Pulje 7, 4. august 2014. Domstolsstyrelsen 1 Bilag 8, afsnit 3.2.5 I afsnittet angiver ordregiver: Sletning af alle data skal dokumenteres, når det er udført, og ske efter følgende anvisning sletning først, afmagnetisering af magnetiske medier, destruktion ved makulering eller afbrænding/smeltning (evt. flere gange makulering så man nærmer sig pulverisering). Kunden har taget forslaget til efterretning. Bilag 8, afsnit 3.2.5 har herefter følgende ordlyd: Efter Kundens anmodning om sletning af alle data, er Leverandøren ikke berettiget til at besidde Kundens data. Sletning af data skal følge de nedenfor angivne processer. Ovenstående vil betyde at der ikke kan anvendes shared services ifm storage og backup, hvilket har en betydelig økonomisk påvirkning på det samlede tilbud. Tilbudsgiver foreslår at ordlyden i kravet ændres således: Data der opbevares på medier hos leverandøren skal i relevant omfang være krypteret. Sletning af alle data skal dokumenteres, når det er udført, og ske efter følgende anvisning sikker sletning via SDelete der er godkendt af American Ministry of Defense og overholder DOD 5220.22- M dokumentation af at data ikke længere er tilgængelig på Leverandørens medier Dertil skal Leverandøren tilsikre, at Kundens data til enhver tid udelukkende forefindes på datamedier (herunder både optisk-, magnetisme- og chip-baserede), der er under Leverandørens kontrol. Dvs. at Kundens data omgående skal slettes fra datamedier, der ophører med at udgøre dele af Kundens itsystemer (inkl. backup) hos Leverandøren. I den forbindelse skal Leverandøren tilsikre at sikkerhedsbekendtgørelsen (Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning) til enhver tid overholdes, og at der ved bortskaffelse (f.eks. salg eller kassation) af anvendte datamedier træffes de nødvendige foranstaltninger for at sikre, at ingen af Kundens data kan komme til uvedkommendes kendskab. A) For sletning af Kundens data på databærende medier under Leverandørens kontrol (f.eks. i kørende it- eller storagesystemer) gælder, at der skal gennemføres en overskrivning af hele datamediet eller på det til Kundens data benyttede område af datamediet, der er i overensstemmelse med Datatilsynets sikkerhedsvejledning (vejledning nr. 37 af 2. april 2001, https://www.retsinformation.dk/forms /R0710.aspx?id=1002) og derfor som minimum overholder DOD 5220.22- M. Leverandøren skal overfor
Kunden dokumentere både processen samt gennemførslen af de enkelte sletninger f.eks. i en logfil eller tilsvarende. Kunden skal orienteres, såfremt Leverandøren påtænker at ændre i procedurer eller metoder/værktøj for sletning. B) For alle databærende medier som bortskaffes eller på anden vis placeres uden for Leverandørens kontrol gælder, at Leverandøren skal gennemføre en destruktion af datamedierne i overensstemmelse med seneste Guideline for Media Sanitization (p.t.http://csrc.nist.gov/publications/dr afts/800-88- rev1/sp800_88_r1_draft.pdf) f.eks. ved makulering eller smeltning. Leverandøren skal overfor Kunden dokumentere både processen samt gennemførslen af de enkelte destruktioner f.eks. i en logfil, via certifikater eller tilsvarende. Kunden skal orienteres, såfremt Leverandøren påtænker at ændre i procedurer eller metode for sletning. 2 Kontrakt, punkt 24.1 Det foreligger ikke præciseret, at Leverandøren ikke er ansvarlig for indirekte tab, herunder driftstab, tabt avance m.v. Vil ordregiver præcisere dette, da det ikke synes rimeligt, at Leverandøren skal være erstatningsansvarlig for afledte tab og følgeskader for de af Kontrakten omfattede ydelser, som Leverandøren ikke har mulighed for at tage højde for ved kontraktsindgåelse og dermed risikoafdække? Dette må endvidere antages at være markedskonformt set i forhold til lignende IT-kontrakter. Såfremt ordregiver fastholder dette punkt, kan dette have kommerciel betydning for tilbudsgivers udarbejdelse af det ønskede tilbud Kunden har taget anmodningen til efterretning. I Kontraktens punkt 24.1 ændres teksten: Leverandøren er erstatningspligtig over for Kunden efter dansk rets almindelige regler. til: Leverandøren er erstatningsansvarlig efter dansk rets almindelige erstatningsregler, idet Leverandøren dog ikke er ansvarlig for driftstab, tabt avance eller andet indirekte tab. Tab af data anses for direkte tab. Som konsekvens heraf ændres Kontraktens punkt 24. 2 fra: Kunden er erstatningsansvarlig over for Leverandøren efter dansk rets
almindelige regler. til: Kunden er erstatningsansvarlig efter dansk rets almindelige erstatningsregler, idet Kunden dog ikke er ansvarlig for driftstab, tabt avance eller andet indirekte tab. Tab af data anses for direkte tab. 3 Kontraktens pkt. 24.1 første afsnit Vil ordregiver præcisere at Leverandørens erstatningsansvar er begrænset til direkte tab? Se venligst svaret på spørgsmål 2 ovenfor. 4 Bilag 18, punkt 5.1 Servicemål og KPI er for Leverandørens Support Responstid for for Leverandørens service desk i aftalt åbningstid er > 95 % af alle telefoniske henvendelser skal indenfor aftalt driftstid være besvaret inden 1 minut. >90 % af alle telefoniske henvendelser skal udenfor aftalt driftstid være besvaret inden 2 minutter. > 95 % af alle skriftlige henvendelser (mail, servicedesk-system) skal indenfor aftalt driftstid være besvaret inden 5 minutter. >90 % af alle skriftlige henvendelser (mail, servicedesk-system) skal udenfor aftalt driftstid være besvaret inden 15 minutter. For hver påbegyndt nedsat 1 % point målt afvigelse af Servicemål for service desk i en måleperiode, beregnes en bod på 2,5 % af det månedlige supportvederlag. Boden for Support kan ikke i nogen måleperiode overstige 25 % af det samlede Supportvederlag for den pågældende periode. Anmodningen giver ikke anledning til ændring af udbudsmaterialet. Hvis der måtte komme mange henvendelser har Kunden forståelse for, at det i perioder vil kunne være vanskeligt at overholde responstiden, medens Kunden ikke har en tilsvarende forståelse, hvis der kun kommer ganske få og derfor typisk meget vigtige - henvendelser. Bestemmelsen tager højde for dette. Leverandøren kan i stedet vælge at sætte prisen på denne ydelse lavt. Punkt 5.1 indebærer, at hvis Leverandøren udfører sin opgave succesfuldt, og der derfor er ganske få henvendelser til servicedesken pr. måned, kan en forsinket responstid på 1 ud af en total på fx 5 henvendelser føre til, at Leverandøren ifalder maksimal bod på Supportvederlaget. Omvendt vil en enkelt forsinket
responstidtid betyde forholdsmæssigt mindre, hvis der er mange henvendelser til servicedesken. Vil Kunden overveje at indføre en undergrænse for, hvor mange henvendelser til servicedesken, der skal være foretaget, før man kan beregne opfyldelsesgraden og dermed bod for en forsinket responstidtid? Samme forhold gør sig gældende for henholdsvis Reaktionstiden fra henvendelse er registreret til løsning påbegyndes, for Løsningstiden fra henvendelse er modtaget, og til henvendelse er løst og for servicemålene for Vedligeholdelse (Der er sandsynligvis tale om færre end 20 løsningsbeskrivelser ved Ændringsanmodning inden for en periode på 2 uger). 5 Bilag 10, afsnit 3.2 Af afsnit 3.2 i bilag 10 fremgår det, at "Leverandøren skal levere og ajourføre dokumentation svarende til dokumenttyperne angivet i underbilag 2-b, Eksisterende teknisk dokumentation inden Transition ind". Kan kunden bekræfte, at det er en fejl, at der står "inden Transition Ind", og at der i stedet skal stå "under Transition ind", da Kunden vel ikke mener, at vi skal levere og ajourføre dokumentation inden kontrakten er indgået? 6 Bilag 8, afsnit 2 Af afsnit 2 i bilag 8 fremgår det, at CSC i forbindelse med Transition ind skal levere al dokumentation i opdateret stand. Dette harmonerer ikke med kravene i bilag 10 afsnit 3.2, hvor det fremgår, at Leverandøren skal ajourføre dokumentationen inden Transition ind. Hvem skal ajourføre dokumentationen er det CSC eller Leverandøren? Nej, det er ikke en fejl. Spørgsmålet beror sig formentlig på en misforståelse. Underbilag 2-b har titlen Eksisterende teknisk dokumentation inden Transition ind. Det er dog helt korrekt, at Leverandøren først skal levere og ajourføre dokumentationen efter Kontrakten er indgået og at Leverandøren i den forbindelse skal levere og ajourføre dokumentationen svarende til dokumenttyperne angivet i underbilag 2-b (som har titlen nævnt ovenfor). Se venligst svaret til spørgsmål 5 ovenfor. Bilag 8, afsnit 2 vedrører eksisterende dokumentation, medens bilag 10, afsnit 3.2 vedrører eventuel manglende/mangelfuld dokumentation. Leverandøren skal ajourføre dokumentationen, jf. bilag 10, afsnit 3.2.
7 Bilag 8, afsnit 2 Af afsnit 2 i bilag 8 fremgår det, at CSC i forbindelse med Transition ind skal levere al dokumentation i opdateret stand. Inkluderer dette også al testdokumentation, herunder testcases? Se venligst svaret på spørgsmål 5 i pulje 5 af den 25. juli 2014. 8 Kontrakt, punkt 21.3.1 Det fremgår af kontraktens pkt. 21.3.1, at såfremt en rapport vedrørende Servicemål er forsinket mere end 5 Dage anses de berørte Servicemål for at være misligholdt fuldt ud, hvorefter Kunden tillige kan stille krav til Leverandøren om betaling af maksimal bod for de berørte Servicemål. Anmodningen giver ikke anledning til ændring af udbudsmaterialet. Er en forsinket rapportering fornuftigt begrundet, har Kunden mulighed for at bevillige udsættelse. Kan Kunden bekræfte, at såfremt en rapport vedrørende Servicemål, som ifølge rapporteringsplanen skal afleveres på en torsdag og som faktisk leveres af leverandøren den efterfølgende onsdag vil medfører følgende bodsberegning: Bod for Drift = 50 % af det samlede månedlige vederlag for drift og vedligeholdelse, jfr. pkt. 3.5.1 i bilag 18 Bod for support =25% af det samledes månedlige vederlag for support, jfr. pkt. 5.3.2 i bilag 18 Bod for vedligeholdelse = 25% af det samlede månedlige vederlag for vedligeholdelse, jfr. 6.2.2 i bilag 18. Da vedligeholdelse går igen pkt. 3.5.1 og i pkt. 6.2.2 vil boden for vedligeholdelse udgør 75% af det månedlige vederlag for vedligeholdelse. Fordeling af vederlaget for drift, support og vedligeholdelse bestemmer den endelige bod, men et rimeligt overslag medfører, at boden ved forsinket rapportering vil lægge mellem 40% og 60% af det månedlige
vederlag. Da den manglende servicerapportering ikke nødvendigvis er ensbetydende med at de aftalte servicemål ikke er overholdt kan en bod af den størrelse virke som u-proportionel i forhold til kundens forretningspåvirkning. Med baggrund i ovenstående eksempel vil kunden overveje en reformulering af pkt. 21.3.1 evt. til en konventionel bod, som beregnes per dags forsinkelse udover de 5 Dage 9 Bilag 4, afsnit 7.1 Af afsnit 7.1 i bilag 4 fremgår det, at " Leverandøren skal løbende rette konstaterede Fejl i Applikationen og Platformen, herunder håndtere eventuelle garantiforpligtelser i forhold til den tidligere leverandør. 1. Hvad menes der præcist med at håndtere eventuelle garantiforpligtelser i forhold til tidligere leverandør? 2. Findes der er samlet oversigt over nuværende leverandørs garantiforpligtelser? Ad. 1 Det er Leverandøren, der skal sikre, at den tidligere leverandør lever op til eventuelle garantiforpligtelser og herunder aftale, hvem der udfører rettelsen samt, hvis dette er den tidligere leverandør, påse at dette sker og er i orden. Ad. 2 Se venligst svaret til spørgsmål 21 i pulje 5 af 25. juli 2014.