Att avropa programvaror som licens eller molntjänst från Statens inköpscentrals ramavtal
Vi som är här idag Mikael Larsson Förvaltningsansvarig ramavtal Programvaror (mikael.larsson@kammarkollegiet.se) Daniel Melin Upphandlare IT (daniel.melin@kammarkollegiet.se) Karl Ekman - Förvaltning Kontorsstöd som molntjänst & Licensförsörjning 2010 (karl.ekman@kammarkollegiet.se) Björn Larsson Avtalsjurist (bjorn.larsson@kammarkollegiet.se) Page 2
Agenda 13.00 Inledning Kort om Statens inköpscentral Orientering inom programvaruområdet Förberedelser inför avrop av licenser eller som molntjänst Page 3
Agenda 13.45 Genomförande - Avrop av programvara som licenser Licensförsörjning 2010 14.15 Genomförande - Avrop av programvara som tjänst Kontorsstöd som Molntjänst 2012 14.30 14.50 Kaffepaus Page 4
Agenda 14.50 Juridiska aspekter och särskilda frågor vid avrop av Kontorsstöd som Molntjänst Var lagras information Avslutande av tjänst PUL 15.50 Summering, diskussion och avslutning Page 5
Page 6 Kort om Statens inköpscentral
Statens inköpscentral Bildades 1 januari 2011 Drygt 50 personer på avdelningen Statens inköpscentral förvaltar cirka 1300 ramavtal Statens inköpscentral har ramavtal med cirka 700 leverantörer Under år 2012 omsatte ramavtalen ca 11 miljarder Page 7
Vårt uppdrag Att ingå ramavtal som är avsedda för statliga myndigheter Inom IT-området gäller uppdraget hela offentliga förvaltningen, d.v.s. även kommuner och landsting Page 8
Vilka ska avropa från våra ramavtal? Myndigheter under regeringen ska avropa från de statliga ramavtalen om myndigheten inte finner att en annan form av avtal sammantaget är bättre (förordning 1998:796 om statlig inköpssamordning) Eventuella avsteg från ramavtalen ska anmälas (se www.avropa.se) Samtliga avropsberättigade på ett ramavtal är parter i ramavtalet vilket innebär att de avtalsrättsligt är bundna att följa ramavtalet Page 9
Information på avropa.se Ramavtalen Vägledning Mall för kontrakt Mall för avropsförfrågan Avropsblankett Nyhetsbrev Page 10
Page 11 Demo av nya avropa.se
Orientering inom programvaruområdet Page 12
Vad SIC ser Programvaror omsätter mer pengar SAM inget händer Molnet kommer antingen långsamt med kontroll eller snabbt och utan kontroll Öppna programvaror köps som proprietära väldigt få exempel på vidareutnyttjande, samordning eller nyttjande av öppenhetens fördelar Hybridlösningar blir vanligare Det sker en konsolidering bland leverantörer och integratörer, samtidigt kommer det hela tiden nya aktörer och nya affärsmodeller Page 13
Vad SIC ser Programvaror ingår i många olika ramavtal hur löser vi det? Outsourcing händer men är inte särskilt vanligt Ganska ovanligt att kunder hjälps åt, viss inköpssamordning och driftskonsolidering men få större projekt eller delande på utvecklingskostnader EU Studie om inlåsningseffekter samt stort intresse för molnet KKV Rapport om inlåsningseffekter Norden Rapport och kommande filmer om molnet Page 14
Kommande förstudie Förstudie för programvaruområdet påbörjas efter sommaren Ramavtalen Licensförsörjning, Öppna programvaror, Kontorsstöd som molntjänst, E-förvaltningsstödjande tjänster och IT-drift Hosting ingår SIC:s nuvarande modell och indelning börjar bli otidsenlig då programvaror allt oftare säljs som hybridlösningar Hur ska SIC uppnå optimal balans mellan köpare och säljare på programvaruområdet? Page 15
Kommande förstudie Hur ska inlåsningseffekter hanteras? En del molntjänster har större inlåsningseffekter än en del proprietära programvaror Har offentlig sektor ett intresse av öppna standarder och inlåsningsproblem? Page 16
Kostnad och kontroll Hutlöst dyrt Proprietär programvara Egenutvecklad programvara Mindre kontroll Total kontroll Molntjänst Öppen programvara Gratis Page 17
Frågor till framtiden Vem ska vara ramavtalsleverantör för programvaror i framtiden? Hur ska SIC nå leverantörer utan egna säljorganisationer? Hur ska offentlig sektor spendera färre skattekronor och ändå ha fler och bättre tjänster? Hur ska offentlig sektor förmås bryta osunda inköpsmönster? Page 18
Page 19 Att avropa från IT-ramavtal
Tips och råd vid avrop - innan avrop Förstudie syfte med avropet, effektmål, behov, budget, risk- och sårbarhetsanalys etc. Kartlägg utbudet webbplatser, tidningar, konferenser, prata med andra myndigheter, fråga samtliga ramavtalsleverantörer, fråga programvarutillverkare etc. Strategi för avropet öppen licens, proprietär licens, licenspartner, etc. Licensmodell, användare, dator, organisation, CPU Support & underhållsavtal! Utvärderingskriterier, lägsta pris eller pris + kvalitet? Dialog!! Page 20
Priser i ett längre kontrakt med successiva leveranser Prislistor Hur ska jag utvärdera pris i avropet/utvärderingen? Styckpris på produkt/tjänst och ev. omformas till rabattsats Rabattsats på fastställd ÅF/Tillverkarprislistor (ERP) Påslag på fastställda prislistor (ERP) är den mest transparenta modellen Page 21
Priser i ett längre kontrakt med successiva leveranser Hur ska jag säkerställa prisnivån under kontraktstiden? Förmånsläget ska bibehållas urvalskorg av produkter avstäms regelbundet. Ersättningsprodukter ska ha samma prisbild Benchmarking/marknadsundersökning på i avropet fördefinierade parametrar för jämförelse Tillit och förtroende mellan parterna Page 22
Ramavtal Öppna programvaror 2010 Page 23
Öppna programvaror Ramavtalen omfattar öppna programvaror med tillhörande (konsult)tjänster. Med öppna programvaror menar Statens inköpscentral programvaror licensierade med en licens som är godkänd av Open Source Initiative, se http://www.opensource.org/licenses/ Allmänna frågor om öppen källkod i offentlig sektor hanteras av Daniel Melin, kontakta gärna honom om ni har frågor eller funderingar Page 24
Kortfakta Fem ramavtal Många underleverantörer Omfattar staten, alla landsting (21) och ca 225 kommuner Avtalstid 1 april 2011 31 Juli 2014 (+8 mån förlängning) Avrop endast genom förnyad konkurrensutsättning Inga prislistor, takpris för konsulttjänster Stort utbud av konsulttjänster Page 25
Ramavtalsleverantörer Arctic Group AB Init AB MSC Open Source AB Redbridge AB Redpill Linpro AB Page 26
Programvaruområden Kontorsstöd Informationsförsörjning Operativsystem Säkerhetsprogramvara Driftstödsprogramvara Tillgångshantering (Asset Management) Mellanprogramvara Utvecklingsverktyg Databas Statistikprogramvara Page 27
Tjänster Installation Implementation Migrering Förvaltning Support Underhåll Utbildning i verksamhetsanpassad programvara Page 28
Page 29 Ramavtal Licensförsörjning 2010
Kortfakta Sex ramavtal Många underleverantörer, + 300 st Omfattar staten, alla landsting och drygt 220 kommuner Avtalstid 15 juli 2011-31 juli 2014 (+ 12 månader) Endast förnyad konkurrensutsättning Inga prislistor Produkt- och tjänsteutbud på ramavtalsleverantörernas webbar omsättning 2012 ca 1 1.2 Miljard (inkl Pgmv2010) varav produkter 1000 Mkr och tjänster 200 Mkr Page 30
Ramavtalsleverantörerer Atea Sverige AB COMPAREX Sweden AB Crayon AB Dustin AB Fujitsu Sweden AB Pulsen AB Page 31
Tjänster Installation Konfiguration & anpassning Support Underhåll Licenshantering (Software Asset Management) Projektledning, förstudie, utredning, utbildning, integration eller systemutvecklingstjänster ingår inte Page 32
Upphandlingen Kontorsstöd som molntjänst Page 33
Kort sammanfattning Ett ramavtal för hela offentlig sektor Annonserades 8/11, anbud inkom 15/1, tilldelningsbeslut 22/1, färdigt 4/2 Referensgrupp från Datainspektionen, MSB och Landstinget Västmanland Page 34
Bakgrund Förstudie gjordes i början av 2010 Förstudien slog fast att en upphandling av molntjänster är lämplig Grupprogramvara och office verkade lämpligast eftersom: Alla använder det och behöver det Kostnaden är så hög så den måste upphandlas Tillräckligt många leverantörer av snarlik tjänst Page 35
Vad är kontorsstöd? E-post Kalender Adressbok Ordbehandling Kalkylark Presentation Allt integrerat i samma molntjänst Integration med mobiltelefoner ingår Page 36
Vad är en molntjänst? Levereras över internet Är inte skräddarsydd eller anpassad för en specifik kund Kräver ingen lokalt installerad programvara utöver webbläsaren Kräver inte en specifik webbläsare eller operativsystem Kan relativt snabbt och enkelt öka eller minska antal användare efter kundens önskemål Lagrar kundens information hos molntjänstleverantören Page 37
Begränsningar Varför är Kontorsstöd som molntjänst så begränsad i sitt innehåll? Page 38
Juridisk analys Både Google, IBM och Microsoft accepterar EU:s standardavtalsklausuler Vår konstruktion gällande personuppgifter verkar accepteras av marknaden Molntjänstleverantörens ToS är i viss mån förhandlingsbara Det finns inget sätt i LOU att kravställa på vart data geografiskt ska lagras inom EU (det går i LUFS) Det är möjligt att kombinera ramavtalets allmänna villkor med leverantörens ToS Page 39
Efter upphandlingen Ovanligt medialt Microsoft IBM Datainspektionen Frågor från avropare Seminarier, intresse från omvärlden Ovanligt stort intresse från privat sektor Page 40
KSM på avropa.se Ramavtalssida Leverantörssidor Vägledning (levande dokument) Mall för avropsförfrågan Mall för kontrakt Page 41
Tillämpning av ramavtalen Laglighetsprövning Risk- och sårbarhetsanalys PUL Allmänna villkor Kravkatalog Page 42
Innan avrop av KSM Vilka funktionella krav måste uppfyllas? Vilka juridiska krav måste uppfyllas? Vilka säkerhetskrav måste uppfyllas? Vad vill ni uppnå med avropet? Hur ser nuvarande lösningar ut? Vilka andra system behöver molntjänsten integreras med? Page 43
Köpa Kontorsstöd på annat sätt Är det möjligt att avropa Kontorsstöd som molntjänst på andra ramavtal? Får en myndighet göra en egen upphandling av Kontorsstöd som molntjänst? Page 44
Page 45 Juridiska aspekter
Övergripande frågor Personuppgiftslagen Var lagras all data? Laglighetskontroll vad är det? Allmänna villkor och biträdesavtalet Frågor vid avtals upphörande Patriot Act! Page 46
Personuppgiftslagen Personuppgiftslagen (PuL) trädde i kraft 1998. Lagens syfte är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas (1 ) Lagen bygger på dataskyddsdirektivet, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter Ny dataskyddsförordning kommer den väntas stärka skyddet för människors integritet Lagen omfattar all automatiserad behandling av personuppgifter Page 47
Några begrepp Personuppgift all slags information som direkt eller indirekt kan hänföras till en levande fysisk person Behandling alla åtgärder som har att göra med personuppgifter Personuppgiftsansvarig den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter Personuppgiftsombud den fysiska person som självständigt ska se till att personuppgifter behandlas korrekt Personuppgiftsbiträde den som behandlar personuppgifter för den personuppgiftsansvariges räkning Page 48
PuL omfattar bl a inte Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter Personuppgifter som inte finns i personregister och databaser Ordbehandling som inte ingår i dokumenthanteringssystem, publicering av löpande text på nätet, e-post Elektroniska ljud- och bilduppgifter som inte ingår i databaser Undantaget gäller alla viktiga regler i PuL Page 49
PuL omfattar bl a inte Den undantagna behandlingen får inte kränka den registrerades personliga integritet (missbruksregeln) PuL skall inte tillämpas om det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet Områden omfattade av registerförfattningar Page 50
Sanktioner Datainspektionen utövar tillsyn (se t.ex. beslut 263-2011 avs Salems kommun) Missbruk är skadeståndsgrundande Böter eller fängelse om missbruk innefattar känsliga personuppgifter, uppgifter om lagöverträdelser, överföring av personuppgifter utanför EU/EES till land som inte har adekvat skyddsnivå Page 51
Molntjänster Ramavtalsleverantören och molntjänstleverantören är den personuppgiftsansvariges personuppgiftsbiträden Biträdesavtal måste tecknas, och ska föreskriva att personuppgiftsbiträdet är skyldig att vidta lämpliga säkerhetsåtgärder Den personuppgiftsansvarige ska säkerställa att biträdesavtalet efterlevs Den personuppgiftsansvarige ansvarar för att PuL och andra lagar följs vid behandling Page 52
Molntjänster Det är inte bara att lägga ut i molnet - inte ens om man har bra avtal och biträdesavtal Det samma gäller all form av utkontraktering Känsliga personuppgifter (ras, etnicitet, hälsa, politisk åsikt m.m.) fordrar stark autentisering och kryptering Page 53
Laglighetskontrollen Viktigt att säkerställa bl.a. att inga författningar som styr den personuppgiftsansvariges verksamhet påverkar möjligheten för personuppgiftsbiträde att behandla personuppgifterna, samt om det föreligger hinder beträffande var informationen geografiskt är lagrad Behandlingen måste vara tillåten enligt PuL Personuppgiftsansvarig måste bedöma om den specifika personuppgiftsbehandling som man vill låta molntjänstleverantören utföra kommer att vara tillåten enligt personuppgiftslagen Page 54
Risk- och sårbarhetsanalysen Är det möjligt att nyttja molnet för behandling av de tänkta personuppgifterna? Vilken säkerhetsnivå är lämplig? Vilka åtgärder måste vidtas? Ju större integritetsrisker, desto högre krav på säkerhetsåtgärder! Hur stora integritetsrisker som en viss behandling innebär beror bland annat på antalet personer som de behandlade uppgifterna avser, mängden uppgifter som behandlas om varje person och känsligheten hos de behandlade personuppgifterna Page 55
Risk- och sårbarhetsanalysen Det finns flera etablerade metoder för risk- och sårbarhetsanalys, exempelvis den som tagits fram av EU:s nätverks- och informationssäkerhetsbyrå ENISA (Cloud Computing, Information Assurance Framework). Nackdelen är att den är generellt hållen, och att det finns risk för att man arbetar mekaniskt efter listan och därmed låter bli att tänka själv samt att verkligen analysera resultaten. Se också Datainspektionens checklista för behandling av personuppgifter på mobila enheter. Page 56
Allmänna villkor genomgång Anger villkor för kontraktsfullgörande som gäller mellan den avropande myndigheten och ramavtalsleverantören Allmänna villkor äger företräde om villkor i andra dokument som ingår i kontraktet säger något annat, såvida inte parterna uttryckligen och skriftligen avtalat om annat (p 4.1) Undantag: Personuppgiftsbiträdesavtalet äger företräde framför Allmänna villkor beträffande reglering av personuppgiftsbehandlingar (p 4.2) Page 57
Allmänna villkor genomgång Avtalad specifikation central för beskrivning av den avropande myndighetens förutsättningar och särskilda krav på ramavtalsleverantörens fullgörande och leverans av molntjänsten Page 58
Allmänna villkor genomgång Uppstart av molntjänsten Erforderlig informationsöverföring Avtalad startdag när avtalad spec ska uppfyllas Leveranskontroll (tio dagar före startdag) Faktisk startdag i idealfallet samma som avtalad Om inte: försening, p 11.3 ger kunden rätt till vite Page 59
Allmänna villkor genomgång Felansvar Fel föreligger när molntjänsten avviker från avtalad specifikation, och avvikelsen är till men för kunden Sanktioner: Försening av införandeprojekt utlöser vite (p 11.3) Andra småfel utlöser också vite (p 11.2) Nästa steg: skadestånd, dock med begränsningar Avvikelser som inte är till men för kunden är inte fel i AV:s mening (p 11.7) Page 60
Allmänna villkor genomgång Ansvarsbegränsningar Force majeure (p 12.1-2) Införandeprojektet det högsta av 35 pbb eller 25 % av kontraktssumman (p 12.3) Kraftigt begränsat skadeståndsansvar avseende molntjänsten (p 12.4) Page 61
Allmänna villkor genomgång Kunds användning av molntjänsten Endast registrerade användare, kunden ansvarar för dessas användande av molntjänsten Page 62
Allmänna villkor genomgång Åtgärder när kontraktet upphör Ramavtalsleverantören ska, försåvitt ingånget Kontrakt sägs upp eller på annat sätt upphör att gälla eller där Molntjänsten övergår till ny Molntjänstleverantör, medverka till att övergången sker med minsta möjliga olägenhet för Kunden så att störningar i Kundens verksamhet undviks i största möjliga utsträckning Page 63
Allmänna villkor genomgång Kunden ska i samband med leverantörsbyte alltid kostnadsfritt tillhandahållas all data och meta-data som Ramavtalsleverantören hanterar för Kunds räkning Data som inte övergår till Kunden eller till en ny Molntjänstleverantör ska raderas så snart det är praktiskt möjligt efter att övergången slutförts Page 64
Allmänna villkor genomgång Ändringar i molntjänstens innehåll Molntjänstleverantören får, utan att underrätta kunden, utföra ändringar i molntjänsten eller dess tillhandahållande om dessa inte innebär olägenhet för kunden eller förändrar molntjänstens avtalade specifikation Page 65
Page 66 Personuppgiftsbiträdesavtalet
Personuppgiftsbiträdesavtalet Biträdet är skyldigt att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av Tekniska möjligheter Kostnad att genomföra åtgärderna De särskilda risker som finns med behandlingen Hur pass känsliga personuppgifterna är Page 67
Personuppgiftsbiträdesavtalet Personuppgifter får inte behandlas på annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i biträdesavtalet Underbiträden skriftligt avtal, med samma förpliktelser som följer av biträdesavtalet Behandlingar i tredje land förbjudna, om inte landet är godkänt enligt bilaga i PuF, eller om Kommissionens standardavtalsklausuler tillämpas Page 68
USA PATRIOT Act 2001 Mytomspunnen lag (egentligen flera lagar) Kontroversiell även i USA starkt kritiserad Samma typ av lagstiftning finns i Sverige kritiserad när den infördes, men sällan åberopad på samma sätt? Komparativa studier har visat att många europeiska länder ger betydligt mer omfattande befogenheter i sina respektive lagar än USA Page 69
Försvarsunderrättelseverksamhet FRA-lagen - lag (2008:717) om signalspaning i försvarsunderrättelseverksamhet Samarbete med andra länder och internationella organisationer, följer av Lag (2000:130) om försvarsunderrättelseverksamhet Page 70
Försvarsunderrättelseverksamhet Lag (2003:389) om elektronisk kommunikation 6 kap 19-19 a om hemlig avlyssning av elektronisk kommunikation m.m. 6 kap 20-21 : Den som tillhandahåller nätet har tystnadsplikt gällande sådan angelägenhet som avser inhämtning av signaler i elektronisk form enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet Page 71
Försvarsunderrättelseverksamhet Det sker ett omfattande internationellt samarbete inom och mellan västvärldens militära och civila underrättelsetjänster och brottsbekämpande organisationer Page 72
Hur hantera behandlingar i tredje land? Behandlingar i USA är tillåtna enligt PuL, om personuppgiftsbiträdet anslutits till det frivilliga s.k. Safe Harbor-regelverket USA anses, förutsatt att Safe Harbor-reglerna tillämpas, tillhandahålla ett adekvat skydd för personuppgifter Laglighetsprövningen tillsammans med risk- och sårbarhetsanalysen kan ge svar på många frågeställningar beträffande myndighetens möjligheter och förutsättningar att efterleva PuL:s stadganden Page 73
Page 74 Summering och avslutning
Ramavtalet Kontorsstöd som molntjänst Leverantörsselektering Avtalsvillkoren Tekniska krav Paketerad tjänst Att lämna molntjänsten Ni har stöd av mallar, vägledning och förvaltare = En helhetslösning! Page 75