Nye personvernregler kommer i mai – Difi tilbyr veiledninger og kurs

Anbud365: Nye personvernregler kommer i mai - Difi tilbyr veiledninger og kurs- Vi har nylig publisert en oppdatert versjon av avtale for kjøp av skytjenester (SSA-L) og vi har oppdatert avtaletekst og veiledning slik at dette er i samsvar med kravene i de nye personvernreglene, sier opplyser seksjonssjef Bente Hagelien i Difi til Anbud365.

Skriv ut artikkelen

I mai i år blir GDPR – EUs personverndirektiv – noe som det må tas hensyn til i norske offentlige anskaffelser. Da gjennomføres direktivet i norsk rett. Til hjelp og støtte for så vel innkjøpere som leverandører er Difi i gang med veiledningsmateriell. Krav til personvern vil også være tema i en kursrekke vi skal gjennomføre om kjøp av skytjenester, opplyser seksjonssjef Bente Hagelien i Difi til Anbud365.

Anbud365 har i det fått meldinger fra så vel innkjøps- som leverandørsiden med spørsmål om hva det nye personverndirektivet (GDPR) får å si for gjennomføring av anskaffelser i det offentlige. Dette gjelder ikke hvorledes den enkelte virksomhet skal ordne seg internt, men hvilke krav man kan stille i en konkurranse – kvalifikasjons- og evalueringsfasen, hva med en standardisering, forholdet til ESPD og EHF osv.

Vi rettet derfor spørsmålet til Difi –  kommer det veiledning eller annen hjelp for innkjøpere og leverandører når det gjelder GDPR og offentlige anskaffelser. Personverndirektivet skal vel etter planen tre i kraft i form av norsk lovgivning 25. mai i år, hvis ikke ikrafttredelsen blir utsatt.

Difi med veiledning

Seksjonssjef Hagelien i Difi sier at de ser at dette er en viktig problemstilling som mange innkjøpere og leverandører er opptatt av, og:

–  I veiledningen vår om kjøp av skytjenester har vi laget en kort veiledning om krav til personvern. Denne veiledningen vil bli videreutviklet i løpet av året, slik at det blir enda tydeligere hva de nye reglene (GDPR) betyr for IKT-anskaffelser.  Krav til personvern vil også være tema i en kursrekke vi skal gjennomføre om kjøp av skytjenester. Vi har nylig publisert en oppdatert versjon av avtale for kjøp av skytjenester (SSA-L) og vi har oppdatert avtaletekst og veiledning slik at dette er i samsvar med kravene i de nye personvernreglene. Vi planlegger også tilsvarende endringer i de andre SSA’ene der det er relevant, opplyser seksjonssjef Hagelien.

En rekke typer anskaffelser

Ifølge meldingene som er kommet til Anbud365, er det en rekke typer anskaffelser som omfatter en eller annen form for håndtering av personopplysninger. Det kan dreier seg om ulike sky-tjenester (datalagring), reiser eller tjenester som ellers settes ut til leverandører. Hva slags krav kan man – er det mulig å – stille til leverandørene?

Problemstillingene gjelder gjennom hele prosessen fra valg av formuleringer og krav til konkurransegrunnlaget til kontraktsgjennomføringen. Ikke minst er det et spørsmål om dokumentasjonskrav. Holder det å motta en erklæring fra leverandør om at vedkommendes håndtering av personopplysninger er i pakt med GDPR-direktivet, f.eks. som en del av ESPD-skjemaet? Kan dette stilles som absolutte krav, minstekrav? Kravene må også stilles slik at leverandørene forstår dem – og sett med leverandørøyne vil selvsagt en standardisering være effektivt å forholde seg til.

Avvisning?

Kanskje, er det en som spør, kan det trenges et eget sertifikat eller lignende – i visse anskaffelser, som dokumenterer etterlevelsen av GDPR. Hva skal til for eventuelt å kunne avvise en leverandør?

Etter henvendelsene å dømme er det en form for «beste praksis» som etterlyses.

Bli den første til å kommentere på "Nye personvernregler kommer i mai – Difi tilbyr veiledninger og kurs"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.