Her finn du informasjon om korleis du kan utarbeide konkurransegrunnlaget og eksempel på krav du kan stille til tenesten og leverandøren. Rettleinga er avgrensa til det vi finn er spesielt ved kjøp av standardiserte skytjenester.
Regelverk som kan påvirke din anskaffelse
Ved anskaffelse av skytjenester er det viktig å vurdere hvilken informasjon som skal lagres og behandles utenfor din egen kontroll. For enkelte typer informasjon gjelder spesielle regler, les mer under Mulighetsanalysen.
Behovet
Kartlegg behovet og finn ut av om tenesta blir tilbydd i marknaden. Ofte veit ein ikkje på førehand om den beste løysinga vil vere ei skyteneste eller ei meir tradisjonell IKT-løysing. Viss du skriv spesifikasjonane dine med opne spesifikasjonar ut frå behov og funksjon i staden for å bruke detaljspesifisering, er det mindre sjanse for at du stenger ute nokon teknologiske plattformer frå starten av. Då kan det vere at leverandørane kan komme med forslag for å dekke behovet ditt som du sjølv ikkje hadde tenkt på.
Behovshavar:
- eig behovet og har ansvar for at behovet blir dekt
- tolkar brukarane sine ynskjer og behov
- treng ei teneste eller eit verktøy for å løyse sine oppgåver
- kontaktar den som er ansvarleg for innkjøp for hjelp og rettleiing i å gjennomføre kjøpet
- viktig bidragsytar ved gjennomføring av marknadsdialog
Risikovurdering
Risikovurderinga gir grunnlaget for å utarbeide krava til tryggleik, SLA (tenestenivåavtale) og vern av personopplysningar. Du må gjere ein eigen risikovurdering i samband med anskaffinga. Alle offentlege verksemder skal ha eit styringssystem for informasjonstryggleik. Styringssystemet er eit godt utgangspunkt for risikovurderinga.
Ein framgangsmåte kan være slik;
1. Kva type data og applikasjonar er det aktuelt å flytte ut i skya? Skaff deg ei oversikt over kva som er omfatta eller påverka, også om det gjeld personopplysningar
2. Kor viktige er desse dataene eller denne funksjonen for din verksemd? Undersøk om det finst regelverk som legg føringar for handsaminga av dine data. Eit viktig spørsmål er kva konsekvensar det får om
- data blir tilgjengelege og distribuert offentleg?
- leverandøranes tilsette får tilgang til våre data?
- prosessane eller funksjonane blir manipulert av ein uvedkommande?
- prosessane eller funksjonane ikkje leverer forventa resultat?
- data plutseleg vert endra?
- data og system ikkje er tilgjengeleg over tid?
3. Vurder ulike leveringsmodellar som passar best;
- on-premise, public cloud, private cloud, community cloud eller hybrid cloud
4. Vurder tenestemodell og aktuelle leverandørar;
- kva grad av kontroll vil du ha i dei ulike leveringsmodellane?
5. Få oversikt over dataflyten
- korleis ser dataflyten ut mellom din verksemd og leverandørens tenester og evt. dine kundar og/eller andre kontaktpunkter (nodar)
Krava du sett som følgje av risikovurderinga legg føringar for løysingane marknaden kan tilby deg som kunde.
Les meir:
Marknadsdialog
Dialog med leverandørar før konkurranse er eit nyttig verktøy.
Skytenester utviklast raskt og marknaden er i konstant endring. Nye tenester utviklast og nye aktørar kjem inn i marknaden. Difor er det særs viktig å kjenne marknaden for skytenestar før ein kunngjer ein konkurranse.
Ei tilnærming til marknaden
- Fullfør behov- og risikoanalysane
- Inviter leverandørane til møte. Gjerne ved å kunngjere møtet i ei veiledande kunngjering på Doffin
- I møtet. Presenter behovet og risikoane
- Held ein-til-ein-møter der du ber leverandørane presentere korleis deira løysingar tilfredsstiller behovet og svarer ut risikoane
- Be leverandørane beskrive utfordringane dei har. Typisk kan vere at noko av løysinga bør vere on-premise løysing framfor i sky
- Innarbeid innspela du har fått i marknadsdialogen i konkurransegrunnlaget
- Kva type data og applikasjonar er det aktuelt å flytte ut i skya? Skaff deg heilheitleg oversikt over kva som er omfatta eller påverka
- Kor viktige er desse dataene eller denne funksjonen for din verksemd?
Vil du vite meir om dialog med markedet
Kravspesifikasjon
Krav til tenesta skal fremgå av bilag 1 Kundens kravspesifikasjon.
Vi rår til å bruke open kravspesifikasjon. Årsak er at spesifikke krav kan føre til færre tilbod, dyre løysingar/tilpassingar eller avvisingar. Hugs at skytenester er standard tenester for "heile verda", og at vilkåra for bruk av desse tenestene er fastlagt og gjeld alle kundar.
Kravspesifikasjon sitt innhald
- Behov. Grei ut om behovet og korleis det dekkjast i dag
- Rammer. Nokre rammer gjeld sjølv om krava er opne: Overhalde regelverk som gjeld di verksemd. For personopplysningar, helseopplysningar, arkiv, regnskapsmaterial og gradert informasjon gjeld spesielle reglar. Grei ut om rammene og be leverandør gjere greie for tenesta ut frå behovet og rammene.
- Integrasjonar. Informasjon om systema den kjøpte skya skal integrerast mot. SSA-L inneheld ikkje eit eige bilag for den tekniske plattforma, bruk difor bilag 1 Kundens kravspesifikasjon til dette.
- Krav til løysinga. Døme; Korleis dekker løysinga behovet for rapportering?
- Krav til informasjonssikkerheit og vern av personopplysningar. Viktig: Baser krava på risikovurderinga du har gjennomført. Legg ved risikovurderinga i bilag 1 Kundens kravspesifikasjon, og hugs at unødige strenge krav er fordyrande og kan vere konkurransebegrensende. Krava kan også bli formulert opne. Be leverandør greie ut korleis løysinga dekker behovet for sikkerheit og personvern
- Krav til etableringsfasen. Be leverandør tydeleggjere etableringsfasen med leveransar, pris og medverknad frå deg som kunde
- Krav til tredjepartsvilkår. Be leverandøren dokumentere tenester og vilkår som leverast frå underleverndør/tredjepart i bilag 9 Vilkår for Kundens tilgang og bruk av tredjepartsleveransar.
- Krav til tenestenivå. Be leverandør dokumentere tenestenivå bilag 4 Tjenestenivå med standardiserte kompensasjonar.
Tenestenivå (SLA)
Krav til tenestenivået skal bli dokumentert i bilag 4 Tenestenivå med standardiserte kompensasjonar.
Utgangspunktet for SSA-L som kontraktsmal er at alle kundar får tilbod om det same tenestenivået, den same målinga og rapporteringa og lik økonomisk kompensasjon ved brot på avtalen. Leverandøren skal i slike tilfelle fylle ut bilaget og opplyse kunden kva tenestenivå som gjeld.
Krav (SLA)
Dersom tenesta er kritisk for verksemda, råder vi kunden til å stille konkrete krav til tenestenivået for å sikre drift og oppetid. Døme på krav:
- oppetid
- aksepterte tal driftsstans og maksimal lengde på avbrot
- responstid til service blir satt i gang
- maksimal tid frå release til oppdatering av nye tryggare versjonar av tenesta
- opningstider for support
- overvaking, rapportering og respons på kritiske eller alvorlege hendingar
Sjekk i marknadsundersøkinga om leverandørane kan oppfylle krava du har sett til tenestenivået. Ver merksam på at krav utanom bransjenormar eller standardar er kompliserande.
Måling og rapportering av oppnådd tenestenivå
Er oppetid verksemdkritisk råder vi om at kunden sett krav til rapportering straks oppetiden er trua. I alle høve råder vi til at rapportering inngår som ein naturleg del av faktureringa. Be om eit døme frå leverandør på rapportering av tenestenivået med tilhøyrande faktura.
Kompensasjon ved brot
Ved brot på avtalt tenestenivå kan kunden krevje økonomisk kompensasjon i samsvar med avtalte satsar. Det er vanlig å bruke prosentsatsar og/eller kronebeløp per brot.
Her finn du meir om SLA
Pris
Leverandøren skal bruke bilag 6 Samlet pris og bestemmelser for å prise tenesta.
Det er eit godt råd å bruke marknadsdialogen for å få innspel til prising av tenesta. Eit alternativ er å utarbeide ein case som tilbydar skal svare ut i tilbodet. Uansett skriv alltid følgjande i konkurransegrunnlaget: Leverandøren skal synleggjere alle kostnadene over kontraktperioden. Inkluder opp- og nedskalering av talet på lisensar. Skal du ha opplæring må dette sjølvsagt inkluderast. Det same gjeld konsulentbistand og andre tenester.
Under finn du eit døme der vi har brukt tre års drift slik standarden er i SSA-L.
| Teneste | Eining | Antall | Pris | År 1 | År 2 | År 3 |
|---|---|---|---|---|---|---|
| Abonnement (lisensar) | Brukar/år | 300 | <beløp> | <beløp> | <beløp> | <beløp> |
| Support | Fast pris pr månad | 12 | <beløp> | <beløp> | <beløp> | <beløp> |
| Tilleggstenester | Etter behov | <beløp> | <beløp> | <beløp> | <beløp> | |
| Totale kostnadar | Sum år 1 | Sum år 2 | Sum år 3 |
Tredjepartsvilkår
Ofte er det ein tredjepart (underleverandør) som leverer heile eller deler av tenesta kunden skal ha. Dette blir ofte omtala som tredjepartsleveransar i SSA-avtalene. Med tredjepartsvilkår meiner vi dei vilkåra som tredjeparten leverer sine produkter eller tenester på grunnlag av.
Det er leverandør som skal beskrive de forpliktingar som kviler på kunden og dei ansvarsavgrensingane underleverandør/tredjepart eventuelt tar atterhald om.
Vårt klare råd er at du ber leverandør om å leggje ved heile settet av tredjepartsvilkår. Dette omfattar også dei vilkåra det ofte blir vist til i lenker til andre nettstader. Dette kan vere omfattande arbeid, men det sikrar at kunde og leverandør har eit dokumentert sett vilkår stadfesta på tidspunktet kontrakten ble inngått.
Tredjepartsvilkåra er en del av avtalen og at eventuelle ansvarsavgrensingar og atterhald får betydning for de vilkåra leveransen samla sett reguleres av.
Kjøp av supplerande produkt
Skyløysingar blir oppdatert kontinuerleg. Det kan difor tenkjast at tenesta du har anskaffa vil falle bort og at eksisterande funksjonalitet blir håle ut. Kjøp av nye produkt kan også vere sannsynleg. Pass på at det du kjøper som supplement er innanfor omfanget av kontrakten.
For sikre deg mot uventa endringar kan du be leverandør gjøre rede for
framtidige tenestekatalog
om det vil bli tilbudd nye tenester i tillegg til dagens løysing
korleis framtidig tenestekatalog påverker tilbudt teneste med prisar
Kvalifikasjonskrav og tildelingskriterium
Kvalifikasjonskrava
Kvalifikasjonskrava ved kjøp av skytenester er like som for andre anskaffingar. Det viktigaste er at kvalifikasjonskrava har tilknytting til og står i forhold til leveransen, og er relevante for å sikre at leverandøren har kvalifikasjonane til å utføre kontrakten.
Marknaden for skytenester er i rask utvikling. Hugs at nyetablerte føretak kan vere aktuelle. Ved utforming av kvalifikasjonskrav er det av den grunn viktig å vurdere om og korleis slike føretak skal kunne kvalifisere seg. Vurder også om det er viktig at leverandøren skal ha erfaring frå offentleg sektor.
Tildelingskriteria
Tildelingskriteria i ei skytenesteanskaffing skil seg lite frå ordinære kjøp. Det viktigaste er å forklare kva som er viktig i tenesta og vektlegginga i evalueringa. Les meir om dei grunnleggande krava til tildelingskriterier på anskaffelser.no.
Pris er eit velkjend tema. I denne rettleiinga skal vi sjå på tre andre aktuelle tildelingskriterium i ei skytenesteanskaffing:
- Bruk av tredjepartsvilkår som tildelingskriterium. Som nemnt skal leverandør dokumentere tredjepartsvilkåra. I konkurransen kan du lett bli presentert fleire sett med tredjepartsvilkår. Om du ynsker å evaluere tredjepartsvilkåra i tilboda kan du bruke tredjepartsvilkår som tildelingskriterium. Evalueringa kan til dømes ta utgangspunkt i ansvarsbegrensningane leverandøren tar atterhald om, og dei pliktane og ansvaret tredjeparten legger på kunden for å ta i bruk tenesta.
- Bruk av SLA som tildelingskriterium. Om du ynsker å gjere ei vurdering av SLA i tilboda kan du bruke SLA som tildelingskriterium. Evalueringa kan til dømes ta utgangspunkt i kriteria oppetid, responstider, tid frå release til oppdatering, opningstider og respons ved feilrettingar.
- Bruk av sikkerheit som tildelingskriterium. Om du ynsker å gjere ei vurdering av korleis tilboda dekker behova til sikkerheit kan du bruke sikkerheit som tildelingskriterium. Døme på tildelingskriterium kan vere korleis tenesta blir oppdatert med nye sikkerheitskrav eller korleis leverandør dokumenterer tilstrekkeleg tryggleik for dine data uansett kor dei er lagra.