver D-3.12 Leverandøren må være forberedt på at driftspersonell for deler av kundens driftsmiljøer vil måtte kunne fremvise politiattest eller måtte kunne sikkerhetsklareres. Dette vil f.eks. gjelde hvis nåværende eller fremtidig lovregulering som regulerer den virksomhet som driftes i det aktuelle driftsmiljøet forutsetter politiattest/sikkerhetsklarering for personell som gis innsyn i virksomhetens lagret informasjon. D-3.13 Leverandøren skal ha funksjonalitet som sikrer at så vel oppslag/lesetilgang til data som editering og sletting av data som utføres av Leverandøren eller andre som opptrer på vegne av underleverandøren logges. Beskrivelse: Leverandøren beskriver D-3-14 Leverandøren, underleverandører eller andre som opptrer på vegne av underleverandøren, skal ha en prosess for feilretting og utbedring av sårbarheter, inkludert sikkerhetstiltak og sikkerhetspatching, som beskriver hvordan leverandør sikrer at nødvendige sikkerhetstiltak og sikkerhetspatching til enhver tid gjennomføres uten ugrunnet opphold jf i. Beskrivelse: Leverandøren beskriver prosessen. D-3.15 Leverandøren har rutine for å sikre samspillet og 5
6 Veiledende bilag til ansvarsdelingen mellom Kunde og Leverandør, herunder underleverandører eller andre som opptrer på vegne av underleverandøren, ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D-3.16 Leverandøren sørger for at integrasjon mot andre systemer og andre kundespesifikke tilpasninger i løsningen blir ivaretatt ved vedlikehold/endringer/oppgraderinger av tjenesten. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D-3.17 Ved vedlikehold/endringer/oppgraderinger av tjenesten oppdateres all tilhørende dokumentasjon. D-3.18 Eventuelle feil og mangler i dokumentasjon likestilles med feil og mangler i programvaren og gir tilsvarende rett til standardisert prisavslag jfr. Bilag 5. D-3.19 Leverandør gir Kunden tid og mulighet for å teste endringer /feilrettinger / ny funksjonalitet i løsningen før driftssetting. Beskrivelse: Leverandøren beskriver. D-3.20 Leverandøren skal ha en prosess og løsning som sikrer tilgjengelighet til data, og mekanismer for til enhver tid å kunne gjenopprette data. anglende gjenoppretting av data, etter fristen medfører rett til standardisert prisavslag, jfr. Bilag 5. Beskrivelse: Leverandør beskriver prosess og løsning inkludert garanti for gjenopprettingstid av data. D-3.21 Leverandøren rapporterer månedlig på følgende parametere: Tilgjengelighet til løsningen (tjenesten tilgjengelig for brukerne): Nedetid i antall timer pr. måned Leverandør dokumenterer tilgjengelighet, og hvorfor leverandør eventuelt mener at nedetid ikke skyldes leverandøren. Retting av feil og håndtering av uønskede hendelser Tid fra mottatt feilmelding til start av løsningsarbeid Løsningstid Endringsforespørsler Tid for tilbud med løsningstid Brukerstøtte 6
7 Veiledende bilag til Svartid for henvendelser Risikovurderinger av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. Interne revisjoner av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. gjennomføringen av tiltak som er nødvendige for å etablere og opprettholde forsvarlig informasjonssikkerhet med utgangspunkt i leverandørens informasjonssikkerhetspolicy og resultatet av de risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. D-3.22 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-4 Krav til bistand (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-4.1 Leverandøren tilbyr utvidet beredskap i kritiske faser mot vederlag som spesifiseres i Bilag 7. Tabell D-5 Krav til vedlikehold av løsning (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-5.1 Leverandøren sikrer at løsningen holder tritt med teknologiutviklingen og beskriver hvilke planer som foreligger mht. løsningens fremtidige videreutvikling. Beskriver: Leverandøren beskriver hvordan dette er 7
8 Veiledende bilag til tenkt gjennomført. D-5.2 Dersom utviklet funksjonalitet ikke inngår som en del av et standardsystem, tilbyr Leverandøren vedlikehold på utviklet funksjonalitet slik at løsningen/tjenesten fungerer som forutsatt under hele avtalens varighet. D-5.3 Leverandøren holder Kunden løpende oppdatert med hensyn til sine utviklingsplaner. D-5.4 Leverandøren holder seg orientert om endringer innen aktuelle lover, forskrifter og myndighetskrav, samt sikrer at Kunden kan overholde relevante lover, forskrifter og føringsskriv fra sentral myndighet løpende gjennom kontraktstidens varighet. D-5.5 Ved videreutvikling av løsningen har oppfyllelse av myndighetskrav høyeste prioritet. Kunden skal tilbys ny funksjonalitet slik at det gis rimelig tid til testing, opplæring og implementering før nye krav trer i kraft. D-5.6 Løsningen videreutvikles for å beholde god ytelse med responstider i henhold til etablert baseline. D-5.7 Leverandøren beskriver prosessen, samspillet og ansvarsfordelingen mellom Kunde og Leverandør ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.8 Leverandøren sørger for at integrasjon mot andre systemer blir ivaretatt ved oppgradering/endringer i tjenesten. D-5.9 Ved oppdatering av løsningen er også all nødvendig dokumentasjon oppdatert. D Leverandøren yter brukerstøtte overfor Kunden i avtaleperioden, se bilag 5. Leverandøren beskriver sin brukerstøttetjeneste inkludert ev. støtteverktøy som brukes i denne forbindelsen. D Leverandøren håndterer alle avvik som meldes fra Kunden i henhold til avtalt tjenestenivå, og alle feil skal rettes i henhold til krav i bilag 5. E D Leverandør gir Kunden tilgang til verifisering og godkjenning av funksjoner og endringer før drifts-setting av nye versjoner. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D Leverandør gir Kunden tilgang til å gjenskape hendelser som kan kreve feilretting. D- Ved oppslag fra et bilde/felt vises hjelpeinformasjon knyttet 8
9 Veiledende bilag til 5.14 til aktuelt bilde/felt. Avtalens punkt 4.4 Avslutning av avtalen Dersom Kunden ønsker å spesifisere hvilken informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje, skal dette fremkomme her. Informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje: Kunden skal eie alle data og kunne få disse utlevert eller slettet på forespørsel. Ved avslutning av avtaleforholdet skal alle data overføres kostnadsfritt til Kunden, på et anerkjent og standard avtalt format som egner seg for enklest mulig dataoverføring til Kunden og/eller tredjepart. Leverandøren skal slette data på en sikker måte. Se ellers Del C, Vedlegg 12 Databehandleravtale for behandling av personopplysninger. Tabell D-6 Avslutning av avtalen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-6.1 Ved utløpet av avtalen skal Kundens data og tilhørende dataarkitektur overleveres til Kunden på et åpent format kunde og leverandør blir enige om. Kunden skal videre gis tilgang til nødvendige versjoner av aktuell programvare for å kunne lese og behandle dataene. E D-6.2 Ved avslutning av avtalen skal leverandør slette alle data som har vært registrert i løsningen på Leverandørens utstyr, etter at krav D-6.1 er bekreftet gjennomført av Kunde. E Avtalens punkt 5.1 Leverandørens ansvar for sine ytelser Dersom Kunden ønsker å stille krav til at Leverandøren skal følge gitte standarder eller kvalitetssystemer, skal dette fremgå her. Det samme gjelder eventuelle krav om Leverandørens dokumentasjon av hvordan standarder eller kvalitetssystemer følges. Kunden skal beskrive krav til Leverandørens samordning, styring og koordinering av arbeidet mellom de ulike aktører/leverandører som har betydning for driftstjenesten i forbindelse med etablering, testing og drift. 9
10 Veiledende bilag til Dersom Leverandøren ikke skal ha totalansvar for livssyklusforvaltning av utstyr, programvare og andre ytelser som er nødvendig for å opprettholde avtalt tjenestenivå, skal Kunden spesifisere dette her. Kunden skal spesifisere hvilke tredjepartsleveranser som Leverandøren skal administrere på vegne av Kunden her. Lisensbetingelsene skal vedlegges i bilag 10. Tabell D-7 Krav til standarder eller kvalitetssystemer som Leverandøren skal følge. (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-7.1 Løsningen må støtte de dominerende nettleserne i markedet. Kunden benytter i dag hovedsakelig IE10/11, Firefox og Google Chrome som oppdateres jevnlig. Beskrivelse: Leverandør beskriver hvilke nettlesere som støttes. D-7.2 D-7.3 D-7.4 Leverandøren og løsningen tilfredsstiller kravene i norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Se Del C, vedlegg 11. Løsningen er basert på åpne eller godkjente tekniske standarder og tilfredsstiller gjeldende godkjente produkter, GPL, i Oslo kommune infrastruktur (se Bilag 3,). Løsningen tilfredsstiller standarder spesifisert i Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. E Avtalens punkt 9.1 Eksterne rettslige krav og tiltak generelt Kunden skal identifisere hvilke rettslige eller partsspesifikke krav som har relevans for inngåelse og gjennomføring av denne avtalen. Kunden skal konkretisere relevante krav her. Tabell D-8 Krav vedr. eksterne rettslige krav og tiltak (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-8.1 Løsningen driftes og vedlikeholdes med det formål at Oslo kommune over tid kan oppfylle de forpliktelser som påhviler dem gjennom lov og forskriftsmessige krav. Leverandøren er ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med generell krav i norsk lovgivning som gjelder for IKT systemer. Oppdateringer skal gjøres slik at disse er 10
11 Veiledende bilag til D-8.2 D-8.3 D-8.4 D-8.5 implementert innen aktuell lovgivnings ikrafttredelse. Leverandøren er tilsvarende ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med spesielle krav som gjelder for den aktuelle virksomhet i Oslo kommune, dog slik at Kunden er ansvarlig for å opplyse Leverandøren om de aktuelle kravene. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Forholdt til ny Sikkerhetslov I den grad ny Sikkerhetslov jf.nou 2016: 19 «Samhandling for sikkerhet» medfører endrede krav til drift av Oslo kommunes IKT virksomhet, vil Leverandøren og dennes underleverandører måtte forholde seg til de endrede kravene og plikter bistå til å oppfylle disse. Leverandøren har et styringssystem for informasjonssikkerhet (ISO27001 eller tilsvarende 1 ) som dokumenterer leverandørens rutiner og tiltak for internkontroll og etterlevelse av personopplysningsforskriften kapittel 2 og Norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Styringssystemet skal på anmodning gjøres tilgjengelig for Kunden. Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Leverandøren skal regelmessig gjennomføre risikovurdering av tjenesteleveransen iht. leverandørens styringssystem. Dokumentet forelegges Kunden, senest innen 10 dager fra avtalt halvårsgjennomgang, hendelser mv E Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. D-8.6 Leverandøren skal gjennomføre jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos alle underleverandører eller andre som opptrer 1 Styringssystemet gir som minimum en beskrivelse av: Sikkerhetsorganisasjon med oversikt over ansvar og roller for sikkerhet hos Leverandøren Sikkerhetsmål og strategi for informasjonssikkerhet Krav og tiltak for informasjonssikkerhet, herunder bl.a. sikkerhetsledelse, risikostyring, tilgangskontroll, fysisk sikkerhet, forhold til andre virksomheter, sikkerhetsdokumentasjon, personellsikkerhet, oppfølging og kontroll Styringssystemet omfatter relevante underleverandører. 11
12 Veiledende bilag til på vegne av underleverandøren. Revisjonene gjennomføres minimum en gang per år, samt i forbindelse med utbedring etter alvorlige hendelser, større endringer av betydning for informasjonssikkerhet, avdekking av alvorlige nye sårbarheter mv. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avdekker revisjon eller risikovurderinger avvik i forhold til forsvarlig informasjonssikkerhet og gjeldende norsk rett, plikter Leverandøren å utbedre disse snarest og senest innen 30 dager. D-8.7 Kravene til informasjonssikkerhet gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalens punkt 9.2 informasjonssikkerhet Tabell D-9 Særskilte krav til dokumentasjon i forbindelse med informasjonssikkerhet (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kategori Utdypes D-9.1 Leverandørens kontrollerende sikkerhetsledelse er ansvarlig for at det gjennomføres jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos eventuelle underleverandører generelt, og spesielt for det som berører tilbudt løsning. Revisjonene gjennomføres minimum en gang per år. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.2 Leverandøren gjennomfører risikovurderinger minimum en gang per år, samt i forbindelse med særskilte hendelser som sikkerhetsbrudd, endringer av betydning for informasjonssikkerhet, nye sårbarheter mv. Resultatet av risikovurderinger gjøres tilgjengelig for Kunden på forespørsel, og ved resultat som avdekker risiko utover fastsatt akseptabelt nivå. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.3 Leverandøren gir Kunden, eller en 3. part valgt av Kunden, tilgang til å gjennomføre risikovurdering og/eller revisjon av informasjonssikkerhet relatert organisering, 12
13 Veiledende bilag til forvaltning og drift av egen løsning. D-9.4 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå og forelegger Kunden dette ved forespørsel. Avtalens punkt 9.3 Personopplysninger Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv, angis her. Tabell D-10 Krav til personopplysninger (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-10.1 Leverandøren behandler personopplysninger iht. personopplysningsloven og personopplysningsforskriften. E D-10.2 Leverandøren, underleverandør eller andre som opptrer på vegne av underleverandøren er databehandler på Kundens vegne i den grad de behandler data på kundens vegne.. Leverandøren behandler personopplysninger iht. EUs personvernlovgivning, personopplysningsloven og personopplysningsforskriften, samt iht. ny personvernforordning (tekst godkjent av EU den ) etter implementering av denne. Leverandøren vil implementere eventuelle endringer/tillegg etc. som er nødvendig for å oppfylle evt. nye krav i EUs personvernforordning før denne trer i kraft. E D-10.3 Ved inngåelse av avtalen forplikter Leverandøren seg til å signere selvstendig databehandleravtale som gjengitt i Del C_Vedlegg 12. Leverandøren behandler personopplysninger i henhold til vilkår i denne avtale. Eventuelle underleverandører/tredjeparter som opptrer på vegne av Leverandør, forplikter seg til å underskrive en likelydende databehandleravtale. Databehandleravtalen skal være mottatt og godkjent av Kunde før data kan overføres til underleverandør/tredjepart. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparter som benyttes i avtalen. Etterlevelse av databehandleravtalen og de krav som E 13
14 Veiledende bilag til påhviler databehandler iht. databehandleravtalen er i sin helhet å betrakte som obligatoriske krav. D-10.4 D.10.5 All behandling av/aksessering til data/personopplysninger og lagring av data/personopplysninger skal foretas i/fra lokasjoner innenfor EØS-området, og kun i land som har gjennomført EU-direktiv 95/46/EF. Dette inkluderer også teknisk support, brukerstøtte og evt. reserveløsning. Beskrivelse: Leverandøren beskriver sin lokalisering av servere og lagringsenheter, samt hvor fra og av hvem (leverandør eller eventuelt underleverandører) data behandles. Kravene til vern av personopplysninger gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalen punkt 11.6: Rekonstruksjon av data Tabell D-11 Rutiner for sikkerhetskopiering: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kategori Utdypes D-11.1 Leverandøren har sikkerhetskopieringsløsninger som forhindrer at data går tapt i driftsløsningen. E D-11.2 Leverandøren verifiserer jevnlig innhold i sikkerhetskopier og tester gjenoppretting av data for å verifisere kvaliteten på sikkerhetskopiene. Leverandøren varsler kunden umiddelbart ved avvik. Leverandøren beskriver hvordan dette blir ivaretatt. D-11.3 Sikkerhetskopiert informasjon gis nødvendig fysisk og miljømessig beskyttelse. 14
15 Veiledende bilag til Bilag 2: Leverandørens løsningsspesifikasjon Her skal leverandøren gi sin besvarelse stilt i kravene i bilag 1. Besvarelsen gis ved å fylle ut tabellene nedenfor. Dersom besvarelsen av et krav er for omfattende for tabellen, kan leverandøren vise til utførlige beskrivelse av kravet, som plasseres etter aktuelle tabell. Det er da viktig at det fremkommer tydelig i tabellen at mer utførlig besvarelse finnes etter tabellen, og besvarelsen etter tabellen må ha tydelig henvisning til aktuelt krav. Besvarelsene bør være så kortfattede som mulig. Under kolonnen kategori er det to typer av krav: inimumskrav (definert som krav) og evalueringskrav (definert som E krav). Hvordan disse kravene skal besvares må sees i sammenheng med hva som er definert i etterfølgende kolonne utdypes. i kolonnen kategori betyr at kravet er et minimumskrav som må oppfylles av Leverandøren. -krav uten krav til Leverandørens utdypning vil vurderes som oppfylt eller ikke (ja/nei). -krav med krav til Leverandørens utdypning vil også vurderes som oppfylt eller ikke (ja/nei), og utdypningen vil dokumentere om kravet er oppfylt eller ikke. -krav som ikke er oppfylt kan medføre avvisning av tilbudet. E i kolonnen kategori betyr at kravet er et evalueringskrav, dvs. at besvarelsen av kravet vil inngå i evalueringen av tilbudet i henhold til tildelingskriteriene, jf. konkurransegrunnlaget. Kolonnen Utdypes Dette er en hjelpekolonne for å vise leverandører hvilke krav som det er kreves en utdypende besvarelse på. Ved i denne kolonnen, skal leverandøren beskrive hvordan kravet løses i tilbudt løsning i bilag 2. Krav med i denne kolonnen trenger ingen ytterligere beskrivelse utover utfylt svarkode (neste kolonne). Kolonnen Svarkode 15
16 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til I dette feltet skal leverandøren besvare i hvilken grad det aktuelle kravet oppfylles. Som utgangspunkt foreslås det å benytte svarkoder som eller«delvis» eller knyttet til oppfyllelse av enkeltkrav, Følgende tolkning legges til grunn bak de angitte svarkoder: J betyr at Leverandøren leverer denne funksjonen, aksepterer dette kravet eller dekker behovet som er beskrevet. Dette svaret forplikter Leverandøren til å levere det omfanget som gir innfrielse som er inkludert i de priser som er oppgitt. D betyr at funksjonen eller kravet er delvis inkludert i tilbudet. Det kreves da en forklaring med spesifisering av hva som er inkludert og hva som ikke støttes. Kunden må deretter tolke besvarelsen opp mot det kravet, for å se om tilbudt løsning oppfyller/ikke oppfyller kundens behov og krav. Dersom må-krav besvares med «D», kan det medføre avvisning av tilbudet. N betyr at funksjonen, behovet eller kravet ikke støttes. Dersom et må-krav besvares med «N», kan det medføre avvisning av tilbudet. Kolonnen Kommentar/ ref. Dette er en hjelpekolonne for leverandør (for å sikre at alle krav og behov blir besvart). Er det korte enkle svar på et krav som skal utdypes kan leverandøren skrive dette direkte inn i denne kolonnen, er det mer omfattende svar, kan leverandøren her sette inn henvisning til hvor kravet er besvart som vist i konkurransegrunnlaget. Tabell D-1 Krav til leveransen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-1.1 D-1.2 Løsningen videreutvikles med hensiktsmessig bruk av tilgjengelige funksjonelle byggeklosser som er etablert i Oslo kommune og ITAS for grensesnitt mellom ulike systemer. Se SSA-T Bilag 3. Forholdet til underleverandører og tredjeparter som Leverandøren benytter til oppfyllelse av avtalen: Leverandøren plikter å påse at alle underleverandører og alle tredjeparter er kjent med E 16
17 Kategori Utdypes Svarkode (J/D/N) Veiledende bilag til og etterlever alle kravene som påhviler leverandøren iht. avtalen. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparte r som benyttes i avtalen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-2 Krav til åpningstider, ytelse, tilgjengelighet: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Krav nr Beskrivelse Kommentar/Ref. D-2.1 Tjenestenivået kan for enkelte perioder utvides til også å gjelde utenfor ordinær arbeidstid som beskrevet av Leverandøren. Dette vil bestilles av Kunden etter behov. D-2.2 Løsningen er døgnåpen men avtalt tilgjengelighet reguleres i bilag 5. D-2.3 Kunden ønsker å benytte Leverandørens standard tjenestenivåavtale, og ber Leverandøren fylle ut bilag 5 som del av sitt tilbud. D-2.4 Tjenesten skal være tilgjengelig for brukerne i 99,5% pr. måned (ref. bilag 5). D-2.5 Leverandørens Reaksjonstid skal på A feil være umiddelbart i arbeidstiden, for B feil maksimalt 15 minutter i arbeidstiden og for C feil maksimalt 60 min i arbeidstiden (ref. bilag 5). 17
18 Kategori Utdypes Svarkode (J/D/N) Veiledende bilag til Tabell D-3 Krav til sikkerhet, rutiner og metoder (tildelingskriterium nr. 2.Gjennomføring) Gjelder SaaS-leverandører: Krav nr Beskrivelse Kommentar/Ref. D-3.1 Leverandøren etterlever Kundens instruks for informasjonssikkerhet. Se Del C, vedlegg 2 Instruks for informasjonssikkerhet i Oslo Kommune. E D-3.2 Leverandøren har dokumenterte rutiner for opplæring av personell som sikrer at personellet til enhver tid har oppdatert kunnskap og kompetanse for å utføre sine oppgaver på en sikkerhetsmessig forsvarlig måte. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.3 Leverandøren forsikrer seg om at det er implementert tilstrekkelige fysiske sikringstiltak for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon. Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.4 Løsningen har mekanismer som sikrer at en systemmessig feilsituasjon eller en krisesituasjon ikke skal påvirke tilgjengelighet av løsningen. D-3.5 Leverandøren benytter en anerkjent drifts- og forvaltningsmetodikk. Det er beskrevet i bilag 4 som viser hvordan metodikken benyttes. D-3.6 Leverandøren overvåker og monitorerer driftsløsningen for å forebygge, oppdage og redusere skade som følge av feil, manipulering og uautoriserte handlinger. Uønskede hendelser logges av Leverandøren og meldes uten opphold til Kunden. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.7 Løsningen skal være tilgjengelig i henhold til tjenestenivå definert i Bilag 5 E 18
19 Veiledende bilag til (Responstider). D-3.8 Leverandøren har dokumenterte rutiner for autorisasjon av Leverandørens personell som skal ha tilgang til Kundens data. Som et minimum skal autorisasjonen angi hvilke IT-systemer, programrutiner og dataelementer Leverandørens ansatte til enhver tid har lovlig tilgang til og hvilke operasjoner disse har lov til å utføre. D-3.9 Leverandøren har fysiske sikringstiltak og rutiner for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon, for å sikre seg mot uønsket fysisk tilgang til områder og utstyr som benyttes for å utføre tjenesten for kunden Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskrivelse: Leverandøren beskriver etablerte sikringstiltak. D Leverandøren har tiltak som sikrer at kundens data er adskilt fra andre kunders data, og at andre enn kunden ikke har tilgang til kundens data. Beskrivelse: Leverandøren beskriver hvordan D Leverandøren har dokumenterte rutiner for autorisasjon og tilbaketrekking av autorisasjon av Leverandørens personell og personell til underleverandører eller andre som opptrer på vegne av underleverandøren og som skal ha tilgang til Kundens data og annen informasjon av betydning for informasjonssikkerheten. Fellesbrukere skal aldri benyttes. Oppdatert liste over hvilke type rettigheter og tilganger Leverandørens personell har til Kundens data og informasjon, skal fremlegges Kunden på forespørsel. Dokumentasjon skal inneholde opplysninger om tidsintervaller, hvem som er autorisert, type privilegier o.l. Beskrivelse: Leverandøren beskriver 19
20 Veiledende bilag til D Leverandøren må være forberedt på at driftspersonell for deler av kundens driftsmiljøer vil måtte kunne fremvise politiattest eller måtte kunne sikkerhetsklareres. Dette vil f.eks. gjelde hvis nåværende eller fremtidig lovregulering som regulerer den virksomhet som driftes i det aktuelle driftsmiljøet forutsetter politiattest/sikkerhetsklarering for personell som gis innsyn i virksomhetens lagret informasjon. D Leverandøren skal ha funksjonalitet som sikrer at så vel oppslag/lesetilgang til data som editering og sletting av data som utføres av Leverandøren eller andre som opptrer på vegne av underleverandøren logges. Beskrivelse: Leverandøren beskriver D-3-14 Leverandøren, underleverandører eller andre som opptrer på vegne av underleverandøren, skal ha en prosess for feilretting og utbedring av sårbarheter, inkludert sikkerhetstiltak og sikkerhetspatching, som beskriver hvordan leverandør sikrer at nødvendige sikkerhetstiltak og sikkerhetspatching til enhver tid gjennomføres uten ugrunnet opphold jf i. Beskrivelse: Leverandøren beskriver prosessen. D Leverandøren har rutine for å sikre samspillet og ansvarsdelingen mellom Kunde og Leverandør, herunder underleverandører eller andre som opptrer på vegne av underleverandøren, ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D Leverandøren sørger for at integrasjon mot andre systemer og andre kundespesifikke tilpasninger i løsningen blir ivaretatt ved vedlikehold/endringer/oppgraderinger 20
21 Veiledende bilag til av tjenesten. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D Ved vedlikehold/endringer/oppgraderinger av tjenesten oppdateres all tilhørende dokumentasjon. D Eventuelle feil og mangler i dokumentasjon likestilles med feil og mangler i programvaren og gir tilsvarende rett til standardisert prisavslag jfr. Bilag 5. D Leverandør gir Kunden tid og mulighet for å teste endringer /feilrettinger / ny funksjonalitet i løsningen før driftssetting. Beskrivelse: Leverandøren beskriver. D Leverandøren skal ha en prosess og løsning som sikrer tilgjengelighet til data, og mekanismer for til enhver tid å kunne gjenopprette data. anglende gjenoppretting av data, etter fristen medfører rett til standardisert prisavslag, jfr. Bilag 5. Beskrivelse: Leverandør beskriver prosess og løsning inkludert garanti for gjenopprettingstid av data. D Leverandøren rapporterer månedlig på følgende parametere: Tilgjengelighet til løsningen (tjenesten tilgjengelig for brukerne): Nedetid i antall timer pr. måned Leverandør dokumenterer tilgjengelighet, og hvorfor leverandør eventuelt mener at nedetid ikke skyldes leverandøren. Retting av feil og håndtering av uønskede hendelser Tid fra mottatt feilmelding til start av løsningsarbeid Løsningstid 21
22 Veiledende bilag til Endringsforespørsler Tid for tilbud med løsningstid Brukerstøtte Svartid for henvendelser Risikovurderinger av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. Interne revisjoner av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. gjennomføringen av tiltak som er nødvendige for å etablere og opprettholde forsvarlig informasjonssikkerhet med utgangspunkt i leverandørens informasjonssikkerhetsp olicy og resultatet av de risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. D Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av 22
23 Kategori Utdypes Svarkod e(j/d/n) Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til nye sårbarheter mv. som er av betydning for tjenesteleveransen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-4 Krav til bistand (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-4.1 Leverandøren tilbyr utvidet beredskap i kritiske faser mot vederlag som spesifiseres i Bilag 7. Tabell D-5 Krav til vedlikehold av løsning (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-5.1 Leverandøren sikrer at løsningen holder tritt med teknologiutviklingen og beskriver hvilke planer som foreligger mht. løsningens fremtidige videreutvikling. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.2 Dersom utviklet funksjonalitet ikke inngår som en del av et standardsystem, tilbyr Leverandøren vedlikehold på utviklet funksjonalitet slik at løsningen/tjenesten fungerer som forutsatt under hele avtalens varighet. D-5.3 Leverandøren holder Kunden løpende oppdatert med 23
24 Veiledende bilag til hensyn til sine utviklingsplaner. D-5.4 Leverandøren holder seg orientert om endringer innen aktuelle lover, forskrifter og myndighetskrav, samt sikrer at Kunden kan overholde relevante lover, forskrifter og føringsskriv fra sentral myndighet løpende gjennom kontraktstidens varighet. D-5.5 Ved videreutvikling av løsningen har oppfyllelse av myndighetskrav høyeste prioritet. Kunden skal tilbys ny funksjonalitet slik at det gis rimelig tid til testing, opplæring og implementering før nye krav trer i kraft. D-5.6 Løsningen videreutvikles for å beholde god ytelse med responstider i henhold til etablert baseline. D-5.7 Leverandøren beskriver prosessen, samspillet og ansvarsfordelingen mellom Kunde og Leverandør ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.8 Leverandøren sørger for at integrasjon mot andre systemer blir ivaretatt ved oppgradering/endringer i tjenesten. D-5.9 Ved oppdatering av løsningen er også all nødvendig dokumentasjon oppdatert. D Leverandøren yter brukerstøtte overfor Kunden i avtaleperioden, se bilag 5. Leverandøren beskriver sin brukerstøttetjeneste inkludert ev. støtteverktøy som brukes i 24
25 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til denne forbindelsen. D Leverandøren håndterer alle avvik som meldes fra Kunden i henhold til avtalt tjenestenivå, og alle feil skal rettes i henhold til krav i bilag 5. E D Leverandør gir Kunden tilgang til verifisering og godkjenning av funksjoner og endringer før drifts-setting av nye versjoner. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D Leverandør gir Kunden tilgang til å gjenskape hendelser som kan kreve feilretting. D Ved oppslag fra et bilde/felt vises hjelpeinformasjon knyttet til aktuelt bilde/felt. Avtalens punkt 4.4 Avslutning av avtalen Dersom Kunden ønsker å spesifisere hvilken informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje, skal dette fremkomme her. Informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje: Kunden skal eie alle data og kunne få disse utlevert eller slettet på forespørsel. Ved avslutning av avtaleforholdet skal alle data overføres kostnadsfritt til Kunden, på et anerkjent og standard avtalt format som egner seg for enklest mulig dataoverføring til Kunden og/eller tredjepart. Leverandøren skal slette data på en sikker måte. Se ellers Del C, Vedlegg 12 Databehandleravtale for behandling av personopplysninger. Tabell D-6 Avslutning av avtalen: (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. 25
26 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til D-6.1 Ved utløpet av avtalen skal Kundens data og tilhørende dataarkitektur overleveres til Kunden på et åpent format kunde og leverandør blir enige om. Kunden skal videre gis tilgang til nødvendige versjoner av aktuell programvare for å kunne lese og behandle dataene. D-6.2 Ved avslutning av avtalen skal leverandør slette alle data som har vært registrert i løsningen på Leverandørens utstyr, etter at krav D-6.1 er bekreftet gjennomført av Kunde. E E Avtalens punkt 5.1 Leverandørens ansvar for sine ytelser Dersom Kunden ønsker å stille krav til at Leverandøren skal følge gitte standarder eller kvalitetssystemer, skal dette fremgå her. Det samme gjelder eventuelle krav om Leverandørens dokumentasjon av hvordan standarder eller kvalitetssystemer følges. Kunden skal beskrive krav til Leverandørens samordning, styring og koordinering av arbeidet mellom de ulike aktører/leverandører som har betydning for driftstjenesten i forbindelse med etablering, testing og drift. Dersom Leverandøren ikke skal ha totalansvar for livssyklusforvaltning av utstyr, programvare og andre ytelser som er nødvendig for å opprettholde avtalt tjenestenivå, skal Kunden spesifisere dette her. Kunden skal spesifisere hvilke tredjepartsleveranser som Leverandøren skal administrere på vegne av Kunden her. Lisensbetingelsene skal vedlegges i bilag 10. Tabell D-7 Krav til standarder eller kvalitetssystemer som Leverandøren skal følge. (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-7.1 Løsningen må støtte de dominerende nettleserne i markedet. Kunden benytter i dag hovedsakelig IE10/11, Firefox og Google Chrome 26
27 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til som oppdateres jevnlig. Beskrivelse: Leverandør beskriver hvilke nettlesere som støttes. D-7.2 D-7.3 D-7.4 Leverandøren og løsningen tilfredsstiller kravene i norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Se Del C, vedlegg 11. Løsningen er basert på åpne eller godkjente tekniske standarder og tilfredsstiller gjeldende godkjente produkter, GPL, i Oslo kommune infrastruktur (se Bilag 3,). Løsningen tilfredsstiller standarder spesifisert i Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. E Avtalens punkt 9.1 Eksterne rettslige krav og tiltak generelt Kunden skal identifisere hvilke rettslige eller partsspesifikke krav som har relevans for inngåelse og gjennomføring av denne avtalen. Kunden skal konkretisere relevante krav her. Tabell D-8 Krav vedr. eksterne rettslige krav og tiltak (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-8.1 Løsningen driftes og vedlikeholdes med det formål at Oslo kommune over tid kan oppfylle de forpliktelser som påhviler dem gjennom lov og forskriftsmessige krav. Leverandøren er ansvarlig for å sikre at løsningen til 27
28 Veiledende bilag til D-8.2 D-8.3 enhver tid oppdateres slik at denne er i samsvar med generell krav i norsk lovgivning som gjelder for IKT systemer. Oppdateringer skal gjøres slik at disse er implementert innen aktuell lovgivnings ikrafttredelse. Leverandøren er tilsvarende ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med spesielle krav som gjelder for den aktuelle virksomhet i Oslo kommune, dog slik at Kunden er ansvarlig for å opplyse Leverandøren om de aktuelle kravene. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Forholdt til ny Sikkerhetslov I den grad ny Sikkerhetslov jf.nou 2016: 19 «Samhandling for sikkerhet» medfører endrede krav til drift av Oslo kommunes IKT virksomhet, vil Leverandøren og dennes underleverandører måtte forholde seg til de endrede kravene og plikter bistå til å oppfylle disse. Leverandøren har et styringssystem for informasjonssikkerhet (ISO27001 eller tilsvarende 2 ) som dokumenterer leverandørens rutiner og 2 Styringssystemet gir som minimum en beskrivelse av: Sikkerhetsorganisasjon med oversikt over ansvar og roller for sikkerhet hos Leverandøren Sikkerhetsmål og strategi for informasjonssikkerhet Krav og tiltak for informasjonssikkerhet, herunder bl.a. sikkerhetsledelse, risikostyring, tilgangskontroll, fysisk sikkerhet, forhold til andre virksomheter, sikkerhetsdokumentasjon, personellsikkerhet, oppfølging og kontroll Styringssystemet omfatter relevante underleverandører. 28
29 Veiledende bilag til tiltak for internkontroll og etterlevelse av personopplysningsforskriften kapittel 2 og Norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Styringssystemet skal på anmodning gjøres tilgjengelig for Kunden. D-8.4 D-8.5 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Leverandøren skal regelmessig gjennomføre risikovurdering av tjenesteleveransen iht. leverandørens styringssystem. Dokumentet forelegges Kunden, senest innen 10 dager fra avtalt halvårsgjennomgang, hendelser mv E Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. D-8.6 Leverandøren skal gjennomføre jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos alle underleverandører eller andre som opptrer på vegne av underleverandøren. Revisjonene gjennomføres minimum en gang per år, samt i forbindelse med utbedring etter alvorlige hendelser, større endringer 29
30 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til av betydning for informasjonssikkerhet, avdekking av alvorlige nye sårbarheter mv. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avdekker revisjon eller risikovurderinger avvik i forhold til forsvarlig informasjonssikkerhet og gjeldende norsk rett, plikter Leverandøren å utbedre disse snarest og senest innen 30 dager. D-8.7 Kravene til informasjonssikkerhet gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalens punkt 9.2 informasjonssikkerhet Tabell D-9 Særskilte krav til dokumentasjon i forbindelse med informasjonssikkerhet (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kommentar/Ref. D-9.1 Leverandørens kontrollerende sikkerhetsledelse er ansvarlig for at det gjennomføres jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos 30
31 Veiledende bilag til eventuelle underleverandører generelt, og spesielt for det som berører tilbudt løsning. Revisjonene gjennomføres minimum en gang per år. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.2 Leverandøren gjennomfører risikovurderinger minimum en gang per år, samt i forbindelse med særskilte hendelser som sikkerhetsbrudd, endringer av betydning for informasjonssikkerhet, nye sårbarheter mv. Resultatet av risikovurderinger gjøres tilgjengelig for Kunden på forespørsel, og ved resultat som avdekker risiko utover fastsatt akseptabelt nivå. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.3 Leverandøren gir Kunden, eller en 3. part valgt av Kunden, tilgang til å gjennomføre risikovurdering og/eller revisjon av informasjonssikkerhet relatert organisering, forvaltning og drift av egen løsning. D-9.4 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå og forelegger Kunden dette ved forespørsel. Avtalens punkt 9.3 Personopplysninger Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv, angis her. 31
Databehandleravtale etter personopplysningsloven m.m
Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av
DetaljerSSA-D Bilag 1. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon
Driftsavtalen (SSA-D) Bilag : Kundens kravspesifikasjon Innhold INNLEDNING.... BESKRIVELSE BILAG.... KRAVTABELL... AVTALENS OMFANG... 4. KUNDENS FORMÅL MED AVTALEN... 4 KRAV TIL DRIFT AV TILBUDT LØSNING...
Detaljer3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon
Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon 1 Innhold 1 INNLEDNING... 3 1.1 BESKRIVELSE BILAG 1... 3 2 AVTALENS OMFANG... 4 2.1 KUNDENS FORMÅL MED AVTALEN... 4 3 KRAV TIL DRIFT AV TILBUDT
DetaljerBilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON. Administrativt system for skole og SFO
Bilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON Administrativt system for skole og SFO SAK NR.: 15/05314 1 Kravmatrise Spesifikasjon av krav Skal (S) Bør (B) Kravet MÅ tilfredsstilles.
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerVeiledende bilag til SSA-D Driftsavtalen versjon 2015
Driftsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 2: Leverandørens løsningsspesifikasjon... 4 Bilag 3: Beskrivelse av det som skal driftes... 5 Bilag 4: Prosjekt- og fremdriftsplan
DetaljerBilag 1: Kundens kravspesifikasjon
Bilag 1: Kundens kravspesifikasjon 1. Innledning Dette bilaget inneholder Kundens krav til tjenesten, inkl. løsningen.
DetaljerVeiledende bilag til SSA-D Driftsavtalen versjon 2015
Driftsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 2: Leverandørens løsningsspesifikasjon... 4 Bilag 3: Beskrivelse av det som skal driftes... Feil! Bokmerke er ikke definert.
DetaljerDatabehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO
Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne
DetaljerArbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6
Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel
Detaljer2B - SSA-V Bilag 1 Kundens kravspesifikasjon. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon
Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon 1 Innhold 1 INNLEDNING... 3 1.1 BESKRIVELSE BILAG 1... 3 1.2 KRAVTABELL... 3 2 AVTALENS OMFANG... 4 2.1 KUNDENS FORMÅL MED AVTALEN... 4 3
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerVeiledende bilag til SSA-V Vedlikeholdsavtalen versjon 2015
Vedlikeholdsavtalen versjon 2015 Innhold: Bilag 1: Nittedal kommunes kravspesifikasjon (krav til vedlikeholdstjenesten)... 2 Bilag 2: Leverandørens løsningsspesifikasjon (beskrivelse av vedlikeholdstjenesten)...
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerDatabehandleravtale. Kommunenes Sentralforbund - Databehandler
U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerPresentasjon avtale om løpende tjenestekjøp (SSA-L) Charlotte Lindberg, seniorrådgiver Difi
Presentasjon avtale om løpende tjenestekjøp (SSA-L) Charlotte Lindberg, seniorrådgiver Difi Hva skal vi snakke om i dag? Overordnet gjennomgang av SSA-L Utvalgte temaer Overordnet om SSA-L 2018 Hva kjennetegner
DetaljerSSA-V Bilag 1: Kundens kravspesifikasjon. "Digital døgnåpen forvaltning" - Ny portalløsning for Fosenkommunene
SS-V Bilag 1: Kundens kravspesifikasjon "Digital døgnåpen forvaltning" - Ny portalløsning for Fosenkommunene Innhold 1 Innledning... 3 1.1 Oppbygning av dokumentet... 3 1.2 vtalens omfang... 3 1.3 Generelle
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerMellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:
Databehandleravtale for Økonomibistand I henhold til "Personopplysninger" betyr all informasjon om en identifisert eller identifiserbar fysisk person, som nærmere definert i gjeldende lov og EU-forordning
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerBilag 6 Vedlegg 3 Definisjoner
Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon
DetaljerDATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".
Denne Databehandleravtalen utgjør et vedlegg til Telia Bedriftsavtale, og omfatter all behandling av personopplysninger som Telia Norge AS utfører på vegne av Kunden som databehandler, med mindre annet
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerIT Service Management i Statens Standardavtale for drift (SSA-D) DnD seminar Oslo 23. mars 2017 Bård-Erik Evensen
IT Service Management i Statens Standardavtale for drift (SSA-D) DnD seminar Oslo 23. mars 2017 Bård-Erik Evensen Vet du hva som står i SSA-D (2015) som du kan bruke direkte, eller bygge videre på, for
DetaljerLagring av forskningsdata i Tjeneste for Sensitive Data
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
Detaljer(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og
DATABEHANDLERAVTALE Denne databehandleravtalen («Avtalen») ble inngått / / mellom: (1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig»)
DetaljerBilag 1 Utstyr og/eller programvare som skal vedlikeholdes Her angis det utstyr og/eller programvare som vedlikeholdstjenesten omfatter.
Bilag 1 Utstyr og/eller programvare som skal vedlikeholdes Her angis det utstyr og/eller programvare som vedlikeholdstjenesten omfatter. Beskrivelse/navn Rammeavtalen gjelder bistand til APEX programmering
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerSSA-V Bilag 8. Bilag 8. Endringer i den generelle avtaleteksten. Anskaffelse av analyse- og informasjonsplattform /
SSA-V Bilag 8 Bilag 8 Endringer i den generelle avtaleteksten Anskaffelse av analyse- og informasjonsplattform Anskaffelsesnummer Saksnummer 20170021 2017/345746 Side 1 av 5 Bilag 8: Endringer i den generelle
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerSSA-D Bilag 8. Bilag 8. Endringer i den generelle avtaleteksten. Anskaffelse av analyse- og informasjonsplattform /
Bilag 8 Endringer i den generelle avtaleteksten Anskaffelse av analyse- og informasjonsplattform Anskaffelsesnummer Saksnummer 20170021 2017/345746 Side 1 av 5 Bilag 8: Endringer i den generelle avtaleteksten
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerPresentasjon av nye bilagsmaler
Presentasjon av nye bilagsmaler Hvorfor veiledende bilag? - Og hva er egentlig nytt? Mari Benkow/avdeling for offentlige anskaffelser/team IKT Standardavtaler og bilagsmaler- et godt utgangspunkt Standard
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerRegnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.
1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon 2. Bransjekompetanse Driftsleverandør bekrefter at regnskapsopplysninger knyttet til regnskapsførervirksomhetens kunder, og som oppbevares
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerAvtale mellom Utviklings- og kompetanseetaten og Leverandør: SafeComs sikre utskriftsløsning. SSA-K, Bilag 1: Kravspesifikasjon
Avtale mellom Utviklings- og kompetanseetaten og Leverandør: SafeComs sikre utskriftsløsning SSA-K, Bilag 1: Kravspesifikasjon SSA- K Bilag 1 Side 1 Innholdsfortegnelse Innholdsfortegnelse... 2 1. Om avtalen...
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerBilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår
UNDER FØLGER BILAG TIL AVTALEN. ALL UTFYLLING GJØRES I VEDLEGG 7 OG 8 OG FLYTTES INN I FRA VALGTE LEVERANDØRS TILBUD TIL KORREKT BILAG I AVTALEN FØR SIGNERING. SaaS-avtale Bilag 1 Omforenet spesifikasjon
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerPartene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler
mal versjon 1.0 19.01.2018 Eksemplar nr: /2 Kontrakt nr:
DetaljerPraktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi
Praktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi Tema for innlegget Overordnet innføring i avtalen Erfaringer - basert på bruk i praksis og tilbakemeldinger på
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerDATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn
DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn Denne databehandleravtalen er et vedlegg til Avtalen om Norlønn som er inngått av Partene («Avtale om Norlønn»). Databehandleravtalen inngår som en del
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
Detaljer3 Omfattede typer av personopplysninger og kategorier av registrerte
1 Behandlingens formål og omfang Formålet med denne Databehandleravtalen er å regulere rettighetene og forpliktelsene i henhold til Norsk personopplysningslov av 14. april 2000 nr. 31 og personopplysningsforskriften;
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerDATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)
DATABEHANDLERAVTALE Mellom KommuneSystemer AS, org. nr. 989 567 136 («Databehandler») og, org. nr. («Behandlingsansvarlig») om behandling av personopplysninger («Avtalen») som Databehandler skal foreta
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerAvtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 1 og Bilagene 3-9:
Avtale mellom Utviklings- og kompetanseetaten og Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 1 og Bilagene 3-9: Innhold: Bilag 1: Kundens kravspesifikasjon... 2 Bilag 3:
DetaljerSSA-V Bilag 1 Kundens kravspesifikasjon KGV/KAV. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon
Vedlikeholdsavtalen (SSA-V) Bilag : Kundens kravspesifikasjon Innhold INNLEDNING.... BESKRIVELSE BILAG.... KRAVTABELL... AVTALENS OMFANG... 5. KUNDENS FORMÅL MED AVTALEN... 5 KRAV TIL VEDLIKEHOLD AV LØSNING...
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerDatabehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.
Databehandleravtale for Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Vedlegg 10 Databehandleravtale Versjon 2.4 Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Avtaleskisse
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø
DetaljerSSA-V Bilag 1. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon
SS-V Bilag Vedlikeholdsavtalen (SS-V) Bilag : Kundens kravspesifikasjon SS-V Bilag Dokumenthistorikk Versjon Dato Beskrivelse av endring Forfatter(e) 0.8 08.2 20 Dokumentet som ble sendt ut på innspillsrunden
DetaljerAvtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester.
Avtale mellom Utviklings- og kompetanseetaten og Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 2: Leverandørens beskrivelse av leveransen Bilag 1-10 Side 1 Veiledende bilag
DetaljerRegistrerte og personopplysninger som behandles
Databehandleravtale i henhold til Personopplysningsloven 15. juni 2018 nr 38 og EUs personvernforordning 2016/679 («GDPR»), mellom: Behandlingsansvarlig og Norsk kulturskoleråd (Kor Arti ) Databehandler
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt
DetaljerPresentasjon avtale om løpende tjenestekjøp (SSA-L)
Presentasjon avtale om løpende tjenestekjøp (SSA-L) Charlotte Lindberg, seniorrådgiver Difi Stian Oddbjørnsen, assosiert partner/advokat Kluge Advokatfirma Tema for innlegget Overordnet gjennomgang av
DetaljerBruk av databehandler (ekstern driftsenhet)
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 3.0 Dato: 15.12.2010 Målgruppe Dette faktaarket er
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:
DetaljerBILAG 1 DATABEHANDLERAVTALE
BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter
DetaljerDATABEHANDLERAVTALE. 1. Bakgrunn
DATABEHANDLERAVTALE Denne databehandleravtalen (Avtalen) er inngått mellom: (i) [selskapsnavn og organisasjonsnummer til behandlingsansvarlig] (Behandlingsansvarlig), og (ii) KulturIT AS, org.nr. 915 168
Detaljere-læringsprogram for prosjektledelse Endringer i den generelle avtaleteksten Bilag 6
e-læringsprogram for prosjektledelse Endringer i den generelle avtaleteksten Bilag 6 Anskaffelsesnummer: 14/0038 Saksnummer: 2014/00380 Difis kontaktperson: Herman Valen Innhold 1 Innledning... 3 1.1 Formålet
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom
Oslo kommune Velferdsetaten Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Velferdsetaten Org.nr: behandlingsansvarlig og Org.nr.:
DetaljerDATABEHANDLERAVTALE. mellom. [Kunde] (heretter kalt "Behandlingsansvarlig") PayEx Norge AS, org nr (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Kunde] (heretter kalt "Behandlingsansvarlig") og PayEx Norge AS, org nr (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av
DetaljerLagring av forskningsdata i Tjeneste for
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Databehandleravtale Lagring av forskningsdata i Tjeneste for Sensitive Data 1 l 1. Avtalens parter 1.1 Parter Avtalen inngås mellom databehandlingsansvarlig:
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerVMAN Trådløst - bilag til SSA-V lille vedlikeholdsavtale
Bilag til Den lille Vedlikeholdsavtalen Avtale om vedlikehold og service av utstyr og programvare i mindre omfang Statens standardavtaler for IT-anskaffelser SSA-V lille Vedlikehold HW/ SW VMAN Trådløst
DetaljerDatabehandleravtale Kontorvarehuset Møre og Romsdal AS
Databehandleravtale Kontorvarehuset Møre og Romsdal AS I henhold til personopplysningslovens 13, jf. 15, personopplysningsforskriftens kapittel 2 og EUs personvernforordning (GDPR). mellom Navn på kunde..
DetaljerBilag 3 - Databehandleravtale til tjenesteavtale (SSA-L)
Bilag 3 - Databehandleravtale til tjenesteavtale (SSA-L) 1 Formålet med denne databehandleravtalen Formålet med denne databehandleravtalen er å regulere partenes rettigheter og plikter i forbindelse med
DetaljerSamarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene
Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene Avtale mellom Eksempel kommune og Arbeids- og velferdsdirektoratet DIGISOS samarbeidsavtale v. 1.0 Side 1 av 7 INNHOLDSFORTEGNELSE:
DetaljerDatabehandleravtaler. Tommy Tranvik Unit
Databehandleravtaler Tommy Tranvik Unit Spørsmål Hva er databehandlere? Når er det lovlig å bruke databehandlere? Hva må til for at fortsatt bruk skal være lovlig? Databehandlere i GDPR Leverandører av
DetaljerKundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet
Bilag 1 til vedlikeholdsavtalen Kundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet Side 2 av 14 Innhold 1 KRAV TIL VEDLIKEHOLDSAVTALE... 3 1.1 KRAV TIL BRUKERSTØTTE OG OPPFØLGING.3 1.2
DetaljerBilag 1: Kundens kravspesifikasjon FoU og Innovasjonsleder Bygg21
Bilag 1: Kundens kravspesifikasjon FoU og Innovasjonsleder Bygg21 Avtalens punkt 1.1: Avtalens omfang Anskaffelsens mål/formål Å engasjere en senior ressurs for å samordne, involvere og utfordre bygg og
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og
DetaljerAvtale mellom Utviklings- og kompetanseetaten og Leverandør: Drift av fasttelefoni Bilag 5: Tjenestenivå med standardiserte kompensasjoner
Avtale mellom Utviklings- og kompetanseetaten og Leverandør: Drift av fasttelefoni Bilag 5: Tjenestenivå med standardiserte kompensasjoner Bilag 5 Side 1 Innhold 1 GENERELLE BESTEMMELSER... 3 1.1 AVREGNINGSPERIODE...
DetaljerSpørsmål ved revisjon Informasjonssikkerhet kapittel 6
Spørsmål ved revisjon Informasjonssikkerhet kapittel 6 AS 00.00.2019 MERKNAD: Tilsynslaget fra NVE ønsker at deltagere fra virksomheten skal være forberedt på spørsmålene som blir stilt under tilsynet.
DetaljerPOWEL DATABEHANDLERAVTALE
POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4
DetaljerVeiledende bilag til SSA-V Vedlikeholdsavtalen versjon 2015
Vedlikeholdsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon (krav til vedlikeholdstjenesten)... 2 Bilag 2: Leverandørens løsningsspesifikasjon (beskrivelse av vedlikeholdstjenesten)...
DetaljerDen Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".
DATABEHANDLERAVTALE mellom KUNDEN (som definert i punkt 2 nedenfor) (den "Behandlingsansvarlige") og TECHEM NORGE AS Organisasjonsnummer: 992 327 669 Hammersborg Torg 3 0179 Oslo ("Databehandleren") Den
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerDATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.
DATABEHANDLERAVTALE BAKGRUNN OG FORMÅL 1.1 Dette databehandlingssupplementet ("Databehandleravtalen") er en del av Serverdriftsavtale ("Hovedavtalen") mellom KUNDEN (den "Behandlingsansvarlige") og SSC
Detaljer