| Table of Contents |
|---|
...
På vegne af OS2valghalla-samarbejdet annoncerer Foreningen OS2 - offentligt digitaliseringsfællesskab opgaven for hosting af løsningen applikationen OS2valghalla. Vi inviterer udvalgte leverandører til at byde på opgaven, som beskrives i det følgende. Tildeling af opgaven til leverandør sker på markedsmæssige vilkår efter indhentning af tilbud.
...
OS2valghalla-samarbejdet under OS2 - offentligt digitaliseringsfællesskab benævnes også som kunden.
Kommuner, som benytter løsningen omtales benævnes også som anvendere.
Leverandør, der skal varetage hosting af OS2valghalla benævnes Leverandør eller Driftsleverandør. Dette sker for at skelne mellem opgaverne med drift/hosting og udvikling, da den sidste opgave senere annonceres på en anden aftale.
Spørgsmål og dialog
Dialog er meget velkommen - særligt i forhold til dele af aftalen, som medfører høje udgifter, da der måske kan reguleres på krav. Spørgsmål kan stilles til OS2valghallas produktkoordinator Mogens Kjeldsen på mail movk@aarhus.dk eller tlf. 4187 3357, senest XX.09.2023 kl. 12.
...
De samarbejdende kommuner har besluttet at oprette et driftsfællesskab via OS2. Ved at have en samlet aftale om hosting med en driftsleverandør leverandør ønsker man at stabilisere driften og opnå fordele ved en samlet aftale med samlet administration og lignende.
...
NemLog-in benyttes som MitID-broker. Der skal indgås aftale mellem Digitaliseringsstyrelsen og de deltagende kommuner om brug af NemLog-in. På , som på den måde kan NemLog-in benyttes benyttes gratis. Kunden vil bistå i udarbejdelse af skabelon til ansøgning og risikovurdering.
...
OS2valghalla kan sende SMS via en fælles SMS-gateway, som benyttes af alle tenants. Leverandøren skal levere egen eller dansk underleverandørs SMS-gateway som en del af aftalen og med under hensyn til behandling af persondata og bedste priser. I den forbindelse er det op til Leverandøren at tilrette OS2valghallas kildekode, så den fungerer med den valgte SMS-gateway.
Mailserver
OS2valghalla kan sende mail. Leverandøren skal derfor levere en mailserver som del af aftalen. Konfiguration af denne efter best practice er afgørende for at undgå, at mails fra OS2valghalla kategoriseres som spam. Erfaringen fra tidligere version af OS2valghalla er, at dette kan være en udfordring for et system, som kun udsender mails i begrænsede perioder og med store mellemrum. Det er Leverandørens ansvar, at mails ikke blacklistes, så de faktisk når frem til deltagerne.
Arkitekturtegning
Integrationerne er illustreret i denne arkitekturtegning:
...
OS2valghalla gemmer en logfil pr. kommune en gang i døgnet. Hver enkelt kommune skal have mulighed for at få adgang til logfilen sin egen logfil til videre stikprøvekontrol og analyse i egne værktøjer.
Behandling af persondata
Behandling af persondata skal ske af databehandlere og eventuelle underdatabehandlere i EU, EØS eller et tredjeland, Dette skal tilbydes via SFTP for de kommuner, som ønsker det. Antal kendes ikke på nuværende tidspunkt, men forventes at stige over tid som flere kommuner implementerer SIEM-systemer.
Behandling af persondata
Behandling af persondata skal ske af databehandlere og eventuelle underdatabehandlere i EU, EØS eller et tredjeland, der er erklæret sikkert i henhold til GDPR art. 45. Herudover må databehandleren og eventuelle underdatabehandlere ikke være koncernforbundet med moderselskaber i ikke-sikre tredjelande, f.eks. USA.
...
Som udgangspunkt indgås der en fælles databehandleraftale for alle de kommuner, der er medlem af ”Det fælleskommunale Databehandlersekretariat” (DBS). Aftalen laves med afsæt i sekretariatets skabelon. Det vil også være DBS der varetager årlig revision for disse kommuner.
For de kommuner der ikke medlem af DBS (for nuværende gælder det 7 ud af de 22 medvirkende kommuner) indgås der en direkte aftale mellem kommunen og leverandøren. Også denne bør tage udgangspunkt i DBS' skabelonudgangspunkt i DBS' skabelon.
Revision af databehandling
Det vil også være DBS, der varetager årlig revision for deres medlemskommuner, mens resterende kommuner gør det ifølge egne procedurer.
Leverandør bør kunne levere en ISAE3000 erklæring på sin databehandling for at sikre den lovpligtige gennemsigtighed, så der er mulighed for at føre et godt tilsyn på leverandøren. Er dette ikke muligt, skal Leverandør stille sig til rådighed for kommunernes revision. Dette kan inkludere fysisk adgang til faciliteter.
Karakter af persondata
OS2valghalla indeholder følsomme personoplysninger, da der gemmes oplysning om nogle deltageres politiske overbevisning.
...
I peak perioder ønskes der mulighed for at skrue op for driftsmiljøets ressourcer, så det kan imødekomme den forøgede aktivitet i systemet. Dette skal ske på opfodring af kunden ved valgudskrivelsen på ikke-planlagte valg og 6 uger inden planlagte valg. Etableringen af driftsmiljøets forøgede ressourcer skal ske indenfor 12 timer af kundens henvendelse.
Anbefalede ressourcer
I peak perioder er de anbefalede ressourcer:
4 vCPUs
...
16GB RAM
...
200GB HDD (SSD eller hurtigere teknologi)
Oppetid og genetablering
I peak perioder ønskes der en oppetid på 99.9% hele døgnet og mulighed for genetablering af fuld funktionalitet indenfor 1 time imellem 06:00 og 00:00.
...
I perioder med normal drift ønskes der mulighed for at skrue ned for driftsmiljøets ressourcer, så det kan imødekomme den mindre aktivitet i systemet. Dette skal ske på opfodring af kunden. Reducering af driftsmiljøets ressourcer skal ske indenfor 12 timer af kundens henvendelse.
Anbefalede ressourcer
I perioder med normal drift er de anbefalede ressourcer:
2 vCPUs
...
4GB RAM
...
100GB HDD (SSD eller hurtigere teknologi)
Oppetid og genetablering
I perioder med normal drift ønskes en oppetid på 99% indenfor normal arbejdstid og mulighed for genetablering af fuld funktionalitet indenfor 8 timer indenfor normal arbejdstid.
...
Det forventes, at leverandøren kan levere et driftsmiljø, der lever op til fysiske og digitale sikkerheder, som beskrevet i ISO 27001 , ISO27017 og ISAE 3402og ISO27017 samt instruksen i databehandleraftalen.
Årligt efter endt revision fremsendes revisionserklæring til kunden. Hvis underleverandører udfører databehandling på vegne af Leverandøren, skal der også fremsendes revisionserklæring fra disse. Leverandør bør kunne levere ISAE 3402 erklæring(er) til brug for revision.
Kryptering
Kryptering på alle datastrømme skal være minimum TLS 1.3
...
Penetrationstest
Leverandøren skal kunne indgå i muliggøre en penetrationstest udført af en ekstern part. Penetrationstesten ønskes udført i 2024 for at sikre, at løsningen kører og er beskyttet korrekt i produktion, da det er et nyt system, og der mangles erfaring med produktionsmiljøet.
...
Basisimplementering: installation, konfiguration og opsætning af integrationer
Integrationstest mod fællesoffentlig infrastruktur med en enkelt kommune (ekskl. udviklingstimer til eventuel nødvendig tilretning af koden, da denne vil blive udført af udviklingsleverandør)
Engangsbeløb for installation og opsætning pr. kommune
Skal dække udgifter til dialog med kommune, oprettelse og konfiguration af tenant og lignende
Årlig samlet hostingpris baseret på antallet af tilsluttede kommuner
Der forventes i tilbuddet en skaleringsmodel, der tager højde for, at det er billigere at drifte systemet for mange kommuner på én gang. Forstået på den måde, at hostingprisen pr. ny tilsluttet kommune fx er lavere ved 40-50 kommuner end ved 20-30 kommuner. Trin kan fx være i 10 kommuner ad gangen.
Prisen for afsendelse af SMS-beskeder op til 30.000 beskeder ønskes inkluderet i den årlige hostingpris. Beskeder udover dette ønskes afregnet efter forbrug, som bedes angivet separat.
Timepris for udført arbejde udover det inkluderede:
Support
Udvikling
...