Datadeling – IntArk

Formålet med IntArk (tjenesten) er å levere en plattform som muliggjør og forenkler samarbeid rundt integrasjoner og deling av data i sektoren.

Plattformen er selvbetjent og skal gi brukere av tjenesten et verktøy for styring av tilganger til kundens data, mulighet for feilsøking i logger og analyse av bruk.

IntArk fungerer som et bindeledd mellom kundens data og integrasjonen (konsumenten) som skal benytte kundens data. IntArk er ikke for lagring av kundens data.

I leveransen inngår også et felles kursmiljø. Det tilbys 20 timers opplæring og rådgiving ved innføringsfasen.

IntArk tilbys av Sikt. Dette tilbys som en fellestjeneste for datadeling i UH-sektoren, basert på føringer fra digitaliseringsstrategi for offentlig sektor og prinsipper/rammeverk fra Digitaliseringsdirektoratet. Intark er også tilgjengelig for andre aktører etter nærmere forespørsel.

Som kunde mottar man en begrenset disposisjonsrett til Sikts tjenester, programvaren og dokumentasjonen som inngår i IntArk. Disposisjonsretten omfatter de rettigheter som er nødvendige for å kunne bruke IntArk som avtalt. Kunden har ikke adgang til å overlate tjenesten, programvare eller dokumentasjonen om IntArk til andre med mindre dette er skriftlig avklart med Sikt.

Fellestjenesten for datadeling i høyere utdanning og forsking (IntArk) 

IntArk er en datadelingstjeneste som muliggjør effektiv og sikker kommunikasjon mellom systemer gjennom god integrasjonshåndtering og meldingskøer, samtidig som den sikrer kontroll over data og fremmer bærekraftig dataoverføring. IntArk standardiserer og forenkler datadeling på tvers av institusjoner innen høyere utdanning og forskning.

Beskrivelse av Gravitee som API manager og API gateway

Gravitee er en open source plattform for API-håndtering som består av en API manager for administrasjon av API-er og tilganger, samt en API gateway som håndterer tilgangskontroll og datadeling. Plattformen gir brukervennlige grensesnitt for både datatilbydere og konsumenter, og støtter effektiv og sikker datadeling gjennom funksjoner som API-kataloger, caching, og tilgangskontroll.

Beskrivelse av RabbitMQ for meldingskø

RabbitMQ er en tjeneste for å håndtere meldinger og meldingskøer, og den ble valgt i IntArk for sin støtte for åpne standarder og evne til å effektivt distribuere meldinger fra datatilbydere til konsumenter. RabbitMQ bruker protokollen AMQP for notifikasjoner og er satt opp for å støtte hendelsesbasert provisjonering, men kan også brukes for andre typer meldinger og integrasjoner.

BROM inngår som selvbetjeningsløsning i RabbitMQ

Selvbetjeningsportalen for RabbitMQ, BROM, forenkler oppsett og administrasjon av meldingskøer, slik at datatilbydere og konsumenter kan forvalte sine tilganger uten dyp teknisk innsikt. Portalen standardiserer oppsettet og synkroniserer fortløpende med RabbitMQ, noe som gir en enklere administrasjon og sikrer konsistente konfigurasjoner på tvers av tjenester.

Programvareversjon
Alle institusjoner skal ha samme versjon av programvaren. Eventuelle midlertidige unntak skal avtales med Sikt.

Vurderinger knyttet til de enkelte integrasjonene

Kunden er selv ansvarlig for å vurdere hvilke integrasjoner som tas i bruk i løsningen.

Overordnet ansvar for personopplysninger som går gjennom integrasjonene

Kunden er selv ansvarlig for å vurdere om tilgang til opplysningene som sendes eller mottas gjennom de enkelte integrasjonene i IntArk, skjer i tråd med personvernregelverket eller andre aktuelle regelverk, avtaler eller føringer som måtte gjelde for bruken av disse opplysningene.

Vurdering og tilpasning av nødvendige sikkerhetsgarantier

Kunden er selv ansvarlig for å vurdere om sikkerhetskrav er oppfylt for personopplysninger som går via integrasjonene i IntArk. Sikkerhetstiltak som IntArk inkluderer er beskrevet i disse tjenestevilkårene og i databehandleravtalen. Dersom opplysningene krever ytterligere vern, er kunden ansvarlig for at dette sikres, eksempelvis ved at informasjon som går gjennom integrasjonene er kryptert ytterligere.

Overføringer ut av EU/EØS

I den grad integrasjoner sender, henter eller gir tilgang til opplysninger utenfor EU/EØS, er kunden selv ansvarlig for å påse at dette skjer i tråd med relevante regler om overføringer av personopplysninger og/eller annen lovgiving.

Bruk av meldingskø

Kunden er forpliktet til å vurdere egnet oppdateringsfrekvens og risiko knyttet til bruk av meldingskø. Sikt vil ikke være i stand til å ta sikkerhetskopier og gjenopprette meldinger som eventuelt skulle gå tapt.

Intark har Servicenivå 2. Les mer om Sikts ulike tjenestenivå.

Servicenivået beskriver:

• Kontaktpunkter og respons- og svartider ved behov for support og for å melde feil.
• Eventuell varsling ved feil og planlagt arbeid

Ved motstrid gjelder spesifiseringer i disse tjenestevilkårene (se under).

Tilgjengelighet

Normalt skal tjenestene ha en tilgjengelighet på 99%. Utilgjengelighet sikter i denne sammenheng til forhold Sikt er ansvarlig for, dvs. ikke force majeure eller andre forhold utenfor Sikts kontroll og ikke forhold som skyldes kunden.  

Planlagt nedetid

USIT er underleverandør for IntArk, og har forpliktet seg til å unngå å gjøre vedlikehold av IntArk på en slik måte som medfører at tjenesten blir utilgjengelig. Dette er ikke alltid mulig i praksis.

USIT har satt av nedetidsvindu som normalt vil bli brukt dersom det for stabil og sikker drift er nødvendig å ta ned tjenesten. Dette er:

• Andre onsdag i måneden fra arbeidstid slutt til arbeidstid start torsdag.

Slik nedetid skal varsles av USIT senest fredagen før. Sikt vil videreformidle slikt varsel så snart som mulig.

USIT kan, dersom det er driftsmessig behov, varsle annet tidspunkt for nedetid. Slik varsel skal sendes minst 10 virkedager i forkant, og aksepteres av Sikt. Sikt vil videreformidle slikt varsel så snart som mulig.

Det skal inngås en databehandleravtale før IntArk tas i bruk. Informasjon om håndtering av sikkerhet og personvern i IntArk er beskrevet i databehandleravtalen.

Vi fremhever likevel følgende momenter her:

• Sikt og USIT vurderer at IntArk kan behandle særlige kategorier av personopplysninger, forutsatt at institusjonene har etablert og etterlever gode rutiner for kontroll og tilgangsstyring.

• Ved bruk av debug-funksjonalitet i Gravitee, vil innhold i spørringer logges. Kunden må derfor være bevisst på hvordan debug-funksjonaliteten benyttes.

• Ved bruk av Feide som påloggingsløsning vil kunden ha mulighet til å identifisere brukere med tilgang til IntArk. Kunden er ansvarlig for å etablere rutiner for å holde oversikt over eiere av API-er, og for å begrense tildeling av globale administratorrettigheter til det som er nødvendig.

• Dersom utvidet logging av et API aktiveres vil Sikt ha tilgang til alt av opplysninger ved API-kall i klartekst, inkludert svar. Kunden kan selv aktivere slik utvidet logging. Sikt sine admin-brukere i Gravitee kan også aktivere slik logging. Dette vil imidlertid kun skje på forespørsel fra kunden, eller orientering om dette på forhånd. Sikt er forpliktet til å håndtere opplysninger slik det fremkommer av disse vilkårene og databehandleravtalen.

• RabbitMQ som benyttes for meldingskøer er ikke egnet for direkte behandling av personopplysninger, og skal i hovedsak kun inneholde referanser til data. Hvordan notifikasjoner bør designes er nærmere beskrevet i den tekniske dokumentasjonen for IntArk (ekstern lenke).

• UiO/USIT er gjennom sin avtale med Sikt forpliktet til å etterleve de samme eller tilsvarende krav til sikkerhet og personvern som Sikt er forpliktet til overfor kunden.

Tjenesteavgift

Intark faktureres gjennom en fast årlig tjenesteavgift og prisen beregnes ut fra summen av antall årsverk (FTE) og studenter ved virksomheten (ihht. Registrerte årsverk i DBH). Første fakturering vil ta hensyn til når på året kunden inngår avtale om å benytte IntArk.

Det beregnes også et generelt pristillegg for øvrige kunder utenfor universitets- og høyskolesektoren.

Prisjustering

Årlig prisjustering spesifiseres i forvarsel som omtalt i generelle tjenestebetingelser. 20 timers opplæring og rådgivning ved innføringsfasen er med i prisen.

Produktstyring

IntArk inngår i Sikts produktportefølje for data og infrastruktur. Den strategiske forvaltningen er underlagt et produktporteføljestyre for data og infrastruktur, som rådgir Digitaliseringsstyret i tråd med samstyringsmodellen for digitalisering i kunnskapssektoren.

Om tredjeparts programvare

Ved mangler i IntArk som følge av feil eller mangler i tredjeparts programvare, er Sikts avhjelpsplikt begrenset til å melde feilen til vår underleverandør (UiO), søke å få prioritet for retting av feilen, holde kunden orientert om status for feilrettingen og at rettet versjon blir gjort tilgjengelig for kunden når feilen i standardprogramvaren er rettet av programvareprodusenten og er oppdatert av vår underleverandør.

Oppstart vil kunne skje når Avtale om leveranse er signert av begge parter. Generelle avtalevilkår gjelder for IntArk.

Der det eksisterer avtaler eller betingelser for enkelttjenester som dekker områdene i de generelle betingelsene, går avtalen for enkelttjenesten foran de generelle betingelsene. Sikt vil i oppsigelsesperioden i rimelig utstrekning forsøke å bistå kunden med å overføre kundens opplysninger i IntArk til ny løsning.