SSA-L-2018 Bilag til avtale om løpende tjenestekjøp over internett Statens standardavtaler for IT-anskaffelser bilag til SSA-L - versjon 2018 Bilag til SSA-L – Avtale om løpende tjenestekjøp over internett– versjon 2018 Innhold:
SSA-L-2018
Bilag til avtale om løpende tjenestekjøp over internett
Statens standardavtaler for IT-anskaffelser
bilag til SSA-L - versjon 2018
Bilag til SSA-L – Avtale om løpende tjenestekjøp over internett– versjon 2018
Innhold:
Bilag 1: Kundens kravspesifikasjon
Avtalens punkt 1.1 Avtalens omfang
Se konkurransegrunnlag.
Forklaring:
Kravene defineres som følgende:
M-krav – Minimumskrav til løsningen som tilbys. Løsningen skal beskrives. Meroppfyllelse utover minimum teller positivt i evalueringen.
E-krav – Viktige krav som er gjenstand for evalueringen. Punktet skal beskrives.
Besvarelsen gis i eget dokument med mindre annet er oppgitt i punktet. Dokumenter skal organiseres i avsnitt og hvert avsnitt skal ha overskrifter som refererer til kravnr og krav. F.eks: «2 – Modenhetsanalyse» og «5 - Konsulenttjenester for teknisk sikkerhetsarbeid»
Rådgivning, statusmøter, kompetanseheving og kompetanseoverføring
Nr |
Type |
Krav |
Beskrivelse |
1 |
M |
Statusmøter |
Leverandør skal gjennomføre månedlige statusmøter med kunde. Tema på møtene kan variere, men faste punkter skal være siste måneders hendelser, endringer i trusselbildet og forbedringspotensialer. |
2 |
M |
Modenhetsanalyse |
Leverandør skal sammen med kunden gjennomføre en modenhetsanalyse. Basert på denne analysen skal det lages en liste over forbedringstiltak som kan gjøres i organisasjonen. |
3 |
M |
Sårbarhetsskanning/ kartlegging av dagens løsning |
Leverandør skal sammen med kunden gjennomgå en sårbarhetsskanning av teknisk infrastruktur, servere og oppsett i Microsoft 365 plattform. Resultatene vil danne grunnlag for videre arbeid med å sikre grunnmuren i det tekniske oppsettet hos kunden. Om omfanget av gjennomgangen er for omfattende ber kunde om at leverandør prioriterer en liste over hva som skal gjennomgås. |
4 |
M |
Konsulenttjenester for sikkerhetsarbeid i organisasjonen |
Leverandør skal kunne bidra med konsulenttjenester tilknyttet sikkerhetsarbeid i organisasjonen. Dette kan være organisatorisk arbeid som prosesser, rutiner eller bevisstgjøring. Det vil herunder være viktig med tilgang til anbefalinger og oppdateringer rundt sikkerhetsrelaterte hendelser som fanges opp av leverandør.
Kvinnherad har en tilgrensende rammeavtale på IT konsulent tjenester. Kvinnherad forholder seg retten til å kjøpe tjenester som er omfattet av gjeldende rammeavtale. |
5 |
M |
Konsulenttjenester for teknisk sikkerhetsarbeid |
Leverandør skal kunne bidra med konsulenttjenester tilknyttet IT teknisk sikkerhetsarbeid. Dette kan være rådgivning rundt anskaffelser, implementeringer eller være sparringpartner når det skal gjøres sikkerhetsmessige vurderinger av konfigurasjonsendringer. Kvinnherad har en tilgrensende rammeavtale på IT konsulent tjenester. Kvinnherad forholder seg retten til å kjøpe tjenester som er omfattet av gjeldende rammeavtale. |
6 |
E |
Kompetanseheving i organisasjonen |
Kunden ønsker at leverandør skal bidra til kompetanseheving i organisasjonen. Eksempel på gjennomføring av dette kan være presentasjoner på skole, i kommunestyremøte eller fellessamlinger. |
7 |
E |
Konsulenttjenester på andre områder |
Skulle det oppstå behov for konsulenttjenester med kompetanse innenfor IT sikkerhet som ikke faller inn under punkt 4, 5 eller 6 skal leverandør kunne bistå her. |
8 |
M |
Språk |
Kommunikasjonen i alle deler av leveransen skal foregå på norsk |
9 |
E |
Utvikling og samarbeid |
Xxxxxx ønsker at leveransen skal danne grunnlag for gjensidig utvikling, læring og effektiv utnyttelse av ressursene tilgjengelig for tjenesten. Leverandør bes beskrive hvordan man vil utvikle samarbeidet mellom kunde og leverandør for å oppnå dette. |
Tjenestedesign og hendelseshåndtering
Nr |
Type |
Krav |
Beskrivelse |
10 |
M |
Overvåking (SOC) |
Det skal etableres overvåking av systemer og brukere i henhold til listen i vedlegg 6. I den grad det er naturlig å ta en gradvis innføring av systemer i overvåkingen skal leverandør sette opp en prioritert liste over hvilke systemer som bør prioriteres i overvåkingen. Løsningen må inkludere en SIEM og SOAR. Verktøyene skal leveres og driftes av leverandør til en forutsigbar kostnad. |
11 |
E |
Xxxxxxx innsyn i SIEM verktøy |
SIEM bør kunne settes opp med “views” slik at kunde selv kan følge med på hendelser. Det er også ønskelig at kunde selv kan lage dashboards. |
12 |
M |
Hendelses-håndtering (IRT) |
Leverandør skal iverksette relevante tiltak basert på hendelser som oppdages igjennom overvåkingen. Detaljer rundt hvem som gjør hva rundt hendelser gås opp i detalj etter kontraktsinngåelse. Kunden forventer at leverandør bistår i de hendelser hvor det er nødvendig. Vi forventer da en tjeneste hvor leverandør tar på seg ansvaret for å oppdage trusler og håndtering av disse 24x7x365 med kvalifisert sikkerhetspersonell. |
13 |
E |
Responstid hendelseshåndtering (SLA) |
Leverandør skal beskrive hvilken responstid en opererer med under forskjellige situasjoner. Det antas her at en klassifiserer hendelser i forskjellige kategorier og at hver kategori har forskjellige responser. |
14 |
E |
Tjenestedesign overvåking |
Leverandør bes beskrive oppbyggingen og utførelsen av tjenesten som leverer overvåkingen. Herunder personell, rutiner for oppfølgning av alarmer, prosess for å holde deteksjoner oppdaterte og relevante, prosess rundt overlevering til IRT team, hvordan tjenesten holdes oppdatert på relevante trusler, samt eventuell annen informasjon som er relevant for å forstå tjenesten oppbygning. |
15 |
E |
Tjenestedesign hendelses-håndtering |
Leverandør bes beskrive oppbygningen av tjenesten rundt hendelseshåndtering. Herunder rutiner for behandling av hendelser, varsling av kunde, responstider, kompetanseheving av personell, og annen informasjon som er relevant for å forstå oppbyggingen av tjenesten. |
16 |
M |
Lagring av data |
Lagring og behandling av data tilknyttet løsningen skal utføres innenfor EU/ EØS. |
17 |
M |
Databehandler-avtale |
Kundens databehandleravtale skal signeres ved kontraktsinngåelse og før tjenesten settes i drift. |
18 |
M |
Teknisk infrastruktur |
Om leveransen krever implementering av program eller maskinvarekomponenter i kundens infrastruktur skal dette beskrives. |
19 |
E |
Kompetanse personell |
Personell som utfører tjenesten som tilbys skal ha sertifisert kompetanse innenfor fagfeltet. Leverandør skal beskrive roller og kompetansen til de personer som blir involvert i leveransen samt liste opp relevante sertifiseringer personene innehar. |
20 |
E |
Evaluering av kvalitet i løsningen |
Beskriv hvordan Leverandøren evaluerer eget arbeid og hvilke KPI-er som benyttes. |
21 |
E |
Lagring av data i løsning |
Beskriv hvor lenge blir logger og alarmer lagret i løsningen. Med dette menes logger som eventuelt sendes fra kunde og i etterkant alarmer som har dannet grunnlag for en hendelse. |
Fremdrift og prosjektplan
Nr |
Type |
Krav |
Beskrivelse |
22 |
M |
Fremdriftsplan |
Leverandør bes beskrive fremdriftsplan med datoer for implementering og iverksettelse. Rask oppstart og leveranse teller positivt. |
23 |
M |
Prosjektplan |
Leverandør skal levere prosjektplan med oppgaver, tidspunkt for utførelse og ansvar. Prosjektplanen skal også inneholde estimert tidsbruk for de involverte parter på utførelse av oppgaver. |
24 |
E |
Suksesskriterier |
Leverandør skal beskrive suksesskriterier for vellykket etablering av tjenesten sett fra leverandørens perspektiv, samt hva som forventes av fra kundens side. |
25 |
E |
Kompetanse hos kunden |
Er det krav til, eller anbefales det, at det gjennomføres kurs på ansatte hos kunden for at en etablering skal bli vellykket. Leverandøren bes beskrive dette. |
Avtalens punkt 6.2 Personopplysninger
Se vedlegg 7.1 og 7.2 – Databehandleravtale RITS.
Se vedlegg 7.3 og 7.4 – Databehandleravtale Kvinnherad.
Databehandleravtales bilag skal fylles ut og legges ved tilbudet.
Bilag 2: Leverandørens beskrivelse av tjenesten
Leverandør skal, basert på bilag 1 (Kundens kravspesifikasjon) beskrive tjenesten her.
Det skal benyttes samme struktur som bilag 1.
Bilag 3: Plan for etableringsfasen
Avtalens punkt 3.1 Plan for etableringsfasen
Overordnet fremdriftsplan for etablering av tjenesten skal fremkomme her.
Punktet skal fylles ut av leverandøren.
Prosjektplanen skal inneholde alle fasene i prosjektet.
Bilag 4: Tjenestenivå med standardiserte kompensasjoner
Avtalens punkt 2.1
Leverandør bes redegjøre for standard tjenestenivå for tjenesten.
Leverandør vil bli vurdert på tilbudt tjenestenivå i forbindelse med evaluering av tilbudet.
Bilag 5: Administrative bestemmelser
Avtalens punkt 1.5 Partenes representanter
Avklares ved kontraktsignering.
Utskiftning av bemyndiget personell må meldes fra og godkjennes av begge parter.
Avtalens punkt 5.1 Varighet
Avtalens varighet er 2 år, med mulighet for opsjon på ytterligere 1 + 1 + 1 år. Deretter fortsetter avtalen som løpende avtale med samme vilkår inntil den sies opp.
Avtalens punkt 5.2 Avbestilling
Avtalen kan sies opp med en oppsigelses frist på 6 (seks) måneder.
Avtalens punkt 6.2 Personopplysninger
Se vedlegg 7.1 og 7.2 – Databehandleravtale RITS.
Se vedlegg 7.3 og 7.4 – Databehandleravtale Kvinnherad.
Databehandleravtales bilag skal fylles ut og legges ved tilbudet.
Avtalens punkt 11.2. Lønns- og arbeidsvilkår
Leverandøren skal sikre at ansatte i egen virksomhet, og ansatte hos eventuell underleverandør som direkte medvirker til oppfyllelse av denne kontrakt, ikke har dårligere lønns- og arbeidsforhold enn det som følger av gjeldene lov- og forskrifter eller gjeldende landsomfattende tariffavtaler for den aktuelle bransje.
Alle avtaler Leverandøren inngår og som innebærer utførelse av arbeid under inngått avtale med Oppdragsgiver skal inneholde tilsvarende forpliktelse.
Leverandøren skal på forespørsel fra Oppdragsgiver legge frem dokumentasjon om de lønns- og arbeidsvilkår som blir benyttet. Oppdragsgiver kan kreve at opplysningene skal legges frem for en uavhengig tredjepart som Oppdragsgiver har gitt i oppdrag å undersøke om kravene i denne bestemmelsen er oppfylt. Leverandøren kan kreve at tredjeparten skal ha undertegnet en erklæring om at opplysningene ikke vil bli benyttet for andre formål enn å sikre oppfyllelse av Leverandørens forpliktelse etter denne bestemmelsen. Dokumentasjonsplikten gjelder også underleverandører.
Dersom en uavhengig tredjepart kommer til at kravene i denne bestemmelsen ikke er oppfylt, og Leverandøren bestrider dette, kan Oppdragsgiver kreve at Leverandøren og underleverandøren legger frem dokumentasjon for Oppdragsgiver om de lønns- og arbeidsvilkår som blir benyttet.
Leverandøren skal påse at ansattes rettigheter etterleves i egen virksomhet, og hos den eller de underleverandører som direkte medvirker til oppfyllelse av denne kontrakt. Oppdragsgiver kan kreve at Leverandøren fremlegger dokumentasjon på at kravene er oppfylt.
Oppdragsgiver, eller den Oppdragsgiver bemyndiger, forbeholder seg retten til å gjennomføre annonserte eller uannonserte kontroller hos en eller flere aktører i leverandørkjeden i kontraktsperioden, det gjelder også fysisk oppmøte hos leverandør. I tilfelle kontroll plikter Leverandøren å oppgi navn og kontaktopplysninger på underleverandører. Kontaktopplysninger behandles konfidensielt.
Ethvert brudd på bestemmelsene i pkt.8.1. anses som vesentlig mislighold. Selv om Leverandøren retter ovenfor arbeidstakerne, er ikke det til hinder for at Oppdragsgiver kan heve kontrakten.
Dersom det er grunn til å tro at kravet til lønns- og arbeidsvilkår ikke etterleves, har Xxxxxxxxxxxxx rett til å holde tilbake deler av kontraktssummen til det er dokumentert at forholdet er brakt i orden. Summen som blir holdt tilbake skal tilsvare ca. 2 ganger besparelsen for Leverandøren.
Bilag 6: Samlet pris og prisbestemmelser
Alle priser og nærmere prisbestemmelser for det vederlaget Kunden skal betale for Leverandørens ytelser skal fremgå her i bilag 6. Det skal ikke tilkomme utgifter som ikke er oppgitt i dette bilaget.
Alle priser og kostnader oppgis i NOK og skal oppgis eksklusive mva.
Leverandør skal fylle ut vedlegg 3 – Prisskjema.
Avtalens punkt 4.2 Faktureringstidspunkt og betalingsbetingelser
Kunden ønsker i utgangspunktet månedlig fakturering. Nærmere avklaring gjøres i forbindelse med kontraktsignering.
Fakturagrunnlag skal være spesifisert pr oppdrag/tjeneste.
Tilleggstjenester faktureres pr måned. Fakturagrunnlag skal være spesifisert pr oppdrag/tjeneste. Dersom tjenester etter særlig avtale skal ytes på løpende regning, vil faktura ikke bli betalt før detaljerte timelister er levert. Det vil bli krevet detaljerte timelister brutt ned på dag, hvem som har utført arbeid, og hva arbeidet har bestått i.
Elektronisk faktura
RITS kommunene har innført elektronisk mottak av faktura. Leverandøren skal derfor levere alle fakturaer i et elektronisk format i henhold til format beskrevet her:
Som et ledd i statens satsning på
fornying av offentlig sektor og digitalisering av
offentlige
tjenester, stiller staten krav om at alle
handelsavtaler som inngås etter 1. juli 2012 skal
faktureres i
Elektronisk handelsformat (EHF). EHF er dermed det nye norske
formatet for
elektronisk fakturering i offentlig sektor. EHF
formatet er tilpasset norske forhold og norsk
lovverk, og bidrar
til en mer effektiv behandlingsprosess, både hos leverandøren og
kunden.
Det ligger en forventning om lavere
kostnader for alle parter ved elektronisk fakturering.
Staten
ved Difi forventer at også kommunene følger opp, og RITS- kommunene
oppfordrer
derfor alle våre leverandører om å sende fakturaer
i EHF format.
Leverandører kan produsere faktura i EHF
i eget regnskapssystem eller gjennom
forskjellige
regnskapsfører/fakturautstedere som kan levere i
nytt standard format. Mer info om
Elektronisk Handelsformat se:
xxxx://xxx.xxxxxxxxxxxx.xx/x-xxxxxx/xxxxxxx
For å sende EHF faktura til RITS, benyttes xxx.xx. som fakturaadresse. RITS xxx.xx er 929371763 . Faktura skal alltid merkes med referansekode. Faktura uten referansekode og mangelfulle fakturalinjer per kommune blir returnert.
Det skal utstedes én samlefaktura til RITS med ref-kode og med egne fakturalinjer summert per kommune. Ytterligere detaljer avklares i kontraktsmøte.
For å sende EHF faktura til Kvinnherad kommune, benyttes xxx.xx. som fakturaadresse. Kvinnherad xxx.xx er 964967636 . Faktura skal alltid merkes med referansekode. Faktura uten referansekode og mangelfulle fakturalinjer per kommune blir returnert. For mer informasjon, se xxxxx://xxx.xxxxxxxxxx.xxxxxxx.xx/xxxxxxx.000000.xx.xxxx.
Avtalens punkt 4.5 Prisendringer
Leverandørens priser kan reguleres to ganger årlig, og skal være faste første avtaleår.
Pris reguleres etter konsumprisindeksen, eventuelt annen hensiktsmessig indeks avtalt i kontraktsmøtet.
Avtalens punkt 5.3 Partenes plikter i avslutningsperioden
Som et minimum skal Leverandøren levere tilbake all data og materiale som tilhører Kunden.
Med dette menes data og materiale som var Xxxxxxx før kontraktsinngåelse så vel som data
og materiale som tilhører Kunden etter kontraktsinngåelsen og logisk springer ut av Kundens
IT-virksomhet, og rapporter og materiale som produseres for Kunden i kontraktsperioden.
Bilag 7: Endringer i den generelle avtaleteksten
Avtalens punkt 1.3 Tolkning – rangordning
[Eventuell tekst]
Endringer til den generelle avtaleteksten skal samles her med mindre den generelle avtaleteksten henviser slike endringer til et annet bilag, jf. avtalens punkt 1.3.
Det er mulig å gjøre endringer til alle punkter i avtalen, også der hvor avtaleteksten ikke eksplisitt åpner for dette. Leverandøren bør imidlertid være oppmerksom på at avvik, forbehold og endringer i avtalen kan medføre at tilbudet blir avvist.
Alle endringer skal fremkomme her, slik at teksten i den generelle avtaleteksten forblir uendret. Det må fremkomme klart og utvetydig hvilke bestemmelser i avtalen det er gjort endringer til samt resultatet av endringen.
Eksempel på endringstabell:
Henvisning til avtalens punkt og evt. avsnitt |
Erstattes med |
|
Ny formulering/tekst må angis |
|
|
|
|
|
|
Bilag 8: Endringer av tjenesten etter avtaleinngåelsen
Avtalens punkt 1.4 Endringer av tjenesten etter avtaleinngåelsen
[Eventuell tekst]
Dette bilaget skal ikke fylles ut før avtaleinngåelse, men må ligge ved selv om det foreløpig er tomt.
Dersom Kunden og Leverandøren har kommet til enighet om en endringsavtale (både i forhold til innhold, eventuelt endring i vederlag og endring i tidsplan), skal endringen (innhold, justert vederlag og justert tidsplan) fremkomme her.
Hver endring skal være underskrevet av bemyndiget representant for partene.
Det er Leverandøren som er ansvarlig for at det føres en fortløpende katalog over endringene som utgjør bilag 8. Leverandøren er også ansvarlig for at Kunden uten ugrunnet opphold gis en oppdatert kopi. Kunden må selv holde oversikt over hvilke endringsanmodninger de har sendt og hvilke endringsoverslag de har mottatt.
Xxxxxx er ansvarlig for at endringene det er anmodet om ikke er i strid med regelverket for offentlige anskaffelser. Endringer som anses som vesentlige vil kunne bli betraktet som en ulovlig direkte anskaffelse. Ulovlige direkteanskaffelser er sanksjonsbelagt med et overtredelsesgebyr på inntil 15 % av den ulovlige anskaffelsens verdi. Kontrakten kan også kjennes «uten virkning» av domstolen. Enhver som mener at det er foretatt en direkteanskaffelse kan klage inn Kunden for Klagenemnda for offentlige anskaffelser eller ta ut søksmål for domstolen.
Eksempel på endringskatalog:
Endringsnummer |
Beskrivelse av endringen samt eventuell vederlagsjustering og justering av tidsplan |
Ikraftsettelsesdato |
|
|
|
|
|
|
|
|
|
|
|
|
Bilag 9: Vilkår for Kundens tilgang og bruk av tredjepartsleveranser
I den grad tredjepartsleveranser er inkludert i tjenestene fra Leverandøren, skal kopi av vilkårene for Kundens tilgang og bruk av tredjepartsleveransene være vedlagt her. Alternativt kan Leverandøren angi en lenke til vilkårene her. Vilkårene er bindende for Kunden. I en anskaffelse kan vilkårene gjøres til gjenstand for evaluering. Eksempel på tabell over tredjepartsleveranser
Leverandøren skal her, så godt som man kan forvente av en profesjonell leverandør, beskrive hvilke forpliktelser vilkårene pålegger Kunden og hvilke ansvarsbegrensninger tredjepart forbeholder seg. Dette skal ikke være urimelig byrdefullt for Leverandøren og må tilpasses den enkelte leveranses kompleksitet. Det må også tilpasses den enkelte tredjepartsleveranse og hvor kritisk/risikofull denne er inn i leveransen. Leverandøren skal spesielt påpeke i hvilken grad og i hvilke situasjoner tredjepart vil foreta feilretting, samt hvilke garantier og SLA-krav som gjelder. Det er også viktig å påpeke eventuelle uvanlige eller byrdefulle reguleringer.