Third Party Privacy Compliance Management
Software-as-a-Service (SaaS) basert løsning for håndtering av tredjepartspersonvern (leverandør). Også kjent som rammeavtale for skybaserte tjenester for etterlevelse av personvernskrav hos tredjepartsleverandører.
Avtalens leverandører
MPS har inngått tre parallelle rammeavtaler med følgende leverandører (i alfabetisk rekkefølge):
Deloitte AS med Iconfirm AS (org. nr. 980 211 282) Privacy Guard
KPMG AS med OneTrust (org.nr. 935 174 627) Third Party Privacy Management: OneTrust
Visma Draftit AS (org.nr. 817 815 782) Avtale mellom Draftit og DFØ – enklere personvern for offentlig sektor
Ønsker din virksomhet å motta relevant informasjon og nyheter fra leverandørene?
Avtalens kunder
Rammeavtalene er ikke-eksklusive, og bruk av avtalene er frivillig. Virksomheter som er oppført i kundelisten, kan foreta avrop på rammeavtalene. Rammeavtalen åpner for at virksomheter fortsatt skal kunne benytte rammeavtalen selv om det skjer en omstrukturering på oppdragsgiversiden, eksempelvis kommunesammenslåing, opprettelse av nytt direktorat, utskillelse fra det offentlige i et eget selskap mv. Dersom dette blir aktuelt, bør det likevel gjøres en vurdering av den nye virksomhetens adgang til å foreta avrop på rammeavtalene.
1 Om rammeavtalen
1.1 Rammeavtalens omfang
Rammeavtalen omfatter leveranse av skybaserte tjenester for tredjeparts etterlevelsesstyring innen personvern og informasjonssikkerhet. Leverandørene tilbyr løsninger som reduserer risiko for lovbrudd og effektiviserer oppfølgingen av leverandører i tråd med GDPR og nasjonale forskrifter. Gjennom avtalen får virksomhetene tilgang til moderne og skalerbare løsninger som gir bedre kontroll over leverandørenes etterlevelse av personvernregelverket og samtidig reduserer risikoen for avvik og databrudd.
Løsningene har fokus på et bredt spekter for innhenting, oppfølging og vedlikehold av etterlevelsesdokumentasjon. Dette inkluderer håndteringen av databehandleravtaler (DPA), standard kontraktsklausuler (SCC) og protokoller over behandlingsaktiviteter (RoPA). Løsningen omfatter også automatisert eller semi-automatisert tredjepartssporing, tilpassbare etterlevelsesdashbord, automatiske oppdateringer av dokumentasjon og systemisk monitorering av leverandørkjeden. Dette gir virksomhetene nødvendig innsikt, transparens og kontroll til å støtte både operativt og strategisk arbeid med personvern og leverandørstyring.
Tjenestene er utviklet for å støtte universell tilgjengelighet og etterlevelse av GDPR, og kan integreres med virksomhetenes eksisterende IT systemer. Løsningene legger til rette for en mer effektiv, pålitelig og systematisk håndtering av tredjeparts personvern-etterlevelse.
Nærmere beskrivelse av leverandørens tjenester:
Kostnadsfri prøveperiode
Se leverandørenes beskrivelse for informasjon om demo og gratis prøveperiode.
1.2 Rammeavtalens kontraktsdokumenter
Kontraktsdokumentene gjøres tilgjengelig ved forespørsel. Dokumentene er ikke offentlig tilgjengelig da de inneholder taushetsbelagt informasjon som forretningshemmeligheter. Det er ikke en forutsetning å besitte/lese dokumentene for å kunne gjennomføre et avrop. Ønskes det likevel innsikt i kontraktsdokumentene er disse tilgjengelige for virksomheter som er omfattet av rammeavtalen (se pkt. 1.2).
Ta kontakt med rammeavtaleforvalter for å få kontraktsdokumentene tilsendt. Det understrekes at oppdragsgivere som mottar kontraktsdokumentene må behandle kontraktsdokumentene konfidensielt, og de kan ikke gjøres offentlig tilgjengelig for andre og kun deles med andre som har tjenstlig behov.
1.3 Rammeavtalens varighet
Rammeavtalen er gyldig fra 01.01.2026 til 31.12.2027, med mulighet for å forlenge med ytterligere ett (1) år + ett (1), totalt maksimalt fire (4) år.
1.3.1 Varigheten på avropsavtalen
Den samlede varigheten av avropskontrakten kan ikke overstige seksti (60) måneder, eksklusive eventuell gratis prøveperiode.
2 Roller og ansvar
2.1 Markedsplassen for skytjenester
MPS eier og forvalter rammeavtalen med ansvar for oppfølging av rammeavtalen. MPS gir veiledning om hvordan rammeavtalen skal brukes, og følger opp at leverandøren etterlever rammeavtalen. MPS bistår også den enkelte virksomhet ved behov, eksempelvis ved eskalering av saker til MPS.
2.2 Virksomhetene
Virksomhetene er ansvarlige for å gjennomføre avrop i tråd med rammeavtalen og anskaffelsesregelverket. Se veiledning for "Ta i bruk avtalen" for mer informasjon.
Den enkelte oppdragsgiver er ansvarlig for avropsavtalen. Dette inkluderer riktig bruk av tjenesten, samt oppfølging av avropsavtalen overfor leverandør.
Ved å avrope på denne rammeavtalen, gis leverandørene adgang til å formidle relevant informasjon til MPS som er nødvendig for å etterleve sine rapporteringsforpliktelser. Eksempler på slik informasjon er angitt i punkt 3.3 Leverandørene.
2.3 Leverandørene
Leverandørene er ansvarlig for å etterleve avtalen, herunder levere sine tjenester, teknisk support, opplæring, veiledning m.m. iht avtalen.
Leverandørene er forpliktet til å rapportere til MPS i tråd med rapporteringsforpliktelsene i rammeavtalen om blant annet bruk av avtalen. Dette inkluderer informasjon om avrop, herunder antall, verdi, varighet, tjenester som kjøpes, samt andre relevante styrings- og måleparametere i forbindelse med rammeavtalen.
3 Gevinster med rammeavtalen
Betydelig reduserte kostnader
Avtalen gir offentlige virksomheter tilgang til tjeneste som hjelper virksomhetene med å redusere risiko knyttet til personvern og informasjonssikkerhet hos tredjepartsleverandører. Dette sikrer betydelige kostnadsbesparelser sammenlignet med enkeltanskaffelser og gir bedre ressursutnyttelse i hele sektoren.
Balanserte og forutsigbare vilkår
Rammeavtalen er utformet med tydelige og rettferdige kontraktsvilkår som ivaretar offentlige virksomheters behov. Dette gir trygghet i leverandørforholdet, reduserer administrativ risiko og sikrer enhetlig håndtering av personvern og informasjonssikkerhet.
Effektive og enkle avropsprosesser
Bestilling av tjenester under rammeavtalen skjer gjennom etablerte og effektive prosesser som gir rask tilgang til ønsket innhold. Se avsnitt 5.1 Avrop for mer informasjon.
Styrket informasjonssikkerhet og personvern
Avtalen bygger på MPS’ referansearkitektur (basert på internasjonale og nasjonale lover, standarder og rammeverk), som sikrer at leverandørene følger anerkjente prinsipper for informasjonssikkerhet. Dette gir økt trygghet for virksomhetens data og systemer.
Fleksible og skalerbare løsninger
Kontraktene er forhandlet frem med et mål om å treffe et bredt spekter av offentlige kommuner, fylkeskommuner og virksomheter. Visshet om bredden i størrelse og teknisk kapasitet har vært tematisert under forhandlingene, og tjenestene kan tilpasses virksomhetens størrelse, modenhet og behov. Både små og store virksomheter kan enkelt ta i bruk løsningene som gir økt effektivitet og reduserer arbeidsbelastning.
Håndtering av personvernrisikoer knyttet til tredjepartsleverandører
Alle leverandørene tilbyr løsninger med økt åpenhet og bedre oversikt over hele leverandørkjeden ved å forenkle og automatisere innhenting og utføre kontroll av nødvendig dokumentasjon fra leverandører. Dette sikrer både pålitelighet og kontinuitet i samsvarovervåkningen. Samtidig reduseres sårbarhet knyttet til personvern ved at risikoen for budd og sanksjoner minimeres, noe som styrker tilliten til offentlig sektor. Tjenesten skal også sikre etterlevelse av gjeldende lovkrav og legge til rette for mer effektiv ressursbruk gjennom redusert behov for manuell oppfølging av samsvarskrav.
Anskaffelse: Prosjektforløp
Fremtidsplan
| Milepæler | Tidspunkt |
|---|---|
| Markedsundersøkelse | Gjennomført |
| Utprøvingsprosjekt | Gjennomført |
| Utforming av konkurransestrategi | Gjennomført |
| Frist for tilslutningserklæring for virksomhetene | Gjennomført |
| Kunngjøring av konkurranse på Doffin | Gjennomført |
| Prekvalifisering | Gjennomført |
| Første tilbudsfrist | Gjennomført |
| Forhandlinger | Gjennomført |
| Oppstart av avtale | Q4 2025 |