Allmänna villkor för Bedas API
Villkoren gäller för anslutning till Bedas API-tjänst för inrapportering och/eller begäran om utlämnande. Villkoren ska tillämpas om inte annat följer av beslutet om anslutning.
1. Den nationella betygsdatabasen
I förordningen (2012:811) med instruktion för Universitets- och högskolerådet (UHR) anges att UHR ska föra ett register över uppgifter om elevers behörig, slutbetyg, examensbevis eller motsvarande från gymnasieskolan, den kommunala vuxenutbildningen på gymnasial nivå samt folkhögskolan. Registret ska föras med hjälp av automatiserad behandling för ändamålet ”biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande”.
UHR fullgör ovanstående uppdrag genom att hålla den nationella betygsdatabasen Beda.
UHR har, i enlighet med ett regeringsuppdrag, byggt ut Beda samt utvecklat ett API så att fler merittyper kan registreras i databasen samt att meriter på ett effektivt och säkert sätt kan delas med ett antal aktörer i syfte att förenkla deras handläggning i utpekade fall.
2. Definitioner
|
API-anslutningspart (AAP) |
Den organisation som beviljas anslutning till Bedas API. |
|
API |
Application Programming Interface – applikationsgränssnitt för kommunikation maskin-till-maskin. |
| API-specifikation
|
De tjänster med format och innehåll som Bedas API består av. Läs mer i Beda. |
|
Bedas API |
Det API UHR tillhandahåller för inrapportering till och utlämnande av gymnasiala meriter från Beda. |
|
Bedas valideringsregelverk |
Av UHR framtaget regelverk som syftar till att validera meriter för att säkerställa riktigheten. Bedas valideringsregler är framtagna utifrån gällande förordningar och föreskrifter som styr betygsutfärdande, till exempel skollagen och gymnasieförordningen, och är därmed föränderliga. |
| Certifikat | Används vid anrop för att identifiera den aktör som begär åtkomst till Bedas API och säkerställer att endast anslutna parter får tillgång till tjänsten. UHR kommer att utfärda dessa certifikat. |
| Gymnasiala meriter | Meriter från gymnasieskolan och andra utbildningar på gymnasial nivå såsom, vuxenutbildning och folkhögskola. |
| Meritutfärdare |
Den utbildningsanordnare som utfärdar gymnasiala meriter. |
| Programvaruleverantör (PVL) | Leverantör som tillhandahåller programvara som kommer användas för integration mot Bedas API. Till exempel elevhanteringssystem på skolorna och system för antagning till vuxenutbildning. |
3. UHR:s åtagande
UHR tillhandahåller Bedas API genom vilket den anslutande parten kan rapportera in meriter till Beda och/eller begära ut uppgifter om meriter från databasen.
UHR ansvarar för drift och underhåll samt förvaltning och utveckling av API:et.
UHR ansvarar för kontroll av den anslutande partens användning av API:et för att säkerställa att denne följer de villkor som framgår av beslut och Allmänna villkor för Bedas API.
UHR får besluta att upphöra med att tillhandahålla API:et. UHR ska vid beslut om upphörande underrätta den anslutna parten i skälig tid före upphörandet. Om beslutet grundar sig i en ändring av de rättsliga förutsättningarna för att tillhandahålla API:et får UHR omedelbart upphöra med att tillhandahålla API:et. UHR ska då skyndsamt underrätta den anslutande parten om detta.
UHR åtar sig att på begäran från statistikansvarig myndighet lämna ut uppgifter så att inrapporterande skola uppfyller sin rapporteringsskyldighet till statistikansvarig myndighet gällande de meriter som rapporterats till Beda.
Bedas API är tillgänglig dygnet runt med undantag för:
- Servicefönster dagligen mellan klockan 06:30-07:30.
- Större planerat, eller akut, underhåll av API:et som kan även ske utanför ordinarie servicefönster.
4. API-anslutningspartens åtaganden
4.1. Säkerhetsåtgärder/krav på programvaruleverantörer
AAP åtar sig att ha personuppgiftsbiträdesavtal (PUBA) med eventuella programvaruleverantörer och/eller andra aktörer som biträder AAP vid begäran och hämtning från Beda.
Genom avtalet ska AAP säkerställa att dess biträden inte får behandla personuppgifterna som hämtas från Beda för egna ändamål eller på ett sätt som innebär otillåten tredjelandsöverföring.
4.2. Information till UHR (upplysningsskyldighet)
AAP ansvarar för att UHR har tillgång till aktuella och korrekta kontaktuppgifter till organisation och kontaktpersoner. Vid ändring av kontaktpersoner, kontaktuppgifter till kontaktpersoner eller liknande ansvarar AAP för att omedelbart underrätta UHR om förändringarna.
AAP ansvarar för att i god tid meddela UHR om den avser att byta den eller de PVL(er) som de i ansökan angivit. Detta med anledning av att en ny PVL inte kan användas innan godkända tester har genomförts.
AAP ansvarar för att snarast meddela UHR om inrapportering av meriter ska ske för ytterligare skolenhet eller om inrapportering för en viss skolenhet ska avslutas.
APP ansvarar för att meddela UHR om AAP har anledning att misstänka att certifikatet eller tillgång till certifikatet har kommit i orätta händer. AAP ansvarar även för att meddela UHR om de av annan anledning misstänker att säkerheten komprometterats.
4.3. Krav vid inrapportering av meriter
Samtliga meriter som utfärdas på de skolor som tillhör den anslutande parten, och är av en merittyp som Beda tar emot, ska skickas in och meriterna ska vara fullständiga. Detta krav gäller under förutsättning att överföringen av meriterna är lagenlig.
Beda tar endast emot meriter utfärdade till personer med svenskt personnummer eller samordningsnummer.
AAP ansvarar för att de meriter som rapporteras in följer Bedas valideringsregelverk. Meriter som inte följer Bedas valideringsregler för utfärdande kommer inte att tas emot av Beda.
AAP ansvarar för att felaktigt inrapporterade meriter rättas alternativt tas bort. Om en merit blivit inrapporterad med ett felaktigt innehåll ska AAP utan onödigt dröjsmål skicka in en korrigering med korrekta uppgifter. I det fall en merit felaktigt har rapporterats till Beda ska den AAP kontakta UHR för radering.
4.4 Krav för begäran om meriter
Begärda merituppgifter från Beda ska användas för angivet ändamål. Vidarebehandling av meriterna begränsas av gällande dataskyddsregler.
AAP ansvarar för att säkerställa att loggning sker av följande:
- Tidpunkt och vilken tjänst (endpoint) per anrop.
- Slutanvändare, dvs. den individs behörighet som har utfört anropet för AAP:s räkning.
AAP ansvarar för att loggar finns tillgängliga i minst 3 år.
AAP ansvarar för att UHR på begäran ges tillgång till efterfrågade loggar.
5.Tekniska krav och begräsningar
För att skydda systemet äger UHR rätten att begränsa AAP:s tillgång till API:et genom att till exempel öka svarstider, begränsa antal förfrågningar per tidsenhet eller stänga av tillgången under en kortare eller en längre period.
Vid ändringar av API-specifikationen kommer UHR i god tid meddela AAP och när det bedöms möjligt tillåta att både den gamla och nya API-specifikationen används under en övergångsperiod.
Bedas valideringsregelverk sätter begräsningar för vilka meriter som kan rapporteras in på så vis att meriter som inte följer reglerna inte tas emot. UHR förbehåller sig rätten att löpande justera Bedas valideringsregelverk utifrån gällande förordningar och föreskrifter som rör betygsutfärdande.
6. Kontroll
För att säkerställa att de allmänna villkoren efterlevs har UHR rätt att i kontrollsyfte inhämta underlag från den anslutande parten. Den anslutande parten ska medverka vid sådan kontroll. Vardera parten ska bära sina egna kostnader för genomförande av kontroll enligt denna punkt.
Om det vid kontroll framkommer brister har UHR rätt att stänga av eller begränsa den anslutande partens tillgång till API:et.
7. Avstängning och återkallelse
Om den anslutande parten bryter mot eller agerar i strid med Allmänna villkor för Bedas API, eller om den anslutande partens användning av API:et skadar eller riskerar att skada förtroendet för API:et har UHR rätt att omedelbart, tillfälligt eller permanent, stänga av eller begränsa den anslutande partens åtkomst till Bedas API. Den anslutande parten ska snarast möjligt underrättas om avstängningen eller begränsningen samt skälen till denna.
UHR har rätt att omedelbart avansluta anslutningsparten om parten i väsentlig mån eller vid upprepade tillfällen bryter mot villkoren och inte vidtar rättelse efter anmodan eller om det framkommer att den anslutande parten lämnat oriktiga uppgifter i det underlag som legat till grund för beslutet anslutning till API:et.
8. Ändring
8.1. I tjänst
UHR förbehåller sig rätten att genomföra nödvändiga uppdateringar och ändringar av API:et. Information om uppdateringar och ändringar samt dess ikraftträdande kommer att publiceras på Beda-sidorna på uhr.se
AAP åtar sig att löpande ta del av information om API:et som publiceras på sidorna med information om Beda.
8.2. I Allmänna villkor för Bedas API
UHR förbehåller sig rätten att ändra Allmänna villkor för Bedas API. Den nya versionen träder i kraft den dag som de publiceras på sidan Allmänna villkor för Bedas API om inte annat särskilt anges.
Vid ändringar som påverkar AAP i betydande mån eller kräver åtgärder så åtar sig UHR att i så god tid som möjligt informera AAP om kommande ändringar.
9. Behandling av personuppgifter
UHR är personuppgiftsansvarig för den behandling av personuppgifter som sker i Beda. UHR är även personuppgiftsansvarig för den personuppgiftsbehandling som sker vid administration av Bedas API.
AAP är personuppgiftsansvarig för behandlingar av personuppgifter som sker hos denne vid inrapportering av uppgifter till Beda samt begäran av uppgifter från Beda.
UHR och AAP ansvarar var för sig för att följa gällande dataskyddsreglering.
UHR och AAP ansvarar för att underrätta varandra om sådana personuppgiftsincidenter som riskerar att påverka UHR:s respektive AAP:s verksamhet, under förutsättning att uppgifterna kan lämnas utan hinder av sekretess.
10. Ikraftträdande
Dessa villkor är giltiga från och med den tidpunkt då de publiceras på sidan Allmänna villkor för Bedas API om inte annat särskilt anges i villkoret.