Sikker innsamling, sletting, ombruk og gjenvinning av PC-er, skjermer og nettbrett

Grupper: 
  • Tjenester for avhending
Kategori: 
  • Ombruk og gjenvinning

Basis

Krav- og kriterietyper: 
  • Teknisk spesifikasjon (Kravspesifikasjon)

Hovedformål: 

Formålet er å sikre ombruk og materialgjenvinning av IT-utstyr og å forhindre elektronisk avfall på avveie. Elektronisk avfall er den raskest voksende avfallsstrømmen i verden. En stor andel ender opp på skraphauger og skaper forurensing, helseproblemer og tap av verdifulle ressurser, som gull, kobber og sjeldne mineraler.

Kravformulering: 

Leverandør (eller dennes underleverandør) skal tilby en ombruks- og gjenvinningstjeneste som minimum omfatter følgende:

  1. Sikker innsamling av elektronisk utstyr i låsbare sikkerhetsskap
  1. Sikker sletting og avidentifisering av elektronisk utstyr som samles inn
  1. Ombruk av elektronisk utstyr
    • Brukt elektronisk utstyr skal forberedes til ombruk, så fremt utstyret er i stand til å det, eller relativt enkelt kan settes i stand til det av leverandøren (eller av dennes underleverandør).
  2. Gjenvinning

Dette kravet omfatter ikke sikkerhetsgradert informasjon. Sikkerhetsgradert informasjon gjelder informasjon som kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Dette gjelder informasjon som blant annet tilvirkes i politi og forsvar. IT-utstyr med sikkerhetsgradert informasjon skal håndteres i tråd med Sikkerhetsloven.

Dokumentasjon av kravet: 

Leverandøren skal bekrefte at kravene er oppfylt og levere følgende:

  • Dersom man skal bruke en underleverandør, skal det legges ved en forpliktelseserklæring fra denne, iht. Forskrift om offentlige anskaffelser §16-10 (2)
  • Dokumentasjon på at det vil benyttes sletteverktøy som er evaluert for å være egnet til sikker sletting. Verktøyet kan være evaluert av for eks. Nasjonal sikkerhetsmyndighet (NSM) eller andre aktører. Se liste over sletteverktøy som er godkjent av NSM. Eksempler på andre evaluerte sletteverktøy finnes på Common Criteria som publiserer sertifikater fra alle sertifikatutstedende nasjoner under Common Criteria Recognition Arrangement (CCRA).
  • Dokumentasjon på at det elektroniske utstyret vil forberedes til ombruk (for eks. en funksjonstest eller en beskrivelse på maks. 1 A4-side)
  • Dokumentasjon (kontrakt, e-post eller lignende) på medlemskap i et returselskap som er oppført i Miljødirektoratets oversikt, eller alternativt dokumentasjon på at en annen lovlig mottaker skal håndtere det elektroniske avfallet. Dvs. en mottaker med tillatelse etter Forurensingsloven.
  • Signert utgave av [vedlagt databehandleravtale. Difis databehandleravtale kan brukes. Den er på innspillsrunde, men er kvalitetssikret og kan brukes i sin nåværende utgave].

Følgende skal innleveres senest 45 dager etter innsamling av IT-utstyr:

  • Rapport på fabrikat, modell, serienummer og dato for sletting av alle innsamlede IT-enheter.

Informasjon om kravet: 

Oppdragsgiver risikerer et ansvar dersom de ikke leverer sitt brukte IT-utstyr til en leverandør som er medlem av et godkjent returselskap eller har en avtale med en annen lovlig mottaker, det vil si en aktør som har tillatelse fra forurensningsmyndigheten til å håndtere elektronisk avfall.

Oppdragsgiver må velge om de vil kjøpe tjenester som beskrives i dette kravet som del av anskaffelsen av IT-utstyr eller som en separat anskaffelse. Dersom anskaffelsen av IT-utstyr og anskaffelse av tjenester for sletting, ombruk og gjenvinning av IT-utstyr gjøres i samme kunngjøring, vær tydelig på at det gis anledning til å gi tilbud på hele eller deler av oppdraget. Kravet er designet til også å gjelde elektronisk utstyr som oppdragsgiver ønsker å kvitte seg med utover PC-er, skjermer og nettbrett (for eks. printere, som også har lagringsmedium).

Sikker sletting er avgjørende for sikkerhet og ivaretakelse av GDPR. En signert databehandleravtale skal videre sikre at personopplysninger blir behandlet i samsvar med regelverk. Når man er usikker på om IT-utstyret slettes, ender utstyret gjerne opp som avfall istedenfor å ombrukes. Derfor er sikker sletting avgjørende for å øke graden av ombruk av IT-utstyr. For IT-utstyr som er funksjonelt intakt vil ombruk som regel være langt mer miljøvennlig enn materialgjenvinning.

Dersom leverandør selv har importert IT-utstyret som skal behandles til Norge er det krav om at leverandøren skal være medlem eller inngå medlemskap i et returselskap som er godkjent av Miljødirektoratet senest ved kontraktsinngåelse. Leverandøren kan også være medlem av et returselskap dersom de ikke selv har importert IT-utstyret som skal behandles, til Norge.

Kravet er utarbeidet med innspill fra Miljødirektoratet og Nasjonal sikkerhetsmyndighet (NSM).

Innsamling, sletting, ombruk og gjenvinning av IT-utstyr som er sikkerhetsgradert, er underlagt sikkerhetsloven, og da gjelder strengere krav til håndtering enn det som er omfattet i dette kravet. For mer informasjon om håndtering av sikkerhetsgradert utstyr, se NSMs Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon - Oppbevaring, transport, merking og destruksjon av dokumenter og lagringsmedier (se «Relaterte lenker» nedenfor).

Relaterte lenker: 

Publisert: 20. sep 2019, Sist endret: 10. okt 2019