Kontrakt om tilslutning af <tjeneste> til WAYF

Kontrakt om tilslutning af <tjeneste> til WAYF

Tjenesteudbyderens logo

Underskrivere:

1 – Danish e-Infrastructure Cooperation (juridisk forankring af WAYF-sekretariatet) 2 – <tjenesteudbyder>

<dato>

1 Baggrund

Formålet med “Where Are You From-tjenesten” (herefter “WAYF-tjenesten”) er at muliggøre rollebaseret adgangskontrol og genbrug af log-in-systemer.

2 Beskrivelse af WAYF

WAYF-tjenesten er teknisk forbindelsesled mellem institutioner og tjenester. I fremtiden vil WAYF-tjenesten også blive forbindelsesled til andre WAYF-lignende tjenester i ind- og udland. Teknisk set er WAYF-tjenesten placeret midt mellem institutioner og tjenester.

1. Brugeren går ind på en webtjeneste som kræver log-in. Tjenestens log-in- funktion sender brugeren til WAYF-webstedet, hvor brugeren vælger sin institution.

2. Hvis brugeren ikke allerede er logget ind, viderestilles brugeren til institutionens log-in-side.

3. Efter log-in på institutionen sendes oplysninger om brugeren til WAYF.

4. WAYF-webstedet fremviser for brugeren de få oplysninger som vil blive videresendt til webtjenesten. Xxxxxxxx giver sit samtykke med et klik på en knap. Med et “flueben” kan brugeren markere at samtykket fremover skal huskes ved besøg på samme webtjeneste.

5. WAYF sender oplysningerne til webtjenesten. Hvis webtjenesten kan godkende brugeren ud fra oplysningerne, gives der adgang.

Institutionens log-in-system sender informationer om brugeren til WAYF-tjenesten. Det kaldes for brugerens “attributter”. WAYF-tjenesten udvælger de attributter som tjenesteudbyderen har brug for (mængden er aftalt ved tilslutning af tjenesten til WAYF), og sender dem videre til tjenesteudbyderen. Forinden bliver brugeren bedt om at samtykke i at oplysningerne bliver sendt til tjenesteudbyderen til dennes brug i forbindelse med webtjenesten.

Ud fra oplysningerne om brugeren giver eller nægter tjenesteudbyderen brugeren adgang til tjenesten. Tjenesteudbyderen varetager altså selv adgangskontrollen til sin tjeneste.

Modellen gør det muligt for tjenesteudbydere at give adgang til brugere uden at kende deres navn, cpr-nummer eller andre personhenførbare oplysninger. Tjenesteudbyderne kan nu ved hjælp af WAYF anvende rollebaseret adgangskontrol, hvor der for eksempel gives adgang hvis brugeren er tilknyttet en given institution. Det er muligt at overføre personhenførbare oplysninger, men det gøres kun hvis det er nødvendigt for tjenesten.

Fordelen for brugerne er at de kan bruge et enkelt brugernavn og kodeord til at få adgang til en lang række tjenester, uanset hvor de befinder sig.

Fordelen for institutionen er at den giver sine brugere adgang til tjenester uden for det normale institutionsdomæne.

Fordelen for tjenesteudbyderne er at de får adgang til brugere hvis identitet og tilhørsforhold de tilsluttede institutioner står inde for.

Både tjenesteudbydere og institutioner får den fordel at de alene behøver tilslutte sig til WAYF-tjenesten for at få etableret den tekniske adgang til alle andre der også er tilsluttet WAYF-tjenesten. WAYF beskytter personfølsomme data, og WAYF-tjenesten ser aldrig brugerens log-in-oplysninger (brugerne logger altid ind hos institutionerne). WAYF- tjenesten lagrer ikke brugernes attributter eller andre følsomme oplysninger – de passerer kun WAYF undervejs fra institution til tjeneste, jævnfør dog nedenfor.

Hver enkelt bruger kan gemme sine samtykker hos WAYF. Et samtykke er en godkendelse af at der sendes data om brugeren til tjenesten. Samtykket gemmes hos

WAYF i form af et digitalt “fingeraftryk” (hash-værdi), som i praksis er destruktiv énvejskryptering. Det vil sige at de oprindelige data ikke kan genskabes af WAYF alene.

Et eksempel på et sådant “fingeraftryk” af et samtykke er:

'e2a67df2a8d2c7ea3891ab66f75acf4f8780850d'

Oplysningen kan kun føres tilbage til brugeren hvis WAYF og brugerens institution samarbejder om gennemløb af hele institutionens brugerbase – hvilket alene vil ske i forbindelse med politisager og meget grove tilfælde af misbrug.

Næste gang brugeren tilgår samme tjeneste, beregner WAYF “fingeraftrykket” ud fra de oplysninger som overføres fra institutionen, og tjekker om det allerede findes i databasen. Er dét tilfældet, har brugeren tidligere samtykket til dataudleveringen og skal derfor ikke spørges igen. Alle samtykker kan trækkes tilbage via samtykke-administrationsfunktionen, som kan tilgås via xxx.xxxx.xx.

Når en tjeneste tilsluttes WAYF-tjenesten, fastlægges dens formål. Ud fra formålet afgør tjenesteudbyderen i samarbejde med WAYF-sekretariatet hvilke oplysninger der kan overføres til tjenesten. I henhold til lov om behandling af personoplysninger, der implementerer Rådets direktiv 95/46/EC om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne, må tjenesteudbyder alene modtage et minimum af personoplysninger i forhold til tjenestens formål.

Oplysninger om brugerne opbevares hos de tilsluttede institutioner. Kvaliteten af oplysningerne sikres blandt andet gennem institutionernes overholdelse af den statslige sikkerhedsstandard DS-484 eller lignende samt Rigsrevisionens kontrol af at kravene i DS-484 eller lignende bliver overholdt.

Aftaler om eventuel afregning for brug af de tilsluttede webbaserede tjenester indgås direkte mellem tjenesteudbyderen og institutionerne.

Alle tjenester gøres som udgangspunkt tilgængelige for alle tilsluttede institutioner. Institutionerne har mulighed for at fravælge tjenester individuelt. Mindst to uger før en ny tjeneste bliver tilgængelig, varsles institutionerne om dens formål, dataprofil, eventuelle betalingsvilkår og lignende.

WAYF-organisation er juridisk forankret hos Danish e-Infrastructure Cooperation (DeIC, xxx.xxxx.xx) og bruger CVR-nummeret for Danmarks Tekniske Universitet, hvortil DeICs opgaver er henlagt. WAYF-organisationen finansieres ligeledes af DeIC.

Yderligere information: xxx.xxxx.xx.

3 Definition

Ved tjenesteudbyder forstås en juridisk person (firma, myndighed, institution m.v.) som udbyder en eller flere tjenester.

Ved institution forstås en juridisk person (typisk en institution) som opretter, vedligeholder og nedlægger elektroniske konti med tilhørende oplysninger om deres tilknyttede personer (ansatte, studerende m.v.). I visse sammenhænge bruges den synonyme term “identitetsudbyder”.

4 Ansvar efter og forholdet til Persondataloven

Tjenesteudbyderen er dataansvarlig i forhold til de data om brugerne som modtages fra brugerne via WAYF-tjenesten. WAYF-organisationen er databehandler i henhold til lov om behandling af personoplysninger på vegne dels af de tilsluttede institutioner, dels af tjenesteudbyderen.

Denne bestemmelse er alene relevant for tjenesteudbyderen såfremt denne via WAYF- tjenesten modtager personoplysninger sådan som disse er defineret i lov om behandling af persondata. Såfremt tjenesteudbyderen ikke modtager personoplysninger via WAYF- tjenesten, kan tjenesteudbyderen se bort fra denne bestemmelse.

Reglerne i § 41, stk. 3-5 i lov om behandling af personoplysninger er tillige gældende for WAYF-organisationen. WAYF-organisationens behandling af data må i øvrigt alene ske efter instruks fra den enkelte institution henholdsvis den enkelte tjenesteudbyder, jf. § 42, stk. 2 i lov om behandling af personoplysninger.

WAYF-organisationen skal således træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger, alt i overensstemmelse med regler udstedt i medfør af lov om behandling af personoplysninger. Der henvises til Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001 om foranstaltninger til beskyttelse af personoplysninger.

Bestemmelserne i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, tillige med de ændringer hertil der senere måtte blive vedtaget) om sikkerhedsforanstaltninger til beskyttelse af personoplysninger som behandles for den offentlige forvaltning, er ligeledes gældende for WAYF- organisationen.

Tjenesteudbyderen skal som dataansvarlig overholde anmeldelsesreglerne i lov om behandling af personoplysninger. Eventuel anmeldelse skal ske til Datatilsynet via Datatilsynets hjemmeside på xxx.xxxxxxxxxxxx.xx.

Der gøres opmærksom på at tjenesteudbydere er omhandlet af lov om behandling af personoplysninger, som blandt andet omfatter følgende:

1 - Tjenesteudbyderen skal på en given brugers opfordring slette alle personoplysninger vedrørende brugeren hvis dette er et krav i henhold til lovgivningen, herunder lov om behandling af persondata.

2 - Personoplysninger som er indhentet med det formål at give brugeren adgang til ovenstående tjeneste og/eller til tjenestens eget formål, må ikke på nogen måde eller i nogen form videregives til tredjepart.

Tjenesteudbyderen og WAYF-organisationen skal i øvrigt overholde de relevante regler for henholdsvis dataansvarlig og databehandler i lov om behandling af persondata samt regler udstedt i medfør heraf. Hvis tjenesteudbyderen er etableret i en anden EU-medlemsstat, skal de bestemmelser om sikkerhedsforanstaltninger som er fastsat i lovgivningen i denne medlemsstat, hvor tjenesteudbyderen er etableret, gælde for denne.

5 WAYF-organisationens forpligtelser

5.1 Nedetid og driftsforstyrrelser

WAYF-organisationen indgår aftale med en eller flere operatører om levering af system og drift. Det er WAYF-organisationens ansvar uden ugrundet ophold at varsle og underrette tjenesteudbyderen om omstændigheder som kan påvirke funktionaliteten eller driften af WAYF-tjenesten. Planlagt nedetid, opdateringer, driftsophør, lovændringer eller ændringer i praksis varsles tillige uden ugrundet ophold.

5.2 Tilslutningshjælp og support

WAYF-organisationen er forpligtet til at stille dokumentation til rådighed for tjenesteudbyderen der sikrer bedst mulig tilslutning til WAYF-tjenesten.

5.3 Beredskab

WAYF-organisationen er forpligtet til at have et beredskab klar således at eventuel nedetid kan minimeres ved hjælp af fastlagte processer og procedurer.

5.4 Tilslutningstidspunkt

WAYF-organisationen bestræber sig på at tilslutte tjenesteudbyderen indenfor 21 arbejdsdage fra modtagelse af denne aftale i underskrevet stand. I tilfælde af at fristen ikke kan overholdes, underrettes tjenesteudbyderen straks om hvorfor fristen ikke kan overholdes, og om hvornår tilslutning kan ske.

For at denne tidsfrist kan overholdes, er det afgørende at tjenesteudbyderen opfylder sine forpligtelser (se punkt 6).

5.5 Ændring i politikker

Ændringer i politikker (f.eks. logningspolitik, certifikatpolitik m.v.) adviseres på

xxx.xxxx.xx.

5.6 Skift af WAYF-leverandør

Ændringer i WAYF-tjenestens setup som følge af ny leverandør eller lignede skal varsles mindst 90 dage inden ændringer foretages, således at tjenesteudbyderen kan afse ressourcer til at foretage eventuelle nødvendige ændringer. Tjenesteudbyderen er forpligtet til at afholde udgifter i forbindelse med ændringer og tilpasninger af eget system ved leverandørskift.

6 Tjenesteudbyderens forpligtelser

6.1 Registrering af kontaktpersoner

Tjenesteudbyderen er forpligtet til at udnævne mindst én teknisk og mindst én organisatorisk kontaktperson samt sikre at kontaktoplysningerne løbende holdes ved lige, ved at sende de fornødne oplysninger og eventuelle ændringer til WAYF-organisationen.

6.2 Test

Tjenesteudbyderen er forpligtet til at teste tilsluttede løsninger og gennemføre og bestå alle test som anvist af WAYF-organisationen ved tilslutningen (se detaljer på xxx.xxxx.xx).

6.3 Ressourcer

Tjenesteudbyderen forpligter sig til at stille nødvendige ressourcer til rådighed i forbindelse med afprøvning af egne løsninger og services. Tjenesteudbyderen afholder selv udgifter til udvikling, etablering, integration, drift m.v. af egne løsninger.

6.4 Logning og certifikat

Tjenesteudbyderen er forpligtet til at leve op til den til enhver tid gældende logningspolitik, certifikatpolitik med videre. Politikkerne findes på xxx.xxxx.xx (se punkt 5.5).

6.5 Sikkerhed

Det er tjenesteudbyderens ansvar at (it-)sikkerheden i egen organisation er tilstrækkelig. Hvis WAYF-organisationen vurderer at en løsning i væsentlig grad kan kompromittere sikkerheden, anses dette som misligholdelse af tilslutningsvilkårene (se punkt 8).

6.6 Tjenesteudbyderens leverandør

Hvis tjenesteudbyderen bruger tredjepart i forbindelse med tilslutning til WAYF-tjenesten, er det tjenesteudbyderens ansvar at leverandøren opfylder og indestår for alle punkter i denne aftale.

7 Betaling

WAYF-organisationen afholder udgifter til udvikling, drift og forvaltning af WAYF-tjenestens system, som minimum til og med ultimo 2012.

Tjenesteudbyderen afholder selv udgifter for tilslutning til WAYF-tjenesten vedrørende udvikling, etablering, integration, test, drift m.v. af egen løsning.

Der skal ikke finde betaling sted mellem parterne. WAYF-tjenesten stilles således vederlagsfrit til rådighed.

8 Misligholdelse og ansvarsforhold

Dansk rets almindelige regler om misligholdelse og misligholdelsesbeføjelser finder anvendelse med de i punkt 8.1 anførte tilføjelser.

8.1 Varsling i forbindelse med misligholdelse

Såfremt en part væsentligt misligholder sine forpligtelser og ikke ophører hermed senest 10 dage efter skriftligt at være anmodet herom, kan den anden part skriftligt og uden yderligere varsel ophæve aftalen.

9 Ansvarsfraskrivelse

WAYF-organisationen fraskriver sig ethvert ansvar for tab (herunder direkte og indirekte følgeskader, såsom driftstab, tabt fortjeneste, rentetab og mistede besparelser) som tjenesteudbyderen kan blive påført som følge af forsinkelse, fejl og mangler i WAYF- tjenesten.

10 Lovvalg

Nærværende kontrakt indgås under, og omfattes til enhver tid af, gældende dansk ret.

11 Løsning af tvister

Enhver tvist bør løses gennem forhandling. Hvis ikke en løsning er fundet inden fire uger efter første skriftlige indsigelse er gjort, og tjenesteudbyderen ikke er en del af den danske stat, kan hver af parterne bringe sagen for en domstol, dog således at København er sted for en eventuel retssag.

12 Tjenestespecifikke oplysninger

12.1 Tjenestens formål

Formålet med <tjeneste>< (engelsk service)> er <formål> – på engelsk: <formål på engelsk med kursiv>.

12.2 Aftalt mængde personoplysninger som leveres til <tjeneste> fra WAYF- tjenesten

WAYF-tjenesten leverer altid følgende oplysninger om hver enkelt bruger som forsøger at tilgå <tjeneste>:

- eduPersonPrincipalName (brugernavn på institutionen)

- schacHomeOrganization (hjemmeorganisationens entydige ID)

…

13 Ikrafttrædelse

Aftalen træder i kraft når den er underskrevet af begge parter.

14 Opsigelse og ophør

Aftalen kan af hver part opsiges skriftligt til ophør med udgangen af en måned med en måneds varsel. Denne frist bortfalder såfremt der er tale om misligholdelse, jævnfør punkt 8.

15 Kontaktoplysninger, WAYF-organisationen

WAYF-sekretariatet

Xxxx Xxxxxxxxxx Xxx 0, 0.

2300 København S Att. Xxxxx Xxxxxxxx

E-mail: xxxxxxxxxxx@xxxx.xx Telefon: 0000 0000

16 Underskrift

Undertegnede bekræfter med sin underskrift at acceptere aftalens vilkår. Aftalen udfærdiges i 2 eksemplarer, hvoraf hver part opbevarer det ene.

Tjenesteudbyderens navn: <tjenesteudbyder> CVR-nr.: <CVR-nr.>

Underskriverens navn:

Sted og dato:

Underskrift:

For WAYF-organisationen

CVR-nr.: 30060946 (Danmarks Tekniske Universitet)

Underskriverens navn: Xxxxx Xxxxxxxx

Sted og dato: Underskrift: