Personligt Hälsokonto

Transkript

1 INTERNT Personligt Hälsokonto BILAGA 1 - KRAVSPECIFIKATION Maj 2010 Apotekens Service AB Datum: Version: Författare: Helena Lahti Senast ändrad: Dokumentnamn: Bilaga 1 - Personligt Fastställd av: 1/30 Hälsokonto Kravspecifikation.docx

2 Innehåll 1 Allmänt Begrepp Inledning Leverans Kravstruktur Ska-krav Bör-krav och kombi-krav 8 2 Etablering och provdrift Ansvar för etablering Plan för etablering Förutsättningar och krav på Beställaren Acceptanstest Provdrift 10 3 Tjänsten Personligt Hälsokonto Övergripande krav Målbild Tillhandahålla offererad Plattform och Tillämpning Lagring av information Behandling av personuppgifter Plattform Autentisering, auktorisation och insynsskydd Spårbarhet avseende informationens ursprung Omfattning på hälso- och friskvårdsinformation Förändringar och kompabilitet över tid Informationshantering via tekniska gränssnitt Plattformen i ett systemsammanhang Öppna standarder för tekniska tjänster Stöd i Plattformen för kontroll av Tredjepartsapplikationer Åtkomstloggning Dokumentation för Tredjepartsleverantörer Tillämpning Webbaserad tillämpning Stöd för webbläsare Språkstöd Funktioner i Tillämpningen 16 2/30

3 3.3.5 Hantering av information Användbarhet Inloggning Öppna och avsluta Personligt Hälsokonto Vårdnadshavares hantering av barns information Dela information med andra Anslutning och certifiering av Tredjepartsapplikationer Process för anslutning och certifiering Drift och förvaltning Beställaren Leverantörens förvaltningsorganisation Leverantörens driftsorganisation Samverkan Systemdokumentation Utbildning Rutiner för kvalitetsuppföljning Rutiner för säkerhetsuppföljning Drift av Tjänsten Driftsinformation Svarstider Servicetid Servicefönster Service desk Konsulttjänster Utveckling Avveckling Referenser 30 3/30

4 Förteckning Ska krav Ska 1 Ansvar för etablering... 9 Ska 2 Förutsättningar och krav på Beställaren... 9 Ska 3 Acceptanstest Ska 4 Provdrift Ska 5 Tillhandahålla offererad Plattform och Tillämpning Ska 6 Lagring av information Ska 7 Behandling av personuppgifter Ska 8 Informationens ursprung Ska 9 Öppna standarder för tekniska tjänster Ska 10 Webbaserad tillämpning Ska 11 Stöd för webbläsare Ska 12 Språkstöd för svenska Ska 13 Visa information Ska 14 Skriva/ta bort information Ska 15 Hantering av ny information Ska 16 Förvaltningsplan Ska 17 Roller hos leverantören Ska 18 Samverkan mellan Leverantören och Beställaren Ska 19 Kvartalsvis avstämning Ska 20 Månatlig avstämning Ska 21 Systemdokumentation Ska 22 Språk för systemdokumentation Ska 23 Rutiner för kvalitetsuppföljning Ska 24 Kvalitetsutredning Ska 25 Kvalitetsrevision Ska 26 Rutiner för säkerhets- och sårbarhetsanalyser Ska 27 Uppföljning av avtalad säkerhet Ska 28 Rapportering vid brister i skydd Ska 29 Hantering av säkerhetsrisker och säkerhetsfrågor Ska 30 Ansvar för drift Ska 31 Drifttid Ska 32 Månadsvis statistik Ska 33 Period för tillhandahållande av statistik Ska 34 Upprätta incidentrapport Ska 35 Överlämna incidentrapport Ska 36 Statistik om Tredjepartsapplikationer Ska 37 Servicenivåer Ska 38 Val av servicenivå Ska 39 Second line support Ska 40 Service requests Ska 41 Tillgänglighet och svarstider Ska 42 Incidenthantering och eskalering /30

5 Förteckning Kombi krav Kombi 1 Plan för etablering... 9 Kombi 2 Autentisering, auktorisation och insynsskydd Kombi 3 Informationens omfattning Kombi 4 Förändringar och kompabilitet över tid Kombi 5 Informationshantering via tekniska gränssnitt Kombi 6 Plattformen i ett systemsammanhang Kombi 7 Åtkomstloggning Kombi 8 Dokumentation för Tredjepartsleverantörer Kombi 9 Funktioner i Tillämpningen Kombi 10 Inloggning Kombi 11 Öppna och avsluta Personligt Hälsokonto Kombi 12 Vårdnadshavares hantering av barns information Kombi 13 Dela information med andra Kombi 14 Anslutning och certifiering Kombi 15 Krav på Beställaren Kombi 16 Leverantörens förvaltningsorganisation Kombi 17 Driftsorganisation Kombi 18 Utbildning Kombi 19 Svarstider Kombi 20 Servicefönster Kombi 21 Lösningsgrad Kombi 22 Utveckling Kombi 23 Avveckling Kombi 24 Referensinstallationer Förteckning Bör krav Bör 1 Målbild Bör 2 Stöd för kontroll av Tredjepartsapplikationer Bör 3 Språkstöd för fler språk Bör 4 Hjälpmedel vid funktionsnedsättning Bör 5 Användbarhet Bör 6 Konsulttjänster Bör 7 Kundspecifik utveckling Bör 8 Kompetens och erfarenhet /30

6 1 Allmänt 1.1 Begrepp Kontoinnehavare Plattform Systemdokumentation Tillämpningen Tjänsten Tredjepartsleverantör Tredjepartsapplikation Den enskilde individen som innehar ett Personligt Hälsokonto Navet i Tjänsten med uppfyllande av de krav som framgår av avsnitt 3.2. Till Plattformen ansluts Tillämpningen och Tredjepartsapplikationer. Med systemdokumentation avses de tekniska beskrivningar och specifikationer av Tjänsten samt manualer som Beställaren behöver för att kunna sköta First Line-support, hantera anslutningar, samt i övrigt agera huvudman för Tjänsten. Ett användargränssnitt där Kontoinnehavaren skapar och administrerar sitt Personliga Hälsokonto. Plattformen och Tillämpningen med drift och förvaltning samt anslutningstjänst. Företag/organisation som tillhandahåller Tredjepartsapplikationer. Utvecklas och tillhandahålls av Tredjepartsleverantörer. Anslutna till Tjänsten genom tekniska gränssnitt. Används av Kontoinnehavaren. 1.2 Inledning Upphandlingen omfattar tjänsten Personligt Hälsokonto. Personligt Hälsokonto ska tillhandahållas som en Plattform (ett system) med kringtjänster och anslutningstjänst. Plattform för Personligt Hälsokonto Den enskilde ska ges möjlighet att samla och lagra sin egen hälsoinformation under sin livstid, i form av t.ex. friskvårdsinformation och utlämnad journalinformation. Plattformen ska ha kapacitet att hantera en volym av användare motsvarande Sveriges invånarantal. Principen är att individen själv äger sin information. Individen ska kunna utbyta information med både vårdgivare som individen besökt eller behandlats hos, offentliga organisationer och myndigheter samt marknadens aktörer inom 6/30

7 hälsosektorn för friskvårdsinformation som har uppgifter som berör individens hälsa och hälsotillstånd och som kan vara av värde för denna. Individen ska ha möjlighet att föra in egen information på sitt hälsokonto så att denna kan dokumentera och följa sin hälsoutveckling. Den elektroniska Plattformen ska säkerställa integritet och sekretess samtidigt som lösningen ska vara skalbar och långsiktig. Leverantören ska tillhandahålla en tillämpning där den enskilde ska kunna administrera sitt konto. Som exempel ska den enskilde kunna ha möjlighet att själv besluta viken information som man vill dela med personer och organisationer, t.ex. vårdgivare eller anhöriga (behörighetsstyrning). Plattformen ska innehålla tekniskt gränssnitt som är dokumenterat och kan göras publikt för leverantörer som vill ansluta applikationer och/eller tjänster till Plattformen. Leverantören ska tillhandahålla centrala drift- och förvaltningstjänster för Personligt Hälsokonto t ex driftövervaka, definiera certifieringskrav för tjänster och applikationer som ska anslutas till Plattformen, tillhandahålla nödvändiga gemensamma regler och anvisningar och tillhandahålla process för kontinuerlig vidareutveckling. Lösningen/Plattformen ska vara etablerad på marknaden (referenser ska finnas). Leverantören ska tillhandahålla stöd till Beställaren i Beställarens support till användaren (den enskilde). Anslutning av applikationer och tjänster till plattformen Leverantören ska: Tillhandahålla stöd för Beställaren i processen för anslutning av Tredjepartsapplikationer och/eller tjänster till Plattformen. I samverkan med Beställaren utarbeta processen för certifiering av Tredjepartsapplikationer och tjänster som ansluts till Plattformen. Tillhandahålla stöd för Beställaren i processen för certifiering av Tredjepartsapplikationer och tjänster som ansluts till Plattformen. 1.3 Leverans Leveransen är indelad i följande faser: Fas 1- Etablering: Med etablering avses de aktiviteter som sker i syfte att uppnå, och fram till dess att det finns, en etablerad Tjänst. Med etablerad Tjänst avses en av Beställaren accepterad leverans, vilken uppfyller de i avtalet uppsatta kraven. 7/30

8 Fas 2- Provdrift: Tjänsten är i drift och anslutning samt certifiering av de första Tredjepartsapplikationerna sker. Under provdriften ska Beställaren acceptanstesta och godkänna stödet för anslutnings- och certifieringsprocesserna. Fas 3 Drift: Senast den 1 september 2013 görs Tjänsten tillgänglig för ett begränsat antal individer. Därefter ska Tjänsten snabbt kunna utökas genom att fler Tredjepartsapplikationer ansluts och antalet konton ökar. 1.4 Kravstruktur I kravspecifikationen används tre typer av kravformuleringar: ska-, kombi- och bör-krav, vilka är utmärkta med Ska + löpnummer, Kombi + löpnummer, respektive Bör + löpnummer Ska-krav Förfrågningsunderlaget innehåller en mängd obligatoriska krav (så kallade ska-krav). Kraven är markerade enligt följande: ska. Detta för att underlätta för Leverantören att uppmärksamma skakraven. Ska-krav måste uppfyllas av Leverantören för att anbudet ska kunna utvärderas. Leverantörer som inte uppfyller något ska-krav kommer att diskvalificeras och inte tas med till utvärdering. Det är därför viktigt att Leverantören säkerställer att det tydligt framgår av anbudet att varje enskilt ska-krav uppfylls Bör-krav och kombi-krav Förfrågningsunderlaget innehåller förutom ska-krav, också bör-krav och kombi-krav. Bör-krav är kopplade till utvärderingskriterier. Leverantörens beskrivningar på efterfrågade bör-krav kommer alltså att utvärderas. Förfrågningsunderlaget innehåller också kombikrav. Dessa krav utgör en kombination av ska-krav och bör-krav. Ska-kraven utgör den bas för kravet i fråga som Leverantören måste uppfylla. Skakraven prövas på sätt som beskrivs ovan under punkten Bör-kravsdelen utgörs av det som tillför Beställaren något mer utöver ska-kravsnivån, och som Beställaren därför vill kunna utvärdera (och premiera) på sätt som gäller för bör-kraven. Leverantören ska alltså observera att skakravsdelen av kombikraven är obligatoriska och måste uppfyllas för att anbudet ska gå till utvärdering. Bör-kravsdelen däremot är kopplad till utvärderingskriterier. 8/30

9 2 Etablering och provdrift 2.1 Ansvar för etablering Ska 1 Ansvar för etablering Leverantören ska leda och ansvara för etablering av Tjänsten. 2.2 Plan för etablering Kombi 1 Plan för etablering Leverantören ska i anbudet redovisa en plan för etablering av Tjänsten. I planen ska ingå: Projektorganisation Aktiviteter Milstolpar Leveransobjekt Leveranstidpunkter Aktiviteter och krav på Beställaren Redovisa Leverantörens plan för etablering av Tjänsten. Högre poäng tilldelas för god kontroll, kvalitet och tidplanens trovärdighet. 2.3 Förutsättningar och krav på Beställaren Ska 2 Förutsättningar och krav på Beställaren Leverantören ska ange under vilka förutsättningar och med vilka eventuella krav på Beställaren, utöver i detta dokument angivna, denne kan etablera Tjänsten i enlighet med avtal. Beskriv förutsättningar samt krav på Beställaren. 9/30

10 2.4 Acceptanstest Ska 3 Acceptanstest Leverantören ska lämna förslag på hur Beställarens acceptanstest av Tjänsten kan utföras. Beskriv förslaget på acceptanstest. 2.5 Provdrift Ska 4 Provdrift Leverantören ska under provdriftsperioden tillhandahålla Tjänsten med avtalade SLA-nivåer. Beskriv hur Tjänsten tillhandahålls under provdriftsperioden. 10/30

11 3 Tjänsten Personligt Hälsokonto 3.1 Övergripande krav Målbild Bör 1 Målbild Allt fler ser det i dag som självklart att kunna få tillgång till personlig vårdinformation via Internet på samma sätt som man har tillgång till uppgifter om sin egen ekonomi och hanterar ärenden med myndigheter. Mot bakgrund av denna utveckling ska nu ett Personligt Hälsokonto tillskapas. Det personliga hälsokontot ska vara ett effektivt stöd för den enskilde vid planering, genomförande och uppföljning av livsstilsrelaterade förändringar liksom vid hälso- och sjukvårdsrelaterade händelser. Personligt Hälsokonto ska kunna användas för att lagra egen information bl.a. om läkemedel, egen journalinformation och vaccinationer. Det Personliga Hälsokontot kan även innehålla en hälsodagbok där den enskilde kan föra in information om friskvård, egenvård, kostvanor, egenmätningar och självskattningar (såsom exempelvis blodtrycksvärden och träningsdata) etc. Tjänsten ska kunna utnyttjas av alla som så önskar och den enskilde ska själv bestämma vilken information, program, funktioner eller övriga applikationer som ska laddas ned och lagras samt även vilken information som man eventuellt vill dela med sin vårdgivare eller sina anhöriga. Det är särskilt viktigt att den elektroniska infrastrukturen säkerställer integritet och sekretess samtidigt som den är generisk. Genom ett enhetligt regelverk för applikationer och tjänster möjliggörs att både offentliga och kommersiella aktörer kan vara informationslämnare och applikationsleverantörer till hälsokontot. Leverantörens offererade Tjänst bör överensstämma med Beställarens målbild. Beskriv offererad Tjänst relaterat till Beställarens målbild. Högre poäng tilldelas för Tjänst som överensstämmer bra med Beställarens målbild Tillhandahålla offererad Plattform och Tillämpning Ska 5 Tillhandahålla offererad Plattform och Tillämpning Under upphandlingens utvärderingsfas ska Leverantören tillhandahålla offererad Plattform och Tillämpning, vilka kommer användas i Beställarens hantering av anbudet. 11/30

12 3.1.3 Lagring av information Ska 6 Lagring av information Informationen ska lagras inom EU eller EES. Beskriv var informationen lagras Behandling av personuppgifter Ska 7 Behandling av personuppgifter När Leverantören behandlar personuppgifter för Beställarens räkning ska detta ske i enlighet med vid var tid gällande instruktioner från Beställaren samt med iakttagande av vid var tid gällande lagar, förordningar, föreskrifter och myndigheters beslut. Beskriv hur kravet uppfylls. 3.2 Plattform Autentisering, auktorisation och insynsskydd Kombi 2 Autentisering, auktorisation och insynsskydd Autentisering av användare och Tredjepartsapplikationer ska ske på ett sätt som uppfyller gällande lagar, förordningar, föreskrifter och myndighetsbeslut avseende hantering av personuppgifter. Auktorisation av användare och Tredjepartsapplikationer ska ske på ett sätt som uppfyller gällande lagar, förordningar, föreskrifter och myndighetsbeslut avseende hantering av personuppgifter. Kommunikationen mellan personliga hälsokontot - Tredjepartsapplikation - användare ska vara skyddad för insyn på ett sätt som uppfyller gällande lagar, förordningar, föreskrifter och myndighetsbeslut avseende hantering av personuppgifter. Beskriv stödet för autentisering, auktorisation och insynsskydd med utgångspunkt från användaren respektive Tredjepartsapplikationer, för både webb- och mobilapplikation. Högre poäng tilldelas stöd som är enkelt, lätthanterligt och kostnadseffektivt. 12/30

13 3.2.2 Spårbarhet avseende informationens ursprung Ska 8 Informationens ursprung Plattformen ska hålla information om varje informations ursprung. Beskriv hur kravet uppfylls Omfattning på hälso- och friskvårdsinformation Kombi 3 Informationens omfattning Plattformen ska hantera hälso- och friskvårdsinformation, vilket innefattar men inte är begränsat till information från vårdsystem (såsom exempelvis journalinformation) och egenmätningar och självskattningar hos användaren (såsom exempelvis blodtrycksvärden och träningsdata). Beskriv vilken information som kan hanteras i Plattformen. Högre poäng tilldelas ju mer hälso- och friskvårdsinformation som kan hanteras Förändringar och kompabilitet över tid. Kombi 4 Förändringar och kompabilitet över tid Det ska gå att genomföra förändringar i Plattformen. Beskriv hur anslutna applikationer påverkas vid förändringar med särskilt fokus på bakåtkompabilitet i de tekniska gränssnitten. Högre poäng tilldelas för liten påverkan Informationshantering via tekniska gränssnitt Kombi 5 Informationshantering via tekniska gränssnitt Plattformen ska innehålla publika tekniska gränssnitt. De tekniska gränssnitten ska stödja information som hanteras av Plattformen. Beskriv hur informationens struktur är definierad i de tekniska gränssnitten. Beställaren kommer att utvärdera informationens struktur utifrån att olika Tredjepartsapplikationer ska kunna använda 13/30

14 informationen oavsett vilken applikation som har skapat den. Högre poäng tilldelas för struktur, omfattning och återanvändbarhet Plattformen i ett systemsammanhang Kombi 6 Plattformen i ett systemsammanhang Plattformen ska stödja Kontoinnehavarens informationsutbyte med både vårdgivare som denne besökt eller behandlats hos, offentliga organisationer och myndigheter samt marknadens aktörer inom hälsosektorn för friskvårdsinformation som har uppgifter som berör personens hälsa och hälsotillstånd och som kan vara av värde för denna. Beskriv hur Plattformen passar in i ovanstående vilket innefattar men inte är begränsat till informationsutbyte med svenska vårdgivares system med dess olika och över tid varierande informationsstruktur. Ange eventuella viktiga begränsningar, antaganden och beroenden. Högre poäng tilldelas för enkelhet, flexibilitet och säkerhet, detta baserat på svenska förhållanden Öppna standarder för tekniska tjänster Ska 9 Öppna standarder för tekniska tjänster Plattformens tekniska tjänstegränssnitt ska baseras på öppna och beprövade interoperabla tekniska standarder där Tredjepartsapplikationer har möjlighet att ansluta till det tekniska gränssnittet utan att Tredjepartsapplikationen behöver tillföras programvarukomponenter som är specifika för Plattformen. Beskriv hur kravet uppfylls Stöd i Plattformen för kontroll av Tredjepartsapplikationer Bör 2 Stöd för kontroll av Tredjepartsapplikationer Det bör finnas stöd i Plattformen för att säkerställa att en certifierad Tredjepartsapplikation enbart gör det den är certifierad att göra. Beskriv vilka möjligheter som finns och hur detta stöd är uppbyggt. Högre poäng tilldelas för tekniskt stöd som kan begränsa en certifierad Tredjepartsapplikation till att enbart kunna göra det den är certifierad att göra. 14/30

15 3.2.9 Åtkomstloggning Kombi 7 Åtkomstloggning Plattformen ska logga åtkomst till information. Beskriv vad som loggas, när det loggas och eventuella begränsningar avseende lagringstid. Högre poäng tilldelas för konfigurerbarhet och om Kontoinnehavaren själv kan läsa sin logg Dokumentation för Tredjepartsleverantörer Kombi 8 Dokumentation för Tredjepartsleverantörer Det tekniska gränssnittets dokumentation ska vara öppet tillgänglig på Internet och kunna läsas utan andra redskap än en webbläsare. Beskriv vilken dokumentation som finns tillgänglig. Högre poäng tilldelas för heltäckande dokumentation som beskriver varje teknisk tjänst där också kodexempel för de vanligaste programmeringsspråken ingår. 3.3 Tillämpning Webbaserad tillämpning Ska 10 Webbaserad tillämpning Det ska ingå en webbaserad tillämpning för Kontoinnehavaren Stöd för webbläsare Ska 11 Stöd för webbläsare Tillämpningen ska stödja användning av de webbläsare som står för majoriteten av internettrafiken i Sverige vid var tid. Detta avser både datorer och mobila enheter. Beskriv vilka webbläsare som stöds. 15/30

16 3.3.3 Språkstöd Ska 12 Språkstöd för svenska Tillämpningen ska vara anpassad till svenska förhållanden. Språkstöd ska finnas för svenska Bör 3 Språkstöd för fler språk Tillämpningen bör ha stöd för fler språk än svenska. Beskriv stödet för fler språk. Högre poäng tilldelas Tillämpning där det är enkelt att göra anpassningar till fler språk Funktioner i Tillämpningen Kombi 9 Funktioner i Tillämpningen Kontoinnehavaren ska själv hantera sitt konto. Tillämpningen ska ge ett effektivt stöd och ha funktionalitet för detta. Kontoinnehavaren ska kunna exportera och importera information till sitt Personliga Hälsokonto. Kontoinnehavaren ska kunna godkänna applikationers åtkomst till sitt Personliga Hälsokonto. Det ska finnas en hjälpdokumentation/instruktion i Tillämpningen. Beskriv funktioner i Tillämpningen. Högre poäng tilldelas Tillämpning som har en omfattande och användbar funktionalitet. Bör 4 Hjälpmedel vid funktionsnedsättning Tillämpningen bör stödja individer med funktionsnedsättning, exempelvis nedsatt syn eller hörsel. Beskriv stödet. Högre poäng tilldelas för ett enkelt och effektivt stöd. 16/30

17 3.3.5 Hantering av information Ska 13 Visa information Tillämpningen ska kunna visa upp all information som finns i individens konto. Beskriv hur kravet uppfylls. Ska 14 Skriva/ta bort information Det ska vara möjligt att skriva in/ ta bort information i Plattformen via Tillämpningen. Beskriv hur kravet uppfylls. Ska 15 Hantering av ny information När Plattformen utökas med nya informationsmängder ska dessa kunna hanteras i Tillämpningen. Beskriv hur kravet uppfylls Användbarhet Bör 5 Användbarhet Tillämpningen bör ha en god användbarhet. Beskriv hur leverantören säkerställer en god användbarhet i Tillämpningen. Högre poäng tilldelas för beskrivning av såväl Leverantörens process som resultatet. 17/30

18 3.3.7 Inloggning Kombi 10 Inloggning Inloggning mot Tillämpningen ska ske med autentisering som uppfyller gällande lagar, förordningar, föreskrifter och myndighetsbeslut avseende hantering av personuppgifter. Beskriv inloggning och eventuella beroenden. Högre poäng tilldelas för enkelhet, säkerhet och effektivitet Öppna och avsluta Personligt Hälsokonto Kombi 11 Öppna och avsluta Personligt Hälsokonto Individen ska kunna öppna ett Personligt Hälsokonto och även kunna välja att avsluta sitt konto. Beskriv öppna och avsluta konto samt eventuella beroenden. Högre poäng tilldelas för enkelhet, säkerhet och effektivitet Vårdnadshavares hantering av barns information Kombi 12 Vårdnadshavares hantering av barns information Vårdnadshavare ska kunna hantera sitt barns information. Beskriv hur information för barn kan hanteras och eventuella beroenden. Högre poäng tilldelas för enkelhet, säkerhet och effektivitet Dela information med andra Kombi 13 Dela information med andra Kontoinnehavaren ska ha möjlighet att själv välja att dela information med individer eller organisationer. Det ska gå att avsluta delningen. 18/30

19 Beskriv hur information kan delas med individer. Beskriv hur information kan delas med organisationer. Högre poäng tilldelas för enkelhet, säkerhet och flexibilitet. 3.4 Anslutning och certifiering av Tredjepartsapplikationer Process för anslutning och certifiering Kombi 14 Anslutning och certifiering Anslutnings- och certifieringsprocessen ska under etableringen anpassas i nära samarbete med Beställaren. Innehållet i anslutningsprocessen ska stödja Tredjepartsleverantören från idé till att en Tredjepartsapplikation är certifierad och kan göras tillgänglig för Kontoinnehavare att börja använda. Beskriv hur processen för certifiering och anslutning av nya/förändrade applikationer kan se ut. Beskriv även hur lång tid de olika delarna av processen typiskt tar samt vilket stöd som kan erbjudas Beställaren och utvecklare av Tredjepartsapplikationer, exempelvis dokumentation, verktyg, miljöer eller annat. Viktiga aspekter vid utvärdering är kort kalendertid för processen, möjlighet att hantera flera samtidiga anslutningar och certifieringar, resursbehov (vilket innefattar men inte är begränsat till personal och tekniska miljöer) och kvantifiering av dessa samt en kostnadseffektiv och enkel process. 19/30

20 3.5 Drift och förvaltning Beställaren Kombi 15 Krav på Beställaren Leverantören ska ange vilka krav, utöver i detta dokument angivna, denne ställer på Beställaren avseende drift och förvaltning för att kunna leverera Tjänsten i enlighet med uppställda krav. Beskriv eventuella krav. Högre poäng tilldelas den som visar på en tydlighet i ansvarsfördelningen mellan Beställaren och Leverantören med bibehållet helhetsansvar Leverantörens förvaltningsorganisation Kombi 16 Leverantörens förvaltningsorganisation Leverantören ska ta ett helhetsansvar för att Tjänsten som levereras fungerar som avsett. Leverantören ska tillhandahålla avtalade förvaltnings-, drift- och supporttjänster i enlighet med ITIL eller liknande modell för systemförvaltning. Beskriv förvaltningsorganisationen och hur denna kommer att tillämpas för leverans av Tjänsten. Högre poäng tilldelas den som har en organisation med tydligt helhetsansvar och med en trovärdig systemförvaltningsmodell. Ska 16 Förvaltningsplan Leverantören ska årligen, tillsammans med Beställaren, ta fram en förvaltningsplan för Tjänsten. 20/30

21 Ska 17 Roller hos leverantören Leverantören ska åtminstone ha roller som kan ansvara för följande områden: - Tjänsten - Avtalsfrågor - Drift och supportfrågor - Säkerhetsfrågor Beskriv hur Leverantörens organisation avseende roller är utformad Leverantörens driftsorganisation Kombi 17 Driftsorganisation Leverantören ska ha en organisation för drift av Tjänsten. Beskriv hur Leverantörens organisation för drift av Tjänsten är utformad. Högre poäng tilldelas för en organisation utformad för hög kvalitet i drift av Tjänsten Samverkan Ska 18 Samverkan mellan Leverantören och Beställaren Leverantören ska ha en strukturerad samverkansmodell för förvaltning och drift av Tjänsten som vid behov revideras under avtalsperioden. Beskriv samverkansmodellen. Ska 19 Kvartalsvis avstämning Leverantören ska minst kvartalsvis kalla till avstämningar med Beställaren avseende avtalsrelaterade och affärsmässiga frågor. Beskriv förslag på innehåll vid avstämningsmöte. 21/30

22 Ska 20 Månatlig avstämning Leverantören ska minst månatligen kalla till avstämningar med Beställaren avseende drifts-, förvaltnings- och utvecklingsrelaterade frågor. Beskriv förslag på innehåll vid avstämningsmöte Systemdokumentation Ska 21 Systemdokumentation Leverantören ska hålla Systemdokumentation kontinuerligt aktuell under avtalsperioden. Beskriv hur Leverantören håller systemdokumentation kontinuerligt aktuell. Ska 22 Språk för systemdokumentation Leverantören ska tillhandahålla Systemdokumentation på svenska och/eller engelska Utbildning Kombi 18 Utbildning Leverantören ska erbjuda nödvändig utbildning för att Beställaren ska kunna dra full nytta av Tjänsten. I priset för etablering ska utbildning av Beställarens personal ingå Leverantören ska under avtalsperioden erbjuda utbildning av Beställarens handläggare i first line-support. Denna utbildning kan vara webb-baserad eller konsultbaserad. Beskriv Leverantörens plan för utbildning i samband med etablering och utbildning under avtalsperioden. Högre poäng tilldelas plan som visar på ett enkelt och effektivt utbildningsupplägg. 22/30

23 3.5.7 Rutiner för kvalitetsuppföljning Ska 23 Rutiner för kvalitetsuppföljning Leverantören ska, tillsammans med Beställaren, upprätta en process för uppföljning och säkerställande av kvalitet som innefattar hela tjänstelivscykeln. Rutiner för kravställning, verifiering och kvalitetssäkring finns med i denna. Beskriv Leverantörens förslag på hur ett sådant arbete kan bedrivas. Ska 24 Kvalitetsutredning Leverantören ska, på Beställarens begäran, utföra kvalitetsutredning eller särskilda mätningar då Beställaren upplever brist i Tjänsten. Beskriv hur sådana utredningar och mätningar genomförs. Ska 25 Kvalitetsrevision Leverantören ska låta Beställaren, med bistånd av oberoende part, genomföra kvalitetsrevision hos Leverantören om Beställaren upplever brist i Tjänsten Rutiner för säkerhetsuppföljning Ska 26 Rutiner för säkerhets- och sårbarhetsanalyser Leverantören ska ha rutiner för egna, respektive medverka vid Beställarens, säkerhets- och sårbarhetsanalyser av Tjänsten. Beskriv Leverantörens rutiner. Ska 27 Uppföljning av avtalad säkerhet Leverantören ska följa upp och kontrollera avtalad säkerhet. Beskriv Leverantörens rutiner. 23/30

24 Ska 28 Rapportering vid brister i skydd Leverantören ska omedelbart rapportera brister i skyddet av, eller angrepp mot, Tjänsten och relaterad infrastruktur, till Beställaren. Beskriv Leverantörens rutiner för rapportering. Ska 29 Hantering av säkerhetsrisker och säkerhetsfrågor Leverantören ska ha en process för att upptäcka och hantera säkerhetsrisker och säkerhetsfrågor i anslutna tjänster och applikationer. Beskriv Leverantörens process Drift av Tjänsten Ska 30 Ansvar för drift Leverantören ska svara för drift av Tjänsten. Ska 31 Drifttid Tjänsten ska vara i drift dygnet runt under hela avtalsperioden. Beskriv hur Tjänsten är i drift dygnet runt under hela avtalsperioden Driftsinformation Ska 32 Månadsvis statistik Leverantören ska månadsvis tillhandahålla Beställaren statistik över: - Tillgänglighet för Tjänsten - Nyttjande av Tjänsten 24/30

25 Beskriv vilken statistik som tillhandahålls för att Beställaren ska kunna följa upp Tjänstens tillgänglighet och nyttjande. Ska 33 Period för tillhandahållande av statistik Leverantören ska tillhandahålla statistik för upp till 24 månader eller, om Tjänsten varit i drift kortare period, för denna period. Ska 34 Upprätta incidentrapport Leverantören ska på begäran upprätta incidentrapport innehållande de loggade uppgifterna i Leverantörens system avseende tidpunkter, vidtagna åtgärder och annan relevant information som finns eller kan göras tillgänglig. Beskriv Leverantörens hantering. Ska 35 Överlämna incidentrapport Leverantören ska lämna över begärda incidentrapporter inom 2 veckor. För allvarligare incidenter ska incidentrapport lämnas över inom 3 dagar. Beskriv Leverantörens hantering. Ska 36 Statistik om Tredjepartsapplikationer Leverantören ska förse Beställaren med statistik avseende användandet av Tredjepartsapplikationer. Beskriv vilken statistik som levereras Svarstider Kombi 19 Svarstider Leverantören ska garantera svarstid till Tjänsten. 25/30