Uppdrag e-arkiv Utveckling av en förvaltningsgemensam tjänst för e-arkiv
Bakgrund och tillbakablick Tjänstens utformning och övergripande krav Upphandlingsstrategi Vägen framåt Förberedelser inför anslutning Frågor och avslut 2
Vårt uppdrag bakgrund och tillbakablick 3
Uppdrag en förvaltningsgemensam tjänst SSC ska ta fram tjänsten i samverkan med Riksarkivet Tjänsten ska förenkla införandet av e-arkiv i statsförvaltningen och sänka kostnaderna - i jämförelse med alternativa lösningar Sju pilotmyndigheter ska delta i arbetet och ansluta till tjänsten - när den finns tillgänglig En förvaltningsorganisation för tjänsten ska etableras hos Statens servicecenter 4
Andra viktiga hörnstenar i uppdraget Kostnadseffektivitet (stordriftsfördelar) Främja öppna standarder Förenkla tillgänglighet/åtkomst till information (konsumtion) Möjliggöra vidareutnyttjande av information (möjlighet att sprida ex. PSI) Informationssäkerhet 5
Projektorganisation Uppdrag e-arkiv Övriga samråd: SÄPO FRA Samråd enligt uppdrag med: MSB Datainspektionen esam e-samverkansprogrammet Karin Åström Iko, Riksarkivarie (Ordf.) Annika Bränström, kanslichef, E-legitimationsnämnden Annika Axelborn, utvecklingschef, Bolagsverket Richard Källstrand, avdelningschef, PTS Johan Holgersson, chefsjurist, Energimyndigheten Peter Sivervall, avdelningschef, Riksarkivet Helena Andersson, avd. chef, Fortifikationsverket Marja-Leena Pilvesmaa, avd.chef, Statens fastighetsverk Håkan Viklund, Länsstyrelsen i Västernorrlands län Åsa Ryding, Länsstyrelsen i Stockholms län Charlotte Johansson-Ahlström, delegerad projektägare, SSC Riksarkivet Styrgrupp Statens servicecenter Pilotmyndigheter Bolagsverket Statens energimyndighet Fortifikationsverket Länsstyrelsen i Stockholm Länsstyrelsen i Västernorrland Post- och telestyrelsen Statens fastighetsverk
Tillbakablick Augusti 2014 Regeringsuppdrag att utveckla och använda en förvaltningsgemensam tjänst för e- arkiv Februari 2015 Uppdragets första delrapport lämnas till regeringen Februari 2016 Uppdragets andra delrapport lämnas till regeringen December 2016 Uppdragets tredje delrapport lämnas till regeringen Maj 2017 Upphandlingen påbörjas. December 2014 Offentliggörande av RFI (Request for information) Juni 2016 Regeringsbeslut om nya medel till projektet Maj 2015 Regeringsbeslut om nya medel till projektet Mars 2017 Regeringsbeslut om nya medel till projektet Juni 2017 Upphandlingen avbryts 7
Varför avbröts upphandlingen? Ingen av de leverantörer som lämnat anbudssvar uppfyllde informationssäkerhetskraven fullt ut Informationssäkerhetskraven omfattade krav på att leverantören (inkl. ev. underleverantörer) bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet (enligt standarderna SS-ISO/IEC 27001 och SS-ISO/IEC 27002 eller likvärdigt) 8
Informationssäkerhetskrav För att kontrollera att detta uppfylls ska följande redovisas: Sökanden ska redovisa sitt ledningssystem för informationssäkerhet, hur detta implementerats samt vilka säkerhetsåtgärder som beslutats att vara tillämpliga (genom exempelvis ett uttalande om tillämplighet). Sökanden ska redovisa senaste genomförda revision av ledningssystemet för informationssäkerhet. Sökanden ska redovisa implementerade processer och rutiner för att över tid vidmakthålla och förbättra informationssäkerheten samt hur dessa systematiskt utvärderas och förbättras. Sökanden ska redovisa hur de är organiserade för att bedriva säkerhetsarbetet, inklusive ansvar och befogenheter. 9
Kravet är författningsstyrt för statliga myndigheter 3 Ansvaret gäller även när myndighetens information hanteras av en extern aktör eller när myndigheten tillhandahåller andra aktörer tjänster för informationshantering inom e- förvaltning eller motsvarande. 10
Omtag ny upphandling inleds! Statens servicecenter gör ett omtag och planerar att gå ut i upphandling igen under november månad Samtliga informationssäkerhetskrav kvarstår oförändrade Vår bedömning är att det finns ett flertal leverantörer som bör kunna svara upp på informationssäkerhetskraven vid denna tidpunkt 11
Tjänstens utformning och övergripande krav 12
Mellanarkiv - övergripande förutsättningar Tjänsten ska innebära systemstöd, metoder och resurser för att kunna genomföra e-arkivering Kunden äger sin information och har ansvar för den Slutarkivering sker hos Riksarkivet (enl. beslut i respektive myndighet) Leveranser med hjälp av specifikationer som baseras på FGS (specifikationer styr leveranser till och från tjänsten samt delvis förvaltning av informationen i denna) 13
Mellanarkiv - övergripande förutsättningar: FGS Myndighetens ansvar Riksarkivets ansvar FGS är krav på metadata för märkning och paketering av information 14
Övergripande krav - funktion och egenskaper Stödja hela e-arkiveringsprocessen o Styra åtkomst till informationen o Skydda mot otillåten eller oavsiktlig förändring eller förlust o Vårda informationen både gallra och bevara
Övergripande krav legala och teoretiska Arkivmaterialet ska kunna hanteras och skyddas utifrån gällande författningar - Tryckfrihetsförordningen - Offentlighets- och sekretesslagen - PUL/Dataskyddsförordningen - Arkivlagen, arkivförordningen m.fl. o Stödja Riksarkivets aktuella föreskrifter (RA-FS) o Stödja de standarder och best practice som RA pekar ut (ex. FGS) 16
Paketering av tjänsten Stöd för att redovisa verksamhetsinformation (RA-FS 2008:4) PRODUCENT TILLHANDAHÅLLANDE OCH FÖRVALTNING KONSUMENT Anpassning och konfiguration Tjänsteutveckling Verksamhetssystem X Annan strukturerad information Verktyg för uttag, transformering och paketering av information e-arkiv STÖD TILL KUNDMYNDIGHETER Gränssnitt för sökning, åtkomst och export Metodstöd Konsultstöd Förberedelser inför överföring Leverera/ överföra Ta emot Vårda och framtidssäkra Förvalta och drifta Redovisa Tillhandahålla Exportera Söka 17
Man ska kunna välja ur verktygslådan hur man vill arbeta Ex. vid förberedelser inför överföring (pre-ingest) Myndigheten förbereder själv sina paket med information med egna programvaror utan att använda SSCs tjänst för pre-ingest Myndigheten förbereder själva sina paket men med hjälp av SSC tjänst (och programvaror) Myndigheten använder även konsultstöd från SSC för att förbereda sina paket
e-arkivtjänsten - en möjliggörare e-arkivtjänsten ska både göra det möjligt att tekniskt bevara information att informationen kan återanvändas och vidareutnyttjas Göra det så enkelt som möjligt att e-arkivera genom standardiserade arbetssätt (processer och verktyg) genom att erbjuda olika stödtjänster 19
Säkerhetsskydd och informationssäkerhet 20
Säkerhetsskydd och informationssäkerhet Avgränsning Inga hemliga uppgifter och handlingar (enl. säkerhetsskyddsförordningen, 1996:663) 21
Säkerhetsskydd och informationssäkerhet Säkerhetsanalys Aggregering av information innebär att tjänsten blir verksamhet med betydelse för rikets säkerhet (Säkerhetsanalysen görs i samråd med SÄPO) 22
Höga krav på säkerhetsskydd aggregering av information --> betydelse för rikets säkerhet = höga krav på säkerhetsskydd säkerhetsskyddad upphandling (LOU) säkerhetsskyddsavtal med leverantörer säkerhetsprövning och registerkontroll av personal krav på att leverantören tillämpar systematiskt informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet (enligt ISO 27001 eller likvärdigt). 23
Juridiska villkor 24
JURIDIK utformning av e-arkivtjänsten VAD projektet ska säkerställa: att det blir allmänna handlingar endast hos kundmyndigheten (ej hos SSC) att det är tillåtet att överlämna och förvara sekretessreglerade uppgifter i e-arkivet (som ska driftas av en privat leverantör) att dataskyddet och behandlingen av personuppgifter i e-arkivet anpassas till gällande personuppgiftslagstiftning (PUL och EU:s nya dataskyddsförordning) 25
Offentlighet och sekretess HUR projektet ska säkerställa det: genom att SSC inte får tillgång till lagrad information genom att sekretessreglerad information inte röjs villkor i avtal (sanktioner genom viten) tystnadsplikt tekniskt och organisatoriskt skydd av uppgifterna i tjänsten (e-sams vägledning Outsourcing en vägledning om sekretess och persondataskydd ) 26
Dataskydd och behandling av personuppgifter HUR projektet ska säkerställa det: genom att rätt aktör blir personuppgiftsansvarig respektive personuppgiftsbiträde/underbiträde i tjänsten - avtal ska tecknas genom att e-arkivsystemet får de funktioner som behövs för att behandlingen av personuppgifter ska uppfylla kraven i PUL/Dataskyddsförordningen (kan även finnas registerförfattningar som påverkar) ex: åtkomst- och behörighetsbegränsningar begränsningar av sökning- och sammanställningsmöjligheter behörighetskontroll och loggning regler och funktionalitet för gallring PUL ersätts av EU:s Dataskyddsförordning i maj 2018. Arbetet kring krav stäms av i samråd med pilotmyndigheterna och Datainspektionen 27
En förvaltningsgemensam e-arkivtjänst - sammanfattning Funktionella krav Juridiska villkor Säkerhetskrav Teknisk infrastruktur Arbetssätt för SSC (regelverk och styrdokument) 28
Upphandlingsstrategi 29
Upphandlingsstrategi sammanfattning En sammanhållen leverans (systemstöd, drift och konsulttjänster) Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) Upphandlingen ska genomföras som en konkurrenspräglad dialog Kundmyndigheterna köper tjänst från SSC medan SSC har avtalsrelationen med leverantören 30
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal Upphandling genomförs enligt LOU (inte LUFS) Säkerhetsskyddsavtal tecknas med leverantören (och UL) innan uppdraget påbörjas Säkerhetsprövning med registerkontroll av berörd personal samt förstagångsbesök innan avtalstecknande 31
Konkurrenspräglad dialog Nya LOU ger nya möjligheter! Tidigare endast vid särskilt komplicerade kontrakt Möjlighet att i samverkan med leverantörerna utforma förutsättningarna för den bästa e-arkivlösningen för statsförvaltningen Andra fördelar: Minimera risk för att leverantörer avstår från att svara Minimera risk för överprövning Minimera risk för tolkningsproblem under avtalstiden 32
Konkurrenspräglad dialog - Hur går det till? 1. Selektering Krav på leverantören (administrativa-, juridiska- och säkerhetskrav) Absoluta grundkrav på e-arkivlösningen Kvalificeringsregler 2. Dialog / utformning av krav och villkor för tjänsten Separata dialoger med varje leverantör i omgångar Proof of Concept tester Resultatet sammanställs gemensamt för alla leverantörer och förfrågningsunderlaget fastställs 3. Konkurrensutsättning av färdigt förfrågningsunderlag Samtliga leverantörer som deltagit i dialogen får delta Utvärdering av anbud och tilldelningsbeslut Säkerhetsskyddsavtal och säkerhetsprövning Teckna avtal (möjlighet att diskutera detaljer med vald leverantör) 33
Upphandlingen återupptas November 2017 Upphandlingen återupptas 34
Vägen framåt Preliminär tidplan 2017 Höst 2018 Vår Höst Årsskifte 2019 Sommar Höst Upphandlingen återupptas - Selektering Dialog med utvalda leverantörer Utskick av slutgiltigt förfrågningsunderlag Utvärdering av anbudssvar Tilldelningsbeslut/avtal med leverantör inkl. säkerhetsskyddsavtal och säkerhetsprövning Uppsättning av system inkl. acceptanstester Pilotmyndigheterna börjar ansluta till tjänsten Projektet avslutas och lämnas över till linjeorganisation Slutrapport till Finansdepartementet Övriga myndigheter kan börja ansluta till tjänsten 35
Förberedelser inför anslutning till e-arkivtjänsten 36
Pilotmyndigheterna - förberedelser Ska förbereda och arbeta systematiskt med informationsförvaltning arkivredovisning enligt RA-FS 2008:4 värdera informationen och utreda gallring strategi för bevarande (gärna bevarandeplaner per applikation/system) ensa begrepp (och därmed metadata) i informations- resp. begreppsmodeller Delta i kravställandet på tjänstens utformning Testa att ta fram paket (ärenden) och därmed skaffa sig erfarenhet om vad det innebär (processen). 37
Information om förberedelser inför e-arkivering http://www.statenssc.se/omoss/sidor/ingen%20menyrubrik/uppdrag-e-arkiv.aspx 38
Tack för er uppmärksamhet! Kontakt och frågor Cia Jarehov, projektledare cia.jarehov@statenssc.se Mattias Hammarlund, sakkunnig ext.mattias.hammarlund@statenssc.se 39