JHS 166 Allmänna avtalsvillkor för IT-upphandlingar inom den offentliga förvaltningen

Bilaga 10. Stödmaterial: Öppna gränssnitt vid upphandling av IT-system eller -tjänster

  • Version: 2.1
  • Publicerad: 30.7.2018
  • Giltighetstid: tills vidare

Ett syfte med rekommendationen JHS 166 är att beakta olika aspekter på öppenhet i upphandlingsvillkor. Tre olika aspekter har identifierats:

  1. utnyttja öppen källkod och publicering för andras användning i samband med offentliga upphandlingar
  2. förhindra leverantörslåsningar (att kunna flytta data vid systembyte, genom separata exporter med mänsklig hjälp o.dyl.)
  3. stöd för öppna maskingränssnitt (jfr. punkt 2, där data överförs med mänsklig hjälp och typiskt mycket mera sällan, t.ex. en gång per år eller när systemet byts)

Här behandlas alternativ 3 det vill säga stöd för öppna gränssnitt i JIT-villkoren.

I JHS 166-rekommendationens specialvillkor gällande upphandling av tillämpningsprogram finns ett avtalsvillkor att gränssnitten ska kunna öppnas på sätt som närmare har avtalats i avtalet. Detta gäller specialvillkoren Beställarens tillämpningar öppen källkod, Beställarens tillämpningar icke-öppet och Agila metoder. Syftet med detta stödmaterial är att underlätta en mera detaljerad beskrivning av kraven i anbudsbegäran och avtal.

A. Definition av öppet gränssnitt i offentliga upphandlingar

Öppna gränssnitt i upphandlingar av informationssystem

I upphandlingar av informationssystem bör beställaren som huvudregel på ett närmare definierat sätt kräva öppna gränssnitt för det informationssystem eller den informationssystemtjänst som leveransen gäller. Kravet kan också gälla konsulttjänster, ifall man genom dem skapar eller ändrar ett informationssystem.

Användning av dokument i offentliga upphandlingar

Det här beskrivna kravet om öppet gränssnitt är avsett att lämpa sig för upphandling av informationssystem och upphandling av tillhörande driftsservice (hosting) samt upphandling av informationssystemtjänster. Kravet på öppet gränssnitt vid upphandlingar av informationssystem medför oftast merkostnader, så innehållet i kravet ska övervägas i upphandlingen och det kan också uteslutas.

I en offentlig upphandling ställer den upphandlande enheten kraven på vars grund upphandlingen av informationssystemet eller tjänsten genomförs. För att underlätta detta beskrivs kravet gällande öppet gränssnitt i detta dokument. Detta dokument beskriver inte kraven på gränssnittet i det enskilda fallet utan de allmänna kraven som föranleds av att man uttryckligen kräver ett öppet gränssnitt.

Om upphandlaren vill kräva ett öppet gränssnitt, kan upphandlaren inkludera det krav som beskrivs här i sina upphandlingskrav. Detta krav kan inte stå ensamt utan förutsätter att kraven på gränssnittet i det enskilda fallet anges. Kraven gällande öppenhet ska också anpassas från fall till fall för varje upphandling.

Gränssnitt

Programmeringsgränssnittet (Application programming interface, API) definierar hur programvaran erbjuder information eller tjänster åt tillämpningar eller andra informationssystem.

Gränssnittet kan vara ett rent datagränssnitt genom vilket data i tjänsten kan läsas ut till andra system, eller så kan det vara ett funktionellt gränssnitt som också erbjuder beräkningsalgoritmer eller möjligheter att ändra informationen i systemet genom gränssnittet. Om det finns flera olika slags gränssnitt i systemet, bör man precisera vilka av dem som är öppna. Om inte beställaren har angivit något annat i sina krav, avser kraven datagränssnitt och läsrättigheter (read).

Ett exempel på datagränssnitt är gränssnittet för medborgarinitiativ.fi, som ger uppgifter om medborgarinitiativen. Exempel på funktionella gränssnitt är bland annat gränssnittet till reseplaneraren för Helsingforsregionens trafik som erbjuder en ruttalgoritm eller den internationella Open311-gränssnittsstandarden. I de städers responssystem som stöder denna standard kan man göra felanmälningar.

Öppet gränssnitt är beställarens beslut

När beställaren av leverantören kräver ett gränssnitt som kan öppnas blir följden ett gränssnitt som beställaren kontrollerar. Detta innebär ett gränssnitt som systemets beställare har rätt att använda och sprida på önskat sätt. Därvid kan beställaren om så önskas öppna gränssnittet oberoende av systemleverantören, men om man inte gör så, är det inte frågan om ett öppet gränssnitt. Om beställaren inte öppnar gränssnittet, är gränssnittet inte öppet för utomstående, varvid det inte i allmänhet är frågan om ett öppet gränssnitt.

Detta dokument syftar till att underlätta för en beställare som vill kräva ett öppet gränssnitt av leverantören. Efter att ha ställt kravet och den efterföljande lyckade leveransen har beställaren möjlighet att om så önskas öppna gränssnittet antingen helt eller delvis, eller lämna gränssnittet stängt.

Öppet gränssnitt vs. öppet data

Det data som fås genom ett öppet gränssnitt behöver inte vara öppet data. Gränssnittet kan vara öppet, trots att produktionssystemet inte är anslutet till internet och åtkomsten till det är begränsad till en mycket liten grupp. Om gränssnittet är öppet, men åtkomsten till datainnehållet är begränsat, ska leverantören leverera en testmiljö som kan användas öppet i nätet.

Om ett öppet gränssnitt finns tillgängligt i systemet innebär det inte att vem som helst har åtkomst till produktionssystemet eller informationen i det. Till exempel kan ett patientdatasystem ha ett öppet gränssnitt, men patientuppgifterna är inte öppna. Genom ett öppet gränssnitt kan också uppgifter gällande en viss person tillhandahållas endast med personens medgivande (my data). För testning av ett öppet gränssnitt som erbjuds till ett patientdatasystem ska leverantören leverera ett testmaterial som är öppet och som med tanke på teständamålet motsvarar autentiskt data till sitt innehåll.

B. Krav på öppet gränssnitt

Allmänna krav

Gränssnittet i det informationssystem eller -tjänst som leverantören levererat ska vara öppet på det sätt som definieras här. Dessa krav tar inte ställning till tjänstnivåer eller tjänstens tillgänglighet, för detta tillämpas det som avtalats om detta på annat håll.

  • Beställaren bör i upphandlingsskedet förutsätta att det öppna gränssnittet kan användas fritt och utan ensamrättsbaserade avgifter för dess användning.
  • Dokumentation av hur gränssnittet används ska lämnas till beställaren och beställaren testar gränssnittet i godkännandetestet.
  • På beställarens begäran ska dokumentationen publiceras. Dokumentationen ska omfatta en tillräcklig beskrivning av den information som systemet innehåller och vid behov exempelfrågor för att det ska vara lätt att ta gränssnittet i bruk och att använda det. Dokumentationen ska kunna ges offentlig tillgänglighet utan begränsning av leverantörens eller tredje parts immateriella rätt utan några avgifter till rättsinnehavaren för den som publicerar eller använder dokumentationen.
  • Beställaren ska i upphandlingsskedet framföra krav på att det färdiga gränssnittet ska kunna testas av dess användare. Beställaren ska från fall till fall överväga vilken testmetod och vilket testmaterial som kan användas och ange kraven gällande detta.
  • Testbarhet kan realiseras till exempel genom följande sätt:
  • det finns tillgång till testdata och ett system som användningen kan testas emot
  • öppen åtkomst till ett testsystem med realistiskt eller autentiskt data
  • testsystem och testdata kan fritt laddas ner för egen installation och eget bruk
  • om det data som fås genom gränssnittet inte är öppet ska leverantören leverera en testmiljö som fritt kan användas på nätet, inklusive öppet testmaterial.
  • Om inte beställaren har angivit något annat i sina krav, ska åtkomst till gränssnittet vara möjligt för vem som helst, det vill säga åtkomstkontroll krävs inte. Gränssnittet kan tas i bruk utan administratörens eller systemleverantörens åtgärder även utanför tjänstetid. Eventuella registreringar är automatiska.
  • Systemet/tjänsten behöver inte stöda avgiftsbeläggning, såvida inte beställaren har angivit något annat i sina krav.
  • Nyttjanderätten till information som fås i gränssnittet bestäms efter nyttjanderätten till informationen. Den leverantör som hanterar gränssnittet eller andra som hör till samma koncern, har ingen rätt att förbjuda information som förmedlats via gränssnittet eller återanvändning av det på något sätt.
  • Rättsinnehavaren har inte någon rätt att neka beställarens eller tredje parts användning av gränssnittet oberoende av på vilket sätt gränssnittet används. På motsvarande sätt har inte rättsinnehavarna någon rätt att debitera avgifter, t.ex. royalty, av beställaren eller tredje parter för användning av gränssnittet oberoende av på vilket sätt gränssnittet används.