2026-03-20
Dataskyddsombud
Ansök gärna så snart som möjligt då uppdraget kan tillsättas innan sista ansökningsdag.
Uppdragsbeskrivning
Eftersom samarbetet kring en gemensam DSO upphört vid årsskiftet, behöver Gnesta kommun utse en ny DSO. Genom kraven som kommer med införandet av NIS2- och CER-direktiven finns en ambition att knyta flera närliggande verksamheter till dataskyddsarbetet för att skapa synergieffekter och hålla nere arbetsbördan för verksamheterna.
Upphandlingen innehåller därför två delar: Ett fast uppdrag som DSO samt råd och stöd kring informationssäkerhet och övriga närliggande verksamhetsområden. Vilken typ av uppdrag som den senare delen kommer att omfatta är inte klart i dagsläget, eftersom verksamheten är under utveckling. Dock anser vi att viktigt att DSO:n ingår i den paketlösning som håller på att arbetas fram och ingår i ett sammanhang med fler kompetenser som behövs för den verksamhet vi har ambition att bygga upp.
Det grundläggande i upphandlingens andra del är att etablera ett systematiskt och riskbaserat informationssäkerhetsarbete, tydliggöra ansvar och roller sam att etablera en incidenthanteringsprocess och förstärka säkerheten i kommunens leveranskedja för information. Våren 2025 genomförde kommunen en GAP-analys inför den kommande cybersäkerhetslagen och som resulterade i ett antal rekommenderade åtgärder. Åtgärderna finns listade i bilaga 1. Åtgärdsförslag och ger en bild av vilken typ verksamhet som kommunen behöver råd och stöd kring i upphandlingens andra del.
Dataskyddsarbete
Sedan dataskyddsförordningens införande har Gnesta kommun samverkat med andra kommuner i Sörmland om ett gemensamt dataskyddsombud (DSO). Samarbetet upphörde vid årsskiftet. Inom kommunen finns ett etablerat närverk med utpekade personer med ansvar för dataskyddsverksamheten inom varje förvaltning och som hålls ihop av en central samordnare. Inom nätverket finns även de kommunala bolagen, men de kommer att ha en egen DSO efter årsskiftet.
Informationssäkerhetsarbete
Under våren 2025 genomfördes en GAP-analys av en extern konsult inför genomförandet av kraven som kommer inom NIS2- direktivet. Analysen kommer att ligga till grund för införandet av ett systematiskt informationssäkerhetsarbete inom kommunen. Arbetet är befinner sig enbart i startgroparna, men ambitionen är att integrera dataskyddsverksamheten med informationssäkerhetsarbetet.
Ersättningen för uppdraget uppgår till den summa som budgeterats för uppdraget. Beloppet kan komma att ändras beroende på budgettilldelning.
Upphandlingen omfattar två typer av tjänster:
•Ett fast grunduppdrag som dataskyddsombud utifrån det uppdrag som finns stadgat i dataskyddsförordningen.
•Tilläggstjänster kring informationssäkerhet och angränsande verksamheter, beroende av hur Gnesta kommun väljer att utforma verksamheten för att uppfylla kraven i NIS2- och CER-direktiven.
Dataskyddsombudet ska ha en rådgivande, stödjande och granskande funktion i verksamheten. Ansvaret för att det dagliga dataskyddsarbetet ligger inom verksamheterna. Rollen som DSO ser vi i första hand som en person som dataskyddsansvariga inom verksamheterna kontaktar vid behov.
Krav
•kunskapsstöd i dataskyddsförordningen, kameraövervakningslagen och övrig dataskyddslagstiftning.
•Rådgivning vid konsekvensbedömningar, förhandssamråd, avtalsskrivning (PUB-avtal, biträdesavtal, datadelningsavtal) etc.
•Bistå vid utredningar av misstänkta personuppgiftsincidenter och andra incidenter som berör dataskydd.
•Kontaktperson gentemot tillsynsmyndigheten för dataskydd gällande incidentrapporteringar, förhandssamråd, granskningar från IMY etc.
•Ansvarar för granskningen av dataskyddsverksamheten i en informationssäkerhetsrapport till kommunens ledning och politik (frekvens och utformning av informationssäkerhetsrapporten fastställs i styrdokument samband med att en ny verksamhet och organisation utarbetas). I granskningen ska finnas en riskbedömning av utvecklingsbehov och konkreta rekommendationer.
Responstider under normal kontorsarbetstid:
•Incidenter 24 timmar.
•Bekräftelse 24 timmar.
•Rådgivning 3 dagar
TID / OMFATTNING / PLACERING
Kontraktet gäller från och med undertecknande och gäller därefter i två (2) år med möjlighet för kommun att förlänga Kontraktet ytterligare ett (1) år. Som längst kan Kontraktet gälla i tre (3) år.
Uppdraget kan i huvudsak utföras på distans. Leverantören ska dock vid behov kunna utföra arbete på plats hos beställaren.
Omfattning: 300 tim
Skallkrav
- Beskriv bemanning och organisation vid planerad och oplanerad frånvaro för att responstiderna ska kunna upprätthållas.
- Relevant akademisk utbildning för rollen som dataskyddsombud.
- Minst tre års dokumenterad erfarenhet inom dataskyddsområdet.
- Dokumenterad erfarenhet som dataskyddsombud eller funktion som bedöms som likvärdig inom närliggande verksamhetsområden.
- Minst 6 månaders dokumenterad erfarenhet inom kommunal sektor under de senaste tre åren.
- Beskriv er organisation och strategi för hur dataskyddsombudet samverkar med övriga specialistkompetenser inom er organisation och på vilket sätt de kan bidra med tilläggstjänster för Gnesta kommun.
- Beskriv vilka relevanta kompetenser som finns inom organisationen som kan bistå i verksamheten. Beskriv även vilka förutsättningar som måste finnas hos Gnesta kommun för att övriga specialistkompetenser ska kunna bistå i den utvidgade verksamheten som vi planerar.
- Anbudsgivaren ska uppge minst två av varandra oberoende referenser från samverkan inom flera specialistkompetenser hos en uppdragsgivare under de senaste 3 åren, varav en från en kommunal verksamhet. (i separat bilaga)
Börkrav
- Eftersom Gnesta kommun önskar knyta flera likartade verksamhetsområden (informationssäkerhet, informationsstyrning, kontinuitetsplanering, IT-säkerhet etc.) till dataskyddsarbetet är det önskvärt att dataskyddsombudet ingår i ett sammanhang där övriga kompetenser finns, exempelvis ett fast nätverk eller ett team inom organisationen.