Rekommendationer för upphandling av data

Rekommendationerna för upphandling av data ger offentliga aktörer stöd i arbetet med kravställning. De ska användas som ett komplement till annat upphandlingsstöd kring exempelvis digital teknik, e-tjänster, förstudier och utredningar. Rekommendationen har tagits fram i samverkan mellan DIGG, Upphandlingsmyndigheten, e-Sam, RISE och Västra Götalandsregionen.

Inledning

Genom att följa dessa rekommendationer kan offentliga verksamheter skapa bättre förutsättningar för att kostnadseffektivt kunna använda, hantera och tillgängliggöra data. Rekommendationerna bidrar också till minskade risker för inlåsning av data och bristande informationssäkerhet. Långsiktigt skapar detta en mer kostnadseffektiv offentlig förvaltning och lägger grunden för att data ska kunna hanteras som en strategisk resurs för samhällets utmaningar.

Denna rekommendation följer den definition av data som finns i lagen om den offentliga sektors tillgängliggörande av data.

Data = information i digitalt format oberoende av medium.

(Ur Sveriges datalag)

Lag (2022:818) om den offentliga sektorns tillgängliggörande av data (riksdagen.se) Länk till annan webbplats.

Rekommendation för offentliga aktörer

Här sammanfattas rekommendationerna för upphandling av data. Mer information hittar du under respektive kravområde.

Kravområde 1: Säkra rätten till er data

A. Informationssäkerhetsklassa data som ska upphandlas
B. Tydliggör upphovsrättslig status på data
C. Hantera konsulters produktion av data i den egna verksamheten
D. Undvik att data begränsas av statistiksekretess i onödan
E. Ta höjd för större organisationsförändringar
Länkar till relaterad läsning

Kravområde 1: Säkra rätten till er data

Kravområde 2: Ställ krav på strukturerade data

A. Kravställ på strukturerade och maskinläsbara data
B. Sträva efter öppna specifikationer och format
C. Separera data av olika känslighetsgrad
D. Säkerställ bra metadata
E. Ställ krav på nyttjande av redan delad data
Länkar till relaterad läsning

Kravområde 2: Ställ krav på strukturerade data

Kravområde 3: Begrepp, terminologi och språk som möjliggör interoperabilitet

A. Använd befintlig terminologi om möjligt
B. Vid behov av ny terminologi
C. Säkerställ krav på korrekt språkhantering
Länkar till relaterad läsning

Kravområde 3: Begrepp, terminologi och språk som möjliggör interoperabilitet

Kravområde 4: Långsiktigt hållbara domäner och länkar

A. Säkerställ datadelning på ett domännamn ni kontrollerar
B. Möjliggör länkning till datamängder med beständiga identifierare
C. Möjliggör länkade data
Länkar till relaterad läsning

Kravområde 4: Långsiktigt hållbara domäner och länkar

Kravområde 5: Möjliggör åtkomst till er data

A. Tillgängliggör data om möjligt via API:er
B. Hantera olika målgruppers behov av åtkomst till data
C. Säkerställ processen för åtkomst till data
D. Skapa säker åtkomst till data
E. Ha en plan för migrering av data från beställd lösning
Länkar till relaterad läsning

Kravområde 5: Möjliggör åtkomst till er data

Kravområde 6: Dokumentation som stödjer god datahantering

A. Specificera vad som ska dokumenteras och hur
B. Specificera hur dokumentation och annat stöd ska hanteras över tid
C. Ta höjd för dokumentation som stödjer ett teknikbyte
Länkar till relaterad läsning

Kravområde 6: Dokumentation som stödjer god datahantering

Kravområde 7: Rätt till förvarning och stöd vid förändringar i datahanteringen

A. Specificera formerna för förvarningar inför förändringar
B. Specificera annat stöd för en förändrad datahanteringen
C. Ta höjd för avslut på en datahantering
Länkar till relaterad läsning

Kravområde 7: Rätt till förvarning och stöd vid förändringar i datahanteringen

Om denna rekommendation

Läs mer om rekommendationens målgrupper, när den kan användas och om dess status och avgränsningar.

Målgrupp för rekommendationen

Den primära målgruppen för denna rekommendation är de personer inom offentliga organisationer som deltar i inköpsprocessen, både de som ansvarar för upphandlingen och de som agerar som sakkunniga. En sekundär målgrupp är också leverantörer till dessa. Andra aktörer kan också med fördel använda dessa rekommendationer för att skapa bättre förutsättningar för att kunna använda, hantera och dela data.

Exempel på upphandlingssituationer

Rekommendationerna kan användas i upphandlingar eller inköp som på något sätt omfattar data. Det kan handla om data som redan finns i verksamheten och ska hanteras i uppdraget, data som ska produceras på uppdrag av beställaren eller data som köps in.

Här är några exempel på upphandlingssituationer när rekommendationerna är lämpliga att applicera:

  • När data beställs eller ska hanteras i samband med upphandling av digitala system, lösningar och tjänster - upphandlingar där man anskaffar data i samband med IT-utveckling eller inköp av någon form av digitalt system, lösningar eller tjänster.
  • När data beställs som fristående leverans - upphandlingar där man införskaffar data i redan färdiga format eller som färdiga produkter, t.ex. kostinformation om skolmaten, produktinformation om förbrukningsvaror, eller en bildbank. Det kan också vara data i form av underlagsdata, standarder, specifikationer eller terminologier som behövs för att stödja annan verksamhet.
  • När data beställs i samband med utredningar och analyser - upphandlingar där en tredje part, t.ex. en konsultfirma, tar fram en datamängd som en del av t.ex. en utredning, analys eller förstudie på uppdrag av en offentlig organisation. Dessa data definieras ofta av att det handlar om enskilda leveranser snarare än om ett kontinuerligt informationsflöde.

Status och avgränsningar

Den här vägledningen handlar enbart om anskaffningen av data. Därför kan det finns det ett flertal andra områden och aspekter som behöver beaktas inför en kommande upphandling. Följande områden tas inte upp eller är endast ytligt berörda i denna rekommendation och behöver hanteras separat utifrån andra rekommendationer:

  • IT-utveckling och drift av IT-system och tjänster, t.ex. för frågor kring teknisk plattform, funktionalitet, användbarhet, test, öppen källkod och tekniska säkerhetsfrågor.
  • Frågor som rör GDPR och Offentlighet och sekretesslagen (OSL)
  • Lagring av information i enlighet med Schrems II och andra rekommendationer för molnlagring

Det är den offentliga organisationens eget val för hur och när denna rekommendation ska tillämpas.

Inköpsprocessen

Varje enskild upphandling har olika förutsättningar och behov. För att avgöra vilka krav som bör ställas i en upphandling är det viktigt att först läsa igenom denna rekommendation och andra tillämpbara rekommendationer för att sedan göra en bedömning i det enskilda fallet. Inköpsprocessen bör omfatta följande steg.

Genom att lägga tid på förberedelserna inför en upphandling skapar den upphandlande organisationen goda förutsättningar för att säkerställa ett avtal som möter organisationens behov och mål.
Varje organisation bör fatta beslut om hur dessa rekommendationer ska hanteras i inköpsprocessen. Om man har en upphandlingsavdelning är det rekommenderat att denna ansvarar för att hålla ihop den övergripande inköpsprocessen och att lyfta fram rekommendationen till de sakkunniga, t.ex. produktägare och informationsägare, informationsförvaltare av IT-system eller arkivarier.

Beakta följande:

  • Identifiera viktiga kompetenser och resurser för upphandlingsarbetet, samt säkerställ deras deltagande i arbetet.
  • Kartlägg och analysera behovet och marknaden. Eftersom detta är nya rekommendationer även för leverantörerna, kan det vara bra att ha en tidig dialog med marknaden.
  • Undersök om man behöver tillämpa ett stegvis uppfyllande av särskilda kontraktsvillkor under avtalsperioden för att öka antalet leverantörer som kan lämna anbud. Ett särskilt kontraktsvillkor är ett krav som en leverantör inte behöver uppfylla när anbudet lämnas in. Kravet ska istället accepteras av leverantören och uppfyllas under kontraktstiden.

I genomförandet av upphandlingen ingår att ta fram upphandlingsdokument. Hur kraven ska formuleras beror på vad som ska upphandlas och vad syftet med upphandlingen är.
Beakta följande:

  • Om krav ställs på att standarder ska användas, måste kravet dock följas av orden ”eller likvärdig”.
  • Kontraktsvillkoren ska ange vilka rättigheter och skyldigheter leverantören och den upphandlande organisationen har och hur leveransen eller uppdraget ska utföras.
  • Det finns begränsade möjligheter att ändra i upphandlade kontrakt. Därför är det viktigt att ta hänsyn till de specifika förutsättningarna för den aktuella upphandlingen och beaktar framtida behov när du utformar upphandlingsdokumenten. För att göra ert kontrakt flexibelt kan ni till exempel använda er av ändrings- och optionsklausuler där ni beskriver vad i kontraktet som får ändras och på vilket sätt.

När ni har genomfört upphandlingen är det dags att realisera det upphandlade avtalet. Det är nu avtalet ska implementeras i organisationen samt förvaltas och följas upp så att du når de mål som satts upp för upphandlingen.

Arbeta aktivt med avtalsuppföljning och avtalsförvaltning genom hela avtalsperioden. Det ger goda förutsättningar att nå målen för den genomförda upphandlingen och blir ett utmärkt underlag för kommande upphandlingar.

Kravområde 1: Säkra rätten till er data

Data är en strategisk resurs och central både för möjligheten att bedriva den egna verksamheten och för att kunna dela den för vidareutnyttjade när det är lämpligt. Följden av detta är att offentliga verksamheter behöver säkra rätten till sin data för att kunna använda information effektivt och säkert över tid. Att säkra rätten till data har också ett offentlighets- och arkivrättsligt perspektiv.

Säkerställ att en informationssäkerhetsklassning av den data som ska upphandlas och/eller hanteras i uppdraget är gjord. Om det finns känsliga uppgifter i datamängden, t.ex. sekretess eller personuppgifter, behöver detta utredas innan upphandlingen startar eller utredas som en del av upphandlingen. Detta gör att man bl.a. enklare kan avgöra vilken nyttjanderätt en leverantör kan få till datamängden, samt att kommande arbete med informationssäkerhet och datahantering underlättas.

I de fall där upphandlingen omfattar data med hög säkerhetsklassning, ska hanteringen tydliggöras i avtalet och upphovsrätter och säkerhetskrav ha matchande intentioner.

För att data ska kunna hanteras på ett effektivt sätt av både den upphandlande organisationen och av leverantören, genom att man bland annat undviker inlåsningseffekter, är det viktigt att vara noga med de upphovsrättsliga aspekterna (med detta avses även t.ex. databasskydd). Förutom att förenkla ett tillgängliggörande av data till allmänheten, öka möjligheterna att t.ex. att kunna ge samarbetspartners och revisorer tillgång till datamängderna, blir det också enklare att använda datamängden efter avtalsperioden.

Den upphandlande organisationen bör sträva efter så stor rådighet över data som möjligt, samt säkerställa att leverantören kan utföra det specificerade arbetet i avtalet på ett effektivt sätt. I beställningen behöver det därför klargöras vilken data som produceras på beställning av den upphandlande organisationen och vilken annan data som behöver hanteras inom uppdraget.

Huvudrekommendationen är att tydliggöra att upphovsrätten för data som beställs och produceras för den upphandlande organisationens räkning tillfaller den upphandlande organisationen samt att den upphandlande organisationen sätter en så öppen licens (inkluderar även uttryck som märkning) som möjligt på datamängden.

Mer specifikt kan även nedanstående situationer behöva hanteras:

  • När datamängden innehåller känsliga uppgifter: Om informationssäkerhetsklassningen visar att data som ska beställas innehåller känsliga eller sekretessbelagda uppgifter, eller om det av andra anledningar är olämpligt att leverantören behåller materialet efter genomfört uppdrag, bör leverantören endast få nyttjanderätt för hantering av data som matchar intentionerna med och omfattningen av uppdraget och materialets natur. Här kan även sekretessavtal vara viktiga.
  • När leverantören har upphovsrätten till datamängden: Om den datamängd som beställs redan finns framtagen hos leverantören (dvs. när leverantören eller tredje part redan har upphovsrätt) behöver den upphandlande organisationen ställa krav på så öppna licenser som möjligt. Här är det också viktigt att säkerställa att leverantören i sin tur har säkerställt rättigheterna till ev. tredjepartsdata som levereras. Om det inte finns möjlighet till öppna licenser bör annan leverantör övervägas.
  • När data hos beställaren omfattas av uppdraget: Om datamängden som ska hanteras inom uppdraget redan finns hos den upphandlande organisationen, dvs. det finns redan ett definierat informationsansvar, behöver man specificera hur datamängderna ska hanteras av leverantören under och efter avtalsperioden. Här bör man säkerställa att leverantören får en nyttjanderätt som matchar intentionerna med och omfattningen på uppdraget.
  • När leverantören vill vidareutnyttja datamängden utöver uppdragets syfte: Om leverantören har ett intresse av att återanvända hela eller delar av den data som tas fram inom uppdragets ramar möjliggörs detta genom att den upphandlande organisationen sätter en så öppen licens som möjligt. Detta gör att både leverantören och andra aktörer kan få tillgång till datamängden.
  • När den beställda datamängden är svår att skilja från leverantörens data: I undantagsfall, där den beställda datamängden är svår att skilja från data som leverantören har upphovsrätten till (och inte är känsliga data), t.ex. är en del av ett komponentbibliotek, en befintlig terminologi eller en bildbank, kan den upphandlande organisationen avsäga sig upphovsrätten till förmån för leverantören. Beställaren behöver då säkerställa nyttjanderätt till informationen som möjliggör egen användning av datamängden under och efter uppdraget, samt som tillåter att datamängden kan tillgängliggöras vid behov (för exempelvis samarbetspartners och revisorer). Detta kan ske genom att den upphandlande organisationen förordar att leverantören sätter en så öppen licens som möjligt.

Exempelscenario

En kommun anlitar en leverantör för att utföra en årlig enkätundersökning som man tidigare år har genomfört i egen regi, men som man av resursbrist behöver extern hjälp med detta år. Eftersom det handlar om anskaffning av data för att komplettera en egen befintlig datamängd (föregående års data från enkätundersökningen) väljer kommunen att behålla den ekonomiska upphovsrätten till den underliggande rådatamängden. För att tillmötesgå leverantören som vill kunna återanvända resultatet i en större regional analys, ger man också leverantören full nyttjanderätt till den insamlade datamängden genom att märka den med CC0.

Exempelscenario

En regional myndighet upphandlar data i form av en bildbank som bl.a. ska användas för att bildsätta regionens översiktsplan. Eftersom man planerar att släppa översiktsplanen som öppna data avtalar man fram helt öppen märkning (CC0) på en delmängd av bildbanken för att möjliggöra ett öppet tillgängliggörande av just översiktsplanerna. För den resterande bildbanken avtalar man om en nyttjanderätt som kräver att fotografen behöver namnges, i detta fall licensen CCBY.

Exempelscenario

En myndighet uppdrar åt ett analysföretag att göra en större utredning kring en stor samhällsutmaning vilket inkluderar att samla in en mängd data som stöd för olika beräkningar och visualiseringar. Eftersom myndigheten är medveten om att det även finns ett stort intresse från forskningssamhället att ta del av dessa data för vidare forskning på området ställer man krav på att få den ekonomiska upphovsrätten till den underliggande datamängden. Därefter släpper man datamängden som öppna data märkt med CC0, vilket möjliggör för myndigheten själv att arbeta vidare med datamängden, och för leverantören, forskningssamhället och övriga att kunna nyttja datamängden för bl.a. nya analyser.


Om inhyrda konsulter arbetar i den upphandlande organisationens verksamhet med att ta fram data som en del av uppdraget bör uppdragsgivaren (den offentliga organisationen) tänka på att konsulter inte är anställda. Upphovsrättsliga frågor bör därför regleras så att de likställs med villkor i anställningsavtal. Genom att säkerställa detta undviker man också att specifikationsprincipen behöver användas.

Exempelscenario

En konsult arbetar redan innan upphandlingen i den upphandlande kommunens verksamhet och deltar i genomförandet av det upphandlade uppdraget. Eftersom konsultens arbetsuppgift handlar om att producera data genomförs en utredning för att fastställa att upphovsrätten till den producerade datamängden tillfaller kommunen och inte konsulten. I detta fall kunde inte ett avtal för detta säkras, och man väljer då en annan konsult för vilkens arbete kommunens upphovsrätt till data säkerställs.

När data hämtas in och används för formell framställning av statistik är det viktigt att tänka på att uppgifterna då omfattas av sekretess. Om ordet statistik används som synonymt med ordet data kan det leda till att data omfattas av statistiksekretess utan att det var avsikten (dvs det var inte data för formell statistik som skulle samlas in).

För att inte hamna i situationer där datamängder begränsas av statistiksekretess i onödan behöver man därför vara tydlig med formuleringarna vid upphandlingen av datamängder. För att undvika detta bör datamängderna beställas och hanteras separat från analyser eller sammanställningar av samma datamängder. Detta skapar möjlighet att använda datamängden mer flexibelt och dela data för vidareutnyttjande.

Exempelscenario

En myndighet har upphandlat en datamängd som de använder i flera olika syften och har säkerställt sin egen upphovsrätt till datamängden för att göra vidareutnyttjande möjligt genom att märka datamängden med CC0. Myndigheten vill också använda datamängden för statistisk analys och genomför detta separat.

Exempelscenario

En myndighet upphandlar statistik som de vill använda för flera olika syften och analyser från en leverantör. Eftersom upphandlingen handlade om statistik omfattas den underliggande datamängden av statistiksekretess. Myndigheten måste därför inrätta en särskild verksamhet för framställan av statistik för att få ta del av den underliggande datamängden och får bara använda den för statistiska ändamål. Här omfattas datamängden av statistiksekretess och myndigheten kan därför inte göra datamängden öppen för vidareutnyttjande.

För att säkerställa att datamängden kommer att vara tillgänglig på rätt sätt i ett längre perspektiv bör beställaren ta höjd för större organisationsförändringar. Det kan t.ex. handla om framtidsscenarios kring eventuella sammanslagningar av kommuner, regioner eller myndigheter som kan behöva hanteras i de fall då det blir aktuellt. Det kan vara lämpligt att genomföra en risk- och sårbarhetsanalys med fokus på långsiktig tillgång till och användning av datamängden.

Exempelscenario

Riksarkivet har övertagit data från en myndighet som har lagts ned och eftersom rättigheterna till datamängden är reglerade med märkning och licenser underlättar det för Riksarkivet att tillgängliggöra denna datamängd till allmänheten.

Exempelscenario

Två kommuner ska slås ihop till en ny större kommun. Eftersom rättigheterna till respektive datamängder är tydliggjorda och de till stor omfattning också följer samma dataspecifikationer underlättades arbetet med sammanslagningen.

Kravområde 2: Ställ krav på strukturerade data

För att data ska kunna delas och användas på ett effektivt sätt bör den vara så strukturerad och maskinläsbar som möjligt. För att kunna använda data flexibelt över tid är det också viktigt att den är uppdelad på lämpligt sätt för att kunna hantera krav på bl.a. informationssäkerhet. Detta gäller både för leveransformat (t.ex. CSV eller JSON) och innehållsformat.

Strukturerade och maskinläsbara data är grunden för effektiv hantering och användning. Detta gäller både datamängder som används i verksamheten i t.ex. olika IT-system eller tjänster, data som stödjer användningen av datamängden (t.ex. kodlistor eller terminologier), samt metadata. Säkerställ att data upphandlas så strukturerat och maskinläsbart som möjligt, samt att befintliga regleringar, t.ex. för myndighetspublikationer, geodata och arkivering, följs.

I de fall där man anskaffar sammansatta informationsmängder, såsom rapporter som innehåller både ostrukturerade och strukturerade data, bör man kravställa på separat leverans av den ostrukturerade och sammansatta produkten (t.ex. en pdf), respektive dess underliggande och strukturerade data (t.ex. underlagsdata i Excel eller som en databas). Notera dock att pdf:er inte är att betrakta som maskinläsbara format.

Där det är lämpligt och möjligt bör den upphandlande organisationen vara öppen med sina informationsstrukturer så att leverantören kan visa följsamhet mot dessa eller leverera data direkt in i beställarens IT-lösningar.

Exempelscenario

En myndighet ska upphandla ett nytt verksamhetssystem. De delar sina nuvarande informationsstrukturer och ställer krav på att den skapade datamängden ska vara maskinläsbar i öppna format som skapar kompatibilitet mot existerade datamängder i organisationen. Detta skapar bättre förutsättningar för att data kan användas, förvaltas och delas effektivt under avtalsperioden, men också för att det blir enklare att migrera till ett annat system i framtiden.

Exempelscenario

En kommun beställer en lägesrapport som bl.a. innehåller bilder s från den egna verksamheten. I enlighet med kommunens ställda krav i upphandlingen levereras dessa bilder som en kompletterade bildbank. Bilderna har en öppen licens med tillhörande maskinläsbara metadata som möjliggör att bilderna blir sökbara och kan användas fritt av kommunen.

Exempelscenario

En region beställer en analys där data (t.ex. mätdata eller enkätdata) tas fram som underlag. Eftersom man i upphandlingen av analysen ställde krav på maskinläsbara data, så levereras arbetet dels i form av en rapport i PDF, samt med tillhörande underlagsdata i ett maskinläsbart format. Detta gör att den offentliga organisationen kan fortsätta använda den underliggande datamängden till bl.a. nya analyser samt att den kan delas med andra.

Interoperabla datamängder möjliggör innovation och kostnadseffektivitet. Säkerställ att innehållsformatet följer öppna, etablerade och förvaltade specifikationer om sådana finns, samt kravställ om möjligt på öppna format. En specifikation innehåller ofta rekommendationer om format. Utgå ifrån målgruppernas behov när du väljer de olika format som datamängden kan distribueras som. Prioritera format som är kända och etablerade inom området. Beakta även följande situationer:

  • I de fall där det inte finns någon öppen specifikation för datamängden kan man ta fram en sådan. Säkerställ då att den kan tillgängliggöras med en öppen licens.
  • I de fall där det inte är möjligt att följa en specifikation bör man säkerställa att man ändå ställer krav på öppna format.
  • I de fall när man behöver kravställa på pdf:er är det viktigt att säkerställa att text går att extrahera från dokumentet, samt att det är arkivbeständigt.

Läs mer om specifikationer och format i DIGG:s principer och vägledningar.

Exempelscenario

En länsstyrelse ska upphandla ett system som ska hantera leverantörsfakturor och ställer då krav på att datamängden ska följa den öppna specifikation för leverantörsreskontra som finns publicerad på Sveriges dataportal. Detta gör att kommunen enkelt kan tillgängliggöra denna datamängd i ett senare skede på ett sånt sätt som skapar ökad interoperabilitet och samhällsnytta.

Exempelscenario

En kommun ska införa en lösning för att mäta vattenkvalitet i realtid och väljer att ställa krav på att data ska följa specifikationen WaterQualityObserved från Smartdatamodels.org som följer kraven på API enligt NGSI-LD-V2 som är standardiserat av ETSI. Det är ett krav som både styr hur innehållet ska vara strukturerat (innehållsformatet) och hur det ska levereras (leveransformatet).

För att data ska kunna användas flexibelt är det viktigt att ställa krav på en informationsstruktur som gör det möjligt att på ett enkelt sätt till exempel anonymisera en datamängd. Genom en informationssäkerhetsklassning kan förekomst av känsliga uppgifter identifieras.

Där det är lämpligt bör krav ställas på att uppgifter såsom person-, upphovsrättsskyddade eller på annat sätt konfidentiella uppgifter separeras från annan data och från varandra. Detta kan åstadkommas genom att man antingen skapar olika datamängder eller använder väldefinierade informationsfält som enkelt kan hanteras separat.

Exempelscenario:

En offentlig organisation upphandlar ett IT-system där samarbetspartners ska mata in data om sina verksamheter. Den data som ska skapas innehåller olika typer av känslig information samt även icke-känslig information. Eftersom man har med krav på att dessa typer av data ska kunna separeras får organisationen ett system som möjliggör att olika känsliga data inte ska kunna blandas, t.ex. två datatyper i samma kolumn eller persondata i fritextsfält. Detta möjliggör att man senare bl.a. kan anonymisera eller anpassa datamängden på ett effektivt och säkert sätt för olika ändamål.

För att beskriva, hantera och göra datamängder sökbara behöver man även ställa krav på metadata. Den upphandlande organisationen behöver säkerställa följande:

  • att man har rätt rådighet över metadatahanteringen
  • att metadata följer nationella och verksamhetsspecifika standarder
  • att metadata kommer att förvaltas och uppdateras
  • att den är tillräckligt omfattande för verksamhetens behov
  • att den gör datamängden begriplig och sökbar

I de fall där en datamängd behöver följa en viss specifikation är ibland kraven på metadata redan klargjorda.

Exempelscenario

En kommun ska upphandla mätning av badvattentemperatur som tjänst och vill dela detta som öppna data. För att minska stöldrisken för mätstationer ska inte exakta metadata om position för sensorn publiceras utan bara metadata om vilken badplats den mäter på. Krav behöver ställas på att utföraren skickar med metadata som kopplar rätt sensor till rätt badplats genom beständiga identifierare i form av URI:er.

Information som redan är delad utgör en resurs som kan möjliggöra effektivare processer och utveckling. Det är rekommenderat att ställa krav på att redan delad information om möjligt ska nyttjas för utveckling, och då särskilt följande områden:

  1. Nationella grunddata: I de fall där det som upphandlas berör någon informationsmängd som redan klassas och delas av en offentlig aktör som nationell grunddata bör krav ställas på att denna information ska hämtas från den utpekade källan och hanteras enligt gällande ramverk. Läs mer om grunddataramverket hos DIGG.
  2. Öppna och delade data: Data som redan har delats på av andra offentliga aktörer kan vara en resurs för upphandlingsprocessen. Delade data från andra organisationer kan dels göra att man inte behöver lägga pengar på att skapa data som redan finns, samt att det kan ge information om vilka dataspecifikationer och terminologier som är lämpliga att följa. Läs mer om öppna och delade data på Sveriges dataportal.

Webbplatsen Sveriges dataportal (dataportal.se) Länk till annan webbplats.

Exempelscenario

En kommun köper in ett IT-system för att mäta badvattentemperatur i realtid och visualiserar den även på sin webbplats. Visualiseringen ska även hämta in data från andra kommuners badplatser som är av intresse för kommunens invånare och visualiserar även dessa. Krav på möjlighet att använda data från andra källor blir en del av kravställningen.

Kravområde 3: Begrepp, terminologi och språk som möjliggör interoperabilitet

Data bör vara enkel att förstå och tolka. Att ställa krav på begrepp, terminologier och språk har stor betydelse för att möjliggöra en hög grad av interoperabilitet och för att kunna använda datamängden på ett effektivt sätt. Faktorer som kan påverka är juridiska krav, målgruppers behov och standarder.

Att följa en befintlig terminologi med fastställda begrepp ökar möjligheten till interoperabilitet mellan datamängder.

I första hand bör krav ställas på att terminologier som är öppna och etablerade ska följas. Olika delar av en datamängd kan behöva följa olika terminologier.

I de fall det inte finns befintliga terminologier och beställaren saknar möjlighet att ta fram en terminologi själv kan man kravställa på att nya terminologier och relaterade begrepp ska tas fram som en del av leveransen. Beställaren bör då även formulera krav på hur att den framtagna terminologin ska användas i uppdraget.

I de fall då en underleverantör får ansvaret att ta fram en terminologi är det också viktigt att ställa krav på att terminologin ska delas öppet t.ex. via Sveriges dataportal för att öka möjligheterna till interoperabilitet, alternativt att den upphandlande organisationen får äganderätten till terminologin så att de senare kan dela den öppet.

För att en datamängd ska kunna förstås av så många som möjligt är det viktigt att ställa rätt krav på vilka språk som används beroende på om datamängden ska användas inom Sverige eller även internationellt. Här är det viktigt att särskilja på språkkrav på själva informationsmängden och språkkrav på metadata om informationsmängden, dokumentation eller terminologier.

Kravområde 4: Långsiktigt hållbara domäner och länkar

I de fall där en upphandling inkluderar data som kräver någon form av publicering på internet bör det utgå ifrån en långsiktigt hållbar strategi för hur man hanterar domäner och länkar så att tillgången till datamängderna blir beständiga över tid. Detta gör att man uppnår rätt nivå av tillgänglighet, ökar informationssäkerheten och undviker informationsdegradering.

För tjänster (särskilt externa tjänster som allmänheten har tillgång till) och system som nyttjar datamängder är det viktigt att länkar till webbplatsen där data delas inte bryts eller slutar fungera över tid. För att användarna av data ska känna förtroende för datamängden är det också viktigt att vara tydlig med vem som är avsändare.

Domännamn bör vara beständiga över tid, kontrolleras av det offentliga, och tåla organisationsförändringar och leverantörsbyten för system.

Exempelscenario:

Adresser som t.ex. samtrafiken.se eller geodata.se kan finnas kvar även om deras organisationer byter namn, avvecklas eller slås samman med en annan organisation.

Säkerställ att länkar, dokumentnamn och andra identifierare så långt som möjligt är beständiga över tid så att tillgången till en datamängd inte bryts.

Här är det viktigt att säkerställa att länkarna t.ex. inte innehåller tidsrelaterade delar och att domäner och länkar skapas i linje med vedertagen praxis för beständiga länkar och identifierare. Detta är extra viktigt för grundläggande data som många har behov av att referera till. I DIGG:s vägledning för att tillgängliggöra information finns mer information om beständiga identifierare.

För de organisationer som har kommit långt i att skapa möjligheter för interoperabel datahantering rekommenderas det att undersöka möjligheten att även skapa standardiserade maskinläsbara länkar från er data till annan data, så kallade länkade data (enligt W3Cs definition). Här behöver man undersöka vilka datamängder som kan vara aktuella som länkade data. Semantisk webb-teknologi med RDF är ofta rätt teknik för att arbeta med länkade data enligt W3C men JSON-LD är också vanligt.

Det kan också vara aktuellt att kravställa på kompetens för att hantera länkade data.

Exempelscenario

För att kunna skapa mer maskinell åtkomst till datamängder tillgängliga på Sveriges dataportal utvecklar en myndighet möjligheter att läsa av metadata maskinellt genom att konsumera metadata som RDF.

Kravområde 5: Möjliggör åtkomst till er data

En offentlig aktör bör kunna komma åt och använda all data som omfattas av det som upphandlas under förutbestämda former även om den hanteras och förvaltas utanför den egna organisationen. Det är viktigt med tydlig ansvarsfördelning, samt rätt krav och avtalsskrivningar, för att se till att man kan använda och hantera informationen på ett flexibelt sätt över tid. En väl fungerande process för åtkomst till information skapar möjligheter för effektivitet och flexibilitet i organisationen. Det kontinuerliga arbetet med informationssäkerhet är grunden för vem som kan få åtkomst till vilken information.

Åtkomst till så många datamängder som möjligt bör ges via API:er. Följ gärna DIGG:s rekommenderade REST API-profil. Valet av API-profil behöver göras utifrån verksamhetens och användarnas behov.

I de fall användarna har behov av tillgång till data via andra format, t.ex. .CSV eller som en PDF, bör man se till att API:et även skapar distributioner för detta.

Exempelscenario

En organisation strävar efter att stärka interoperabilitet i de egna datamängderna och använder sig därför av den öppna standarden JSON-LD. Därefter görs ett val av typ av API som matchar externa och interna användares behov av intern användning och extern access. I detta fall väljer organisationen DIGG:s rekommenderade REST API-profil.

Eftersom vissa målgrupper har behov av tillgång till datamängden på andra sätt än via ett API, väljer organisationen att distribuera datamängden via API:et även som .csv och .pdf.

För att organisationen ska kunna använda och eventuellt tillgängliggöra data över tid, bör kravställningen bygga på att olika målgrupper kan ha olika behov som alla leder till specifika krav. Kraven på åtkomst kan skilja sig åt t.ex. vad gäller format, innehåll, struktur, tidsaspekter och dokumentation.

Olika målgrupper kan behöva tillgång till data under hela datamängdens livscykel, t.ex. rådata, kvalitetssäkrade data, bearbetade data, analyserade data och arkiverade data. Vissa användare är beroende av data i nära realtid, det är extra relevant för dynamiska data som uppdateras ofta, t.ex. genom insamling med sensorer och andra uppkopplade enheter.

Att skapa förutsättningar för målgruppsanpassad datadelning redan från början är ofta kostnadseffektivt och leder till god hushållning med offentliga medel, samtidigt som man möjliggör data som en strategisk resurs för samhället.

Vid upphandlingsskedet har man kanske inte kunskap om alla målgruppers behov, men man bör sträva efter att få en så komplett bild som möjligt.

Exempel på olika målgrupper och behov man kan behöva ta höjd för:

  • Utvecklare behöver åtkomst via API:er för löpande användning och höga trafikvolymer
  • Analytiker och forskare behöver ofta åtkomst till finfördelade och obearbetade bulkdata
  • Arkivarier behöver information för arkivering i beständiga format
  • Handläggare och journalister vill ofta ha kalkylblad för enkel bearbetning
  • Allmänheten och beslutsfattare vill ofta ha visualiseringar i form av diagram och bilder

För att processen för att skapa åtkomst till data ska fungera behöver man specificera hur den är tänkt att gå till och vem av den upphandlade parten och leverantören som har ansvar för vilken del av processen.

Det kan handla om var och hur i processen som leverantören ska vara behjälplig, med vilken teknik åtkomsten ska ske och vad det är som den upphandlande organisationen ska ansvara för.

Se till att extern åtkomst till datamängder är säker och att obehöriga inte kan få åtkomst till den, eller delar av den, som de inte är behöriga till. Leverantören bör redogöra för hur säkerheten kring API:er är utformat, till exempel om/hur man hanterar autentisering, auktorisering, kryptering m.m.

Leverantören bör säkerställa att lämpliga tester har genomförts samt presentera en riskanalys för API:et. Du bör få tillgång till resultatet av tester som utförs av eller på uppdrag av leverantören. Krav bör ställas på att identifierade brister åtgärdas enligt en tidsatt plan.

I de fall där det som upphandlas är en teknisk lösning ska den upphandlande organisationen ställa krav som säkerställer att man har tillräcklig åtkomst och teknikoberoende till den data som påverkas för att flytta till en ny teknisk lösning på sikt.

De sammantagna rekommendationerna i denna vägledning ger goda möjligheter till att exportera data och importera i ny lösning vid systembyte. Detta kan samlas i en exitstrategi med krav på leverantören.

Kravområde 6: Dokumentation som stödjer god datahantering

För att den upphandlande organisationen ska ha goda möjligheter att hantera och dela data på ett effektivt sätt under hela livscykeln behöver data och tekniker för åtkomst åtföljas av dokumentation som stödjer god datahantering.

För att den upphandlande organisationen ska få tillgång till dokumentation som stödjer en god datahantering är det viktigt att utreda vad som behöver dokumenteras.

Krav bör ställas på dokumentation av API:er och använda standarder, specifikationer och taxonomier för datamängderna. Om datamängden även ska tillgängliggöras kan dokumentation för detta behövas. Beroende på den typ av data som upphandlingen handlar om behöver man också ta följande rekommendationer i beaktande:

  • När data beställs i tekniska lösningar och tjänster: Kravställ på dokumentationen om data som finns i system och tjänster, annan data som stödjer hantering av föregående, samt metadata. Utöver detta kan det finnas behov av att kravställa på dokumentation av t.ex. utvärderingar, tester och versionshantering.
  • När data beställs som fristående leverans: Kravställ på att metadata om datamängden ska dokumenteras.
  • När data beställs i utredningar och analyser: Kravställ på dokumentation om datakvalitet och processen för att skapa datamängden, samt beskrivning av eventuella säkerhetsrutiner som har följts vid skapandet. Detta gäller både för konsulternas arbete och för datahanteringen.

En god hantering av dokumentation och annat stöd är viktigt för att säkerställa att den upphandlande organisationen får det stöd som behövs över hela datamängdens livscykel.

Krav bör formuleras kring hur dokumentation och stöd ska hållas uppdaterade över tid, på vilket sätt det ska vara tillgängligt, och vem som ansvarar för vad. Om tester av dokumentation eller annat stöd behöver göras bör detta inkluderas i kravställningen.

Ställ krav som säkerställer att verksamheten har tillräcklig dokumentation för att vid behov kunna flytta all data till en ny teknisk lösning.

Kravområde 7: Rätt till förvarning och stöd vid förändringar i datahanteringen

För att verksamheterna ska ha goda möjligheter till att hantera förändringar som rör datamängder eller datatjänster såsom API:er bör krav ställas kring rätten att bli förvarnad. Syftet är att stärka den upphandlade organisationens proaktiva planerings- och omställningsförmåga och att användare av delade data ska kunna förvarnas i god tid.


Att kunna planera sin verksamhet och ha konkreta möjligheter att hantera uppkomna situationer har stor påverkan på verksamheters kostnader och stabilitet. Säkerställ därför att större förändringar i datahanteringen föregås av förvarningar genom att kravställa på bl.a.:

  • Hur förvarningen ska kommuniceras och hur långt i förväg
  • Vad som ska trigga en förvarning, t.ex. om data tillkommer, tas bort, eller förändras genom nya förutsättningar, standarder eller hantering
  • Dokumentation av den förändrade datahanteringen som kan behövas

En större förändring av datahanteringen kan kräva annat stöd än förvarning och dokumentation för att den upphandlade organisationens löpande verksamhet inte ska påverkas negativt.

Säkerställ att krav som ställs på att förändringar i datahanteringen också åtföljs av nödvändigt stöd i form av t.ex. testmiljöer och testdata.

I de fall där det kan bli aktuellt att avsluta hanteringen av en datamängd behöver man säkerställa att detta kan göras på ett effektivt sätt. Här behöver man bl.a. utreda om datamängden behöver vara tillgänglig efter avslutet, och på vilka sätt, samt hur man ska hantera ev. konsekvenser.

Beakta också arkivlagstiftningens krav om långsiktigt bevarande, samt säkerställ att datamängden har informationssäkerhetsklassats och belagts med licenser som möjliggör att datamängden vid behov kan tillgängliggöras för vidareutnyttjande.

Senast uppdaterad: