Bilag til avtale om løpende tjenestekjøp over internett
Bilag til avtale om løpende tjenestekjøp over internett
Statens standardavtaler for IT-anskaffelser bilag til SSA-L - versjon 2018
SSA-L-2018
Bilag til SSA-L – Avtale om løpende tjenestekjøp av Dokumentskanningstjenester – versjon 2018
Innhold:
Bilag 1: Kundens kravspesifikasjon 3
Bilag 2: Leverandørens beskrivelse av tjenesten 27
Bilag 3: Plan for etableringsfasen 55
Bilag 4: Tjenestenivå med standardiserte kompensasjoner 56
Bilag 5: Administrative bestemmelser 57
Bilag 6: Samlet pris og prisbestemmelser 58
Bilag 7: Endringer i den generelle avtaleteksten 60
Bilag 8: Endringer av tjenesten etter avtaleinngåelsen 61
Bilag 9: Vilkår for Kundens tilgang og bruk av tredjepartsleveranser 62
Bilag 1: Kundens kravspesifikasjon
1.1 Overordnet beskrivelse av dokumentskanningstjenesten
Denne avtalen er etablert mellom partene for leveranse av skanningstjenester og tilhørende tjenester til Kunden i avtaleperioden. Leverandørens hovedansvar er å tilby Kunden fleksible skanningstjenester av god kvalitet.
Leveranse av skanningstjenester omfatter følgende hovedområder:
• Postmottak, grovsortering og håndtering av post
• Skanning og tolkning
• Web-tjeneste for kategorisering og fordeling av post
• Arkiv og arkivadministrasjon
• Logging, rapportering og statistikk
• Integrasjoner med Kundens informasjonssystemer
• Informasjonssikkerhet
1.1.1 Oversikt over Kundens virksomhet og bakgrunn for tjenestene Kunden tilbyr elektroniske løsninger, der det meste av saksbehandling og kundedialog foregår via web-applikasjoner, men på enkelte områder gjenstår fremdeles noe dialog via
papirpost.
Tjenestene under denne avtalen består av å levere håndtering og behandling av papirpost på en moderne og intuitiv måte. Den innkomne papirposten skal skannes, tolkes og klargjøres for videre behandling hos Kunden. Etter skanning og behandling skal posten arkiveres.
Papirposten som skal håndteres deles inn i fire grupper, og består i hovedsak av dokumentasjon som brukes som underlag i saksbehandlingen:
• Brev – består av kundebrev og administrativ post
• Avtale om støtte
• Returpost
• Feilsendt post
Målsetning for skanningstjenestene er følgende:
• Lik flyt på innkomst, skanning og fordeling av post
• Effektive prosesser for behandling av post
• Effektivt og pålitelig digitalt arkiv for lagring og gjenfinning av arkivert post, med god responstid og tilstrekkelig grad av sikkerhet.
Det er vanligvis tre til fire medarbeidere hos Xxxxxx som jobber med kategorisering og fordeling av brev, og i snitt kan det være omkring ti medarbeidere som har tilgang til web- løsningen. I tillegg er det om lag 200 kunde- og saksbehandlere som potensielt vil gjøre oppslag mot tjenesten via Kundens saksbehandlingsløsning. Kunden har skannet dokumenter hos eksterne leverandører siden 2005. Både de fysiske og de elektroniske dokumentene oppbevares hos ekstern leverandør. En del av tjenesten vil bestå i å overta og forvalte dette historiske arkivet.
Leverandørens hovedansvar under denne avtalen er å sikre at tjenestene på en helhetlig måte dekker de formål, funksjoner og krav til mottak, skanning, tolkning, etterbehandling og arkivering av post til Kunden, som er beskrevet i denne avtalen.
1.1.2 Begrepsliste
Begrep | Beskrivelse |
Administrativ post | Post som vedrører administrasjon og drift hos Kunden. |
Avtale om støtte | Dokument Xxxxxxx kunder signerer for å motta støtte. Xxxxxxx returnerer signert avtale med vilkår til Kunden. Avtale om støtte finnes i tre ulike typer: • En signatur (kunde over 18 år) • To signaturer (kunde og foresatte/verge) • En signatur (foresatte) Avtale om støtte kan endres i løpet av avtaleperioden. |
Bilde | Bilde av skannet post. |
Brev | Post til Kunden som enten vedrører kundesaker (Kundebrev) eller drift/administrasjon av Kunden (Administrativ post). |
Bruker | Kundens ansatte som bruker web-løsningen. |
Dokument | Ref. Arkivloven: «Ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lyding, framsyning eller overføring.» Betegnelsen omhandler både fysiske og elektroniske dokumenter. |
Etterkontroll | Xxxxxxx sjekk av signatur på Avtale om støtte som gjøres av Leverandøren når det kommer feilmelding i den elektroniske verifiseringen (tolkningen) av en Avtale om støtte. |
Fordelings- enheten | Et team som kategoriserer og fordeler brev i web-løsningen. I tillegg søker de opp og bestiller fysiske dokumenter fra arkivet. |
Xxxxxxxxx | Xxxx til Xxxxxx som vedrører Kundens kunder. |
Kundepost | Kundebrev og Avtale om støtte som vedrører Kundens kunder. |
Løsning | Leverandørens løsning som benyttes for å levere de tjenestene som dekkes inn under denne avtalen. |
Modulis | Kundens kunde- og saksbehandlingsløsning. |
Originaldokument | Originalt papirdokument som ankommer postmottaket. Xxxxxxxxx og Xxxxxx om støtte skal oppbevares i original etter skanning. |
Post | Alle postforsendelser som ankommer Kundens postboks. |
Returpost | Brev og Avtale om støtte som er sendt til Kundens kunder, men som kommer i retur som følge av feil adresse el.l. Returpost består av to kategorier, med og uten strekkode. Strekkoden er synlig gjennom vinduet i konvolutten. Strekkoden indikerer bl.a. sakstype hos Kunden. |
Saksbehandler | Saksbehandlerne behandler søknader om ytelser fra Kunden. |
Søknad om støtte | Xxxxxxxx for søknad om støtte som ble skannet i perioden fra 2005- 2009, og som er lagret i det elektroniske arkivet. |
Utgående dokument | For enkelte saker sender Kunden brev eller dokumentasjon til kundene utenfor kunde- og saksbehandlingsløsningen Modulis. For |
å få registrert inn dette utgående brevet (som er i papirformat) i Modulis tas det kopi av dokumentet, og så sendes dette til Leverandøren for skanning og fordeling i web-løsningen. Da det er et utgående brev fra Xxxxxx vil det ved kategorisering og fordeling gis denne kategorien og Kunden får tilgang til dokumentet i elektronisk format fra arkivet til Leverandøren. | |
Web-løsning | En Web-basert applikasjon der Kunden kan: 1. registrere metadata og påføre brevtypekategori på de skannede brevene. 2. søke etter og se de skannede dokumentene fra det elektroniske arkivet. 3. søke frem logger, statistikker og rapporter. |
1.1.3 Volum og volumprognoser
Volumet for innkomne papirbrev for de siste årene ser slik ut fordelt på kategori:
ÅR | AVTALE OM STØTTE | SKANNING AV BREV/FORDELING | RETURPOST |
2018 | 38 748 | 59 481 | 20 697 |
2019 | 32 384 | 53 364 | 15 241 |
2020 | 31 711 | 45 280 | 13 191 |
2021 | 18 332 | 40 665 | 14 796 |
2022 – t.o.m. september | 11 917 | 19 411 | 13 563 |
Dokumentvolumet varierer gjennom året, og er størst i periodene august-oktober og januar- mars. Utover disse periodene fordeles innkomsten jevnt gjennom året.
Xxxxxx jobber for å øke digitaliseringen av tjenestene, noe som medfører at det er knyttet usikkerhet til det fremtidige volumet.
Kunden har som kjøpt skanningstjenester siden 2005 og har således hele det elektroniske arkivet for kundepost hos dagens skanningsleverandør. Det elektroniske arkivet omfatter i dag ca. 2 500 GB, og volumet på dette arkivet vil sannsynligvis vokse i avtaleperiode i samsvar med innkomsten av brev.
1.1.4 Mål for informasjonssikkerheten i tjenesten
Tjenesten som skal leveres vil blant annet benyttes til forvaltning av dokumenter som inneholder personopplysninger, særlige kategorier av personopplysninger og stedslokaliserende opplysninger for kunder som fortrolig og strengt fortrolig adresse (innsynskode 4, 6 og 7 fra folkeregisteret). Kunden er behandlingsansvarlig for denne informasjonen, og dermed pliktig til å påse at Leverandøren i sin rolle som databehandler har iverksatt systematiske tiltak for å ivareta informasjonens sikkerhet ut fra attributtene:
• Konfidensialitet: at informasjon kun er tilgjengelig og lesbar for autoriserte personer
• Integritet: at informasjon kun kan endres eller slettes av autoriserte personer
• Tilgjengelighet: at informasjon og tjenester er tilgjengelig for autoriserte personer ved forespørsel
Leverandøren er ansvarlig for å levere en helhetlig, proaktiv og fullstendig løsning som beskytter informasjonen som forvaltes i tjenesten – både fysisk og digitalt.
Det er svært viktig at det finnes tiltak i løsningen som forhindrer at Leverandørens løsning kan benyttes som springbrett for uthenting av informasjon fra Kundens løsninger, eller som kilde til å spre skadevare inn i Kundens løsninger.
Sikringskravene som angis i dette bilaget er beskrevet på et overordnet nivå (hva skal implementeres, ikke hvordan), og de angir områder Kunden mener er viktig å belyse ut fra informasjonen som inngår i forvaltningen av tjenesten. Leverandøren må utlede hvordan kravene på best mulig måte vil realiseres i tjenesten.
Leverandøren har ansvar for å foreslå ekstra sikringstiltak som del av tilbudet, der de ser at kravene ikke er tilstrekkelige. Dette skal beskrives som del av Leverandørens tjenestebeskrivelse i bilag 2.
1.2 Funksjonelle tjenester
1.2.1 Mottak, sortering og håndtering av brevpost
Posten som skal håndteres av dokumentskanningstjenesten kan deles i fire hovedgrupper:
1. Brev, består av to typer:
• Kundebrev: Post til Kunden som vedrører Kundens kunder
• Administrativ post: Post som vedrører administrasjon og drift av Kunden.
2. Avtale om støtte består av:
• Studenter/elever som har fått innvilget sin søknad om studiestøtte mottar et vedtaksbrev fra Kunden der Avtale om støtte ligger som et vedlegg til brevet. Studenten/eleven skal signere og returnere avtalen i egen returkonvolutt som er vedlagt vedtaksbrevet. Avtale om støtte er utformet i et bestemt format og inneholder strekkoder og utfyllingsfelter som skal tolkes maskinelt hos Leverandøren. Avtale om støtte finnes i tre typer:
o En signatur: elev/student signatur
o To signaturer: elev- og foreldresignatur
o En signatur: foresatte signatur
3. Returpost består av to typer:
• Returpost med strekkode: Brev sendt fra Kunden til studenter/elever merket med ulike strekkoder som indikerer ulike sakstypekategorier, og som av ulike årsaker kommer i retur. Strekkodene vil være synlige gjennom vinduet i konvoluttene.
• Returpost uten strekkode: Dette er brev sendt fra Kunden til studenter/elever/tredjeparter uten strekkode, og som av ulike årsaker kommer i retur.
4. Feilsendt post består av:
• Post adressert til andre som er feilsendt til Kunden
Nr. | Krav | Kategori |
1 | Leverandøren skal etablere og administrere en postboks for mottak av all post til Xxxxxx. | A |
2 | Leverandøren er ansvarlig for å transportere posten fra postboks til sine lokaler for behandling. | A |
3 | Leverandøren skal ta imot og håndtere rekommandert post til Kunden | A |
4 | Postmottaket skal administreres av Leverandøren. Posten skal grovsorteres, åpnes og sorteres etter de fire hovedgruppene som er listet opp innledningsvis i dette avsnittet: • Brev (xxxxxxxxx og administrativ post) • Avtale om støtte • Returpost • Feilsendt post | A |
5 | Det skal kontrolleres at posten har kommet til rett mottaker. Post med annen adressat enn Xxxxxx og som er feilsendt Kunden, skal plukkes ut og returneres uåpnet til Posten. Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. | B |
6 | Post til Kunden grovsorteres først i to hovedkategorier: De som skal skannes og de som ikke skal skannes. Post til Xxxxxx som ikke skal skannes, skal sendes daglig til Kunden. Kunden har en egen postadresse for denne type post. Dette kan være pakker, reklame, fakturaer, sjekker, inn- og utbetalingsblanketter, annen verdipost og tidsskrifter. | A |
7 | Ved videresending av mottatt verdipost skal eventuelle brev vedlagt verdiposten skannes før videresending, og så skal konvolutten verdiposten lå i sendes med sammen med brevet og verdiposten (selve verdiposten, dvs. sjekk el.l skal ikke skannes) til Kunden. | A |
8 | Det skal ved sortering og behandling av brev, herunder returpost uten strekkode, og Avtale om støtte være rutiner som sikrer at vedlegg knyttes sammen med korrekt dokument. | A |
9 | Alle brev og Avtale om støtte som er ødelagte (krøllete, avrevne etc.) skal repareres i den grad det er mulig slik at de kan skannes og tolkes. Lar de seg ikke reparere skal de sendes til Kunden. | A |
10 | Returpost som kommer inn til Kunden kan som utgangspunkt deles i to kategorier. Returpost med og uten strekkode. Disse vil ha ulik saksgang. • Returpost uten strekkode skal åpnes, sorteres og skannes som brev. • Returpost med strekkode skal ikke åpnes, men sendes direkte til skanning og tolkning. | A |
1.2.2 Skanning og tolkning
Etter at posten er åpnet og sortert skal den skannes og tolkes etter kriteriene som fremgår under.
Nr. | Krav | Kategori |
11 | Skanning av brev Denne gruppen omhandler kundebrev og administrativ post. Brevene som kommer inn skal kun skannes, dvs. det skal ikke foretas tolkning av dokumentene. De skannede brevene skal overføres Kunden for videre kategorisering og behandling. | A |
12 | Hvert dokument skal gis et unikt nummer (arkivreferanse). Nummeret skal være logisk oppbygd og entydig, og skal inneholde datoen dokumentet er skannet. | A |
13 | Brev med vedlegg skal skannes som ett dokument. | A |
14 | Skanning og tolkning av Avtale om støtte De signerte avtalene skal både skannes og tolkes hos Leverandøren. Det er tre ulike typer Avtale om støtte jf. Kulepunkt 2 i starten av kapittel 1.2.1. Tilbudt løsningen må kunne håndtere skanning og tolkning av alle typene samtidig. | A |
15 | Dokumentene for Avtale om støtte endres i forbindelse med overgang fra et undervisningsår til et annet. Løsningen må kunne håndtere to ulike versjoner av hver type Avtale om støtte samtidig. Tilbudt løsningen må kunne håndtere skanning og tolkning av alle versjoner samtidig. | A |
16 | Avtale om støtte vil inneholde både alfanumeriske felter, strekkode og felt fylt ut manuelt av kundene (felt for dato og signatur). Løsningen som skal benyttes for å levere tjenestene må kunne tolke alle typer felter. Det som skal tolkes er følgende: • Alfanumeriske felt: består av tall og bokstaver • Strekkoden: består av kundenummer, type, versjon og saksnummer. Løsningen må kunne lese disse feltene • Utfyllingsfelter: består av felt fylt ut av kundene: datofelt og signaturfelt – skal tolkes om dette er fylt ut eller ikke. Det skal ved skanning angis om Avtale om støtte har vedlegg eller ikke. | A |
17 | Alle Avtale om støtte skal sjekkes mot xxxxxxx00-kontroll. Skannede Avtaler om støtte som ikke oppfyller xxxxxxx00-kontroll skal gå til manuell korrigering hos Leverandøren inntil xxxxxxx00– kontrollen oppfylles. | A |
18 | Leverandøren må ha en løsning for å håndtere de Avtalene om støtte som ikke går igjennom den maskinelle tolkningen. | A |
Nr. | Krav | Kategori |
19 | Avtaler om støtte som ikke går gjennom den maskinelle tolkningen skal tolkes manuelt. Dersom det i den manuelle kontrollen er tvil om feltene i blanketten er fylt ut, skal Avtale om støtte sendes til Kunden for videre behandling. | A |
20 | Det er viktig for Kunden at alle Avtaler om støtte tolkes korrekt. Leverandøren skal beskrive hvordan man ivaretar dette kravet i tilbudt løsning. | B |
21 | Skanning og tolkning av returpost med strekkode: Returpost med strekkode skal i tillegg til skanning, tolkes maskinelt i Leverandørens løsning. Skanning og tolking av strekkode på returpost skal resultere i metadata for brevet, som skal overføres til Kunden. Metadata er arkivreferanse, kundenummer/personnummer, bilagsnummer og en kode som viser hvilken type post Kunden har fått i retur. | A |
22 | Alle skannede dokumenter skal kunne fremvises i bildeformat i web-løsningen og i Kundens saksbehandlingsløsning ved oppslag. Oppløsning og format på de skannede bildene skal være av høy kvalitet og gi en korrekt gjengivelse (bilde) av originaldokumentet. | A |
23 | Alle brev (kundebrev og administrativ post) skal klargjøres og tilgjengeliggjøres for Kunden i en web-løsning for videre behandling av Kunden. | A |
24 | Alle dokumenter som er skannet og tolket, herunder Avtale om støtte og returpost med strekkode, overføres direkte til Kunden. Registrerte og tolkede metadata samt bilde overføres. | A |
1.2.3 Registrering og kategorisering av brev
Etter at dokumentene er skannet skal kundebrev og administrativ post tilgjengeliggjøres for Kunden i en web-løsning, der Kunden kan hente opp disse dokumentene for videre verifisering, registrering og kategorisering. I tabellen under fremkommer krav til prosessen og løsningen som skal tilbys.
Nr. | Krav | Kategori |
25 | Det skal leveres en web-basert løsning der de de skannende brevene presenteres for Xxxxxx. Brevene skal kunne kategorisere etter gitte brevtypekategorier. | A |
26 | I registreringsbildet til web-løsningen skal, i tillegg til bilde av brevet, følgende data om dokumentet fremkomme: • Dokumentets arkivreferanse hos Leverandøren • Dato for skanning • Mottatt dato | A |
Nr. | Krav | Kategori |
27 | Alle de innskannede brevene skal tilgjengeliggjøres for Kundens brukere i en felles arbeidsliste. Det skal være funksjonalitet for at dokumentene presenteres fortløpende for brukerne etter skannetidspunkt. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
28 | Tilbudt web-løsning for kategorisering og fordeling av brev skal ha funksjonalitet for at Kunden kan registrere følgende: • Kundenummer (7 sifre) • Fødselsnummer til kunden (11 sifre) • Kategori (brevtypekategori) • Fritekst (bør) • Angivelse av om dokumentet er ferdigbehandlet • Bestilling av dokumentet i originalformat • Felt for å angi om dokumentet er inngående eller utgående Felt for kundenummer og brevtypekategori skal være obligatoriske. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
29 | Det skal være mulig å registrere minst to kundenumre på ett dokument. | A |
30 | Kunden er pålagt å registrere kundenummer og brevtypekategori for all kundepost. Feltene for dette må derfor valideres. Kundenummer valideres mot antall sifre som kan registreres. Brevtypekategori valideres mot et sett av gyldige brevtypekategorier definert av Xxxxxx. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
31 | Det skal være mulig å legge til, endre eller fjerne brevtypekategorier. Xxxxxx skal selv kunne administrere dette. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
32 | Det skal være mulig å forhåndsdefinere opp til 150 unike brevtypekategorier til fordeling av brev. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
33 | Når brukeren har registrert ferdig data på dokumentet og lagrer dette, skal de registrerte metadataene lagres på dokumentet og knyttes opp mot arkivreferansen. Etter lagring skal neste dokument i køen komme automatisk opp for verifisering, kategorisering og registrering. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
Nr. | Krav | Kategori |
34 | Dersom Kunden ikke har nok opplysninger til å ferdigbehandle et dokument, skal det være funksjonalitet for å kunne sette dokumentet på ”vent”. Metadata til dokumenter som står på ”vent” skal ikke overføres til Kunden før endelig registrering er ferdig. Dokumenter skal kunne ligge på vent på ubestemt tid. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
35 | For administrativ post og for kundebrev som settes på vent, skal det ikke være et krav om å fylle inn kundenummer under registrering og kategorisering. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
36 | Xxxxxx skal kunne søke og hente opp brev som er satt på ”vent”. Søkekriteria for dokumenter som står på vent skal være: Kundenummer, personnummer, kategori, mottaksdato og evt. arkivreferanse. | A |
37 | Det skal være funksjonalitet for at Kunden kan registrere et brev som ”ferdigbehandlet”. | A |
38 | Det skal være funksjonalitet for å kunne hente opp brev som er ferdigbehandlet i web-løsningen og endre på metadata før overføring til Kunden. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
39 | Etter at dokumentene er skannet og Kunden har kategorisert brevene skal alle metadata som er registrert på dokumentene samt bilde overføres til Kunden. | A |
40 | Det skal være funksjonalitet i løsningen for å omfordele et kundebrev fra en kunde til en annen kunde. (Dette gjelder der et dokument er registrert på feil kunde). Dersom det gjøres etter overføring, må metadata overføres på nytt. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
41 | Det skal være funksjonalitet for å omfordele deler av et kundebrev fra en kunde til en annen. | A |
1.2.4 Ytelse og volumer
Nr. | Krav | Kategori |
42 | Post skal hentes fra postboksen hver virkedag. Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. | B |
Nr. | Krav | Kategori |
43 | Post til Xxxxxx som ikke skal skannes, skal sendes til Kunden senest innen kl. 12 første virkedag etter at posten har ankommet postboksen. Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. | B |
44 | Kundebrev og administrativ post skal være tilgjengelig for Kunden i web-løsningen så snart som mulig og senest innen klokken 12.00 første virkedag etter brevet har ankommet postboksen. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
45 | Avklaringer og avvikshåndtering i forbindelse med behandling av innkommet post skal skje så snart som mulig, og senest slik at de øvrige frister i dette punktet kan overholdes. | A |
46 | Metadata og bilde for kundebrev skal overføres fra Leverandøren til Kunden så snart som mulig, etter at posten er kategorisert og fordelt av Kunden i web-løsningen. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
47 | Metadata og bilde for administrativ post skal overføres fra Leverandøren til Kundens arkivsystem så snart som mulig etter at posten er fordelt i web-løsningen. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
48 | Metadata og lenke til bilde for Avtale om støtte og metadata for returpost med strekkode skal overføres fra Leverandøren til Xxxxxx så snart som mulig etter at posten er skannet inn i løsningen. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
49 | Tjenesten skal være skalert til å håndtere det estimerte volumet post og arkivering. Dette gjelder spesielt i forhold til perioder med høy aktivitet. | A |
50 | Det forventes at responstiden i web-løsningen er god. Dette gjelder ved oppslag på dokumenter, gjennomføring av aktiviteter, oppslag på dokumenter fra Modulis, osv. Leverandøren skal beskrive hvordan det arbeides for å holde responstiden i løsningen lav over tid. | B |
1.2.5 Funksjonalitet i Web-løsningen
Nr. | Krav | Kategori |
51 | Det skal i web-løsningen kunne søkes opp alle dokumenter/dokumenttyper som er elektronisk lagret i arkivet enten ved hjelp av arkivreferanse eller kundenummer. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
Nr. | Krav | Kategori |
52 | Flere brukere må kunne søke opp, og hente fram samme dokument samtidig. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
53 | I web-løsningen skal det kunne søkes på søknader om støtte i historisk arkiv med fødselsnummer og/eller arkivreferanse som nøkkel. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
54 | Det bør i web-løsningen kunne søkes på brev med kundenummer og/eller arkivreferanse straks etter at brev er kategorisert og fordelt. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
55 | Det bør i web-løsningen kunne søkes på Avtale om støtte med kundenummer og/eller arkivreferanse straks etter at Avtale om støtte er skannet og tolket. Bilde av Avtale om støtte skal da kunne fremvises for bruker. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
56 | Det skal være funksjonalitet i web-løsningen for å kunne bestille originaldokumentet tilsendt til Kunden. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
57 | Skjermbildene skal være intuitive og brukervennlige. Det skal være mulig å endre på rekkefølgen av feltene i skjermbildet. Brukervennligheten bør inkludere: - Plassering og rekkefølge av felter - Visualisering av obligatoriske, valgfrie, låste felter og tomme felter - Konsistens i ordbruk og forkortelser - Feilmeldinger og andre hjelpetekster - Rapportbestilling, visning, eksport og print - Hjelpefunksjon - Navigeringsmåte Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
58 | All ledetekst og hjelpetekster i arbeidsflatene skal være på norsk (bokmål) med korrekt skrivemåte og god språkbruk. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
59 | Brukere skal i web-løsningen ha mulighet for å veksle mellom ulike sider i skannede dokumenter på skjermen. | A |
Nr. | Krav | Kategori |
60 | Det skal være en funksjonalitet i løsningen for raskt å kunne gå til toppen eller bunnen av et dokument. | A |
61 | Det skal være mulig å skrive ut et skannet dokument i én operasjon, dvs. uten å måtte skrive ut side for side. Det skal også være mulig å angi og skrive ut enkeltsider. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
62 | Bilder skal kunne forstørres og forminskes. Hele dokumentet skal påvirkes av ønsket endring. | A |
63 | Bilder skal kunne roteres. | A |
1.3 Arkiv og arkivadministrasjon
I punktene under fremkommer nærmere krav til arkivering og arkivadministrasjon.
1.3.1 Fysisk arkiv
Nr. | Krav | Kategori |
64 | Kundebrev og Avtale om støtte skal etter skanning, tolkning og behandling arkiveres hos Leverandøren. | A |
65 | Den administrative posten, skal slettes umiddelbart etter at dokumentet er overført Kunden. | A |
66 | Leverandøren skal ha ansvar for arkivering og å ivareta krav i Arkivloven med forskrifter til lagring av arkivdokumenter (både fysiske og digitale brev) for de delene av dokumentbehandlingen Leverandøren skal utføre for Kunden. Herunder krav til lagring av fysiske og digitale dokumenter, krav til fysiske arkivlokaler, og krav knyttet til sletting (kassasjon) av dokumenter. Arkivverdig dokumentasjon / Masterdata og sikkerhets- kopier skal lagres på "norsk jord" ihht arkivloven §9 b. For mer informasjon se - Skylagring og skanning i utlandet - Arkivverket | A |
67 | Leverandøren skal overta ansvaret og forvaltningen for alle de arkiverte originale dokumentene fra nåværende leverandør. Krav til proveniens (gjelder både for papirarkiv og digitalt arkiv): Den opprinnelige orden og den indre sammenhengen i arkivet som blir overtatt fra tidligere leverandør skal så langt som mulig opprettholdes. Det vil si at arkivet skal, så langt det er mulig, overføres/transporteres, behandles og oppbevares i sin opprinnelige orden. | A |
68 | Det skal være funksjonalitet for å kunne bestille originaldokumentet som er arkivert i arkivet hos Leverandøren tilsendt til Kunden. Dokumentet skal da hentes ut av det fysiske arkivet og sendes til Xxxxxx senest innen tre virkedager etter bestilling. | A |
Nr. | Krav | Kategori |
69 | Makulering av papirdokumenter skal foregå på en trygg måte, ihht til anerkjente standarder som gjelder for dette. Som hovedregel skal originaldokumentet for brev, returpost uten strekkode og Xxxxxx om støtte makuleres 90 dager etter skanningsdato. Leverandøren bes om å beskrive sine rutiner for hvordan dokumenter vil makuleres og dermed hvordan dette kravet vil ivaretas gjennom tilbudte tjenester. | B |
70 | Det kan bli behov for at Leverandøren må lagre originaldokumentet for brev og Avtale om støtte etter skanning utover 90 dager, dersom Xxxxxx har behov for ette. Dokumentene makuleres i slike tilfeller når Kunden gir beskjed om dette. Leverandøren skal gi en kort beskrivelse av hvordan kravet ivaretas i tilbudt løsning. | B |
71 | Emballasje for oppbevaring av papirarkiv må tilfredsstille Riksarkivarens krav, ISO-9706. | A |
1.3.2 Elektronisk arkiv
Det elektroniske arkivet består av dokumenter som er skannet inn siden 2005. Dokumentene som finnes i arkivet består av ulike typer, herunder kundebrev, Avtaler om støtte, gjeldsbrev og søknader om støtte. De to siste typene skannes ikke lengre, men er lagret elektronisk og skal kunne søkes frem i arkivet.
Nr. | Krav | Kategori |
72 | Alle dokumentene som skannes skal lagres i et system som oppfyller Riksarkivarens krav om elektronisk arkivering av saksdokumenter så langt de er relevante. Leverandøren skal gi en kort beskrivelse av hvordan dette kravet ivaretas i tilbudt løsning. | B |
73 | For lagring av elektroniske dokumenter skal det benyttes fullgode systemer, rutiner, dokumentlagringsformater og lagringsmedium som er godkjent av Riksarkivaren. Leverandøren skal bekrefte at dette kravet er oppfylt, og gi en kort beskrivelse av hvordan dette kravet ivaretas i tilbudt løsning. | B |
Nr. | Krav | Kategori |
74 | De skannede dokumentene skal lagres i det godkjente arkivformatet som krever minst lagringsplass. Krav til lagring og konvertering: Dokumentformater må kunne oppdateres/konverteres til de enhver tid gjeldende dokumentformater ihht til regelverk fastsatt av Riksarkivaren, for å tilfredsstille nye krav som måtte komme i fremtiden. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
75 | Leverandøren skal overta ansvaret for forvaltning av de historiske elektroniske arkivene for all post til Kunden. Referanser for lenker for oppslag til digitalt arkiv direkte fra Kundens saksbehandlingsløsning, Modulis, skal opprettholdes. | A |
76 | Kunden skal kunne slette et dokument i det elektroniske arkivet. • Funksjon for å utføre kassasjon (sletting) i det elektroniske arkivet skal kunne begrenses til å omfatte utvalgte dokumenter, f.eks. alle dokumenter som tilhørere en bestemt kategori/klasse. • Det skal være mulig å utføre kassasjonen som en automatisk prosess, men det skal også være mulig å be om å få spørsmål om kassasjon er aktuelt for hvert eneste dokument. • Det skal være mulig å angi at kassasjon enten innebærer bevaring av metadata (mens selve dokumentet slettes) eller at kassasjon innebærer sletting av både dokumentet og tilhørende metadata. • Løsningen må inneholde metadata for utført kassasjon. • Funksjonen for å slette et dokument i arkivet skal være autoritetsbelagt. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
77 | Det skal være funksjonalitet for at metadata kan endres i Kundens saksbehandlingsløsning etter overføring. Xxxxxxx metadata overføres deretter fra Kundens saksbehandlingsløsning til Leverandøren for oppdatering i det elektroniske arkivet. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
78 | Alle de skannede dokumentene, både de som er overtatt fra tidligere leverandør og de som skannes under denne avtalen skal lagres elektronisk i hele avtaleperioden. Dokumenter kan kun slettes på bestilling fra Kunden. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
1.4 Logg, rapport og statistikk
Nr. | Krav | Kategori |
79 | Leverandøren skal tilby et grensesnitt i web-løsningen hvor Kunden kan hente ut logger, rapporter og statistikk. Se kravene under for utdyping av hvilke uttrekk Kunden ønsker. | A |
80 | Xxxxxx skal kunne hente ut rapporter som minimum inneholder: • Antall brev mottatt • Antall avtaler om støtte mottatt • Antall returpost mottatt • Antall feilsendt post mottatt • Antall skannede dokumenter som ligger i kø til fordeling • Antall skannede dokumenter som er fordelt • Antall ark skannet • Antall brev satt til vent • Antall Avtale om støtte skannet og tolket • Antall Avtale om støtte overført Xxxxxx • Antall Avtale om støtte til manuell kontroll • Antall innkommet post som er mottatt, skannet og behandlet per type, per dag, per uke, per måned, per år. • Antall brev som er mottatt per brevtypekategori. • Antall Avtale om støtte som er mottatt og skannet per dag, per uke, per måned og per år. • Antall returpost mottatt og skannet per dag, per uke, per måned, per år. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
81 | Det skal i web-løsningen fremkomme hvor mye skannet post som til enhver tid ligger klar til kategorisering, hvor mye som er ferdigkategorisert og hvor mye post som ligger i ventearkiv. Oversikten over hvor mye av den skannede posten som er fordelt og hvor mye som ikke er fordelt må oppdateres fortløpende i web- løsningen. | A |
82 | Leverandøren skal logge hendelser for å kunne spore behandlingen for ett enkelt dokument både av Kunden og av Leverandøren. | A |
1.5 Tekniske krav og integrasjon med Kundens informasjonssystemer
1.5.1 Generelle tekniske krav
Sikkerhetskravene som er angitt i kapittel 1.6Feil! Fant ikke referansekilden. vil også være førende for implementasjonen av de tekniske kravene.
Nr. | Krav | Kategori |
83 | Web-løsningen må fungere i de mest utbredte nettleserne som Kunden benytter, dette er Google Chrome, Microsoft Edge og Internet Explorer, uten spesielle tillegg ut over PDF-leser. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
84 | All utveksling av data og informasjon mellom Leverandøren og Kunden skal i utgangspunktet skje med initiering fra Kunden. Unntak er f.eks. dersom Leverandørens system tilbyr mulighet til å varsle om nye eller endrede dokumenter via en webhook eller lignende. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
1.5.2 Teknisk integrasjon
Nr. | Krav | Kategori |
85 | Dataformater som benyttes skal være åpent tilgjengelig og kunne behandles maskinelt. | A |
86 | Web-løsningen bør leveres med integrasjon mot Kundens katalogtjeneste (Azure Active Directory) Leverandøren bes beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
87 | Kundens saksbehandlingssystem skal kunne laste ned dokumenter fra det elektroniske arkivet i PDF-format via HTTP GET. Leverandøren bes beskrive i dette grensesnittet i avtalens punkt 3.4, og hvordan det sikres mtp. tilgangskontroll. Dersom Leverandøren tilbyr andre grensesnitt for nedlasting av dokumenter ønskes også disse beskrevet. | A |
88 | Dokumenter som er kategorisert som kundebrev eller Avtale om støtte skal kunne: • Refereres i Kundens saksbehandlingssystem som en unik URL, f.eks. basert på arkivreferanse • Lastes ned av Kundens saksbehandlingssystem som PDF basert på overnevnte URL Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
89 | Løsningen skal tilby et teknisk grensesnitt for å overføre administrativ post til Kundens administrative arkiv. Leverandøren skal beskrive hvilke grensesnitt som tilbys som dekker dette formål. | B |
Nr. | Krav | Kategori |
90 | Løsningen skal tilby et teknisk grensesnitt for å hente ut informasjon om – og metadata for - nye dokumenter av typen Avtale om støtte, kundebrev og returpost med strekkode. Grensesnittet vil bli benyttet til å identifisere hvilke dokumenter som skal lastes over til Kundens saksbehandlingssystem. Leverandøren bes beskrive hvilke grensesnitt som tilbys som dekker dette formål og hvilke data som leveres. | B |
91 | Løsningen skal tilby et teknisk grensesnitt for å endre gradering på dokumenter, for Kunder med gradering som ansatt, kode 4, 6 og 7. Leverandøren bes beskrive hvilke grensesnitt som tilbys og som dekker dette formålet. | A |
92 | Løsningen skal levere synkrone eller asynkrone kvitteringer til avgivende system ved mottak av melding/data. Kvitteringen skal inneholde informasjon om mottaket er godtatt eller ikke og eventuelt feilmelding. Løsningsforslaget må angi om man støtter synkrone, asynkrone eller begge kvitteringsmetoder. Leverandøren skal beskrive/legge ved teknisk dokumentasjon som beskriver hvordan dette kravet vil ivaretas i tilbudt løsning. | A |
1.5.3 Videreutvikling, skalerbarhet og endringer
Nr. | Krav | Kategori |
93 | Løsningen som benyttes for å levere tjenestene under denne avtalen skal være skalerbare og dimensjonert for å kunne håndtere det estimerte antall dokumenter og volumer. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
94 | Løsningen som benyttes for å levere tjenestene under denne avtalen skal kunne ta høyde for en vesentlig endring i antall behandlede dokumenter. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
1.5.4 Teknisk administrasjon av løsningen
Nr. | Krav | Kategori |
95 | Kundens brukere skal autentiseres via Single Sign On (SSO) når de skal aksessere web-løsningen. Kunden styrer per i dag tilgang til flere løsninger, internt og eksternt, gjennom en intern brukerkatalog. SSO mot eksterne tjenester settes opp vha. Application registration/Enterprise Application i Azure AD. Xxxxxx har god erfaring med anvendelser av denne typen autentisering for interne brukere som skal ha tilgang til eksterne systemer. Leverandøren skal beskrive hvordan dette kravet vil bli ivaretatt i tilbudt løsning. | B |
96 | Det bør i web-løsningen være mulig for Kunden å administrere brukere og rettigheter selv, enten via webgrensesnitt i løsning eller ved å bruke tilgangsgrupper i Kundens Azure Active Directory (AAD). Kunden foretrekker å gjøre dette via tilgangsgrupper i Kundens AAD. Leverandøren skal beskrive hvordan dette kravet vil bli ivaretatt i tilbudt løsning. | B |
1.6 Informasjonssikkerhet
1.6.1 Fysisk sikring
Nr. | Krav | Kategori |
97 | Leverandøren skal sørge for at datasentre er tilstrekkelig beskyttet mot fysisk inntrengning, gjennom fysiske barrierer og adgangskontroll slik at Kundens data er sikret mot fysiske innbrudd. Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. | B |
98 | Leverandøren skal sørge for at lokaler hvor fysiske papirarkiv oppbevares er tilstrekkelig beskyttet mot fysisk inntrengning, gjennom fysiske barrierer og adgangskontroll slik at Kundens data er sikret mot fysiske innbrudd. Kun autorisert personell skal ha tilgang til Kundens fysiske arkiver. Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene slik at oppfyllelse kan kontrolleres av kunden. | A |
99 | Leverandøren skal sørge for tilstrekkelig sikkerhet av posten under transport fra postboks til Leverandørens lokaler. Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene slik at oppfyllelse kan kontrolleres av kunden. | A |
1.6.2 Teknisk sikkerhet
Kunden har i sin kunde- og saksbehandlingsløsning Modulis funksjonalitet for å kunne styre tilgang til kunder/informasjon basert på rolle og type opplysninger det gis tilgang til.
Tilgangsstyring benyttes for å segmentere hvilke brukere/saksbehandlere som får innsyn i informasjon tilhørende kunder som enten er ansatt/innleid hos Kunden (Ansatt Kunde), kunder som krever ekstra skjerming mot innsyn i lokaliserende informasjon (innsynskode 4, 6 og 7 fra folkeregisteret) i henhold til folkeregisterforskriften (Skjermet Kunde) og øvrige kundeforhold.
I autorisasjonsskjemaet under gis en nærmere oversikt over dette.
Rolle/ Autorisasjon Gradering | Rolle 1 | Rolle 2 | Rolle 3 | Rolle 4 |
Øvrige kundeforhold | Ingen begrensning | Ingen begrensning | Ingen begrensning | Ingen begrensning |
Ansatt Kunde | Ikke tilgang | Ingen begrensning | Ikke tilgang | Ingen begrensning |
Skjermet kunde | Ikke tilgang | Ikke tilgang | Ingen begrensning | Ingen begrensning |
Nr. | Krav | Kategori |
100 | Kundens pålogging til Driftstjenestens brukergrensesnitt og andre tekniske integrasjonspunkter skal være beskyttet med moderne autentiserings- og autorisasjonsmekanismer som samsvarer med autorisasjonsskjema beskrevet innledningsvis i dette del-kapittelet. Kunden skal til enhver tid ha full oversikt over de personer som er autorisert for tilgang, og hvilket tilgangsnivå de har. Leverandøren skal beskrive hvordan autentisering og autorisasjon ivaretas i alle deler av tilbudt løsning/tjenester slik at oppfyllelse kan kontrolleres av kunden. | A |
101 | Drifts- og administrasjonsgrensesnittene som Leverandøren benytter for forvaltning av Driftstjenestene skal være beskyttet med moderne autentiserings- og autorisasjonsmekanismer, herunder multi-faktor autentisering (MFA). Leverandøren skal til enhver tid ha full oversikt over de personer hos Leverandøren, eller underleverandører, som er autorisert for tilgang til Kundens data. Leverandøren plikter å gi Kunden innsikt i antall personer med tilgang til Kundens data, for seg selv og potensielle underleverandører. Leverandøren skal beskrive hvordan autentisering og autorisasjon ivaretas i alle deler av tilbudt løsning/tjenester slik at oppfyllelse kan kontrolleres av kunden. | A |
Nr. | Krav | Kategori |
102 | Leverandøren bør begrense tilgang til de tekniske grensesnittene i Driftstjenestene for all annen nettverkstilgang enn fra Kundens IT- infrastrukturs sikre sone. Dette for å forhindre eksterne muligheter for cyberangrep mot tjenestene. Dette kan eksempelvis oppnås ved god konfigurasjon av brannmurer, gjennom god tilgangskontroll, VPN-oppsett, dedikerte linjer eller gjennom en kombinasjon av disse og tilsvarende tiltak. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning for hvert av de tekniske grensesnittene som kreves i løsningen. Eventuelle krav som stilles til Kundens infrastruktur for å gjøre dette mulig må beskrives. | B |
103 | Leverandøren skal sørge for at konfidensialitet ivaretas for Kundens informasjon som lagres og prosesseres i arkivet. Informasjon skal ikke være tilgjengelig for andre enn autorisert personell hos Leverandøren, eller hos Kunden. Dette gjelder både fysisk og digital informasjon. Leverandøren skal beskrive hvordan konfidensialitet ivaretas i alle deler av tilbudt løsning/tjenester slik at oppfyllelse kan kontrolleres av kunden. Det skal legges inn anmerkninger der det foreligger en forventning/antagelse om at konfidensialitet under lagring og prosessering er ivaretatt av andre enn Leverandøren. | A |
104 | Leverandøren skal ha mekanismer på plass for å kunne monitorere og oppdage digitale angrep og innbrudd, og skal ha mekanismer på plass som forhindrer at skadevare overføres fra Leverandørens til Kundens infrastruktur. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
105 | Informasjonssikkerhetshendelser hos Leverandøren som kan påvirke Kunden skal varsles Kunden umiddelbart. Dette gjelder både for fysiske og digitale løsninger der Kunden oppbevarer informasjon, eller har tekniske integrasjoner med Leverandøren. Leverandøren skal beskrive hvordan varsling ivaretas gjennom de tilbudte tjenestene slik at oppfyllelse kan kontrolleres av kunden. | A |
Nr. | Krav | Kategori |
106 | Leverandøren skal sørge for at konfidensialitet og integritet ivaretas for Kundens informasjon under transport, primært gjennom å tilby kryptering av kommunikasjonskanalene på alle grensesnitt som gjelder for tjenesten. Transportlagsbeskyttelsen skal alltid være oppdatert, ta i bruk anerkjente protokoller for konfidensialitets- og integritetsbeskyttelse, og være i henhold til god praksis, slik som beskrevet i RFC7525. Leverandøren skal beskrive hvordan transportlagsbeskyttelsen ivaretas for alle kommunikasjonskanaler som er tilbudt i løsningen slik at oppfyllelse kan kontrolleres av kunden. Det skal legges inn anmerkninger der det foreligger en forventning/antagelse om at kanalsikring er ivaretatt av andre enn Leverandøren. | A |
107 | Kunden vil daglig overføre en oversikt over kunder som krever ekstra skjerming mot innsyn i lokaliserende informasjon, slik som adresse og studiested. Når denne meta-informasjonen legges på et kundedokument skal det påvirke hvordan dokumenter er tilgjengelig for Kundens medarbeidere i saksbehandlingsløsningen Modulis og i brukergrensesnittene Leverandøren tilbyr jf. beskrevet autorisasjonsskjema. Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning slik at oppfyllelse kan kontrolleres av kunden. | A |
108 | Leverandøren bes i tillegg om å skissere en løsning som viser hvordan skjermingen mot innsyn i lokaliserende informasjon, slik som adresse og studiested kan påvirke hvilke personer hos Leverandøren som får tilgang til, og innsyn i disse personenes dokumenter, og hvilke ekstra sikringstiltak som kan tilbys for dokumentene tilhørende denne kundegruppen. Ekstra sikringstiltak kan eksempelvis være: - Kryptering av de lagrede dokumentene - Lagring på et særskilt avgrenset arkivområde - Lagring på tilgangskontrollert område som reduserer innsynsmulighet både for Kundens og Leverandørens medarbeidere - Andre forslag | B |
109 | Dokumenter i arkivet skal gis gradering som styrer hvilke brukere/saksbehandlere som har tilgang til å gjøre oppslag og se dokumentet i arkivet. Dette gjelder både ved direkte oppslag i web- løsningen og ved oppslag via Modulis. For å ha et enhetlig system å forholde seg til er det ønskelig at brukernes rettigheter og tilgang til graderte kunder/dokumenter følger de samme rettigheter som de har i Modulis. Leverandøren skal beskrives hvordan dette kravet er ivaretatt i tilbudt løsning slik at oppfyllelse kan kontrolleres av kunden. | A |
Nr. | Krav | Kategori |
110 | Enkelte funksjoner i tjenesten skal kun være tilgjengelig for brukere med behov for å utføre sine oppgaver, og styres ut fra hvilken rolle brukeren har. Det må derfor være funksjonalitet for å differensiere tjenester ut fra hvilken rolle den enkelte bruker har. Administrasjon av roller skal kunne utføres av Kunden. Funksjoner som skal være autoritetsstyrt er: - fordeling av post - søke i arkivet - slette dokumenter - ta ut logger, rapporter og statistikker Tilgang til disse funksjonene skal kunne gå på tvers av rettigheter for innsyn i de ulike graderingene av dokumenter. Leverandøren skal beskrive hvordan dette kravet er ivaretatt i tilbudt løsning. | B |
111 | Dokumenter som er særskilt tilgangsstyrt, skal kun vises for de brukerne som har rett tilgang. Dette gjelder også dersom en bruker skriver inn URL (arkivreferansen) for slike dokumenter i nettleseren. | A |
112 | Løsningen bør har funksjonalitet for logging av hendelser, slik at forsøk på uautorisert bruk av informasjonssystemet kan registreres (som eksempel forsøk på oppslag på dokumenter man ikke har autorisasjon til å se). Dette gjelder både for Kundens og Leverandørens medarbeidere. Leverandørens skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. | B |
1.6.3 Organisatorisk sikkerhet
Nr. | Krav | Kategori |
113 | Leverandøren bør ha et dokumentert styringssystem for informasjonssikkerhet (SSIS). Dette skal danne grunnlaget for en helhetlig, planlagt, systematisk og dokumentert måte å arbeide med informasjonssikkerhet for Driftstjenestene Kunden kjøper. Leverandørens SSIS skal omfatte styring og kontroll over de tjenestene som tilbys Kunden. Styringssystemet bør være basert på anerkjent standard, slik som ISO 27001 eller tilsvarende. Leverandøren skal beskrive hvordan dette kravet blir ivaretatt, og hvordan Leverandørens SSIS fører til godt ivaretatt sikkerhet for Kundens informasjonsverdier. Beskrivelsen skal spesielt legge vekt på hvordan Leverandøren arbeider for å forbedre sikkerheten i sine tjenester basert på et trusselbilde i stadig endring, og hvordan Leverandøren arbeider for å tilfredsstille Kundens sikkerhetskrav. Leverandøren skal i tillegg legge ved eventuelle sertifikater, scope- beskrivelser og anvendelseserklæring (statement of applicability). | B |
Nr. | Krav | Kategori |
114 | Leverandøren har et selvstendig ansvar for å holde sikkerhetsnivået i Driftstjenestene på et tilstrekkelig godt nivå, med utgangspunkt i avtalens sikkerhetskrav. Inkludert i dette (men ikke begrenset til) ligger ansvar for: - å sørge for at kun autorisert personell hos Leverandøren har tilgang til Kundens data - at programvare og servere er oppdatert og sikkerhetspatchet - at dataflyter og brannmurer er konfigurert riktig - at løsningen har tilstrekkelig god beskyttelse mot skadevare Leverandøren skal proaktivt bidra til å foreslå forbedringer i Driftstjenestene der de ser svakheter og sårbarheter i teknologi eller organisatoriske prosesser der det vil bidra til å redusere sikkerhetsrisiko. Leverandøren skal beskrive hvordan de vil tilfredsstille dette kravet gjennom de tilbudte tjenestene. | B |
115 | Kundens data, både fysiske og digitale, skal kunne slettes på en sikker måte, basert på Kundens forespørsel. Leverandøren skal beskrive hvordan krav til sikker sletting ivaretas gjennom de tilbudte tjenestene. | B |
116 | Leverandøren skal dokumentere en krise- og beredskapsplan som dekker krisesituasjoner, håndtering av sikkerhetsbrudd, strømbrudd, backupløsning og reservedriftsløsninger. Planverket skal omfatte kontrolltiltak for å identifisere og redusere risikoer, begrense konsekvensene av ødeleggende hendelser og sikre rask gjenopprettelse av viktige driftsprosesser. Det forventes at Leverandørens planer er i samsvar med krav til SLA. Leverandøren skal beskrive hvordan dette kravet vil ivaretas slik at oppfyllelse kan kontrolleres av kunden. | B |
117 | Leverandøren skal holde krise- og beredskapsplanen løpende oppdatert gjennom regelmessig testing. Det bør gjennomføres årlige krise/beredskapsøvelser med tilhørende evalueringer, kvalitetssikring og forbedringer. Dette bør skje i samarbeid med Xxxxxx. Leverandøren skal beskrive hvordan dette kravet vil bli ivaretatt gjennom de tilbudte tjenestene. | B |
Nr. | Krav | Kategori |
118 | Leverandøren skal ut fra scenariene listet opp nedenfor, i tilbudet beskrive hvor lang tid det vil ta før avtalt tjenestenivå kan leveres: • En bygning som inneholder infrastruktur gjøres helt utilgjengelig • En ekstern kommunikasjonslinje brytes • Strømforsyningen svikter • Et digitalt angrep rammer Leverandøren, fare for at skadevare spres videre til kunder • Nasjonal pandemi Leverandøren bes beskrive forslag til tiltak der de anser risikoen ved nevnte hendelser for stor, og der øvrige krav i denne kravspesifikasjonen ikke er tilfredsstillende. | B |
1.6.4 Personell sikkerhet
Nr. | Krav | Kategori |
119 | Leverandøren har ansvar for at personell som gis tilgang til Kundens data i regi av drifts- eller forvaltningsansvar er skikket til jobben, har et tjenstlig behov og at de har tilliten til å håndtere sensitive personopplysninger om Kundens kunder, og lokaliserende informasjon om trussel utsatte kundegrupper med sperret adresse. | A |
Avtalens punkt 3.4 Dokumentasjon og opplæring
Leverandøren skal tilby opplæring i bruk og administrasjon av den tilbudte løsningen. Leverandøren skal tilby dokumentasjon for bruk og administrasjon av tjenesten.
Dokumentasjonen skal være tilgjengelig elektronisk for Kunden.
Det er ønskelig at Leverandøren leverer et prosesskart over alle steg i løsningen. Dokumentasjonen skal være tilgjengelig elektronisk for kunden.
Avtalens punkt 6.1 Informasjonssikkerhet
Se kundens krav til dette i Bilag 1.
Bilag 2: Leverandørens beskrivelse av tjenesten
2.1 Funksjonelle tjenester
2.1.1 Mottak, sortering og håndtering av brevpost
Posten som skal håndteres av dokumentskanningstjenesten kan deles i fire hovedgrupper:
1. Brev, består av to typer:
• Kundebrev: Post til Kunden som vedrører Kundens kunder
• Administrativ post: Post som vedrører administrasjon og drift av Kunden.
2. Avtale om støtte består av:
• Studenter/elever som har fått innvilget sin søknad om studiestøtte mottar et vedtaksbrev fra Kunden der Avtale om støtte ligger som et vedlegg til brevet. Studenten/eleven skal signere og returnere avtalen i egen returkonvolutt som er vedlagt vedtaksbrevet. Avtale om støtte er utformet i et bestemt format og inneholder strekkoder og utfyllingsfelter som skal tolkes maskinelt hos Leverandøren. Avtale om støtte finnes i tre typer:
o En signatur: elev/student signatur
o To signaturer: elev- og foreldresignatur
o En signatur: foresatte signatur
3. Returpost består av to typer:
• Returpost med strekkode: Brev sendt fra Kunden til studenter/elever merket med ulike strekkoder som indikerer ulike sakstypekategorier, og som av ulike årsaker kommer i retur. Strekkodene vil være synlige gjennom vinduet i konvoluttene.
• Returpost uten strekkode: Dette er brev sendt fra Kunden til studenter/elever/tredjeparter uten strekkode, og som av ulike årsaker kommer i retur.
4. Feilsendt post består av:
• Post adressert til andre som er feilsendt til Kunden
Nr. | Krav | Kategori | Besvarelse |
1 | Leverandøren skal etablere og administrere en postboks for mottak av all post til Xxxxxx. | A | |
2 | Leverandøren er ansvarlig for å transportere posten fra postboks til sine lokaler for behandling. | A | |
3 | Leverandøren skal ta imot og håndtere rekommandert post til Kunden | A |
Nr. | Krav | Kategori | Besvarelse |
4 | Postmottaket skal administreres av Leverandøren. Posten skal grovsorteres, åpnes og sorteres etter de fire hovedgruppene som er listet opp innledningsvis i dette avsnittet: • Brev (xxxxxxxxx og administrativ post) • Avtale om støtte • Returpost • Feilsendt post | A | |
5 | Det skal kontrolleres at posten har kommet til rett mottaker. Post med annen adressat enn Xxxxxx og som er feilsendt Kunden, skal plukkes ut og returneres uåpnet til Posten. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. |
6 | Post til Kunden grovsorteres først i to hovedkategorier: De som skal skannes og de som ikke skal skannes. Post til Xxxxxx som ikke skal skannes, skal sendes daglig til Kunden. Kunden har en egen postadresse for denne type post. Dette kan være pakker, reklame, fakturaer, sjekker, inn- og utbetalingsblanketter, annen verdipost og tidsskrifter. | A | |
7 | Ved videresending av mottatt verdipost skal eventuelle brev vedlagt verdiposten skannes før videresending, og så skal konvolutten verdiposten lå i sendes med sammen med brevet og verdiposten (selve verdiposten, dvs. sjekk el.l skal ikke skannes) til Kunden. | A | |
8 | Det skal ved sortering og behandling av brev, herunder returpost uten strekkode, og Avtale om støtte være rutiner som sikrer at vedlegg knyttes sammen med korrekt dokument. | A |
Nr. | Krav | Kategori | Besvarelse |
9 | Alle brev og Avtale om støtte som er ødelagte (krøllete, avrevne etc.) skal repareres i den grad det er mulig slik at de kan skannes og tolkes. Lar de seg ikke reparere skal de sendes til Kunden. | A | |
10 | Returpost som kommer inn til Kunden kan som utgangspunkt deles i to kategorier. Returpost med og uten strekkode. Disse vil ha ulik saksgang. • Returpost uten strekkode skal åpnes, sorteres og skannes som brev. • Returpost med strekkode skal ikke åpnes, men sendes direkte til skanning og tolkning. | A |
1.2.2 Skanning og tolkning
Etter at posten er åpnet og sortert skal den skannes og tolkes etter kriteriene som fremgår under.
Nr. | Krav | Kategori | Besvarelse |
11 | Skanning av brev Denne gruppen omhandler kundebrev og administrativ post. Brevene som kommer inn skal kun skannes, dvs. det skal ikke foretas tolkning av dokumentene. De skannede brevene skal overføres Kunden for videre kategorisering og behandling. | A | |
12 | Hvert dokument skal gis et unikt nummer (arkivreferanse). Nummeret skal være logisk oppbygd og entydig, og skal inneholde datoen dokumentet er skannet. | A | |
13 | Brev med vedlegg skal skannes som ett dokument. | A |
Nr. | Krav | Kategori | Besvarelse |
14 | Skanning og tolkning av Avtale om støtte De signerte avtalene skal både skannes og tolkes hos Leverandøren. Det er tre ulike typer Avtale om støtte jf. Kulepunkt 2 i starten av kapittel 1.2.1. Tilbudt løsningen må kunne håndtere skanning og tolkning av alle typene samtidig. | A | |
15 | Dokumentene for Avtale om støtte endres i forbindelse med overgang fra et undervisningsår til et annet. Løsningen må kunne håndtere to ulike versjoner av hver type Avtale om støtte samtidig. Tilbudt løsningen må kunne håndtere skanning og tolkning av alle versjoner samtidig. | A | |
16 | Avtale om støtte vil inneholde både alfanumeriske felter, strekkode og felt fylt ut manuelt av kundene (felt for dato og signatur). Løsningen som skal benyttes for å levere tjenestene må kunne tolke alle typer felter. Det som skal tolkes er følgende: • Alfanumeriske felt: består av tall og bokstaver • Strekkoden: består av kundenummer, type, versjon og saksnummer. Løsningen må kunne lese disse feltene • Utfyllingsfelter: består av felt fylt ut av kundene: datofelt og signaturfelt – skal tolkes om dette er fylt ut eller ikke. Det skal ved skanning angis om Avtale om støtte har vedlegg eller ikke. | A |
Nr. | Krav | Kategori | Besvarelse |
17 | Alle Avtale om støtte skal sjekkes mot xxxxxxx00-kontroll. Skannede Avtaler om støtte som ikke oppfyller xxxxxxx00-kontroll skal gå til manuell korrigering hos Leverandøren inntil xxxxxxx00– kontrollen oppfylles. | A | |
18 | Leverandøren må ha en løsning for å håndtere de Avtalene om støtte som ikke går igjennom den maskinelle tolkningen. | A | |
19 | Avtaler om støtte som ikke går gjennom den maskinelle tolkningen skal tolkes manuelt. Dersom det i den manuelle kontrollen er tvil om feltene i blanketten er fylt ut, skal Avtale om støtte sendes til Kunden for videre behandling. | A | |
20 | Det er viktig for Kunden at alle Avtaler om støtte tolkes korrekt. | B | Leverandøren skal beskrive hvordan man ivaretar dette kravet i tilbudt løsning. |
21 | Skanning og tolkning av returpost med strekkode: Returpost med strekkode skal i tillegg til skanning, tolkes maskinelt i Leverandørens løsning. Skanning og tolking av strekkode på returpost skal resultere i metadata for brevet, som skal overføres til Kunden. Metadata er arkivreferanse, kundenummer/personnummer, bilagsnummer og en kode som viser hvilken type post Kunden har fått i retur. | A | |
22 | Alle skannede dokumenter skal kunne fremvises i bildeformat i web-løsningen og i Kundens saksbehandlingsløsning ved oppslag. Oppløsning og format på de skannede bildene skal være av høy kvalitet og gi en korrekt gjengivelse (bilde) av originaldokumentet. | A |
Nr. | Krav | Kategori | Besvarelse |
23 | Alle brev (kundebrev og administrativ post) skal klargjøres og tilgjengeliggjøres for Kunden i en web-løsning for videre behandling av Kunden. | A | |
24 | Alle dokumenter som er skannet og tolket, herunder Avtale om støtte og returpost med strekkode, overføres direkte til Kunden. Registrerte og tolkede metadata samt bilde overføres. | A |
1.2.3 Registrering og kategorisering av brev
Etter at dokumentene er skannet skal kundebrev og administrativ post tilgjengeliggjøres for Kunden i en web-løsning, der Kunden kan hente opp disse dokumentene for videre verifisering, registrering og kategorisering. I tabellen under fremkommer krav til prosessen og løsningen som skal tilbys.
Nr. | Krav | Kategori | Besvarelse |
25 | Det skal leveres en web-basert løsning der de de skannende brevene presenteres for Xxxxxx. Brevene skal kunne kategorisere etter gitte brevtypekategorier. | A | |
26 | I registreringsbildet til web- løsningen skal, i tillegg til bilde av brevet, følgende data om dokumentet fremkomme: • Dokumentets arkivreferanse hos Leverandøren • Dato for skanning • Mottatt dato | A | |
27 | Alle de innskannede brevene skal tilgjengeliggjøres for Kundens brukere i en felles arbeidsliste. Det skal være funksjonalitet for at dokumentene presenteres fortløpende for brukerne etter skannetidspunkt. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
Nr. | Krav | Kategori | Besvarelse |
28 | Tilbudt web-løsning for kategorisering og fordeling av brev skal ha funksjonalitet for at Kunden kan registrere følgende: • Kundenummer (7 sifre) • Fødselsnummer til kunden (11 sifre) • Kategori (brevtypekategori) • Fritekst (bør) • Angivelse av om dokumentet er ferdigbehandlet • Bestilling av dokumentet i originalformat • Felt for å angi om dokumentet er inngående eller utgående Felt for kundenummer og brevtypekategori skal være obligatoriske. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
29 | Det skal være mulig å registrere minst to kundenumre på ett dokument. | A | |
30 | Kunden er pålagt å registrere kundenummer og brevtypekategori for all kundepost. Feltene for dette må derfor valideres. Kundenummer valideres mot antall sifre som kan registreres. Brevtypekategori valideres mot et sett av gyldige brevtypekategorier definert av Xxxxxx. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
31 | Det skal være mulig å legge til, endre eller fjerne brevtypekategorier. Xxxxxx skal selv kunne administrere dette. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
32 | Det skal være mulig å forhåndsdefinere opp til 150 unike brevtypekategorier til fordeling av brev. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
Nr. | Krav | Kategori | Besvarelse |
33 | Når brukeren har registrert ferdig data på dokumentet og lagrer dette, skal de registrerte metadataene lagres på dokumentet og knyttes opp mot arkivreferansen. Etter lagring skal neste dokument i køen komme automatisk opp for verifisering, kategorisering og registrering. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
34 | Dersom Kunden ikke har nok opplysninger til å ferdigbehandle et dokument, skal det være funksjonalitet for å kunne sette dokumentet på ”vent”. Metadata til dokumenter som står på ”vent” skal ikke overføres til Kunden før endelig registrering er ferdig. Dokumenter skal kunne ligge på vent på ubestemt tid. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
35 | For administrativ post og for kundebrev som settes på vent, skal det ikke være et krav om å fylle inn kundenummer under registrering og kategorisering. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
36 | Xxxxxx skal kunne søke og hente opp brev som er satt på ”vent”. Søkekriteria for dokumenter som står på vent skal være: Kundenummer, personnummer, kategori, mottaksdato og evt. arkivreferanse. | A | |
37 | Det skal være funksjonalitet for at Kunden skal kunne registrere et brev som ”ferdigbehandlet”. | A | |
38 | Det skal være funksjonalitet for å kunne hente opp brev som er ferdigbehandlet i web-løsningen og endre på metadata før overføring til Kunden. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
39 | Etter at dokumentene er skannet og Kunden har kategorisert brevene skal alle metadata som er registrert på dokumentene samt bilde overføres til Kunden. | A |
Nr. | Krav | Kategori | Besvarelse |
40 | Det skal være funksjonalitet i løsningen for å omfordele et kundebrev fra en kunde til en annen kunde. (Dette gjelder der et dokument er registrert på feil kunde). Dersom det gjøres etter overføring, må metadata overføres på nytt. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
41 | Det skal være funksjonalitet for å omfordele deler av et kundebrev fra en kunde til en annen. | A |
1.2.4 Ytelse og volumer
Nr. | Krav | Kategori | Besvarelse |
42 | Post skal hentes fra postboksen hver virkedag. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. |
43 | Post til Xxxxxx som ikke skal skannes, skal sendes til Kunden senest innen kl. 12 første virkedag etter at posten har ankommet postboksen. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. |
44 | Kundebrev og administrativ post skal være tilgjengelig for Kunden i web-løsningen så snart som mulig og senest innen klokken 12.00 første virkedag etter brevet har ankommet postboksen. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
45 | Avklaringer og avvikshåndtering i forbindelse med behandling av innkommet post skal skje så snart som mulig, og senest slik at de øvrige frister i dette punktet kan overholdes. | A | |
46 | Metadata og bilde for kundebrev skal overføres fra Leverandøren til Kunden så snart som mulig, når posten er kategorisert og fordelt av Kunden i web-løsningen. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
47 | Metadata og bilde for administrativ post skal overføres fra Leverandøren til Kundens arkivsystem så snart som mulig når posten er fordelt i web- løsningen. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
Nr. | Krav | Kategori | Besvarelse |
48 | Metadata og lenke til bilde for Avtale om støtte og metadata for returpost med strekkode skal overføres fra Leverandøren til Xxxxxx så snart som mulig etter at posten er skannet inn i løsningen. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
49 | Tjenesten skal være skalert til å håndtere det estimerte volumet post og arkivering. Dette gjelder spesielt i forhold til perioder med høy aktivitet. | A | |
50 | Det forventes at responstiden i web-løsningen er god. Dette gjelder ved oppslag på dokumenter, gjennomføring av aktiviteter, oppslag på dokumenter fra Modulis, osv. | B | Leverandøren skal beskrive hvordan det arbeides for å holde responstiden i løsningen lav over tid. |
1.2.5 Funksjonalitet i Web-løsningen
Nr. | Krav | Kategori | Besvarelse |
51 | Det skal i web-løsningen kunne søkes opp alle dokumenter/dokumenttyper som er elektronisk lagret i arkivet enten ved hjelp av arkivreferanse eller kundenummer. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
52 | Flere brukere må kunne søke opp, og hente fram samme dokument samtidig. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
53 | I web-løsningen skal det kunne søkes på søknader om støtte i historisk arkiv med fødselsnummer og/eller arkivreferanse som nøkkel. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
54 | Det bør i web-løsningen kunne søkes på brev med kundenummer og/eller arkivreferanse straks etter at brev er kategorisert og fordelt. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
Nr. | Krav | Kategori | Besvarelse |
55 | Det bør i web-løsningen kunne søkes på Avtale om støtte med kundenummer og/eller arkivreferanse straks etter at Avtale om støtte er skannet og tolket. Bilde av Avtale om støtte skal da kunne fremvises for bruker. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
56 | Det skal være funksjonalitet i web- løsningen for å kunne bestille originaldokumentet tilsendt til Kunden. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
57 | Skjermbildene skal være intuitive og brukervennlige. Det skal være mulig å endre på rekkefølgen av feltene i skjermbildet. Brukervennligheten bør inkludere: - Plassering og rekkefølge av felter - Visualisering av obligatoriske, valgfrie, låste felter og tomme felter - Konsistens i ordbruk og forkortelser - Feilmeldinger og andre hjelpetekster - Rapportbestilling, visning, eksport og print - Hjelpefunksjon - Navigeringsmåte | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
58 | All ledetekst og hjelpetekster i arbeidsflatene skal være på norsk (bokmål) med korrekt skrivemåte og god språkbruk. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
59 | Brukere skal i web-løsningen ha mulighet for å veksle mellom ulike sider i skannede dokumenter på skjermen. | A | |
60 | Det skal være en funksjonalitet i løsningen for raskt å kunne gå til toppen eller bunnen av et dokument. | A | |
61 | Det skal være mulig å skrive ut et skannet dokument i én operasjon, dvs. uten å måtte skrive ut side for side. Det skal også være mulig å angi og skrive ut enkeltsider. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
Nr. | Krav | Kategori | Besvarelse |
62 | Bilder skal kunne forstørres og forminskes. Hele dokumentet skal påvirkes av ønsket endring. | A | |
63 | Bilder skal kunne roteres. | A |
1.3 Arkiv og arkivadministrasjon
I punktene under fremkommer nærmere krav til arkivering og arkivadministrasjon.
1.3.1 Fysisk arkiv
Nr. | Krav | Kategori | Besvarelse |
64 | Kundebrev og Avtale om støtte skal etter skanning, tolkning og behandling arkiveres hos Leverandøren. | A | |
65 | Den administrative posten, skal slettes umiddelbart etter at dokumentet er overført Kunden. | A | |
66 | Leverandøren skal ha ansvar for arkivering og å ivareta krav i Arkivloven med forskrifter til lagring av arkivdokumenter (både fysiske og digitale brev) for de delene av dokumentbehandlingen Leverandøren skal utføre for Kunden. Herunder krav til lagring av fysiske og digitale dokumenter, krav til fysiske arkivlokaler, og krav knyttet til sletting (kassasjon) av dokumenter. Arkivverdig dokumentasjon / Masterdata og sikkerhetskopier skal lagres på "norsk jord" ihht arkivloven §9 b. For mer informasjon se - Skylagring og skanning i utlandet - Arkivverket | A |
Nr. | Krav | Kategori | Besvarelse |
67 | Leverandøren skal overta ansvaret og forvaltningen for alle de arkiverte originale dokumentene fra nåværende leverandør. Krav til proveniens (gjelder både for papirarkiv og digitalt arkiv): Den opprinnelige orden og den indre sammenhengen i arkivet som blir overtatt fra tidligere leverandør skal så langt som mulig opprettholdes. Det vil si at arkivet skal, så langt det er mulig, overføres/transporteres, behandles og oppbevares i sin opprinnelige orden. | A | |
68 | Det skal være funksjonalitet for å kunne bestille originaldokumentet som er arkivert i arkivet hos Leverandøren tilsendt til Kunden. Dokumentet skal da hentes ut av det fysiske arkivet og sendes til Xxxxxx senest innen tre virkedager etter bestilling. | A | |
69 | Makulering av papirdokumenter skal foregå på en trygg måte, ihht til anerkjente standarder som gjelder for dette. Som hovedregel skal originaldokumentet for brev, returpost uten strekkode og Xxxxxx om støtte makuleres 90 dager etter skanningsdato. | B | Leverandøren bes om å beskrive sine rutiner for hvordan dokumenter vil makuleres og dermed hvordan dette kravet vil ivaretas gjennom tilbudte tjenester. |
70 | Det kan bli behov for at Leverandøren må lagre originaldokumentet for brev og Avtale om støtte etter skanning utover 90 dager, dersom Xxxxxx har behov for ette. Dokumentene makuleres i slike tilfeller når Kunden gir beskjed om dette. | B | Leverandøren skal gi en kort beskrivelse av hvordan kravet ivaretas i tilbudt løsning |
71 | Emballasje for oppbevaring av papirarkiv må tilfredsstille Riksarkivarens krav, ISO-9706. | A |
1.3.2 Elektronisk arkiv
Det elektroniske arkivet består av dokumenter som er skannet inn siden 2005. Dokumentene som finnes i arkivet består av ulike typer, herunder kundebrev, Avtaler om støtte, gjeldsbrev og søknader om støtte. De to siste typene skannes ikke lengre, men er lagret elektronisk og skal kunne søkes frem i arkivet.
Nr. | Krav | Kategori | Besvarelse |
72 | Alle dokumentene som skannes skal lagres i et system som oppfyller Riksarkivarens krav om elektronisk arkivering av saksdokumenter så langt de er relevante. | B | Leverandøren skal gi en kort beskrivelse av hvordan dette kravet ivaretas i tilbudt løsning. |
73 | For lagring av elektroniske dokumenter skal det benyttes fullgode systemer, rutiner, dokumentlagringsformater og lagringsmedium som er godkjent av Riksarkivaren. | B | Leverandøren skal bekrefte at dette kravet er oppfylt, og gi en kort beskrivelse av hvordan dette kravet ivaretas i tilbudt løsning. |
74 | De skannede dokumentene skal lagres i det godkjente arkivformatet som krever minst lagringsplass. Krav til lagring og konvertering: Dokumentformater må kunne oppdateres/konverteres til de enhver tid gjeldende dokumentformater ihht til regelverk fastsatt av Riksarkivaren, for å tilfredsstille nye krav som måtte komme i fremtiden. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
75 | Leverandøren skal overta ansvaret for forvaltning av de historiske elektroniske arkivene for all post til Kunden. Referanser for lenker for oppslag til digitalt arkiv direkte fra Kundens saksbehandlingsløsning, Modulis, skal opprettholdes. | A |
Nr. | Krav | Kategori | Besvarelse |
76 | Kunden skal kunne slette et dokument i det elektroniske arkivet. • Funksjon for å utføre kassasjon (sletting) i det elektroniske arkivet skal kunne begrenses til å omfatte utvalgte dokumenter, f.eks. alle dokumenter som tilhørere en bestemt kategori/klasse. • Det skal være mulig å utføre kassasjonen som en automatisk prosess, men det skal også være mulig å be om å få spørsmål om kassasjon er aktuelt for hvert eneste dokument. • Det skal være mulig å angi at kassasjon enten innebærer bevaring av metadata (mens selve dokumentet slettes) eller at kassasjon innebærer sletting av både dokumentet og tilhørende metadata. • Løsningen må inneholde metadata for utført kassasjon. • Funksjonen for å slette et dokument i arkivet skal være autoritetsbelagt. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
77 | Det skal være funksjonalitet for at metadata kan endres i Kundens saksbehandlingsløsning etter overføring. Xxxxxxx metadata overføres deretter fra Kundens saksbehandlingsløsning til Leverandøren for oppdatering i det elektroniske arkivet. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
78 | Alle de skannede dokumentene, både de som er overtatt fra tidligere leverandør og de som skannes under denne avtalen skal lagres elektronisk i hele avtaleperioden. Dokumenter kan kun slettes på bestilling fra Kunden. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
1.4 Logg, rapport og statistikk
Nr. | Krav | Kategori | Besvarelse |
79 | Leverandøren skal tilby et grensesnitt i web-løsningen hvor Kunden kan hente ut logger, rapporter og statistikk. Se kravene under for utdyping av hvilke uttrekk Kunden ønsker. | A | |
80 | Xxxxxx skal kunne hente ut rapporter som minimum inneholder: • Antall brev mottatt • Antall avtaler om støtte mottatt • Antall returpost mottatt • Antall feilsendt post mottatt • Antall skannede dokumenter som ligger i kø til fordeling • Antall skannede dokumenter som er fordelt • Antall ark skannet • Antall brev satt til vent • Antall Avtale om støtte skannet og tolket • Antall Avtale om støtte overført Xxxxxx • Antall Avtale om støtte til manuell kontroll • Antall innkommet post som er mottatt, skannet og behandlet per type, per dag, per uke, per måned, per år. • Antall brev som er mottatt per brevtypekategori. • Antall Avtale om støtte som er mottatt og skannet per dag, per uke, per måned og per år. • Antall returpost mottatt og skannet per dag, per uke, per måned, per år. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
Nr. | Krav | Kategori | Besvarelse |
81 | Det skal i web-løsningen fremkomme hvor mye skannet post som til enhver tid ligger klar til kategorisering, hvor mye som er ferdigkategorisert og hvor mye post som ligger i ventearkiv. Oversikten over hvor mye av den skannede posten som er fordelt og hvor mye som ikke er fordelt må oppdateres fortløpende i web- løsningen. | A | |
82 | Leverandøren skal logge hendelser for å kunne spore behandlingen for ett enkelt dokument både av Kunden og av Leverandøren. | A |
1.5 Tekniske krav og integrasjon med Kundens informasjonssystemer
1.5.1 Generelle tekniske krav
Sikkerhetskravene som er angitt i kapittel 1.6Feil! Fant ikke referansekilden. vil også være førende for implementasjonen av de tekniske kravene.
Nr. | Krav | Kategori | Besvarelse |
83 | Web-løsningen må fungere i de mest utbredte nettleserne som Kunden benytter, dette er Google Chrome, Microsoft Edge og Internet Explorer, uten spesielle tillegg ut over PDF-leser. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
84 | All utveksling av data og informasjon mellom Leverandøren og Kunden skal i utgangspunktet skje med initiering fra Kunden. Unntak er f.eks. dersom Leverandørens system tilbyr mulighet til å varsle om nye eller endrede dokumenter via en webhook eller lignende. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
1.5.2 Teknisk integrasjon
Nr. | Krav | Kategori | Besvarelse |
85 | Dataformater som benyttes skal være åpent tilgjengelig og kunne behandles maskinelt. | A | A |
Nr. | Krav | Kategori | Besvarelse |
86 | Web-løsningen bør leveres med integrasjon mot Kundens katalogtjeneste (Azure Active Directory) | B | Leverandøren bes beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
87 | Kundens saksbehandlingssystem skal kunne laste ned dokumenter fra det elektroniske arkivet i PDF- format via HTTP GET. | A | Leverandøren bes beskrive dette grensesnittet, og hvordan det sikres mtp. tilgangskontroll. Dersom Leverandøren tilbyr andre grensesnitt for nedlasting av dokumenter ønskes også disse beskrevet. |
88 | Dokumenter som er kategorisert som kundebrev eller Avtale om støtte skal kunne: • Refereres i Kundens saksbehandlingssystem som en unik URL, f.eks. basert på arkivreferanse • Lastes ned av Kundens saksbehandlingssystem som PDF basert på overnevnte URL | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
89 | Løsningen skal tilby et teknisk grensesnitt for å overføre administrativ post til Kundens administrative arkiv. | B | Leverandøren skal beskrive hvilke grensesnitt som tilbys som dekker dette formål. |
90 | Løsningen skal tilby et teknisk grensesnitt for å hente ut informasjon om – og metadata for - nye dokumenter av typen Avtale om støtte, kundebrev og returpost med strekkode. Grensesnittet vil bli benyttet til å identifisere hvilke dokumenter som skal lastes over til Kundens saksbehandlingssystem. | B | Leverandøren bes beskrive hvilke grensesnitt som tilbys som dekker dette formål og hvilke data som leveres. |
91 | Løsningen skal tilby et teknisk grensesnitt for å endre gradering på dokumenter, for Kunder med gradering som ansatt, kode 4, 6 og 7. | A | Leverandøren bes beskrive hvilke grensesnitt som tilbys og som dekker dette formålet. |
92 | Løsningen skal levere synkrone eller asynkrone kvitteringer til avgivende system ved mottak av melding/data. Kvitteringen skal inneholde informasjon om mottaket er godtatt eller ikke og eventuelt feilmelding. | A | Leverandøren skal beskrive/legge ved teknisk dokumentasjon som beskriver hvordan dette kravet vil ivaretas i tilbudt løsning. Besvarelsen må angi om man støtter synkrone, asynkrone eller begge kvitteringsmetoder. |
1.5.3 Videreutvikling, skalerbarhet og endringer
Nr. | Krav | Kategori | Besvarelse |
93 | Løsningen som benyttes for å levere tjenestene under denne avtalen skal være skalerbare og dimensjonert for å kunne håndtere det estimerte antall dokumenter og volumer. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
94 | Løsningen som benyttes for å levere tjenestene under denne avtalen skal kunne ta høyde for en vesentlig endring i antall behandlede dokumenter. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
1.5.4 Teknisk administrasjon av løsningen
Nr. | Krav | Kategori | Besvarelse |
95 | Kundens brukere skal autentiseres via Single Sign On (SSO) når de skal aksessere web- løsningen. Kunden styrer per i dag tilgang til flere løsninger, internt og eksternt, gjennom en intern brukerkatalog. SSO mot eksterne tjenester settes opp vha. Application registration/Enterprise Application i Azure AD. Xxxxxx har god erfaring med anvendelser av denne typen autentisering for interne brukere som skal ha tilgang til eksterne systemer. | B | Leverandøren skal beskrive hvordan dette kravet vil bli ivaretatt i tilbudt løsning. |
96 | Det bør i web-løsningen være mulig for Kunden å administrere brukere og rettigheter selv, enten via webgrensesnitt i løsning eller ved å bruke tilgangsgrupper i Kundens Azure Active Directory (AAD). Kunden foretrekker å gjøre dette via tilgangsgrupper i Kundens AAD. | B | Leverandøren skal beskrive hvordan dette kravet vil bli ivaretatt i tilbudt løsning. |
1.6 Informasjonssikkerhet
1.6.1 Fysisk sikring
Nr. | Krav | Kategori | Besvarelse |
97 | Leverandøren skal sørge for at datasentre er tilstrekkelig beskyttet mot fysisk inntrengning, gjennom fysiske barrierer og adgangskontroll slik at Kundens data er sikret mot fysiske innbrudd. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene. |
98 | Leverandøren skal sørge for at lokaler hvor fysiske papirarkiv oppbevares er tilstrekkelig beskyttet mot fysisk inntrengning, gjennom fysiske barrierer og adgangskontroll slik at Kundens data er sikret mot fysiske innbrudd. Kun autorisert personell skal ha tilgang til Kundens fysiske arkiver. | A | Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene slik at oppfyllelse kan kontrolleres av kunden. |
99 | Leverandøren skal sørge for tilstrekkelig sikkerhet av posten under transport fra postboks til Leverandørens lokaler. | A | Leverandøren skal beskrive hvordan dette kravet ivaretas gjennom de tilbudte tjenestene slik at oppfyllelse kan kontrolleres av kunden. |
1.6.2 Teknisk sikkerhet
Kunden har i sin kunde- og saksbehandlingsløsning Modulis funksjonalitet for å kunne styre tilgang til kunder/informasjon basert på rolle og type opplysninger det gis tilgang til.
Tilgangsstyring benyttes for å segmentere hvilke brukere/saksbehandlere som får innsyn i informasjon tilhørende kunder som enten er ansatt/innleid hos Kunden (Ansatt Kunde), kunder som krever ekstra skjerming mot innsyn i lokaliserende informasjon (innsynskode 4, 6 og 7 fra folkeregisteret) i henhold til folkeregisterforskriften (Skjermet Kunde) og øvrige kundeforhold.
I autorisasjonsskjemaet under gis en nærmere oversikt over dette.
Rolle/ Autorisasjon Gradering | Rolle 1 | Rolle 2 | Rolle 3 | Rolle 4 |
Øvrige kundeforhold | Ingen begrensning | Ingen begrensning | Ingen begrensning | Ingen begrensning |
Ansatt Kunde | Ikke tilgang | Ingen begrensning | Ikke tilgang | Ingen begrensning |
Skjermet kunde | Ikke tilgang | Ikke tilgang | Ingen begrensning | Ingen begrensning |
Nr. | Krav | Kategori | Besvarelse |
100 | Kundens pålogging til Driftstjenestens brukergrensesnitt og andre tekniske integrasjonspunkter skal være beskyttet med moderne autentiserings- og autorisasjonsmekanismer som samsvarer med autorisasjonsskjema beskrevet innledningsvis i dette del- kapittelet. Kunden skal til enhver tid ha full oversikt over de personer som er autorisert for tilgang, og hvilket tilgangsnivå de har. | A | Leverandøren skal beskrive hvordan autentisering og autorisasjon ivaretas i alle deler av tilbudt løsning/tjenester slik at oppfyllelse kan kontrolleres av kunden. |
101 | Drifts- og administrasjonsgrensesnittene som Leverandøren benytter for forvaltning av Driftstjenestene skal være beskyttet med moderne autentiserings- og autorisasjonsmekanismer, herunder multi-faktor autentisering (MFA). Leverandøren skal til enhver tid ha full oversikt over de personer hos Leverandøren, eller underleverandører, som er autorisert for tilgang til Kundens data. Leverandøren plikter å gi Kunden innsikt i antall personer med tilgang til Kundens data, for seg selv og potensielle underleverandører. | A | Leverandøren skal beskrive hvordan autentisering og autorisasjon ivaretas i alle deler av tilbudt løsning/tjenester slik at oppfyllelse kan kontrolleres av kunden. |
Nr. | Krav | Kategori | Besvarelse |
102 | Leverandøren bør begrense tilgang til de tekniske grensesnittene i Driftstjenestene for all annen nettverkstilgang enn fra Kundens IT-infrastrukturs sikre sone. Dette for å forhindre eksterne muligheter for cyberangrep mot tjenestene. Dette kan eksempelvis oppnås ved god konfigurasjon av brannmurer, gjennom god tilgangskontroll, VPN-oppsett, dedikerte linjer eller gjennom en kombinasjon av disse og tilsvarende tiltak. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning for hvert av de tekniske grensesnittene som kreves i løsningen. Eventuelle krav som stilles til Kundens infrastruktur for å gjøre dette mulig må beskrives. |
103 | Leverandøren skal sørge for at konfidensialitet ivaretas for Kundens informasjon som lagres og prosesseres i arkivet. Informasjon skal ikke være tilgjengelig for andre enn autorisert personell hos Leverandøren, eller hos Kunden. Dette gjelder både fysisk og digital informasjon. | A | Leverandøren skal beskrive hvordan konfidensialitet ivaretas i alle deler av tilbudt løsning/tjenester slik at oppfyllelse kan kontrolleres av kunden. Det skal legges inn anmerkninger der det foreligger en forventning/antagelse om at konfidensialitet under lagring og prosessering er ivaretatt av andre enn Leverandøren. |
104 | Leverandøren skal ha mekanismer på plass for å kunne monitorere og oppdage digitale angrep og innbrudd, og skal ha mekanismer på plass som forhindrer at skadevare overføres fra Leverandørens til Kundens infrastruktur. | B | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
105 | Informasjonssikkerhetshendelser hos Leverandøren som kan påvirke Kunden skal varsles Kunden umiddelbart. Dette gjelder både for fysiske og digitale løsninger der Kunden oppbevarer informasjon, eller har tekniske integrasjoner med Leverandøren. | A | Leverandøren skal beskrive hvordan varsling ivaretas gjennom de tilbudte tjenestene slik at oppfyllelse kan kontrolleres av kunden. |
Nr. | Krav | Kategori | Besvarelse |
106 | Leverandøren skal sørge for at konfidensialitet og integritet ivaretas for Kundens informasjon under transport, primært gjennom å tilby kryptering av kommunikasjonskanalene på alle grensesnitt som gjelder for tjenesten. Transportlagsbeskyttelsen skal alltid være oppdatert, ta i bruk anerkjente protokoller for konfidensialitets- og integritetsbeskyttelse, og være i henhold til god praksis, slik som beskrevet i RFC7525. | A | Leverandøren skal beskrive hvordan transportlagsbeskyttelsen ivaretas for alle kommunikasjonskanaler som er tilbudt i løsningen slik at oppfyllelse kan kontrolleres av kunden. Det skal legges inn anmerkninger der det foreligger en forventning/antagelse om at kanalsikring er ivaretatt av andre enn Leverandøren. |
107 | Kunden vil daglig overføre en oversikt over kunder som krever ekstra skjerming mot innsyn i lokaliserende informasjon, slik som adresse og studiested. Når denne meta-informasjonen legges på et kundedokument skal det påvirke hvordan dokumenter er tilgjengelig for Kundens medarbeidere i saksbehandlingsløsningen Modulis og i brukergrensesnittene Leverandøren tilbyr jf. beskrevet autorisasjonsskjema. | A | Leverandøren skal beskrive hvordan dette kravet ivaretas i tilbudt løsning slik at oppfyllelse kan kontrolleres av kunden. |
Nr. | Krav | Kategori | Besvarelse |
108 | Leverandøren bes i tillegg om å skissere en løsning som viser hvordan skjermingen mot innsyn i lokaliserende informasjon, slik som adresse og studiested kan påvirke hvilke personer hos Leverandøren som får tilgang til, og innsyn i disse personenes dokumenter, og hvilke ekstra sikringstiltak som kan tilbys for dokumentene tilhørende denne kundegruppen. Ekstra sikringstiltak kan eksempelvis være: - Kryptering av de lagrede dokumentene - Lagring på et særskilt avgrenset arkivområde - Lagring på tilgangskontrollert område som reduserer innsynsmulighet både for Kundens og Leverandørens medarbeidere - Andre forslag | B | Leverandøren bes i tillegg om å skissere en løsning som viser hvordan skjermingen mot innsyn i lokaliserende informasjon, slik som adresse og studiested kan påvirke hvilke personer hos Leverandøren som får tilgang til, og innsyn i disse personenes dokumenter, og hvilke ekstra sikringstiltak som kan tilbys for dokumentene tilhørende denne kundegruppen. |
109 | Dokumenter i arkivet skal gis gradering som styrer hvilke brukere/saksbehandlere som har tilgang til å gjøre oppslag og se dokumentet i arkivet. Dette gjelder både ved direkte oppslag i web- løsningen og ved oppslag via Modulis. For å ha et enhetlig system å forholde seg til er det ønskelig at brukernes rettigheter og tilgang til graderte kunder/dokumenter følger de samme rettigheter som de har i Modulis. | A | Leverandøren skal beskrives hvordan dette kravet er ivaretatt i tilbudt løsning slik at oppfyllelse kan kontrolleres av kunden. |
Nr. | Krav | Kategori | Besvarelse |
110 | Enkelte funksjoner i tjenesten skal kun være tilgjengelig for brukere med behov for å utføre sine oppgaver, og styres ut fra hvilken rolle brukeren har. Det må derfor være funksjonalitet for å differensiere tjenester ut fra hvilken rolle den enkelte bruker har. Administrasjon av roller skal kunne utføres av Kunden. Funksjoner som skal være autoritetsstyrt er: - fordeling av post - søke i arkivet - slette dokumenter - ta ut logger, rapporter og statistikker Tilgang til disse funksjonene skal kunne gå på tvers av rettigheter for innsyn i de ulike graderingene av dokumenter. | B | Leverandøren skal beskrive hvordan dette kravet er ivaretatt i tilbudt løsning. |
111 | Dokumenter som er særskilt tilgangsstyrt skal kun vises for de brukerne som har rett tilgang. Dette gjelder også dersom en bruker skriver inn URL (arkivreferansen) for slike dokumenter i nettleseren. | A | |
112 | Løsningen bør har funksjonalitet for logging av hendelser, slik at forsøk på uautorisert bruk av informasjonssystemet kan registreres (som eksempel forsøk på oppslag på dokumenter man ikke har autorisasjon til å se). Dette gjelder både for Kundens og Leverandørens medarbeidere. | B | Leverandørens skal beskrive hvordan dette kravet ivaretas i tilbudt løsning. |
1.6.3 Organisatorisk sikkerhet
Nr. | Krav | Kategori | Besvarelse |
113 | Leverandøren bør ha et dokumentert styringssystem for informasjonssikkerhet (SSIS). Dette skal danne grunnlaget for en helhetlig, planlagt, systematisk og dokumentert måte å arbeide med informasjonssikkerhet for Driftstjenestene Kunden kjøper. Leverandørens SSIS skal omfatte styring og kontroll over de tjenestene som tilbys Kunden. Styringssystemet bør være basert på anerkjent standard, slik som ISO 27001 eller tilsvarende. | B | Leverandøren skal beskrive hvordan dette kravet blir ivaretatt, og hvordan Leverandørens SSIS fører til godt ivaretatt sikkerhet for Kundens informasjonsverdier. Beskrivelsen skal spesielt legge vekt på hvordan Leverandøren arbeider for å forbedre sikkerheten i sine tjenester basert på et trusselbilde i stadig endring, og hvordan Leverandøren arbeider for å tilfredsstille Kundens sikkerhetskrav. Leverandøren skal i tillegg legge ved eventuelle sertifikater, scope- beskrivelser og anvendelseserklæring (statement of applicability). |
114 | Leverandøren har et selvstendig ansvar for å holde sikkerhetsnivået i Driftstjenestene på et tilstrekkelig godt nivå, med utgangspunkt i avtalens sikkerhetskrav. Inkludert i dette (men ikke begrenset til) ligger ansvar for: - å sørge for at kun autorisert personell hos Leverandøren har tilgang til Kundens data - at programvare og servere er oppdatert og sikkerhetspatchet - at dataflyter og brannmurer er konfigurert riktig - at løsningen har tilstrekkelig god beskyttelse mot skadevare Leverandøren skal proaktivt bidra til å foreslå forbedringer i Driftstjenestene der de ser svakheter og sårbarheter i teknologi eller organisatoriske prosesser der det vil bidra til å redusere sikkerhetsrisiko. | B | Leverandøren skal beskrive hvordan de vil tilfredsstille dette kravet gjennom de tilbudte tjenestene. |
115 | Kundens data, både fysiske og digitale, skal kunne slettes på en sikker måte, basert på Kundens forespørsel. | B | Leverandøren skal beskrive hvordan krav til sikker sletting ivaretas gjennom de tilbudte tjenestene. |
Nr. | Krav | Kategori | Besvarelse |
116 | Leverandøren skal dokumentere en krise- og beredskapsplan som dekker krisesituasjoner, håndtering av sikkerhetsbrudd, strømbrudd, backupløsning og reservedriftsløsninger. Planverket skal omfatte kontrolltiltak for å identifisere og redusere risikoer, begrense konsekvensene av ødeleggende hendelser og sikre rask gjenopprettelse av viktige driftsprosesser. Det forventes at Leverandørens planer er i samsvar med krav til SLA. | B | Leverandøren skal beskrive hvordan dette kravet vil ivaretas slik at oppfyllelse kan kontrolleres av kunden. |
117 | Leverandøren skal holde krise- og beredskapsplanen løpende oppdatert gjennom regelmessig testing. Det bør gjennomføres årlige krise/beredskapsøvelser med tilhørende evalueringer, kvalitetssikring og forbedringer. Dette bør skje i samarbeid med Xxxxxx. | B | Leverandøren skal beskrive hvordan dette kravet vil bli ivaretatt gjennom de tilbudte tjenestene. |
118 | Leverandøren skal ut fra scenariene listet opp nedenfor, i tilbudet beskrive hvor lang tid det vil ta før avtalt tjenestenivå kan leveres: • En bygning som inneholder infrastruktur gjøres helt utilgjengelig • En ekstern kommunikasjonslinje brytes • Strømforsyningen svikter • Et digitalt angrep rammer Leverandøren, fare for at skadevare spres videre til kunder • Nasjonal pandemi | B | Leverandøren bes beskrive forslag til tiltak der de anser risikoen ved nevnte hendelser for stor, og der øvrige krav i denne kravspesifikasjonen ikke er tilfredsstillende. |
1.6.4 Personell sikkerhet
Nr. | Krav | Kategori | Besvarelse |
119 | Leverandøren har ansvar for at personell som gis tilgang til Kundens data i regi av drifts- eller forvaltningsansvar er skikket til jobben, har et tjenestlig behov og at de har tilliten til å håndtere sensitive personopplysninger om Kundens kunder, og lokaliserende informasjon om trusselutsatte kundegrupper med sperret adresse. | A |
Bilag 3: Plan for etableringsfasen
Avtalens punkt 1.2
Kunden ønsker at Leverandøren presenterer en særskilt plan for etableringsfasen.
Avtalens punkt 3.1 Plan for etableringsfasen
Xxxxxx ønsker at Leverandøren presenterer et forslag til plan for etableringsfasen, som beskriver hvordan Kunden best kan ta i bruk de tjenestene som tilbys.
Forslag til etableringsplan skal vedlegges tilbudet.
Avtalens punkt 3.2 Leveransefrist og leveransemelding
Dagens avtale går ut 30. mai 2023. Leverandørens plan for etableringsfasen blir vurdert ifht at ny avtale skal være etablert innen utgangen av eksisterende avtales utløpsdato.
Bilag 4: Tjenestenivå med standardiserte kompensasjoner
Avtalens punkt 2.1
Kunden ønsker å legge Leverandørens standard tjenestenivåavtale til grunn for tjenesten. Kunden ber derfor Leverandøren å beskrive sitt standard tjenestenivå (tjenestetilgjengelighet, sikkerhetskopiering, rekonstruksjon og testing av dette, teknisk support og brukerstøtte, krav til reaksjonstider, kompensasjonsregime, rapportering til Kunden, m.m).
Leverandør legger med sin standard tjenestenivå avtale.
Bilag 5: Administrative bestemmelser
5.1 Avtalens punkt 1.5 Partenes representanter
Partenes representanter:
Kunden | Leverandøren | ||
Navn | Rolle | Navn | Rolle |
Bemyndiget representant for partene (som kan opptre i saker som angår avtalen) skal oppgis her. Hvem som er bemyndiget avtales av partene ved kontraktsignering og trenger ikke fylles ut før dette tidspunktet. Prosedyrer og varslingsfrister for eventuell utskiftning av bemyndiget personell, spesifiseres her. (Dette kan fylles ut av partene etter kontraktsignering.)
5.2 Avtalens punkt 6.2 Personopplysninger
Underleverandører som behandler personopplysninger på vegne av Xxxxxx skal fremkomme her.
Dersom personopplysninger skal behandles av Leverandørens underleverandør(er), skal underleverandør(ene) angis her. Kundens eventuelle godkjennelse skal angis av Kunden i bilag 5.
Navn på underleverandør | Adresse | Beskrivelse av hvilke data de behandler og hvor |
Leverandøren oppgir eventuelle underleverandører | ||
Bilag 6: Samlet pris og prisbestemmelser
6.1 Avtalens punkt 4.1 Vederlag
Leverandørens prismodell:
Leverandøren legger inn sin prismodell. Av prismodellen må pris for etablering av tjenesten og alle kostnader for tjenesteleveransen i avtaleperioden, inkl. enhetspriser for alle tjenestekomponenter som faktureres basert på volum, fremgå.
Kunden oppfordrer leverandøren til å levere en enkel, oversiktlig og gjennomsiktig prismodell.
Prisene skal være eks. mva.
Reise- og diettkostnader og reisetid dekkes ikke.
6.2 Avtalens punkt 3.4 Dokumentasjon og opplæring
Leverandørens vederlag for opplæring:
Leverandøren skal angi sitt vederlag for opplæringen som beskrevet i punkt Feil! Fant ikke referansekilden. i bilag 1 her.
6.3 Avtalens punkt 5.3 Avslutning av avtalen
Leverandørens vederlag i forbindelse med avslutning av avtalen:
Leverandørens timepris for gjennomføring av forpliktelsene etter avtalens punkt 5.3 skal fremkomme her.
Dersom det er behov for midlertidig forlengelse, er det avtalt et Vederlag tilsvarende gjeldende vederlag pluss eventuelle dokumenterte merkostnader i denne perioden.
6.4 Avtalens punkt 4.2 Faktureringstidspunkt og betalingsbetingelser Leverandøren fakturerer følgende for avtalt vederlag, med fradrag for eventuelle påløpte standardiserte refusjoner i henhold til bilag 4:
Leverandøren beskriver om det skal faktureres månedlig, kvartalsvis eller årlig. Videre fyller Leverandøren inn om det skal betales forskuddsvis eller etterskuddsvis.
Fakturaene skal være spesifisert på en måte som gir Kunden anledning til å kontrollere de enkelte vederlagspostene, inkludert eventuelle påløpte Standardiserte refusjoner.
Leverandøren skal levere elektronisk faktura på Elektronisk handelsformat (EHF), fastsatt av Fornyings-, administrasjons- og kirkedepartementet. Som statlig virksomhet må Kunden fra 1.7.2012 kreve at Leverandører av varer og tjenester sender faktura og kreditnota elektronisk, i samsvar med standarden «Elektronisk handelsformat (EHF)». For nærmere informasjon og avklaringer rundt oversendelse av elektroniske fakturaer bes Leverandøren ta kontakt med DFØ (Direktorat for økonomistyring) på adressen xxxxx@xxx.xx.
6.5 Fakturaadresse
Kundens elektroniske fakturaadresse er det samme som organisasjonsnummeret: 000 000 000.
Faktura skal for øvrig merkes:
Lånekassen Fakturamottak DFØ Postboks 4746 Torgarden
7468 Trondheim
Alle fakturaer må tydelig merkes: Att:1740SAST
Bilag 7: Endringer i den generelle avtaleteksten
7.1 Avtalens punkt 1.3 Tolkning – rangordning
Det er ingen endringer i den generelle avtaleteksten
Henvisning til avtalens punkt og evt. avsnitt | Erstattes med |
Ny formulering/tekst må angis | |
Bilag 8: Endringer av tjenesten etter avtaleinngåelsen
8.1 Avtalens punkt 1.4 Endringer av tjenesten etter avtaleinngåelsen
Dersom Kunden og Leverandøren har kommet til enighet om en endringsavtale (både i forhold til innhold, eventuelt endring i vederlag og endring i tidsplan), skal endringen (innhold, justert vederlag og justert tidsplan) fremkomme her.
Hver endring skal dokumenteres i vedlagte mal for endringsanmodning, som skal utgjøre Vedlegg 4 til Avtalen.
Hver endring skal være underskrevet av bemyndiget representant for partene.
Det er Leverandøren som er ansvarlig for at det føres en fortløpende katalog over endringene som utgjør bilag 8. Leverandøren er også ansvarlig for at Kunden uten ugrunnet opphold gis en oppdatert kopi. Kunden må selv holde oversikt over hvilke endringsanmodninger de har sendt og hvilke endringsoverslag de har mottatt.
Xxxxxx er ansvarlig for at endringene det er anmodet om ikke er i strid med regelverket for offentlige anskaffelser. Endringer som anses som vesentlige vil kunne bli betraktet som en ulovlig direkte anskaffelse. Ulovlige direkteanskaffelser er sanksjonsbelagt med et overtredelsesgebyr på inntil 15 % av den ulovlige anskaffelsens verdi. Kontrakten kan også kjennes «uten virkning» av domstolen. Enhver som mener at det er foretatt en direkteanskaffelse kan klage inn Kunden for Klagenemnda for offentlige anskaffelser eller ta ut søksmål for domstolen.
Endringene beskrives i følgende tabell:
Endringsnummer | Beskrivelse av endringen samt eventuell vederlagsjustering og justering av tidsplan | Ikraftsettelsesdato |
Bilag 9: Vilkår for Kundens tilgang og bruk av tredjepartsleveranser
9.1 Avtalens punkt 2.2 Leverandørens ansvar for tredjepartsleveranser
I den grad tredjepartsleveranser er inkludert i tjenestene fra Leverandøren, skal kopi av vilkårene for Kundens tilgang og bruk av tredjepartsleveransene være vedlagt her. Alternativt kan Leverandøren angi en lenke til vilkårene her. Vilkårene er bindende for Kunden. I en anskaffelse kan vilkårene gjøres til gjenstand for evaluering.
Tredjepart | Kort beskrivelse av tjenesten som leveres fra tredjepart | Referanse til vilkår som er bindende for kunden (kan være en lenke) |
Leverandøren angir tredjeparts navn. | Leverandøren skal her, så godt som man kan forvente av en profesjonell leverandør, beskrive hvilke forpliktelser vilkårene pålegger Kunden og hvilke ansvarsbegrensninger tredjepart forbeholder seg. Dette skal ikke være urimelig byrdefullt for Leverandøren og må tilpasses den enkelte leveranses kompleksitet. Det må også tilpasses den enkelte tredjepartsleveranse og hvor kritisk/risikofull denne er inn i leveransen. Leverandøren skal spesielt påpeke i hvilken grad og i hvilke situasjoner tredjepart vil foreta feilretting, samt hvilke garantier og SLA-krav som gjelder. Det er også viktig å påpeke eventuelle uvanlige eller byrdefulle reguleringer. | Leverandøren refererer til tredjeparts vilkår. |