Sikkerhet og personvern. Krav Nr. Type krav Beskrivelse av kravet Dokumentasjonskrav Ref. tildelingskriterier
4.4.1 A Løsningen skal støtte kravene til innebygd personvern i henhold til enhver tid gjeldende GDPR og personvernlovgivning. Ja/Nei Beskriv hvordan
4.4.2 B Det bør være mulig å anonymisere dokumenter til f.eks. for ekstern publisering og innsynshåndtering. Ja/Nei Vis hvordan Brukervennlighet Robusthet
4.4.3 B Det bør være mulig å gjennomføre retting og sletting iht. personvernlovgivningen. Ja/Nei Vis hvordan Robusthet
4.4.4 A I den grad Kunden er underlagt arkivloven, sikkerhetsloven eller andre lover som forutsetter at alle personopplysninger samt øvrige data forblir lagret og behandlet i Norge, skal Leverandøren og dens underleverandører som behandler personopplysninger (heretter underdatabehandlere) etterleve slikt krav. Ja/Nei
4.4.5 A I den grad data behandles som ikke kommer inn under slik lovgivning som i krav 4.4.4, som krever at data forblir i Norge, skal Leverandøren med underdatabehandlere sørge for at alle data blir lagret og behandlet i EU/EØS. Ja/Nei
4.4.6 A Dersom Leverandøren ønsker å benytte underdatabehandlere som kan behandle personopplysninger utenfor EU/EØS, skal Leverandøren sørge for at alle krav i henhold til GDPR, herunder Schrems II-dommen, dokumenteres å være oppfylt med slik Ja/Nei underdatabehandler. Leverandøren må innhente skriftlig forhåndsgodkjenning fra Kunden før slik underdatabehandler benyttes til å behandle personopplysninger på vegne av Kunden.
4.4.7 A Leverandøren har inngått databehandleravtaler med sine underleverandører som viderefører forpliktelsene etter databehandleravtalen som skal inngås med Kunden, eller vil gjøre dette før den aktuelle underleverandøren behandler personopplysninger Kunden er behandlingsansvarlig for. Leverandøren skal dokumentere dette på forespørsel. Ja/Nei
4.4.8 A Leverandøren skal gjennomføre sikkerhets- og risikovurderinger ved bruk av tredjeparter, herunder enhver underdatabehandler eller personer som gis tilgang til Kundens personopplysninger eller andre data som er underlagt taushetsplikt. Ja/Nei
4.4.9 A Leverandøren er villig til kort tid etter signering å dokumentere alle krav knyttet til Xxxxxxxxx og personvern. Ja/Nei
4.4.10 B Leverandørens tilbudte sak- arkivløsning bør sikre høy informasjonssikkerhet og overholdelse av krav til personvern. Leverandøren bes beskrive tilbudt informasjonssikkerhet i sin løsning for sak/arkiv, herunder hvordan personopplysninger behandles av leverandøren med under...
Sikkerhet og personvern. 1.3.23 Tjenesten Tjenesten bør ivareta konfidensialitet, tilgjengelighet, robusthet og integritet. B <Leverandøren bes om å beskrive hvordan man sikrer konfidensialitet, tilgjengelighet og integritet i tjenesten. Områder som ønskes beskrevet er følgende (listen er ikke uttømmende): ✓ Sporbarhet ✓ Segregering ✓ Tilgangsstyring ✓ Tilgangskontroll ✓ Autentisering ✓ Kryptering av data (data at rest, data in use, data in transit) ✓ Nøkkelhåndtering ✓ Patching og vedlikehold Dersom Leverandøren anser det som nødvending, kan det vedlegges utvidet besvarelse.> 1.3.24 Sårbarheter Leverandøren bør sørge for at tjenesten ikke inneholder kjente sårbarheter. B <Leverandøren bes beskrive hvordan tjenesten, til enhver tid, holdes oppdatert mot kjente sårbarheter> 1.3.25 Cyberangrep Leverandøren bør ha etablerte tiltak og rutiner for å motvirke, detektere og håndtere cyberangrep. Eksempler på dette kan være: ✓ sikkerhetslogging ✓ overvåking og deteksjon ✓ rutiner for backup, restore ✓ hendelses- kontinuitets- og kriseplaner B <Leverandøren bes om å beskrive hvordan kravet er oppfylt>.