Allmänna villkor fr.o.m. 1 juli 2025

1. Parter

1.1 Dessa allmänna villkor (de ”Allmänna villkoren”) reglerar Infrastrukturen för Mina meddelanden. Villkoren är tillämpliga mellan

• Avsändande offentliga aktörer (Avsändare)
• Brevlådeoperatörer och
• Myndigheten för digital förvaltning (Digg) i egenskap av Infrastrukturansvarig myndighet (Infrastrukturansvarig) som har ingått avtal om anslutning till Infrastrukturen (”Anslutningsavtal”).

2. Infrastrukturens reglering

2.1 De Allmänna villkoren gäller om inte annat följer av Anslutningsavtal eller författning.

2.2 De Allmänna villkoren består av detta dokument och följande bilagor.

• Bilaga 1: Krav på säkerhet för Brevlådeoperatörer
• Bilaga 2: Skyddsklasser
• Bilaga 3: Definitioner
• Bilaga 4: Servicenivåer (SLA)

2.3 Om de Allmänna villkoren innehåller oklarheter eller uppgifter som strider mot varandra, ska detta dokument äga tolkningsföreträde framför bilagorna, om inte omständigheterna uppenbarligen föranleder annat. Bilagorna ska sinsemellan äga tolkningsföreträde i angiven nummerordning.

2.4 Dessa Allmänna villkor inleds med en kort beskrivning av rollerna inom Infrastrukturen. Avsnitt 4 reglerar anslutning till Infrastrukturen. Avsnitt 5-7 behandlar respektive Parts åtaganden, medan avsnitt 8-23 gäller för alla anslutna parter.

3. Parters förhållande till Infrastrukturen

3.1 Infrastrukturansvarig har ett övergripande ansvar för Infrastrukturen, vilket bl.a. innebär kravställning på anslutna parter samt uppföljning av att ställda krav efterlevs.

3.2 Infrastrukturansvarig tillhandahåller ett register, Förmedlingsadressregistret (FaR). För att kunna få säkra elektroniska Meddelanden från offentliga aktörer måste Mottagare dels registrera sig i FaR, dels ange en säker Brevlåda som tillhandahålls av en Brevlådeoperatör som är ansluten till Infrastrukturen.

3.3 Avsändare som vill skicka ett elektroniskt Meddelande till Mottagare kontrollerar om Mottagaren finns med i FaR. Om så är fallet ska Avsändaren sända meddelandet till i FaR angiven Brevlådeoperatör.

3.4 Brevlådeoperatören ska tillhandahålla Brevlåda åt Brevlådeinnehavare som genom operatören är ansluten till Infrastrukturen. Brevlådeoperatören ansvarar bl.a. för mottagning av Meddelanden samt för att tillgängliggöra dessa i den enskildes Brevlåda.

3.5 Samarbetsformer

3.5.1 Parterna utgör självständiga rättssubjekt och samarbetet inom Infrastrukturen medför inte att något agentförhållande, enkelt bolag eller handelsbolag eller någon annan liknande sammanslutning uppstår. Part får inte företräda annan Part utan den sistnämnda Partens skriftliga medgivande.

3.5.2 Part svarar själv för sina åtaganden enligt dessa Allmänna villkor om inte annat uttryckligen anges.

3.5.3 Kommunikation mellan Infrastrukturansvarig och Parter anslutna till Infrastrukturen ska ske genom av Infrastrukturansvarig särskilt angivna kommunikationskanaler.

4. Anslutning till Infrastrukturen

4.1 Anslutning av Avsändare

4.1.1 Infrastrukturansvarig tecknar Anslutningsavtal med Avsändare som begärt att bli ansluten till Mina meddelanden.

4.1.2 Infrastrukturansvarig får endast ansluta sådan Avsändare som

• omfattas av begreppet offentlig aktör så som det definieras i 4 § lag (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post,
• inte riskerar att skada eller skadar förtroendet för Infrastrukturen, och
• genom Anslutningsavtalet har åtagit sig att följa dessa Allmänna villkor.

4.2 Anslutning av Brevlådeoperatör

4.2.1 Infrastrukturansvarig tecknar Anslutningsavtal med Brevlådeoperatör som ansökt om att ansluta till Mina meddelanden

4.2.2 Infrastrukturansvarig får endast ansluta sådan Brevlådeoperatör som

• efter ansökningsförfarande har bedömts lämplig ur säkerhetssynpunkt, och
• genom Anslutningsavtalet åtar sig att följa dessa Allmänna villkor under avtalstiden.

4.3 Fullmakt

4.3.1 Fullmakt från Brevlådeoperatör: Genom att teckna Anslutningsavtal ger Brevlådeoperatören Infrastrukturansvarig fullmakt att för dennes räkning ingå avtal med befintliga och blivande Avsändare. Brevlådeoperatören äger inte rätt att under avtalstiden återkalla eller inskränka fullmakten.

När Infrastrukturansvarig träffat avtal med stöd av denna fullmakt uppstår således en avtalsrelation mellan Brevlådeoperatören och samtliga anslutna Avsändare. Infrastrukturansvarig ska meddela Brevlådeoperatören genom att publicera information om anslutna Avsändare på Diggs webbplats.

4.3.2 Fullmakt från Avsändare: Genom att teckna Anslutningsavtal ger Avsändare Infrastrukturansvarig motsvarande fullmakt att för Avsändarens räkning ingå avtal med befintliga och kommande Brevlådeoperatörer. Fullmakten omfattar även en rätt för Infrastrukturansvarig att granska och godkänna underleverantörer hos Brevlådeoperatören enligt p. 22.2 för Avsändares räkning. Avsändare äger inte rätt att under avtalstiden återkalla eller inskränka fullmakten.

När Infrastrukturansvarig träffat avtal med stöd av denna fullmakt uppstår således en avtalsrelation mellan Avsändare och samtliga anslutna Brevlådeoperatörer. Infrastrukturansvarig ska meddela Avsändare genom att publicera information om anslutna Brevlådeoperatörer på Diggs webbplats.

4.4 Aktivering efter anslutning

4.4.1 De tekniska anslutningar och funktioner hos Avsändare och Brevlådeoperatörer som ska kopplas till Infrastrukturen får inte aktiveras förrän de testats och godkänts av Infrastrukturansvarig.

4.5 Användning av infrastrukturen

4.5.1 För att Brevlådeoperatörer och Avsändare ska kunna använda Infrastrukturen krävs att de är anslutna till Auktorisationssystem för digital post.

5. Infrastrukturansvarigs åtaganden

5.1 Infrastrukturansvar

5.1.1 Infrastrukturansvarig har ett övergripande ansvar för Infrastrukturen och för att endast Parter som åtagit sig att följa dessa Allmänna villkor ansluts.

5.1.2 Infrastrukturansvarig ansvarar vidare för att inrätta granskningsrutiner som ska följas för att i samband med anslutning och därefter löpande granska Brevlådeoperatörernas efterlevnad gentemot säkerhetskraven i Bilaga 1 i enlighet med vad som framgår av punkten 13.3.

5.1.3 De tjänster som Infrastrukturansvarig tillhandahåller enligt detta kapitel ska utformas i enlighet med vad som framgår av vid var tid gällande Tjänstespecifikation som publiceras på Diggs webbplats. Tjänsterna ska normalt vara tillgängliga dygnet runt, årets alla dagar.

5.2 Registrering i Förmedlingsadressregistret (FaR)

5.2.1 Infrastrukturansvarig ansvarar för att tillhandahålla FaR. Registrering av Brevlådeinnehavare i FaR sker genom Brevlådan. Vid registrering i FaR krävs e-legitimation som är granskad och godkänd enligt Tillitsramverket för Svensk e-legitimation på lägst tillitsnivå 3 (en svensk e-legitimation) eller en e-legitimation som är anmäld enligt eIDAS-förordningen på lägst nivå väsentlig.

5.2.2 Vid registrering i FaR godkänner Brevlådeinnehavaren av Infrastrukturansvarig beslutade användarvillkor för Mina meddelanden och förbinder sig att följa dessa.

5.2.3 Infrastrukturansvarig ansvarar för att i samband med registrering säkerställa att Brevlådeinnehavaren har undertecknat ansökan, att ansökan inte har ändrats sedan undertecknandet, samt att vid behov genomföra kontroll av firmateckningsregler i Bolagsverkets register.

5.3 Tillhandahålla uppgifter ur FaR

5.3.1 Infrastrukturansvarig ansvarar för att tillhandahålla uppgifter ur FaR på begäran av Avsändare, Brevlådeoperatör eller annan ansluten aktör.

5.3.2 Infrastrukturansvarig har rätt att begränsa tillgängligheten till FaR i den omfattning som är nödvändig på grund av utveckling, underhåll, driftmässiga skäl eller säkerhetsrelaterade skäl. Infrastrukturansvarig ska sträva efter att minimera avbrottstiden och vidta åtgärder för att Parterna ska vållas minsta möjliga skada. Infrastrukturansvarig ska informera Parterna om planerade avbrott i enlighet med Bilaga 4, Servicenivåer (SLA).

5.4 Behörighetstjänst

5.4.1 Infrastrukturansvarig tillhandahåller en behörighetstjänst för att Brevlådeoperatören ska kunna kontrollera firmateckningsrätten vid ändring av uppgifter i FaR. Behörighetstjänsten får även användas av Brevlådeoperatören för att ge Brevlådeanvändare tillgång till en Brevlåda för en juridisk person när Brevlådeanvändaren loggar in i Brevlådan.

5.4.2 Brevlådeoperatören får endast använda behörighetstjänsten i enlighet med vad som framgår av 5.4.1.

5.4.3 Brevlådeoperatören får endast använda behörighetstjänsten för personer som Brevlådeoperatören har identifierat med e-legitimation.

5.4.4 Brevlådeoperatören ska använda behörighetstjänsten när en person ska:

• företa en åtgärd som innebär ändringar av uppgifter i FaR
• logga in i en företagsbrevlåda som är ansluten till Mina meddelanden och personen inte givits åtkomst genom det lokala behörighetsregistret som Brevlådeoperatören kan ha upprättat enligt 7.4.4.

5.5 Personuppgiftsansvar

5.5.1 Infrastrukturansvarig är ansvarig för behandling av personuppgifter i FaR. För mer information om personuppgiftsansvar se avsnitt 9.

5.6 Ansvar för fel

5.6.1 Föreligger fel i de tjänster som Infrastrukturansvarig tillhandahåller enligt dessa Allmänna villkor eller om Infrastrukturansvarig i övrigt inte utför sina åtaganden i enlighet med dessa Allmänna villkor, ska Infrastrukturansvarig med den skyndsamhet som omständigheterna kräver avhjälpa sådan brist om så är möjligt.

6. Avsändares åtaganden

6.1 Regelverk

6.1.1 Avsändare ska tillämpa vid var tid gällande Tjänstespecifikation som publiceras på Diggs webbplats.

6.1.2 Infrastrukturen får inte användas för att kringgå de regelverk som finns beträffande identifiering och underskrift med e-legitimation, exempelvis i syfte att genomföra det som skulle kunna utgöra en id-växling.

6.2 Informationsklassificering

6.2.1 Avsändare ansvarar för att klassificera informationen i varje Meddelande som förmedlas via Infrastrukturen från Avsändaren. Informationen indelas i tre skyddsklasser, enligt Bilaga 2: Skyddsklasser.

6.2.2 Avsändare ska lämna information om ett Meddelandes skyddsklass. Avsändare ansvarar för att endast information som klassificerats som skyddsklass 1, 2 och 3 sänds via Infrastrukturen.

6.3 Utformning av Meddelanden

6.3.1 Avsändare ska adressera, utforma, samt vid behov elektroniskt stämpla de Meddelanden som skickas via Infrastrukturen i enlighet med vad som anges i vid var tid gällande API-specifikation som Infrastrukturansvarig publicerar på Diggs webbplats.

6.4 Test av utskicksflöde

6.4.1 Avsändare ansvarar för att testa varje utskicksflöde som skickas via Infrastrukturen.

6.5 Användning av uppgifter i FaR

6.5.1 Avsändare ska kontrollera i FaR om avsedd Mottagare av Meddelandet är ansluten till Infrastrukturen samt om Mottagaren accepterar elektroniska Meddelanden från Avsändaren. Om denne är ansluten och accepterar elektroniska Meddelanden från Avsändaren ska Meddelandet skickas till angiven Brevlådeoperatör.

6.5.2 Avsändare ansvarar för att uppgifterna i FaR endast används i enlighet med ändamålet såsom det framgår i 4 § förordning (2018:357) om myndighetsgemensam infrastruktur för digital post samt för att uppgifterna inte sparas efter att användning skett.

6.6 Förmedlare

6.6.1 Avsändare kan välja att anlita en underleverantör för att förmedla Meddelanden till Brevlådeoperatör. Den avtalsrelation som då uppstår mellan Avsändare och underleverantören (”Förmedlaren”) regleras inte i dessa Allmänna villkor. Avsändare ansvarar för Förmedlarens handlande inom Infrastrukturen såsom för eget handlande och för att i kravställning föra vidare lämpligt ansvar enligt dessa Allmänna villkor.

6.7 Ansvar och skydd för Meddelanden

6.7.1 Avsändare ska vidta tekniska och organisatoriska åtgärder för att

• skydda de Meddelanden som upprättas och sänds via Infrastrukturen, och
• motverka att Meddelanden oriktigt förses med Avsändarens elektroniska stämpel eller på annat sätt oriktigt framstår som utställda av Avsändaren eller befattningshavare hos Avsändaren.

6.7.2 Avsändare ansvarar för att förmedla Meddelandet till dess att mottagning har bekräftats med en kvittens enligt 7.5.3 eller att Brevlådeoperatören har underrättat Avsändare om att Meddelandet av något skäl inte kan tillgängliggöras.

6.7.3 Så som framgår av punkterna 9.3.1 och 9.4.1 är Avsändare personuppgiftsansvarig för innehållet i Meddelandet samt för behandling av personuppgifter vid förmedling av Meddelandet. Avsändare är också personuppgiftsansvarig för behandlingar som Brevlådeoperatören utför i samband med mottagning och tillgängliggörande av Meddelandet. Avsändares personuppgiftsansvar upphör när tillgängliggörandet bekräftats med en kvittens.

6.8 Rapportering

6.8.1 Avsändare ska, till Infrastrukturansvarig, utan dröjsmål, rapportera alla fel och övriga störningar och incidenter i Infrastrukturansvarigs eller Brevlådeoperatörernas tjänster.

6.8.2 Avsändare ska, utan dröjsmål, skriftligen underrätta Infrastrukturansvarig om förhållanden som påverkar Avsändarens ställning som offentlig aktör eller förhållanden i övrigt hos Avsändaren som riskerar att skada eller skadar förtroendet för Infrastrukturen.

7. Brevlådeoperatörens åtagande

7.1 Kvalitetsledningssystem

7.1.1 Leverantör ska inneha ett kvalitetsledningssystem för att säkra att avtalade krav uppfylls under hela anslutningsperioden. I kvalitetsledningssystemet ska ingå:

• Kvalitetskontroll, i form av system för avvikelsehantering.
• Kvalitetsstyrning, i form av dokumenterade rutiner.
• Kvalitetssäkring, i form av mätbara mål som följs upp.
• Kvalitetsutveckling, i form av utvärdering och förbättringsåtgärder.

7.2 Tjänsternas utformning

7.2.1 De tjänster som Brevlådeoperatören tillhandahåller enligt Allmänna villkor ska vara utformade i enlighet med vad som framgår av vid var tid gällande Tjänstespecifikation som Infrastrukturansvarig publicerar på Diggs webbplats.

7.3 Tjänsternas tillgänglighet

7.3.1 Tjänsterna ska normalt vara tillgängliga dygnet runt, årets alla dagar.

7.4 Identifiering, behörighet och åtkomst

7.4.1 Brevlådeoperatören får visa en Brevlådeanvändare Brevlådan, dess Inställningar och anknytande uppgifter endast om denne är behörig och först efter att denne har identifierats med e-legitimation.

7.4.2 Brevlådeoperatören får ge en Brevlådeanvändare åtkomst till och möjlighet att ta bort Meddelanden endast om denne är behörig och först efter att denne identifierats med en svensk e-legitimation eller en e-legitimation som är anmäld enligt eIDAS-förordningen på lägst nivå väsentlig.

7.4.3 I de fall Brevlådeinnehavaren är en fysisk person är denne alltid behörig. I de fall Brevlådeinnehavaren är en juridisk person är VD och firmatecknarna behöriga. Brevlådeoperatören kan tillåta att Brevlådeinnehavare ger behörighet till Brevlådeanvändare att läsa och hantera Meddelanden i Brevlådan.

7.4.4 I de fall Brevlådeoperatören erbjuder digitala Brevlådor till juridiska personer får Brevlådeoperatören upprätta ett behörighetsregister för Brevlådeinnehavarens räkning.

7.5 Funktionalitet för registrering i FaR

7.5.1 I Brevlådan ska Brevlådeoperatören tillhandahålla funktionalitet för Brevlådeinnehavare att lämna de uppgifter som krävs för att registreras respektive avregistreras i FaR.

7.5.2 Brevlådeoperatören ska informera Brevlådeinnehavaren om vad en registrering respektive avregistrering i FaR innebär.

7.5.3 Brevlådeoperatören ska säkerställa att registrering respektive avregistrering i FaR sker efter en aktiv handling av Brevlådeinnehavaren.

7.5.4 I Brevlådan ska Brevlådeoperatören

• visa information om Brevlådan är ansluten till Infrastrukturen,
• visa mottagningsregler ur FaR,
• erbjuda möjlighet att administrera mottagningsreglerna i FaR.

7.5.5 I samband med ändring av uppgifter i FaR ansvarar Brevlådeoperatören för att uppgifterna undertecknas av Brevlådeinnehavaren och sänds till Infrastrukturansvarig. Infrastrukturansvarig ansvarar för kontroll av signaturen enligt punkten 5.2.

7.5.6 En Brevlåda ska inte kunna avslutas innan dess att Brevlådeinnehavarens konto har avregistrerats i FaR.

7.6 Mottagning, kvittering och tillgängliggörande av Meddelanden

7.6.1 Brevlådeoperatören ska tillhandahålla en tjänst för att motta samtliga Meddelanden som sänds till de Brevlådor som operatören tillhandahåller.

7.6.2 I brevlådan ska Meddelanden som av Avsändare klassificerats i skyddsklasserna 1, 2 och 3 tillgängliggöras.

7.6.3 När ett Meddelande nått Brevlådeoperatören ska Brevlådeoperatören omedelbart tillgängliggöra Meddelandet i Brevlådan samt sända en kvittens till Avsändaren eller, när så är tillämpligt, underrätta Avsändaren om att Meddelandet av något skäl inte kan tillgängliggöras.

7.6.4 Så som framgår av punkten 9.4.1 är Avsändaren personuppgiftsansvarig för behandlingar vid mottagning och tillgängliggörande av Meddelandet och Brevlådeoperatören är personuppgiftsbiträde. Brevlådeoperatören får inte behandla personuppgifterna för andra ändamål än att tillgängliggöra dem för Mottagaren. Om Meddelandet inte kan tillgängliggöras ska Brevlådeoperatören radera meddelandet och personuppgifterna i detta.

7.7 Ansvar och skydd för Meddelanden och Brevlådan

7.7.1 Så som framgår av punkten 9.6 kan Mottagaren vara personuppgiftsansvarig för behandlingar av personuppgifter efter tillgängliggörande av Meddelandet. Brevlådeoperatören är då personuppgiftsbiträde åt Mottagaren.

7.7.2 Brevlådeoperatören är gentemot Brevlådeinnehavaren ansvarig för skyddet av Meddelanden från det att mottagning har skett och mottagningen har bekräftats med en kvittens enligt 7.5.3. Brevlådeoperatören ansvarar därmed för att ingen obehörig kommer åt Meddelandet samt att det inte förloras eller förvanskas. Brevlådeoperatören ansvarar för att upprätthålla säkerheten även för övriga uppgifter i Brevlådan.

7.7.3 Brevlådan utgör ett eget utrymme för Brevlådeinnehavaren. Brevlådeoperatören får behandla Meddelanden, inställningar och andra uppgifter i Brevlådan endast som ett led i teknisk bearbetning eller teknisk lagring för Brevlådeinnehavarens räkning för att uppfylla

• de åtaganden som åligger Brevlådeoperatören enligt dessa Allmänna villkor eller,
• det avtal som upprättats mellan Brevlådeoperatören och Brevlådeinnehavaren.

7.7.4 Brevlådeoperatören ska begränsa sina anställdas och uppdragstagares behörighet att komma åt Meddelanden och uppgifter i Brevlådan så att dessa inte kan behandlas annat än i enlighet med punkt 7.7.3.

7.7.5 Brevlådeoperatören ska ha kontrollfunktioner som säkerställer Meddelandens äkthet i enlighet med Infrastrukturansvarigs vid var tid gällande API-specifikation som publiceras på Diggs webbplats.

7.8 Informationssäkerhet

7.8.1 Brevlådeoperatören ska följa de administrativa, tekniska och organisatoriska säkerhetskrav som framgår av Bilaga 1: Krav på säkerhet för Brevlådeoperatörer och dessa Allmänna villkor samt ha rutiner och processer som löpande säkerställer att tillämpliga rättsliga krav är uppfyllda.

7.8.2 En Brevlådeoperatör som tillhandahåller tilläggsfunktioner och tjänster i anknytning till Brevlådan ska utforma dessa så att de inte påverkar förtroendet för infrastrukturen negativt, att det inte uppkommer brister informationssäkerhetsskyddet eller står i strid med dessa Allmänna villkor.

7.9 Borttag av Meddelanden

7.9.1 Brevlådeoperatören ska tillhandahålla funktionalitet för borttag av Meddelanden. Brevlådeoperatören ska säkerställa att ett Meddelande endast kan tas bort av Brevlådeanvändare först efter att denne identifierats med e-legitimation enligt 7.4.2. Brevlådeoperatören ska säkerställa att ett Meddelande som tas bort inte enkelt kan återskapas.

7.10 Vidarebefordran

7.10.1 Brevlådans funktionalitet ska vara begränsad så att Meddelanden av skyddsklass 2 och 3 inte kan vidarebefordras automatiskt annat än till annan Brevlåda inom infrastrukturen.

7.11 Brevlådeoperatörens Användarvillkor

7.11.1 Brevlådeoperatören ska upprätta Användarvillkor där Brevlådeoperatörens tjänster och ansvar tydligt framgår. Användarvillkoren ska godkännas av Brevlådeinnehavaren.

7.11.2 Brevlådeoperatören ska sända en kopia av varje version av Användarvillkor som tillämpas av Brevlådeoperatören till Infrastrukturansvarig.

7.11.3 Brevlådeoperatören ska i Användarvillkoren upplysa om att ett Meddelande ska anses ha kommit Brevlådeinnehavaren till handa när Brevlådeoperatören tillgängliggjort Meddelandet i Brevlådeinnehavarens Brevlåda.

7.11.4 Brevlådeoperatören ska i Användarvillkoren uppmana Brevlådeinnehavaren att skydda sin Brevlåda, så att ingen annan får tillgång till de uppgifter som lagras där. Sådana åtgärder kan bland annat bestå i att skydda den egna e-legitimationshandlingen på ett betryggande sätt.

7.11.5 Brevlådeoperatörer ska i Användarvillkoren lämna information enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG ("EU:s dataskyddsförordning") och kompletterande dataskyddsbestämmelser om behandlingen av personuppgifter som sker hos Brevlådeoperatören.

7.11.6 Om de Allmänna villkoren för Mina meddelanden ändras ska Brevlådeoperatör vid behov uppdatera sina Användarvillkor på motsvarande sätt.

7.12 Rapportering

7.12.1 Brevlådeoperatören ska till Infrastrukturansvarig utan dröjsmål rapportera inträffade Incidenter.

7.12.2 Brevlådeoperatören ska när denne får kännedom om att en personuppgiftsincident skett, som avser den behandling som Brevlådeoperatören utför i egenskap av personuppgiftsbiträde enligt dessa Allmänna villkor, utan onödigt dröjsmål underrätta personuppgiftsansvarig Avsändare. Brevlådeoperatören ska även informera Infrastrukturansvarig om personuppgiftsincidenten.

7.12.3 Vid en personuppgiftsincident enligt p. 7.12.2 ska Brevlådeoperatören biträda Avsändaren med att dokumentera personuppgiftsincidenten samt, om det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter, även biträda Avsändaren vid anmälan av incidenten till tillsynsmyndigheten. Brevlådeoperatören ska vid behov biträda Avsändare med att informera de registrerade om den inträffade personuppgiftsincidenten.

7.12.4 Brevlådeoperatör ska, till Infrastrukturansvarig, första veckan varje månad rapportera föregående månads statistik om antalet mottagna Meddelanden och andra uppgifter i enlighet med Infrastrukturansvarigs instruktioner.

7.12.5 Brevlådeoperatören ska till Infrastrukturansvarig rapportera sådana ändringar i verksamheten som är av betydelse för säkerheten och har påverkan på beskrivningar som Brevlådeoperatören lämnat i samband med ansökan. Materiella förändringar ska rapporteras innan deras införande så att Infrastrukturansvarig i enlighet med avsnitt 13.3 kan besluta om genomförande av granskningsåtgärder av ändringarna när så är påkallat.

7.12.6 Brevlådeoperatören ska årligen, efter varje avslutad internrevision i enlighet med kravet K7.1 i Bilaga 1, sända en revisionsrapport till Infrastrukturansvarig. Revisionsrapporten ska ha inkommit till Infrastrukturansvarig senast en månad efter det att internrevisionen ska vara avslutad enligt fastställd revisionsplan.

8. Mottagen handling

8.1 Ett Meddelande ska anses ha kommit Brevlådeinnehavaren till handa när Brevlådeoperatören tillgängliggör Meddelandet i Brevlådeinnehavarens Brevlåda.

9. Personuppgiftsbehandling och personuppgiftsansvar

9.1 Inledning

9.1.1 Detta kapitel syftar till att reglera den personuppgiftsbehandling som sker inom Infrastrukturen i kronologisk ordning från det att ett Meddelande skapas till dess att Meddelandet hanteras av Brevlådeinnehavaren. Vilka personuppgifter som behandlas anges invid varje behandlingsmoment nedan.

Kapitlet syftar också till att beskriva och reglera fördelningen av personuppgiftsansvar med utgångspunkt i de personuppgiftsbehandlingar som sker.

De kategorier av registrerade vars personuppgifter behandlas från det att ett Meddelande skapas till dess att Meddelandet tillgängliggörs för Brevlådeinnehavaren är personer vars uppgifter ingår i Meddelandet samt Brevlådeinnehavare som meddelandet är adresserat till.

9.1.2 Nyttjande av Infrastrukturen medför att Brevlådeoperatören kommer att behandla personuppgifter för Avsändares räkning. Avsändare är personuppgiftsansvarig och Brevlådeoperatören är personuppgiftsbiträde för dessa behandlingar. Brevlådeoperatören får endast behandla personuppgifterna i enlighet med tillämpliga bestämmelser och dessa Allmänna villkor.

9.1.3 Dessa Allmänna villkor med tillhörande bilagor utgör ett sådant skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning som anges i artikel 28 EU:s dataskyddsförordning samt instruktioner för personuppgiftsbehandlingen. Varje Part ansvarar själv för att tillämpliga dataskyddsbestämmelser följs samt att relevanta skyddsåtgärder vidtas enligt gällande dataskyddslagstiftning.

9.2 Förmedlingsadressregistret

9.2.1 Infrastrukturansvarig är personuppgiftsansvarig för behandling av personuppgifter i FaR.

9.3 Upprättande och förmedling av Meddelanden till Brevlådeoperatörer

9.3.1 Avsändare är personuppgiftsansvarig för behandling av personuppgifter i samband med att ett Meddelande upprättas samt vid förmedling av Meddelandet. Avsändare kan välja att anlita en extern aktör för att tillhandahålla förmedlingstjänsten. Den aktör som agerar förmedlare är då personuppgiftsbiträde till Avsändare.

9.3.2 Vid upprättandet av Meddelandet sker behandling av personuppgifter genom att Avsändaren tillför personuppgifter till Meddelandet. Genom Avsändarens hantering av Meddelandet efter att det har upprättats kan uppgifterna överföras, bearbetas och momentant lagras av den aktör som Avsändaren anlitat för förmedling av Meddelandet.

9.3.3 Vid förmedlingen av Meddelandet adresseras Meddelandet till Brevlådeinnehavaren (mottagaridentitet tillförs) och personuppgifterna i Meddelandet överförs från Avsändaren eller den externa aktör som Avsändaren anlitat till Brevlådeoperatören.

9.3.4 Personuppgifter som är aktuella att behandla består av mottagaridentitet (Brevlådeinnehavarens personnummer, samordningsnummer, organisationsnummer eller ett konstruerat identifikationsnummer [PRID] baserat på Brevlådeinnehavarens e-legitimation i de fall Brevlådeinnehavaren registrerat sin Brevlåda med hjälp av utländsk e-legitimation) samt de personuppgifter som förekommer i innehållet i Meddelandet.

9.4 Mottagning och tillgängliggörande av Meddelanden

9.4.1 Avsändaren är personuppgiftsansvarig för de behandlingar som Brevlådeoperatören utför i samband med mottagning och tillgängliggörande av Meddelanden. Brevlådeoperatören är då personuppgiftsbiträde till Avsändare och får inte behandla personuppgifterna för andra ändamål än att tillgängliggöra dem för mottagaren. Om Meddelandet inte kan tillgängliggöras ska Brevlådeoperatören radera Meddelandet och personuppgifterna i detta.

9.4.2 Brevlådeoperatören är dock personuppgiftsansvarig för behandling av de eventuella ytterligare personuppgifter som fordras för att Meddelandet ska kunna befordras till aktuell Brevlåda.

9.5 Brevlådeoperatörens personuppgiftsansvar

9.5.1 Brevlådeoperatören är personuppgiftsansvarig för de behandlingar av personuppgifter som Brevlådeoperatören utför i samband med inloggning till en Brevlåda och andra behörighetskontroller.

9.5.2 Brevlådeoperatören är personuppgiftsansvarig för behandling av personuppgifter i sitt kundregister och sådana personuppgifter som samlas in för av Brevlådeoperatören andra angivna ändamål än att förmedla Meddelanden inom Mina meddelanden.

9.6 Personuppgiftsbehandling i Brevlådan

9.6.1 I de fall Brevlådeinnehavaren är en fysisk person omfattas inte de behandlingar av personuppgifter som sker för privat bruk i Brevlådan av EU:s dataskyddsförordning.

9.6.2 I de fall Brevlådeinnehavaren är en juridisk person omfattas de behandlingar av personuppgifter som sker i Brevlådan av EU:s dataskyddsförordning. Den juridiska personen är personuppgiftsansvarig för dessa behandlingar och Brevlådeoperatören är personuppgiftsbiträde. Detsamma gäller för en fysisk person vars behandling av personuppgifter i Brevlådan sker som ett led i näringsverksamhet. Brevlådeinnehavaren ansvarar i dessa fall för att personuppgiftsbiträdesavtal är upprättat med Brevlådeoperatören.

9.7 Kontroll av dataskyddet

9.7.1 Den personuppgiftsansvarige har rätt att kontrollera efterlevnaden av dataskyddsreglerna samt dessa villkor hos personuppgiftsbiträdet.

9.7.2 Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i dessa Allmänna villkor, med avseende på personuppgiftsbehandling, samt i tillämpliga dataskyddsregler, har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige. Sådana granskningar ska genomföras i enlighet med avsnitt 13.

9.8 Sekretess med avseende på personuppgiftsbehandling

9.8.1 Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från den personuppgiftsansvarige. Regleringen om sekretess i avsnitt 19 omfattar även personuppgifter och annan information om behandlingen av personuppgifter.

9.9 Säkerhet vid behandling av personuppgifter

9.9.1 Personuppgiftsbiträdet ska i enlighet med artikel 32 i EU:s dataskyddsförordning, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå för behandlingen av personuppgifter som är lämplig i förhållande till risken.

9.9.2 Åtgärderna enligt punkt 9.9.1 ska genomföras i enlighet med vad som anges i punkterna 6.2, 7.7 och 7.8.

9.10 Anlitande av underbiträden

9.10.1 Personuppgiftsbiträdet får anlita ett underbiträde på det sätt som anges i avsnitt 22 samt i artikel 28 i EU:s dataskyddsförordning.

9.11 Registrerades rättigheter

9.11.1 Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige att fullgöra sina skyldigheter gentemot de registrerade när dessa utövar sina rättigheter enligt EU:s dataskyddsförordning, exempelvis rätten till information och tillgång till personuppgifter, rätten till rättelse, radering och rätten till dataportabilitet. Detta ska ske utan oskäligt dröjsmål och utan ekonomisk kompensation.

9.12 Skyldigheter enligt artiklarna 33 – 36 i EU:s dataskyddsförordning

9.12.1 Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 33–36 i EU:s dataskyddsförordning fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå. Avseende skyldigheter enligt artikel 32 i EU:s dataskyddsförordning, vilka personuppgiftsbiträde också ska bistå personuppgiftsansvarig att fullgöra, hänvisas till avsnitt 9.9.

9.12.2 I skyldigheterna enligt punkt 9.12.1 ingår att personuppgiftsbiträde vid inträffade personuppgiftsincidenter ska bistå personuppgiftsansvarig vid hantering av incidenten, i enlighet med punkterna 7.12.2 och 7.12.3 samt artikel 33 i EU:s dataskyddsförordning.

9.12.3 I de fall det blir aktuellt att genomföra en konsekvensbedömning med avseende på dataskydd, i enlighet med artikel 35 i EU:s dataskyddsförordning, ska personuppgiftsbiträdet före det att behandlingen utförs, vid behov och på begäran av den personuppgiftsansvarige, bistå den personuppgiftsansvarige vid en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

För det fall att bedömningen av den planerade behandlingen visar att behandlingen skulle leda till hög risk om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken ska personuppgiftsbiträdet före behandlingen utförs vara personuppgiftsansvarig behjälplig vid samråd med tillsynsmyndigheten.

9.13 Informationsplikt

9.13.1 Personuppgiftsbiträdet ska informera dels den personuppgiftsansvarige, dels Infrastrukturansvarig, om omständigheter som gör att lagligheten i personuppgiftsbehandlingarna som sker kan sättas i fråga. Detta inkluderar exempelvis bristfälliga instruktioner från den personuppgiftsansvarige i de fall det är aktuellt.

10. Kommunikation och marknadsföring

10.1 All kommunikation om och marknadsföring av Infrastrukturen ska ske på ett sätt som inte skadar eller riskerar att skada förtroendet för Infrastrukturen.

10.2 Anslutna Parter ska behandlas likvärdigt. Infrastrukturansvarig ansvarar för att samtliga anslutna Avsändare och Brevlådeoperatörer presenteras i alfabetisk ordning på Diggs webbplats på ett likvärdigt sätt.

11. Ändringar av de Allmänna villkoren och Infrastrukturen

11.1 De vid var tid gällande Allmänna villkoren ska finnas tillgängliga på Diggs webbplats.

11.2 Infrastrukturansvarig får besluta om ändring av de Allmänna villkoren. Den nya versionen av de Allmänna villkoren ska träda i kraft den dag som anges i beslutet. I de fall ändringen av de Allmänna villkoren kräver utvecklingsarbete eller annan form av anpassning ska skälig tid lämnas för att vidta sådana åtgärder. Av beslutet ska framgå den tidpunkt när ändringen senast ska vara implementerad. Infrastrukturansvarig får dock besluta om omedelbar förändring om detta bedöms nödvändigt på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl.

11.3 Infrastrukturansvarig ska löpande informera om pågående och planerad utveckling som påverkar Avsändare och/eller Brevlådeoperatörer.

11.4 Innan viktigare förändring av Infrastrukturen driftsätts ska förändringarna vara testade och godkända av Infrastrukturansvarig.

11.5 Infrastrukturansvarig ska bevara, och på begäran av Brevlådeoperatör respektive Avsändare tillhandahålla, alla tidigare gällande versioner av de Allmänna villkoren samt de vid var tid gällande Allmänna villkoren.

12. Fackmannamässighet

12.1 Parterna ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med bestämmelserna i dessa Allmänna villkor och gällande författningar, myndighetsbeslut och inom relevant område förekommande god sed.

13. Kontroll

13.1 Infrastrukturansvarig ansvarar för att kontrollera att anslutna Parter följer de krav och åtaganden som framgår av avtalet och dessa Allmänna villkor. Om det vid kontroll framkommer brister har Infrastrukturansvarig rätt att begränsa eller stänga av Parts tillgång till Infrastrukturen i enlighet med avsnitt 14 och 15.

13.2 Avsändare ska på uppmaning av Infrastrukturansvarig komma in med skriftligt underlag som visar att Avsändaren är en offentlig aktör eller att Avsändarens deltagande eller agerande i Infrastrukturen inte riskerar att skada eller skadar förtroendet för Infrastrukturen.

13.3 Infrastrukturansvarig har rätt att själv eller genom en oberoende tredje part kontrollera att Brevlådeoperatör fullgör sina skyldigheter enligt de Allmänna villkoren. Skriftligt meddelande om sådan kontroll ska skickas till Brevlådeoperatören senast fem arbetsdagar i förväg. Brevlådeoperatören ska samarbeta vid sådan kontroll och bereda Infrastrukturansvarig eller den oberoende tredje parten tillträde till lokaler, utrustning, material och annat som kan vara av betydelse för kontrollen. Kontrollen ska utföras på ett sådant sätt att den inte stör Brevlådeoperatörens verksamhet mer än vad som är skäligt med hänsyn till ändamålet. Kontrollen ska vidare genomföras med hänsyn till Brevlådeoperatörens behov av sekretess. Infrastrukturansvarig har även rätt att i kontrollsyfte inhämta skriftligt underlag från Brevlådeoperatören.

13.4 Brevlådeoperatör ska säkerställa att Infrastrukturansvarig har rätt att utföra kontroll enligt punkt 13.3 ovan även hos Brevlådeoperatörens underleverantörer.

13.5 Om det vid kontroll enligt punkt 13.3 framkommer brister i Brevlådeoperatörs fullgörande av sina skyldigheter enligt de Allmänna villkoren, ska operatören bära kostnaderna för kontrollen. I annat fall bär vardera Parten sina egna kostnader.

14. Avstängning från Infrastrukturen

14.1 Om Part bryter mot dessa Allmänna villkor eller om Parts deltagande eller agerande i Infrastrukturen skadar eller riskerar att skada förtroendet för Infrastrukturen har Infrastrukturansvarig rätt att stänga av eller begränsa Partens åtkomst till Infrastrukturen. Parten ska snarast möjligt underrättas om avstängningen eller begränsningen samt skälen till denna.

14.2 När Parten har åtgärdat bristen kan Parten begära att begränsningen eller avstängningen ska upphöra. Infrastrukturansvarig beslutar därefter om eventuellt upphävande av begränsningen eller avstängningen.

14.3 Om Part inte är ansluten till Auktorisationssystem för digital post har Infrastrukturansvarig rätt att stänga av Partens åtkomst till Infrastrukturen. Parten ska snarast möjligt underrättas om avstängningen samt skälen till denna. När Part återansluter till Auktorisationssystem för digital post ska avstängningen upphöra.

15. Uppsägning

15.1 Parts rätt att säga upp Avtalet

15.1.1 Infrastrukturansvarig har rätt att säga upp ett Anslutningsavtal om den anslutna Parten invänt mot en ändring eller ett tillägg som beslutats enligt avsnitt 11. En sådan uppsägning ska gälla från och med den dag då ändringen ska träda i kraft, om inte annat anges.

Infrastrukturansvarig har vidare rätt att säga upp ett Anslutningsavtal med en uppsägningstid om tre månader om uppsägningen kan motiveras av:

• myndighetsbeslut som Infrastrukturansvarig inte kunnat råda över, eller
• att förutsättningarna för fullföljandet av leveransen, utanför Infrastrukturansvarigs rådighet, har ändrats i väsentlig omfattning och det med hänsyn till detta inte är rimligt att fullfölja Anslutningsavtalet

15.1.2 Avsändare har rätt att, med iakttagande av 30 dagars uppsägningstid, när som helst säga upp Anslutningsavtalet.

15.1.3 En Brevlådeoperatör har rätt att, med iakttagande av 12 månaders uppsägningstid, när som helst säga upp Anslutningsavtalet. Uppsägning ska ske skriftligen för att vara gällande.

15.1.4 En Brevlådeoperatör som upphör med sin verksamhet kring anslutningen till infrastrukturen för Mina meddelanden ska informera anslutna Brevlådeanvändare och erbjuda dem möjlighet och skälig tid att föra ut Meddelanden från Brevlådan.

15.2 Omedelbar uppsägning

15.2.1 Infrastrukturansvarig har rätt att omedelbart säga upp ett Anslutningsavtal om

• Avsändaren inte längre omfattas av begreppet Offentlig aktör,
• den anslutna Partens agerande eller deltagande i Infrastrukturen skadar eller riskerar att skada förtroendet för Infrastrukturen,
• den anslutna Parten i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Anslutningsavtalet eller dessa Allmänna villkor och inte vidtar rättelse inom 10 dagar efter skriftlig begäran,
• den anslutna Parten försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses riskera att komma på obestånd,
• det framkommer att den anslutna Parten lämnat oriktiga uppgifter i ansökan om godkännande för anslutning till Infrastrukturen och dessa uppgifter har varit av icke oväsentlig betydelse vid Infrastrukturansvarigs godkännande av ansökan,
• om Part återkallar sin fullmakt som har lämnats enligt dessa Allmänna villkor, eller
• om Part inte längre är ansluten till Auktorisationssystem för digital post, eller
• om den anslutna Parten är avstängd från Infrastrukturen enligt 14.3 och den anslutna Parten inte har återanslutit till Auktorisationssystem för digital post inom 6 månader från avstängningstidpunkten.

16. Ansvar för skada

16.1 Ersättning för skada som, genom fastställd dom eller annat beslut, utgått till registrerad på grund av överträdelse av någon bestämmelse i dessa Allmänna villkor eller tillämplig dataskyddsbestämmelse ska art. 82 i EU:s dataskyddsförordning tillämpas.

16.2 Avsändare har rätt att av Brevlådeoperatören återkräva sådan sanktionsavgift som påförts Avsändare på grund av överträdelse av någon bestämmelse i dessa Allmänna villkor eller tillämplig dataskyddsbestämmelse om sådan överträdelse orsakats av Brevlådeoperatören, eller dennes underleverantör, i egenskap av personuppgiftsbiträde. Om både Avsändare och Brevlådeoperatören medverkat till överträdelsen ska Brevlådeoperatören endast ersätta Avsändare för den del av sanktionsavgiften som motsvarar Brevlådeoperatörens del av ansvaret.

16.3 Parts skadeståndsansvar mot annan Part ska i övrigt vara begränsat till skada som orsakats genom grov vårdslöshet eller uppsåtligt avtalsbrott.

17. Force Majeure

17.1 Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Avtalet av omständighet utanför dennes kontroll som Parten inte skäligen kunde förväntas ha räknat med vid anslutningen till Infrastrukturen och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit, eller av att Partens underleverantör förhindras fullgöra sin leverans på grund av omständigheter som här angetts, ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från skadestånd och andra påföljder.

17.2 Det åligger Part att utan dröjsmål skriftligen underrätta Infrastrukturansvarig om uppkomsten av hinder enligt ovan liksom dess upphörande. Infrastrukturansvarig ska informera anslutna Parter. När hindret upphört eller undanröjts är Parterna skyldiga att utan dröjsmål åter låta åtagandena i avtalet gälla.

18. Anslutningsavtals upphörande

18.1 När Anslutningsavtal mellan Infrastrukturansvarig och en Avsändare upphör att gälla, ska Avsändaren automatiskt upphöra att vara Part i samtliga Anslutningsavtal för Brevlådeoperatör.

18.2 När Anslutningsavtal mellan Infrastrukturansvarig och en Brevlådeoperatör upphör att gälla, ska Brevlådeoperatören automatiskt upphöra att vara Part i samtliga Anslutningsavtal för Avsändare.

18.3 Infrastrukturansvarig ska lämna information om Anslutningsavtals upphörande på Diggs webbplats.

19. Sekretess

19.1 Part är skyldig att beakta de regler om sekretess och tystnadsplikt som gäller enligt offentlighets- och sekretesslag (2009:400), nedan ”OSL”, samt tillse att anställda, anlitade konsulter och underleverantörer beaktar dessa regler. Part är skyldig att informera sig och sina anställda, anlitade konsulter och underleverantörer om innebörden av reglerna om handlingssekretess och tystnadsplikt i OSL. Part förbinder sig att inte utan den andra Partens medgivande till tredje man lämna uppgifter om den andra Partens verksamhet som kan vara att betrakta som affärs- eller yrkeshemlighet. Sekretesskyldigheten gäller inte sådan information som Part kan visa blivit känd för honom på annat sätt än genom detta avtalsförhållande eller som är allmänt känd. Sekretesskyldighet gäller inte heller när Part är skyldig enligt lag att lämna ut uppgift, i enlighet med exempelvis offentlighetsprincipen. Prövning av om en uppgift kan lämnas ut till tredje man sker först då sådan fråga uppkommer. Sekretess enligt denna punkt gäller även då Avtalet i övrigt har upphört att gälla.

20. Immateriella rättigheter

20.1 Ansluten Part har under avtalstiden en icke-exklusiv rätt att nyttja och erbjuda tjänster inom Infrastrukturen i enlighet med dessa Allmänna villkor.

20.2 Parternas samarbete inom Infrastrukturen ska i övrigt inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.

21. Överlåtelse

21.1 Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Anslutningsavtal eller dessa Allmänna villkor utan skriftligt medgivande från Infrastrukturansvarig.

22. Underleverantör

22.1 Part får anlita underleverantör för fullgörande av sina åtaganden enligt Anslutningsavtalet och dessa Allmänna villkor, inbegripet behandling av personuppgifter. Part ansvarar då för underleverantörens åtgärder som om Parten hade utfört åtgärderna själv. Innan en Part anlitar sådan underleverantör ska Parten dock skriftligen underrätta Infrastrukturansvarig om vilken underleverantör som anlitats samt vilka åtaganden uppdraget omfattar.

22.2 Om underleverantörens åtagande innefattar behandling av personuppgifter ska skriftligt personuppgiftsbiträdesavtal upprättas mellan Parten och underleverantören samt godkännas av Infrastrukturansvarig.

22.3 Om en Brevlådeoperatör anlitar en underleverantör för behandling av personuppgifter som Brevlådeoperatören utför i egenskap av personuppgiftsbiträde enligt dessa Allmänna villkor ska avtalet mellan Brevlådeoperatören och underleverantören upprättas i enlighet med artikel 28.4 EU:s dataskyddsförordning.

23. Tillämplig lag och tvist

23.1 Dessa Allmänna villkor ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.

23.2 Tvister angående tolkning eller tillämpning av dessa Allmänna villkor och därmed sammanhängande rättsförhållanden ska i första hand hanteras i förhandling mellan Parterna och i andra hand avgöras av allmän domstol med Stockholms tingsrätt som första instans.

23.3 I de fall tvister angående tolkning av dessa Allmänna villkor uppstår mellan Parter som enbart är statliga myndigheter ska, i stället för att vad som anges i punkt 23.2, myndigheterna lösa tvisten genom förhandling.