VEJLEDNING OIO STANDARDAFTALE FOR WEB SERVICES (VERSION 1.0 AF 31. MAJ 2005) VEDRØRENDE

VEJLEDNING VEDRØRENDE OIO STANDARDAFTALE FOR WEB SERVICES (VERSION 1.0 AF 31. MAJ 2005)

INDHOLDSFORTEGNELSE: 1. INDLEDNING... 4 2. GENERELLE KOMMENTARER... 4 2.1. Omfang og opbygning... 4 2.2. Begreber, definitioner og anvendt typografi... 5 2.3. Anvendelsesområde... 5 2.3.1. Videredistribution... 6 2.3.2. To sæt betingelser til anvendelse mellem forskellige offentlige myndigheder eller internt hos myndigheden... 6 2.4. Konkret brug... 7 2.4.1. Hovedaftalen... 7 2.4.2. Generelle Betingelser (Bilag 1)... 7 3. SPECIFIKKE KOMMENTARER... 8 3.1. Hovedaftalen... 8 3.1.1. Hovedaftalens side 3 Bilagsfortegnelse... 8 3.1.2. Hovedaftalens pkt. 3 Formål samt omfattede Services... 8 3.1.3. Hovedaftalens pkt. 4 Vederlag... 8 3.1.4. Hovedaftalens pkt. 5 Individuelle vilkår... 9 3.1.5. Hovedaftalens pkt. 7 Ikrafttræden... 9 3.2. Generelle Betingelser (Bilag 1)... 9 3.2.1. Pkt. 1 [pkt. 1] Anvendelsesområde... 9 3.2.2. Pkt. 2 [pkt. 2] Definitioner... 9 3.2.3. Pkt. 3 [pkt. 3] Beskrivelse af de omfattede Services m.v.... 10 3.2.4. Pkt. 4 [pkt. 4] Dokumentation... 10 3.2.5. Pkt. 5 [pkt. 5] Starttidspunkt for Tilgængeliggørelse... 10 3.2.6. Pkt. 6 Afprøvning... 11 3.2.7. Pkt. 9 [pkt. 8] Servicemål og support... 12 3.2.8. Pkt. 10 [pkt. 9] Opdateringer og Nye Versioner... 12 3.2.9. Pkt. 11 [pkt. 10] Bortfald af opdaterings- og supportforpligtelser13 3.2.10. Pkt. 12 [pkt. 11] - Sikkerhed... 13 3.2.11. Pkt. 13 [pkt. 12] - Personoplysninger... 14 3.2.12. Pkt. 15 Vederlag... 15 3.2.13. Pkt. 18 Misligholdelsesbeføjelser:... 15 3.2.14. Pkt. 21 Rettigheder... 16 Side 2 af 20

3.2.15. Pkt. 22 [pkt. 13] Tredjemands rettigheder:... 16 3.2.16. Pkt. 25 [pkt. 15] Opsigelse... 16 3.2.17. Pkt. 27 [pkt. 17] Tvistigheder... 17 3.3. Øvrige bilag (Bilag 2-8)... 18 4. UDDYBENDE ORDFORKLARINGER... 19 4.1. Infostrukturbasen... 19 4.2. Udbyder og Aftager... 20 (Punktnumrene i indholdsfortegnelsen refererer til punkterne i de Generelle Betingelser (Bilag 1), der findes i to versioner; et Generelle Betingelser ekstern og Generelle Betingelser intern. Punktnumre angivet uden skarp parentes henviser til Generelle Betingelser ekstern, mens punktnumre med skarp parentes henviser til Generelle Betingelser intern) Side 3 af 20

1. INDLEDNING Denne vejledning (herefter Vejledningen) omhandler OIO Standardaftale for web services (herefter Standardaftalen). Standardaftalen er blevet til på baggrund af et forberedende arbejde forestået af en arbejdsgruppe med repræsentanter fra Erhvervsministeriet, Told- og Skattestyrelsen, IT- og Telestyrelsen og advokatfirmaet von Haller. Dette forberedende arbejde er blevet ført til ende i en arbejdsgruppe i Videnskabsministeriet samt med inddragelse af interesserede Parter i en workshop i marts 2005. Kammeradvokaten har efterfølgende gennemgået og kommenteret materialet. Standardaftalen med tilhørende bilag samt nærværende Vejledning er tilgængelig på www.oio.dk. Den foreliggende udgave af Standardaftalen er offentliggjort den 31. maj 2005. Kommentarer eller spørgsmål vedrørende Standardaftalen kan sendes til xml@itst.dk Vejledningen indeholder dels nogle generelle kommentarer om Standardaftalens indhold og anvendelsesområde (Afsnit 2) og dels nogle specifikke kommentarer til Standardaftalens enkelte bestemmelser (Afsnit 3). I Afsnit 4 findes en forklaring på en række af de begreber, der optræder i Standardaftalen. Bemærk, at der ved udarbejdelsen af Standardaftalen ikke er taget eksplicit stilling til bevillingsmæssige spørgsmål. 2. GENERELLE KOMMENTARER 2.1. Omfang og opbygning Standardaftalen omfatter en hovedaftale (herefter Hovedaftalen), et sæt Generelle Betingelser (Bilag 1) (herefter Generelle Betingelser) samt en række øvrige bilag. Strukturen fremgår af indholdsfortegnelsen til Hovedaftalen. Side 4 af 20

2.2. Begreber, definitioner og anvendt typografi I Vejledningen optræder en række tekniske begreber, der for hovedpartens vedkommende ikke forklares nærmere. I stedet henvises til de definitioner, som fremgår af punkt 2 i Generelle Betingelser (Bilag 1) samt de forklaringer, som findes nedenfor i Afsnit 4. Yderligere information kan findes på www.oio.dk hhv. http://isb.oio.dk, hvor eksempler på anvendelse af Standardaftalen forventes at blive offentliggjort i takt med, at myndigheder tager Standardaftalen i brug. Begreber, som er defineret i Standardaftalen, er skrevet med store begyndelsesbogstaver både i Hovedaftalen, de Generelle Betingelser og i denne Vejledning. Henvisninger til Bilag er markeret med fed. I Hovedaftalen er indsat en række skarpe parenteser med og uden kommentarer. Kommentarerne er skrevet med gul skrift. Formålet hermed er at lette den fornødne individuelle tilpasning og udfyldning af aftalen. Det er vigtigt, at alle skarpe parenteser udfyldes korrekt. Herefter kan (og bør) alle skarpe parenteser og kommentarer fjernes. 2.3. Anvendelsesområde Standardaftalen er beregnet på offentlige myndigheders indgåelse af aftaler om udveksling af data og/eller Funktionalitet via XML-baserede services, hvor en offentlig myndighed optræder som Serviceudbyder, og hvor en anden offentlig myndighed optræder som Serviceaftager. Det er forudsat, at der foreligger fornøden hjemmel til udveksling af data og/eller Funktionalitet, og at udvekslingen sker enten ved udveksling internt i stat, amt (region) og kommune, eller at udvekslingen sker mellem disse (eksternt). Udvekslingen forudsættes endvidere at ske til brug for Serviceaftagerens myndighedsudøvelse og ikke til brug for faktisk forvaltningsvirksomhed eller som led i privatretlige dispositioner. Som følge heraf forudsættes det, at mulig betaling er reguleret bevillingsretligt og ikke skal fastlægges ved særskilt aftale herom mellem Parterne. Dog er der i aftalen indsat mulighed for at beskrive en eventuel betaling. Anvendelse af Standardaftalen er ikke obligatorisk. Side 5 af 20

Standardaftalen kan benyttes som kontraktparadigme i forbindelse med integrationsløsninger, hvor den udbudte Service overholder OIOXML-standarden. Standardaftalen forudsættes anvendt til eksempelvis følgende forhold: 1) Udtræk af data Aftageren udtrækker/modtager data via Udbyderens XMLbaserede service. 2) Indberetning af data Aftageren indberetter/afleverer data via Udbyderens XML-baserede service. 3) Indberetning og behandling Aftageren indberetter/afleverer data via Udbyderens XML-baserede service, som efterfølgende behandler data og tilgængeliggør disse for Aftageren. 4) Behandling Serviceaftageren gør brug af en funktionalitet, der behandler et datagrundlag, som evt. er stillet til rådighed af Aftageren. 2.3.1. Videredistribution Standardaftalen omfatter alene ret for Serviceaftageren til at anvende de omfattede Services til eget interne brug. Har Aftageren behov for videredistribution eller anden kommerciel udnyttelse, skal dette aftales særskilt. Se også kommentaren nedenfor i afsnit 3.2.14 vedrørende pkt. 21. 2.3.2. To sæt betingelser til anvendelse mellem forskellige offentlige myndigheder eller internt hos myndigheden Der er udarbejdet to forskellige versioner af de Generelle Betingelser (Bilag 1): 1. Generelle Betingelser for OIOXML services mellem forskellige offentlige myndigheder kaldet Generelle Betingelser ekstern 2. Generelle Betingelser for OIOXML services internt i én myndighed kaldet Generelle Betingelser intern Generelle Betingelser ekstern tilsigter at skabe en balance i kontraktforholdet, således at Aftagers eventuelle betalingsforpligtelser modsvares af en række forpligtelser for Udbyderen bl.a. til at udføre service, rette fejl m.v. samt en afbalanceret ansvarsfordeling. Side 6 af 20

Generelle Betingelser intern afspejler, at der i princippet er tale om én og samme juridiske person, der indgår en aftale om den praktiske gennemførelse. Aftalen er her i det hele fokuseret på en beskrivelse af den praktiske gennemførelse og indeholder ikke juridisk forpligtende bestemmelser. Uanset hvilken version af de Generelle Betingelser der vælges, er Hovedaftalen den samme. 2.4. Konkret brug 2.4.1. Hovedaftalen Det er vigtigt, at alle skarpe parenteser udfyldes korrekt, og at der i Hovedaftalen foretages den nødvendige individuelle tilretning, jf. pkt. 3.1 nedenfor. Aftalen skal underskrives af den eller de person(-er), der kan tegne den pågældende Part eller i henhold til en fuldmagt fra de tegningsberettigede. 2.4.2. Generelle Betingelser (Bilag 1) Det er vigtigt, at alle skarpe parenteser udfyldes korrekt. Hvis der skal foretages ændringer i de Generelle Betingelser, anføres disse i Hovedaftalens pkt. 5, idet ændringer i selve de Generelle Betingelser så vidt muligt bør undgås. Øvrige bilag (Bilag 2-8) Standardaftalen forudsætter på en række punkter et bestemt indhold af de enkelte bilag. Det skal derfor sikres, at bilagene er udfyldt korrekt, og at der er konsistens mellem Hovedaftalen og bilagene. For at lette arbejdet med at udarbejde bilagene er der i hvert bilag indsat en række kommentarer i stikordsform, der kan tjene til inspiration herfor. Kommentarerne kan på ingen måde betragtes som udtømmende. Bilag 2-8 er således ikke udarbejdet som egentlige standardbilag. Til Standardkontrakten for kortvarigt it-projekt K01 er der udarbejdet en række standardbilag, se www.oio.dk/standardkontrakter, som man ved den konkrete udformning af bilagene til en aftale om en web service kan have glæde af at lade sig inspirere af. Side 7 af 20

3. SPECIFIKKE KOMMENTARER 3.1. Hovedaftalen 3.1.1. Hovedaftalens side 3 Bilagsfortegnelse En stor del af Standardaftalens væsentligste indhold findes i bilagene. Bilagsfortegnelsen indeholder et forslag til hvilke bilag, der skal indgå. Både relevansen af de enkelte bilag og bilagenes nærmere indhold skal overvejes nøje i hvert enkelt tilfælde. Bilagene er listet i den rækkefølge, der skønnes mest hensigtsmæssig. Hvis et af bilagene udgår, kan der oprettes blanke bilag af hensyn til bilagssystematikken. I bilagsfortegnelsen anføres i så fald blot, at det udgår. Bilagsfortegnelsen omfatter begge versioner af de Generelle Betingelser (Bilag 1). Den version, som ikke skal benyttes, skal derfor slettes. 3.1.2. Hovedaftalens pkt. 3 Formål samt omfattede Services I pkt. 3 indsættes en overordnet beskrivelse af, hvilke Services der omfattes af den konkrete aftale, mens en mere detaljeret og teknisk beskrivelse indsættes i Bilag 3. Det er hensigtsmæssigt for begge Parter, at beskrivelsen af de omfattede Services og den tekniske løsning beskrives så detaljeret som muligt, og at der heri beskrives hvordan, der sker en understøttelse af den forvaltningsopgave, som Udbyder eller Aftager skal løfte. Ved brug af Generelle betingelser - ekstern er det vigtigt af hensyn til Parternes opfyldelse af deres forpligtelser, herunder hvorvidt der foreligger fejl eller mangler, at formålet med og indholdet af de omfattede Services beskrives nøje. Se i øvrigt kommentarerne indsat i Bilag 3. 3.1.3. Hovedaftalens pkt. 4 Vederlag Det er forudsat, at mulig betaling er fastlagt bevillingsretligt og ikke i Aftalen. Hvis der skal ske betaling, bør betalingsformen dog beskrives (betaling pr. slutbruger, betaling pr. transaktion etc.). Opgørelse og beregning af vederlag kan beskrives i Bilag 8. Se i øvrigt kommentarerne indsat i Bilag 8. Side 8 af 20

3.1.4. Hovedaftalens pkt. 5 Individuelle vilkår I dette punkt indsættes eksempelvis oplysninger om antallet af Slutbrugere hos Aftageren eller ændringer til Bilag 1. Det er endvidere forudsat, at eventuelle rettelser til Generelle Betingelser anføres i Hovedaftalen. 3.1.5. Hovedaftalens pkt. 7 Ikrafttræden I pkt. 7 skal det oplyses, hvornår de pågældende Services er Tilgængelige. Hovedaftalen indeholder to alternative forslag til tidspunkter for Tilgængeliggørelse. Tidspunktet for Tilgængelliggørelse ved brug af Generelle bestingelser - Ekstern er bl.a. afgørende for, hvornår der kan opkræves betaling og for beregning af forsinkelse. 3.2. Generelle Betingelser (Bilag 1) Nedenstående kommentarer knytter sig som udgangspunkt alene til Generelle Betingelser ekstern. Bemærk i den forbindelse, at nummereringen i Generelle Betingelser - ekstern og Generelle Betingelser - intern er forskellig. I de tilfælde, hvor kommentarerne er relevante også for Generelle Betingelser - intern, vil nummeret i den skarpe parentes henvise til nummeret i Generelle Betingelser - intern. Eventuelle yderligere kommentarer til Generelle Betingelser - intern vil være skrevet i [skarpe parenteser med kursiveret skrift]. 3.2.1. Pkt. 1 [pkt. 1] Anvendelsesområde Aftalen regulerer alene Udbyders Tilgængeliggørelse af og Aftagers adgang til de specifikke Services. Hvis der i øvrigt er behov for at regulere andre forhold, f.eks. lagring af resultater opnået gennem anvendelse af de pågældende services eller lignende, skal det ske særskilt. 3.2.2. Pkt. 2 [pkt. 2] Definitioner Pkt. 2 i de Generelle Betingelser (Bilag 1) indeholder en række centrale definitioner. Side 9 af 20

Supplerende definitioner, f.eks. vedrørende specifik teknologi, forudsættes anført i Bilag 2. 3.2.3. Pkt. 3 [pkt. 3] Beskrivelse af de omfattede Services m.v. Alle versioner af OIOXML-skemaer, der anvendes som en del af de af Aftalen omfattede Services, skal være lagret i Infostrukturbasen ved Aftalens indgåelse, og indgå som en del af beskrivelsen af de relevante Services i Bilag 3. Hvis en Udbyder Tilgængeliggør en Ny Version, skal OIOXML-skemaer vedrørende såvel den tidligere som den ny version være lagret i Infostrukturbasen, såfremt det nye OIOXML-skema ikke erstatter det tidligere skema fuldstændigt. Hensigten er, at alle Services til enhver tid er 100% dokumenterede. At samtlige OIOXML-skemaer skal fremgå af Bilag 3, er ikke ensbetydende med, at de skal vedlægges i fysisk form, men blot at samtlige referencer medtages. 3.2.4. Pkt. 4 [pkt. 4] Dokumentation I pkt. 4 fastslås Udbyderens generelle forpligtelser vedrørende omfang af dokumentationsmateriale og opdateringer heraf. De nærmere krav til dokumentationen i forhold til it-sikkerhed skal beskrives i Bilag 4. Dokumentationsmateriale og opdateringer heraf stilles til rådighed i Infostrukturbasen af Udbyderen. 3.2.5. Pkt. 5 [pkt. 5] Starttidspunkt for Tilgængeliggørelse Der skal i Hovedaftalens pkt. 7 tages eksplicit stilling til tidspunktet for Tilgængeliggørelsen af de omfattede Services. Pkt. 5.2 indeholder en helt central angivelse af tidspunktet for, hvornår Tilgængeliggørelse skal anses for sket. Som det fremgår heraf, anses Tilgængeliggørelse for sket på det seneste af følgende tidspunkter: (i) når Udbyderen har stillet de omfattede data/den omfattede Funktionalitet til rådighed for Aftageren via én eller flere Services, der lever op til specifikationerne i Bilag 3, Side 10 af 20

(ii) hvis der skal ske afprøvning, når en eventuel overtagelsesprøve eller lignende prøve (men ikke en eventuel efterfølgende driftsprøve) er bestået, (iii) hvis der kan opnås adgang til de omhandlede data/den omhandlede Funktionalitet ved brug af digital signatur, når Udbyderen har informeret Aftageren herom, (iv) hvis Aftageren skal have udleveret et eller flere brugernavne og passwords, når sådanne brugernavne og passwords er kommet frem til Aftageren. Der er knyttet en række retsvirkninger til Tilgængeliggørelsen. Det er derfor vigtigt, at Parterne ved aftaleindgåelsen tager stilling hertil, herunder om der skal ske afprøvning og/eller udlevering af passwords. [Da der ikke er forbundet nogle retligt forpligtende sanktioner som følge af manglende Tilgængeliggørelse, er Tilgængeliggørelse ikke defineret nærmere i Generelle Betingelser intern] 3.2.6. Pkt. 6 Afprøvning Der bør så vidt muligt ske en afprøvning af en Service inden Tilgængeliggørelsen. Dette kan ske i et testmiljø. Det er i forbindelse med afprøvningen vigtigt, at der særligt fokuseres på hensynet til den part en afprøvning iværksættes for. Hvis den omfattede Service involverer udveksling af fortrolige oplysninger, herunder persondata, bør Udbyder producere et anonymiseret datagrundlag til brug for testmiljøet. Hvorvidt der skal finde en egentlig afprøvning sted efter Aftalens indgåelse, afhænger af Servicens art og kompleksitet samt om fornøden afprøvning har været mulig i et testmiljø. Hvis afprøvning er relevant, bør kravene til afprøvningsmetode, resultat og tekniske/konfigurationsmæssige forudsætninger samt kriterier for prøvernes beståen beskrives udtømmende i Bilag 7, således at det kan afgøres på et objektivt grundlag, om en prøve er bestået. En prøve er bestået, når Udbyder har dokumenteret, at prøven er bestået i forhold til de godkendelseskriterier, der fremgår af bilag 7. Side 11 af 20

Der henvises i øvrigt til kommentarerne i Bilag 7, herunder kommentarerne om at det bør overvejes, om der er behov for et permanent dedikeret testmiljø til afprøvning, f.eks. i forbindelse med overgang til nye versioner. [Der er ikke i Generelle Betingelser - intern indeholdt betingelser for Afprøvning. Da det er normal IT-praksis at foretage Afprøvning eller test bør det imidlertid overvejes at foretage en Afprøvning med henblik på at sikre, at den ønskede Funktionalitet er tilstede forinden ibrugtagning.] 3.2.7. Pkt. 9 [pkt. 8] Servicemål og support Der henvises i pkt. 9 til Bilag 5, der skal indeholde de konkrete servicemål og metode for opgørelse af f.eks. svar- og oppetider. Også hér gælder det, at sådanne servicemål bør beskrives udtømmende, så der ikke efterfølgende opstår tvivl om overholdelse heraf. Åbningstider, omfang af support, metode (e-mail, telefon, fax, brev), kontaktdetaljer og andre oplysninger om support og supportforpligtelser beskrives i Bilag 6. Se i øvrigt kommentarerne i Bilag 5-6. [Længden af varslet skal i Generelle Betingelser - intern vurderes i hvert enkelt tilfælde og fastsættes ud fra en konkret afvejning af Udbyders og Aftagers forhold, se pkt. 8.2.] 3.2.8. Pkt. 10 [pkt. 9] Opdateringer og Nye Versioner Udbyderen er ifølge pkt. 10 ansvarlig for, at dennes Services til hver en tid lever op til relevant præceptiv lovgivning. Medmindre andet fremgår af Bilag 3, skal Udbyderen udover at opdatere de pågældende Services med [ ] dages skriftlig varsel også opdatere al dokumentation, herunder beskrivelsen af de pågældende Services i Bilag 3. Enhver opdatering, uanset karakteren heraf, skal gøres Tilgængelig i form af en Ny Version, jf. pkt. 10.3. En Udbyder må således kun foretage ændringer, herunder fejlrettelser og andre opdateringer ved Tilgængeliggørelse af en Ny Version, som Aftageren selv kan overgå til at benytte, da selv de mindste ændringer i en eksisterende version kan resultere i, at Aftageren ikke kan anvende Servicen, f.eks. fordi Aftageren selv har kompenseret for en fejl i Servicen i sit eget it-miiljø. Side 12 af 20

Aftageren skal varsles om alle Nye Versioner, jf. pkt. 10.4. Baggrunden for denne forpligtelse er, at det må antages, at en Aftager, der har integreret op mod en bestemt version af en Service, har været igennem et længere forløb med afprøvning, og at der ikke kan foretages runtime-ændringer i et drift-miljø. Endvidere vil Aftalen kunne anvendes af flere Aftagere af samme service, og ændringer vil i sådanne aftaleforhold ikke kunne håndteres på samme måde som i et aftaleforhold med kun to Parter. Udover varslet for opdateringen af dokumentationen bør det således tillige drøftes, om det kun er i særlige situationer såsom ændringer af interface, der bør afstedkomme en Ny Version. 3.2.9. Pkt. 11 [pkt. 10] Bortfald af opdaterings- og supportforpligtelser Pkt. 11 indeholder nogle vigtige bestemmelser om opsigelse/ophør af Udbyders forpligtelser til at Tilgængeliggøre, opdatere og supportere tidligere versioner af sine Services. Fristen for opsigelse bør i hvert enkelt tilfælde overvejes og fastsættes under hensyntagen til såvel Udbyders som Aftagers forhold [I Generelle Betingelser - intern kan Udbyder stoppe sin support og udbud af tidligere versioner, hvis der gives et skriftligt varsel herom. Fristen bør i hvert enkelt tilfælde overvejes og fastsættes under hensyntagen til såvel Udbyders som Aftagers forhold.] 3.2.10. Pkt. 12 [pkt. 11] - Sikkerhed Pkt. 12 indeholder en regulering af Parternes forpligtelser i relation til it-sikkerhed, hvilket er helt afgørende i tilknytning til Web-services og tilsvarende XML-baserede services. Der henvises i pkt. 12 til Bilag 4. I dette bilag skal krav til it-sikkerheden specificeres, f.eks. hvilken standard for digital signatur, der anvendes, krav til databeskyttelse etc. Sikkerhedsniveauet skal fastlægges konkret ud fra arten af de omfattede data og Services. Sker der udveksling eller anden behandling af personoplysninger i tilknytning til de pågældende Services, skal reglerne i Persondataloven overholdes. Persondatalovens 41-42 samt Datatilsynets bekendtgørelse nr. 528 af 15. juni 2000 med efterfølgende ændringer om sikkerhedsforanstaltninger til beskyttelse af Side 13 af 20

personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen) indeholder specifikke krav vedrørende it- og datasikkerhed. Nærmere information findes på www.datatilsynet.dk. For så vidt angår staten er der vedtaget en statlig standard for it-sikkerhed - DS 484. Den indeholder de krav, som skal overholdes for at en organisation med rimelighed kan hævde at have en forsvarlig it-sikkerhedshåndtering. Derudover indeholder DS 484 skærpede krav, der finder anvendelse, når det er nødvendigt at stille særlige krav til itsikkerheden. Information herom findes på www.it-sikkerhed.dk. I øvrigt henvises til kommentarerne indsat i Bilag 4. 3.2.11. Pkt. 13 [pkt. 12] - Personoplysninger Hvis der i tilknytning til de pågældende Services sker behandling af personoplysninger (dvs. oplysninger om bestemte, fysiske personer), skal det sikres, at behandlingen er forenelig med reglerne i lov om behandling af personoplysninger (nr. 429 af 31. maj 2000), som ændret ved lov nr. 280 af 25. april 2001 (Personoplysningsloven). Det er som udgangspunkt Udbyderens ansvar at sikre sig, at eventuelle personoplysninger lovligt kan udveksles, og at de udveksles på korrekt vis. Det er ligeledes Udbyderens ansvar at påse, at de i Aftalen definerede formål med Servicen er lovlige, herunder at Aftagerens modtagelse af persondata til det specifikke formål kan finde sted. Det følger af lov om behandling af personoplysninger, 5, stk. 2 og 3, at Udbyder, når denne er databehandler, skal sikre sig, at dennes indsamling af oplysninger sker til udtrykkeligt angivne og saglige formål, og at der ikke må indsamles og behandles oplysninger, udover hvad der er relevant og tilstrækkeligt. Det er endvidere en forudsætning, at Udbyders efterfølgende anvendelse af data, herunder inkludering i Udbyders Services, er forenelig med de formål, den oprindelige indsamling af data havde. Aftageren er ansvarlig for, at denne er berettiget til at behandle de af Servicen omfattede persondata, og at det sker til de angivne formål, hvilket Aftageren til enhver tid skal kunne dokumentere overfor Udbyder. Side 14 af 20

Herudover er såvel Udbyder som Aftager ansvarlige for at Personoplysningsloven overholdes, og bør som følge heraf gøre sig bekendt med de pligter, der påhviler de aktører som loven benævner henholdsvis dataansvarlig, databehandler, tredjemand, modtager og den registrerede. Endvidere forudsættes såvel Udbyder som Aftager at være bekendt med og efterleve god databehandlingsskik. Udbyder/Aftager er også ansvarlig for, at der foretages den fornødne anmeldelse til Datatilsynet forud for behandling af data, hvis det er påkrævet. Det påhviler såvel Udbyder som Aftager at instruere medarbejdere, rådgivere og andre, der handler på vegne af Udbyder og/eller Aftager, om de vilkår og krav, der gælder for behandling af personoplysninger. Det påhviler i øvrigt begge Parter at sikre, at lov om behandling af personoplysninger samt Datatilsynets forskrifter overholdes, herunder for så vidt angår logning af data, samt at der iværksættes og opretholdes fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger, som udveksles via XML-baserede services, hændeligt eller ulovligt tilintetgøres, fortabes, forringes eller kommer til uvedkommendes kundskab, jf. kommentarerne til pkt. 12 ovenfor. 3.2.12. Pkt. 15 Vederlag Der henvises til kommentarerne under punkt 3.1.3 ovenfor samt kommentarerne indsat i Bilag 8. 3.2.13. Pkt. 18 Misligholdelsesbeføjelser: Pkt. 18 indeholder aftalevilkår om misligholdelsesbeføjelser. Det er i betingelserne fastlagt, at dansk rets almindelige regler finder anvendelse under behørig hensyntagen til retsforholdets beskaffenhed. Det har således ikke været meningen at give nogen af Parterne andre misligholdelsesbeføjelser, end hvad der ville gælde, hvis aftalen ikke blev indgået. Dog er der udtrykkeligt beskrevet enkelte misligholdelsesbeføjelser i pkt. 16 og 17. Hvorvidt der er behov for tilpasning af misligholdelsesbeføjelser, herunder ansvarsbegrænsninger i den konkrete sammenhæng, må afgøres individuelt. Side 15 af 20

[Generelle Betingelser intern adskiller sig fra Generelle Betingelser ekstern ved, at der som følge af, at en offentlig myndighed som én og samme juridiske person, ikke kan placeres et juridisk ansvar på en af de to myndigheder, som indgår aftalen.] 3.2.14. Pkt. 21 Rettigheder Formålet med bestemmelsen er at regulere det forhold, at såvel Udbyder som Aftager kan tænkes at bidrage med rettighedsbelagt materiale. Udgangspunktet er, at Udbyder har alle rettigheder til rettighedsbelagte elementer, der indgår i de omfattede Services, dog på nær til data, databaser m.v., der stammer fra Aftageren. Den ret Aftager får under Standardaftalen er alene en tidsbegrænset, ikke-eksklusiv brugsret til de omfattede Services og den tilhørende dokumentation til egne, interne formål. En Slutbruger behøver dog ikke nødvendigvis at være ansat hos Aftageren, men kan også være en rådgiver, konsulent eller anden person, der agerer på vegne af Aftageren. Aftagers brugsret omfatter ikke adgang til videredistribution eller anden kommerciel anvendelse af de omfattede Services, herunder f.eks. udførelse af servicevirksomhed for andre. Aftalen skal derfor ændres, hvis Parterne ønsker at indgå en form for distributionsaftale eller lignende. Det er i pkt. 21.4 fremhævet, at begrænsninger i antallet af Slutbrugere hos Aftageren skal fremgå af Aftalen. Såfremt der ikke træffes særskilt beslutning herom, har Aftager ret til at lade et ubegrænset antal Slutbrugere anvende de omhandlede Services. Eventuelle begrænsninger og udvidelsesmuligheder bør overvejes i hvert enkelt tilfælde. Der bør således tages højde for indskrænkninger eller udvidelser i Aftagerens organisation f.eks. i tilfælde af sammenlægninger af institutioner, fusioner eller lignende. 3.2.15. Pkt. 22 [pkt. 13] Tredjemands rettigheder: Udbyderen indestår for, at Aftageren kan anvende de omfattede Services til det i Aftalen definerede formål uden herved at krænke tredjemands immaterielle rettigheder. 3.2.16. Pkt. 25 [pkt. 15] Opsigelse Det bør i hvert enkelt tilfælde vurderes, om hvilke opsigelsesvarsler i pkt. 25, der er hensigtsmæssige i den konkrete sammenhæng. Side 16 af 20

Herudover er der indsat en sikkerhedsventil i pkt. 25.3, der giver Udbyder mulighed for at opsige Aftalen med et rimeligt varsel (), hvis det viser sig, at den udbudte Service strider mod relevant præceptiv lovgivning, eller hvis Udbyder som følge af ændringer i lovgivningen ikke længere er pligtig at Tilgængeliggøre de omfattede data og/eller Funktionalitet. Er der tale om relevant præceptiv lovgivning, der var gældende på aftaletidspunktet, vil dette anses som misligholdelse, jf. pkt. 20.1. Der kan dog også opstå situationer, hvor den relevante præceptive lovgivning indføres efter Aftalens indgåelse, og hvor Udbyder derfor ikke kan drages til ansvar herfor. Opsigelsesbestemmelsen i pkt. 25.3 kan anvendes i begge disse tilfælde. [Generelle Betingelser intern kan opsiges efter gensidig aftale]. 3.2.17. Pkt. 27 [pkt. 17] Tvistigheder I en tvist mellem to offentlige myndigheder anbefales det, at tvisten søges løst via den i pkt. 27.2 skitserede metode, og at mulighederne for mediation undersøges nøje. Det bør undgås, at lade sagen eskalere til en egentlig retssag. Ved løsning af tvistigheder ved retssager er udgangspunktet, at tvister skal afgøres ved danske domstole som værneting i første instans. Inden sagen kan indbringes for domstolene skal Parterne dog først søge tvisten løst i mindelighed; i første omgang internt i organisationen og dernæst gennem mægler. Bestemmelsen svarer, bortset fra valget af domstolene som konfliktløsningsorgan, til den tilsvarende bestemmelse i den nye standardkontrakt for kortvarig itprojektleverance af it-systemer baseret på standardprodukter, K01. Der er valgt konfliktløsning ved domstolene af hensyn til ønsket om, via offentlige afgørelser, at få fastlagt offentlige institutioners forpligtelser og rettigheder i relation til digital forvaltning, herunder XML-baserede services. [Generelle Betingelser internt stat indeholder ikke en retslig konfliktløsning, men som følge af at staten er én juridisk person, en bestemmelse om, at Parterne med positiv samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten] Side 17 af 20

3.3. Øvrige bilag (Bilag 2-8) Der henvises til kommentarerne indsat i hvert enkelt bilag, der kan tjene til inspiration ved bilagenes udfyldning. Side 18 af 20

4. UDDYBENDE ORDFORKLARINGER 4.1. Infostrukturbasen Information om XML-baserede Services findes i Infostrukturbasen, jf. definitionen heraf i pkt. 2.1.5 i de Generelle Betingelser på isb.oio.dk. Formålet er at tilbyde et værktøj, der gør det let at udvikle XML-baserede services, der bygger på genbrug af XML-skemaer fra en fælles datamodel. Infostrukturbasen understøtter samarbejdet omkring udvikling og standardisering af skemaer og grænsefladebeskrivelser. Det er i denne sammenhæng Standardaftalen skal ses, idet målet er, at XML-baserede integrationsprojekter i den offentlige sektor skal basere sig på den samme aftale. W3C er akronym for World Wide Web Consortium. W3C er en non-profit organisation, som leder arbejdet med udviklingen af World Wide Web gennem udviklingen af tekniske standarder, rapporter og publikationer. W3C har mere end 500 medlemsorganisationer fra hele verden. Materialet i Infostrukturbasen, herunder skemaer m.v. baserer sig på W3C s standarder. Når der bl.a. i Infostrukturbasen i relation til OIOXML-skemaer, XML og XML-baserede Services refereres til OIO navngivnings- og designregler mm, er der tale om skemaer mv., som er vedtaget af den den danske XML komité. XML komitéen er en teknisk komité med reference til det Koordinerende Informationsudvalg (KIU), hvis opgave det er at udvikle OIOXML-grænseflader omkring offentlige og private it-systemer. Standarden er gjort til en del af statens it-politik ved en regeringsbeslutning medio juni 2003. Et eksempel på OIOXML er e-handelssproget UBL, som er udviklet i regi af organisationen OASIS. Det kan også være et sprog udviklet specielt i Danmark, eventuelt med særlig relevans for en enkelt sektor i Danmark, fx inden for den sociale sektor. Side 19 af 20

4.2. Udbyder og Aftager Standardaftalen er baseret på, at Parterne på begge sider er offentlige institutioner eller myndigheder. Standardaftalen og de tilhørende bilag bør udfyldes under hensyntagen til hvilken rolle Udbyderen og Aftageren har og karakteren af den XMLbaserede service. En Udbyder kan indtage en eller flere af nedenstående roller: 1. Ejer eller kontrollant af en datakilde 2. Datadistributør 3. Komponentejer 4. En kombination af ovenstående Ad 1: At en offentlig institution er ejer eller kontrollant af en datakilde betyder, at institutionen har oparbejdet data, som stilles til rådighed for andre. Ad 2: Med datadistributør menes en offentlig institution, som videreformidler og sammenstiller data og/eller Funktionalitet, der er indhentet fra datakilder, som denne ikke ejer eller kontrollerer, fra andre datadistributører og/eller fra komponentejere. Ad. 3: Med komponentejer menes en offentlig institution, som udbyder Funktionalitet, der kan indgå som en del af et andet IT-system. En komponent kan f.eks. anvendes til at foretage beregninger eller valideringer. Side 20 af 20