Sikt – Kunnskapssektorens tjenesteleverandør (Sikt), Statistisk sentralbyrå (SSB)

Sikt – Kunnskapssektorens tjenesteleverandør (Sikt), Statistisk sentralbyrå (SSB)

(senere kalt Sikt/SSB)

har inngått avtale om bruk av xxxxxxxxx.xx med

𝐼𝑁𝑆𝑇𝐼𝑇𝑈𝑇𝐼𝑂𝑁

(senere kalt Institusjonen)

1 Om avtalen

Avtalen gjelder Sikt/SSBs og Institusjonens ansvar og forpliktelser når Institusjonens brukere benytter xxxxxxxxx.xx (senere kalt Tjenesten).

Tjenesten gir umiddelbar, online tilgang til kobling og analyse av store mengder detaljerte registerdata.

Tjenesten kontrollerer all bruk gjennom et automatisert anonymiserende grensesnitt, som hindrer at sluttbrukerne får tilgang til personopplysninger. Fordi sluttbrukere ikke selv behandler personopplysninger, kan de få tilgang på dagen uten noen form for søknad eller dokumentasjon av behandlingsgrunnlag.

Institusjonen akkrediterer selv egne ansatte og studenter som sluttbrukere i Tjenesten.

2 Innmelding og registrering av brukere

Ved å inngå denne avtalen tegner Institusjonen abonnement på Tjenesten og får rett til å melde inn brukere. Brukerne må være ansatte (herunder PhD-kandidater) eller masterstudenter tilknyttet Institusjonen.

For ansatte gjelder innmeldingen til brukerakkrediteringen fjernes, eller til ansettelsesforholdet opphører, eller til Innmelderinstitusjonens abonnement opphører (det som inntreffer først).

For studenter gjelder innmeldingen i 12 måneder fra innmeldingsdatoen eller til Institusjonens abonnement opphører (det som inntreffer først).

3 Institusjonens rettigheter og ansvar

3.1 Institusjonens rett til å melde inn brukere og administratorer

Ved inngåelse av avtale, melder Institusjonen inn Hovedkontakt for avtalen. På vegne av Institusjonen kan både Hovedkontakt og Brukeradministratorer, etter avtalens inngåelse, melde inn nye Brukeradministratorer og Sluttbrukere digitalt i Tjenesten.

Antall innmeldte brukere påvirker Institusjonens kostnader ved bruk av Tjenesten (jf. pkt. 8).

3.2 Institusjonens ansvar

Institusjonen har ansvar for at de brukerne som meldes inn er ansatte eller masterstudenter ved Institusjonen, jf. pkt. 2.

Institusjonen har ansvar for å melde ansatte og masterstudenter ut av Tjenesten dersom tilknytningen til Institusjonen opphører før tilgangen går ut.

Institusjonen er ansvarlig for at innmeldte brukere anvender Tjenesten i henhold til denne avtalen og den individuelle brukeravtalen.

Institusjonen har ansvar for at innmeldte brukere av Tjenesten skal oppgi xxxxxxxxx.xx som kilde ved all bruk av resultater utarbeidet i Tjenesten. Mer informasjon om de til enhver tid gjeldende referansekravene er oppgitt under kildehenvisning på xxxxx://xxx.xxxxxxxxx.xx/xxxxxxxxxxxxxxx.

Det er Institusjonens ansvar å sikre eget utstyr og tjenester, samt å følge opp sikkerhetsvarslinger fra Sikt/SSB og bidra til at sikkerhetsproblemer blir løst.

4 Sikt/SSB sitt ansvar

Sikt/SSB har felles ansvar for forvaltning og drift av Tjenesten. Dataeiere som har gjort data tilgjengelig via Tjenesten er selv ansvarlige for kvaliteten i sine data.

Sikt/SSB er ikke ansvarlig for konklusjoner som trekkes av Institusjonen eller andre brukere ved bruk av Tjenesten.

Sikt/SSB plikter uten ugrunnet opphold å informere Institusjonen om vesentlige endringer i tjenesten.

5 Behandling av personopplysninger

Institusjonen er kjent med at de detaljerte registerdataene som inngår i Tjenesten er beskyttet av innebygd, automatisert personvern/konfidensialitetssikring. For å sikre at ingen forsøker å omgå dette vernet, blir all brukeraktivitet logget. Loggen inneholder opplysninger om hva identifiserbare brukere har gjort og når de gjør det. Behandlingen av de loggførte opplysningene er beskrevet i Personvernerklæringen som er tilgjengelig på Tjenestens nettsider.

Behandlingen av påloggingsinformasjon begynner ved at Institusjonen akkrediterer egne ansatte og studenter som sluttbrukere. Sluttbrukers navn, fødselsnummer og e-postadresse innhentes ved at Brukeradministrator ved brukerinstitusjon registrerer informasjonen om sluttbrukere som skal ha tilgang til xxxxxxxxx.xx. Opplysningene lagres i en separat brukerdatabase som driver innloggingssystemet.

Sluttbrukers innlogging i xxxxxxxxx.xx skjer gjennom ID-porten. Her behandles navn og fødselsnummer for å sikre at riktig bruker får tilgang. ID-porten er selvstendig

behandlingsansvarlig for ID-porten-fasen av innloggingen, og lagrer fødselsnummer og tidspunkt for innloggingen.

Etter at sluttbruker er logget inn i xxxxxxxxx.xx, logges aktiviteter vedkommende foretar seg i (sikkerhets)logger. Aktivitetene som logges kan knyttes til sluttbruker ved en akkrediterings-id (UUID) som er en del av alle logg-objekter. Akkrediterings-id’en identifiserer en konkret akkreditering unikt.

En akkreditering er ensbetydende med en sluttbrukerkonto for koblings- og analyseformål, og utstedes av Brukeradministrator til ansatte eller studenter ved Institusjonen. Siden enkelte forskere er ansatt ved flere brukerinstitusjoner er systemet laget slik at en enkelt sluttbruker- person kan ha flere akkrediteringer. Loggene inneholder altså identifikator for akkrediteringen.

Loggene benyttes også til generering av bruksstatistikk. Dette er statistikk som Sikt og SSB rapporterer på, bl.a. til finansierende, rådgivende og styrende organer for tjenesten. Ved rapporteringstidspunkt, kjøres det spørringer mot bruksloggene, med tall for antall kjøringer, antall variabler brukt, etc. Rapportstatistikkene er aggregert til institusjonsnivå og over rapporteringsperioden (typisk 3, 6 eller 12 mnd).

I xxxxxxxxx.xx lagres sluttbrukergenererte statistikkprogrammer (skript) tilknyttet den enkelte sluttbrukerakkreditering. Dette gjøres for at sluttbrukerne skal ha løpende tilgang til eget arbeid i tjenesten, og av hensyn til logger for å kunne kontrollere brudd på brukervilkår.

Sikt/SSB deler også statistikk med dataeiere. Denne statistikken skal ikke inneholde personopplysninger, slik at delingen ikke anses som en behandling av personopplysninger. Dersom man i enkelttilfeller ønsker å dele statistikk med personopplysninger må en særskilt vurdering av nødvendighet og behandlingsgrunnlag foretas.

Logg-informasjon benyttes også til å generere en oversikt/statistikk som deles med Brukeradministratorer ved Institusjonen, for å gi Institusjonen informasjonsgrunnlag til å ta beslutninger rundt valg av abonnementskategori. Dette deles ved at Institusjonen får tilgang til en oversikt inne i microdata.nos brukeradministrasjonsverktøy (krever innlogging av Hovedkontakt eller Brukeradministrator).

Nettleser-cookies registreres og benyttes for å holde oversikt på innloggingssesjon/akkrediteringstoken i xxxxxxxxx.xx. Det er to cookies; én for autentisering og én for “user-info”. Sistnevnte kan leses av nettleserne, mens førstnevnte ikke kan det, og er ment for at det skal kunne skje autentiserte kall mot interne API’er/undertjenester i xxxxxxxxx.xx.

Navn og e-postadresse til Hovedkontakt kan publiseres på xxxxxxxxx.xx, dersom vedkommende velger dette i brukeradministrasjonsverktøyet, jf punkt 11.

Når det ikke lengre er behov for de ovennevnte opplysningene, slettes de.

5.1 Avtale om datadeling

Partene er selvstendig behandlingsansvarlige for personopplysningene om Institusjonens studenter og ansatte som overføres under denne Avtalen. Hver part bestemmer selvstendig formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes, jf. GDPR artikkel 4 (7).

Navn, personnummer, e-postadresse, institusjonstilknytning og rolle overføres til Sikt/SSB fra Institusjonen. Sikt/SSB behandler disse opplysningene ved forskjellige behandlingsaktiviteter for følgende egne formål;

• Sikker pålogging

• Avtaleforvaltning og administrasjon av tjenesten

• Logging av sikkerhetsformål og for å kontrollere overholdelse av brukervilkår

• For å sikre personvernet til de registrerte som får sine personopplysninger behandlet i registerdataene i xxxxxxxxx.xx.

• Logger benyttes videre til å aggregere statistikk, for å følge opp, forbedre og forsvarlig drifte tjenesten.

Sikt/SSB deler aggregert data/statistikk med Institusjonen som får tilgang til en oversikt over sine brukere med en ja/nei-indikasjon for inaktivitet for sine ansatt- og studentbrukere. Institusjonen kan benytte denne informasjonen til å deaktivere/aktivere brukere og til å velge ønsket abonnement.

I tillegg kan loggdata eller annen informasjon om enkelte sluttbrukere etter særskilt vurdering kunne deles med Institusjonen, dersom dette anses om nødvendig for å overholde lovkrav eller oppfylle en dokumentert berettiget interesse.

Partenes formål med dataoverføringen og videre behandling, hvilke typer personopplysninger som vil bli overført og relevante kategorier av registrerte kan ikke endres av noen av partene uten at ny avtale eller et endringsvedlegg til Avtalen signeres, med mindre annet følger av lovpålagte forpliktelser.

Partene skal overholde alle krav i gjeldende personvernlovgivning med hensyn til behandling av personopplysninger. Partene er enige om at:

• Hver part er ansvarlige for å ha gyldig behandlingsgrunnlag for sin respektive behandling av personopplysninger som angitt i denne Avtalen, i henhold til GDPR artikkel 6.

• Hver part overholder plikten til å gjennomføre risikovurderinger, og om nødvendig inngå databehandleravtaler med underleverandører.

• Partene bekrefter at de i henhold til GDPR artikkel 32 har iverksatt tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne Avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.

• Hver part skal respektere de registrertes rettigheter, slik disse er regulert i GDPR kapittel 3. dette omfatter å sørge for at tydelig og tilstrekkelig informasjon om behandlingen av personopplysninger er gjort tilgjengelig for de registrerte individene, i henhold til GDPR artikkel 12-14.

• Personopplysninger skal ikke overføres til land utenfor EU/EØS. Dersom slik overføring blir nødvendig etter at denne avtalen er inngått skal skriftlig godkjenning innhentes fra den annen part.

6 Taushetsplikt

Informasjon som Partene blir kjent med i forbindelse med produkt og tjenesteleveransene skal behandles konfidensielt, og skal ikke gjøres tilgjengelig for utenforstående uten samtykke fra den annen part.

Taushetsbelagt informasjon som Partene blir kjent med i forbindelse med avtalen og gjennomføringen av avtalen, skal behandles konfidensielt og ikke gjøres tilgjengelig for utenforstående uten samtykke fra den annen part. Partene skal ta nødvendige forholdsregler for å sikre at uvedkommende ikke får innsyn i eller kan bli kjent med taushetsbelagt informasjon.

Taushetsplikt etter denne bestemmelsen er ikke til hinder for utlevering av informasjon som kreves fremlagt i henhold til lov eller forskrift, herunder offentlighet og innsynsrett som følger av lov 19. mai 2006 om rett til innsyn i dokument i offentleg verksemd (offentleglova). Om mulig skal den annen part varsles før slik informasjon gis.

Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte eller andre som fratrer sin tjeneste hos en av Partene, skal pålegges taushetsplikt også etter fratredelsen om forhold som nevnt ovenfor. Taushetsplikten opphører 5 (fem) år etter avtalens opphør, med mindre annet følger av lov eller forskrift.

7 Immaterielle rettigheter

Sikt/SSB har opphavsrett til programvare, dokumentasjon og annet materiale som inngår i Tjenesten.

Institusjonen/Sluttbrukeren har eierskap til egne resultater utarbeidet gjennom bearbeiding, sammenstilling og analyse i Tjenesten.

Sikt/SSB har rett til å lagre og behandle skriptene av sikkerhetshensyn, for å generere/dele statistikk og for andre formål nødvendig for å drifte tjenesten. For eventuell direkte bruk av sluttbrukerens resultater skal særskilt avtale inngås mellom Institusjonen/sluttbruker og Sikt/SSB.

8 Vederlag og betalingsbetingelser

Vederlag

Alle priser og nærmere betingelser for det vederlaget som Institusjonen skal betale for bruk av Tjenesten er beskrevet under prising og fakturering på xxxxx://xxx.xxxxxxxxx.xx/xxxxxx/

Endring i prismodell eller andre vilkår som omhandler vederlag skal varsles skriftlig til Institusjonens Hovedkontakt. Endring trer tidligst i kraft fra neste Abonnementsperiode.

Prisendringer

Sikt/SSBs priser kan kun endres med virkning fra ny abonnementsperiode. Varsel om prisendring skal sendes senest 30. juni per e-post til Institusjonens Hovedkontakt. Abonnementsperiode er oppgitt under prising og fakturering på xxxxx://xxx.xxxxxxxxx.xx/xxxxxx/

Betalingsbetingelser

Betalingsfrist er 30 dager etter faktureringsdato.

Sikt/SSB bruker elektronisk faktura i godkjent standardformat i henhold til forskrift av 2. april 2019 om elektronisk faktura i offentlige anskaffelser.

Betalingsmislighold

Hvis avtalt vederlag ikke er betalt innen forfall, kan Sikt/SSB sende skriftlig varsel til Institusjonen om at denne avtalen vil bli hevet hvis oppgjør ikke er skjedd innen 30 (tretti) kalenderdager etter at varselet er mottatt.

Avtalen kan ikke heves av Sikt/SSB hvis Institusjonen gjør opp forfalt vederlag innen fristens utløp.

Prøveperiode for Institusjoner som ikke har hatt tilgang til tjenesten før 01.01.2024

Institusjoner som ikke har hatt tilgang til Tjenesten før 01.01.2024 tilbys en gratis prøveperiode på 90 dager fra avtalen er godkjent. Prøveperioden er gratis. Dersom institusjonen ikke ønsker å videreføre tilgangen til Tjenesten, må avtalen sies opp innen utgangen av prøveperioden. Etter endt prøveperiode settes abonnementskategorien i henhold til det antall registrerte ansattbrukere som er registrert ved dette tidspunktet.

9 Mislighold

Det foreligger mislighold dersom en av Xxxxxxx ikke oppfyller sine plikter etter Avtalen, og dette ikke skyldes forhold som den annen part har ansvaret for eller force majeure. Dersom en av Partene ikke kan oppfylle sine forpliktelser som avtalt, skal parten så raskt som mulig gi den andre parten skriftlig varsel om dette. Varselet skal angi årsaken til problemet og så vidt mulig angi når problemet kan rettes.

Tjenesten må bare benyttes til statistiske resultater og analyser, herunder forskning, inklusive forarbeid og planlegging av forsknings- og analysearbeid.

Bakveisidentifisering eller forsøk på rekonstruksjon av identitet av statistisk enhet ved bruk av Tjenesten er ikke tillatt. Se også punkt 3.2.

Mislighold av rettigheter og ansvar (jf pkt 3.2) kan føre til at Institusjonen og/eller brukeren blir suspendert fra bruk av Tjenesten.

Dersom en part ikke har oppfylt sine plikter etter Avtalen, ikke er i stand til å rette misligholdet innen en rimelig frist satt av Xxxxxxx, og dette medfører vesentlig kontraktsbrudd, kan den annen part heve Avtalen.

Før Avtalen kan heves skal parten som ønsker å heve sende et skriftlig varsel til den annen part. I varselet skal det beskrives hvilke forhold som utgjør mislighold og settes en rimelig frist til å utbedre forholdet.

10 Oppsigelse

Denne avtalen løper til den blir sagt opp. Avtalen kan når som helst sies opp ved hjelp av brukeradministrasjonsverktøyet eller via e-post til xxxxxxxxx@xxxxxxxxx.xx. Oppsigelsestiden er 90 dager, og løper fra dagen etter mottatt oppsigelse. Institusjonen vil bli fakturert for det antall måneder abonnement har vært aktivt innenfor abonnementsperioden.

Ved vurdering av avvikling av xxxxxxxxx.xx fra Sikt/SSB sin side skal dette først varsles alle kunder og brukere, samt Norges forskningsråd med minst 6 måneders skriftlig varsel.

Eventuelle innsigelser om avvikling må sendes Sikt/SSB innen 1 måned etter varsel ble sendt. Hvis det etter vurdering av innsigelser fortsatt tas beslutning om endelig avvikling, skal dette varsles i så god tid som mulig, og med minst 4 måneders varsel.

11 Tvisteløsning

Eventuelle konflikter eller uenigheter skal søkes løst gjennom dialog mellom partene.

Dersom situasjonen ikke blir avklart ved dialog innen rimelig tid og Institusjonen er en statlig enhet, skal situasjonen avklares utenrettslig og på alminnelig forvaltningsmessig måte.

Dersom situasjonen ikke blir avklart ved dialog mellom partene innen rimelig tid og Institusjonen ikke er en statlig enhet, kan søksmål reises for de alminnelige domstoler. Oslo tingrett vedtas som rett verneting.

12 Institusjonens representanter

Institusjonens Hovedkontakt vil ha særskilt autorisasjon til å godkjenne endringer i Institusjonens registrerte brukere når antallet brukere medfører endringer i kostnadene som påløper Institusjonen for bruk (jf. pkt. 8). Denne personen kan også melde oppsigelse av avtalen.

Alle brukere som meldes inn senere, herunder flere Brukeradministratorer, oppdateres og kan følges opp kontinuerlig av Institusjonen.

Hovedkontakter og Brukeradministratorer må registreres som alminnelige brukere av Tjenesten, for å kunne bruke Tjenesten til kobling og analyse av data.

13 Synliggjøring på xxxxxxxxx.xx

Tjenesten synliggjør på Tjenestens nettside at Institusjonen har en aktiv avtale om bruk av Tjenesten.

På nettsiden kan også kontaktinformasjonen (navn og e-postadresse) til avtalens Hovedkontakt synliggjøres dersom Hovedkontakten velger dette i brukeradministrasjonsverktøyet.

Formålet med synliggjøringen er å gjøre det mulig for eksisterende eller potensielle sluttbrukere hos Institusjonen å få kontakt med Institusjonens Hovedkontakt uten å måtte kontakte support hos xxxxxxxxx.xx.

Sikt/SSB anbefaler at Hovedkontakten velger å synliggjøre sin kontaktinformasjon slik.

14 Skriftlighet

Alle varsler, krav eller andre meddelelser til Sikt/SSB knyttet til avtalen skal gis skriftlig til xxxxxxxxx@xxxxxxxxx.xx.

Alle varsler, krav eller andre meddelelser til Institusjonen skal gis skriftlig til Hovedkontaktens e- postadresse.

15 Underskrift

Oslo/Bergen, 𝐷𝐴𝑇𝐸.