Offentlig elektronisk postjournal Håndbok for innholdsleverandørene Versjon 1.0. 22.06.2010
Velkommen til OEP 18. mai 2010 ble Offentlig elektronisk postjournal (OEP) lansert av Fornyings-, administrasjons-, og kirkeminister Rigmor Aasrud. Tjenesten tilgjengeliggjør postjournalene fra statlige virksomheter for allmennheten på ett sted på Internett. På www.oep.no kan innbyggere søke i postjournaler på tvers av etatsgrenser og forvaltningsnivå. Dette gjør Norge til et foregangsland for innsyn i offentlig forvaltning. I Stortingsmelding nr 19 (2008-2009) framheves Offentlig elektronisk postjournals betydning for å fremme åpenhet i forvaltningen og styrke demokratiet: Den elektroniske postjournalen skal effektivisere gjennomføringa av offentlegprinsippet i forvaltninga og gjere det enklare for allmenta å få tilgang til journalane til alle verksemdene som tenesta omfattar. Dette gjeld alle departementa, Statsministerens kontor, dei store landsomfattande verksemdene (til dømes direktorata og tilsyna) og fylkesmennene Direktoratet for forvaltning og IKT (Difi) har administrasjons og forvaltningsansvaret for tjenesten. Vi ønsker at OEP skal være en dynamisk tjeneste og vil videreutvikle den etter deres behov som brukere av publiseringstjenesten. Send oss derfor gjerne brukererfaringer og forslag til hvordan vi kan utvikle OEP til å bli et best mulig verktøy til å gjennomføre arbeidet med innsyn i offentlige dokumenter. Denne veilederen er ment som et hjelpemiddel for virksomhetene som skal ta OEP i bruk. I veilederen finner du relevant informasjon for arkivledere, arkivmedarbeidere og teknisk personell som skal ha befatning med publiseringstjenesten i OEP. Vi ønsker dere lykke til i arbeidet med OEP og ser frem til et godt samarbeid! Leikanger 21. juni 2010 Endre Hjelseth Fung. avdelingsdirektør
Innhold 1 Offentlig elektronisk postjournal... 1 1.1 Innledning... 1 1.2 Om OEP... 1 1.3 Om Difi... 2 1.4 Bruksmønster... 2 1.5 Nyttige lenker... 2 2 Samhandling... 3 2.1 Innfasing til OEP... 3 2.1.1 Innfasingsløpet... 3 2.1.2 Opplæring... 3 2.1.3 Test- og verifikasjonsmiljø... 4 2.1.4 Oppretting av bruker i OEP... 4 2.2 Drift av OEP Difi sin rolle... 4 2.2.1 Drift av OEP... 4 2.2.2 Brukerstøtte... 4 2.2.3 Beredskapsvakt... 5 2.2.4 Brukerstøtte til sluttbruker... 6 2.2.5 Kontaktinformasjon til brukerstøtte og beredskapsvakt... 6 2.2.6 Feilhåndtering... 7 2.3 Drift av OEP innholdsleverandørens rolle... 7 2.3.1 Eksport av postjournaler... 7 2.3.2 Avvikshåndtering... 8 2.3.3 Rapporteringsplikt... 8 2.4 Avtaler mellom Innholdsleverandør og Difi... 8 2.4.1 Tjenesteavtale for forvaltning av OEP... 8 2.4.2 Databehandleravtale... 9 2.5 Videreutvikling av OEP... 10 2.5.1 Videreutvikling av OEP... 10 2.5.2 Endringsanmodninger... 10 2.5.3 Kravspesifisering... 10 2.5.4 Testing... 10 2.5.5 Produksjonssetting... 11 2.6 Samarbeidsformer... 11 2.6.1 Samarbeidsforum... 11 2.6.2 Møter i brukerforum... 11 2.6.3 Arbeidsgruppen... 11 3 Dokumentasjon... 13 3.1 Brukerdokumentasjon... 13 3.1.1 Datatypedefinisjon (DTD)... 13 3.1.2 Brukerveiledning... 15 3.2 Teknisk dokumentasjon... 15 3.2.1 Overordnet teknisk infrastruktur... 15 3.3 Oversikt over tilstøtende retts- og regelverk... 16
1 Offentlig elektronisk postjournal 1.1 Innledning Denne veilederen er ment som et hjelpemiddel for virksomhetene som skal ta i bruk OEP. I veilederen finnes relevant informasjon for arkivledere, arkivmedarbeidere og teknisk personell som skal ha befatning med publiseringstjenesten i OEP. OEP er en tjeneste som krever samarbeid mellom flere instanser. Det er Difi som har ansvaret for å forvalte løsningen. Dette innebærer ansvaret for at tjenesten er i drift og at den blir videreutviklet, samt å administrere løsningen. Virksomhetene som skal publisere offentlig journal i OEP kalles i denne sammenheng for innholdsleverandører. Det er innholdsleverandørens ansvar å tilgjengeliggjøre journaler, samt å motta og behandle innsynskrav. Innholdsleverandøren er også behandlingsansvarlig etter personopplysningslova for postjournalene som publiseres. Det står mer om dette i kapittel 2. Kapittel 3 omhandler hvilke relevant informasjon som finnes for OEP, som for eksempel brukerveiledninger, teknisk dokumentasjon, regelverk og veiledere. Forholdet mellom OEP og personopplysningslova er spesielt relevant i denne sammenhengen. Dere finner derfor utfyllende informasjon om dette i kapittelet. Dokumentet er ikke en uttømmende liste over oppgaver som utøves i OEPsamarbeidet. Dette er en første versjon av det vi vil skal være et levende dokument som kan hjelpe de virksomhetene som skal ta publiseringstjenesten i bruk. 1.2 Om OEP Offentlig elektronisk postjournal er en felles publiseringstjeneste for statlige virksomheters postjournaler. Virksomhetene bruker publiseringsløsningen for å gjøre sine egne postjournaler tilgjengelig på Internett for alle brukere. De ulike postjournalene blir samlet i en felles database. Denne blir gjort søkbar for allmennheten. Brukerne kan søke etter informasjon gjennom OEP og bestille innsyn i den informasjonen de finner interessant. Bestillingen blir sendt til den virksomheten som er ansvarlig for journaloppføringen. Virksomheten behandler bestillingen som et innsynskrav, og gir svar direkte til brukeren. OEP er utviklet og eies av Fornyings-, administrasjons og kirkedepartementet (FAD). Direktoratet for forvaltning og IKT (Difi) er forvaltnings- og administrasjonsansvarlig for tjenesten på vegne av FAD. Innholdet i OEP blir publisert av departementene og de statlige etatene som eier postjournalene.
1.3 Om Difi Direktoratet for forvaltning og IKT (Difi) skal bidra til å utvikle og fornye offentlig sektor, styrke samordning og tilby fellesløsninger. Målet vårt er at offentlig sektor skal ta i bruk Difis kunnskaper, virkemiddel og verktøy, noe vi bare kan oppnå i samhandling og dialog med andre. Godt samarbeid med resten av forvaltningen er den viktigste forutsetningen for at vi skal lykkes. Difi har et spesielt ansvar for fornyelse og utvikling av offentlig sektor på områdene IKT, anskaffelser, kommunikasjon, organisering, virkemiddelbruk og opplæring. Følgende fagområder er lagt til avdeling for kommunikasjon: Difi skal bidra til åpenhet og innsyn i forvaltningen og gjøre det enklere for innbyggerne å få tilgang til offentlig informasjon. Vi skal være pådrivere for et enklere og mer forståelig språk i statens kommunikasjon med innbyggerne. Innsatsområde: Innbyggerportal og svartjeneste, klart språk i staten, offentlig elektronisk postjournal, og Los felles terminologi for offentlige tjenester. 1.4 Bruksmønster Det er fremdeles tidlig å mene noe om bruksmønsteret for OEP. Den primære brukergruppen vil nok fremdeles være pressen. At OEP er allment tilgjengelig gjør at det likevel må påregnes en del andre brukere. Difi har erfaringstall fra pilotprosjektet EPJ, hvor 155 nyhetsredaksjoner hadde tilgang til postjournalene fra 36 statlige virksomheter. Årlig ble det krevd innsyn i rundt 70.000 dokumenter fra disse innholdsleverandørene. Erfaringstallene fra OEP viser at det i løpet av de første 14 dagene ble sendt 4.680 krav om innsyn via den nye tjenesten. Da er kun 18 av innholdsleverandørene fra EPJ med i OEP. For enkelte av innholdsleverandørene som er blitt med over i OEP, har antall innsynskrav mer enn tredoblet seg i forhold til EPJ. Ta gjerne kontakt med oss dersom dere ønsker oppdaterte trafikktall eller har spørsmål med tanke på bruk av tjenesten eller forventninger. 1.5 Nyttige lenker Offentlig elektronisk postjournal: http://www.oep.no Samarbeidsportalen: http://oep.difi.no
2 Samhandling 2.1 Innfasing til OEP 2.1.1 Innfasingsløpet Det er offentlighetsforskriftens 6 som regulerer hvilke statlige virksomheter som skal levere journal til OEP. Som hovedregel gjelder dette alle departement, Statsministerens kontor, fylkesmennene og alle direktorat og tilsyn med hele landet som virkeområde. I tvilstilfeller er det overliggende departement som avgjør om underliggende virksomhet skal levere journaler til OEP. Det er et omfattende arbeid å skulle innlemme alle virksomhetene til OEP. En rekke tilpassinger skal gjøres både i saks- og arkivsystemet og organisatorisk i den enkelte virksomhet, før man er klar til å eksportere filer til OEP. Det er derfor besluttet at innfasing skal skje i puljer, etter hvert som virksomhetene er klare til å starte publisering. I 2010 er det planlagt innfasing i fire puljer. Den første puljen, som bestod av SMK, departementene, NVE, VOX og Datatilsynet, ble faset inn i forbindelse med lansering av tjenesten 18. mai. Videre planlegger vi innfasingspuljer i juni, september og november. Første innfasingspulje i 2011 planlegges i slutten av januar. 2.1.2 Klargjøring av innholdsleverandørenes saks- og arkivsystem Før innholdsleverandørene kan fases inn i OEP må virksomhetenes saks- og arkivsystem ha funksjonalitet for å levere postjournaler i riktig format. Den enkelte virksomhet er selv ansvarlig for at saks- og arkivsystemet har slik funksjonalitet, og må avklare dette med leverandør av systemet. Virksomhetene kan ta kontakt med brukerstøtten hvis det er behov for mer detaljert informasjon enn det som fremgår av denne håndboken. 2.1.3 Opplæring I forkant av hver innfasingspulje vil Difi avholde en opplæring av nøkkelpersonell ved virksomheten. Denne opplæringen vil omfatte bruk av publiseringsløsningen, samhandling i OEP, avvikshåndtering og roller og ansvar. Opplæringen tar om lag en arbeidsdag, og målgruppen er arkivleder og personell som skal arbeide med publisering av journaler til OEP. I tillegg til denne opplæringen har Fornyings-, administrasjons,- og kirkedepartementet utarbeidet en veileder for innholdsleverandørene til regelverket om arkivering, journalføring og taushetsplikt. Denne ble utarbeidet i samarbeid med Justis- og politidepartementet og Kultur- og kirkedepartementet. Veilederen er tilgjengelig via regjeringen.no og på Samarbeidsportalen for OEP. Her ligger det også lenke til kurset i veilederen som ble avholdt i desember 2009 som NettTV. Dette kurset tar om lag to timer.
2.1.4 Test- og verifikasjonsmiljø Difi er ansvarlige for et test- og verifikasjonsmiljø for OEP. I dette miljøet vil man kunne teste egne journaloverføringer, bestillingsfunksjonalitet, eventuelle innsynsmoduler m.m. Testmiljøet kan også benyttes til opplæring enten i forbindelse med innfasing av virksomheten til OEP eller som ledd i opplæringen av nye medarbeidere. Difi vil også benytte dette test- og verifikasjonsmiljøet for å teste ny funksjonalitet til OEP. Bruk av testmiljøet avklares med Difi. Difi oppretter brukere til den enkelte virksomhet og tildeler brukernavn og passord. I forkant av hver innfasingspulje vil den enkelte virksomhet få tilsendt et skjema over opplysninger som må registreres for at Difi kan opprette bruker i testmiljøet. Difi kan veilede innholdsleverandøren i bruk av testmiljøet. Spørsmål og henvendelser kan rettes til den ordinære brukerstøtten for OEP (se punkt 2.2.5. for kontaktinformasjon.) 2.1.5 Oppretting av bruker i OEP Når virksomheten er klar til å levere offentlig journal via OEP, vil Difi opprette bruker i driftsmiljøet. Virksomheten får opplyst brukernavn og passord fra Difi. Fra brukeren er opprettet vil den synes på Internett. Det er derfor viktig at innholdsleverandøren så snart som mulig publiserer første journal, slik at det finnes søkbare journalposter for denne innholdsleverandøren i løsningen. 2.2 Drift av OEP Difi sin rolle 2.2.1 Drift av OEP Difi er ansvarlige for driften av OEP. Dette innebærer å sikre stabil, robust og sikker drift av publiseringstjenesten. Det er inngått driftavtaler med eksterne leverandører som gir en oppetidsgaranti på minimum 99,5 %. Difi er ansvarlig for avtaler mot eksterne leverandører, feilkoordinering og leverandøroppfølging, herunder driftsovervåkning. I de tilfeller det er planlagt å midlertidig stenge tjenesten i forbindelse med oppgraderinger, vedlikehold eller lignende, plikter Difi å informere om dette. Denne informasjonen vil alltid være oppdatert og tilgjengelig på Samarbeidsportalen for OEP: http://oep.difi.no. 2.2.2 Brukerstøtte Difi skal støtte innholdsleverandørene i bruk av OEP, se tjenesteavtalens vedlegg 7. Brukerstøtten er avgrenset til å gjelde komponenter som er en del av OEP løsningen, herunder infrastruktur, innfasing av nye innholdsleverandører
og sikkerhet i OEP. Difi yter ikke brukerstøtte i forbindelse med forhold i innholdsleverandørens egne fagsystem som for eksempel saks- og arkivsystem. Difi har heller ikke ansvar for å gi råd i forbindelse med regelanvendelse m.m. i forbindelse med publisering av journal eller behandling av innsynskrav. Difi betjener innholdsleverandørene via telefon og e-post. Innholdsleverandørene er garantert svar på telefon i tidsrommet brukerstøtten er betjent. Alle saker registreres i Difi sitt hendelseshåndteringssystem. Difi er ansvarlige for å informere innholdsleverandøren om relevante hendelser, feil, workarounds etc. som gjelder alle innholdsleverandører. Driftsinformasjonen på samarbeidsportalen www.oep.difi.no oppdateres løpende i åpningstiden. Alle saker løses fortløpende. Dersom saken ikke kan løses samme virkedag, skal innholdsleverandøren informeres om når saken kan ventes løst. Servicenivået for brukerstøtte vises i tabellen under. Kategorier og prioriteter Kategori Type Forklaring Responstid A Kritisk En hendelse skal prioriteres som Kritisk dersom det er et sikkerhetsbrudd ved løsningen eller feil ved de publiserte data i løsningen som er omdømmekritisk, eller dersom sikkerheten i løsningen er betydelig svekket. B Alvorlig En hendelse skal prioriteres som Alvorlig dersom hele eller vesentlige deler av tjenesten er utilgjengelig. En hendelse skal også prioriteres som Alvorlig dersom hendelsen medfører redusert tilgjengelighet og/eller sikkerhet i løsningen. 1 time 2 timer C Mindre alvorlig En hendelse skal prioriteres som Mindre alvorlig dersom hendelsen har liten betydning for brukere av tjenestene og/eller tjenesteeiere. Endringsanmodning Driftsmeldinger Forespørsel fra innholdsleverandør om endringer etc. i løsningen Meldinger fra innholdsleverandør som skal publiseres på OEP nettstedet, og informasjon om drift av OEP som for eksempel planlagt stenging sv tjenesten i forbindelse med vedlikehold, feil, m.m. 8 timer 3 virkedager 1 time 2.2.3 Beredskapsvakt
Difi er ansvarlig for å holde beredskapsvakt for kritiske hendelser i OEP, se tjenesteavtalens vedlegg 7. Beredskapsvakten skal være betjent hverdager mellom klokken 07.00 og klokken 22.00. Innholdsleverandøren er garantert svar på telefon hos beredskapsvakten innenfor åpningstiden. Beredskapsvakten skal evalueres innen september 2010. Videre drift, innretning og åpningstid for beredskapsvakten skal vurderes i forbindelse med Difis risikovurdering av OEP tjenesten. Det er innholdsleverandøren som er behandlingsansvarlig for data i OEP, se punkt 2.4.2. Allmennheten skal derfor henvende seg til innholdsleverandøren dersom det oppdages data som ikke skulle være publisert på Internett, eller annen informasjon som er uriktig. Innholdsleverandøren er ansvarlig for å rette opp slike data via innholdsleverandøren sitt område i OEP. Dersom innholdsleverandøren ikke har tilgang til dette området, eller dersom funksjonalitet for å slette eller tilbakekalle data ikke fungerer, har innholdsleverandøren anledning til å kontakte beredskapsvakten. Beredskapsvakten kan i slike tilfeller slette data på vegne av i innholdsleverandøren, skjerme for søk postjournalene, eller dersom situasjonen krever det, fjerne OEP-løsningen fra Internett. Brukerstøtten har myndighet til på eget initiativ å treffe overnevnte tiltak dersom Difi finner dette nødvendig. Dersom Difi av tredjepart blir gjort oppmerksom på data som ikke skal være publisert i OEP plikter Difi snarest å bekjentgjøre innholdsleverandøren med dette. Det er innholdsleverandørens ansvar å vurdere om data skal fjernes eller redigeres i løsningen. Dersom innholdsleverandøren er utilgjengelig har Difi rett til å slette informasjon som åpenbart må betraktes som konfidensiell. Difi plikter i disse tilfellene samtidig å varsle innholdsleverandøren om hvilke data som er slettet fra databasen. Innholdsleverandøren må da vurdere om hele eller deler av journalen skal gjenpubliseres. 2.2.4 Brukerstøtte til sluttbruker Difi utøver teknisk brukerstøtte til sluttbrukeren, herunder hjelp i bruk av OEP, hverdager i tidsrommet mellom klokken 09.00 og 15.00, se tjenesteavtalens vedlegg 7. Henvendelser besvares via e-post og telefon. Brukerstøtten er begrenset til å omfatte nettstedet for OEP, herunder søke- og bestillingsapplikasjonene. Difi har ikke ansvar for å rettlede brukeren i å finne spesifikke dokumenter hos den enkelte innholdsleverandør, eller å gi informasjon om saker eller dokumenter i OEP. Difi er ansvarlig for å holde brukerveiledninger, spørsmål og svar, regelverksinformasjon m.m. oppdatert og tilgjengelig for sluttbruker på nettstedet for OEP. 2.2.5 Kontaktinformasjon til brukerstøtte og beredskapsvakt Brukerstøtte e-post: kontakt@oep.no Brukerstøttetelefon: 57 65 50 50 (hverdager 09.00 15.00)
Sentralbord: 22 45 10 00 Telefaks Oslo: 22 45 10 01 Telefaks Leikanger: 57 65 50 55 Besøksadresse i Oslo: Sandakerveien 24C, inngang D9, 4. etasje Besøksadresse i Leikanger: Skrivarvegen 2 Postadresse: E-post: Postboks 8115 Dep., 0032 Oslo postmottak@difi.no Fagansvarlig: Jon Håkon Odd jonhakon.odd@difi.no Teknisk kontaktpunkt Difi: Jakob A. Sandal jakob.sandal@difi.no Kontaktpunkt avtaler mv. Anne-Marie Colban anne.marie.colban@difi.no 2.2.6 Feilhåndtering Difi er ansvarlige for å koordinere feilhåndtering i OEP. Innholdsleverandøren skal melde eventuelle feil til Difi. Difi har rutiner for å håndtere feil, uønskede hendelser og uhell/ulykker i forbindelse med drift av OEP. Disse rutinene er basert på et IT-styringssystem, og skiller mellom forespørsler, hendelser og varsel. Alle hendelser blir logget i et dertil egnet fagsystem hos Difi. Difi har ansvar for å analysere alle hendelser og foreslå risikoreduserende tiltak for å forhindre at disse kan gjentas. 2.3 Drift av OEP innholdsleverandørens rolle 2.3.1 Eksport av postjournaler Innholdsleverandørene overfører selv xml-fil med postjournal til OEP. Formatet for filer som innholdsleverandøren oversender til OEP skal støtte krav til filformatet som beskrevet i Noark 4.1, kapittel 15. Se også punkt 3.1.1 for beskrivelse av datatypedefinisjon.
Overføringen skjer ved at man laster opp fil med postjournalen i leverandørområdet i OEP. Leverandørmanualen vedlagt i punkt 3.1.2 beskriver overføringsprosessen nærmere. 2.3.2 Avvikshåndtering Feilretting av allerede innsendte journalposter skal innholdsleverandøren utføre, ved å rette enkeltposter og gjennomføre en overføring til OEP eller tilbakekalle feilsendte journalposter, uten at personell fra Difi involveres. Feilretting skjer i den enkelte innholdsleverandørs arkivsystem med etterfølgende eksport til OEP. Systemet skal føre logg over alle kjøringer for hver innholdsleverandør, med dato, klokkeslett, overføring/tilbakekalling, fra-til-journaldatoer og fra-tildokumentnummer. 2.3.3 Rapporteringsplikt Partene har en gjensidig plikt til å informere hverandre om eventuelle uønskede hendelser, herunder feil eller avvik som påvirker drift eller forvaltning av OEP, uten ugrunnet opphold. Dersom hendelsen har oppstått hos innholdsleverandøren skal feilen meldes til e-postadressen kontakt@oep.no eller til telefonnummer 57 65 50 50, se tjenesteavtalens vedlegg 5. Det er viktig at meldingen om hendelsen er så utfyllende som mulig og inneholder så mye informasjon som mulig. Dette omfatter: - Tidspunkt hendelsen oppstod - Utfyllende beskrivelse om hendelsen og hendelsesforløpet - Beskrivelse av konsekvenser som følge av hendelsen - Kontaktpunkt hos innholdsleverandøren for hendelsen - Operativsystem og nettleser med versjonsnummer - Eventuelle feilmeldinger i OEP - Eventuelle forslag til tiltak fra Difi sin side 2.4 Avtaler mellom Innholdsleverandør og Difi 2.4.1 Tjenesteavtale for forvaltning av OEP Forvaltningsavtalen regulerer samhandling mellom Difi som forvalter av OEP og virksomhetene som skal levere journaler til løsningen. Avtalen skal være et virkemiddel for å sikre at krav som fremkommer i relevante lover og forskrifter etterleves. Den skal også angi partenes roller og ansvar i forhold til OEP. Alle innholdsleverandørene vil få tilsendt tjenesteavtale i forbindelse med innfasing til OEP. Innholdsleverandørene må sende et signert eksemplar av avtalen i retur til Difi. Vedlegg 6 til tjenesteavtalen er et skjema for driftsinformasjon som Difi trenger for å opprette brukeridentitet for virksomheten. Skjemaet må fylles ut, og sendes Difi sammen med
tjenesteavtalen. Vedlegget finnes i word-format på samarbeidsportalen, slik at det vil være lettere å fylle det ut maskinelt. Forvaltningsavtalen er utformet som en standard avtale mellom Difi og alle som skal levere postjournaler til OEP. Den enkelte virksomhet kan derfor ikke forhandle på innholdet i avtalen individudelt. Innholdsleverandørene har imidlertid mulighet til å påvirke innholdet i avtalen i forbindelse med årlig revidering av avtalen. Difi vil i forkant av hver revidering sende ut utkast til tjenesteavtale for innspill og kommentarer fra virksomhetene. 2.4.2 Databehandleravtale Behandling av personopplysninger er særskilt regulert i personopplysningsloven. Lovens 2 definerer to ulike roller i forbindelse med behandling av personopplysninger: 1. behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes 2. databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige Innholdsleverandøren til OEP er behandlingsansvarlig for personopplysninger i journalene som publiseres. Dette er stadfestet av Lovavdelingen ved Justis- og politidepartementet i brev datert 12.3.2010: Plikten til å føre journal påhviler det organet som korrespondansen gjelder, jf. arkivforskriften 2-6 første og annet punktum, jf. offentlighetsloven 10 første ledd. Det er også dette organet som skal anses som behandlingsansvarlig etter personopplysningsloven. At organet gjør journalen tilgjengelig på OEP og i den forbindelse setter ut denne oppgaven til et annet organ, innebærer ikke at vedkommende organ opphører å være behandlingsansvarlig etter personopplysningsloven Difi som forvaltningsansvarlig for OEP, vil i denne sammenheng ha rollen som databehandler av personopplysningene i journalene som publiseres til Internett via OEP. Det følger av personopplysningsloven 13, at den behandlingsansvarlige og databehandleren gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Informasjonssystemet og sikkerhetstiltakene skal i tillegg dokumenteres. Behandlingsansvarlig har i også ansvar for å påse at databehandler oppfyller disse kravene. Tjenesteavtalen omhandler Difis og innholdsleverandørenes gjensidige plikt til å etablere, vedlikeholde og dokumentere systematiske tiltak som er nødvendig for å oppfylle kravene i offentlighetsforskriften og personopplysingsloven når det gjelder behandling av personopplysninger i OEP. Det følger videre av personopplysningsloven 15, at innholdsleverandørene må inngå avtale med Difi, som databehandler, om hvordan Difi kan behandle personopplysningene i postjournalene. I avtalen skal det gå frem at Difi plikter å gjennomføre slike sikringstiltak som følger av 13.
Difi har utformet en databehandleravtale hvor de krav som er relevante for OEP etter personopplysningsloven er forsøkt ivaretatt. Avtalen ligger som vedlegg 8 til tjenesteavtalen, og blir på denen måten en del av tjenesteavtalen mellom innholdsleverandørene og Difi. 2.5 Videreutvikling av OEP 2.5.1 Videreutvikling av OEP Difi er ansvarlige for videreutvikling av OEP. Dette innebærer å beslutte videreutviklingstiltak, kravspesifisere disse, koordinere testtiltak, godkjenne utviklede endringer og sette disse i produksjon. Innholdsleverandøren kan sende Difi forslag til endringer, forbedringsforslag og brukererfaringer. Difi har ansvar for å vurdere disse, samt gi tilbakemelding til avsender om videre framdrift. I tilfelle behov kan Difi be enkelte eller alle innholdsleverandører i å bistå i kravspesifisering eller testing av endringer i OEP. Omfanget av slik bistand skal normalt kunne løses innenfor de rammer som virksomheten har. Difi planlegger videreutvikling i iterasjoner, dvs. at videreutvikling vil skje i forbindelse med versjonsendringer. Vi vil derfor samle opp en del innspill og utføre endringer samlet. Vi gjør regning med å skulle gjennomføre to til tre slike utviklingsløp årlig. 2.5.2 Endringsanmodninger For å sikre at OEP blir en så god som mulig publiseringstjeneste er det viktig at Difi blir gjort kjent med de erfaringene som arkivmedarbeiderne gjør seg i den daglige publiseringen av offentlig journal og behandlingen av innsynskrav. Vi ønsker derfor så mange innspill, kommentarer og forbedringsforslag som mulig til hvordan vi kan videreutvikle OEP. 2.5.3 Kravspesifisering Difi vil gjennomføre behovsanalyser og utarbeide kravspesifikasjon for nye versjoner med utgangspunkt i innkomne endringsforslag og ønsket videreutvikling av systemet. Systemleverandøren utvikler ny versjoner av løsningen basert på kravspesifikasjoner fra Difi. 2.5.4 Testing Difi er ansvarlig for å teste ny funksjonalitet i test- og verifikasjonsmiljøet før ny versjon blir gjort tilgjengelig i produksjonsmiljøet. For å kunne avdekke eventuelle feil før produksjonssetting, vil slik testing bli gjennomført etter oppsatte testplaner.
2.5.5 Produksjonssetting Etter at ny funksjonalitet er godkjent etter blir ny versjon produksjonssatt. Slike versjonsoppgraderinger vil bli gjennomført i gitte utviklingsløp fastsatt i samarbeid med systemleverandøren. 2.6 Samarbeidsformer 2.6.1 Samarbeidsforum Det skal holdes jevnlige møter i samarbeidsforum mellom tjenesteeier, forvaltningsansvarlig og innholdsleverandører. Forumet skal legge til rette for en langsiktig strategisk utvikling av tjenesten, herunder drøfte utviklingstiltak og prinsipper for forvaltning av tjenesten. Samarbeidsforumet er forankret i tjenesteavtalen for forvaltning av OEP. Arbeidet i samarbeidsforumet skal resultere i at forvalter og innholdsleverandører utvikler en felles forståelse for prioriteringer i videreutviklingsplanene i OEP. Møtene skal avholdes i Oslo minst to ganger i året. Det er utarbeidet mandat for samarbeidsforumet. Dette inneholder en beskrivelse av prinsipper og regime for samhandling mellom Difi og innholdsleverandørene. Mandatet ligger tilgjengelig på samarbeidsportalen. 2.6.2 Møter i brukerforum Det skal holdes årlige møter i brukerforum for OEP. Representanter fra Norsk redaktørforening, Norsk presseforbund, Norsk journalistlag, Mediebedriftenes Landsforening, Offentlighetsutvalget i pressen, Institutt for journalistikk og tjenesteeier skal inviteres til møtene. Representanter fra eksterne leverandører inviteres ved behov. Forvaltningsansvarlig og fagansvarlig skal være representert på møtene fra Difi. Andre roller kalles inn ved behov. Brukerforum skal være en arena for erfaringsutveksling og for å kunne diskutere og legge frem brukerbehov for tjenesten. Møtene avholdes i Oslo. 2.6.3 Arbeidsgruppen Difi vurderer fortløpende om det bør opprettes en arbeidsgruppe i sammenheng med samarbeidsforumet. Aktuelle arbeidsoppgaver for gruppen vil være å vurdere videreutviklingstiltak, endringer og delta i kravspesifisering, systemtesting og akseptansetesting. Behovet for en arbeidsgruppe vil bli diskutert i samarbeidsmøtet.
3 Dokumentasjon 3.1 Brukerdokumentasjon 3.1.1 Datatypedefinisjon (DTD) Datatypedefinisjon (DTD) er basert på NOARK 4.1. Arkivverket har utarbeidet en teknisk spesifikasjon av Noark 4.1, denne inneholder mer informasjon om de enkelte feltene: http://www.arkivverket.no/arkivverket/content/download/3572/43888/version/1 /file/ny_noa_del2.pdf DTD for OEP:?xml version='1.0' encoding='iso-8859-1'?> <!--Generated by XML Authority--> <!ELEMENT OFFJOURNAL (PRODINFO, SELEKSJON?, SORTERING?, RAPPORT)> <!ATTLIST OFFJOURNAL VERSJON CDATA #FIXED '2.0' > <!ELEMENT PRODINFO (PI.ARKSKAPER, PI.BASEID?, PI.ORGNR?, PI.KOMMUNE?, PI.MERKNAD?, PI.FRADATO, PI.TILDATO, PI.PRODDATO, PI.ANTFILER, FIL+)> <!ELEMENT SELEKSJON (#PCDATA)> <!ELEMENT SORTERING (#PCDATA)> <!ELEMENT RAPPORT (NOARKSAK.OJ+)> <!ELEMENT PI.ARKSKAPER (#PCDATA)> <!ELEMENT PI.BASEID (#PCDATA)> <!ELEMENT PI.ORGNR (#PCDATA)> <!ELEMENT PI.KOMMUNE (#PCDATA)> <!ELEMENT PI.MERKNAD (#PCDATA)> <!ELEMENT PI.FRADATO (#PCDATA)> <!ELEMENT PI.TILDATO (#PCDATA)> <!ELEMENT PI.PRODDATO (#PCDATA)> <!ELEMENT PI.ANTFILER (#PCDATA)> <!ELEMENT FIL (PI.FILNAVN, PI.FILDEL?)> <!ELEMENT PI.FILNAVN (#PCDATA)> <!ELEMENT PI.FILDEL (#PCDATA)>
<!ELEMENT NOARKSAK.OJ (SA.SAAR, SA.SEKNR, SA.OFFTITTEL, SA.ADMKORT?, SA.ANSVINIT?, KLASSERING.OJ*, JOURNPOST.OJ)> <!ELEMENT SA.SAAR (#PCDATA)> <!ELEMENT SA.SEKNR (#PCDATA)> <!ELEMENT SA.OFFTITTEL (#PCDATA PNAVN)*> <!ELEMENT PNAVN (#PCDATA)> <!ELEMENT SA.ADMKORT (#PCDATA)> <!ELEMENT SA.ANSVINIT (#PCDATA)> <!ELEMENT KLASSERING.OJ (KL.ORDNVERDI, KL.SORT?, KL.OPLTEKST?, KL.OVBESK)> <!ELEMENT JOURNPOST.OJ (JP.JAAR, JP.SEKNR, JP.POSTNR, JP.JDATO, JP.NDOKTYPE, JP.DOKDATO?, JP.OFFINNHOLD, JP.TGKODE?, JP.UOFF?, JP.OVDATO?, AVSMOT.OJ+, DOKLINK.OJ*)> <!ELEMENT KL.ORDNVERDI (#PCDATA)> <!ELEMENT KL.SORT (#PCDATA)> <!ELEMENT KL.OPLTEKST (#PCDATA)> <!ELEMENT KL.OVBESK (#PCDATA)> <!ELEMENT JP.JAAR (#PCDATA)> <!ELEMENT JP.SEKNR (#PCDATA)> <!ELEMENT JP.POSTNR (#PCDATA)> <!ELEMENT JP.JDATO (#PCDATA)> <!ELEMENT JP.NDOKTYPE (#PCDATA)> <!ELEMENT JP.DOKDATO (#PCDATA)> <!ELEMENT JP.OFFINNHOLD (#PCDATA PNAVN)*> <!ELEMENT JP.TGKODE (#PCDATA)> <!ELEMENT JP.UOFF (#PCDATA)> <!ELEMENT JP.OVDATO (#PCDATA)> <!ELEMENT AVSMOT.OJ (AM.NAVN, AM.IHTYPE, AM.ADMKORT?, AM.SBHINIT?, AM.AVSKM?, AM.AVSKDATO?, AM.AVSAVDOK?, AM.BESVARDOK?)> <!ELEMENT DOKLINK.OJ (DL.RNR, DL.TYPE, DOKBESKRIV.OJ)> <!ELEMENT AM.NAVN (#PCDATA PNAVN)*> <!ELEMENT AM.IHTYPE (#PCDATA)> <!ELEMENT AM.ADMKORT (#PCDATA)>
<!ELEMENT AM.SBHINIT (#PCDATA)> <!ELEMENT AM.AVSKM (#PCDATA)> <!ELEMENT AM.AVSKDATO (#PCDATA)> <!ELEMENT AM.AVSAVDOK (#PCDATA)> <!ELEMENT AM.BESVARDOK (#PCDATA)> <!ELEMENT DL.RNR (#PCDATA)> <!ELEMENT DL.TYPE (#PCDATA)> <!ELEMENT DOKBESKRIV.OJ (DB.TITTEL?, DOKVERSJON.OJ+)> <!ELEMENT DB.TITTEL (#PCDATA PNAVN)*> <!ELEMENT DOKVERSJON.OJ (VE.VERSJON, VE.VARIANT, VE.FILREF)> <!ELEMENT VE.VERSJON (#PCDATA)> <!ELEMENT VE.VARIANT (#PCDATA)> <!ELEMENT VE.FILREF (#PCDATA)> 3.1.2 Brukerveiledning Oppdatert brukerveiledning finner du ikke på samarbeidsportalen, men under hjelp i innholdsleverandørens område i OEP. 3.2 Teknisk dokumentasjon 3.2.1 Overordnet teknisk infrastruktur Figuren nedenfor viser skisse for OEP. Systemet er en webløsning som baserer seg på Java Enterprise Edition 5. Systemet har grensesnitt mot publiseringssystemet Magnolia, rapportgenerator for databasen (Insights), innholdsleverandørens leveranseområde (http), nettsted for søk i OEP (http), og administrator sitt område (http). Systemet gjør bruk av en mailserver til å sende innsynskrav til innholdsleverandørene som en e-post med et XML-vedlegg.
1.1 IHL Arkivsystem Innsynsmodul NOARK fil (postliste) 1.2 IHL Klient (nettleser) Rapporter Bekreftelser Evt bestillingsfil NOARK fil (postliste) Lucene (søkeindex) 3.3 IHL Epost mottak Bestillinger OEP SERVER OEP db 3.1 Sluttbruker klient (nettleser) Søk Bestilling Andre kall Resultater Bekreftelser Rapporter Utskrifter NOARK fil Meldinger Registreringer 2 Admin klient (nettleser) Rapporter Bekreftelser 3.2 Sluttbruker Epost mottak Evt kvittering 3.3 Oversikt over tilstøtende retts- og regelverk Retten til innsyn og krav til publisering av informasjon på Internett er hjemlet i Offentlighetsloven. I tillegg er det flere rettsregler som regulerer retten til innsyn og saksbehandling av innsynskrav. Dette er en oversikt over det sentrale regelverket: Offentlighetsloven Lov om rett til innsyn i dokument i offentleg verksemd Offentlighetsforskriften Forskrift til offentleglova Forvaltningsloven Lov om behandlingsmåten i forvaltningssaker Forvaltningslovforskriften Forskrift til forvaltningsloven Arkivlova Lov om arkiv Arkivforskrifta Forskrift om offentlege arkiv Personopplysningsloven - Lov om behandling av personopplysninger Personopplysningsforskriften - Forskrift om behandling av personopplysninger Se punkt 2.1.2 for henvisninger til mer informasjon om regelverket og opplæring.