Vägledning för avrop från Operatörstjänst för elektroniskameddelanden 2024-03-06
Vägledning för avrop från Operatörstjänst för elektroniska meddelanden |
2024-03-06 |
Innehållsförteckning
2.3 Avtals- och dokumentstruktur 8
2.3.2 Begrepp specifika för ramavtalsområdet 9
2.4 Ramavtalsområdets giltighetstid 11
2.5.1 Förnyad konkurrensutsättning 11
2.6.2 Modell för prisjustering 12
2.6.3 Kostnader för säkerhetsskyddsavtal 12
2.6.7 Mall för volymer och priser 14
2.7 Kontrakts giltighetstid 14
3.3.2 Obligatoriska krav på tjänsten 17
3.3.5 Krav och tilldelningskriterier vid avrop 19
3.4 Utskick av avropsförfrågan 20
4.1 Säkerställ den egna interna kontrollen 21
4.3 Förbered anslutningen av den nya operatörstjänsten 21
4.3.1 Meddelandeutväxling via Peppolnätverket 21
4.3.2 Digital post via infrastrukturen Mina meddelanden 24
4.3.3 Elektroniska kundfakturor 25
4.4 Anslutning av operatörstjänsten (implementation) 27
4.5 Statistik som gäller meddelandeutväxlingen 28
4.6 Avstämningar och hantering av avvikelser 28
5 Dataskyddsförordningen och personuppgiftsbiträdesavtal 29
5.1 Allmänt om Dataskyddsförordningen 29
5.2 Utkast Personuppgiftsbiträdesavtal 29
5.3 Teckna Personuppgiftsbiträdesavtal 29
5.3.1 Utkast till Personuppgiftsbiträdesavtal och andra alternativ 30
6.1 Allmänt om informationssäkerhet 31
6.2 Metodstöd vid informationssäkerhetsarbete 31
6.3 Tystnadsplikt vid utkontraktering 31
Statens inköpscentral vid Kammarkollegiet har tagit fram denna vägledning i syfte att ge stöd vid avrop från ramavtalet Operatörstjänst för elektroniska meddelanden (operatörstjänst). Vägledningen riktar sig i första hand till avropande organisationer, men den kan också vara värdefull för ramavtalsleverantörer. Begreppet ”avropande organisation" används i dokumentet som benämning på en organisation som är berättigad att avropa från ramavtalet (avropsberättigad).
Ramavtalsområdet avser en operatörstjänst som skickar eller tar emot elektroniska meddelanden. Med meddelanden menas elektroniska dokument som utväxlas mellan avropande organisation och dess motparter. Exempel på meddelanden är elektroniska fakturor (e-fakturor) och elektroniska order (e-order). Operatörstjänsten kan komplettera systemlösningar och motsvarande som avropas via övriga ramavtal inom gruppen Programvaror och tjänster.
Vägledningen innehåller rekommendationer från Kammarkollegiet, men det är avropets omfattning och komplexitet, samt eventuell användning av elektroniska system för avrop, som avgör i vilken grad den är tillämplig. Frågor och svar på xxxxxx.xx kan vara ett komplement till vägledningen.
Vägledningen, information om ramavtalsområdet, kontaktuppgifter till ramavtalsansvarig och ramavtalsleverantörer, frågor och svar, mallar och övriga stöddokument finns publicerade på vår webbsida xxxxxx.xx, under rubriken IT och telekom. Det finns tre flikar på sidan Operatörstjänst för elektroniska meddelanden. Fliken Leverantör omfattar information om aktuella ramavtalsleverantörer samt respektive ramavtal och prisbilagor. Gemensamma dokument omfattar dokumentation från upphandlingen, avtalsdokument samt stöd för avrop. Under fliken Vem får avropa återfinns en förteckning över organisationer som är berättigade att avropa på ramavtalet.
Vägledningen och övriga stöddokument kan komma att uppdateras. Observera att det alltid är den senast publicerade versionen xxxxxx.xx som gäller. Dina kommentarer till vägledningen är värdefulla. E-posta gärna dina synpunkter till ramavtalsansvarig (se xxxxxx.xx) eller till xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxx.xx.
Ramavtalsleverantörer inom Operatörstjänst för elektroniska meddelanden är:
• OpusCapita Solutions AB
• Pagero Sverige AB och
• Qvalia AB.
Avropsförfrågningar ska alltid skickas till samtliga ramavtalsleverantörer. Ramavtalsleverantören ska alltid svara på en avropsförfrågan. Svaret kan innehålla ett anbud eller en förklaring till varför ramavtalsleverantören avstår från att lämna ett sådant.
Xxxxxxxxxxxxxxxxxxxxxxx har rätt att anlita underleverantörer och avropande organisationer har rätt att få information om dem, samt att godkänna dem. Med underleverantör avses en juridisk eller fysisk person, i alla led i leverantörskedjan. Se vidare följande avsnitt i Allmänna villkor: 2.16 Underleverantörer, 2.17 Säkerhet och säkerhetsskyddsavtal, 2.18 Behandling av personuppgifter och 2.20 Uppföljning.
I förekommande fall publiceras även en sammanställning över vissa viktigare (särskilda) underleverantörer, se xxxxxx.xx under respektive leverantör. Sammanställningen omfattar underleverantörer som har åberopats för ekonomisk och finansiell ställning eller teknisk eller yrkesmässig kapacitet, som kommer att fullgöra en väsentlig del av ramavtalsleverantörens kontrakt (minst 10 procent av den totala försäljningen enligt ramavtalet) eller som används för factoring. Se Ramavtalets Huvuddokument, avsnitt 1.13 Underleverantör.
Ramavtalet omfattar tjänster för kommunikation (utväxling) av elektroniska meddelanden mellan avropande organisationer och deras motparter, till exempel kunder och leverantörer.
Syftet med ramavtalet är att tillhandahålla en stabil och säker grund för avropande organisationers kommunikation och hantering av alla typer av elektroniska meddelanden, vilka kan variera över tid. Den digitala utvecklingen går fort och elektronisk kommunikation som ett alternativ till papper och fysisk post är allt oftare det naturliga valet för både sändare och mottagare. På sikt kan det komma krav från tillsynsmyndigheter där informationsuttag från vissa typer av elektroniska meddelanden
utgör såväl krav som effektiva lösningar. Det kan till exempel handla om uppgifter från e- fakturor som grund för egen uppföljning och nationell statistik eller uppgiftsinlämnande till Skatteverket rörande mervärdesskatt. Härutöver kan infrastrukturen för säker digital kommunikation (SDK) vara ett effektivt hjälpmedel vid utväxling av meddelanden med särskilt känsliga uppgifter.
I första hand omfattar ramavtalet meddelandeutväxling via Peppolnätverket (Peppols infrastruktur). I dagsläget används Peppolnätverket främst för att utväxla meddelanden inom kundfakturerings- och inköpsprocesserna, men utvecklingen kan innebära utökade användningsområden. Myndigheten för digital förvaltning (Digg) ansvarar för att certifiera svenska tjänsteleverantörer för att skicka och ta emot meddelanden via Peppolnätverket (accesspunkter). Ramavtalsleverantörerna är certifierade accesspunkter. Läs mer om Peppol på xxxx.xx samt xxxx.xx.
Bild 1 visar översiktligt hur en meddelandeutväxling via Peppolnätverket kan fungera. Avsändaren respektive mottagaren har var sin accesspunkt till Peppolnätverket. De båda accesspunkterna behöver inte i förväg sätta upp en anslutning sinsemellan för att meddelandet ska skickas eller tas emot. Den mottagande accesspunkten kvitterar via Peppolnätverket till den avsändande accesspunkten att meddelandet har kommit fram.
Bild 1 - Meddelandeutväxling mellan två verksamhetssystem.
Utöver meddelandeutväxling via Peppolnätverket är det möjligt att avropa ytterligare ett antal tjänster som prissätts i den förnyade konkurrensutsättningen, till exempel tjänster för skanning och tolkning av leverantörsfakturor i pappersform. Se vidare avsnitt Övriga krav i ramavtalsupphandlingen samt bilaga Kravkatalog.
De obligatoriska kraven på operatörstjänsten gäller för samtliga typer av kommunikation av meddelanden som kan ingå i ett avrop.
Ramavtalet omfattar inte följande specifika funktionsområden:
• Pappersutskrift, kuvertering och postdistribution. Dock är det möjligt att avropa en integration till en separat utskriftstjänst. Statliga myndigheter kan avropa pappersutskrift, kuvertering och postdistribution från ramavtalet Tryckeritjänster.
• Distribution av kundfakturor via e-post. De obligatoriska kraven på operatörstjänsten, till exempel kvittenser och notifieringar vid distributionsproblem, är inte tillämpliga på e-post. Se även SFTI:s handledning E- fakturering i offentlig sektor - rättsregler att beakta, avsnitt 5 rörande
ansvarsförhållanden vid e-fakturering. Ansvaret för att utfärda en faktura ligger på säljaren.
• Distribution av kundfakturor i Svefakturaformat. Däremot kan operatörstjänsten på uppdrag av avropande organisation konvertera Svefakturor från eller till formatet Peppol BIS Billing.
• Distribution av kundfakturor i formatet Peppol BIS Billing på andra sätt än via Peppolnätverket.
2.3 Avtals- och dokumentstruktur
Huvuddokumentet reglerar villkoren mellan Kammarkollegiet och ramavtalsleverantör.
Avropsberättigade är en lista på organisationer som får nyttja ramavtalet, se xxxxxx.xx för fullständig lista.
Kravkatalogen klargör vilka slags krav som får ställas vid avrop från ramavtalet.
Allmänna villkor reglerar ramavtalsleverantörens och avropande organisationens allmänna åtaganden, leveranskontroll samt andra allmängiltiga aspekter kopplade till tillhandahållandet av kontraktsföremålet. Allmänna villkor gäller i kontraktet oavsett om någon hänvisning gjorts till dem.
Kontraktet gäller mellan avropande organisation och ramavtalsleverantör.
Utkast till Säkerhetsskyddsavtal Nivå 1–3 är utkast som avropande organisation kan använda med eller utan anpassning. Från den 1 april 2019 omfattar lagstiftningen inte enbart information utan även verksamhet. Exempelvis kan hanteringen av ett informationssystem behöva skyddas ur ett riktighets- och tillgänglighetsperspektiv även om uppgifterna i systemet är offentliga. Inför avrop där en leverantör ska engageras i säkerhetskänslig verksamhet ska behovet av säkerhetsskyddsåtgärder enligt 2 kap. 1 § säkerhetsskyddslagen utredas och kraven på sådana åtgärder uppställas i ett säkerhetsskyddsavtal mellan parterna. Se vidare avsnitt 6 i det här dokumentet.
Utkast till Personuppgiftsbiträdesavtal är ett utkast vars villkor avropande organisation kan välja att använda och även anpassa. För att anbudsgivarna ska kunna utforma sina anbud korrekt och för att personuppgiftsbiträdesavtalet ska kunna tillämpas måste avropande organisation inför avrop gå igenom avtalet och fylla i avsnittet ”Instruktion till Personuppgiftsbiträdesavtal” där det bl.a. anges vilka typer av personuppgifter som ska behandlas, för vilka ändamål samt var de får behandlas geografiskt. Se vidare avsnitt 5 i det här dokumentet.
Bilaga Standarder uppdateras av Kammarkollegiet i takt med utvecklingen av standarder. Ramavtalsleverantörerna har ett ansvar att följa de standarder som Single Face To Industry (SFTI) eller offentlig organisation med motsvarande syfte rekommenderar. Utveckling ska ske så att nya standarder stöds när SFTI:S styrgrupp eller motsvarande fastställer dessa. Underhållsåtagandet reglerar även att operatörtjänsten ska uppdateras till följd av nya och förändrade relevanta lagar, förordningar och föreskrifter.
Ramavtalet Operatörstjänst för elektroniska meddelanden kan nyttjas av statliga organisationer, samt offentligt styrda organ som lämnat bekräftelse. Avropsberättigade organisationer finns angivna under fliken ”Vem får avropa?” på xxxxxx.xx. Det är inte längre möjligt att bli avropsberättigad på ramavtalet.
2.3.2 Begrepp specifika för ramavtalsområdet
Ett urval av de begrepp som är specifikt definierade för ramavtalsområdet Operatörstjänst för elektroniska meddelanden redovisas i Tabell 1. Se Allmänna villkor, avsnitt 2.3 för en fullständig begreppsförteckning.
Tabell 1 – Urval av specifikt definierade begrepp
Begrepp | Förklaring |
Accesspunkt | En Accesspunkt i Peppols infrastruktur är en tjänst som används för att skicka och ta emot elektroniska meddelanden på ett säkert och tillförlitligt sätt. Accesspunkt tillhandahålls av tjänsteleverantörer som gått igenom en godkännandeprocess gentemot OpenPeppol. |
Användare | Varje fysisk person hos Avropsberättigad, inklusive externa uppdragstagare åt Avropsberättigad, som är behöriga att använda Operatörstjänsten. Upp till tre Användare ingår i avtalad Operatörstjänst om inte annat har avtalats i Kontrakt. |
Digital brevlåda | Med en Digital brevlåda kan privatpersoner, aktiebolag, handelsbolag, kommanditbolag, bostadsrättsföreningar och ekonomiska föreningar få post från myndigheter, kommuner och regioner digitalt i stället för på papper. |
Gallring | Gallring innebär att Avropsberättigads data aktivt avlägsnas och förstörs i enlighet med på förhand fastställda kriterier. Gallring av allmänna handlingar får endast ske efter ett gallringsbeslut. Ett gallringsbeslut ger inte bara möjlighet att destruera handlingen utan betyder att destruktionen skall genomföras. Liksom för övriga allmänna handlingar är det att betrakta som Xxxxxxxx om den ursprungliga handlingen överförs till annat medium och originalet förstörs. |
Kundtjänst | Med Kundtjänst avses den funktion hos Ramavtalsleverantören som tar emot och hanterar frågor och uppkomna Fel gällande Tjänsten. Kundtjänsten är tillgänglig för angivna Användare via telefon, e-post och internet under Arbetsdagar. |
Begrepp | Förklaring |
Kundtjänsten besvarar skyndsamt frågor knutna till Tjänsten. | |
Meddelande | Ett elektroniskt dokument som skickas eller tas emot av Operatörstjänsten. |
Meddelandeformat | Det tekniska format och den standard som används för en Meddelandetyp. |
Meddelandeidentitet | Identifieraren för ett Meddelande, till exempel fakturanummer. |
Meddelandetyp | Typen av Meddelande, till exempel faktura enlig en specifik standard såsom Peppol BIS Billing eller Svefaktura |
Motpart | Kunder, varu-/tjänsteleverantörer och övriga sändare och mottagare av elektroniska Meddelanden (inklusive Avropsberättigad). |
Mottagningspunkt | Den tjänst/programvara som Motparten anvisat för mottagning av Meddelanden. |
Konvertering | Överföring av information från ett tekniskt Meddelandeformat till ett annat, till exempel från Svefaktura till Peppol BIS Billing 3. |
Konverteringsrutin | Regler och instruktioner för hur en Konvertering utförs. |
Operatörstjänst | Med Operatörstjänst avses kommunikation av elektroniska Meddelanden (som till exempel Meddelanden inom Peppolnätverket, digital post och skanning av leverantörsfakturor) enligt ställda krav i denna upphandling och i kommande Avrop. |
SFTI | Med SFTI menas SFTI eller annan offentligt styrd organisation som kan komma att ersätta SFTI:s roll i fråga om att rekommendera standardiserade Meddelanden och motsvarande. |
Systemdokumentation | Systemdokumentation är en beskrivning över hur system och lösningar som till exempel omfattar underlag för betalningar av leverantörsfakturor, är organiserade och uppbyggda. Systemdokumentationen omfattar beskrivningar, instruktioner och annan dokumentation som gör att såväl Avropsberättigad självt som externa granskare kan förstå hur till exempel utväxlade Meddelanden har behandlats. |
Begrepp | Förklaring |
Systemdokumentationen ger även en förståelse över hur Operatörstjänsten är uppbyggd och implementerad. | |
Validering (av Meddelande) | Kontroll av att ett Meddelande följer den syntax och de regler som är definierade för ett Meddelandeformat. Validering av Meddelanden görs baserat på tekniska valideringsartefakter såsom W3C XML Schema och Schematron. |
2.4 Ramavtalsområdets giltighetstid
Ramavtalet är giltigt från och med 2023-04-14 till och med 2027-04-13. Kammarkollegiet har en ensidig rätt att säga upp ramavtal efter 24 månaders löptid.
Avrop kan göras från och med att ramavtal har trätt i kraft. Tilldelning av kontrakt ska dock ske under ramavtalens löptid. Kontrakt inkluderar relevanta krav och villkor i ramavtalet och dess giltighet är oberoende av ramavtalets giltighet om inget annat framgår av ramavtalet eller kontrakt.
2.5.1 Förnyad konkurrensutsättning
Avrop sker genom en förnyad konkurrensutsättning. Den sker genom att avropande organisation skickar en skriftlig avropsförfrågan till samtliga leverantörer inom ramavtalsområdet, se xxxxxx.xx. Tanken med detta förfarande är att den förnyade konkurrens som uppstår vid avropet ska leda till att kontrakt tecknas med den ramavtalsleverantör som kan erbjuda den ekonomiskt mest fördelaktiga lösningen.
Ramavtalet Operatörstjänst för elektroniska meddelanden omfattar takpriser för specificerade tjänster som rör meddelandeutväxling via Peppolnätverket. Takpriserna får inte överskridas vid avrop. Utöver dessa specificerade tjänster kan avropande organisation, inom ramarna för bilaga Kravkatalog ställa sina egna krav vid avrop. För dessa fastställs priserna helt i den förnyade konkurrensutsättningen. Se vidare Allmänna villkor, avsnitt 2.11.
De obligatoriska kraven på Operatörstjänsten gäller för samtliga typer av kommunikation av meddelanden som kan ingå i ett avrop. Det innebär att anbudspriserna omfattar loggning, webbgränssnitt och notifieringar vid fel med mera, se Kravspecifikationen.
Priserna anges exklusive mervärdesskatt. Xxxxxxxxxxxxxxxxxxx har endast rätt till ersättning om det uttryckligen anges i kontraktet.
Förutom för de tjänster som omfattas av takpriser är det möjligt att i ett avrop utforma olika prismodeller, se vidare Allmänna villkor, avsnitt 2.11. Prismodellerna bör vara anpassade till det efterfrågas, till exempel ett styckpris per år för arkivering av skannade pappersfakturor samt pris för uppsättning respektive årligt underhåll av en integration till en utskriftstjänst. Gör om möjligt en tydlig beskrivning av vad som ska ingå i priserna, och vad som inte ingår, så att ramavtalsleverantörerna har underlag för sin prissättning och att ni undviker oväntade kostnader.
Gör gärna en RFI, se avsnitt Krav och tilldelningskriterier vid avrop om det finns en osäkerhet rörande hur prismodellen bäst bör utformas i en avropsförfrågan.
2.6.2 Modell för prisjustering
Det är möjligt att avtala om olika modeller för prisindexering, se Allmänna villkor, avsnitt
2.11. I de fall kontraktet inte omfattar någon särskild modell för prisindexering ska det arbetskostnadsindex som Kammarkollegiet använder för prisjustering av takpriser under ramavtalstiden användas, se Ramavtalets Huvuddokument, avsnitt 1.11.2. Kontraktet behöver dock omfatta basmånad för beräkningen av prisjusteringen, samt när den första prisjusteringen kan genomföras, till exempel tidigast ett år efter kontraktets tecknande. Tänk på att krav på fasta priser under en lång period kan innebära en risk för ramavtalsleverantören och därför påverka priserna.
2.6.3 Kostnader för säkerhetsskyddsavtal
Ramavtalsleverantörernas anbudspriser omfattar säkerhetsskyddsavtal nivå 2 och 3. Om avropande organisation har behov av säkerhetsskyddsavtal nivå 1 har ramavtalsleverantörerna rätt till ersättning för verifierade faktiska merkostnader, se Allmänna villkor, avsnitt 2.17.
Ange alltid i avropet om det behöver tecknas ett säkerhetsskyddsavtal samt vilken nivå det i sådana fall handlar om.
Xxxxxxxxxxxxxxxxxxx har rätt till ersättning för verifierade kostnader samt traktamenten om avropande organisation skriftligen uttryckligen beordrar en resa. Ersättning utgår enligt Skatteverkets vid var tid gällande regler för ersättning av rese- och traktamentskostnader. Övertidsersättning, ersättning för jour och beredskap och extra ersättning för arbete under obekväm arbetstid utgår endast om parterna skriftligen överenskommer om detta. Se Allmänna villkor, avsnitt 2.11.
Observera att de obligatoriska kraven på operatörstjänsten inte omfattar anskaffningar utanför ramavtalet. Eventuella anskaffningar utanför ramavtalet bör, för att underlätta avtalsuppföljning, faktureras separat.
Xxxxxxxxxxxxxxxxxxxxxxx har lämnat priser i ramavtalsupphandlingen för följande tre specificerade tjänster. Dessa priser är takpriser som inte för överskridas i anbud. Aktuella takpriser återfinns i Bilaga Priser, se xxxxxx.xx under respektive ramavtalsleverantör samt dokumentet Priser, Sammanställning, se xxxxxx.xx under Avropsstöd.
1. Anslutning till Operatörstjänsten för utväxling av Meddelanden via Peppolnätverket, takpris per anslutning. Se Kravspecifikationen avsnitt 4.2.1 Anslutning och dokumentation.
2. Konvertering av Meddelanden som skickas eller tas emot via Peppolnätverket, takpris per Meddelande. Takpriset är detsamma oavsett antalet Meddelanden. Se Kravspecifikationen avsnitt 4.2.4.1 Konvertering.
3. Meddelandeutväxling via Peppols infrastruktur - Pris per Peppolmeddelande. Det finns fem intervaller (A-E) för takpriserna. Vid avrop är det viktigt att uppskatta antalet meddelanden. Anbud kan omfatta flera olika priser för meddelandeutväxlingen, vilka i förekommande fall tillämpas per år. Se Kravspecifikationen exklusive avsnitt 4.2.1 och 4.2.2.
A. 1 - 1 000 meddelanden/år - pris för upp till 1000 meddelanden som utväxlas under ett år
B. 1 001 - 5 000 meddelanden/år - pris för tillkommande meddelanden i intervallet 1 001-5 000 under ett år
C. 5 001 - 30 000 meddelanden/år - pris för tillkommande meddelanden i intervallet 5 001-30 000 under ett år
D. 30 001 - 100 000 meddelanden/år - pris för tillkommande meddelanden i intervallet 00 000-000 000 under ett år
E. Från 100 001 meddelanden/år - pris för tillkommande meddelanden från 100 001 st under ett år
2.6.6.1 Prisjusteringar - Takpriser
Kammarkollegiet kan under ramavtalets löptid komma att godkänna justeringar av takpriserna. Information om prisjusteringar samt justerade priser publiceras på xxxxxx.xx.
Eventuella justeringar av takpriser påverkar inte priserna i skickade avropssvar eller priser i tecknade kontrakt. I praktiken betyder att om ett takpris har justerats efter det att ett anbud har skickats in har leverantören ingen rätt att justera sitt anbudspris i efterskott. Eventuella kommande prisjusteringar följer sedan av kontraktet.
2.6.7 Mall för volymer och priser
Mallen Volymer och priser, se xxxxxx.xx, kan användas som stöd vid utformningen av ett avrop eller vid avstämning av takpriser i anbud. Den kan även bifogas ett avrop (rubriken kan justeras).
Ramavtalsleverantörernas takpriser för meddelandeutväxling via Peppolnätverket är inlagda i mallen och det finns ett antal rader för att ange ytterligare önskemål om prisuppgifter. Xxxxxx ger även stöd för beräkningen av volymer i olika prisintervall. Ange det antal år som avropet avser samt ett uppskattat antal årliga meddelanden.
Det är möjligt att öppna mallen för justeringar, till exempel borttag eller tillägg av rader. Högerklicka på flikens namn samt ”Ta bort bladets skydd”. Skydda den igen genom att ange ”Skydda blad”. OBS! Det behövs inget lösenord för att justera mallen. Om den används i ett avrop det kan det därför vara lämpligt att vid utvärderingen separat stämma av uppgifter om antal och beräkningar.
Det är viktigt att säkerställa rätt kontraktslängd. Generellt kan sägas att rätt kontraktslängd är upphandlingsföremålets bedömda ekonomiska livslängd, men det kan också finnas anledning att ta hänsyn till andra aspekter. Exempelvis kan ett stegvist införande och/eller planerade byten av andra närliggande system och lösningar påverka giltighetstiden. Ett byte av leverantör för tjänster som rör meddelandeutväxling via Peppolnätverket genomförs dock väldigt enkelt genom att den elektroniska mottagningsadressen ändras i Peppols adressregister (SMP). Se även Kravkatalogen, avsnittet Giltighetstid.
Relevanta stöddokumenten såsom avropsmallar, frågor och svar samt denna vägledning återfinns på ramavtalens sida på xxxxxx.xx. Stöddokumenten utvecklas och uppdateras kontinuerligt. Hör av er till ramavtalsansvarig (se xxxxxx.xx) eller xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxx.xx om ni saknar ni stöddokument som flera avropande organisationer skulle kunna dra nytta av.
Det finns en generell, allmän vägledning för avrop på xxxxxx.xx. Avropande organisation avgör hur avropsförfrågan utformas. Mall för avropsförfrågan, se xxxxxx.xx, kan användas som en checklista.
Behoven av att utväxla elektroniska meddelanden kan variera över tid. Därför är det bra att ha en strategi för ett eller eventuellt flera avrop från ramavtalet. Ställ er till exempel följande frågor:
• Vilket är det omedelbara behovet av en operatörstjänst och hur kommer situationen att utvecklas framöver?
o Kan det till exempel bli aktuellt att skicka digital post från ett eller flera verksamhetssystem?
o Har vi fortfarande stora volymer av leverantörsfakturor i pappersform och därför ett behov av att avropa tjänster för skanning, eller ett minskande antal som vi kan hantera internt?
o Har vi många privatpersoner som kunder och har de efterfrågat fakturor till internetbank?
o Planerar vi att utreda våra behov av att skicka eller ta emot dokument på ett säkert sätt via infrastrukturen SDK (Säker digital kommunikation)?
• Kan vi avvakta med vissa delar av det totala behovet och i ett senare skede göra ett nytt avrop?
o Behöver vi använda delleveranser och/eller optioner i avropet för att kunna ha samma leverantör för olika typer av meddelandeutväxling som har ett samband mellan varandra?
Följande punkter kan vara bra att gå igenom inför ett avrop:
• Hur ser den nuvarande utformningen av meddelandeutväxling ut för det område som ska efterfrågas?
o Har vi en komplex situation med flera olika flöden av meddelanden och kan/vill vi göra någon förändring av den?
• Hur ser den aktuella avtalssituationen ut, giltighetstider, optioner och villkor rörande avslut med mera?
o Vilka volymer finns i dag och hur bedömer vi utvecklingen av den?
o Var, och hur länge ska räkenskapsinformation och utväxlingsloggar med mera i nuvarande tjänster och lösningar bevaras?
• Vilka krav på lagring behöver vi ställa i avropet, vilken räkenskapsinformation kommer att finnas och hur länge, och var, ska den bevaras?
• Kan våra befintliga verksamhetssystem i dagsläget skapa eller ta emot aktuella meddelandestandarder eller behöver vi avropa konverteringar?
o Under hur lång tid kan vi i sådana fall behöva konverteringarna?
o Skapar vi själva Peppols tekniska kuvert för standardiserade meddelanden som ska skickas via Peppolnätverket, eller ska operatörstjänsten ska göra det? (Båda alternativen ingår i priserna men ramavtalsleverantörerna behöver få förutsättningarna för anslutningen till tjänsten i avropet).
• Behöver avropet omfatta konsulttjänster för att göra uppsättningar av utväxling av utgångna meddelandeformat, vid sidan av Peppolnätverket, med befintliga varu-
/tjänsteleverantörer?
o Är det möjligt att byta till giltiga format innan införandet av operatörstjänsten, som kan skickas och tas emot via Peppolnätverket? Bör avropet omfatta konsulttjänster som stöd för det?
• Påverkas befintliga system och lösningar av införandet av operatörstjänsten?
o Har vi säkerställt att vi vid behov har tillgång till exempelvis konsulter hos aktuella leverantörer?
• Vid avrop som rör kundfaktureringsprocessen,
o Vill vi planera för e-faktura till privatpersoners internetbanker? Har vi tagit kontakt med vår bank rörande uppsättning och införande, så att vi vet vad som gäller inför avropet? Statliga myndigheter som använder Riksgäldens bankavtal kan komplettera ett avropsavtal för betaltjänster med denna tjänst. Eventuella kostnader för detta är en fråga mellan avropande organisation och (ramavtals)banken.
o Vill vi att operatörstjänsten ska skicka kundfakturor i PDF-format till privatpersoner och organisationer som har en digital brevlåda? Har vi tagit kontakt med Digg rörande uppsättning och införande av förmedling via infrastrukturen Mina meddelanden, så att vi vet vad som gäller inför avropet? Observera att det framöver kan komma förändrade förutsättningar för infrastrukturen Mina meddelanden. Se vidare Frågor och svar.
o Hur hanteras utskrifter och distribution av pappersfakturor i dag. Har vi en befintlig utskriftstjänst som vi kan använda fortsättningsvis eller behöver vi göra en ny upphandling?
Upphandlingen omfattade följande kvalificeringskrav. Eftersom ramavtalsleverantörerna redan har uppfyllt dem och de gäller under hela avtalstiden ska de inte användas i ett avrop.
− Ekonomisk och finansiell ställning - Upphandlingsdokumenten avsnitt 5.6.2
− Certifierad Peppol-tjänsteleverantör - Upphandlingsdokumenten avsnitt 5.6.3
− Ledningssystem för informationssäkerhet - Upphandlingsdokumenten avsnitt 5.6.4.
I de fall ett anbud innebär att en underleverantör utför en väsentlig del av leveransen är det möjligt att begära in ytterligare bevis, till exempel inom området ledningssystem för informationssäkerhet.
3.3.2 Obligatoriska krav på tjänsten
Upphandlingen av ramavtalet omfattade ett antal obligatoriska krav på tjänsten som helhet samt specifika krav på meddelandeutväxling via Peppolnätverket. De obligatoriska kraven gäller för all meddelandeutväxling som kan ingå i ett avrop. Operatörstjänsten ska också uppfylla krav enligt tillämpliga lagar, förordningar, föreskrifter och EU-direktiv som gäller offentlig sektor i Sverige samt ha stöd för att utväxla elektroniska meddelanden enligt de specifikationer som beskrivs i Bilaga Standarder.
De obligatoriska kraven på Operatörstjänsten återfinns under följande rubriker i
Kravspecifikationen.
− Avropande organisations anslutning till Operatörstjänsten
− Systemdokumentation
− Vidareutveckling
− Integrationer och integrationsgränssnitt
− Avstämning av integrationer
− Konvertering
− Validering av Meddelanden
− Meddelandeutväxling och utformning av notifieringar och felmeddelanden
− Loggning av meddelandeutväxling
− Loggning av valideringsresultat
− Loggning vid Konvertering av Meddelanden
− Loggning av inloggningar och inloggningsförsök
− Loggning vid administration av konton och behörigheter
− Lagring, åtkomst samt Gallring av Avropsberättigads data
− Webbgränssnitt för tillgång till data
− Tillgång till data
− Lagring av data inom EU/EES
− Export av data
− Migrering av data
− Tillgänglighet till Operatörstjänsten.
− Tvåfaktorsautentisering vid inloggning
− Loggning av förändringar i Operatörstjänsten
− Geografiskt skilda platser för datalagring.
Följande obligatoriska kravområden avser specifikt Peppols infrastruktur, se
Kravspecifikationen, avsnitt 4.2.9:
− Meddelandeutväxling via Peppols infrastruktur
− Adressering i Peppols infrastruktur
− Integration med Avropande organisations system och lösningar.
Avropande organisation kan, med utgångspunkt från Bilaga Kravkatalog, ställa egna krav vid avrop av operatörstjänsten. Kraven kan preciseras och tillämpningen kan ske både som obligatoriska krav (ska- krav) och utvärderingskriterier (bör-krav). Avropande organisation väljer även hur kraven ska verifieras. Det är möjligt att ta referenser för att verifiera att kraven kan uppfyllas. Tjänster med utgångspunkt från Bilaga Kravkatalog prissätts i den förnyade konkurrensutsättningen.
Kravkatalogen omfattar bland annat följande områden. Observera att beskrivningarna är kortfattade och att det finns fler områden, se Bilaga Kravkatalog för en fullständig information om krav som är möjliga att ställa:
− Användare – ytterligare antal, (utöver tre) med tillgång till webbgränssnitt i Operatörstjänsten.
− Förmedling av digital post till enskilds digitala brevlådor via infrastrukturen Mina meddelanden
− Förmedling av e-faktura till enskilds internetbank
− Informationssäkerhet - utöver krav på ISO 27001
− Integration – API:er, integrationer med utskriftstjänst och separat skanningtjänst med mera.
− Kompetens och konsulter
− Lagring av data – information om lagring och hantering, om motiverat, även krav på i vilka länder data får lagras och hanteras. Även lagring av meddelanden efter kontraktets avslut, samt fortsatt tillgång till webbgränssnitt under lagringstiden.
− Leverantörsportal - ett webbgränssnitt som avropande organisation vid behov tillhandahåller sina varu-/tjänsteleverantörer och där avropande organisation själv tilldelar behörighet till utvalda motparter i syfte att de manuellt ska kunna registrera Meddelanden i inköpsprocessen, till exempel fakturor.
− Offentligt styrd infrastruktur - Meddelandeutväxling via andra typer av offentligt styrda infrastrukturer än Peppolnätverket, till exempel infrastrukturen för säker digital kommunikation inom offentlig sektor (SDK).
− Personuppgiftsbiträdesavtal - kompletterande krav, till exempel avseende förhållanden vid tredjelandsöverföring av personuppgifter, för att säkerställa att dataskyddsförordningen efterlevs vid tillhandahållande av tjänst enligt kontrakt.
− Skanning av leverantörsfakturor - mottagning och skanning av leverantörsfakturor i pappersform, tolkning av information på fakturorna, validering av tolkningen, överföring av de skannade bilderna samt den tolkade informationen till kund enligt ett förbestämt filformat. Krav kan också komma att ställas på fortsatt hantering av pappersfakturorna, till exempel återsändning och/eller lagring och gallring.
− Tillgång till data efter kontraktets avslut - lagring av samt tillgång till data via webbgränssnitt under en övergångsperiod efter kontraktets avslut. Det kan till exempel handla om fortsatt tillgång till utväxlingsloggar under den tid de lagras och/eller fortsatt lagring och tillgång till Meddelanden.
− Utökad export av data - Vid avrop kan krav komma att ställas på löpande export av data. Det kan till exempel handla om utdrag av viss information av meddelanden till en egen inköpsuppföljning eller mot bakgrund av krav från tillsynsmyndigheter eller om att löpande överföra meddelanden för lagring i ett eget elektroniskt arkiv.
Mall för avropsförfrågan - Operatörstjänst för elektroniska meddelanden kan användas som en checklista för uppdragsbeskrivningen i avropsförfrågan. Om avropande organisation behöver teckna säkerhetsskyddsavtal ska detta anges i avropet.
3.3.5 Krav och tilldelningskriterier vid avrop
Ramavtalet ger vissa möjligheter att komplettera med krav i ett avrop, se Bilaga Kravkatalog.
RFI (Request For Information)
Om era behov och den planerade kravställningen grundas på Bilaga Kravkatalog kan det finnas behov av att göra en sorts marknadsundersökning för att ta reda på leveranskapacitet och olika sätt att tillgodose behovet. En sådan förfrågan kallas RFI (Request For Information) och skickas ut till samtliga ramavtalsleverantörer. I RFI:n beskriver ni översiktligt nuläget och ert behov samt ber ramavtalsleverantörerna beskriva om de kan tillhandahålla det som efterfrågas av er. Ni kan också be ramavtalsleverantörerna lämna förslag på lösning, omfattning, pris eller upplägg för ert behov. Ange att det inte är ett skarpt avrop utan enbart en förberedande fråga samt datum när ni vill få in svar. Via RFI-svaren får ni en uppfattning om ramavtalsleverantörernas möjligheter att leverera. Ramavtalsleverantörerna får också värdefull information om ert behov och är mer förberedda när avropsförfrågan sedan skickas ut. En ramavtalsleverantör är inte skyldig att besvara en RFI.
3.4 Utskick av avropsförfrågan
Avropsförfrågan ska skickas till samtliga ramavtalsleverantörer inom aktuellt område, se xxxxxx.xx för aktuella e-postadresser. Xxxxxxxxxxxxxxxxxxxxxxx ska ge ett avropssvar men kan avstå från att lämna anbud och i förekommande fall lämna en förklaring.
4.1 Säkerställ den egna interna kontrollen
Xxxxxxxxxxxxxxxxxxxxxxx måste ha en god kännedom om sina kunder som får tillgång till exempelvis Peppolnätverket. De riskerar att förlora sin rättighet att vara accesspunkt om de förmedlar oseriösa meddelanden. Därför behöver avropande organisationer säkerställa den interna kontrollen kring de meddelanden som skickas via operatörstjänsten. Enligt Allmänna villkor, avsnitt 2.27.2, kan ramavtalsleverantören tillfälligt stänga av meddelandeutväxlingen för en avropande organisation som förmedlar skräppost eller dokument som innebär bedrägerier av något slag, till exempel bluffakturor. Om felet inte åtgärdas kan ramavtalsleverantören även ha rätt att säga upp kontraktet.
Ta höjd i tidplanen om det krävs säkerhetsskyddsavtal. Det kan finnas ledtider för de kontroller som leverantören behöver genomföra.
4.3 Förbered anslutningen av den nya operatörstjänsten
Förbered, så långt det är möjligt, anslutningen av den nya operatörstjänsten redan innan avropet. Förberedelserna kan behöva omfatta så väl omfattning som löptider och eventuella förlängningsmöjligheter för befintliga avtal. Detta är särskilt viktigt vid avrop av meddelandeutväxling som avser inköps- och kundfaktureringsprocesserna. Det går inte att under någon längre tid stoppa upp till exempel mottagning av leverantörsfakturor och utskick av kundfakturor. Därför kan det kanske under en period behövas parallella flöden. Andra typer av meddelandeutväxling, där det till exempel saknas standarder, kan kräva ingrepp i berörda verksamhetssystem och eventuellt också specifika programvaror.
Observera att operatörstjänsten inte omfattar tjänster för pappersutskrifter. Däremot är det möjligt att avropa en integration till en utskriftstjänst (befintlig eller ny), till exempel för kundfakturor som inte har kunnat levereras via Peppolnätverket, via Mina meddelanden till digitala brevlådor eller till mottagarens internetbanker.
4.3.1 Meddelandeutväxling via Peppolnätverket
Meddelandeutväxling som i dag sker via Peppolnätverket kan lätt styras över till en ny operatörstjänst, men det kan finnas andra typer av kommunikationssätt i befintliga inköps- och kundfaktureringsprocesser som behöver fungera efter bytet till den nya operatörstjänsten. Det är viktigt att ni har en aktuell information om er meddelandeutväxling, det vill säga vilka kommunikationssätt som tillämpas med era olika
motparter, som underlag för eventuella åtgärder innan anslutningen av den nya operatörstjänsten.
4.3.1.2 Hantera befintlig meddelandeutväxling med gamla standarder i den nya operatörstjänsten I den befintliga utväxlingen av meddelanden inom inköpsprocessen kan det finnas uppsättningar med gamla standarder, till exempel SFTI ESAP 6 eller Svefaktura.
Undersök alltid om det är möjligt att flytta över dessa uppsättningar till Peppolnätverket
innan anslutningen av den nya operatörstjänsten.
SFTI ESAP 6
Om meddelandeutväxlingen i ett pågående avtal med en varu-/tjänsteleverantör sker enligt den gamla standarden SFTI ESAP 6 bör ni i första hand undersöka om det är möjligt att växla över till Peppol. Leverantören kanske har andra kunder i offentlig sektor som redan är i gång med meddelanden i Peppolformat och meddelandeutväxling via Peppolnätverket. I de fall ni kommer fram till att det inte är försvarbart eller lämpligt att för en kortare tid byta till Peppol, kan en lösning vara att avropa konsulttjänster för att göra en ny uppsättning av SFTI ESAP 6. Detta prissätts i sådana fall i den förnyade konkurrensutsättningen. Om det är möjligt i avtalet med den tidigare operatörstjänsten kan en annan lösning vara att, under en övergångstid, behålla den befintliga uppsättningen av SFTI ESAP 6.
Svefaktura
Svefaktura är ett gammalt e-fakturaformat som inte rekommenderas av SFTI.
Leverantörsfakturor i Svefakturaformat
Leverantörer till offentlig sektor behöver enligt lag skicka e-fakturor i formatet Peppol BIS Billing 3 och samtliga upphandlande myndigheter och enheter måste kunna ta emot fakturor via Peppolnätverket, det vill säga vara registrerade som fakturamottagare i Peppols adressregister SMP. Dock kan det fortfarande förekomma att leverantörer skickar Svefakturor. Om förberedelserna inför avropet har visat att det finns gamla avtal med leverantörer som inte kan övergå till att skicka Peppol BIS Billing 3 via Peppolnätverket, finns möjligheten att avropa konsulttjänster för att sätta upp mottagning av Svefaktura från enskilda avsändare. Priset för det sätts i den förnyade konkurrensutsättningen. Ett annat alternativ kan, om det är möjligt i avtalet med den tidigare operatörstjänsten, vara att under en övergångstid behålla befintliga uppsättningar för mottagning av Svefaktura.
OBS Glöm inte att ställa krav i nya upphandlingar på att meddelandeutväxling ska ske via Peppolnätverket, se vidare SFTI:s handledning Krav på e-handel i samband med upphandling.
Kundfakturor i Svefakturaformat
Det finns inte några krav på statliga myndigheter att skicka Svefaktura till sina kunder. Pappersfakturor som distribueras via postoperatör eller fakturaregistrering i ett webbgränssnitt kan vara alternativ till att skicka kundfakturor i Svefakturaformat.
Om förberedelserna inför avropet har visat att det inte är möjligt för en eller flera kunder att övergå till att ta emot Peppol BIS Billing 3 via Peppolnätverket är det möjligt att avropa konsulttjänster för att sätta upp distribution av Svefaktura till enskilda mottagare.
Priset för det sätts i den förnyade konkurrensutsättningen. Ett annat alternativ kan, om det är möjligt i avtalet med den tidigare operatörstjänsten, vara att under en övergångstid behålla befintliga uppsättningar för distribution av Svefaktura.
4.3.1.3 Välj vilket eller vilka Peppol-ID som ska användas
En organisations elektroniska adress i Peppolnätverket kallas Peppol-ID. Den som vill ta emot elektroniska meddelanden via Peppolnätverket, till exempel leverantörsfakturor, behöver bland annat registrera följande uppgifter i Peppols adressregister som kallas SMP:
• Organisationens Peppol-ID.
• Uppgifter om vilka typer av elektroniska meddelanden som organisationen kan tas emot (till exempel e-fakturor).
• Uppgift om den accesspunkt som används för att ta emot meddelanden för organisationen.
Vanligtvis är det operatörstjänsten eller motsvarande tjänst som levererar accesspunkt som genomför registreringen i SMP.
Upphandlande myndigheter och enheter måste kunna ta emot e-fakturor via Peppolnätverket. Därför har de flesta avropande organisationer redan valt ett Peppol-ID. Det kan dock uppstå problem med att använda samma Peppol-ID hos olika leverantörer av accesspunkter. Om avropet innebär att det framöver kommer att finnas två olika leverantörer av accesspunkter, till exempel en för inköpsprocessen och en för kundfaktureringsprocessen, behövs oftast ytterligare ett Peppol-ID.
Det enklaste är sannolikt att fortsätta att använda organisationens befintliga Peppol-ID för inköpsprocessen. Orsaken är att detta Peppol-ID oftast redan är registrerat hos många varu-/tjänsteleverantörer som till exempel skickar e-fakturor. Mottagare av kundfakturor via Peppol-nätverket behöver i dagsläget inte ha kännedom om avsändarens Peppol-ID.
Läs mer om val av Peppol-ID hos Myndigheten för digital förvaltning (Digg).
4.3.1.4 Konvertering för att hantera eventuella begränsningar i verksamhetssystem Meddelanden som skickas via Peppolnätverket måste vara utformade i ett av Peppol godkänt standardiserat format. De måste också valideras innan de skickas, så att
mottagaren alltid får tekniskt korrekta meddelanden. Eftersom det endast används
standardiserade format vid utväxlingen kan konsekvensen bli att vissa avropande organisationer behöver konvertera meddelanden till eller från format som används internt gentemot ekonomisystemet eller motsvarande.
Exempel: Det är inte möjligt att skicka det gamla formatet Svefaktura via Peppolnätverket. Den som har ett ekonomisystem eller faktureringssystem som enbart skapar Svefakturor behöver konvertera dessa till formatet Peppol BIS Billing 3 för att de ska kunna skickas via Peppolnätverket. På samma sätt kan en mottagare som har ett system som enbart kan ta emot Svefakturor behöva konvertera från Peppol BIS Billing 3 till Svefaktura.
Konvertering innebär vissa risker för informationsförluster och det är viktigt att säkerställa spårbarhet för meddelanden som utväxlas. Därför finns det krav på operatörstjänsten att beskriva regler för konverteringen samt att redovisa eventuella informationsförluster. Det finns förstås fördelar med att uppgradera eller byta ut system och lösningar som inte kan hantera de meddelandeformat som är godkända i Peppol.
4.3.2 Digital post via infrastrukturen Mina meddelanden
Privatpersoner eller organisationer som har registrerat sig för en digital brevlåda har accepterat att ta emot myndighetspost till den, samt godkänt brevlådeoperatörens användarvillkor. Precis som med post till en fysisk brevlåda har mottagaren en skyldighet att ta del av innehållet i sin digitala brevlåda.
Det finns en offentlig digital brevlåda som heter Min myndighetspost. Den kan enbart ta emot digital post från statliga myndigheter, kommuner och regioner. Det finns andra digitala brevlådor som även kan ta emot post från privata aktörer samt till exempel tillhandahålla betalfunktioner.
Myndigheten för digital förvaltning (Digg) ansvarar för infrastrukturen Mina meddelanden och den digitala brevlådan Min myndighetspost. Avtalsstrukturen är enkel. Statliga myndigheter, kommuner och regioner tecknar ett avtal med Digg för att använda tjänsten. Mottagaren väljer själv digital brevlåda och accepterar de användarvillkor som den har, samt eventuellt användarvillkor för en betalfunktion.
Mottagare av digital post registreras i förmedlingsadressregistret för digitala brevlådor (FaR). Det innebär att den statliga myndighet, kommun eller region som vill skicka digital post enbart behöver ange ett korrekt person-/organisationsnummer. Däremot behöver det vara tydligt i avropet att operatörstjänsten ska kontrollera om mottagaren finns i FaR innan posten till exempel skickas till en utskriftstjänst.
Statliga myndigheter, kommuner och regioner kan (i skrivande stund) kostnadsfritt distribuera digital post till samtliga digitala brevlådor via infrastrukturen Mina meddelanden. Avropet behöver således enbart omfatta själva förmedlingen till infrastrukturen. Operatörstjänsten blir därmed en så kallad ”Förmedlare” från avropande organisation till Mina meddelanden (se Bild 2). Xxxx meddelanden ansvarar därefter för vidare distribution av den digitala posten till den digitala brevlåda som mottagaren har valt.
Bild 2 - Förmedling av digital post via infrastrukturen Mina meddelanden.
Notera att
• Distribution av digital post till digitala brevlådor via infrastrukturen Mina Meddelanden kräver ett särskilt avtal med Digg.
• Den som vill skicka digital post som kan betalas i brevlådan måste ansöka om särskilt tillstånd från Riksgälden, i enlighet med 10 § i förordning (2017:170) om statliga myndigheters betalningar och medelsförvaltning.
• Det kan finnas ledtider vid införandet av digital post
• Förutsättningarna för digital post kan komma att förändras framöver, till exempel i och med införandet av ett Auktorisationssystem som möjliggör för leverantörer att erhålla ersättning för den tjänst som levereras och att offentliga aktörer ska betala en avgift för att använda tjänsterna.
4.3.3 Elektroniska kundfakturor
4.3.3.1 Xxxx upp de olika flödena i kundfaktureringsprocessen
Processen för kundfaktureringen i en organisation är vanligtvis utformad med stöd av eller flera it-system eller lösningar. Även vid ett relativt enkelt upplägg kan det finnas skäl att rita upp de olika flödena i processen och fundera över hur dessa ska hanteras i avropet och vid införandet av operatörstjänsten. En ökad e-fakturering kan i sig också innebära behov av förändringar. Överväg om ni har behov av att göra en RFI för att få kunskap om operatörstjänsternas möjligheter och eventuella begränsningar i samband med distributionen av kundfakturor, samt underlag för eventuella ändringar eller kompletteringar av egna interna processer.
4.3.3.2 Kontrollera om organisationer och företag kan ta emot fakturor via Peppolnätverket Många organisationer är anslutna till Peppolnätverket för mottagning av e-fakturor. Det kan vara en bra idé att kontrollera vilka av era kunder som idag får PDF- eller
pappersfakturor som faktiskt kan ta emot e-fakturor via Peppol. En fakturamottagare som
är registrerad i Peppols adressregister (SMP) anses ha godkänt att ta emot e-fakturor i formatet Peppol BIS Billing 3, se SFTI:s handledning E-fakturering i offentlig sektor - rättsregler att beakta, avsnitt 4.2.
SFTI:s verifieringstjänst omfattar en funktion - Peppol Lookup – som kan användas för att söka mottagare i Peppolnätverket. Det är möjligt att göra utsökningar med upp till 100 poster åt gången, till exempel för den som snabbt vill gå igenom sitt kundregister. Tjänsten är gratis men användaren behöver skapa en inloggning till verifieringstjänsten. Det är också möjligt att söka fram organisationer i SMP samt vilka meddelanden de kan ta emot via Peppol directoy. Det kan finnas skäl att kontakta organisationer som ännu inte är registrerade för att ta emot fakturor via Peppolnätverket, se vidare information på xxxx.xx.
4.3.3.3 E-faktura till privatpersoners internetbanker
Privatpersoner kan ansöka om att få betalningsbara kundfakturor i sin internetbank och tjänster kring det kan efterfrågas i ett avrop. Uppsättningen av e-faktura till internetbank innebär bland annat en utformning av ett anmälningsförfarande. Ta en kontakt med den egna banken innan avropet för att klargöra vad som krävs av er. Ni kan till exempel behöva utforma blanketter för de PDF-fakturor som ska redovisas hos bankerna och beroende på ert bankavtal kan det också tillkomma kostnader.
4.3.3.4 Kundfakturor som digital post
Det är möjligt att skicka kundfakturor som digital post till mottagare som har digitala brevlådor. Förslagsvis skickar ni i första hand e-fakturor till de kunder som är registrerade som e-fakturamottagare i Peppols adressregister eller har ansökt om att få e-faktura till internetbank. Skicka aldrig kundfakturor till två mottagningspunkter, till exempel både till internetbank och digital brevlåda.
I syfte att ge mottagarna möjlighet att nyttja betaltjänster i brevlådorna är det även möjligt att bifoga en särskild specifikation med kundfakturan som innehåller betaldata. Observera dock att
1. Infrastrukturen Mina meddelanden inte omfattar eventuella betaltjänster som kan finnas i brevlådorna.
2. Betalningsförfarandet via en digital brevlåda kan komma att hanteras av en tredje part, med andra ord av någon annan än leverantören av den brevlåda som tar emot själva meddelandet. Den tredje parten kanske inte alltid är en bank.
3. En statlig myndighet som önskar använda betaltjänster som hanteras av den digitala brevlådan eller av tredje part måste ansöka om särskilt tillstånd från Riksgälden, i enlighet med 10 § i förordning (2017:170) om statliga myndigheters betalningar och medelsförvaltning. Riksgälden, Statens internbank, kan ge stöd i frågan.
Se vidare avsnittet Digital post.
Det är inte möjligt att avropa pappersutskrift, kuvertering och postdistribution av kundfakturor via ramavtalet från ramavtalet Operatörstjänst för elektroniska meddelanden. Däremot är det möjligt att efterfråga förmedling av fakturameddelanden eller fakturablanketter i PDF-format till en separat utskriftstjänst. Statliga myndigheter kan avropa utformning av fakturablanketter, utskrifter, kuvertering och postdistribution från ramavtalet för Tryckeritjänster.
Undersök om det är möjligt att använda eventuella befintliga fakturablanketter i ekonomi-
/faktureringssystemet för e-faktura till internetbank, digital post eller som underlag för pappersutskrift.
4.3.3.6 Bevara PDF-fakturor som skickats till kund
PDF-fakturor som skickas till internetbanker och digitala brevlådor samt underlag för pappersutskrifter kan behöva bevaras med exakt det utseende de hade när de skickades till kund, eller skrevs ut för att skickas till kund. Vid behov, säkerställ att ni har fortsatt tillgång till tidigare skickade PDF-fakturor samt bestäm hur ni ska hantera det hela framöver.
4.3.3.7 Åtgärder vid försenade e-fakturor
En ökad elektronisk fakturering kan innebära ett behov av att gå igenom rutinen för åtgärder vid försenade fakturor. En påminnelse om en obetald faktura inte är en faktura utan ett dokument som bör skickas separat. Påminnelseavgifter är dock fakturor som kan skickas till den elektroniska adressen, men för att undvika dubbelregistreringar i det mottagande systemet (och administration kring dubbelbetalningar) bör de enbart omfatta själva avgiften. Se vidare SFTI:s Guide för mottagande av elektroniska fakturor, avsnitt 10.
4.4 Anslutning av operatörstjänsten (implementation)
Allmänna villkor, avsnitt 2.10 beskriver vad som gäller för leverans och leveranskontroll om inget annat framgår av kontraktet.
Det är viktigt att det i kontraktet finns uppgift om en avtalad leveransdag, det vill säga den dag när ni ska kunna börja använda operatörstjänsten på efterfrågat sätt.
Xxxxxxxxxxxxxxxxxxxxx ansvarar för att leverera en komplett tjänst, i enlighet med den tidplan som framgår av kontraktet. Leveransen ska vara slutförd på avtalad leveransdag.
Både ni som är avropsberättigad organisation och ramavtalsleverantören behöver kontinuerligt arbeta för att leveransen ska vara klar senast på den avtalade leveransdagen. Innan den avtalade leveransdagen ansvarar ni för att göra en leveranskontroll, det vill säga säkerställa att operatörstjänsten uppfyller de ställda kraven. Den dag ni godkänner leveransen, eller kan anses ha godkänt den, kallas effektiv leveransdag. Om den effektiva leveransdagen infaller efter den avtalade leveransdagen behöver ni klargöra vem som har orsakat förseningen. Försening regleras enligt Allmänna villkor, avsnitt 2.22, Xxxxxx vid försening. Leveransgodkännande kan ske med reservation, se Allmänna villkor, avsnitt 2.10.1, från punkt 7.
Leveranskontrollen kan till exempel omfatta följande moment:
− Skicka och ta emot helt korrekta testmeddelanden.
− Om möjligt, skicka och ta emot felaktiga meddelanden och kunna utläsa vad som felas i de notifieringar som operatörstjänsten ska ge er.
− Avstämning av webbgränssnitt, att de fungerar enligt ställda krav.
− Avstämningar som gäller integrationer till och från operatörstjänsten.
4.5 Statistik som gäller meddelandeutväxlingen
Inför avropet kan det vara bra att fundera igenom vilken typ av statistik som ni tror att ni kan komma att behöva. Det kan till exempel handla om volymer för olika typer av meddelandeutväxling samt förteckningar över distributionssätt per motpart.
Operatörstjänstens webbgränssnitt kan eventuellt vara en källa till den önskade statistiken.
Xxxxxxxxxxxxxxxxxxx ska vid var tidpunkt kunna tillhandahålla av efterfrågade rapporter och statistik, enligt vad som framgår av kontraktet, för en period om minst 18 månader tillbaka.
4.6 Avstämningar och hantering av avvikelser
Avropande organisation behöver kunna säkerställa att skickade elektroniska meddelanden når mottagarnas angivna mottagningspunkter. Meddelanden som kommer till den egna mottagningspunkten måste också hanteras. I SFTI:s handledning E-fakturering i offentlig sektor - rättsregler att beakta, återfinns beskrivningar av olika typer av fel som kan uppstå vid elektronisk fakturering, samt vilket ansvar som sändare och mottagare har för meddelandeutväxlingen.
De obligatoriska kraven på operatörstjänsten innebär att ni alltid ska få stöd för avstämning av integrationer, till exempel uppgifter om antal meddelanden som tagits emot och antalet som har levererats till mottagarens mottagningspunkt. Ni ska också få notifieringar i klartext vid avvikelser som operatörstjänsten inte kan lösa. Till exempel, om motpartens accesspunkt är stängd gör operatörstjänsten nya sändningsförsök utan er inblandning. Däremot, om ni får en notifiering från operatörstjänsten om att ett meddelande, trots omsändningsförsök, inte har kunnat levereras, behöver ni göra något.
Operatörstjänstens notifiering ska kunna vägleda er i frågan.
I samband med anslutningen av operatörstjänsten kan det vara bra att tänka igenom det egna upplägget för avstämningar och hantering av eventuella avvikelser i meddelandeutväxlingen, till exempel var operatörstjänsten ska skicka eventuella notifieringar om avvikelser (funktionsbrevlåda?). Fundera också över hur många användare som behöver ha tillgång till webbgränssnittet/webbgränssnitten (tre ingår).
5 Dataskyddsförordningen och personuppgiftsbiträdesavtal
5.1 Allmänt om Dataskyddsförordningen
Dataskyddsförordningens syfte är att stärka den registrerades rättigheter samt det fria flödet av personuppgifter på EU:s inre marknad. Det innebär att ett Personuppgiftsbiträdesavtal måste vara fokuserat på den registrerades skydd avseende behandlingen av personuppgifter men även affärsmässigt drivet framförallt avseende riskplacering av rättigheter och skyldigheter mellan personuppgiftsansvarige och personuppgiftsbiträde/en.
5.2 Utkast Personuppgiftsbiträdesavtal
Statens inköpscentral tillhandahåller ett utkast till Personuppgiftsbiträdesavtal som bör användas vid avrop om behandling av personuppgifter blir aktuellt för ramavtalsleverantören eller dess Underleverantör i kontraktet.
Personuppgiftsbiträdesavtalet består av två delar och den del som kallas instruktion är oerhört viktig att avropande organisation fyller i så korrekt som möjligt så att parterna är införstådda med vad de kommit överens om.
Ett korrekt ifyllt Personuppgiftsbiträdesavtal innebär ett starkt skydd för de registrerade och tydliga gränsdragningar mellan personuppgiftsansvarige och personuppgiftsbiträde.
Personuppgiftsbiträdesavtalet reglerar främst behandlingen av personuppgifter men tillsammans med de allmänna villkoren säkerställs även den upphandlingsrättsliga och avtalsrättsliga (civilrättsliga) aspekten. Det är viktigt att tänka på att alla dessa komponenter måste ingå för att avropet ska bli så bra som möjligt.
Även om alla dokument har en inbördes rangordning så är det viktigt att tänka på att avropets tekniska specifikationer ofta innehåller dataskyddsrättsliga krav. Fokus ska ligga på upphandlingsföremålet och personuppgiftsbiträdesavtalets instruktioner.
5.3 Teckna Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal upprättas antingen genom att personuppgiftsansvarig (avropande organisation) tecknar ett Personuppgiftsbiträdesavtal med varje leverantör som behandlar personuppgifter för den personuppgiftsansvariges räkning, eller genom att i
Välj det alternativ som ni som personuppgiftsansvarig känner er mest bekväm med ur dataskyddsrättslig synpunkt. Om en ramavtalsleverantör lämnar ett avropssvar och det är en Underleverantör i ramavtalets bemärkelse som är personuppgiftsbiträde är det inget problem att teckna personuppgiftsbiträdesavtalet direkt med denne. Dock så måste alltid ramavtalsleverantören behöva skriva på Personuppgiftsbiträdesavtalet då det är denne som är ramavtalsleverantör och den kontraktuella motparten i upphandlingsrättslig och avtalsrättslig synpunkt. Xxxxxxxxxxxxxxxxxxxxx kan med andra ord aldrig frånhända sig ansvar för leveransen.
5.3.1 Utkast till Personuppgiftsbiträdesavtal och andra alternativ
Beroende på typ av anskaffning kan avropande organisation välja mellan följande alternativ:
• Använda Kammarkollegiets utkast till Personuppgiftsbiträdesavtal
• Bifoga ett eget framtaget Personuppgiftsbiträdesavtal
• Tillåta att ramavtalsleverantören bifogar ett eget standardavtal till anbudet
Kom ihåg att även om personuppgiftsbiträdet har skyldigheter enligt dataskyddsförordningen så är det alltid den Personuppgiftsansvarige som ytterst ansvarar för att reglerna i dataskyddsförordningen följs.
Vid standardiserade tjänster blir avropande organisationen ofta hänvisad till leverantörens standardvillkor. I denna situation är det viktigt att avropande organisation gjort förberedande arbete för att veta om leverantörens villkor uppfyller myndighetens krav. Det är därför extra viktigt att granska avtalsinnehållet i denna situation främst med avseende på vilken typ av behandling av personuppgifter som leverantören får utföra enligt leverantörens instruktion till avropande organisation att instruera leverantören.
6.1 Allmänt om informationssäkerhet
Den information som används inom offentlig sektor är värdefull och behöver skyddas efter behov. Ett bra informationssäkerhetsarbete är en förutsättning för en effektiv och korrekt informationshantering. Har man denna typ av hantering så skapar detta förtroende både inom och utanför organisationen.
Skyddet behöver givetvis anpassas efter behovet så att det inte är för klent eller alltför krångligt och dyrt. Men med tanke på vad konsekvenserna kan bli med bristande skydd kan detta inte försummas.
En del av vår information är värdefull, både för organisationer och för den enskilda människan. Allt från forskningsresultat och fotografier till fastighetsförteckningar och saldot på vårt bankkonto. Ibland till och med livsviktig såsom informationen i patientjournaler eller styrsystemen i kärnkraftverk. Är den informationen förlorad eller felaktig kan det få katastrofala följder.
Därför måste vi skydda vår information så:
• att den alltid finns när vi behöver den (tillgänglighet)
• att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
• att endast behöriga personer får ta del av den (konfidentialitet)
• att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)
Informationssäkerhet är ett brett område och omfattar allt från rutiner och policys till mer teknisk karaktär i form av brandväggar och kryptering.
6.2 Metodstöd vid informationssäkerhetsarbete
6.3 Tystnadsplikt vid utkontraktering
Från den 1 januari 2021 gäller en straffsanktionerad tystnadsplikt för tjänsteleverantörer i vissa fall. Lagen gäller när en myndighet, eller ett organ eller en verksamhet som jämställs
med en myndighet, uppdrar åt en tjänsteleverantör att endast tekniskt bearbeta eller tekniskt lagra uppgifter.
Med tjänsteleverantör jämställs en Underleverantör som medverkar till att fullgöra tjänsteleverantörens uppdrag.
Lagen omfattar uppgifter som är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400), OSL. Inom ramen för myndighetens risk- och sårbarhetsanalys och klassificering av sin information inför en utkontraktering bör kopplingen till bland annat OSL ses över.