Leverandør af IT

Vi har i Lolland Kommune stort fokus på brugerstyring ved adgang til vores systemer. Som leverandør har du to integrationsoptioner hos os:

1 Fælles Kommunal Infrastruktur / FK Org.

Læs om integrationerne på digitaliseringskataloget.dk

2 Forretningskrav til login og adgang, obligatorisk brug af lokal IdP

Understøtter leverandøren ikke fælles kommunal adgangsstyring, fastlægger denne beskrivelse entydigt, at vores egen IdP (OS2faktor) og FK‑Organisation eller OS2sofdCore anvendes. Lolland Kommune har en teknisk kravspecifikation, der yderligt beskriver krav til integrationen i detaljer.

Beskrivelsen dækker kun Lolland Kommunes administrative net, samt der hvor både administrativt og skole eller daginstitution brugere skal tilgå samme løsning. Denne beskrivelse anvendes ikke til login og adgange, hvor det udelukkende er skole- og dagtilbudsområdet.

Formål og styrende principper

Vi har én autoritativ kilde for identitet og organisation. Alle leverandør‑systemer skal bruge vores lokale IdP (OS2faktor) og vores organisationskomponent (FK‑Organisation eller OS2sofdCore). Ingen parallelle brugerkataloger eller alternative IdP’er må anvendes.

Hvad det betyder for jeres løsning

• Login sker kun via vores IdP (OS2faktor). Brugere må ikke oprettes eller logge ind direkte i løsningen.
• Adgang styres kun af de roller, vi tildeler centralt. Rollen sendes ved login og omsættes til rettigheder i løsningen.
• Brugerens stamdata (navn, e‑mail, organisatorisk enhed m.v.) kommer fra den autoritative kilde. Informationerne vises og anvendes, som de modtages.
• Når en medarbejder skifter job eller stopper, ændres eller lukkes adgangen automatisk ved næste login – uden manuelle trin i løsningen.
• En bruger kan have flere roller samtidig, løsningen skal anvende dem samlet (mindste nødvendige adgang).
• Test og produktion skal sættes op ensartet, så der kan godkendes, før noget tages i drift.
• Leverandøren dokumenterer tydeligt rolle‑navne og rettigheder (rolle‑mapping), så Lolland Kommune kan revidere og godkende.

Ikke‑tilvalg eller forbudte løsninger

• Ingen brug af Microsoft Entra ID (Azure AD) som IdP for vores brugere i løsningen.
• Ingen direkte afhængighed af Microsoft Graph API eller andre tredjeparts‑kataloger til identitet, roller eller organisationsdata.
• Ingen lokale brugerkonti, lokale grupper eller særskilte adgangsmodeller i løsningen til brugerne.
• Ingen ”skygge‑kataloger” (synkroniserede kopier af vores brugere/roller), der kan afvige fra vores kilde.
• Ingen bypass af vores IdP (fx ”local login”, ”emergency admin” m.v.) uden forudgående skriftlig aftale.
• Ingen teknisk binding, der kræver skift væk fra vores IdP eller autoritative organisation data.

Organisationsdata og roller – hvordan adgang bestemmes

Organisatoriske oplysninger kommer fra kommunens FK‑Organisation eller OS2sofdCore. Adgangsroller kommer fra kommunes eget rettighedssystem. Løsningen modtager dem ved login og anvender dem direkte til at give brugeren korrekt adgang. Det aftales med Lolland Kommune, hvilke rollenavne der kan forventes.

Succeskriterier

• Ny medarbejder kan anvende løsningen samme dag, vedkommende er oprettet hos Lolland Kommune – uden manuelle oprettelser i løsningen.
• Stop eller ændring af medarbejder slår igennem ved første login – ingen resterende adgang i løsningen.
• Ingen parallelle logins eller konti for vores brugere – al adgang styres centralt hos Lolland Kommune.

Efterlevelse og afvigelser

Beskrivelsen er minimumskrav. Afvigelser accepteres kun ved skriftlig aftale før implementering.

Dette er forretningsorienteret og danner rammen for samarbejdet. Alle tekniske detaljer og formater fremgår af den fulde kravspecifikation.

Det forventes, at der er et dokumenteret API til løsningen, og at Lolland Kommune altid har adgang til dette API uden ekstra omkostninger.

Krav og forventninger til leverandører af IoT-udstyr

Som en del af vores arbejde med informationssikkerhed, databeskyttelse og driftssikkerhed stiller vi en række krav og forventninger til leverandører, der leverer IoT-udstyr og tilhørende løsninger til Lolland Kommune.

Formålet er at sikre, at udstyret kan indgå sikkert i vores infrastruktur, samt at leverandøren kan dokumentere ansvarlig håndtering af opdateringer, data og netværksforbindelser.

Generelle krav og forventninger

Leverandører bedes forholde sig til følgende punkter og beskrive, hvordan disse håndteres i deres produkter:

• Netværkssegmentering
  • IoT-udstyr skal kunne placeres i adskilte VLAN-segmenter.
  • Leverandøren bedes angive eventuelle krav til netværksforbindelser mellem udstyr, cloud-tjenester og eventuelle styringsenheder.
• Standardbrugere og adgangsoplysninger
  • Udstyr må ikke leveres med aktive standard- eller fabriksadgange.
  • Leverandøren skal beskrive, hvordan første login og ændring af adgangskoder håndteres sikkert.
• Opdateringer og firmware
  • Angiv hvordan opdateringer distribueres (automatisk / manuelt / via cloud / via lokal server).
  • Oplys hvem der overvåger og initierer opdateringer (leverandør, kunde, tredjepart).
  • Beskriv hvordan det sikres, at nyinstalleret udstyr er opdateret fra første dag.
• Firmware- og sikkerhedsvedligehold
  • Leverandøren skal beskrive sin proces for udsendelse af sikkerhedsopdateringer og patch management.
  • Angiv forventet levetid og opdateringsstøtte for produktet.
• Netværk og kommunikation
  • Oplys MAC-adresse(r) eller adresseområde for udstyret.
  • Beskriv hvilke porte og protokoller der kræves åbne, både indgående og udgående.
  • Forklar hvilken trafik udstyret genererer, og hvilke eksterne tjenester der kommunikeres med.
  • Beskriv eventuelle krav til interne servere (API, management, licensserver mv.).
• Datakommunikation og kryptering
  • Leverandøren skal beskrive hvilke data udstyret sender og modtager, samt om og hvordan data krypteres (TLS, VPN, certifikater mv.).
  • Angiv om der behandles personoplysninger, og hvordan disse beskyttes.
• Support og driftsaftaler
  • Oplys tilgængelige supportmuligheder og forventet svartid.
  • Beskriv eventuelle SLA-aftaler og garantiordninger.
• Åbne standarder og adgang til data
  • Vi lægger vægt på løsninger, der understøtter åbne standarder og som giver kunden adgang til egne data uden proprietærer begrænsninger.
• Produktions- og leverandørkæde
  • Angiv hvor udstyret er produceret og hvilke lande, komponenter eller tredjepartsleverandører der indgår i forsyningskæden.

Disse punkter skal hjælpe kommende leverandører, med at forstå vores sikkerheds- og compliancekrav tidligt i dialogen.

Vi modtager gerne dokumentation eller beskrivelser, der viser hvordan ovenstående håndteres, som en del af tilbuds- eller afklaringsfasen.

Alle regninger skal sendes elektronisk og skal være i OIOUBL formatet.

Hvis du som leverandør ikke kan sende fakturaer elektronisk, kan disse sendes gratis ved brug af NemHandel Fakturablanket på Virk.

EAN-nummer

For at sikre at fakturaer kommer til de rigtige afdelinger anvendes EAN-numre. Hver afdeling har sit unikke EAN-nummer.

Lovpligtige krav til fakturaen

For at en faktura kan godkendes og overholde bestemmelserne i lovgivningen skal den indeholde følgende:

• Fakturamodtagers navn, adresse og EAN-nummer
• Fakturanummer og fakturadato
• Leverandørens navn, adresse og CVR-nummer
• Tydelig beskrivelse af varens eller ydelsens art, mængde og pris på varelinjeniveau
• Beløb til betaling, eksklusiv og inklusive moms
• Momsgrundlag – opdeling af momsbelagte og ikke momsbelagte ydelser
• Momssats og momsbeløb.

Betalingsfrist

Betalingsfristen i Lolland Kommune er i udgangspunktet mindst 30 dage netto, medmindre andet er aftalt skriftligt.

Skal du som leverandør behandle persondata efter instruks fra Lolland Kommune, skal der indgås en databehandleraftale.

Lolland Kommune tager udgangspunkt i Datatilsynets skabelon for databehandleraftaler.

Det forventes, at du som leverandør har kendskab til og aktivt udnytter mulighederne, snitfladerne og integrationerne i den fælleskommunale infrastruktur gennem brugen af:

• Serviceplatformen, herunder de nødvendige støttesystemer inklusiv Beskedfordeler
• ØIR (Økonomien i Rammearkitekturen)
• Evt. SAPA og SAPA Advis

Du skal være indstillet på konstant arbejde med at udnytte de nyeste muligheder, der stilles til rådighed. Vi deltager gerne aktivt i samarbejdet.

Digitaliseringskataloget

Digitaliseringskataloget er et nyt centralt redskab, når kommuner og deres it-leverandører skal forholde sig til den fælleskommunale infrastruktur.

Digitaliseringskataloget samler alt infrastrukturmaterialet ét sted. Vi forventer, at du som kommunal it-leverandør orienterer dig i dette materiale under arbejdet med den fælleskommunale infrastruktur. Du bør for eksempel kende til det medfølgende ”kædeansvar”.

Find viden og information om den fælleskommunale infrastruktur (digitaliseringskataloget.dk)

Rammearkitekturen

Den grundlæggende brug af Rammearkitekturen er blandt andet med til at sikre, at kommunernes it-landskab bygges med en åbenhed, der gør, at kommunerne reelt bliver i stand til at kunne vælge den bedste og billigste leverandør.

Det er populært sagt den spillebane og de spilleregler, der gælder for it til kommunerne. Rammearkitekturen er et fælles regelsæt for, at kommunerne kan opnå bedre, billigere, sammenhængende og forandringsrobuste it-systemer, leveret af et bredt udsnit af leverandører.

Rammearkitekturen indebærer blandt andet, at it-systemer bygges modulært efter åbne standarder. Det åbner markedet for flere leverandører. Herunder også mindre leverandører og mindre løsninger.

Find oplysninger om den fælleskommunale rammearkitektur (kl.dk)

Sundhedsdata

SDN er et sikret netværk til datakommunikation i den danske sundhedssektor (offentlige og private parter). Sundhedsdatanettet supplerer det kommercielle VANS-net, der anvendes til tværsektoriel udveksling af XML- og EDI-meddelelser.

Hvis du er leverandør af sundhedsdata/ydelser og velfærdsteknologi, forventes det, at du kender til og benytter dig af for eksempel følgende standarder:

• Medcom-kommunikation
• Vans

STIL - Styrelsen for It og Lærings infrastruktur-webservices

Et fællesoffentligt initiativ på folkeskoleområdet mellem Styrelsen for It og Læring og KL.

STIL har udviklet en infrastruktur, der sikrer, at data kan udveksles på tværs af systemerne i brugerportalinitiativet. Infrastrukturen omfatter en række webservices.

Vi afleverer i dag vores autoritative data omkring skole og dagtilbud til STIL, og det er her, de data skal hentes (import/eksport) og ikke via eventuelle forudsætningssystemer.

Læs om brugerportalinitiativet - Infrastruktur (viden.stil.dk)

KIG - Kommunens Infrastruktur Grunddata

Grunddata er grundlæggende registreringer om danskerne, deres ejendomme, virksomheder, adresser og geografi. Disse grunddata findes i nationale registre såsom Det Centrale Personregister (CPR), Det Centrale Virksomhedsregister (CVR) og Bygnings- og Boligregistret (BBR).

Hvis du allerede er leverandør i dag, så gælder følgende: Du skal på kommunens anmodning, og uden unødvendige ophold, omlægge en eller flere af Systemets allerede specificerede og implementerede integrationer til at hente data via Serviceplatformen/datafordeleren. Alt efter, hvilken platform der bedst kan stille de nødvendige data til rådighed.

Vil du vide mere om grunddata, kan du besøge datafordeler.dk

Aftalevilkår

Du vil som leverandør blive mødt af et aftalevilkår, som vil være et bilag til en eventuel kontrakt. Aftalevilkåret vil altid have forrang for andre bilag i en eventuel kontrakt.

For at kunne indgå samarbejde med Lolland Kommune forpligter du dig, som leverandør, til at efterleve ”Lov om tilgængelighed af offentlige organers websteder og mobilapplikationer” (lov nr. 692 af 8. juni 2018) eller den til enhver tid gældende lov eller ændringslove, samt gældende standarder, EN 301 549 V3.2.1 (2021-03).

Krav til dig som leverandør

Lolland Kommune kræver dokumentation for:

• Hvordan du som leverandør sikrer en webtilgængelig løsning.
• Hvordan og med hvilket værktøj løsningen er testet, samt resultaterne heraf.

Det er et krav fra Lolland Kommune, at du som leverandør opfylder lovgivningen og den til enhver tid gældende standard.

Krav til levering af digitale dokumenter

PDF-filer, der leveres af eksterne leverandører og efterfølgende skal offentliggøres på en af kommunens platforme eller sendes via Digital Post, skal leve op til gældende lovgivning på området, samt de til enhver tid glædende standarder.

Når en PDF-fil er webtilgængelig, betyder det, at en bruger med fx synshandicap kan læse og forstå PDF-filen. Indholdet i dokumentet skal struktureres i en logisk rækkefølge og på en bestemt måde, så billeder, diagrammer, tekst og information bliver læst op i korrekt rækkefølge af brugerens skærmlæser og andre hjælpemidler.

Eksempler på hvad du som leverandør kan gøre:

• Giv dit dokument en titel
• Strukturer indholdet med de rette typografier
• Opmærk overskrifter i den korrekte rækkefølge
• Angiv alternative tekster til billeder og grafik
• Angiv alternative tekster til links og lav beskrivende link-tekster
• Tag tabeller korrekt med kolonne- og rækkeoverskrifter
• Test din PDF-fil med PAC21

Når vi modtager dit materiale, vil det blive testet for webtilgængelighed. Såfremt materialet ikke opfylder lovgivningen og den til enhver tid gældende standard, kan det betragtes som misligholdelse og vil blive sanktioneret i henhold til dette.

Hvad er webtilgængelighed?

Webtilgængelighed handler om de principper og teknikker, vi følger for, at alle borgere kan bruge vores hjemmesider, apps og andre tekniske løsninger.

Der er fire overordnede principper i lov om webtilgængelighed:

1. Opfattelig
2. Anvendelig
3. Forståelig
4. Robust

Principperne stammer fra WCAG 2.1, der eksempelvis dækker over følgende (listen er ikke udtømmende):

• at billeder gøres opfattelige for skærmlæserprogrammer ved at tekstliggøre billederne
• at webstedet er anvendeligt for brugere, der bruger tastatur og ikke mus
• at en digital selvbetjeningsløsning er forståelig ved at tilbyde validering af felter og instruktioner ved fejlindtastning
• at webstedet er robust ved at benytte kodning korrekt, så brugerens værktøjer kan fortolke dem ensartet.

Samarbejde med andre kommuner

Som kommune er vi med i et proaktivt kommunalt fællesskab, der har til formål at teste selvbetjeningsløsninger for webtilgængelighed.

Vi forventer, at du, som leverandør af selvbetjeningsløsninger, indgår i et tæt samarbejde om at løse opgaven, så alle borgere har lige adgang til vores løsninger.

Læs om det kommunale fællesskab PROtest (aalborg.dk)