Regelverk Valfrihetssystem 2018 E-legitimering
1. Bakgrund och syfte
1.1 Myndigheter tillhandahåller e-tjänster åt användare och för åtkomst till dessa tjänster fordras att användaren kan legitimera sig elektroniskt.
1.2 Enligt förarbetena till lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering (prop. 2012/13:123) syftar valfrihetssystem till att underlätta för nuvarande tillhandahållare av e-legitimationer att ansluta sig men också att ge nya tillhandahållare av e-legitimationer möjlighet att etablera sig.
1.3 Enligt förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning ska myndigheten tillhandahålla och administrera valfrihetssystem enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering.
1.4 Myndigheten för digital förvaltning har tagit fram ett valfrihetssystem som ett komplement till det tidigare inrättade Valfrihetssystem 2017 E-legitimering. Det nya valfrihetssystemet har tagits fram i syfte att möta myndigheters behov av att alla användare ska kunna legitimera sig och få tillgång till den offentliga förvaltningens e-tjänster. Det nya valfrihetssystemet benämns Valfrihetssystem 2018 E-legitimering (Valfrihetssystem 2018). Valfrihetssystem 2018 omfattar andra tekniska krav än de som gäller för Valfrihetssystem 2017 E-legitimering.
1.5 Även i Valfrihetssystem 2018 finns det en tydlig koppling mellan en utfärdad e-legitimation och identitetsintyg. Den som tillhandahåller e-legitimationer svarar i förhållande till part som litar på dem för att e-legitimationerna har utfärdats enligt för Valfrihetssystem 2018 tillämpliga bestämmelser, däribland att de har en viss tillitsnivå, samt att det tillhandahålls en legitimeringsfunktion. Det är dock användaren som väljer e-legitimation. Leverantören ska till förlitande part också tillhandahålla en identifierings- och intygsfunktion och leverera identitetsintyg försett med elektronisk stämpel samt tillhandahålla en funktion för elektroniska underskrifter. Om Leverantören gör tjänsterna tillgängliga enligt Myndigheten för digital förvaltnings Tekniska ramverk (SAML 2.0) ska dock Leverantören tillhandahålla en funktion för legitimering för underskrift i stället för funktion för elektroniska underskrifter.
1.6 Lagen om valfrihetsystem i fråga om tjänster för elektronisk identifiering bygger på att det är den enskildes val av e-legitimation som avgör vilken leverantör som får utföra tjänsten och som därmed får ersättning. Det är väsentligt att bibehålla en identitet mellan utfärdare av e-legitimationer och leverantör av identitetsintyg. Utvecklingen på marknaden är dock sådan att utfärdare av e-legitimationer och leverantörer av identitetsintyg i vissa fall samverkar och tidigare valfrihetssystem har, genom kravet på att det endast är utfärdaren av e-legitimationer som ska vara leverantör, försvårat för vissa samarbetande parter att ansluta sig. För att anpassa Valfrihetssystem 2018 till utvecklingen på marknaden och möjliggöra ett brett utbud för användarna är det därför påkallat att i vissa situationer tillåta att en Leverantör inte behöver vara utfärdare av e-legitimationer utan istället är leverantör av identitetsintyg. Utfärdande av e-legitimationer ska då ske av en samarbetande part. Om ett samarbete är varaktigt, långsiktigt och omfattande kan kravet på identitet anses vara uppfyllt och för att möjliggöra för sådana samarbetande parter att ansluta sig till ett valfrihetssystem införs genom Valfrihetssystem 2018 ett komplement till huvudregeln. Komplementet innebär att anslutning kan ske genom att den som inom ramen för ett samarbete är leverantör av identitetsintyg blir Leverantör i Valfrihetssystem 2018 och att den eller de som inom ramen för samarbetet är utfärdare av e-legitimationer kan vara underleverantörer till en sådan leverantör av identitetsintyg. En sådan anslutning till Valfrihetssystem 2018 benämns Samarbetsanslutning. Önskar samarbetande parter ansluta sig genom Samarbetsanslutning prövar Myndigheten för digital förvaltning om kraven på samarbetet är uppfyllda.
1.7 Regelverket för Valfrihetssystem 2018 (Regelverket) reglerar förhållandet mellan nedanstående parter:
(a) parter inom den offentliga sektorn (Förlitande part) som tillhandahåller tjänster där det krävs elektronisk identifiering av fysiska personer som använder e-legitimationer (Användare),
(b) parter som (i) utfärdar e-legitimationer och tillhandahåller en legitimeringsfunktion åt Användare, (ii)tillhandahåller funktioner åt Förlitande part för att identifiera Användare samt utfärda och tillhandahålla intyg i elektronisk form till Förlitande part med uppgifter om Användares identitet och attribut samt (iii) tillhandahåller funktion för elektroniska underskrifter eller för legitimering för underskrift (Leverantör), *
(c) en part som handlägger och administrerar Valfrihetssystem 2018 (Myndigheten för digital förvaltning),
1.8 Valfrihetssystem 2018 har utformats så att Leverantör ska;
(a) vara utfärdare i berörda e-legitimationer eller, om Samarbetsanslutning föreligger, vara leverantör av identitetsintyg,
(b) tillhandahålla funktioner där
- Användare, legitimerar sig för tillträde, uppgiftslämnande eller underskrift (Legitimeringsfunktion),
- Användaren identifieras och intyg utfärdas om vem som har legitimerat sig (Identifierings- och intygsfunktion),
- Användaren identifieras och intyg utfärdas om vem som har skrivit under (Funktion för elektronisk underskrift)
(c) förse intygen (Identitetsintyg) med uppgifter om Användarens identitet och attribut samt elektronisk stämpel för utfärdaren av e-legitimation,
(d) leverera Identitetsintyg direkt till den Förlitande part som beställt intyget, med användning av uppgifter som är registrerade i Aktörsregistret om Leverantören gör tjänsterna tillgängliga enligt Myndigheten för digital förvaltnings Tekniska ramverk (SAML 2.0).
1.8 Valfrihetssystem 2018 har utformats så att Leverantör ska;
(a) vara utfärdare i berörda e-legitimationer eller, om Samarbetsanslutning föreligger, vara leverantör av identitetsintyg,
(b) tillhandahålla funktioner där
- Användare, legitimerar sig för tillträde, uppgiftslämnande eller underskrift (Legitimeringsfunktion),
- Användaren identifieras och intyg utfärdas om vem som har legitimerat sig (Identifierings- och intygsfunktion),
- Användaren identifieras och intyg utfärdas om vem som har skrivit under (Funktion för elektronisk underskrift)
(c) förse intygen (Identitetsintyg) med uppgifter om Användarens identitet och attribut samt elektronisk stämpel för utfärdaren av e-legitimation,
(d) leverera Identitetsintyg direkt till den Förlitande part som beställt intyget, med användning av uppgifter som är registrerade i Aktörsregistret om Leverantören gör tjänsterna tillgängliga enligt Myndigheten för digital förvaltnings Tekniska ramverk (SAML 2.0).
1.9 Regelverket är tillämpligt mellan parter som ansluts till Valfrihetssystem 2018 genom skriftligt avtal.
1.10 Avsikten är att endast Part ska kunna förlita sig på Identitetsintyg och annan information som används.
1.11 Valfrihetsystemet är ett slutet system enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS).
1.12 Definitioner och terminologi i Valfrihetssystem 2018 har anpassats till den juridiska vägledning för införande av e-legitimering och e-underskrifter som tagits fram av eSam i samarbete med Myndigheten för digital förvaltning och Myndigheten för samhällsskydd och beredskap. Vägledningen finns att tillgå på Myndigheten för digital förvaltnings webbplats, www.digg.se.
1.13 Ändring av och tillägg till Regelverket ska ske på sätt som anges i Regelverket och enligt Myndigheten för digital förvaltnings interna föreskrifter, i den mån och utsträckning dessa föreskrifter avser Valfrihetssystem 2018.
2. Definitioner
I Regelverket betyder
- Anslutningsavtal: ett avtal om anslutning av en Leverantör till Valfrihetssystem 2018,
- Användare: en fysisk person som innehar en e-legitimation utfärdad av en Leverantör och som vid användning av e-legitimationen identifieras genom en Identifierings- och intygsfunktion,
- Avtal för Förlitande part: ett avtal om anslutning av Förlitande part till Valfrihetssystem 2018,
- Direkt leverans: Leverantör som utfärdat använd e-legitimation ska efter identifiering sända ett Identitetsintyg direkt till Förlitande part från Leverantörens Identifierings- och intygsfunktion,
- Funktion för elektronisk underskrift: teknisk funktion där Användaren legitimerar sig och som används för att framställa en elektronisk underskrift,
- Förlitande part: en part som beställer Identitetsintyg för att hantera frågor om identitet eller attribut eller beställer underskrift,
- Identifiering: en automatiserad kontroll av vem som har legitimerat sig,
- Identifierings- och intygsfunktion: en tjänst där Leverantör genomför automatiserade kontroller, ställer ut Identitetsintyg samt sänder Identitetsintyget till den Förlitande part som beställt det.
- Identitetsintyg: stämplat intyg i elektronisk form med uppgift om Användares identitet och attribut,
- Legitimering: en Användare aktiverar sin e-legitimation,
- Legitimeringsfunktion: teknisk funktion där Användaren legitimerar sig för tillträde, uppgiftslämnande eller underskrift,
- Leverantör: en part som enligt tillämpligt Anslutningsavtal utfärdar e-legitimation som uppfyller vissa tillitsregler, tillhandahåller Legitimeringsfunktion samt tillhandahåller Identifierings- och intygsfunktion för Identifiering av Användare som brukar dessa e-legitimationer,
- Part: var och en av Myndigheten för digital förvaltning, Leverantör och Förlitande part,
- Regelverket: detta regelverk som avser Valfrihetssystem 2018,
- Tekniska krav: de tekniska specifikationer som Myndigheten för digital förvaltning från tid till annan föreskriver för Valfrihetssystem 2018. De Tekniska kraven, för närvarande benämnda Tekniska krav för Valfrihetssystem 2018 E-legitimering, finns att tillgå på Myndigheten för digital förvaltnings webbplats, www.digg.se,
- Valfrihetssystem 2018: Valfrihetssystem 2018 E-legitimering.
3. Regelverk
3.1 Allmänt
Reglering av Parts åtaganden med mera enligt Valfrihetssystem 2018 sker genom Regelverket, Anslutningsavtal samt Avtal för Förlitande part, i den utsträckning tvingande lag eller annan tvingande författning inte föreskriver avvikande bestämmelser. Prioriteringsordningen mellan Anslutningsavtal/Avtal för Förlitande part och Regelverk regleras i Anslutningsavtalen respektive Avtalen för Förlitande part.
3.2 Regelverkets delar
Regelverket består av denna huvudtext och Tillitsregler, Bilaga 1.
Tillitsreglerna finns tillgängliga på Myndigheten för digital förvaltnings webbplats, www.digg.se.
Det ankommer på Leverantör att löpande hålla sig uppdaterad om eventuella förändringar i Tillitsreglerna.
3.3 Tolkningsordning
Om bestämmelser i Regelverket är motstridiga ska
(a) en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,
(b) en bestämmelse avseende tillitsnivå gå före en bestämmelse avseende de tekniska kraven, och
(c) en bestämmelse i denna huvudtext gå före en bestämmelse i Tillitsreglerna
(d) en specifik bestämmelse gå före en allmän bestämmelse.
Dessa tolkningsregler ska tillämpas så att en tidigare i (a) – (d) nämnd regel går före en senare nämnd regel.
3.4 Ändring och tillägg
3.4.1 Regelverket förvaltas på det sätt som föreskrivs i Myndigheten för digital förvaltnings senast beslutade interna föreskrifter.
3.4.2 Part äger påkalla förändring av Anslutningsavtalet, Avtal för Förlitande part eller Regelverket, varvid Myndigheten för digital förvaltning ska uppta samråd med parterna. Ändringar och tillägg ska ske först efter det att samtliga parter samtyckt till ändringen eller tillägget.
3.4.3 Myndigheten för digital förvaltning äger dock, efter information och samråd med parterna i Anslutningsavtalen respektive Avtal för Förlitande part, företa ändring eller tillägg i Regelverket om Myndigheten för digital förvaltning bedömer att så erfordras på grund av lag, förordning eller annan föreskrift.
3.4.4 Myndigheten för digital förvaltning äger också företa ändringar och tillägg avseende tillitsnivån och de tekniska kraven utan att iaktta ovanstående reglering men ska i skälig tid före sådana tillägg eller ändringar träder i kraft informera Part.
4. Valfrihetssystem
4.1 Roller
4.1.1 Myndigheten för digital förvaltning handlägger och administrerar Anslutningsavtal samt ingår som ombud för Förlitande part avtal (Anslutningsavtal) med Leverantör.
4.1.2 Leverantör utfärdar e-legitimationer med viss tillitsnivå till Användare och tillhandahåller Legitimeringsfunktion åt Användare. Leverantör tillhandahåller vidare Identifierings- och intygsfunktion åt Förlitande part och intygar utförd identifiering av Användare genom att tillhandahålla Identitetsintyg till Förlitande part samt tillhandahåller funktion för elektroniska underskrifter, om Leverantören inte gör tjänsterna tillgängliga enligt Myndigheten för digital förvaltnings Tekniska ramverk (SAML 2.0). Leverantör kan tillhandahålla tilläggstjänster.
4.1.3 Förlitande part tillhandahåller e-tjänster åt Användare, som använder av Leverantören utfärdade e-legitimationer, och beställer Identitetsintyg av Leverantören för identifiering av Användaren.
4.2 Anslutning av Leverantör till Valfrihetssystem 2018
4.2.1 Anslutning av en Leverantör sker efter ansökan hos Myndigheten för digital förvaltning, varefter avtal om anslutning (Anslutningsavtal) träffas mellan Myndigheten för digital förvaltning, för egen del och som ombud för Förlitande parter, och Leverantören.
4.2.2 Om det tillkommer en Förlitande part efter det att Anslutningsavtal träffats mellan Myndigheten för digital förvaltning och Leverantör blir sådan tillkommande Förlitande part automatiskt Part i Anslutningsavtalet genom att Myndigheten för digital förvaltning meddelat Leverantören.
4.2.3 Om Leverantören är ansluten även till tidigare valfrihetssystem som administreras av Myndigheten för digital förvaltning och Förlitande part är ansluten till både det tidigare valfrihetssystemet och Valfrihetssystem 2018 ska endast reglerna för det tidigare valfrihetssystemet tillämpas för Leverantören i förhållande till sådan Förlitande part.
4.3 Avtal med förlitande part
En Förlitande part får tillgång till Identifierings- och intygsfunktionen, Identitetsintyg samt funktion för elektronisk underskrift efter anmälan hos Myndigheten för digital förvaltning och efter det att avtal träffats mellan Förlitande part och Myndigheten för digital förvaltning (Avtal med Förlitande part).
4.4 Ersättning och fakturering
4.4.1 Förlitande part ska till Leverantör erlägga följande ersättningar för leverans av
(a) Identitetsintyg: 17 öre per Identitetsintyg
(b) Elektronisk underskrift: 17 öre per elektronisk underskrift.
Ovanstående ersättningar är exklusive mervärdesskatt.
Annan ersättningsskyldighet föreligger inte för Förlitande part.
4.4.2 Leverantör ska, senast 15 dagar efter utgången av varje kalendermånad, fakturera Förlitande part den ersättning som Leverantören enligt punkt 4.4.1 är berättigad till för leveranser under kalendermånaden. I den mån ersättningen understiger 1 000 kr äger dock Leverantören fakturera vid senare tillfälle, dock senast 90 dagar efter den kalendermånad då leverans skedde.
4.4.3 På begäran av Förlitande part ska fakturering ske elektroniskt. I annat fall ska fakturering ske genom sedvanlig faktura.
4.4.4 Förlitande part ska, senast 30 dagar efter mottagen faktura, erlägga angivet fakturabelopp.
4.4.5 Vid försenad betalning utgår dröjsmålsränta från förfallodagen till dess att betalning är mottagen i enlighet med bestämmelserna i räntelagen (1975:635).
4.5 Samarbetsformer
4.5.1 Samarbetet mellan Parterna i Valfrihetssystem 2018 ska inte anses medföra att något agentförhållande, enkelt bolag eller handelsbolag eller någon annan liknande sammanslutning anses föreligga. Part får inte företräda annan Part utan den sistnämnda Partens skriftliga medgivande såvida inte annat följer av Regelverket, Anslutningsavtal eller Avtal för Förlitande part.
4.5.2 Part svarar själv för sina åtaganden enligt Regelverket, Anslutningsavtal respektive Avtal för Förlitande part om inte annat uttryckligen anges. Solidariskt ansvar föreligger således inte och Myndigheten för digital förvaltning svarar exempelvis inte för Leverantörens tillhandahållande av Identitetsintyg eller Leverantörs rätta fullgörande av sina åtaganden i övrigt. Avtalsbrott enligt Regelverket, Anslutningsavtal respektive Anslutningsavtal för Förlitande part får vidare göras gällande endast av berörd Part samt av Myndigheten för digital förvaltning.
4.5.3 Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Regelverket, Anslutningsavtalet respektive Avtal för Förlitande part.
4.5.4 Leverantör får efter skriftligt godkännande av Myndigheten för digital förvaltning anlita underleverantör för fullgörande av vissa av sina åtaganden enligt Anslutningsavtal, men svarar då för underleverantörens åtgärder som om Leverantören hade utfört åtgärderna själv. Leverantören ska i eget namn utfärda e-legitimationer, tillhandahålla Legitimeringsfunktion och förse Identitetsintyg med elektronisk stämpel. Om Leverantören vill anlita en underleverantör ska Leverantören skriftligen underrätta Myndigheten för digital förvaltning och ange vilken underleverantör som avses anlitas och vilka tjänster underleverantören ska utföra. Har Leverantören i ansökan om anslutning till Valfrihetssystem 2018 angivit att underleverantör ska utföra vissa åtaganden och har sådan ansökan godkänts behöver Leverantören inte lämna någon underrättelse eller inhämta nytt godkännande för sådan i ansökan angiven underleverantör.
4.5.5 Sker anslutning till Valfrihetssystem 2018 genom Samarbetsanslutning, kan den som är leverantör av identitetsintyg vara Leverantör medan de åtaganden som enligt huvudregeln åligger Leverantören, till exempel utfärdande av e-legitimationer och tillhandahållande av Legitimeringsfunktion, kan fullgöras av en eller flera underleverantörer. Den som är Leverantör svarar även vid Samarbetsanslutning för underleverantörs åtgärder som om åtgärderna hade utförts av Leverantören själv. För att Samarbetsanslutning ska kunna ske ska samarbetet vara varaktigt, kännetecknas av långsiktighet samt innebära en nära teknisk och organisatorisk koppling mellan de samarbetande parterna. Vidare ska det föreligga ett ägarsamband mellan leverantören av identitetsintyg och den eller de som är utfärdare av e-legitimationer.
4.5.6 Part ska medverka, samarbeta och samråda med övriga Parter i Valfrihetssystem 2018 och i skälig omfattning informera dessa Parter om de omständigheter som kan antas påverka vad som regleras i Regelverket. Förlitande part ska bland annat i god tid informera Leverantör om period då någon av Förlitande parts anslutna e-tjänster förväntas vara utsatt för extra hög eller tidskritisk belastning eller Förlitande part annars kan komma att behöva extra stöd.
5. Regler för Myndigheten för digital förvaltning
5.1 Förvaltning
Myndigheten för digital förvaltning ska handlägga och administrera Anslutningsavtal och Avtal för Förlitande part i enlighet med Regelverket.
5.2 Ansvarsbegränsningar
5.2.1 Myndigheten för digital förvaltnings skadeståndsansvar är begränsat till ansvar för direkt skada som Myndigheten för digital förvaltning vållar annan Part genom vårdslöshet.
5.2.2 Myndigheten för digital förvaltning skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar 35 prisbasbelopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proportion till de skadelidande Parternas skada.
5.2.3 Begränsningarna som anges i denna punkt 5.2 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.
6. Regler för Leverantör
6.1 Utfärdande av E-legitimationer med mera
6.1.1 Leverantören ska utfärda e-legitimation till Användare och tillhandahålla Legitimeringsfunktion samt Funktion för elektronisk underskrift, om Leverantören inte gör tjänsterna tillgängliga enligt Myndigheten för digital förvaltnings Tekniska ramverk (SAML 2.0). Den som utfärdar e-legitimation ska anges som utfärdare.
6.1.2 E-legitimationerna och tillhandahållandet av Legitimeringsfunktionen ska följa tillitsnivån enligt avsnitt 9 nedan och de tekniska kraven. Leverantör svarar för att e-legitimationer som omfattas av Anslutningsavtalet uppfyller angiven tillitsnivå.
6.2 Identifierings- och intygsfunktion samt Identitetsintyg
6.2.1 Leverantör ska, från och med den startdag som anges i tillämpligt Anslutningsavtal, tillhandahålla en Identifierings- och intygsfunktion som avser Identifiering vid brukande av en e-legitimation som omfattas av Leverantörens åtagande. Leverantören svarar för att Identitetsintyg och de e-legitimationer som ligger till grund för intygen har vederbörligen stämplats och utfärdats i enlighet med de tekniska kraven och Anslutningsavtalet. Utfärdade Identitetsintyg ska levereras Förlitande part genom Direkt leverans.
6.2.2 Identifierings- och intygsfunktionen ska vara ändamålsenlig och lämplig för att utföra Identifiering efter Legitimering med en e-legitimation som omfattas av Anslutningsavtalet.
6.3 Kundtjänst
Leverantör ska tillhandahålla kundtjänst med god tillgänglighet där Användare, Myndigheten för digital förvaltning och Förlitande part via telefon, e-post eller annan lämplig kontaktväg kan ställa frågor rörande Leverantörens tjänster. Kontaktuppgifter för sådan kundtjänst ska av Leverantör uppges till Myndigheten för digital förvaltning för publicering på Myndigheten för digital förvaltnings webbplats.
6.4 Fackmannamässighet
Leverantör ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med Regelverket, Anslutningsavtal, gällande lagar och andra författningar, myndighetsbeslut samt inom relevant område förekommande god branschpraxis.
6.5 Servicenivåer och ansvar för fel
De servicenivåer Leverantör ska uppfylla anges i Anslutningsavtalet.
6.6 Ansvarsbegränsningar
6.6.1 Skadeståndsansvaret för Leverantör är begränsat till ansvar för direkt skada som Leverantör vållar Myndigheten för digital förvaltning eller Förlitande part genom vårdslöshet.
6.6.2 Skadeståndsansvaret för Leverantör gentemot respektive Förlitande part är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 30 % av den totala ersättning som Leverantören erhållit från aktuell Förlitande part enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället.
6.6.3 Skadeståndsansvaret för Leverantör gentemot Myndigheten för digital förvaltning är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som Leverantören erhållit (från samtliga Förlitande parter) enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället.
6.6.4 För undvikande av oklarhet omfattar Leverantörens skadeståndsansvar gentemot Myndigheten för digital förvaltning och Förlitande part även skador som orsakas av Leverantörens brister i fullgörandet av sina förpliktelser avseende utfärdande av E-legitimationer med mera, trots att dessa utfärdats till Användare och inte till Myndigheten för digital förvaltning eller Förlitande part.
6.6.5 Begränsningar som anges i denna punkt 6.6 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.
6.7 Särskild befrielsegrund
Om Leverantör visar att viss avvikelse från Leverantörens skyldigheter enligt Regelverket är nödvändig för att Leverantören ska kunna förhindra, motverka eller åtgärda allvarlig säkerhetsrisk ska detta utgöra befrielsegrund som medför befrielse från skadestånd och andra påföljder såvitt avser avvikelsen. Om Leverantören önskar åberopa sådan befrielsegrund ska Leverantören utan oskäligt dröjsmål lämna Myndigheten för digital förvaltning och Förlitande part skriftligt meddelande om detta samt, om befrielsegrund åberopas för period som är längre än 7 dagar, bjuda in Myndigheten för digital förvaltning till samråd om hur den aktuella säkerhetsrisken ska hanteras.
7. Regler för Förlitande part
7.1 Användning av Identitetsintyg och elektroniska underskrifter
7.1.1 Förlitande part har rätt att beställa Identitetsintyg och vid behov elektroniska underskrifter från Leverantören när Användare behöver legitimera sig för tillträde eller uppgiftslämnande eller utföra en underskrift. En direkt elektronisk underskrift kan dock inte beställas från Leverantören när denne gör tjänsterna tillgängliga enligt Myndigheten för digital förvaltnings Tekniska ramverk (SAML 2.0).
7.1.2 Förlitande part får använda Identitetsintyg endast för att hantera frågor om identitet i anslutning till Förlitande parts tjänst samt för därmed förenade förhållanden och endast i enlighet med gällande lagar, andra författningar, myndighetsbeslut och god sed. Förlitande part får använda Identitetsintyg för att utfärda ny identifiering av den aktuella Användaren endast för kortvarig identifiering i enlighet med handelsbruk eller annan sedvänja, varvid en ny identifiering som direkt eller indirekt syftar till att ersätta framtida beställningar av Identitetsintyg inte ska anses omfattas av sådan sedvänja.
7.2 Elektroniska underskrifter
Identitetsintyg är avsedda för legitimering. För det fall Förlitande part önskar nyttja funktion för direkt elektronisk underskrift ska tjänsten elektronisk underskrift inom ramen för Valfrihetssystem 2018 användas av Förlitande part.
7.3 Ansvarsbegränsningar
7.3.1 Skadeståndsansvaret för Förlitande part är begränsat till ansvar för direkt skada som Förlitande part vållar Myndigheten för digital förvaltning eller Leverantören genom vårdslöshet.
7.3.2 Skadeståndsansvaret för Förlitande part gentemot respektive Leverantör är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 30 % av den totala ersättning som Förlitande part är skyldig att betala till Leverantören enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället.
7.3.3 Skadeståndsansvaret för Förlitande part gentemot Myndigheten för digital förvaltning är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som Förlitande part är skyldig att betala enligt Regelverket (till samtliga aktuella Parter) för utförande av tjänster under de 12 månader som föregick skadetillfället.
7.3.4 Begränsningarna som anges i denna punkt 7.3 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.
8. Incidentrapportering med mera
8.1 Allmänt
8.1.1 Denna punkt redovisar de rutiner som ska gälla avseende rapportering av säkerhetsrelaterade händelser och övriga störningar samt statistik, prognoser och andra uppgifter enligt vad som framgår av Regelverket.
8.1.2 För att bibehålla en hög säkerhet och kvalitet äger Myndigheten för digital förvaltning efter samråd med Leverantör samt Förlitande part utarbeta närmare riktlinjer för rapportering av incidenter.
8.2 Statistik
8.2.1 Leverantör ska rapportera in statistik till Myndigheten för digital förvaltning kvartalsvis till e-legitimation@digg.se.
8.2.2 Statistikrapporten för Leverantören ska avse kvartal och rapporteras senast månaden efter den aktuella periodens utgång. Av rapporten ska framgå vilket kvartal som avses för rapporterad statistik.
8.2.3 Statistikrapporten ska innehålla månadsvis uppgift om antal transaktioner avseende Identitetsintyg och elektroniska underskrifter uppdelat per Förlitande part.
8.2.4 Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst.
8.3 Incidentrapportering
Om en Leverantör eller Förlitande part upptäcker missbruk av dess tjänster ska parten skyndsamt stänga av den aktuella tjänsten eller vidta andra lämpliga åtgärder för att förhindra upprepat missbruk. Parten ska lämna information till Myndigheten för digital förvaltning om inträffade incidenter och i övrigt i skälig omfattning medverka vid utredning av incidenter.
8.4 Övrig rapportering
8.4.1 Leverantör ska till Förlitande part rapportera planerade ändringar i tjänst, såsom nya eller ändrade funktioner i tjänst eller andra ändringar som kan ha påverkan för Förlitande part.
8.4.2 Leverantör ska till Myndigheten för digital förvaltning rapportera alla väsentliga förändringar i Leverantörens utförande av sina åtaganden enligt Regelverket.
8.4.3 Rapportering av ändringar enligt punkterna 8.4.1 och 8.4.2 ska, i den utsträckning de kräver förändring av gränssnittet mellan Leverantör och Förlitande part, ske minst 6 månader före det att ändringen träder i kraft, såtillvida ändringen inte är föranledd av allvarliga säkerhetsskäl, beslut av domstol eller annan myndighet eller annat särskilt skäl. I sådant fall ska Leverantör snarast möjligt rapportera ändringen samt sakligt redogöra för de skäl som föranleder frånsteget.
8.4.4 Vid rapportering av väsentliga förändringar enligt punkt 8.4.2 ska Leverantör bifoga dokumentation till stöd för Myndigheten för digital förvaltnings bedömning av fortsatt uppfyllelse av krav enligt Regelverket.
8.4.5 Övriga viktiga händelser som har eller kan ha påverkan på tjänsten eller Användarna ska rapporteras till Förlitande parter och till Myndigheten för digital förvaltning.
9. Personuppgiftsansvar
9.1 Allmänt
I denna punkt 9 redovisas den huvudsakliga behandling av personuppgifter som förekommer i anslutning till Identifierings- och intygsfunktionen samt Parternas uppfattning om hur ansvaret för behandling av personuppgifter ska vara fördelat. Part ansvarar emellertid själv för att tillämpliga regler följs.
Part ansvarar i förekommande fall för att upprätta sedvanligt personuppgiftsbiträdesavtal, i enlighet med vad som följer av EU:s dataskyddsförordning 2016/679, med underleverantörer som inom ramen för Identifierings- och intygsfunktionen behandlar personuppgifter för Partens räkning.
9.2 Utfärdande och kontroll av e-legitimationer
Personuppgiftsansvaret för de behandlingar som en utfärdare av e-legitimation utför i samband med utfärdande och kontroll av e-legitimationer (registrering, utfärdande och utlämnande samt spärrfunktion och spärrsvar) vilar på Leverantören.
9.3 Legitimering av Användare, Identifiering och utfärdande av Identitetsintyg
Leverantör är personuppgiftsansvarig för de behandlingar som Leverantören utför i samband med Legitimering, Identifiering spärrkontroll, kryptografiska kontroller etc. samt utställande och översändande av Identitetsintyg.
9.4 Inloggning i en e-tjänst
Förlitande part är personuppgiftsansvarig för sina egna kontroller efter att ha mottagit ett Identitetsintyg (bland annat för äkthetskontroll av intyget samt jämförelser mellan uppgifter i intyget och uppgifter som lämnats om vem som loggar in).
9.5 Personuppgiftsbiträde
I samband med utförandet av åtaganden enligt Regelverket kan Part såsom personuppgiftsbiträde komma att behandla personuppgifter för en annan Parts räkning. Sker detta ska berörda Parter upprätta ett sedvanligt personuppgiftsbiträdesavtal i enlighet med vad som följer av EU:s dataskyddsförordning 2016/679.
10. Sekretess
Part får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom samarbetet och (i) är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits eller (ii) kan vara att betrakta som affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Parten är skyldig att lämna ut handlingar och uppgifter enligt den så kallade offentlighetsprincipen). Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt offentlighets- och sekretesslagen eller annan tillämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i tillämplig lagstiftning.
11. Uppgiftslämnande
11.1 Myndigheten för digital förvaltning har ett övergripande översynsansvar för Valfrihetssystem 2018.
11.2 I den mån Myndigheten för digital förvaltning för fullgörande av sitt uppdrag avseende Valfrihetssystem 2018 har behov av att erhålla information från Leverantör eller Förlitande part ska sådan part på Myndigheten för digital förvaltnings begäran lämna information.
11.3 Myndigheten för digital förvaltning har rätt att på begäran granska och erhålla information som visar att Leverantör uppfyller Regelverket och Anslutningsavtal, såsom avseende uppfyllnad av Tillitskraven och de Tekniska kraven. I samband med granskningen har Myndigheten för digital förvaltning rätt att erhålla information från Leverantör samt genomföra platsbesök och intervjuer hos denne samt göra stickprov för att verifiera kravuppfyllnad. Leverantör ska vara behjälplig under hela granskningsprocessen och ställa upp med nödvändiga resurser samt erbjuda tillgång till sådan dokumentation och sådana lokaler som krävs för att Myndigheten för digital förvaltning ska kunna verifiera kravuppfyllnad. Planering av eventuella platsbesök, intervjuer och stickprov ska ske i samråd mellan Leverantör och Myndigheten för digital förvaltning och förläggas på ett sådant sätt att de innebär så liten påverkan på Leverantörens verksamhet som möjligt.
11.4 Begäran om information ska även i övrigt vara skälig och hänsyn ska tas till parts behov av sekretess samt att viss information kan utgöra företagshemligheter.
12. Immateriella rättigheter
Parternas avtal ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.
13. Reklamation
Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Anslutningsavtal, Avtal för Förlitande part eller Regelverket inte åberopas om det inte påtalas inom skälig tid, och senast inom 1 år, från den tidpunkt då brottet upptäcktes eller borde ha upptäckts.
14. Befrielsegrund
Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Anslutningsavtal, Avtal för Förlitande part eller Regelverket ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation samt befrielse från skadestånd och andra påföljder, under förutsättning att hindret består av antingen:
(a) en omständighet som Parten inte kunnat råda över och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 § regeringsformen, oavsett om Parten själv är föremål för eller vidtar sådan åtgärd), eller
(b) att underleverantör till Leverantör förhindras fullgöra sin leverans på grund av sådan omständighet som anges i punkten ovan. inom 1 år, från den tidpunkt då brottet upptäcktes eller borde ha upptäckts.
14.2 Om en Leverantör önskar åberopa en befrielsegrund ska Leverantören utan oskäligt dröjsmål lämna skriftligt meddelande om detta till Förlitande parter.
15. Uppsägning av Anslutningsavtal hänförligt till avtalsbrott
15.1 Förlitande part ska ha rätt att med omedelbar verkan säga upp ett Anslutningsavtal om Leverantör:
(a) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Anslutningsavtalet eller Regelverket och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom,
(b) försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses riskera att komma på obestånd,
(c) avhänder sig en väsentlig del av sina tillgångar eller ändrar inriktning på sin verksamhet, eller
(d) lämnat oriktiga uppgifter i ansökan om godkännande för anslutning till Valfrihetssystem 2018 och dessa uppgifter har varit av icke oväsentlig betydelse vid Myndigheten för digital förvaltnings godkännande av ansökan.
15.2 Förlitande part har rätt att, med iakttagande av minst 30 dagars uppsägningstid, säga upp ett Anslutningsavtal om den anslutna Leverantören åberopat befrielsegrund enligt punkt 6.7 för period eller perioder som sammantaget är längre än 60 dagar.
15.3 Myndigheten för digital förvaltning ska ha rätt att med omedelbar verkan säga upp samtliga Anslutningsavtal avseende en Leverantör om denne i väsentlig mån eller vid upprepade tillfällen brister i förpliktelser enligt Regelverket (såsom uppfyllnad av Tillitskraven och de Tekniska kraven) och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom.
15.4 Uppsägning ska ske skriftligen för att vara gällande.
15.5 Uppsägning kan också ske på sätt anges i Anslutningsavtal och Avtal för Förlitande part.
16. Meddelanden
Meddelanden som enligt Regelverket ska tillställas Part ska i skriftlig form översändas till den postadress eller den e-postadress som mottagaren angivit i Anslutningsavtal respektive Avtal för anslutning av Förlitande part eller meddelat till Myndigheten för digital förvaltning. Myndigheten för digital förvaltning ska på begäran av Leverantör eller Förlitande part tillhandahålla angiven Parts senast meddelade postadress eller e-postadress.
17. Tillämplig lag och tvister
17.1 Regelverket ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.
17.2 Tvister angående tolkning eller tillämpning av Regelverket och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: