CULR-aftale - udkast til template
CULR-aftale - udkast til template
Tilslutning af <institution> til CULR-servicen
Underskrivere:
1. 1 – Kulturstyrelsen (juridisk forankring af CULR-servicen)
2. 2 – DBC as (driftsansvarlig for CULR-servicen)
3. 3 – <institution>
<dato>
1 Baggrund
CULR er akronym for Core User Library Registry. Formålet med “Core User Library Registry” er at give udbydere af digitale biblioteksservices (i det følgende: tjenesteudbydere) mulighed for at få udleveret en liste over hvilke bibliotekstilhørsforhold en given bruger har. Dette kan CULR fordi den kan identificere de biblioteker hvor en given bruger (person eller virksomhed) er registreret som låner.
2 Beskrivelse af CULR-systemet Formål
CULR-systemet modtager fra tilsluttede dataleverandører (dvs. biblioteker eller studentermatrikler) oplysninger om de lokale id-numre som hver enkelt registreret biblioteksbruger eller studerende råder over. Adgang til digitale indholdsprodukter for biblioteksbrugere eller studerende er afhængig af den enkeltes bibliotekstilhørsforhold eller optagelse i matrikel. Disse tilhørsforhold kan en tjenesteudbyder (fx en lokal eller national bibliotekstjeneste), som gerne vil give deres brugere adgang til digitale indholdsprodukter, få oplyst fra CULR, og dermed kan tjenesteudbyderen efterfølgende tilbyde deres brugere adgang til de relevante indholdsprodukter som deres biblioteks- eller matrikel-tilhørsforhold berettiger til.
Systemarkitektur
CULR-systemet består af 3 komponenter (se definitioner afsnit 3):
1. En webservice der varetager den elektroniske forbindelse mellem de tilsluttede institutioner og CULR-systemet.
2. En database som opbevarer de afleverede data fra de tilsluttede institutioner der er dataleverandører
3. Et administrationssystem som varetager administration af brugerkonti (herunder oprettelse af passwords til institutioner) og som styrer adgangen til funktioner i webservicen for de tilsluttede institutioner.
Af denne aftale fremgår hvilke af de i CULR-webservicen tilgængelige funktionskald som den underskrivende institution kan anvende og hvilke den ikke kan anvende. Disse informationer registreres af DBC as i CULR- tjenestens administrationssystem i form af en "CULR-profil" i forbindelse med brugeroprettelse.
Adgang til at anvende CULR-webservicen kræver derfor at institutionen identificerer sig over for servicen således:
• Et biblioteksnummer/ISIL-nummer tildelt af Kulturstyrelsen
• Et CULR-profilnavn, tildelt af DBC as
• Et password, tildelt af DBC as
Denne login-triple skal angives hver gang en institution kalder en funktion i webservicen. Hvis en institution anvender et funktionskald som den ifølge denne aftale ikke har adgang til at anvende, vil funktionskaldet blive afvist af webservicen.
Al kommunikation mellem de tilsluttede og autentificerede institutioner sker alene gennem webservicen via internettet (via en krypteret https-forbindelse). Det betyder at klientsystemerne ikke har systemadgang til selve databasen eller til administrationssystemet. Det er alene autoriserede DBC-medarbejdere der har adgang til databasen eller til at oprette og rette CULR-profiler og CULR-passwords i administrationssystemet.
CULR-profiler og CULR-passwords administreres af DBC as i et system der ligger uden for selve CULR- webservicen og CULR-databasen, og hvortil der alene er adgang for autoriserede DBC-medarbejdere. Den funktion i CULR-webservicen der henter en CULR-profil, benytter en intern webservice som alene eksponeres og kan kaldes inden for DBCs domæne med ip-adgangkontrol.
2.1 Tilladte operationer for <institution>
Beskrivelse af <institutions> adgang til at benytte CULR-webservicen Institutionens navn:
Formål med adgang:
Institutionstype i CULR-servicen:
• dataleverandør
• tjenesteudbyder
Navn på funktion i CULR-webservice | Har adgang J/N |
createaccountid | |
createpatronid | |
deleteaccountid | |
deletepatronid | |
getaccountidsbyaccountid | |
getaccountsbypatronid | |
getaccountidsbyproviderid | |
getmunicipalitynobyaccountid | |
getmunicipalitynobypatronid | |
getpatronidsbyaccountid | |
getpatronidsbyproviderid | |
getprovideridsbyaccountid | |
getprovideridsbypatronid | |
mergepatronids | |
UnrelatePatronId AndAccountId | |
UpdateAccountId |
Hovedprincipper for institutioners adgang til at anvende CULR-webservicen er:
• En dataleverandør har adgang til at oprette, ændre eller fjerne data fra servicen (create*id, delete*id-funktioner)
• En dataleverandør har kun adgang til at se egne data (getaccountidsbyproviderid, getpatronidsbyproviderid)
• En tjenesteudbyder har kun adgang til at se data, ikke til at ændre, oprette eller slette data . Dvs. en tjenesteudbyder har alene adgang til en eller flere get*-operationer
• Præcis hvilke get-operationer en tjenesteudbyder vil have adgang til bestemmes af formålet for den pågældende tjeneste, herunder hvilke saglige biblioteksfaglige begrundelser der er for anvendelse af CULR-data til opslag i andre tjenester. Dette bestemmes af Kulturstyrelsen efter aftale med tjenesteudbyderen og DBC as.
3 Definitioner
CULR-webservicen anvendes af forskellige typer af institutioner:
3.1 Tjenesteudbyder
Ved tjenesteudbyder forstås en juridisk person (firma, myndighed, institution m.v.) som udbyder en eller flere tjenester der giver brugere adgang til digitale indholdsprodukter, eller et system som håndterer denne adgang på vegne af en eller flere tjenesteudbydere.
3.2 Dataleverandør
Ved dataleverandør forstås en juridisk person (typisk et bibliotek eller en studentermatrikel) som opretter, vedligeholder og nedlægger elektroniske konti med tilhørende oplysninger om deres tilknyttede brugere (ansatte, studerende m.v.) i deres eget system, og som eksporterer oplysninger om disse til CULR-servicen.
3.3. Institutioner
Tjenesteudbydere og dataleverandører benævnes i denne aftale samlet "institutioner".
4 Ansvar efter og forholdet til Persondataloven
De tilsluttede institutioner er dataansvarlig for behandlingen af personoplysninger i henhold til Lov om behandling af personoplysninger. Hvis institutionens datagrundlag opstår ved aggregering af data fra tredjeparter, er institutionen også dataansvarlig.
DBC as er databehandler på vegne af de tilsluttede institutioner i henhold til lov om behandling af personoplysninger, jf. § 3, nr. 5.
Reglerne i § 41, stk. 3-5 i lov om behandling af personoplysninger er tillige gældende for DBC as, jf. § 42, stk.
2. DBC as’ behandling af data må i øvrigt alene ske efter instruks fra den enkelte institution, jf. § 42, stk. 2 i lov om behandling af personoplysninger.
DBC as skal således træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger, alt i overensstemmelse med regler udstedt i medfør af lov om behandling af personoplysninger. Der henvises til Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001 om foranstaltninger til beskyttelse af personoplysninger.
Bestemmelserne i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, tillige med de ændringer hertil der senere måtte blive vedtaget) om sikkerhedsforanstaltninger til beskyttelse af personoplysninger som behandles for den offentlige forvaltning, er ligeledes gældende for DBC as.
Institutioner skal som dataansvarlig overholde anmeldelsesreglerne i lov om behandling af personoplysninger. Eventuel anmeldelse skal ske til Datatilsynet via Datatilsynets hjemmeside, xxx.xxxxxxxxxxxx.xx.
Institutioner og DBC as skal i øvrigt overholde de relevante regler for henholdsvis dataansvarlig og databehandler i lov om behandling af persondata samt regler udstedt i medfør heraf.
5 DBC as’ forpligtelser
5.1 Nedetid og driftsforstyrrelser
DBC as og Kulturstyrelsen indgår aftale om levering af system og drift. Det er DBC as’ ansvar uden ugrundet ophold at varsle og underrette institutionen om omstændigheder som kan påvirke funktionaliteten eller driften af CULR-systemet.
Planlagt nedetid, opdateringer, driftsophør, lovændringer eller ændringer i praksis varsles tillige uden ugrundet ophold.
5.2 Tilslutningshjælp og support
Om ønsket rådgiver DBC institutionen for at sikre bedst mulig anvendelse af CULR-webservicen.
5.3 Beredskab
DBC as er forpligtet til at have et beredskab klar således at eventuel nedetid kan minimeres ved hjælp af fastlagte processer og procedurer.
5.4 Tilslutningstidspunkt
DBC bestræber sig på gøre det muligt for den tilsluttede institution at anvende CULR-webservicen inden for 21 arbejdsdage efter at en underskrevet aftale er godkendt i Kulturstyrelsen.
I tilfælde af at fristen ikke kan overholdes, underrettes institutionen straks om hvorfor fristen ikke kan overholdes, og om hvornår benyttelse kan ske.
For at denne tidsfrist kan overholdes, er det afgørende at institutionen opfylder sine forpligtelser (se punkt 6).
5.5 Dokumentation af CULR-webservice
DBC as har ansvar for den tekniske vedligeholdelse af CULR-systemet. DBC og Kulturstyrelsen vedligeholder dokumentationen af CULR-webservicen, herunder en aktuel WSDL-fil samt anden supplerende dokumentation.
6 Institutionens forpligtelser
6.1 Registrering af kontaktpersoner
Institutionen er forpligtet til at udnævne en teknisk og en organisatorisk kontaktperson samt sikre at kontaktoplysningerne løbende holdes ved lige, ved at sende de fornødne oplysninger og eventuelle ændringer til DBC
6.2 Test
Institutionen er forpligtet til at teste tilsluttede løsninger og gennemføre og bestå alle test som anvist af DBC as ved tilslutningen.
6.3 Ressourcer
Institutionen forpligter sig til at stille nødvendige ressourcer til rådighed i forbindelse med afprøvning af egne løsninger og services. Institutionen afholder selv udgifter til udvikling, etablering, integration, drift m.v. af egne installationer.
6.4 Logning og certifikat
Institutionen er forpligtet til at leve op til den til enhver tid gældende logningspolitik og certifikatpolitik. Politikkerne findes på Kulturstyrelsens hjemmeside.
6.5 Sikkerhed
Det er institutionens ansvar at (it-)sikkerheden i egen organisation lever op til gældende regler og god it-skik. Hvis Kulturstyrelsen vurderer at en løsning (it-system med direkte eller indirekte forbindelse til CULR- webservicen) i væsentlig grad kan kompromittere sikkerheden, anses dette som misligholdelse af tilslutningsvilkårene (se punkt 7).
6.6 Institutionens leverandør
Såfremt institutionen får system eller andet der anvendes til tilslutning til CULR-webervicen fra en leverandør, er det institutionens ansvar at leverandøren opfylder og indestår for alle punkter i denne aftale.
7 Misligholdelse og ansvarsforhold
Dansk rets almindelige regler om misligholdelse og misligholdelsesbeføjelser finder anvendelse med de nedenfor anførte tilføjelser.
7.1 Varsling og ophævelse i forbindelse med misligholdelse
Såfremt en part væsentligt misligholder sine forpligtelser og ikke ophører hermed senest 10 dage efter skriftligt at være anmodet herom, kan den anden part skriftligt og uden varsel hæve aftalen.
8 Ansvarsfraskrivelse
DBC as fraskriver sig ethvert ansvar for tab (herunder direkte og indirekte følgeskader, såsom driftstab, tabt fortjeneste, rentetab og mistede besparelser) som institutionen kan blive påført som følge af forsinkelse, fejl og mangler i CULR-systemet.
9 Lovvalg
Nærværende kontrakt indgås under, og omfattes til enhver tid af, gældende dansk ret.
10 Løsning af tvister
Enhver tvist bør løses gennem forhandling. Hvis ikke en løsning er fundet inden fire uger efter første skriftlige indsigelse er gjort, og hvis institutionen ikke er en del af den danske stat, kan hver af parterne bringe sagen for en dansk domstol, dog således at København er sted for en eventuel retssag.
11 Ikrafttrædelse
Aftalen træder i kraft når den er underskrevet af institutionen, Kulturstyrelsen og DBC as.
12 Opsigelse og ophør
Aftalen kan af hver part opsiges skriftligt til ophør med udgangen af en måned med en måneds varsel. Denne frist bortfalder såfremt der er tale om misligholdelse, jævnfør punkt 9.
13 Underskrift
Undertegnede bekræfter med sin underskrift at acceptere aftalens vilkår. Aftalen udfærdiges i 2 eksemplarer, hvoraf hver part opbevarer det ene.
Institutionens navn: <institution> CVR-nr.: <CVR-nr.>
Underskriverens navn: <underskriver>
Sted og dato: Underskrift:
For Kulturstyrelsen
CVR-nr.: 26 48 98 65 (Kulturstyrelsen) Underskriverens navn:
Sted og dato: Underskrift:
For DBC as
CVR-nr.: 56 79 81 10 (DBC as)
Underskriverens navn: Sted og dato: Underskrift: