IT-processens formål og opbygning
It er komplekst og har rod i en bagvedliggende infrastruktur, som alle it-systemer skal passe ind i. Samtidig skal vi sikre, at de nye it-systemer lever op til den gældende lovgivning om bl.a. beskyttelse af persondata (GDPR) og Københavns Kommunes interne cirkulære. Derfor er det vigtigt, at vi er opmærksomme, når vi anskaffer og ibrugtager ny it.
It-anskaffelsesprocessen er bygget op af fire faser (se figur nedenfor), som udføres af Digitaliseringskontoret i samarbejde med den anskaffende enhed. Processen startes ved at den anskaffende enhed indmelder en it-anskaffelse via blanketten for anskaffende enhed.
Når den anskaffende enhed har indmeldt anskaffelsen via blanketten for anskaffende enhed, hjælper Digitaliseringskontoret med at indmelde it-anskaffelsen i FISKK, der bruges til at understøtte it-anskaffelsesprocessen. Koncern IT (KIT) foretager i samarbejde med Digitaliseringskontoret en konsolideringsvurdering med henblik på at sikre, at vi kun køber nyt, når vi ikke allerede har et it-system, som kan løse opgaven. Herefter udfylder leverandøren af det valgte system en leverandørblanket, hvor systemet beskrives i detaljer. Dernæst udarbejder Digitaliseringskontoret i samarbejde med DPO Business Partneren en risikoprofil for anskaffelsen og opstarter eventuelt en konsekvensanalyse. Det er med til at sikre, at vi fra start er opmærksomme på de borgerdata, vi vil indsamle, og hvordan vi vil anvende dem.
Her undersøges og beskrives de forskellige tekniske løsningsmuligheder for it-systemet, samt hvordan borgerdata behandles og om der er de nødvendige sikkerhedsforanstaltninger for at minimere risici i forbindelse med databehandlingen. Dette foretages af Digitaliseringskontoret i samarbejde med KIT og leverandøren. KIT udfører anskaffelsesvurderingen, som er med til at sikre, at løsningen hænger sammen og kan integreres i kommunens infrastruktur.
Gennemførsel I denne fase går man fra papir til virkelighed gennem indkøb, udvikling, dokumentation, test og idrift-sættelse af anskaffelsen. Igen er det tætte tværfaglige samarbejde mellem anskaffende enhed, Digitaliseringskontoret, KIT, leverandør m.fl., nu hvor både ventede og uventede problemer skal løses. KIT foretager sikkerhedsvurderingen, der samler op på, at it-systemet er helt på plads i forhold til gældende retningslinjer og love. Dermed kan it-systemet få sin ibrugtagningstilladelse og idriftsættes.
Her håndteres it-systemets overlevering til drift og support. Derudover skal anskaffelsen løbes igennem for at sikre, at alt er på plads og afsluttet. Det bidrager både anskaffende enhed, Digitaliseringskontoret, KIT og leverandør til.
Vurderinger i it-anskaffelsesprocessen
For at sikre at en it-anskaffelse lever op til alle gældende krav inden for Københavns Kommunes regelhierarki, it-sikkerhed, udbudsloven mv., er der i it-anskaffelsesprocessen indlagt tre overordnede ”stop/go”- vurderinger ift. at kunne fortsætte anskaffelsen. KIT gennemfører disse i samarbejde med den anskaffende enhed og Digitaliseringskontoret. Alle tre er nødvendige for at få tilladelse til at bruge it-systemet.
De tre overordnede vurderinger er:
- Konsolideringsvurderingen, som vurderer om man kan genbruge eksisterende løsninger, så vi sikrer, at vi kun køber nyt, når vi ikke allerede har et it-system, som kan løse opgaven.
- Anskaffelsesvurderingen, der vurderer om grundlaget for anskaffelsen er på plads ift. det tekniske, økonomi og udbudsplan. Den er med til at sikre, at den tænkte løsning hænger sammen og kan integreres i kommunens infrastruktur.
- Sikkerhedsvurderingen, som vurderer hvorvidt it-systemet lever op til de gældende it- standarder og regler i KK.
Derudover udarbejder Forvaltningens GPDR-koordinator i samarbejde med Digitaliseringskontoret en risikoprofil og evt. en konsekvensanalyse for it-anskaffelsen i behovsafklaringsfasen. Det bruges til at vurdere om anskaffelsen har et acceptabelt risikoniveau, og er samtidig en tidlig indikator for, om it-systemet senere kan sikkerhedsgodkendes. På den måde kan en leverandør undervejs i anskaffelsesprocessen nå at udbedre eventuelle kritikpunkter for it-systemet, så det lever op til KK krav og kan sikkerhedsgodkendes. Skulle leverandøren ikke ønske at udbedre kritikpunkterne, kan man tidligt i processen undersøge alternativer, så man ikke bruger unødige ressourcer på et it-system, der i sidste ende ikke kan sikkerhedsgodkendes og dermed ibrugtages.
Hvis der opstår uenighed om, hvorvidt en it-anskaffelse skal fortsætte eller stoppes på baggrund af udfaldet af en eller flere af de ovennævnte vurderinger, skal beslutningen om at fortsætte eller stoppe it-anskaffelsen løftes til direktionen.