Veiledning for IKT-anskaffelser

• Det må avklares hva det reelle behovet for den nye tjenesten er. Hvor mange brukere? Hvor stort omfang? Passer kartet med terrenget mtp. ønsket kost og nytte?
• Det må avklares om det allerede eksisterer tjenester ved UiB som kan løse behovet, og om den nye tjenesten/programvaren passer inn i den eksisterende tjenesteporteføljen. TIPS: sjekk vår oversikt på UiBhjelp om det er eksisterende programvare som kan benyttes. Kontakt gjerne IT-avdelingens Tjenestekoordinator for rådgivning
• De budsjettmessige rammene for anskaffelsen av den nye tjenesten må etableres. En ting er hvem som skal betale lisensene, noe annet hvem som skal ta kostnaden for forvaltning av tjenesten, og hvor stor denne er.

1. Er det en nyanskaffelse eller kjøp av ekstra lisens?
   • Ved ekstra lisens:
     • Gjør lokal vurdering av kost/nytte (besluttes av BDM), deretter kjøp ekstra lisens (hvis innvilget) gjennom bestillingssystemet
        
   • Ved nyanskaffelse (ta ev. kontakt med (lokal) innkjøper/rådgiver for støtte til disse punktene):
     • Er det en eksisterende rammeavtale som kan benyttes (ref. avtaleportalen)? TIPS: UiB har en rammeavtale med Crayon som dekker mange typer programvare.Det som ikke kan kjøpes fra denne avtalen er virksomhetssystemer (økonomisystemer, personalsystemer, logistikksystemer, o.l.) og tjenestetunge applikasjoner innenfor undervisning (LMS, Digital eksamen, o.l.). Microsoftlisenser, Oracle, SAP, Comvault, chatbot omfattes heller ikke av denne avtalen.

     • Dersom anskaffelsen ikke dekkes av rammeavtalen, følg stegene i anskaffelseskartet. Ta alltid kontakt med Seksjon for innkjøp ved Økonomiavdelingen for anskaffelser over 100.000 NOK.

     • Gjør lokal vurdering av kost/nytte (besluttes av BDM), inkl. å avklare betaling (lokal enhet eller sentraladm/ITA)
2. Er dette programvare som skal benyttes av flere brukere (felles lisens for hele UiB eller flere miljøer), ta kontakt med IT-avdelingen for rådgivning.
3. Er UiB/IT-avd. i stand til å drifte/forvalte ny programvare? Kontakt IT-avdelingens Tjenestekoordinator eller meld inn en sak på UiBhjelp.

• Gjennomfør risikoanalyse av programvaren (dersom dette ikke er gjort ved UiB tidligere). Bruk UiBs mal for risikoanalyse. Se utfylt eksempel for inspirasjon. Ta kontakt med IT-avdelingen via UiBhjelp for arkivering av risikovurderingen!
  • Foretrekk IKT-produkter som er sertifiserte og evaluert av en tiltrodd tredjepart
•  Avklar forhold knyttet til personvern (svarer du ja på ett eller flere av de følgende tre spørsmålene, følg stegene i denne veiledningen).
  • Er det behov for databehandleravtale?
  • Gjøres det behandling av personopplysninger?
  • Er det behov for overføringsgrunnlag (data behandles utenfor EU/EØS)?
• Under Digital Privacy Framework er noen amerikanske bedrifter sertifisert for overføring til EU. Undersøk med leverandør om det gjelder i det aktuelle tilfellet. Gå eventuelt i dialog med personvernombudet for videre oppfølging.

Meld inn en sak via UiBhjelp eller kontakt lokal bestiller, som sender bestilling til leverandør. Større anskaffelser følger stegene i anskaffelseskartet (ref. steg 2) og kjøres ev. i regi av porteføljestyret/produktstyrene.

Dersom IT-avdelingen må pakke programvare eller registrere lisensen på lisensserver, meld inn en sak via UiBhjelp.

Ting å tenke på:

1. Fornye lisenser: enkelte lisenser må fornyes (som oftest årlig). Ofte krever dette at man innhenter nytt tilbud fra leverandør og sender ny bestilling.
2. Oppsigelse av lisenser: programvare/lisenser som ikke lenger er i bruk bør sies opp (ref. neste punkt). Kontakt bestiller.
3. Vurdere endringer i behov: er det fortsatt behov for samme antall lisenser? Er andre lisenstyper egnet (campus-/site-lisens, enkeltlisenser, volumlisenser, antall samtidige brukere, osv.)
4. Endre/oppdatere tildeling av lisenser: legge til nye brukere, fjerne brukere
5. Oppdatere til ny versjon av programvare: for å få nye lisensnøkler eller oppdaterte pakker, meld inn en sak til IT-avdelingen via UiBhjelp.

Er det reelt behov for nytt utstyr, eller er det behov som kan/bør dekkes med andre tjenester?

Eksempler: Utskriftsbehov kan dekkes med UiBs PullPrint-tjeneste i stedet for å kjøpe en skriver; lagringsbehov kan dekkes med en eksisterende lagringstjeneste i stedet for å kjøpe en ekstern harddisk.

a. Standard utstyr innenfor rammeavtaler og standard-/godkjent modell som skal driftes av IT-avdelingen og ha standard oppsett.

Eksempler:

• Alle nettbrett og smarttelefoner fra leverandør på rammeavtale.
• Alle Mac-modeller fra leverandør på rammeavtale når de skal ha UiB-klientoppsett.
• Standard/godkjente PC-modeller fra leverandør på rammeavtale når de skal ha UiB-klientoppsett.

Påfølgende steg:

• Bestill fra IT-avdelingen hvis det er «lagerført» modell bærbar PC. Andre bestillinger tas som standard katalogbestilling fra avtaleleverandør (se innkjøpsveiledning for mer detaljer om modeller og bestillingsprosessen).
• Kontakt IT-avdelingen for oppsett/installasjon når utstyret er levert.

b. Utstyr innenfor rammeavtaler, men ikke standardmodeller eller standard drift/oppsett.

Eksempler:

• Modeller som ikke skal ha UiB-klientoppsett.
• Andre modeller enn standardmodeller.

Påfølgende steg:

• Dette vil bli egendriftet utstyr som brukeren/miljøet selv har fullt ansvar for. Utstyret kan bare kobles til UiBnett gjennom begrenset nett. Eventuell støtte fra IT-avdelingen vil bestå i å sette opp utstyret med standard klientdrift om det er mulig

c. «Vanlig» IT-utstyr, men som ikke ikke er i standardsortimentet til rammeavtale-leverandører

Eksempler:

• Spesielle kameraer, mikrofoner, 3D-printere, e.l.

Påfølgende steg:

• Sjekk om avtaleleverandører kan skaffe utstyret innenfor gjeldende avtaler. Hvis ikke er dette en ny anskaffelse (ref. anskaffelseskartet).

d. Forskningsutstyr som omfatter IT-utstyr

Eksempler:

• Instrumenter som inneholder datamaskin/prosessor/datasystem (enten frittstående eller innebygd) og som skal koble sammen med datanett, lagring eller andre komponenter/systemer.

Påfølgende steg:

• Gjennomfør risikoanalyse.
• Kontakt IT-avdelingen (LabIT-gruppen) for teknisk vurdering og råd/støtte.

For å kunne gjennomføre en faktisk vurdering av tjenesten mtp. personvern og IT-sikkerhet er det nødvendig å kjenne tjenesten inn og ut. Jo bedre man kjenner tjenesten i starten, jo mindre tid brukes for å lete etter svar på spørsmål på iterative runder på steg 2 og steg 3.

• Hva skal tjenesten faktisk gjøre?
• Hvilke primære scenarier er det som forventes?
  • Hvilke data overføres?  (leverandør er databehandler)
  • Hvilke data genereres i tjenesten? (leverandør er behandlingsansvarlig)
• Hvor (fysisk) lagres data?
• Hvor (fysisk) flyter data ifm. integrasjoner?
• Har leverandøren underleverandører?
  • Hvilke data overføres til dem?
  • Hvor (fysisk) lagres data?
  • Hvor flyter data ifm. integrasjoner?
• Hvor mye koster det?
• Har vi rammeavtaler eller en innkjøpsstrategi for tjenesten? Kontakt innkjøp ved egen enhet og/eller sentralt.

Gjennomfør risikovurdering av programvaren (dersom dette ikke er gjort ved UiB tidligere). Bruk UiBs mal for risikoanalyse. Se utfylt eksempel for inspirasjon. Ta ev. kontakt med IT-avdelingens Tjenestekoordinator for å få oversendt risikoanalyser fra andre tjenester som du kan bruke som grunnlag til egen vurdering.

Anbefalt gjennomføring: Identifiserte deltakere til ROS-analysen får tilsendt ROS-matrisen i forkant og må selv legge inn uønskede hendelser i forkant av selve ROS-analysen. Tiden brukt sammen for analysen brukes til å samle og oppdatere innspill.

Transfer Impact Assessment (TIA) er EUs standardiserte konsekvensvurdering av dataoverføring(er) til tredjeland, i lys av den juridiske utviklingen på feltet etter Schrems II-dommen. TIA er et grunnlag for å kunne etablere en tilstrekkelig sikkerhet for lovlighet av overføringen, basert på bruk av EUs standard personvernsbestemmelse (Databehandleravtale med Standard Contractual Clauses – DPA-SCC eller bare SCC) samt nødvendige vurderinger av personvernrisiko og aktuelle tilleggstiltak.

Analysen er gjennomført i tråd med retningslinjer og anbefalinger fra Datatilsynet og European Data Protection Board (EDPB).

Kort oppsummert:

1. Kjenn overføringene
   • Jf. Steg 1, dokumenter:
     • Kategorier av data som lagres
     • Hva det betyr i praksis
     • Hvordan slettes data
   • Beskriv de primære bruksscenariene for tjenesten
     • Hvordan genereres data
     • Hvor lagres data
     • Hvordan slettes data
2. Identifiser overføringsgrunnlaget
   • Hvilket juridisk grunnlag har den som skal kjøpe tjenesten – som oftes UiB eller en del av UiB – til å overføre ‘noens’ personopplysninger til andre?
   • For læringsporteføljen henges dette på UiBs formål om å tilby høyere utdanning av god kvalitet

     • [1] Eksempel overføringsgrunnlag for anskaffelse av Mentimeter: UiBs rettslige grunnlag for å behandle personopplysninger for tjenesten følger av UiBs formål å tilby og legge til rette for høyere utdanning av god kvalitet, GDPR art. 6(1) e), jf. UH-loven §1-1. Behandlingen har derfor rettslig grunnlag i personvernforordningen art. 6(1) e) ‘nødvendig i forbindelse med en oppgave i allmennhetens interesse’, med supplerende behandlingsgrunnlag i UH-loven § 1-1 (overordnet formål), § 1-6 (kvalitetssikring) og § 4-15 (studieadministrasjon) samt forskrift om studier og grader ved UiB, herunder at studenter skal bruke systemene for undervisning og vurdering som institusjonen har lagt til rette for, i samsvar med UiBs Styringssystem for informasjonssikkerhet og personvern og UiBs overordnede rammer for behandling av personopplysninger. Overføring til tredjeland må være omfattet av en av overføringsmekanismene i GDPR kap V. Det aktuelle overføringsgrunnlaget vil være EUs standard personvernbestemmelser godkjent av EU kommisjonen, jf. GDPR art. 46 (2) c) tilknyttet kontrakten, og supplert med nødvendige tilleggstiltak.

3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen, kort oppsummert:
   • Er det utenfor EU er det mest sannsynlig ikke effektivt nok
   • USA har f.eks. Foreign Intelligence Surveillance Act (FISA). Det holder p.t. ikke at servere står i EU når (det amerikanske) selskapet kan bli tvunget til å utlevere data via FISA (e.g. Amazon, Microsoft mfl.)
4. Iverksett ytterligere (risikoreduserende) tiltak
   • Hvordan løser vi ev. problemer med at data som ikke bør overføres overføres?
   • Hvordan løses det at amerikanske myndigheter har (kan ha) innsyn i dataene?
   • Dataminimering, sletting, anonymisering, m.m.

Se eksempel på ferdig TIA her: Mentimeter februar 2022

Kontakt IT-avdelingen i UiBhjelp for en gjennomgang av tjenesten, ROS og TIA.

Kontakt personvernombudet for en gjennomgang av TIA.

Med forbehold om at IT-sikkerhetsansvarlig og personvernombudet godkjenner status på dokumentene er det på tide å oppsummere det hele og sende til beslutning.

En ting er hva en leverandør dokumenterer, skriver og sier – noe annet er hva vi faktisk signerer på når det kommer til det kontraktuelle. Kontrakt og databehandleravtale er de facto det UiB har å vise til dersom det skulle oppstå uenigheter med leverandør. Sørg for å ‘finkjemme’ kontrakt og databehandleravtale og sikre at det er i tråd med det som er beskrevet i anskaffelsesprosessen. Innkjøp bør lese gjennom kontrakten og personvernombudet bør lese gjennom databehandleravtalen.