Før virksomheten setter i gang med å anskaffe og ta i bruk en skytjeneste som behandler helse- og personopplysninger, må virksomheten blant annet ta stilling til om formålet ved behandlingen kan oppnås ved bruk av en skytjeneste og om virksomheten er organisert og utstyrt for å håndtere den. Man må identifisere og forstå fordelene, risikoen og fallgruvene som er knyttet til skyløsningen.
Har virksomhetene kompetanse til å planlegge og implementere skyløsningen? Vet man som vil skje med hensyn til personvern og informasjonssikkerhet? Har du de riktige sikkerhetstiltakene på plass? Å svare på disse spørsmålene på forhånd er viktig for en vellykket overgang til skyen.
Det er viktig å sette seg inn i skyleverandørens standardbetingelser i forbindelse med gjennomføringen av anskaffelsen for å se om det er avvik mellom kravene som settes til sikkerhet og de aktuelle standardbetingelsene.
Kravstilling og nødvendige sikkerhetstiltak ved bruk av leverandører skal bygge på en risikovurdering. Risikovurderingen skal alltid omfatte scenarioer som omfatter leverandørens autoriserte og ev. uautoriserte tilgang til helse- og personopplysninger og annen taushetsbelagt informasjon.
I forbindelse med anskaffelsesprosessen, kan oppdragsgiver benytte en prosessform der det er mulig å gå i dialog med leverandøren for å oppnå enighet om hvordan risikoen skal håndteres i avtalen.
Dersom tjenestene inngår som (en del av) grunnleggende nasjonale funksjoner, må virksomheten blant annet følge sikkerhetslovens krav til sikkerhetsgraderte anskaffelser (kap. 9), forebyggende sikkerhetsarbeid (kap. 4) og informasjonssikkerhet (kap. 5).
Virksomheten skal sikre at relevante sikkerhetskrav inngår i alle anskaffelser. Virksomheten skal sørge for at den har tilstrekkelig bestillerkompetanse tilgjengelig. Det vil være nødvendig med riktig kompetanse for kravstilling, vurdering, oppfølging og kontroll av løsning/leverandør. Dette vil blant annet inkludere teknisk, juridisk, merkantil, helsefaglig og innkjøpskompetanse.
For ressurser om anskaffelse av skytjenester, se Markedsplassen for skytjenester (dfø.no).
Anskaffelsesprosessen legger grunnlaget for hele avtaleforholdet med skyleverandøren, herunder hvordan avtaleforholdet skal følges opp, kontrolleres og eventuelt evalueres. For å gjøre leverandøroppfølgingen så effektiv som mulig, må dette legges til rette for. Se mer om krav og spørsmål dataansvarlig som kan stilles til skyleverandøren
