English
version of this page
Rutine - Anskaffelse av ny programvare eller tjeneste
1. Er det gjort en behovsvurdering av tjenesten eller programvaren?
- Er det et reelt behov for tjenesten eller programvaren?
- Finnes tjenesten/programvaren eller en ekvivalent fra før? Se igjennom tjenestekatalogen om det allerede finnes en tilsvarende programvare/tjeneste som kan brukes istedenfor.
- All undervisningsrelatert eller pedagogisk tjeneste/programvare skal testes ut og godkjennes av Seksjon for pedagogisk utvikling og læring før den kan anskaffes. (Dette er et eget punkt i nettskjemaet). Seksjonen vil foreta en vurdering basert på innhentet informasjon, og hvis tjenesten ikke forkastes vil den testes ut av seksjonens Ped-tek-gruppe. På bakgrunnen av uttestingen lages det en rapport med en pedagogisk og teknisk vurdering av tjenesten eller programvaren.
- Ansvar
- Den som ønsker at tjenesten/programvaren tas i bruk
2. Vil tjenesten eller programvaren behandle personopplysninger eller andre sensitive data?
- Personopplysningsloven (GDPR) stiller krav til behandlingen av personopplysninger i tjenester og programvare. Alle skytjenester og de fleste lokale tjenester vil omfattes av dette, og den som ønsker å gjøre en anskaffelse må først påse at programvaren/tjenesten er innenfor lovverket. Vær oppmerksom på at programvare som behandler særlig kategori av personopplysninger, arkivpliktig opplysninger, regnskapsdata, data av stor verdi, data underlagt eksportkontroll har egne krav til beskyttelse i tillegg
- NB! Etter Schrems II dommen kan vi pt. ikke gjøre anskaffelser der personopplysninger overføres til tredjeland utenfør EØS (for ekspempel USA).
- Hvis det ikke overføres personopplysninger til tredjeland utenfor EU/EØS, og din nærmeste leder har godkjent anskaffelsen, skal det sendes en henvendelse via meldeskjema.
- All programvare/alle tjenester som behandler personopplysninger må vurderes av HiØs personvernombud.
- Ansvar:
- Den som ønsker at tjenesten/programvaren tas i bruk
3. Gjennomføre ROS-analyse (risiko- og sårbarhetsanalyse)
- ROS-analyse som vurderer behandlingsgrunnlag og databehandleravtale, men også vurdering av tjenesten med tanke på nytteverdi, brukervennlighet, sikkerhet, supportavtale, robusthet, backup, sletting med mer.
- Hva må være avklart før ROS gjennomføres?
- Hva er formålet med bruken av tjenesten/programvaren?
- Hvem skal ha tilgang til tjenesten?
- Hvem skal være ansvarlig for oppfølgingen mot leverandør av tjenesten/programvaren?
- Evt. utkast til avtale og databehandleravtale med leverandør
- Gjennomføre ROS i samarbeid med it-anskaffelser@hiof.no
- Ansvar:
- Den som ønsker at tjenesten/programvaren tas i bruk
- it-anskaffelser@hiof.no
4. Hvordan skal tjenesten eller programvaren anskaffes?
- Tjenesten eler programvaren kan anskaffes direkte hvis den tilbys gjennom eksisterende rammeavtaler, eller hvis kostnaden ikke overstiger grensen for kravet om konkurranseutsettelse. Overstiges grensen, må det gjennomføres en anskaffelseskonkurranse.
- Ansvar:
- Den som ønsker at tjenesten/programvaren tas i bruk
- Innkjøpsstøtte på egen enhet eller i økonomiavdelingen
5. Inngå avtaler
- Avklare hvor kostnaden med tjenesten/programvaren skal belastes
- Avklare hvem som skal være avtalepart for HiØ
- Kvalitetssikre avtale og evt. databehandleravtale
- Signere og arkivere avtaler i arkivsystem
- Ansvar:
- Den som ønsker at tjenesten/programvaren tas i bruk
- Budsjettansvarlig for kostnadsstedet hvor tjenesten/programvaren belastes
6. Dokumentasjon, veiledning og opplæring
- Dokumentasjon, veiledning og opplæring av brukere må opparbeides og gjennomføres.
- Ansvar:
- Den som ønsker at tjenesten/programvaren tas i bruk
- Seksjon for brukernære tjenester
Publisert 2. juli 2021 10:18
- Sist endret 14. mai 2024 15:26