Kontraktbilag 9 Samarbejdsorganisation
2 INDHOLD INDHOLD 2 1 Generelt 3 2 Løbende mødeopfølgning 3 2.1 Koordinationsmøder 3 2.2 Årlige møder med LDs eksterne rådgivere på persondata og it-risiko 3 3 Samarbejdsorganisation 4 3.1 Hændelser der vedrører LDs forretningskritiske samarbejdspartnere 4 3.2 Koordinering med leverandører og samarbejdspartnere generelt 5 3.3 Løbende supportopgaver 6 3.4 Medarbejdere 6 3.5 Adgang til systemer 7 3.6 Løbende videnoverførsel 7 3.7 Rapportering 7 3.8 Rapportering af servicemål 8
3 1 Generelt Dette kontraktbilag indeholder krav til samarbejdsorganisation iht. aftalens punkt 11. 2 Løbende mødeopfølgning I forhold til den løbende it-drift er Finansdirektøren overordnet ansvarlig. Der vil blive udfærdiget liste med relevante kontaktpersoner, der løbende vedligeholdes. Leverandøren udpeger en key-accout-manager, der fungerer som den primære kontaktansvarlige. Leverandøren udfærdiger ligeledes en liste med relevante kontaktpersoner. 2.1 Koordinationsmøder Der afholdes regelmæssige koordinationsmøder som minimum hvert kvartal (LD kan efter aftale med leverandøren ad hoc eller varigt aftale anden frekvens, ligesom der kan indkaldes på ad hoc basis ved behov for dette). Leverandøren er repræsenteret ved dennes LD-ansvarlige It-driftschef, og på koordinationsmøderne drøftes, som minimum følgende: 1. Status på driften (opfyldelse af servicemål, jf. Kontraktbilag 15), herunder evt. operationelle hændelser samt afvigelser fra aftalte krav og processer 2. Status og rapportering på sikkerhed 3. Opfølgning på risikohændelser ift. personoplysninger 4. Ekstraordinære hændelser, eller særlige supportopgaver, herunder eventuelle fejl og mangler 5. Fremadrettede aktiviteter (opgraderinger, effektivisering af drift) 6. Budgetopfølgning 7. Evt. 2.2 Årlige møder med LDs eksterne rådgivere på persondata og it-risiko Forud for de årlige status- og evalueringsmøder mødes leverandøren med LDs eksterne rådgiver på persondata og it-risiko, som gennemgår og evaluerer leverandørens ydelser på disse områder.
4 2.2.1 Årligt møde med LDs databeskyttelsesrådgiver Leverandøren gennemgår en gang årligt på et møde med LD og LDs databeskyttelsesrådgiver leverandørens dokumentation for, at leverandøren har truffet de fornødne tekniske og organisatoriske foranstaltninger i medfør af Bilag 5 (Databehandleraftalen) med tilhørende underbilag. 2.2.2 Årligt status- og evalueringsmøde Der afholdes årligt status- og evalueringsmøde, hvor LD som minimum deltager med Finansdirektøren og leverandøren minimum deltager med den overordnede ansvarlige for kundeaftalen. LDs eksterne rådgivere kan deltage på mødet, hvor følgende som minimum drøftes: 1. Sikkerheds- og risikovurdering 2. Markedstrends, herunder trusselsbillede 3. Eventuelle opfølgninger fra mødet jvf. punkt 3.2 4. Afrapportering vedr. informationssikkerhed 3 Samarbejdsorganisation Parterne skal drage omsorg for, at samarbejdet vedrørende leveringen af ydelserne under aftalen har den fornødne forankring i parternes respektive ledelser, således at det til stadighed er muligt at træffe de nødvendige beslutninger undervejs i aftalens løbetid med den hastighed, omstændighederne kræver. Parterne har gensidigt en forpligtelse til uden ugrundet ophold og i henhold til de aftalte beslutningsprocesser at påpege eventuelle fejl i dokumenter udarbejdet af den anden part samt øvrige forhold omkring aftalens opfyldelse, som parterne bliver opmærksomme på. Tilsvarende gælder andre forhold, der kan have betydning for ydelsernes rette gennemførelse i overensstemmelse med tidsplanen og aftalen i øvrigt. 3.1 Hændelser der vedrører LDs forretningskritiske samarbejdspartnere Leverandørens ydelser omfatter grænseflader og kommunikationslinjer til eksterne samarbejdspartnere på investeringsområdet og medlemsområdet. Begge områder betragtes som forretningskritiske.
5 På investeringsområdet er integrationen mellem den eksterne samarbejdspartner og LD af højeste vigtighed. Integrationen vedrører de daglige transaktioner i porteføljen, og it-problemer kan have meget store konsekvenser. Uregelmæssigheder og problemer vedr. dataudveksling mv. skal umiddelbart rapporteres. På medlemsområdet er dataintegrationen mellem den eksterne samarbejdspartner og LD ligeledes forretningskritisk, og driftsforstyrrelser skal derfor umiddelbart rapporteres. Som en del af LDs forretning udveksles der data mellem ovennævnte eksterne samarbejdspartnere. Det er væsentligt, at uregelmæssigheder og problemer vedr. denne daglige dataudveksling, herunder emission og indløsning af medlemsandele umiddelbart rapporteres. 3.2 Koordinering med leverandører og samarbejdspartnere generelt Leverandøren skal i rimeligt omfang samarbejde med LDs øvrige leverandører og LDs eksterne rådgiver og i påkrævet omfang samarbejde med LDs revisorer og tilsynsmyndigheder. Leverandøren skal samarbejde med LDs øvrige leverandører med henblik på implementering af nødvendige ydelser, samt reduktion af de risici, der kan være forbundet med integrationen mellem ydelserne, driftsmiljøet og ydelserne fra LDs øvrige leverandører. Leverandøren skal følge de retningslinjer, som Finansdirektøren i LD udstikker vedrørende kommunikationen med øvrige leverandører og outsourcing-partnere. Leverandøren skal tilsvarende fastsætte entydige kommunikationsformer og veje, som LDs øvrige outsourcingspartnere kan benytte i tilfælde af fejl, usædvanlige driftssituationer og/eller vedligeholdelsestiltag af betydning for integrationen med it-systemer og ydelser, som leverandøren er ansvarlig for. Leverandøren kan ikke iværksætte tiltag, som bebyrder LDs øvrige outsourceringpartnere, ligesom leverandøren ikke må påtage sig yderligere opgaver som følge af henvendelser fra LDs øvrige outsourcing-partnere, uden at dette er godkendt af Finansdirektøren i LD.
6 LD kan anmode leverandøren om at deltage i planlægning af vedligeholdelsesopgaver og ændringer og fejludredning i ydelser og driftsflow, som er aftalt med øvrige leverandører og outsourcingpartnere. LD kan bede leverandøren om udarbejdelse af løsningsbeskrivelse samt bistand i testforløb. Leverandøren skal i rimeligt omfang efter anmodning fra LD stille relevante oplysninger og dokumentation om ydelserne og driftsmiljøet, herunder om dets grænseflader, til rådighed for LD og LDs øvrige leverandører med henblik på at sikre den fornødne integration mellem ydelserne, driftsmiljøet og ydelserne fra LDs øvrige leverandører. LD skal bistå med etablering af kontakt mellem leverandøren og LDs øvrige leverandører i det omfang, det er relevant for leverandørens opfyldelse af aftalen. LD skal på anmodning fra leverandøren være ansvarlig for at indhente og levere alle nødvendige oplysninger fra LDs øvrige leverandører, i det omfang det er relevant for leverandørens opfyldelse af aftalen. 3.3 Løbende supportopgaver Løbende supportopgaver håndteres mellem IT-driftsleverandøren og LDs medarbejdere via telefonisk eller onsite-support, der er nærmere specificeret i Kontraktbilag 15, Servicemål. 3.4 Medarbejdere Leverandøren kan ikke udskifte sin primære kontraktansvarlige uden LDs samtykke, medmindre udskiftningen skyldes medarbejderens personlige forhold, herunder ophør af ansættelsesforhold eller lignende omstændigheder. Den nye kontraktansvarlige skal mindst have samme kvalifikationer. Leverandøren skal af hensyn til kontinuiteten og kvaliteten i arbejdet i videst muligt omfang undgå udskiftning af medarbejdere i aftalens løbetid. Udskiftning må ikke påføre LD yderligere omkostninger. Nye medarbejdere hos leverandøren skal have tilsvarende kvalifikationer. LD skal orienteres skriftligt om udskiftningen af en kontraktansvarlig eller en nøglemedarbejder, og leverandøren skal udarbejde en plan for udskiftningen indeholdende en beskrivelse af, hvordan den nye medarbejder opnår tilsvarende viden om leveranceprojektet, som den udskiftede medarbejder.
7 Leverandøren skal efter anmodning udskifte en medarbejder, såfremt anmodningen er rimeligt begrundet. 3.5 Adgang til systemer Leverandøren skal på anmodning give LD og LDs øvrige leverandører nødvendig adgang, det værende elektronisk, fysisk eller anden form for adgang, til applikations-, basis- og driftsprogrammellet samt til de dele af leverandørens IT-system, som indgår i applikations- basis- og driftsprogrammellet og/eller driftsmiljøet. Leverandøren skal hjælpe LD og LDs øvrige leverandører med at etablere en sådan adgang. LD og LDs øvrige leverandører skal som betingelse for adgang til applikations-, basis- og driftsprogrammellet overholde de af leverandøren fastsatte og til enhver tid gældende forskrifter for en sådan adgang. Leverandøren er berettiget til at ændre sådanne forskrifter med et rimeligt varsel. 3.6 Løbende videnoverførsel Leverandøren er forpligtet til at sikre, at der fra aftalens indgåelse løbende sker videnoverførsel til LD om ydelserne. Udover hvad der i øvrigt følger af aftalen, skal leverandøren til realisering heraf (på anmodning fra LD) stille viden, materiale, dokumentation og øvrig information om ydelserne til rådighed for LD, for at sikre at LD kan opbygge hensigtsmæssige kompetencer vedrørende ydelserne, og således at LD ved aftalens helt eller delvise ophør kan få varetaget levering af ydelserne eller dele heraf af tredjemand. 3.7 Rapportering Ud over materiale til nævnte møder i punkt 2.1, 2.2 skal leverandøren uden ugrundet ophold orientere LD om ethvert forhold herunder forhold, som har betydning for it-sikkerheden, vedrørende ydelserne, som afviger fra de aftalte krav og de aftalte processer, samt enhver fejl ved ydelserne. Leverandøren skal straks underrette LD om ethvert forhold, herunder enhver udvikling, som i væsentlig grad kan forringe leverandørens nuværende eller fremtidige evne til eller mulighed for at levere ydelserne. Leverandøren skal endvidere årligt udarbejde følgende materiale til LDs bestyrelse: Informationssikkerhedsredegørelse, herunder risikovurdering (fra leverandøren og LD)
8 Dokumentation for udførte tests It-beredskabsplan 3.8 Rapportering af servicemål Leverandøren udarbejder en månedlig rapportering om opfyldelse af aftalte servicemål iht. Kontraktbilag 15. Rapporten indeholder information om, hvorvidt servicemålene er brudt og omfanget af bruddet. Rapporten leveres seneste den 10. i måneden.