Denne veilederen beskriver DFØs anbefalinger for hvordan kontraktsoppfølging kan og bør gjennomføres. Veilederen gir anbefalinger for kontraktsoppfølging generelt, og for oppfølging av seriøsitetskrav spesielt.
I dette kapittelet finner du informasjon om veilederens innhold og bruk av denne.
To nivåer, basis og avansert
Veilederen er bygget opp med to nivåer, basis og avansert.
Anbefalingene på basisnivå tar utgangspunkt i regelverkets krav, og beskriver hvilke krav virksomhetene må følge opp og hvordan dette kan gjøres i praksis. Alle virksomheter, uavhengig av ressurser, må følge opp sine kontrakter minimum på basisnivå.
Anbefalinger på avansert nivå er rettet mot virksomheter som har tilstrekkelige ressurser med riktig kompetanse til å følge opp sine kontrakter. Disse virksomhetene har mulighet til å stille seriøsitetskrav utover lovpålagte krav.
Veilederens innhold
Veilederen beskriver innledningsvis nødvendige forutsetninger for god kontraktsforvaltning (se kapittel 2). Dette gjelder forhold knyttet til organisering og krav til system og rutiner. Veilederen viser også hvordan virksomheten skal sikre oversikt over sine kontrakter og ivareta krav til overordnet risikostyring (se kapittel 3). Veilederen beskriver hvordan virksomheten kan følge opp kontraktene praktisk og operativt (se kapittel 4). Kontroll og oppfølging av seriøsitetskrav beskrives i et eget kapittel (se kapittel 5). Kapittel 5 inneholder også et overordnet punkt om personvern.
To sjekklister
Veilederen er ment å brukes i sammenheng med tilhørende sjekklister. Det er utarbeidet to sjekklister:
én som gjelder for kontraktsoppfølging av rammeavtaler
én for kontraktsoppfølging av enkeltkjøp
Sjekklistene omfatter en fane for basisnivå og en fane for avansert nivå. Oppfølging av seriøsitetskrav er delt i en fane for lønns- og arbeidsvilkår (lovpålagte krav) og en fane for andre kontraktsfestede seriøsitetskrav. Sjekklistene har henvisning til gjeldende punkt i veilederen. Det er også lenket til andre nyttige maler, som for eksempel maler for agenda til både oppstarts- og statusmøte med leverandøren.
Denne veilederen beskriver DFØs anbefalinger for hvordan kontraktsoppfølging kan og bør gjennomføres. Veilederen gir anbefalinger for kontraktsoppfølging generelt, og for oppfølging av seriøsitetskrav spesielt.
I dette kapittelet beskrives viktige forutsetninger for god kontraktsoppfølging.
Kontraktsoppfølging forutsetter at innkjøpsfunksjonen organiseres på en hensiktsmessig måte. God kontraktsoppfølging sikrer at:
Ressursene utnyttes effektivt
Gevinster realiseres
Behovene dekkes
Målene (inkludert samfunnsmål) med anskaffelsen nås
Virksomhetsleder må på overordnet nivå sikre at virksomheten totalt sett har tilstrekkelig kapasitet og kompetanse, og leder av innkjøpsfunksjonen må sikre at ressursene er tilgjengelige for å følge opp kontrakten.
2.1 Roller, kompetanse og kapasitet
Virksomheten må ha kapasitet og kompetanse innenfor flere områder for å kunne følge opp både lovpålagte og andre kontraktsfestede krav. Det er for eksempel behov for ulik fagkompetanse for å følge opp krav til ytelse, pris, fakturainnhold og andre leveringsbetingelser enn for å følge opp seriøsitetskrav, krav til miljø og krav til menneskerettigheter.
Det bør være en tydelig ansvarsfordeling mellom kontraktsforvalter (den rollen som har ansvaret for å følge opp kontrakten) og fagavdeling. Det finnes mer informasjon om de ulike rollene som bør involveres og kompetansebehov i DFØs veiledning om innkjøpsledelse.
2.1.1 Basis nivå for virksomheter med et minimum av kapasitet og kompetanse
I mindre virksomheter er det gjerne få ressurser som arbeider med anskaffelser, og det kan også være én ressurs som har ansvar for både gjennomføring av konkurranser og oppfølging av kontrakter. Denne ressursen skal da dekke rollene som innkjøper, kontraktsforvalter, fagperson for produkt/tjeneste og fagperson for å følge opp lovpålagte krav til seriøsitet.
Disse virksomhetene bør etablere samarbeid med relevante fagavdelinger i egen organisasjon for å følge opp kontraktene. Det kan for eksempel benyttes kompetanse fra HR-avdelingen eller lignende ved oppfølging og kontroll av lønns- og arbeidsvilkår.
Dersom virksomheter på basisnivå ønsker å stille seriøsitetskrav utover krav som er pålagt i lov og forskrift, kreves det at virksomhetens tilføres ressurser og kompetanse. Det kan for eksempel være aktuelt å utvikle samhandling med andre innkjøpsmiljøer og/eller å anskaffe ekstern bistand.
2.1.2 Avansert nivå for virksomheter med tilstrekkelig kapasitet og kompetanse
Større virksomheter har ofte flere ressurser med riktig kompetanse internt i innkjøpsfunksjonen og spesialiserte fagavdelinger med kompetanse på lønns- og arbeidsvilkår og fagavdeling (-etat) med kompetanse på produkt/tjeneste. Virksomheten kjennetegnes ved at innkjøpsfunksjonen og fagavdelingen(e) samhandler godt.
Slike virksomheter har kapasitet og kompetanse til å følge opp kontraktene sine grundigere og gjerne mer spesialisert enn det som virksomheter på basisnivå gjør. Som regel er det tilgjengelige ressurser med kompetanse på krav til lønns- og arbeidsvilkår, andre seriøsitetskrav og andre områder som krever spesialkompetanse. Virksomheten kan derfor vurdere å kontraktsfeste seriøsitetskrav utover krav som er pålagt i lov eller forskrift.
Avanserte virksomheter har et strategisk fokus på anskaffelser og etterspør styringsinformasjon om måloppnåelse ved anskaffelsene. Virksomhetene har også utarbeidet måleparametere innen anskaffelser. Innkjøpsfunksjonen er gjerne kategoribasert.
Virksomhetsleder har det overordnede ansvaret for å sørge for at virksomhetens kontrakter følges opp. Det må derfor etableres hensiktsmessige systemer og rutiner.
For statlige virksomheter fremgår det av økonomireglementet at virksomheten må etablere system og rutiner for å sikre forsvarlig organisering av økonomistyringen og at dette utføres i samsvar med gjeldende lover og regler (internkontroll).
Også kommunale virksomheter skal etter kommuneloven ha system og rutiner for å sikre at kontraktene følges opp. Internkontrollen må tilpasses vesentlighet og risiko, og skal dokumenteres skriftlig.
Det må også utarbeides rutiner for oppfølging og kontroll av krav til lønns- og arbeidsvilkår [se kapittel 5].
Arbeidet med oppfølging av kontrakter bør omtales i relevante strategidokumenter. Dette kan for eksempel være i virksomhetens anskaffelsesstrategi.
Kontraktsoppfølging kan gjennomføres bedre, mer effektivt og gi mindre feil ved bruk av gode støttesystemer.
Flere virksomheter benytter IT-systemer slik som konkurransegjennomføringsverktøy (KGV) og kontraktsadministrasjonsverktøy (KAV) i dag. Virksomhetene må benytte KGV i konkurransegjennomføringen, men det er ingen plikt til å benytte KAV i kontraktsoppfølgingen. Virksomheter som bruker KAV, vil få en bedre oversikt over kontraktsporteføljen. KAV har også funksjonalitet som delvis støtter oppfølgingsarbeidet.
eBevis er en tjeneste for elektronisk innhenting av dokumentasjonsbevis fra noen offentlige registre. Tjenesten er tilgjengelig gjennom oppdragsgivers fagsystem, typisk et konkurransegjennomføringsverktøy (KGV) eller et kontraktsoppfølgingssystem (KAV). eBevis inneholder:
Gjennom eBevis kan det innhentes dokumentasjon om skatt- og avgift, firmaopplysninger fra Enhetsregisteret, opplysninger fra Brønnøysundregistrene om konkurs og insolvens, regnskapsinformasjon fra Brønnøysundregistrene mm.
Virksomheten kan ha styringssystemer (for eksempel CRM-systemer) som støtter anskaffelsesprosessen og arbeidet med å følge opp inngåtte kontrakter. Slike kvalitetssikringssystemer bidrar til å sikre styring og kontroll over kontraktsporteføljen.
Virksomheter som stiller seriøsitetskrav i bygg- og anleggsanskaffelser, benytter ofte HMSREG eller tilsvarende systemer i arbeidet. HMSREG er en skybasert løsning som kan støtte virksomhetenes arbeid med å følge opp seriøsitetskrav. HMSREG kan også støtte integrasjon mot Startbank, og dette gir muligheter for å sikre at leverandørene er seriøse og oppfyller sine skatte- og avgiftsforpliktelser mm.
Denne veilederen beskriver DFØs anbefalinger for hvordan kontraktsoppfølging kan og bør gjennomføres. Veilederen gir anbefalinger for kontraktsoppfølging generelt, og for oppfølging av seriøsitetskrav spesielt.
Kapittelet viser hvordan virksomheten kan få oversikt over egen kontraktsportefølje og hvordan overordnet risikostyring bør gjennomføres.
Virksomheten bør skaffe seg en oversikt over planlagte anskaffelser og eksisterende kontrakter. Dette gir mulighet for å prioritere virksomhetens ressurser, for eksempel basert på risikonivå i kontraktene eller en vurdering av hvor strategisk viktig kontrakten er for virksomheten.
3.1 Kontraktsregister
DFØ har laget et kontraktsregister som ferdig utfylt gir oversikt over virksomhetens inngåtte kontrakter og varigheten av disse. Verktøyet kan gi informasjon om innholdet i kontraktene og når nye anskaffelsesprosesser bør gjennomføres.
Enkelte virksomheter (avanserte) har etablert kategoristyring av innkjøp som gir en helhetlig oversikt og innsikt for å kunne prioritere kontrakter, men dette er ikke noe krav.
Utarbeide oversikt over den totale kontraktsporteføljen
Avansert:
Etablere kategoristrategier for ulike kontraktsområder
3.2 Overordnet risikovurdering og oppfølgings- og kontrollplan for virksomheten
Virksomheten bør gjennomføre årlige risikovurderinger av kontraktsporteføljen for å avdekke grunnleggende risikofaktorer som bør håndteres i kontraktsoppfølgingen. Dette inkluderer også risiko for brudd på krav til lønns- og arbeidsvilkår og eventuelle andre seriøsitetskrav. Kontrakter med høyest risiko bør prioriteres slik at de tilgjengelige ressursene benyttes mest mulig effektivt.
Eksempler på prioriteringskriterier:
Markedssituasjon
Kontraktens verdi
Kontraktens strategiske betydning (kritikalitet)
Risikofaktorer knyttet til bransje, fokus på lønns- og arbeidsvilkår og andre seriøsitetskrav mv.
Forhold knyttet til leverandør, for eksempel nye leverandører og underleverandører mv.
Basert på den overordnede risikovurderingen og prioriteringen kan det utarbeides en oppfølgings- og kontrollplan for å følge opp seriøsitetskrav.
Oppfølging- og kontrollplanen bør inneholde:
Risikoreduserende tiltak
Tidspunkt for gjennomføring av tiltakene
Status for gjennomføringen
Ansvarlig for gjennomføring
Frister for rapportering til ledelsen
Kontrakt
Prioritet
Begrunnelse for prioritering
Tema for kontroll og oppfølging
Ansvarlig
Eksempel på en enkel mal for prioritering av kontrakter og prioritering for oppfølging og kontroll:
Basis:
Gjennomføre en overordnet risikovurdering av kontraktsporteføljen
Utarbeide risikoreduserende tiltak
Avansert:
Utarbeide plan for oppfølging og kontroll av seriøsitetskrav
Eksempel på hvordan risikovurderinger kan gjennomføres
For å sikre oversikt og systematisk planlegging og gjennomføring av oppfølgingsaktiviteter, kan virksomheten utarbeide et såkalt årshjul. Dette vil gi en god visuell oversikt.
Denne veilederen beskriver DFØs anbefalinger for hvordan kontraktsoppfølging kan og bør gjennomføres. Veilederen gir anbefalinger for kontraktsoppfølging generelt, og for oppfølging av seriøsitetskrav spesielt.
I dette kapittelet beskrives nødvendige aktiviteter for god kontraktsoppfølging i kontraktsperioden for både vare- og tjenestekontrakter.
4.1 Generelt
Effektiv kontraktsoppfølging krever at virksomheten allerede under planleggingen av anskaffelsen vurderer hvordan kontrakten bør følges opp.
Kontrakten bør inneholde bestemmelser som gir mulighet til å:
innhente nødvendig dokumentasjon
Innhente statistikk
eventuelt gjennomføre revisjoner
Det er viktig å tenke igjennom hvilke krav som er nødvendige, også med tanke på ressursbruk hos leverandøren.
Kontraktsoppfølgingen må tilpasses den aktuelle kontrakten. Det har også betydning om det er en varekontrakt, tjenestekontrakt eller en bygge- og anleggskontrakt. Rammeavtaler og enkeltkontrakter krever også ulik tilnærming i kontraktsoppfølgingen.
Det må først avklares hvordan bestilling skal foretas på avtalen. Dette avhenger blant annet av om det er en rammeavtale med en leverandør eller en rammeavtale med flere leverandører hvor det enten er en fordelingsnøkkel for å tildele kontrakter under rammeavtalen, eller når det skal gjennomføres en minikonkurranse. Kontraktsoppfølging av bestilling på rammeavtaler krever gode rutiner og systemer som sikrer at kontraktseier og bestiller samhandler.
Dersom leverandørens egen nettbutikk benyttes for bestillinger, kan en utfordring være at virksomheten bare kan gjennomføre ressurskrevende stikkprøvekontroller og/eller etterkontroller av om kontraktens betingelser er oppfylt. Ved bruk av leverandørens nettbutikk kan for eksempel produkter som ikke omfattes av avtalen promoteres, eller produkter settes som utsolgt uten at tilsvarende produkter tilbys til kontraktsfestet pris. Det kan derfor være en fordel å benytte egne bestillingssystemer fremfor å benytte leverandørens egen nettbutikk.
Enkeltkontrakter for vare- og tjenestekjøp vil ofte ikke være like omfattende som gjentakende avrop på en rammeavtale. I slike tilfeller må virksomheten følge opp kvalitet på leveransen, leveransefrister og pris. Oppfølgingen krever ikke at det etableres et langsiktig samarbeid med leverandøren for å sikre levering i tråd med kontraktens bestemmelser.
Når kontrakten er signert, må kontrakten implementeres. Ansvaret for kontrakten overføres nå fra innkjøper til kontraktsforvalter (den som gjennomfører oppfølgingen).
I virksomheter på basisnivå vil ofte den samme ressursen ha ansvar for både gjennomføring og oppfølging av kontrakten. I virksomheter på avansert nivå kan det være ulike ressurser som gjennomfører anskaffelsen og som implementerer og følger opp kontrakten
Avanserte virksomheter med egne kontraktsforvaltere må sørge for erfaringsoverføring fra innkjøper til kontraktsforvalter for å sikre tilstrekkelig kunnskap om kontrakten.
4.2.1 Informasjon om kontrakten
Implementeringsperioden starter med å innhente nødvendig informasjon om leverandør og kontraktens innhold. Dette inkluderer også partenes kontaktinformasjon. Innhenting av kontaktinformasjon innebærer behandling av personopplysninger, og krever derfor at det innhentes samtykkeerklæring fra leverandørens kontaktpersoner.
Det må sendes ut informasjon til de som kontrakten gjelder i virksomheten og eventuelt andre berørte. Slik informasjon bør inneholde opplysninger om kontrakten, priser og andre betingelser. For rammeavtaler må avropsmekanismer og bestillingsløsning avklares. Informasjonen kan for eksempel gis på en nettside eller et Teams-rom eller på en annen hensiktsmessig måte.
Basis:
Sørge for at kontraktsforvalter har tilstrekkelig kunnskap om kontraktens bestemmelser og andre relevante forhold
Informere de som omfattes av kontrakten om hvordan bestillinger skal skje, informasjon om priser mv.
Avansert:
Opprette en informasjonsside, et Teams-rom eller lignende hvor viktig informasjon om kontrakten kan legges ut
Tilrettelegge for å innhente tilbakemeldinger fra brukerne av kontrakten slik at dette kan følges opp best mulig
4.3 Risikovurdering av kontrakten
Kontraktsforvalter skal kort tid etter kontraktsinngåelse utarbeide en risikovurdering av kontrakten. Hensikten er å avdekke faktisk og fremtidig risiko knyttet til kontrakten gjennom hele kontraktsperioden. Det bør utarbeides en plan med risikoreduserende tiltak. Denne planen bør presenteres for leverandøren på oppstartsmøte, og begge parter bør enes om risikobildet.
Dersom det er stilt krav til lønns- og arbeidsvilkår eller andre seriøsitetskrav i kontrakten, må det gjennomføres en særskilt risikovurdering av disse kravene. Virksomheten bør involvere fagpersoner, fagetater, SHA-rådgivere og andre i risikovurderingen.
Denne risikovurderingen erstatter ikke kontrollplikten som gjelder for lovpålagte krav til lønns- og arbeidsvilkår [se kapittel 5].
Det er viktig å følge opp og årlig oppdatere risikoanalysen for rammeavtaler.
Risikovurdere kontrakten og utarbeide en plan med risikoreduserende tiltak
Oppnå en omforent forståelse av risikovurderingen og de risikoreduserende tiltakene med leverandøren
Når det stilles krav til lønns- og arbeidsvilkår, skal det gjennomføres jevnlige risikovurderinger av kontrakten for å avdekke risiko for brudd på kravene (kontrollplikt).
4.4 Administrative forhold
4.4.1 Oppstartsmøte
For å sikre et godt samarbeid med leverandøren(e) er det viktig å så tidlig som mulig etablere en felles forståelse av kontrakten og dens bestemmelser om krav til ytelse, frister, priser, faktureringsbetingelser, leveransebetingelser og eventuelle seriøsitetskrav mv. Dette kan gjøres i et oppstartsmøte med leverandøren.
Praktiske spørsmål rundt forståelsen av kontraktens innhold bør avklares på oppstartsmøtet. Ved rammeavtaler vil det ofte være spørsmål om avrop, bestillingsløsninger og varekataloger og såkalte PunchOut løsninger i leverandørens nettbutikk. Dersom kontrakten gjelder kjøp av en tjeneste, bør partene avklare innhold, kvalitet og eventuelle milepæler for leveransen i et oppstartsmøte. Er det stilt krav om sikkerhetsstillelse eller lignende, bør dette gjennomgås og sjekkes på møtet.
På oppstartsmøtet bør partene bli enige om det identifiserte risikobildet og planen for risikoreduserende tiltak.
I DFØs mal for kontraktsvilkår lønns- og arbeidsvilkår er det kontraktfestet at egenrapporteringsskjemaet skal innleveres senest en måned etter at kontrakten er signert. Egenrapporteringsskjemaet bør gjennomgås i oppstartsmøtet med leverandøren.
Gjennomføre oppstartsmøte med leverandøren for å få en omforent forståelse av kontrakten
Gjennomgang av risikovurdering og plan for risikoreduserende tiltak der dette er aktuelt (rammeavtaler)
Innhente egenrapportering om krav til lønns- og arbeidsvilkår der det er aktuelt. Skjema bør sendes ut i forkant av møtet slik at svarene kan gjennomgås i oppstartsmøtet
4.4.2 Samarbeidsmøter/statusmøter
For rammeavtaler bør det avholdes jevnlige statusmøter med leverandøren. Det vil også ofte være behov for jevnlige statusmøter under kontraktsperioden for tjenestekjøp, som for eksempel konsulentkjøp, eller andre kontrakter hvor kontraktsperioden strekker seg over tid. Statusmøtene bør også omfatte kontraktsfestede rapporteringsplikter mv.
Gjennomføring av regelmessige statusmøter bør kontraktsfestes for å gi partene forutsigbarhet. Statusmøtenes omfang og hyppighet bør tilpasses den overordnede risikovurderingen av virksomhetens kontraktsportefølje, se kapittel 3.
Det bør føres referat fra statusmøtene, og det anbefales å ha en fast agenda for å sikre at alle oppfølgings- og kontrollpunkter blir ivaretatt. Virksomheten kan gjennomføre utvidede statusmøter ved behov, for eksempel ved større rapporteringsplikter. Det anbefales å holde statusmøtet uken etter rapporteringsdato.
Basis:
Gjennomføre regelmessige statusmøter med leverandøren
Føre referat fra statusmøter
Avansert:
Statusmøtene vil være av større omfang og gjennomføres hyppigere (gjerne kvartalsvis)
4.4.3 Krav til rapportering om statistikk for kontrakten
Dersom virksomheten har oppstilt indikatorer, KPI-er (Key Performance Indicators) om for eksempel avtalelojalitet og miljøgevinster for egen virksomhet, må det inntas relevante rapporteringskrav knyttet til KPI-ene i kontrakten.
Avansert:
Definere KPI-er som for eksempel avtalelojalitet
Kontraktsfeste relevante rapporteringskrav for KPI-ene
4.5 Oppfølging av leveransen
For å sikre at virksomheten får levert kontraktsmessig ytelse på de kontraktsfestede betingelsene, må leveransen følges opp gjennom hele kontraktsperioden.
4.5.1 Kvalitet
Kontraktsforvalter må først avklare de kontraktsfestede kravene til kvalitet på ytelsen. Det kan for eksempel være krav til brukervennlighet på en tjeneste, riktig modell og type av en vare og andre kvalitetskrav. I tillegg inneholder kontrakten bestemmelser om frister og eventuelle andre leveringskrav.
Ved enkeltkjøp av varer må virksomheten følge opp kvalitetskriteriene i kontrakten ved mottak av varen.
Dersom det gjelder en tjeneste, må virksomheten sørge for at den leverte tjenesten oppfyller kravene i kontrakten, uavhengig av om det er en rammeavtale eller et enkeltkjøp. Dette fordrer at kontrakten tydeliggjør både tjenesten og krav til kvalitet på ytelsen. Det er viktig at virksomheten følger opp kvaliteten på ytelsen underveis i kontraktsforløpet. I mange tilfeller skal tjenesten leveres etter en fastsatt milepælsplan. Det kan også omfatte krav til kompetanseoverføring.
Ved gjentakende kjøp, for eksempel på en rammeavtale, kan det gjennomføres stikkprøvekontroller for å undersøke at leveransene oppfyller kontraktens krav.
Dersom bestilling på rammeavtalen gjøres av andre enn kontraktseier, bør det etableres gode rutiner for mottakskontroll hos bestillerne. Det er også viktig at det etableres rutiner for informasjonsflyt mellom kontraktseier og bestillerleddet i tilfelle det avdekkes avvik fra kontraktsfestet ytelse.
4.5.2 Oppfølging av prisbestemmelser
Virksomheten må følge opp at leverandøren overholder kontraktens prisbestemmelser. Dette skjer ved kontroll av faktura.
Det anbefales å kontraktsfeste krav til utforming av faktura for å sikre at bestilling kan kobles til kontrakten. Det bør også kontraktsfestes krav om at det skal fremgå av fakturaen hvilken leverandør eller underleverandør som har utført arbeidet eller leveransen, og eventuelt krav om å oppgi lokasjonen hvor arbeidet er utført og dato for arbeidet.
Fakturakontrollen bør omfatte:
Kontroll av at faktura er merket i henhold til kontraktens bestemmelser (referansenummer, ordrenummer, eHandel/bestillingsløsning)
kontroll av beløp på faktura opp mot kontraktens bestemmelser
undersøkelse av om organisasjonsnummeret på faktura stemmer med leverandørens organisasjonsnummer
kontroll av at oppgitt kontonummer tilhører kontraktsfestet leverandør
kontroll av at faktura mottas i EHF
4.5.3 Oppfølging av leveransefrister mv.
Virksomheten må følge opp at levering skjer i henhold til de avtalte frister i kontrakten. Det må etableres rutiner for mottak av varer og tjenester.
4.5.4 Revisjon og stikkprøver
Avanserte virksomheter kan gjennomføre revisjon av om leverandøren etterlever kontraktens ulike krav og stikkprøver av faktura som et ledd i oppfølgingen. Dette kan for eksempel være aktuelt ved gjentatte avvik og/eller ved eventuelle varsler fra bestillere e.l. Revisjoner kan også vurderes i kontrakter med høy risiko for brudd på seriøsitetskrav. Stikkprøvekontroll kan for eksempel gjøres sammen med byggherreplikter etter byggherreforskriften i bygg- og anleggskontrakter.
Det anbefales å kontraktsfeste rett til å gjennomføre revisjon. Virksomheten kan for eksempel kontraktsfeste rett til å foreta revisjon av leverandørens systemer, rutiner og aktiviteter som er forbundet med leveransen.
Virksomheten kan eventuelt benytte ekstern bistand ved gjennomføring av slike revisjoner. Dette krever at virksomheten har satt av budsjettmidler til dette.
Basis:
Mottakskontroll
Priskontroll/fakturakontroll
Oppfølging av leveransefrister
Oppfølging av kvalitet på levert ytelse
Rutiner for informasjonsflyt mellom bestiller og kontraktseier der det er aktuelt
Krav til faktura
Avansert:
Stikkprøvekontroller
Revisjon
4.6 Endringer i produktsortiment, priser og andre betingelser under kontraktsperioden
Virksomheten må fortløpende godkjenne eller avvise endringer av kontraktens produktsortiment eller tjenester (rammeavtaler). Det samme gjelder endring av kontraktens øvrige bestemmelser. Eventuell prisregulering må skje i henhold til kontraktens bestemmelser om prisindekser og frekvens for dette. Endringer må godkjennes skriftlig.
Virksomheten må påse at rammeavtalens omfang ikke overskrides vesentlig. Det anbefales at det føres en egen oversikt (statistikk) som viser samlet uttak på rammeavtalen. Eventuelle overskridelser bør vurderes juridisk. Dersom endringen er vesentlig, kan virksomheten risikere at det gjennomføres ulovlige direkte anskaffelser.
Det må holdes oversikt over påløpte kostnader på prosjekter slik at ikke budsjettrammene overskrides.
Avtalelojalitet kan vurderes opp mot leverandørreskontro og uttak på avtalen. Dette bør sjekkes regelmessig.
For innkjøpssamarbeid må det utarbeides rutiner for innhenting av data for oppfølging av omsetning og avtalelojalitet.
Godkjenne eller avvise endringer av produktsortiment eller tjenester
Prisregulering skal skje i henhold til kontraktens bestemmelser
Endringer skal skje skriftlig og arkiveres på samme sak som kontrakten
Overvåke at rammeavtalers omfang ikke overskrides vesentlig
Avansert:
Vurdere avtalelojalitet
4.7 Avvikshåndtering og sanksjonering
Ved eventuelle avvik fra kontraktsfestede krav til ytelse, priser eller levering, må virksomheten vurdere om det er grunnlag for å sanksjonere i tråd med kontraktens regulering.
Det er forsinkelse dersom ytelsen ikke leveres innen avtalt frist. For engangsleveranser vil det normalt bare være ett leveringstidspunkt. Løpende leveranser, som for eksempel konsulentoppdrag, hvor det er avtalt en fremdriftsplan, eller hvor kontrakten krever delleveranser frem til leveransen sluttføres, krever mer oppfølging underveis. Overskridelser av kontraktsfestede tidsfrister kan være forsinkelser som kan gi grunnlag for dagbøter. Det er bare forsinkelser som leverandøren er ansvarlig for, som er grunnlag for sanksjoner. Det må derfor vurderes om forsinkelsen skyldes forhold virksomheten selv må bære ansvaret for.
Ytelsen er mangelfull hvis den ikke oppfyller kontraktsfestede krav og spesifikasjoner. Virksomheten må undersøke leveransen/ytelsen opp mot kravene i kontrakten. Hvis ytelsen mottas av andre enn kontraktseier, for eksempel en fagetat i en kommune, må det etableres rutiner som sikrer at ytelsen undersøkes så raskt som mulig etter mottak. Kontraktseier må få informasjon om eventuelle avvik ved leveransen. Virksomheten bør forelegge eventuelle avvik for leverandøren som bør få en kort frist for uttalelse.
Dersom avvikene anses som brudd på kontrakten, må virksomheten vurdere om det skal ilegges sanksjoner som følge av kontraktsbruddet. Dette kan for eksempel være retting, omlevering, dagbøter, erstatning og heving dersom kontraktsbruddet (kontraktsbruddene) vurderes som vesentlige. Dette må vurderes opp mot kontraktens bestemmelser, ytelsens strategiske betydning for virksomheten samt alminnelige kontraktsrettslige prinsipper.
Virksomheten må være oppmerksom på eventuelle reklamasjonsfrister i kontrakten. Varekontrakter har noen ganger bestemmelser om garantier i tillegg til reklamasjonsreglene. Det må i slike tilfeller også vurderes om det er grunnlag for å utløse garantien.
Vurdering av sanksjoner skal gjøres skriftlig og dokumenteres på samme sak som kontrakten (arkiveres).
Basis:
Dokumentere avvik og arkivere vurderingen på samme sak som kontrakten
Reklamere i henhold til kontraktens frister
Forelegge eventuelle avvik for leverandøren med kort frist for kommentar
Sanksjonere avvik i tråd med kontraktens bestemmelser og kontraktsrettslige prinsipper
4.8 Opsjon på rammeavtaler
Virksomheten må vurdere om opsjon skal utløses i god tid før kontrakten utløper. Det anbefales at dette vurderes senest 12 måneder før utløpet av kontrakten. Virksomheten bør også legge til grunn en vurdering av om leverandøren har etterlevd kontraktsvilkårene.
I tillegg må virksomheten beregne den totale verdien av avrop på kontrakten for å sikre at omfanget angitt ved kunngjøring av konkurransen ikke blir overskredet ved utløsning av opsjon.
Vurderingen kan også omfatte resultater fra eventuell brukerundersøkelse, analyse av priser og betingelser, oversikt over markedssituasjonen og en vurdering av samarbeidet med leverandøren. En vurdering av kontraktens strategiske betydning for virksomheten kan også gjennomføres, før det avgjøres om opsjon bør utløses, eller om det skal gjennomføres ny anskaffelse.
Basis:
Vurdere opsjonsutløsing før kontrakten utløper og tidsnok til å rekke å eventuelt gjennomføre ny konkurranse
Avansert:
Gjennomføre brukerundersøkelser, analyse av forbruksdata og markedsanalyse før beslutning om opsjonsutløsning tas
4.9 Avslutning av kontrakten
Virksomhetens rammeavtaler blir ved kontraktsperiodens utløp vanligvis erstattet med en ny kontrakt dersom behovet fortsatt foreligger.
Det anbefales at virksomheten utarbeider et erfaringsdokument fra kontraktsoppfølgingen. Erfaringsdokumentet bør foreligge i god tid før kontraktens utløp slik at erfaringene kan benyttes i en ny anskaffelsesprosess. Det bør for eksempel kartlegges hva som fungerte bra og dårlig. Det kan eventuelt gjennomføres en brukerundersøkelse. Det anbefales at erfaringsdokumentet påbegynnes ved oppstart av kontrakten og at det underveis i kontraktsperioden noteres hendelser, forslag til endringer samt gode og dårlige erfaringer.
Det anbefales også at virksomhetene utarbeider et erfaringsdokument for sine enkeltkontrakter. Dette bør også omfatte forhold knyttet til eventuelle krav til lønns- og arbeidsvilkår og andre seriøsitetskrav.
Har du spørsmål eller trenger du veiledning, ta kontakt med oss!
Denne veilederen beskriver DFØs anbefalinger for hvordan kontraktsoppfølging kan og bør gjennomføres. Veilederen gir anbefalinger for kontraktsoppfølging generelt, og for oppfølging av seriøsitetskrav spesielt.
I dette kapittelet beskrives oppfølging og kontroll av seriøsitetskrav.
Seriøsitetskrav er kontraktsvilkår som skal motvirke arbeidslivskriminalitet og sosial dumping i offentlige kontrakter. Slike krav kan være pålagt i lov og forskrift:
Begrensning i antall ledd i leverandørkjeden i bygge- og anleggskontrakter og renholdskontrakter som overstiger en terskelverdi, jf. anskaffelsesforskriften § 8-13 og § 19-3.
Krav om betaling av lønn og annen godtgjørelse via bank, jf. anskaffelsesforskriften § 8-12a og § 19-5.
Andre seriøsitetskrav er kontraktsvilkår som ofte stiller strengere krav enn det regelverket krever. Slike kontraktsvilkår benyttes typisk i bygge- og anleggskontrakter samt tjenestekontrakter med høy risiko for arbeidslivskriminalitet eller sosial dumping. I den grad det er stilt seriøsitetskrav i kontrakten utover lovpålagte krav, må disse følges opp.
Oppfølging og kontroll av seriøsitetskrav (lovpålagte og andre seriøsitetskrav) krever ofte spesialkompetanse. Det er viktig at det etableres et godt samarbeid mellom kontraktsforvalter og eventuelle ressurser med spesialkompetanse. Fagpersoner, fagetater og SHA-rådgivere kan involveres i dette arbeidet. Hvis virksomheten ikke har tilstrekkelige ressurser eller fagkompetanse, kan det etableres samarbeid med andre virksomheter i oppfølgings- og kontrollarbeidet.
Det anbefales at virksomheten i størst mulig grad gjennomfører oppfølging og kontroll av krav til lønns- og arbeidsvilkår, krav til lærlinger og leverandørkjedebegrensninger og andre seriøsitetskrav sammen med den generelle kontraktsoppfølgingen (se kapittel 4). Det kan for eksempel være hensiktsmessig å ta opp oppfølging av seriøsitetskrav i statusmøter med leverandøren.
Basis:
Virksomheten skal stille lovpålagte krav til lønns- og arbeidsvilkår mv., krav til lærlinger, begrense antall ledd i leverandørkjeden i relevante kontrakter samt stille krav om betaling via bank.
Avansert:
Avanserte virksomheter kan vurdere å stille relevante krav til seriøsitet utover de lovpålagte kravene.
Virksomheten må sikre oppfølging og kontroll av både lovpålagte krav samt andre seriøsitetskrav.
5.1 System og rutine for kontroll av krav til lønns- og arbeidsvilkår
Utarbeide system og rutine for oppfølging og kontroll av lønns- og arbeidsvilkår
5.2 Kontrollplikt lønns- og arbeidsvilkår
Dersom det er stilt krav til lønns- og arbeidsvilkår mv. i kontrakten, har virksomheten plikt til å følge opp og kontrollere at arbeidstakerne som utfører arbeid på kontrakten har lønns- og arbeidsvilkår i tråd med enten gjeldende allmenngjøringsforskrift eller landsomfattende tariffavtale.
Dersom kontrakten er dekket av en allmenngjøringsforskrift, gjelder også forskrift om informasjons-, påseplikt og innsynsrett. Påseplikt innebærer at hovedleverandøren har plikt til å påse at lønns- og arbeidsvilkår hos underleverandørene er i overenstemmelse med gjeldende allmenngjøringsforskrift. Påseplikten omfatter alle ledd i leverandørkjeden som utfører arbeid som omfattes av allmenngjøringsforskriften. Dersom hovedleverandøren ikke har underleverandører, vil bestiller (virksomheten) ha påseplikt. Påseplikten gjelder uavhengig av kontraktens verdi. Påseplikt er nærmere beskrevet på Arbeidstilsynets hjemmesider.
For å kunne gjennomføre kontrollplikt- og påseplikt, må det gjennomføres jevnlige risikovurderinger av kontrakten gjennom hele kontraktsperioden. Dette gjelder kontraktens krav til lønns- og arbeidsvilkår, og er det første steget i gjennomføring av kontrollplikten. Det må utføres ytterligere kontroll der risikoen for brudd på kravene er høyest.
Det anbefales å bruke et egenrapporteringsskjema for å innhente relevant informasjon fra leverandøren som kan inngå i risikovurderingen. Krav til egenrapportering må kontraktsfestes, og bør legges ved som et bilag til kontrakten.
Dersom risikovurderingen avdekker høy risiko for brudd på kravene til lønns- og arbeidsvilkår mv. , skal det gjennomføres mer kontroll. Dette kan for eksempel gjennomføres trinnvis:
Virksomheten kan innhente oversikt over arbeidstakere som har utført arbeid på kontrakten. I bygge- og anleggskontrakter kan det for eksempel tas utgangspunkt i oversiktslisten som føres etter byggherreforskriften. Det bør også innhentes opplysninger om eventuelle underleverandører.
Virksomheten kan innhente dokumentasjon om hvilke allmenngjøringsforskrifter eller tariffavtaler som er lagt til grunn av leverandøren. Det må vurderes hvilken tariffavtale eller allmenngjøringsforskrift som er relevant for arbeidet på kontrakten.
Deretter innhentes dokumentasjon som arbeidsavtaler, timelister og lønnslipper for et utvalg av de ansatte som har utført arbeid på kontrakten. Slik dokumentasjon inneholder personopplysninger, og virksomheten må behandle disse i tråd med personvernregelverket.
Virksomheten kan også gjennomføre stedlige kontroller, men dette må i så fall kontraktsfestes. Virksomheten bør vurdere om de har tilstrekkelige ressurser med riktig kompetanse for å gjennomføre stedlig kontroll.
Stedlige kontroller
Gjennomføring av stedlige kontroller i særlig risikoutsatte kontrakter:
Tydeliggjør om det skal gjennomføres varslet eller uvarslet kontroll hos leverandøren. Varsel kan for eksempel sendes ut kort tid før kontrollen gjennomføres (for eksempel 3 dager til en uke).
Det bør minimum være to personer fra virksomheten til stede under kontrollen
Avklar på forhånd hva som skal kontrolleres. Bruk risikovurderingen aktivt i vurderingen.
Kontrollen kan starte med et felles møte med alle involverte hvor tidsplan og kontrollaktiviteter gjennomgås.
Etter avsluttet kontroll bør notater og eventuelle observasjoner gjennomgås og vurderes.
Gjennomfør et avsluttende møte med leverandøren hvor observasjoner og eventuelle funn presenteres. Gi leverandøren mulighet til å kommentere og gi tilleggsinformasjon for å oppklare eventuelle misforståelser.
Dersom det avdekkes brudd på kontraktsvilkårene, må det vurderes sanksjoner. Les mer om dette i kapittel 4.
Det bør alltid utarbeides en rapport etter gjennomført kontroll, og denne bør også forelegges leverandøren for kommentarer. Rapporten skal dokumenteres, og bør arkiveres på samme sak som kontrakten.
Kontrollpliktens innhold og gjennomføring er nærmere beskrevet i DFØs veileder for krav til lønns- og arbeidsvilkår .
Virksomheten skal gjennomføre jevnlige risikovurderinger av kontrakter hvor det er stilt krav til lønns- og arbeidsvilkår etter forskriften.
Virksomheten skal gjennomføre ytterligere, dokumentasjonsbasert, kontroll ved høy risiko for brudd på kravene til lønns- og arbeidsvilkår.
Virksomheten skal utforme en skriftlig rapport etter kontroll som også inkluderer risikovurderingen. Rapporten skal arkiveres på samme sak som kontrakten.
Avansert:
Virksomheten kan kontraktsfeste adgang til stedlige kontroller (både annonserte og uannonserte) i kontrakten.
5.3 Oppfølging av krav til lærlinger, begrensninger i antall ledd i leverandørkjeden og krav om betaling via bank
Krav om lærlinger, krav om begrensninger i antall ledd i leverandørkjeden og krav om betaling via bank skal følges opp.
Leverandør og eventuelle underleverandører må være godkjent lærebedrift for å oppfylle kravet til lærlinger etter forskriften. Godkjenning er regulert i opplæringsloven § 4-3 og i forskrift til opplæringsloven §§ 11-1 og 11-2. Plikter og rettigheter til lærebedriftene følger av opplæringsloven § 4-4. Det bør kreves at leverandøren legger frem dokumentasjon som viser at leverandør eller underleverandør er godkjent lærebedrift. Det bør også innhentes læreplaner og inngåtte lærekontrakter for lærlinger som har utført arbeid på kontrakten.
I bygge- og anleggskontrakter vil bruk av HMSREG eller tilsvarende systemer gi en god oversikt over hvilke leverandører som utfører arbeid på kontrakten, og om det er lærlinger til stede der hvor arbeidet utføres.
Dersom virksomheten ikke benytter HMSREG eller tilsvarende systemer, eller det er tale om andre typer tjenestekontrakter, må det innhentes timelister og annen relevant dokumentasjon som viser om leverandøren eller underleverandøren har brukt lærling(er) på kontraktsarbeidet.
Det kan være utfordrende å holde oversikt over leverandører og arbeidstakere på tjenestekontrakter hvor det ikke er krav til å føre oversiktslister over hvem som utfører arbeidet. Dersom virksomheten ønsker å kontraktsfeste krav om registrering av arbeidstakere, må det vurderes om det er adgang til å behandle disse personopplysningene.
Det anbefales at virksomheten kontraktsfester at leverandøren skal opplyse om bruk av underleverandører. Endringer skal varsles før en underleverandør starter arbeid på kontrakten.
Oppdragsgiver har plikt til å gjennomføre nødvendig kontroll av om kravet om betaling via bank er oppfylt. DFØ har utarbeidet veiledning om dette kravet og hvordan kravet skal følges opp og kontrolleres.
Følge opp krav til lærlinger der kontrakten inneholder krav etter forskriften om krav til lærlinger i offentlige kontrakter
Følge opp krav til begrensning i antall ledd i leverandørkjeden der slike krav er stilt etter FOA §§ 8-13 og 19-3
5.4 Oppfølging av andre seriøsitetskrav
Det er opp til virksomheten å vurdere om det skal stilles seriøsitetskrav utover de lovpålagte kravene, og i tilfelle hvilke krav som er hensiktsmessige og lovlige. Det vil derfor variere hvilke krav som er stilt. Dersom virksomheten ikke har tilstrekkelige ressurser og kompetanse (basisnivå), må virksomheten tilføres de nødvendige ressurser og organisatoriske forutsetninger for å stille seriøsitetskrav utover lovpålagte krav.
Dersom det stilles seriøsitetskrav utover de lovpålagte kravene, anbefales det at virksomheten følger opp disse kravene i tråd med de anbefalte stegene i veilederens kapittel 4. Virksomheten bør likevel være oppmerksom på at oppfølging av seriøsitetskrav ofte krever spesialkunnskap, og at det kan være behov for å opprette en egen rolle som ivaretar oppfølgingen av slike kontraktsvilkår.
Virksomheten bør benytte kompetanse i hele organisasjonen for å fange opp eventuelle avvik. Dette kan for eksempel være SHA-rådgivere på virksomhetens byggeplasser og intern HR-kompetanse for vurdering av for eksempel tariffbestemmelser og lønn. Virksomheten kan også samarbeide med det lokale Arbeidstilsynet og andre kontrolletater. En del virksomheter samarbeider også med Fair Play bygg mv.
Siden virksomhetene ikke er pålagt å stille seriøsitetskrav utover de lovpålagte kravene, er det ikke mulig å angi en uttømmende liste over seriøsitetskrav og hvordan disse kan følges opp. Virksomheten kan benytte sjekklistene som følger denne veilederen, og selv fylle inn sine kontraktsfestede seriøsitetskrav.
Nedenfor er en liste som viser noen seriøsitetskrav som er vanlige å stille:
Krav til utvidet skatteattest (innhente skjema RF 1507 fra Skatteetaten)
Skatteetaten har publisert informasjonsvideoer som viser hvordan virksomheten kan bestille opplysninger om skatt og avgift.
Film nr. 1 viser steg for steg hvordan en virksomhet kan bestille opplysninger om skatt og avgift for egen bedrift, og hvordan du kan gi en eksisterende eller fremtidig oppdragsgiver tilgang til disse opplysningene.
Film nr. 2 og 3 er en gjennomgang av opplysningene i skjemaet. Hvilke opplysninger er det som gis, hvor er de hentet fra, og hva betyr de. Vi gir også noen tips om hva en oppdragsgiver eller anskaffer kan være oppmerksom på, hvis du er gitt tilgang til opplysningene i forbindelse med inngåelse eller oppfølging av avtale.
I videoene forklarer Skatteetaten hva opplysningene kan bety:
Dette kan virksomheten sjekke gjennom elektronisk adgangskontroll med bruk av HMS-kort.
Se mer om krav til HMS-kort på byggeplasser og krav til HMS-kort ved anskaffelse av renholdstjenester.
Krav til prosentandel lærlinger som utfører arbeid på kontrakten
For å kunne følge opp dette kontraktsvilkåret, må virksomheten stille krav til hvilken dokumentasjon som leverandøren skal legge frem. Dette kan for eksempel være timelister. Det bør også vurderes å kontraktsfeste andre krav som for eksempel at det skal fremgå hvilken leverandør eller underleverandør som har utført arbeidet som involverte lærlingene.
Virksomheten bør kreve at leverandøren legger frem relevant dokumentasjon som viser at leverandør eller underleverandør er godkjent lærebedrift. Det bør også innhentes læreplaner og inngåtte lærekontrakter for lærlingene som har utført arbeid på kontrakten.
Dersom virksomheten benytter HMSREG eller tilsvarende systemer, vil virksomheten kunne hente ut informasjon gjennom systemet. Det kan også vurderes om virksomheten skal kontraktsfeste en rett til å gjennomføre stedlige kontroller for å følge opp kravet.
Eksempel på seriøsitetsbestemmelser:
Fellesforbundet, Byggenæringens Landsforening (BNL), Kommunesektorens interesse- og arbeidsgiverorganisasjon i Norge (KS) og Direktoratet for forvaltning og økonomistyring (DFØ) har sammen utarbeidet et forslag til seriøsitetsbestemmelser til bruk i bygg- og anleggskontrakter.
Det er utarbeidet en sjekkliste som kan brukes for å følge opp disse seriøsitetsbestemmelsene.
5.5 Personvern
Når virksomheten skal gjennomføre kontrollplikten i forskrift om lønns- og arbeidsvilkår og oppfølging av seriøsitetskrav, kan det føre til at virksomheten behandler personopplysninger. Behandling av personopplysninger skal skje i samsvar med personvernlovgivningen.
Vi anbefaler at virksomheten utarbeider en rutine for å sikre at behandling av personopplysninger skjer på en lovlig og trygg måte når virksomheten gjennomfører sine kontrollplikter. Dersom virksomheten allerede har generelle retningslinjer eller en policy for behandling av personopplysninger, bør virksomheten sikre at behandling av personopplysninger i forbindelse med slike kontroll- og oppfølgingsaktiviteter ivaretas i den eksisterende rutinen.
5.5.1 Prinsipper for behandling av personopplysninger
Når virksomheten behandler personopplysninger i forbindelse med gjennomføring av kontrollplikter eller andre oppfølgingsaktiviteter i forbindelse med kontraktsforvaltning, må personvernprinsippene ivaretas:
lovlig, rettferdig og gjennomsiktig
formålsbegrensning
dataminimering
riktighet
lagringsbegrensning
integritet og konfidensialitet
ansvarlighet
5.5.2 Krav til virksomheten for behandling av personopplysninger
Virksomheten har flere plikter etter personvernregelverket når personopplysninger innhentes og behandles.
Behandlingen må være lovlig
Behandling av personopplysninger kan bare skje dersom det foreligger et lovlig behandlingsgrunnlag i samsvar med kravene i GDPR art. 6 til 10:
Samtykke
Nødvendig for å oppfylle en avtale
Nødvendig for å oppfylle en rettslig plikt
Nødvendig for å beskytte vitale interesser
Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet
Nødvendig for å ivareta legitime interesser – interesseavveiing
Virksomheten må vurdere hvilket behandlingsgrunnlag som er aktuelt for behandling av de personopplysningene som virksomheten innhenter før opplysningene faktisk innhentes for at behandlingen skal være lovlig. Dersom det er flere behandlingsgrunnlag som er aktuelle, skal virksomheten legge til grunn det behandlingsgrunnlaget som setter de registrerte i en best mulig posisjon.
Virksomheten må løpende følge opp at behandlingen er i tråd med det formålet med behandlingen som ble lagt til grunn før behandlingen startet. Virksomheten må også sjekke at rettsgrunnlaget for behandlingen fortsatt er dekkende.
Forskrift om lønns- og arbeidsvilkår i offentlige kontrakter § 7 pålegger offentlige oppdragsgivere å gjennomføre kontroll. Denne forskriften gir grunnlag for å behandle personopplysninger i forbindelse med gjennomføring av kontrollplikten da dette er en såkalt rettslig plikt, jf. GDPR art. 6 nr. 1. bokstav c. Forskriften gir også tilstrekkelig grunnlag for å lagre opplysningene for å dokumentere at kontroll er utført. Behandlingsgrunnlaget er bare gyldig innenfor forskriftens virkeområde. Det kan dermed bare innhentes relevante personopplysninger for ansatte som utfører arbeid på kontrakten for den perioden arbeidet faktisk er utført.
I den grad innhenting og behandling av dokumentasjon som inneholder personopplysninger ikke har grunnlag i lov eller forskrift, men er inntatt som kontraktsfestede seriøsitetskrav, er dette ikke å anse som en rettslig plikt. Heller ikke samtykke i medhold av GDPR art. 6 nr. 1 bokstav a antas å være et lovlig behandlingsgrunnlag i slike tilfeller. Behandling av personopplysninger i medhold av GDPR art. 6 nr. 1 bokstav e kan eventuelt være et aktuelt behandlingsgrunnlag. Behandlingen vil etter dette være lovlig dersom den er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Både behandlingsgrunnlag etter bokstav c (rettslig plikt) og bokstav e (nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet) krever at behandlingen er «nødvendig». Dette må vurderes konkret, og virksomheten finner mer informasjon på Datatilsynets hjemmesider.
Krav til åpenhet
Virksomheten må informere om hvilken dokumentasjon som vil bli innhentet i forbindelse med gjennomføring av kontrollpliktene og oppfølging av kontrakten til leverandøren. Informasjonen bør også si noe om rutinene for behandlingen og mulighetene for å få innsyn i opplysningene for de registrerte.
Formål med behandlingen
Virksomheten må definere formålet med behandlingen av personopplysningene. Formålet med behandlingen skal fremgå av virksomhetens protokoll for behandling av personopplysninger.
Dataminimering
Før personopplysninger innhentes, skal virksomheten vurdere hvilke opplysninger det er nødvendig å innhente for å gjennomføre kontrollplikten og oppfølgingen av kontrakten. Virksomheten skal også slette personopplysninger som ikke er adekvate, relevante eller nødvendige.
Riktighet
Virksomheten skal bare behandle personopplysninger som er korrekte, og om nødvendig oppdaterte i tråd med GDPR art. 5 nr. 1 bokstav d. Dette betyr at virksomheten må rette eller slette personopplysninger som ikke er korrekte og oppdaterte. Dette kan for eksempel gjennomføres ved at virksomheten i etterkant av dokumentasjonsgjennomgangen gir mulighet for kontradiksjon fra leverandøren.
Lagringsbegrensning og sletting
Virksomheten skal ikke lagre personopplysninger på en slik måte at det er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for å oppnå formålet med behandlingen. Virksomheten skal slette eller anonymisere personopplysninger dersom det ikke lenger er grunnlag for videre behandling.
Informasjonssikkerhet
Virksomheten skal behandle personopplysninger på en måte som gir tilstrekkelig sikkerhet og vern mot uautorisert eller ulovlig behandling. Behandlingen skal også gi vern mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske, organisatoriske tiltak. Tiltakene som iverksettes skal stå i forhold til den risiko behandlingen innebærer for den registrerte.
Virksomheten bør utarbeide rutiner for hvordan personopplysninger skal behandles og hvem som skal få tilgang til personopplysningene i organisasjonen. Rutinene skal også inneholde tiltak for å avdekke avvik og for å påse at avvik blir fulgt opp og lukket.
Protokoll over behandling av personopplysninger
Virksomheten skal etablere og holde vedlike en protokoll over de behandlingsaktivitetene som gjennomføres. Vi anbefaler at Datatilsynets mal benyttes.
Har du spørsmål eller trenger du veiledning, ta kontakt med oss!
