Direktupphandling av extern visselblåsartjänst

Inledning

Uddevalla kommun genomför en direktupphandling av extern visselblåsartjänst och inbjuder härmed till att lämna anbud enligt detta upphandlingsdokument.   

Uddevalla kommun är belägen i Bohuslän, 8 mil norr om Göteborg. Folkmängden i kommunen uppgår för närvarande till ca 57 000 invånare. Kommunen har ungefär 4 800 tillsvidareanställda, fördelade på fem olika förvaltningar. Kommunens verksamheter utgörs av socialtjänst, barn- och utbildning, kultur och fritid, samhällsbyggnad samt kommunledningskontor.

Uddevalla kommun är certifierat enligt miljöledningssystemet ISO 14001, samt har en miljöpolicy som anger att Uddevalla kommun ska medverka till en ekologiskt, socialt och ekonomiskt hållbar utveckling. Hållbarhetsaspekter ska integreras i allt beslutsfattande och i all verksamhet inom alla enheter. Detta innebär att upphandling och inköp i så stor utsträckning som möjligt ska präglas av ett hållbarhetstänk.

Allmän information

Lag (2021:890) om skydd för personer som rapporterar om missförhållanden (”visselblåsarlagen”) trädde i kraft den 17 december 2021. Lagen innebär bland annat att såväl privata som offentliga arbetsgivare som har 50 eller fler arbetstagare är skyldiga att ha interna rapporteringskanaler. Uddevalla kommun har I nuläget en egenutvecklad applikation med intern mottagnings- och utredningsfunktion. Kommunen avser att övergå till en extern mottagningsfunktion och extern initial bedömning samt möjlighet att avropa externa fördjupade utredningar av visselblåsarärenden.

Obligatoriska krav på tjänsten

Tjänsten omfattar en rapporteringskanal för visselblåsning som ska uppfylla kraven enligt Lag (2021:890) om skydd för personer som rapporterar om missförhållanden (”Visselblåsarlagen”).

Processbeskrivning

Önskad process kan i korthet beskrivas enligt följande:

En anmälan kommer in. Leverantör handlägger ärendet i syfte att bedöma om ärendet fyller kriterierna för visselblåsning eller ej. Bedömningen ska motiveras och följas av rekommenderade utredningsåtgärder. Bedömningen ska delges kommunen som sedan beslutar sedan om ärendet ska avslutas eller utredas vidare. Kommunen avgör om ett ärende ska utredas av kommunen, av leverantören eller av annan. Kommunens beslut samt bedömning ska kommuniceras till uppgiftslämnaren via leverantören.

Rapporterings- och handläggningssystem

Leverantören ska ta emot anmälningar skriftligt digital eller fysiskt (t.ex. på papper), samt muntligt via telefonsamtal och vid ett fysiskt möte inom skälig tid. Leverantören ska tillhandahålla ett system för digital rapportering. I samma system ska också all dokumentation ske i de fall anmälan inkommit i annan form. Systemet ska nås av rapportören via en länk på kommunens webbplats samt intranät som leder till leverantörens webbplats där också information om de övriga tillgängliga rapporteringssätten finns. All leverans av dokumentation mellan leverantören och kommunen ska ske via systemet. Systemet ska också kunna användas av kommunen för kommunens egen dokumentation av vidtagna beslut och utredningsåtgärder. Leverantören ska ha ett samlat ansvar för införande, drift tillhandahållande, funktionalitet, support och utveckling av systemet. Leverantören ska kunna erbjuda att genomföra hela eller delar av visseblåsarutredningar. Leverantören ska ha erforderliga och dokumenterade kunskaper och erfarenheter för att kunna genomföra mottagning av samt utredning av visselblåsarärenden som uppfyller lagens krav. Leverantören ska lämna en allmän presentation av företaget, gärna med vikt på den del av företaget som ska utföra uppdrag åt kommunen, med utgångspunkt i hur denna säkerställer att ställda krav uppfylls.

Informationssäkerhet

Vid anbudet ombedes anbudsgivaren att specifikt redogöra för följande två frågor:

1) Kommer någon data/information att lagras, hanteras, analyseras eller på annat sätt komma att behandlas utanför Sverige (Även EU) och i så fall i vilket land?

2) Finns det några underleverantörer eller supportavtal, där underleverantören/supportavtalet är lokaliserat utanför Sverige?

I övrigt ställs följande krav avseende leverantörens arbete med informationssäkerhet:

* Leverantören ska ha dokumenterade rutiner för distansarbete.

Informationsbehandlingen ska vara lika säker på distans som den är vid behandling på leverantörens arbetsplats.

* Leverantören ska ha processer och rutiner på plats för relevant bakgrundskontroll av personal.  

* Leverantören ska ha avtal om tystnadsplikt med sina anställda.Tystnadsplikten ska omfatta information om leverantörens kunder.   

Via avtal ska leverantören även säkerställa tystnadsplikt för underleverantörer.

Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag.

* Leverantören ska för sin personal varje halvår genomföra utbildningar för ökad medvetenhet kring informationssäkerhet

samt hålla sig uppdaterad kring beställarens policys, regler och rutiner.

* Leverantören ska ha en tydlig och disciplinär process med åtgärder för anställda som har brutit mot informationssäkerhetsregler.

* Leverantören ska till personalen ha kommunicerat de ansvar och skyldigheter som förblir gällande efter ändring eller

av slut av anställning. Personalen ska ha skrivit under en ansvarsförbindelse avseende detta.

* Leverantören ska ha dokumenterade regler, rutiner och roller som beskriver tillåten användning av de resurser (t.ex.arbetsdatorer, 

bärbara datorer eller mobila enheter) som ingår i leveransen. Leverantören ska årligen kontrollera att de efterlevs.

* Leverantören ska ha rutiner och funktioner för att återlämna beställarens fysiska och elektroniska tillgångar då anställning, uppdrag 

eller avtal upphör. Leverantören ska på begäran kunna uppvisa underlag på att så skett.

* Leverantören ska följa beställarens rutiner och processer för informationsklassning samt tillämpa relevanta säkerhetsåtgärder.

* Beställarens krav på informationshanteringen ska efterföljas i relation till beställarens informationsklassning. Om sådana krav inte 

ställts ska leverantören utan anmodan kunna uppvisa de rutiner som gäller hos leverantören för hantering av beställarens tillgångar.

* Leverantören ska ha en formell och dokumenteras process för hur användaridentiteter hanteras (registrering och avregistrering). 

Leverantören ska säkerställa att användaridentiteterna hos leverantör och beställare är personliga och unika över tid.

* Leverantören ska följa en överenskommelse för användaråtkomst till beställarens system, tjänster och information. Endast behöriga 

och enligt överenskommelsen godkända individer ska inneha åtkomst. Hanteringen ska vara spårbar och redovisas för beställaren  enligt överenskommelse, minst årligen.

* Leverantören ska använda särskilda personliga användaridentiteter för systemadministration. Dessa konton ska vara spårbara och 

lätta att skilja från vanliga användare. Leverantören ska ha särskilda säkerhetsåtgärder kopplade till systemadministration.  (Exempelvis tidsbegränsade behörigheter eller striktare autentisering) 

* Leverantören ska på ett säkert sätt distribuera, lagra och återställa autentiseringsinformation (exempelvis lösenord) utan att det kan 

röjas till obehöriga. Autentiseringsinformation får ej lagras i klartext (gäller även systemkonton i källkod).

* Leverantören ska granska sina användares åtkomsträttigheter halvårsvis, Obehöriga eller användare som inte längre behöver  åtkomst ska tas bort. Förändringar av åtkomsträttigheter ska dokumenteras av Leverantören och ska vid begäran tilldelas till  beställaren.

* Leverantören ska ha en rutin för att permanent ta bort användaridentiteter från information, tjänster och system, vid avslutande 

av anställning, avtal eller uppdrag. Kontroll av efterlevnad ska ske årligen.

* Leverantören ska för sin personal ha fastställda regler för hur autentiseringsinformation ska skyddas och hanteras.

* Leverantören ska ha systemfunktioner för att begränsa åtkomst till information. Behörigheterna ska tilldelas enligt principen  där minsta möjliga behörighet tilldelas utifrån en användares roll och arbetsuppgifter. Detta gäller även konton som används  vid kommunikation mellan systemkomponenter samt priviligierade konton. Endast information eller tjänster som ska vara publika ska  kunna nås i system utan godkänd autentisering. 

* Leverantören ska tillse att autentiseringen till beställarens information, tjänster och system ska vara flerfaktorsbaserad i enlighet  med kraven som följer av ELN0700.  

Endast utfärdare godkända av E-legitimationsnämnden (minst nivå 3) eller anslutna inom eIDAS (minst nivå substantiell)    rekommenderas.

* Leverantören ska tillse att information, tjänster och system har funktioner för att kunna kravställa autentiseringsinformation (pinkod,  lösenord etc.) vad gäller komplexitet, längd och livslängd.

* Leverantören ska skydda och tillse att det finns spårbarhet i de verktyg som avses för underhåll och säkerhetskonfiguration  för information, tjänster och system.

* Leverantören ska tillse att källkod framtagen i egen utveckling skyddas från obehöriga förändringar. Källkod ska deponeras på ett  sådant sätt att beställaren garanteras tillgång om leverantören inte uppfyller sina avtalade förpliktelser.

* Leverantören ska ha rutiner för kryptering där val av algoritmer, protokoll och nyckellängder samt hantering av krypteringsnycklar  framgår.

* Leverantören ska tillse att fysiska avgränsningar är definierade och tillämpade för skydd av områden med känslig eller kritisk  information. Om det avser en datahall eller motsvarande ska leverantören tillse att den uppfyller minst skyddsnivå 3 ("datahall" enligt  MSB "Vägledning för fysisk informationssäkerhet

i it-utrymmen") eller likvärdigt.   

* Leverantören ska ha rutiner som säkerställer att endast behörig personal har fysisk åtkomst till områden med konfidentiell  information, exempelvis en datahall.

* Leverantören ska dokumentera ansvar för driftsrutiner och göra de tillgängliga för användare som behöver dem.

* Leverantören ska ha rutiner för att planera, genomföra och dokumentera alla förändringar som påverkar leveransens säkerhet. 

Större förändringar ska följas upp, kontrolleras och redovisas minst årligen för beställaren.

* Leverantören ska ha funktioner, processer och rutiner för att övervaka och göra prognoser avseende framtida krav på  systemprestanda.

* Leverantören ska testa samtliga leveranser i separat testmiljö innan de införs i beställarens driftmiljö (produktion).

Testdata ska skyddas, kontrolleras och får inte innehålla information som är känslig eller omfattas av sekretess.

* Leverantören ska skydda mot skadlig kod. Det genom att ha säkerhetsåtgärder som inbegriper följande områden: förebygga,  upptäcka, hantera och återställa Säkerhetsåtgärderna ska ses över minst årligen.

* Leverantören ska ha rutiner och funktioner för säkerhetskopiering och återställande av information enligt överenskomna  tillgänglighetskrav med beställaren. Säkerhetskopior ska skyddas på motsvarande sätt som originalinformationen. De ska förvaras  på annan plats och på tillräckligt avstånd för att inte utsättas för eventuella skador vid katastrof på det ordinarie driftstället.

* Leverantören ska tillse att information, tjänster och system har loggningsfunktioner för säkerhetsrelaterade händelser, minst  för felaktiga inloggningar, förändring av behörigheter, otillåten anslutning samt överträdelser av behörigheter. Loggning ska ske i  samråd med beställaren. Leverantören ska aktivt använda loggarna för att upptäcka och hantera incidenter. Beställaren ska kunna  genomföra granskning av loggar vid behov.

* Leverantören ska skydda loggningsfunktioner och loggningsverktyg mot manipulation och obehörig åtkomst som även omfattar  leverantörens personal.

* Leverantören ska tillse att information, tjänster och system, samt relaterad infrastruktur använder tidssynkronisering mot en och  samma tidskälla (GPS eller svenska UTC (SP)).

* Leverantören ska verifiera och begränsa den mjukvara som får installeras på driftsystem.

* Leverantören ska bedriva ett kontinuerligt arbete för att identifiera sårbarheter och utan dröjsmål informera en utpekad funktion hos  beställaren om de kan innebära ett hot för beställarens information, tjänster och system. Upptäckta sårbarheter ska åtgärdas  omgående.   

* Leverantören ska säkerställa att all kommunikation till och från system, tjänster eller information ska vara skyddad mot obehörig  åtkomst eller förvanskning. Det avser kommunikation mellan klient och server och mellan olika systemkomponenter. Skyddet ska  uppdateras löpande utifrån kända sårbarheter.

* Leverantören ska tillhandahålla en (logisk eller fysiskt) separerad kundmiljö inklusive behörighetskontrollsystem, loggar och lagring  för varje kund.

* Leverantören ska följa en överenskommelse med beställaren angående krav för informationsöverföring.

* Leverantören ska ha fastlagda och dokumenterade principer och metoder för utveckling av säkra tjänster och system. Vid utveckling 

av webbapplikationer eller tillhandahållande av tjänster över publika nätverk ska OWASPs (www.owasp.org) rekommendationer följas. 

* Leverantören ska ha infört säkerhetsåtgärder som skyddar information i programtjänster på publika nätverk mot obehörig åtkomst  och obehörig ändring. Vid utveckling av mobila appar ska OWASP Mobile App Security Checklist följas.

* Leverantören ska ha riktlinjer för systemförändringar som avser informationssäkerhet inom sina utvecklingsprocesser. Vid större  ändringar ska leverantören identifiera och hantera risker som säkerställer att säkerhetskraven i system eller tjänster är uppfyllda.

* Leverantören ska ha rutiner för att granska och testa tillgänglighet och säkerhet efter ändringar i verksamhetskritiska 

driftsplattformar.

* Leverantören ska ha riktlinjer och instruktioner om beställaren avser att göra egna förändringar i programpaket.

* Leverantören ska övervaka och styra systemutveckling som är utlagd till en underleverantör.   

* Leverantören ska följa beställarens rutiner och processer för åtkomst till organisationens tillgångar.

* Leverantören ska ha dokumenterade rutiner för övervakning, upptäckt, analys, rapportering, eskalering, hantering av  säkerhetshändelser och säkerhetsincidenter. Om incidenten i någon mån påverkar beställaren så ska beställaren inkluderas i dessa  rutiner.

* Leverantören ska bedöma och besluta ifall en informationssäkerhetshändelse ska klassas som en informationssäkerhetsincident.

Om händelsen i någon mån påverkar beställaren så ska beställaren inkluderas i detta beslut.

* Leverantören ska ha rutiner för att hantera säkerhetsincidenter enligt gällande lagar och förordningar. Om incidenten i någon mån  påverkar beställaren så ska en överenskommen och utpekad funktion hos beställaren inkluderas i dessa rutiner. Rutinerna ska  granskas årligen.  

* Leverantören ska ha reservrutiner, reservlösningar och återstartsplaner som uppfyller beställarens krav på tillgänglighet (SLA). 

* Leverantören ska löpande och i samråd med beställaren arbeta för att leveransen i alla lägen följer de aktuella lagar, förordningar,  regler och föreskrifter som ställs på beställarens verksamhet.

* Leverantören ska utveckla och införa regler för skydd av personuppgifter med stöd i lagar och förordningar. Dessa regler ska

kommuniceras till medarbetare hos leverantören som berörs av leveransen som hanterar personuppgifter. 

* Beställaren ska i samråd med leverantören ha rätt att genomföra säkerhetsrevisioner av ingående delar i leveransen.

* Leverantören ska begära tillstånd innan information i system (texter, bilder etc.) eller tjänster återanvänds i andra sammanhang. 

Datatekniska krav på extern visselblåsartjänst

- Ska driftas som en molntjänst.

- Tjänsten ska ha säker inloggning med av DIGG godkänd e-legitimation för administratörer.

- Kommunikation i tjänsten ska vara krypterad

- Tjänsten ska gå att använda på utrustning definierad i Uddevallas Datatekniska miljö (Se bilaga)

- Leverantören ska bifoga ett förslag på SLA. (Bifoga fil eller fritextfält).

- Tjänsten ska uppfylla kraven i lagen om tillgänglighet till digital offentlig service och uppfylla WCAG 2.1 standard.

(Information om Uddevalla kommuns datatekniska miljö finns att läsa i bifogad bilaga med samma namn)

Referens på önskad tjänst

På begäran av Köparen ska minst två referenser lämnas. Referensuppdragen ska visa att Leverantör har förmåga och erfarenhet av att leverera likvärdig tjänst som efterfrågas. Referensen kan komma att kontaktas med frågor för att bekräfta att Leverantören har kapacitet att utföra uppdrag åt kommunen.

Avtalstid

2024-02-20--2027-02-20, ( justerat datum vid avtalsets tecknande) 3 år från avtalsskrivande med option om förlängning på ytterliggare 1år (12 mån) med samma förutsättningar som avtalet anger.

Leveransdag

2024-04-01 Tjänsten skall vara satt i bruk den 1 april 2024.

Pris 

Pris ska anges i SEK exklusive moms. I angivet pris ska ingå alla kostnader för förberedelser, eventuella resor, traktamenten, utbildning m.m. Inga övriga kostnader får tillkomma.

Priset skall anges i uppdelad form enligt nedan:

1) Totalpris för system ( införande drift, tillhandahållande, funktionalitet, support och utveckling) samt initial bedömning av inkomna ärenden samt all administration kring detta. Prisange var del för sig samt sumerat totalpris.

2) Timpris för fördjupad utredning visselblåsarärenden

Krav på anbudsgivaren

Anbudsgivaren ska uppfylla lagenligt ställda krav avseende skatt och avgiftsskyldigheter samt vara registrerad för moms och F-skatt. Uppfyllnad av detta krav kontrolleras av Uddevalla kommun.

Anbudsgivaren ska, vid anbudsinlämnande och under hela avtalsperioden, ha implementerade rutiner eller policy för systematiskt kvalitetsarbete som minst innehåller kvalitetsansvarig, rutiner för avvikelsehantering, rutiner för dokumentstyrning samt rutiner för egenkontroll. Anbudgivaren ska på begäran inkomma med beskrivning av sitt kvalitetsarbete där ovan angivna delar ingår. Om anbudsgivaren har ett giltigt certifikat enligt ISO 9001 eller likvärdigt kan sådant certifikat istället tillhandahållas.

Anbudsgivaren ska, vid anbudsinlämnande och under hela avtalsperioden, ha implementerade rutiner eller policy för systematiskt miljöarbete som minst innehåller miljöansvarig, rutiner för avvikelsehantering samt rutiner för egenkontroll.

Anbudsgivaren ska på begäran inkomma med beskrivning av sitt miljöarbete där ovan angivna delar ingår. Om anbudsgivaren har ett giltigt certifikat enligt ISO 14001 eller likvärdigt kan sådant certifikat istället tillhandahållas.

Arbetsrättsliga villkor

Enligt Uddevalla kommuns riktlinjer för direktupphandling ska köp i första hand göras från företag som tillämpar arbetsvillkor motsvarande vad som följer av ett för branschen centralt kollektivavtal beträffande lön, arbetstid och semester

Anbudsgivaren ombeds därför att i anbudet uppge:

- Om sådana arbetsvillkor tillämpas

- Om svaret är ja, ange vilket för branschen centralt kollektivavtal som arbetsvillkoren avseende lön, arbetstid och semester motsvarar.

Anbudsprövning

I bedömningen av anbuden ingår den sammanlagda kompetens (relevant erfarenhet och utbildning) som erbjuda, referensuppdragens relevans, beskrivning av tjänstens upplägg och prisbild.

Samtliga anbud som inte bedöms lämpliga eller där kostnaderna överstiger förväntad prisnivå kan komma att förkastas. Förhandling kring anbudets innehåll kan komma att genomföras.

Krav på anbudet

Anbudet inklusive bilagor ska vara skrivet på svenska. Enstaka bilagor, t ex produktblad, CV, försäkringsbesked eller broschyrer kan vara skrivna på engelska eller skandinaviska språk. Leverantören ska på begäran från den upphandlande myndigheten översätta dessa bilagor till svenska. Det ska ske av auktoriserad översättare inom tio arbetsdagar från begäran.

Information om sanktioner mot Ryssland

EU har beslutat om sanktioner mot Ryssland och Belarus till följd av Rysslands aggression mot Ukraina. Dessa sanktioner påverkar de upphandlande organisationer och offentliga upphandlingar på flera olika sätt: 

- Förbud mot att göra betalningar med mera till vissa uppräknade personer och organisationer (frysning av tillgångar) 

- Förbud mot att importera, köpa och transportera vissa uppräknade varor (importförbud) 

- Förbud att tilldela och fullgöra offentliga kontrakt med ryska aktörer. 

Leverantören kommer att uteslutas om leverantören är föremål för någon av de omständigheter som anges i dessa sanktioner. 

Sista anbudsdag

Anbud ska ha inkommit till den upphandlande myndigheten via TendSign senast 2024-01-18. 

Frågor och svar

Frågor under anbudstiden ska ställas skriftligen via frågor- och svarsfunktionen, där även svar på frågor lämnas. Sista dag att inkomma med frågor är tre (3) dagar före sista anbudsdag, dvs senast 2024-01-15

Anbudets giltighetstid

Anbudet ska vara giltigt minst 3 månader från sista anbudsdag.

Bilaga till anbudsförfrågan

- PUB avtal (personuppgiftsbiträdesavtal) för godkännande

- Uddevalla kommuns datatekniska miljö (UDM)