IKT- og systemleverandør til barnehage- og skolefeltet

Leverandører som har løsninger som kan være av interesse for Bergen kommune, kan ta kontakt med Etat for skole eller Etat for barnehage. Etatene vil da gjøre en vurdering av om leverandørene kan få presentere informasjon om sine IKT-løsninger.  

Som hovedregel blir IKT-løsninger anskaffet gjennom konkurranse, basert på behov og krav fra Bergen kommune.

I anskaffelsene vil det stilles en rekke krav til blant annet universell utforming og personvern og informasjonssikkerhet. Vi har samlet noen av  kravene vi stiller på disse områdene. 

I tillegg kan det være aktuelt å stille krav til funksjonalitet som statistikk og sammenstilling av data, servicenivå og samhandling i avtaleperioden. Det kan også være behov for opplæringsressurser, samt brukerveiledning og brukerdokumentasjon i flere format (dokument, video, nettside). 

Kommunens leverandører må ha nødvendig kompetanse og forståelse for ansvaret og pliktene som følger av GDPR, samt andre relevante lover og retningslinjer. Dere må også dokumentere at dere har denne kompetansen og forståelsen.

I arbeidet med anskaffelser gjennomfører vi en risiko- og sårbarhetsanalyse (ROS) og en personvernkonsekvensvurdering (DPIA) i samarbeid med leverandør.

Forutsetninger og tiltak i prosessen:

1. Bergen kommune er behandlingsansvarlig i tilfeller der elever og ansattes personopplysninger behandles i en digital tjeneste som brukes i opplæringen på vegne av kommunen. Kommunen bruker egen mal for databehandleravtale.
2. Innebygget personvern og personvernprinsippene skal være viktig i utvikling og bruk av tjenesten. For eksempel: 
   • Lovlighet og formålsbegrensning: Det er kommunen som er ansvarlig for å definere formål og behandlingsgrunnlag i alle tilfeller hvor vi er behandlingsansvarlig. Viderebehandling av personopplysninger og/eller behandling av personopplysninger til eget formål, kan ikke skje uten tydelig instruks fra kommunen. Dette inkluderer analysedata til utviklingsformål. 
   • Dataminimering: Vi behandler kun opplysninger om våre elever, deres foreldre/foresatte og våre ansatte som er helt nødvendig. Kommunen og leverandør må sammen jobbe for å få til dette. For eksempel: Dersom det eneste behovet til tjenesten er å verifisere om en bruker er tilknyttet en skole med aktiv lisens, og ønsker å lese data fra feidekatalogen, er det kun nødvendig å lese attributter relatert til brukerens organisasjonstilknytning og/eller skoleliste.
   • Lagringsbegrensning: Leverandør må legge til rette for krav om sletting som stilles i databehandleravtalen. Dersom anonymisering benyttes, må leverandør beskrive valgt metode i detalj og gi tilstrekkelig garanti for at det ikke er risiko for re-identifisering. 
   • Ansvarsprinsippet: Leverandør må bidra og legge til rette for at kommunen kan ivareta sitt ansvar etter GDPR, blant annet ved å legge fram nødvendig dokumentasjon til kommunens gjennomføring av ROS og DPIA. 
3. Leverandør må på forespørsel kunne levere: 
   • en oversikt over behandlingsaktiviteter og personopplysninger som samles/kan samles inn i systemet, inkludert metadata, informasjonskapsler og sporbarhet
   • oversikt over ulike roller i verktøyet og hvordan tilgangsstyring reguleres
   • muligheter for automatisk og manuell sletting 
   • en tegning av teknisk infrastruktur og en beskrivelse av hvordan verktøyet er designet for å støtte innebygget sikkerhet
   • dokumentasjon om styringssystem for informasjonssikkerhet og personvern
   • dersom verktøyet bruker kunstig intelligens, må leverandør levere en risikovurdering av dette
   • oversikt over lokasjon for datalagring (personopplysninger skal bare overføres til land innenfor EØS-området, eller til tredjeland eller internasjonale organisasjoner dersom det foreligger et gyldig overføringsgrunnlag)
   • informasjon om verktøyet støtter feide-pålogging og en oversikt over andre eventuelle påloggingsmekanismer. Alle tjenester til bruk i opplæringen som behandler personopplysninger og gjør brukergenerert innhold mulig, skal fortrinnsvis autentisere bruker via Feide. For ansatte kan autentisering og tilgangsstyring håndteres ved hjelp av AzureAD/Mircosoft SSO.

Alle digitale læringsressurser brukt i grunnopplæringen skal svare til kravene om universell utforming - om å gjøre webinnhold tilgjengelig for personer med ulike typer funksjonsnedsettelse. Se Bergen kommunes krav til leverandører.