Choose language

Så skriver du säkerhetskrav i upphandling av HR- och lönesystem

Upphandling av HR- och lönesystem inom offentlig sektor har genomgått en snabb förändring. Det som tidigare främst handlade om funktion och pris handlar idag i allt högre grad om säkerhet, riskminimering och kontroll över data.

Men vilka krav är egentligen affärskritiska? Här går vi igenom de viktigaste områdena att reglera för att säkerställa en robust lösning.

1. Autentisering och åtkomstkontroll

Eftersom HR-system innehåller känsliga personuppgifter är kontrollen över vem som ser vad helt central. I upphandlingen bör ni ställa tydliga krav på:

  • Multifaktorautentisering (MFA): Ett absolut baskrav för att förhindra obehörig åtkomst.
  • Rollbaserad åtkomst (RBAC): Möjlighet att styra behörigheter utifrån tjänstebehov.
  • Spårbarhet: Full insyn i inloggningar och ändringar av behörigheter.

2. Loggning och spårbarhet

Loggning är en förutsättning för både säkerhet och regelefterlevnad. Säkerställ att systemet:

  • Loggar alla kritiska händelser (t.ex. export av data eller ändring av lönerecord).
  • Gör loggar tillgängliga för granskning i realtid eller vid förfrågan.
  • Skyddar loggdata från manipulation.

3. Incidenthantering

Leverantören måste ha en bevisad förmåga att hantera avvikelser. Här är det viktigt att kraven är proportionerliga i förhållande till tjänstens art, men samtidigt stringenta gällande:

  • Definierade processer för upptäckt och eskalering.
  • Notifiering till kunden inom fastställda tidsramar (ofta kopplat till GDPR:s 72-timmarsregel).
  • Aktiv samverkan och dokumenterad rapportering vid allvarliga incidenter.

4. Drift, redundans och kontinuitet

HR- och lönefunktioner är ofta samhällskritiska. Ett avbrott vid löneutbetalning kan få stora konsekvenser. Ställ krav på:

  • Hög tillgänglighet (SLA): Garanterad upptid med tydliga viten vid avvikelser.
  • Redundans: Dubblerade miljöer för att tåla hårdvarufel eller attacker.
  • Testade kontinuitetsplaner: Dokumentation som visar att leverantören faktiskt övat på att återställa systemet efter en cyberincident.

5. Säkerhet i hela livscykeln – och uppföljning

Enligt MSB bör informationssäkerhet genomsyra hela livscykeln. En vanlig miss är att ställa krav som sedan aldrig kontrolleras. Säkerhetskraven måste vara utformade så att de är möjliga att följa upp och utvärdera löpande under hela avtalstiden, exempelvis genom årliga tredjepartsgranskningar eller säkerhetsdeklarationer.

6. Data Act och dataportabilitet

EU:s Data Act ställer nya krav på tillgång till data och underlättar byte av molntjänster. För att undvika leverantörsinlåsning bör ni i upphandlingen reglera:

  • Rätten till data: Tydliggör att all data tillhör myndigheten.
  • Praktisk export: Hur data kan extraheras i ett strukturerat, maskinläsbart format.
  • Ansvarsfördelning: Var dock medveten om att dataportabilitet inte är detsamma som kostnadsfri migrering. Data Act ger rätten att få ut sin data, men det praktiska arbetet med att anpassa och flytta den till ett nytt system innebär ofta en separat kostnad som bör regleras i avtalet.

Sammanfattning och LOU-perspektiv

Vid utformning av kraven är det viktigt att minnas de grundläggande principerna i LOU. Säkerhetskraven ska alltid stå i proportion till den risk och omfattning som upphandlingen avser. För höga krav på ett mindre system kan begränsa konkurrensen i onödan, medan för låga krav i ett lönesystem kan hota verksamhetens stabilitet.

Checklista för en modern upphandling:

  1. Säkra autentisering och RBAC.
  2. Garantera spårbarhet genom loggning.
  3. Fastställ proportionerliga incidentrutiner.
  4. Säkra drift och återställningsförmåga.
  5. Planera för utträde och dataportabilitet (utan att blanda ihop det med fri migrering).

Vill du ha stöd inför din nästa upphandling? Missa inte vår heltäckande upphandlingsguide

Categories

Related blog posts