4) Hankinta ja sopimus

Tässä vaiheessa kilpailutetaan ja hankitaan pilvipalveluratkaisu. Huomioidaan pilvipalveluiden hankinnan erityispiirteet, lainsäädännölliset vaatimukset ja sopimukselliset haasteet.

Tehtäväkokonaisuudet

  • Keskeisten riskienhallinnan vaatimusten määrittäminen (tietoturva, henkilötietojen käsittely, jatkuvuus) jo tarjouspyyntöön
  • Toimittajien sopimusehtoihin tutustuminen ja vertailu
  • Asiakkaan kannalta keskeisten ja ehdottomien sopimusehtojen listaaminen
  • Yhteisen tiiviin sopimusmallin luonti, mikäli mahdollista
  • Omien (riskienhallinnan) vaatimusten ottaminen osaksi sopimusta

Vaatimukset jo tarjouspyyntöön

Tarjouspyyntöön on hyvä koota riskienhallinnasta, pilvipalvelujen tyypillisistä riskitekijöistä ja PiTuKri-kriteeristöstä täsmällinen lista tarjottavaa ratkaisua ja siihen liittyvää palvelua koskevista vaatimuksista. Vaatimukset on hyvä jakaa pakollisiin vaatimuksiin ja pisteytettäviin, ei-pakollisiin vaatimuksiin. Vaatimuksia luokiteltaessa kannattaa muistaa, että julkisissa hankinnoissa tarjoukset on lähes poikkeuksetta hylättävä, jos tarjous ei täytä jokaista pakollista vaatimusta. Tästä syystä tulee välttää sellaisia pakollisia vaatimuksia, joita ei aidosti tarvita pakollisina. Tarjouspyyntöön tuotetut vaatimukset tulee hankintapäätöksen jälkeen sisällyttää myös solmittavaan sopimukseen. (Lähde: Pilvipalvelujen soveltamisohje)

Tarjouspyyntö ja sen liitteet
SaaS-palveluiden hankintapohjien pääkäyttötilanteet ja sopimusmallit
PiTuKri - vaatimukset ja vastuut

Pilvipalvelujen soveltamisohjeen suositukset

  • Tunnista pilvipalvelujen hankkimisen periaatteiden ero perinteisiin hankintoihin verrattuna – erityisesti globaalit pilvipalvelut eivät juuri pysty tinkimään vakiosopimusmalleistaan tai toimitusehdoistaan.
  • Tee vaatimusmäärittely huolellisesti, hyödynnä myös pilvipalvelujen soveltuvuuden tarkistuslistan ehtoja vaatimusmäärittelyssä soveltaen.
  • Muista, että pilvipalvelutoimittajat harvoin pystyvät tinkimään omista toimitus- ja sopimusehdoistaan. Tutustu eri pilvipalvelutoimittajien ehtoihin ja luo tiivis sopimusmalli tai listaa vain keskeisimmät sopimusehdot, joista et voi tinkiä.
  • Arvioi, voitko hyödyntää yhteishankintayksikön tai sidosyksiköiden olemassa olevia sopimuksia.
  • Jos olet hankkimassa laajoja SaaS-palveluja, tutustu toimitusmalliin – mikä on paikallisten integraattorien ja pilvipalvelutoimittajien keskinäinen roolitus ja miten tämä vaikuttaa tulevan sopimuksen rakenteeseen.
  • Varmista keskeisten riskien hallintakeinot määrittämällä riittävä, mutta ei liioiteltu joukko tietoturvaa, henkilötietojen käsittelyä ja jatkuvuutta koskevia vaatimuksia tarjouspyyntöön. Hyödynnä tässä hankinnan kohteeseen ja sen suojaustarpeisiin sovitettuja vaatimuksia. Hyödynnä tarpeen mukaan myös PiTuKri-kriteeristöä.
  • Muista ottaa vaatimukset osaksi sopimusta.