för identitetsfederationer för Svensk e-legitimation

Transkript

1 1 (28) Regelverk för identitetsfederationer för Svensk e-legitimation

2 2 (28) Innehåll 1. Bakgrund och syfte 3 2. Definitioner 4 3. Regelverket 6 4. Identitetsfederationen Regler för Federationsoperatören Regler för Leverantörer av eid-tjänst Regler för Tillhandahållare av e-tjänst Persondataskydd Sekretess Kontroll Immateriella rättigheter Reklamation Befrielsegrund Begränsning av åtkomst till Identitetsfederationen Uppsägning av Anslutningsavtal Verkan av Anslutningsavtals upphörande Meddelanden Tillämplig lag och tvister 28

3 3 (28) 1. Bakgrund och syfte 1.1 Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering (e-legitimationer) i den offentliga förvaltningens e-tjänster. 1.2 E-legitimationsnämnden har tagit fram regler för e-legitimationer som avses kunna användas både för den offentliga förvaltningens e-tjänster och för privata e-tjänster. De utfärdare av e-legitimationer som uppfyller de uppställda reglerna kan genom avtal med E-legitimationsnämnden ges rätt att använda ett särskilt kännetecken i anslutning till kravenliga e-legitimationer. 1.3 Regelverket för identitetsfederationer för Svensk e-legitimation syftar till att etablera en modell för att reglera förhållandet mellan parterna i en så kallad identitetsfederation bestående av (a) (b) (c) parter som tillhandahåller e-tjänster där det krävs elektronisk legitimering eller elektronisk underskrift, parter som levererar intyg i elektronisk form med uppgifter om e-legitimationsinnehavares identitet eller attribut, och en part som handlägger och administrerar anslutning till federationen och tillhandahåller de register och tjänster som behövs för att samordna leverans av intygen till e-tjänsterna. Avsikten är att denna modell, tillsammans med de nämnda reglerna för e-legitimationer, ska underlätta samordning mellan identitetsfederationer och tillhandahållande av motsvarande tjänster inom flera identitetsfederationer. Sådan samordning avses främja tillhandahållande och användning av elektronisk identifiering och underskrift inom både offentlig och privat sektor. 1.4 Detta regelverk (Regelverket) är tillämpligt mellan parter i en identitetsfederation. Part ansluts till identitetsfederationen genom skriftligt avtal och avsikten är att det endast är Part i Identitetsfederationen som ska kunna förlita sig på Identitetsintyg och annan information som används i Identitetsfederationen.

4 4 (28) För att Identitetsintyg inte ska användas av annan än Part i Identitetsfederationen ska Part av detta skäl inte sprida eller på annat sätt göra Identitetsintyg eller annan information som används i Identitetsfederationen tillgängliga utanför Identitetsfederationen. Ändring av och tillägg till Regelverket samordnas med andra gällande regelverk för identitetsfederationer för Svensk e-legitimation på sätt som anges i Regelverket och E-legitimationsnämndens interna föreskrifter IFS 2014:01 om förvaltning av infrastrukturen för Svensk e-legitimation. Avtalsvillkor som avviker från bestämmelserna i det vid var tid gällande Regelverket gäller endast mellan parter som skriftligen avtalat om sådant avtalsvillkor. 2. Definitioner I Regelverket betyder 1. Anslutningsavtal: ett sådant avtal om anslutning av en Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst som avses i punkt respektive 4.4.1, 2. Användare: en fysisk person som har en Svensk e-legitimation, 3. Federationsoperatören: den part som inom Identitetsfederationen för Metadataregister, tillhandahåller aktuella Federationstjänster, handlägger och administrerar Anslutningsavtal, samt tillhandahåller därmed förenade tjänster och i övrigt förvaltar Identitetsfederationen, 4. Federationstjänster: de tjänster som beskrivs i Bilaga G, 5. Identitetsfederationen: den samverkan för elektronisk legitimering av Användare som regleras i Anslutningsavtalen och Regelverket, 6. Identitetsintyg: ett av en Leverantör av eid-tjänst utställt intyg, oavsett tekniskt format, i elektronisk form med uppgifter om en Användares identitet och attribut, 7. Identitetsintyg enligt alternativt tekniskt gränssnitt: Identitetsintyg i sådant tekniskt format som levereras av Legitimeringstjänst med alternativt tekniskt gränssnitt, 8. Identitetsintyg enligt Tekniska ramverket: Identitetsintyg i sådant tekniskt format som uppfyller kraven i Tekniska ramverket,

5 5 (28) 9. Intygskonverteringstjänsten: Den tjänst som Federationsoperatören tillhandahåller för att konvertera Identitetsintyg enligt alternativt tekniskt gränssnitt till Identitetsintyg enligt Tekniska ramverket, 10. Kännetecknen: de särskilda kännetecken som E-legitimationsnämnden från tid till annan anvisar för användning i anslutning till Svensk e-legitimation och som för närvarande har den utformning som framgår av Bilaga K, 11. Legitimeringstjänst: en av en Leverantör av eid-tjänst tillhandahållen tjänst för legitimering av Användare och utställande av Identitetsintyg med stöd av Svensk e-legitimation, oavsett teknisk integration mot Identitetsfederationen, 12. Legitimeringstjänst med alternativt tekniskt gränssnitt: Legitimeringstjänst som levererar Identitetsintyg enligt alternativt tekniskt gränssnitt och integrerar mot Tillhandahållare av e-tjänst via Intygskonverteringstjänsten, 13. Legitimeringstjänst enligt Tekniska ramverket: Legitimeringstjänst som levererar Identitetsintyg enligt Tekniska ramverket och integrerar direkt mot Tillhandahållare av e-tjänst i Identitetsfederationen, 14. Leverantör av eid-tjänst: en part som enligt tillämpligt Anslutningsavtal avses tillhandahålla Legitimeringstjänst och aktuella Tilläggstjänster och leverera Identitetsintyg, samt tillhandahålla därmed förenade tjänster, 15. Metadataregister: det register som Federationsoperatören för över Leverantörer av eid-tjänst, Tillhandahållare av e-tjänst, m.m., 16. Part: var och en av Federationsoperatören, Leverantörerna av eid-tjänst och Tillhandahållarna av e-tjänst, 17. Svensk e-legitimation: de tekniska hjälpmedel för elektronisk identifiering som tillhandahålls av en Utfärdare av Svensk e-legitimation och uppfyller de krav som E-legitimationsnämnden har ställt upp i avtal med utfärdaren, 18. Tekniska ramverket: de tekniska specifikationer för Identitetsfederationer för Svensk e-legitimation som E-legitimationsnämnden från tid till annan föreskriver och som för närvarande har den utformning som framgår av Bilaga E,

6 6 (28) 19. Tillhandahållare av e-tjänst: en part som enligt tillämpligt Anslutningsavtal avses beställa Identitetsintyg för att hantera frågor om identitet och attribut i anslutning till en e-tjänst, 20. Tillitsnivåer: de skyddsklasser för Svensk e-legitimation som anges i Tillitsramverket, 21. Tillitsramverket: de regler om Tillitsnivåer som E-legitimationsnämnden från tid till annan föreskriver och som för närvarande har den utformning som framgår av Bilaga B, 22. Tilläggstjänster: de tjänster som beskrivs i Bilaga G, och 23. Utfärdare av Svensk e-legitimation: en part som enligt avtal med E-legitimationsnämnden har rätt att, i anslutning till e-legitimationer som uppfyller i avtalet uppställda krav, använda Kännetecknen. 3. Regelverket 3.1 Identitetsfederationens reglering Identitetsfederationen regleras genom Regelverket och Anslutningsavtalen i den utsträckning avvikande bestämmelser inte föreskrivits i tvingande lag eller annan tvingande författning. Om ett Anslutningsavtal innehåller bestämmelse som står i motsättning till bestämmelse i Regelverket ska bestämmelsen i Anslutningsavtalet gå före bestämmelsen i Regelverket om inte omständigheterna uppenbarligen föranleder annat. 3.2 Regelverkets delar Regelverket består av denna huvudtext och följande bilagor: Bilaga A Bilaga B Bilaga C Bilaga D Bilaga E Ersättning och fakturering (federationsspecifik) Tillitsramverk för Svensk e-legitimation Servicenivåer (federationsspecifik) Tekniska specifikationer (federationsspecifik) Tekniskt ramverk för Svensk e-legitimation

7 7 (28) Bilaga F Bilaga G Bilaga H Bilaga I Bilaga J Bilaga K Bilaga L Bilaga M Krav avseende medverkan till test (federationsspecifik) Federationstjänster och Tilläggstjänster (federationsspecifik) Användargränssnitt m.m. Fördelning av personuppgiftsansvar (federationsspecifik) Rapporteringsrutiner (federationsspecifik) Kännetecken för Svensk e-legitimation E-legitimationsnämndens interna föreskrifter IFS 2014:01 om förvaltning av infrastrukturen för elektronisk identifiering Förteckning över ändringar och tillägg (federationsspecifik) 3.3 Tolkningsordning Om bestämmelser i Regelverket står i motsättning till varandra ska (a) (b) (c) (d) (e) en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder, en bestämmelse i denna huvudtext gå före en bestämmelse i någon av bilagorna, en bestämmelse i en i punkt 3.2 tidigare nämnd bilaga gå före en bestämmelse i en senare nämnd bilaga, en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre dokument, och en specifik bestämmelse gå före en allmän bestämmelse. Dessa tolkningsregler ska tillämpas så att en tidigare i (a) (d) nämnd regel går före en senare nämnd regel.

8 8 (28) 3.4 Ändring och tillägg förvaltas på det sätt som föreskrivs i E-legitimationsnämndens senast beslutade interna föreskrifter IFS 2014:01 om förvaltning av infrastrukturen för Svensk e-legitimation, vilka för närvarande har det innehåll som framgår av Bilaga L. Om Identitetsfederationen inte är den identitetsfederation för offentlig sektor där E-legitimationsnämnden är federationsoperatör gäller punkt dock inte med avseende på de bilagor som i punkt 3.2 anges vara federationsspecifika De ändringar av eller tillägg till Regelverk för identitetsfederationer för Svensk e-legitimation som beslutats enligt de föreskrifter som nämns i punkt ska gälla även för Regelverket. Ändring eller tillägg som innebär avvikelse från reglerna i denna huvudtext, Bilaga A eller Bilaga C gäller dock inte om Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst till Federationsoperatören har lämnat en sakligt grundad invändning mot ändringen eller tillägget senast 30 dagar efter underrättelse om ändringen eller tillägget lämnats enligt punkt 3.4.3, såvida inte ändringen eller tillägget av E-legitimationsnämnden har beslutats vara nödvändigt på grund av allvarliga säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. Invändning får inte lämnas av Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst vars Anslutningsavtal upphör att gälla före ändringen eller tilläggets planerade ikraftträdande och invändning med grund i att konkurrensen skulle öka genom föreslagen ändring eller tillägg, eller annan liknande grund, ska aldrig anses saklig Federationsoperatören ska utan dröjsmål underrätta samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst om de ändringar och tillägg som beslutats enligt den procedur som nämns i punkt Federationsoperatören ska i underrättelsen ange om beslutet, enligt vad som anges i punkt 3.4.2, har direkt tillämplighet eller om ändringen eller tillägget kan hindras genom sakligt grundad invändning från Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst. Federationsoperatören ska även ange det datum då ändringen eller tillägget ska träda i kraft alternativt det datum då invändning mot ändringen eller tillägget ska ha lämnats till Federationsoperatören.

9 9 (28) För ändring eller tillägg som enligt punkt kan hindras genom sakligt grundad invändning från Leverantörer av eidtjänst eller Tillhandahållare av e-tjänst, ska Federationsoperatören, efter att tid för lämnande av invändning har gått ut, utan dröjsmål underrätta samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst om huruvida ändringen ska införas i Regelverket (varvid invändning från Part vars Anslutningsavtal samtidigt sägs upp enligt punkt 15.3 inte ska hindra införande, men ändringen eller tillägget ska i så fall träda ikraft tidigast den dag sådana Anslutningsavtal upphör) En ändring eller ett tillägg som beslutats enligt de föreskrifter som nämns i punkt ska träda i kraft den dag som anges i beslutet eller sådan senare dag som följer av punkt Ändringen eller tillägget ska dock tidigast träda i kraft 180 dagar efter att Federationsoperatören har underrättat samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst enligt punkt 3.4.3, såvida inte annat datum överenskommits mellan Parterna eller, enligt de föreskrifter som nämns i punkt 3.4.1, beslutats på grund av att ändringen eller tillägget uppenbart är av ringa betydelse eller på grund av allvarliga säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl Med undantag för vad som anges i punkt och vad som annars särskilt avtalats måste samtliga Parter samtycka till ändring av eller tillägg till Regelverket för att ändringen eller tillägget ska vara bindande Federationsoperatören ska i Bilaga M förteckna de ändringar och tillägg som gäller för Regelverket. Federationsoperatören ska vidare bevara, och på begäran av Leverantör av eid-tjänst respektive Tillhandahållare av e-tjänst tillhandahålla, alla tidigare gällande versioner av Regelverket samt det vid var tid gällande Regelverket De föreskrifter som hänvisas till i punkt ska tillämpas även i fråga om ändring eller tillägg av sådana instruktioner där det i Regelverket hänvisas till vid var tid skäligen lämnade instruktioner.

10 10 (28) 4. Identitetsfederationen 4.1 Roller Federationsoperatören för Metadataregister, tillhandahåller aktuella Federationstjänster, handlägger och administrerar Anslutningsavtal, samt tillhandahåller därmed förenade tjänster och förvaltar Identitetsfederationen i övrigt Leverantör av eid-tjänst tillhandahåller Legitimeringstjänst och aktuella Tilläggstjänster och levererar Identitetsintyg, samt tillhandahåller därmed förenade tjänster Tillhandahållare av e-tjänst beställer och tar emot Identitetsintyg för att hantera frågor om identitet och attribut i anslutning till e-tjänst. 4.2 Förvaltning Leverantörerna av eid-tjänst och Tillhandahållarna av e-tjänst uppdrar åt Federationsoperatören att förvalta Identitetsfederationen enligt Regelverket. Leverantörerna och tillhandahållarna får inte vidta åtgärder i förvaltningen utan särskilt uppdrag från Federationsoperatören. 4.3 Anslutning av en Leverantör av eid-tjänst Anslutning av en Leverantör av eid-tjänst till Identitetsfederationen sker efter ansökan hos Federationsoperatören, genom att operatören, för sig själv samt på uppdrag av samtliga Tillhandahållare av e-tjänst, tecknar avtal om anslutning (Anslutningsavtal) med Leverantören av eid-tjänst. När sådant Anslutningsavtal upphör, upphör även leverantörens anslutning till Identitetsfederationen Federationsoperatören får ingå Anslutningsavtal med en Leverantör av eid-tjänst endast om leverantören förpliktigar sig att följa de krav som följer av Regelverket. 4.4 Anslutning av en Tillhandahållare av e-tjänst Anslutning av en Tillhandahållare av e-tjänst till Identitetsfederationen sker efter ansökan hos Federationsoperatören, genom att operatören tecknar avtal om anslutning (Anslutningsavtal)

11 11 (28) med Tillhandahållaren av e-tjänst samt, på uppdrag av tillhandahållaren och respektive Leverantör av eid-tjänst, ansluter tillhandahållaren till de Anslutningsavtal genom vilka Leverantörerna av eid-tjänst anslutits. När Anslutningsavtalet mellan Federationsoperatören och Tillhandahållare av e-tjänst upphör, upphör även tillhandahållarens anslutning till Identitetsfederationen Federationsoperatören får ingå Anslutningsavtal med en Tillhandahållare av e-tjänst endast om Tillhandahållaren av e-tjänst förpliktigar sig att följa de krav som följer av Regelverket. 4.5 Aktivering efter anslutning De anslutningar och funktioner hos Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst som samverkar med Identitetsfederationen, får inte aktiveras förrän de testats och Federationsoperatören funnit att de fungerar på ett tillförlitligt sätt. Leverantör av eid-tjänst som ska anslutas till Identitetsfederationen ska, senast 60 dagar före den startdag som anges i tillämpligt Anslutningsavtal, tillhandahålla anslutningar och funktioner för testning enligt de krav som anges i Bilaga F och i övrigt i skälig omfattning på det sätt som Federationsoperatören anger. Federationsoperatören ska, senast 60 dagar efter att sådana anslutningar och funktioner tillhandahållits för test, aktivera anslutningarna och funktionerna om de uppfyller kraven i Regelverket (annars förlängs testperioden med 15 dagar i taget) Federationsoperatören ska tillhandahålla en testmiljö för test av tillkommande Leverantörer av eid-tjänst respektive Tillhandahållare av e-tjänst enligt samt leda och i skälig omfattning medverka i sådana tester Leverantörer av eid-tjänst ska, i enlighet med Bilaga F och i övrigt i skälig omfattning, på begäran av Federationsoperatören medverka till test av tillkommande Tillhandahållare av e-tjänst enligt Ersättning och fakturering Den ersättning och de avgifter som Part ska betala och den ersättning som Part har rätt till framgår av Bilaga A. I Bilaga A anges även hur fakturering ska ske mellan Partnerna.

12 12 (28) 4.7 Säker kommunikation Part ska i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av Bilaga D, kontrollera motpartens identitet och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som där anges. 4.8 Samarbetsformer Samarbetet inom Identitetsfederationen ska inte anses medföra något agentförhållande, enkelt bolag eller handelsbolag eller någon annan liknande sammanslutning. Part får inte företräda annan Part utan den sistnämnda Partens skriftliga medgivande såvida inte annat följer av Regelverket eller Anslutningsavtal Part svarar själv för sina åtaganden enligt Regelverket och Anslutningsavtal om inte annat uttryckligen anges. Solidariskt ansvar föreligger således inte och Federationsoperatören svarar exempelvis inte för Leverantörer av eid-tjänsts tillhandahållande av Identitetsintyg eller leverantörernas rätta fullgörande av sina åtaganden i övrigt. Avtalsbrott enligt Regelverket eller Anslutningsavtal får vidare göras gällande endast av berörd Part Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Regelverket eller Anslutningsavtal Part får anlita underleverantör för fullgörande av sina åtaganden enligt Regelverket eller Anslutningsavtal men svarar då för underleverantörens åtgärder som om Parten hade utfört åtgärderna själv. Innan en Leverantör av eid-tjänst anlitar en underleverantör för utförande av sina åtaganden enligt aktuellt Anslutningsavtal ska leverantören vidare skriftligen underrätta Federationsoperatören om vilken underleverantör som avses anlitas Part ska medverka i samarbetet inom Identitetsfederationen och därvid samarbeta och samråda med övriga Partner samt i skälig omfattning informera dessa Parter om de omständigheter som kan antas påverka vad som regleras i Regelverket. Tillhandahållare av e-tjänst ska bland annat i god tid informera Federationsoperatören om period då någon av tillhandahållarens anslutna e-tjänster förväntas vara utsatt för extra hög eller tidskritisk be-

13 13 (28) lastning eller Tillhandahållaren av e-tjänst annars kan komma att behöva extra stöd. Federationsoperatören ska kommunicera sådan information vidare till Leverantörerna av eid-tjänst. 5. Regler för Federationsoperatören 5.1 Förvaltning Federationsoperatören ska handlägga och administrera Anslutningsavtal samt i övrigt förvalta Identitetsfederationen i enlighet med Regelverket. 5.2 Metadataregistret Federationsoperatören ska föra Metadataregistret i enlighet med Bilaga D. 5.3 Federationstjänster Om för Federationsoperatören aktuell Federationstjänst förtecknas i Bilaga G, ska operatören i enlighet därmed tillhandahålla Federationstjänsten i den utsträckning som anges i respektive Anslutningsavtal. 5.4 Användargränssnitt Federationsoperatören ska utforma de användargränssnitt och dylikt som operatören, eller den operatören svarar för, tillhandahåller till Användare, i enlighet med Bilaga H. 5.5 Incidenthantering och rapportering Om Federationsoperatören upptäcker missbruk av dess tjänster ska operatören skyndsamt stänga av den aktuella tjänsten eller vidta andra lämpliga åtgärder för att förhindra upprepat missbruk Federationsoperatören ska rapportera incidenter, m.m. till Leverantörerna av eid-tjänst och Tillhandahållarna av e-tjänst i enlighet med Bilaga J Federationsoperatören ska löpande rapportera prognoser och andra uppgifter till Leverantör av eid-tjänst i enlighet med Bilaga J.

14 14 (28) 5.6 Fackmannamässighet m.m Federationsoperatören ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med Regelverket, gällande lagar och andra författningar, myndighetsbeslut och inom relevant område förekommande god branschpraxis Federationsoperatören ska i tillämpliga delar följa de regler och metoder som anges i Tillitsramverket. 5.7 Servicenivåer och ansvar för fel För tillhandahållande av aktuell Federationstjänst gäller de servicenivåer som i Bilaga C anges för den aktuella Federationstjänsten. Såvida inte uppsåt eller grov oaktsamhet föreligger ansvarar Federationsoperatören för avvikelser från servicenivåerna endast enligt vad som anges i Bilaga C. För det fall Identitetsintyg inte kan levereras till Tillhandahållare av e-tjänst på grund av avvikelser från servicenivåerna för Intygskonverteringstjänsten som Federationsoperatören ansvarar för enligt vad som anges i Bilaga C, ska Tillhandahållare av e-tjänst inte vara skyldig att utge ersättning till Leverantör av eid-tjänst för utfärdade men inte levererade Identitetsintyg Föreligger fel eller försening i Federationsoperatören fullgörande av sina åtaganden enligt Regelverket eller Anslutningsavtal, som inte omfattas av sådan servicenivå som nämns i punkt men som operatören svarar för, ska Federationsoperatören med den skyndsamhet som omständigheterna kräver avhjälpa felet eller förseningen om så är möjligt. Federationsoperatören ska under den tid som felet eller förseningen föreligger i skälig utsträckning sätta ned den eller de avgifter som enligt Bilaga A gäller för den eller de tjänster som påverkas av felet. Om felet orsakats av Federationsoperatörens vårdslöshet är operatören skadeståndsansvarig med de begränsningar som följer av punkt Ansvarsbegränsningar I andra fall än sådana avvikelser från servicenivåer som avses i punkt är Federationsoperatörens skadeståndsansvar begränsat till ansvar för direkt skada som operatören vållar annan Part genom vårdslöshet.

15 15 (28) Federationsoperatörens skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar 35 prisbasbelopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proportion till de skadelidande Parternas skada Begränsningarna som anges i denna punkt 5.8 ska inte gälla om uppsåt eller grov vårdslöshet föreligger. 5.9 Beställning av Identitetsintyg Federationsoperatören har rätt att beställa Identitetsintyg från Leverantörer av eid-tjänst. Reglerna i punkt 7, liksom skyldigheten att betala ersättning för Identitetsintyg i enlighet med Bilaga A, gäller då i tillämpliga delar för operatören. 6. Regler för Leverantörer av eid-tjänst 6.1 Legitimeringstjänst och Identitetsintyg Leverantör av eid-tjänst ska, från och med den startdag som anges i tillämpligt Anslutningsavtal, tillhandahålla Legitimeringstjänst i enlighet med Bilaga D, för samtliga de Svenska e-legitimationer som leverantören svarar för enligt Anslutningsavtalet Leverantör av eid-tjänst ska, från och med den startdag som anges i tillämpligt Anslutningsavtal, leverera ett Identitetsintyg i enlighet med Bilaga D varje gång en Tillhandahållare av e-tjänst anvisat en Användare till leverantörens Legitimeringstjänst och sådan Användare på korrekt sätt legitimerat sig själv med en sådan Svensk e-legitimation som leverantören svarar för enligt tillämpligt Anslutningsavtal Identitetsintyg från Leverantör av eid-tjänst ska grunda sig på Svensk e-legitimation. En e-legitimation som utfärdats av en part som tidigare varit en Utfärdare av Svensk e-legitimation men vars avtal med E-legitimationsnämnden om användande av Kännetecknen har upphört, ska därvid anses vara en Svensk e-legitimation endast i den utsträckning Federationsoperatören begär att Leverantör av eid-tjänst ska fortsätta att leverera Identitetsintyg för sådan e-legitimation.

16 16 (28) Leverantör av eid-tjänst svarar för att levererade Identitetsintyg och de e-legitimationer som ligger till grund för intygen, har utfärdats i enlighet med de regler och metoder som anges i Tillitsramverket för de aktuella Tillitsnivåerna (med eventuella avvikelser som enligt tillämpligt beslut godkänts av E-legitimationsnämnden) Leverantör av eid-tjänst ska, i den utsträckning som skäligen kan krävas, på begäran av Federationsoperatören eller en Tillhandahållare av e-tjänst tillhandahålla de ytterligare uppgifter som i samband med att en Användare eller Part ifrågasatt ett Identitetsintygs utställande eller riktighet, kan behövas för att kontrollera leveransen av eller uppgifterna i Identitetsintyget. Leverantören ansvarar för att sådana ytterligare uppgifter kan tillhandahållas även om den e-legitimation som ligger till grund för Identitetsintyget har utfärdats av annan än leverantören. Leverantör av eid-tjänst ska även, i den utsträckning som skäligen kan krävas, på begäran av Federationsoperatören eller en Tillhandahållare av e-tjänst medverka till utredning avseende ansvarsfördelningsfrågor i samband med att en Användare eller Part ifrågasatt ett Identitetsintygs utställande eller riktighet. 6.2 Tilläggstjänster Om för Leverantör av eid-tjänst aktuell Tilläggstjänst förtecknas i Bilaga G, ska leverantören i enlighet därmed tillhandahålla Tilläggstjänsten i den utsträckning som anges i respektive Anslutningsavtal. 6.3 Uppgifter om Användare Leverantör av eid-tjänst får behandla sådana uppgifter om Användare, som leverantören får kännedom om genom samarbetet inom Identitetsfederationen, endast i den utsträckning som krävs för att leverantören ska kunna fullgöra rättsliga skyldigheter eller åtaganden enligt Anslutningsavtal. Leverantören ska behandla uppgifterna på sätt som begränsar risken för övervakning eller kartläggning av enskildas personliga förhållanden.

17 17 (28) 6.4 Användargränssnitt och kundtjänst Leverantör av eid-tjänst ska utforma de användargränssnitt och dylikt som leverantören, eller den leverantören svarar för, tillhandahåller till Användare, i enlighet med Bilaga H Leverantör av eid-tjänst ska tillhandahålla kundtjänst med god tillgänglighet där Federationsoperatören och Tillhandahållare av e-tjänst samt de som innehar en Svensk e-legitimation för vilken leverantören ger ut Identitetsintyg, via telefon, e-post eller annan lämplig kontaktväg kan ställa frågor rörande leverantörens tjänster. Kontaktuppgifter för sådan kundtjänst ska av Leverantör av eid-tjänst uppges till Federationsoperatören för publicering på Federationsoperatörens webbplats. Leverantör av eid-tjänst ska erbjuda Federationsoperatören och Tillhandahållare av e-tjänst möjlighet att teckna särskilt avtal om utökade öppettider för kundtjänst under särskilda perioder; innehållet i sådant avtal bestäms mellan parterna till avtalet. 6.5 Incidenthantering och rapportering Om en Leverantör av eid-tjänst upptäcker missbruk av dess tjänster ska leverantören skyndsamt stänga av den aktuella tjänsten eller vidta andra lämpliga åtgärder för att förhindra upprepat missbruk Leverantör av eid-tjänst ska rapportera incidenter, statistik, förändringar, m.m. till Federationsoperatören i enlighet med Bilaga J. 6.6 Fackmannamässighet Leverantör av eid-tjänst ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med Regelverket, gällande lagar och andra författningar, myndighetsbeslut och inom relevant område förekommande god branschpraxis. 6.7 Servicenivåer och ansvar för fel För tillhandahållande av Legitimeringstjänst och aktuell Tilläggstjänst och leverans av Identitetsintyg, gäller de servicenivåer som anges i Bilaga C för de aktuella tjänsterna och leveransen. Såvida inte uppsåt eller grov oaktsamhet föreligger ansvarar Le-

18 18 (28) verantör av eid-tjänst för avvikelser från servicenivåerna endast enligt vad som anges i Bilaga C Föreligger fel i levererat Identitetsintyg som inte omfattas av sådan servicenivå som nämns i punkt men som Leverantör av eid-tjänst svarar för, har leverantören inte rätt till ersättning för Identitetsintyget. Om felet orsakats av att leverantörens brott mot punkt eller annan vårdslöshet som leverantören svarar för, är leverantören skadeståndsansvarig med de begränsningar som följer av punkt 6.8. Om ett Identitetsintyg har utfärdats enligt de regler och metoder som anges i Tillitsramverket för den aktuella Tillitsnivån svarar Leverantören av eid-tjänst emellertid inte för en eventuell oriktig identifiering eller annan brist i resultat av identifiering Föreligger fel eller försening i Leverantör av eid-tjänsts fullgörande av sina åtaganden enligt Regelverket eller Anslutningsavtal, som inte omfattas av punkt eller men som Leverantör av eid-tjänst svarar för, ska leverantören med den skyndsamhet som omständigheterna kräver avhjälpa felet eller förseningen om så är möjligt. Leverantören av eid-tjänst ska under den tid som felet eller förseningen föreligger i skälig utsträckning sätta ned den eller de avgifter som enligt Bilaga A gäller för den eller de tjänster som påverkas av felet. Om felet eller förseningen orsakats av Leverantör av eid-tjänsts vårdslöshet är leverantören skadeståndsansvarig med de begränsningar som följer av punkt Ansvarsbegränsningar I andra fall än sådana avvikelser från servicenivåer som avses i punkt är Leverantör av eid-tjänsts skadeståndsansvar begränsat till ansvar för direkt skada som leverantören vållar Federationsoperatören eller Tillhandahållare av e-tjänst genom vårdslöshet Leverantör av eid-tjänsts skadeståndsansvar gentemot respektive Tillhandahållare av e-tjänst är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 30 % av den totala ersättning som leverantören är berättigad till enligt Regelverket för utförande av tjäns-

19 19 (28) ter till aktuell tillhandahållare under de 12 månader som föregick skadetillfället Leverantör av eid-tjänsts skadeståndsansvar gentemot Federationsoperatören är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som leverantören är berättigad till enligt Regelverket (från samtliga aktuella Parter) för utförande av tjänster under de 12 månader som föregick skadetillfället Begränsningarna som anges i denna punkt 6.8 ska inte gälla om uppsåt eller grov vårdslöshet föreligger. 6.9 Särskild befrielsegrund Om Leverantör av eid-tjänst visar att viss avvikelse från leverantörens skyldigheter enligt Regelverket är nödvändig för att leverantören ska kunna förhindra, motverka eller åtgärda allvarlig säkerhetsrisk, ska detta utgöra befrielsegrund som medför befrielse från skadestånd och andra påföljder såvitt avser avvikelsen (med undantag för som anges i punkt 15.4), under förutsättning att leverantören inte skäligen kunde förväntas ha räknat med säkerhetsrisken vid leverantörens anslutning till Identitetsfederationen och inte heller skäligen kunde ha undvikit eller övervunnit risken på annat sätt. Om Leverantör av eid-tjänst önskar åberopa sådan befrielsegrund ska leverantören utan oskäligt dröjsmål lämna Federationsoperatören skriftligt meddelande härom samt, om befrielsegrund åberopas för period som är längre än 7 dagar, bjuda in Federationsoperatören till samråd om hur den aktuella säkerhetsrisken ska hanteras Försäkring Leverantör av eid-tjänst ska inneha ändamålsenlig och tillräcklig ansvarsförsäkring med hänsyn till det ansvar som kan uppkomma för leverantören enligt Regelverket.

20 20 (28) 7. Regler för Tillhandahållare av e-tjänst 7.1 Användning av intyg och tjänster Tillhandahållare av e-tjänst har rätt att beställa Identitetsintyg från Leverantörer av eid-tjänst En begäran från en Tillhandahållare av e-tjänst om Identitetsintyg ska framställas i enlighet med Bilaga D. Tillhandahållaren av e-tjänst bedömer vilken Tillitsnivå som krävs Tillhandahållare av e-tjänst får använda Identitetsintyg endast för att hantera frågor om identitet i anslutning till tillhandahållarens e-tjänst samt för därmed förenade förhållanden och endast i enlighet med gällande lagar, andra författningar, myndighetsbeslut och god sed. Tillhandahållare av e-tjänst får använda Identitetsintyget för att utfärda ny identifiering av den aktuella Användaren endast för kortvarig identifiering i enlighet med handelsbruk eller annan sedvänja, varvid en ny identifiering som direkt eller indirekt syftar till att ersätta framtida beställningar av Identitetsintyg inte ska anses omfattas av sådan sedvänja Tillhandahållare av e-tjänst får i anslutning till dess e-tjänst och i marknadsföringen av e-tjänsten använda sådana kännetecken och beteckningar tillhörande Leverantör av eid-tjänst respektive Federationsoperatören som avser Identitetsfederationen eller annan tjänst som tillhandahålls till Tillhandahållaren av e-tjänst inom Identitetsfederationen, men endast i enlighet med god sed med hänsyn till Leverantör av eid-tjänsts respektive Federationsoperatörens immaterialrätt och anseende Tillhandahållare av e-tjänst ska vidta lämpliga åtgärder för att motverka obehörig användning av Svensk e-legitimation i anslutning till tillhandahållarens e-tjänst och därvid bland annat implementera de tekniska skydd som framgår av Bilaga D Tillhandahållare av e-tjänst får använda Federationstjänsterna och Tilläggstjänsterna endast i enlighet med de begränsningar som anges Bilaga G.

21 21 (28) 7.2 Användargränssnitt Tillhandahållare av e-tjänst ska utforma de användargränssnitt och dylikt som tillhandahållaren, eller den tillhandahållaren svarar för, tillhandahåller till Användare, i enlighet med Bilaga H. 7.3 Incidenthantering och rapportering Om en Tillhandahållare av e-tjänst upptäcker missbruk av dess tjänster ska tillhandahållaren skyndsamt stänga av den aktuella tjänsten eller vidta andra lämpliga åtgärder för att förhindra upprepat missbruk Tillhandahållare av e-tjänst ska rapportera incidenter, prognoser, m.m. till Federationsoperatören i enlighet med Bilaga J. 7.4 Ansvarsbegränsningar Tillhandahållare av e-tjänsts skadeståndsansvar är begränsat till ansvar för direkt skada som tillhandahållaren vållar Federationsoperatören eller Leverantör av eid-tjänst genom vårdslöshet Tillhandahållare av e-tjänsts skadeståndsansvar gentemot respektive Leverantör av eid-tjänst är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 30 % av den totala ersättning som tillhandahållaren är skyldig att betala till leverantören enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället Tillhandahållare av e-tjänsts skadeståndsansvar gentemot Federationsoperatören är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som tillhandahållaren är skyldig att betala enligt Regelverket (till samtliga aktuella Parter) för utförande av tjänster under de 12 månader som föregick skadetillfället Begränsningarna som anges i denna punkt 7.4 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

22 22 (28) 8. Persondataskydd 8.1 Parternas uppfattning om hur personuppgiftsansvar för uppgifter i anslutning till Identitetsfederationen fördelas mellan Parterna framgår av Bilaga I, men varje Part ansvarar själv för att tillämpliga persondataskyddsregler följs. 8.2 I samband med utförandet av åtaganden enligt Regelverket kan Part såsom personuppgiftsbiträde komma att behandla personuppgifter för en personuppgiftsansvarig Parts räkning. Reglerna i punkt ska då gälla mellan personuppgiftsbiträdet och den personuppgiftsansvarige Personuppgiftsbiträdet får behandla personuppgifterna endast i den utsträckning som krävs för att fullgöra åtaganden gentemot den personuppgiftsansvarige och endast i enlighet med den personuppgiftsansvariges instruktioner Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för detta ändamål följa av Datainspektionen fattade beslut och utfärdade riktlinjer om åtgärder för att uppfylla personuppgiftslagens säkerhetskrav. Närmare regler om säkerhet anges i Tillitsramverket Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige om någon begär att få ta del av information som finns registrerad om honom eller henne eller begär rättelse av sådan information. Personuppgiftsbiträdet ska även bistå den personuppgiftsansvarige efter begäran från myndighet Den personuppgiftsansvarige är enligt personuppgiftslagen ansvarig gentemot registrerade personer för mot lagen stridande behandling. Om en registrerad eller annan tredje man riktar krav mot den personuppgiftsansvarige avseende behandling som utförts av personuppgiftsbiträdet på ett sätt som stred mot den personuppgiftsansvariges instruktioner eller Regelverket ska personuppgiftsbiträdet hålla den personuppgiftsansvarige skadeslös för sådana krav Om personuppgiftsbiträdet avser överföra personuppgifter till ett land utanför EU/EES svarar personuppgiftsbiträdet gentemot den personuppgiftsansvarige för att tillräckliga åtgärder vidtagits för att sådan överföring inte ska vara förbjuden enligt

23 23 (28) personuppgiftslagen. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om vilka länder personuppgifterna kommer att överföras till samt vilka åtgärder som vidtas för att säkerställa att sådan överföring inte är förbjuden enligt personuppgiftslagen Innan personuppgiftsbiträdet anlitar en underleverantör för behandling av personuppgifterna ska personuppgiftsbiträdet skriftligen underrätta den personuppgiftsansvarige om vilken underleverantör som avses anlitas samt, som ombud för den personuppgiftsansvarige, ingå ett avtal med underleverantören enligt vilket underleverantören åtar sig att gentemot den personuppgiftsansvarige följa vad som anges i punkt Sekretess 10. Kontroll Part får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom samarbetet inom Identitetsfederationen och (i) är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400; OSL) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits eller (ii) kan vara att betrakta som affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Parten är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen). Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt OSL eller annan tillämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i sådan tillämplig lagstiftning Federationsoperatören har rätt att under Anslutningsavtals giltighetstid genomföra kontroll hos Part för att tillförsäkra att kraven i Regelverket uppfylls. Sådana kontroller kan t.ex. bestå i telefonsamtal, platsbesök eller begäran om att erhålla handlingar eller dokumentation av betydelse för kontrollen. Federationsoperatören ska vid planering och utförande av sådan kontroll i

24 24 (28) möjligaste mån samråda med Part. Part ska medverka till sådan kontroll i skälig omfattning Om Federationsoperatören har sakliga skäl att misstänka att en Leverantör av eid-tjänst inte följer Regelverket eller tillämpligt Anslutningsavtal har Federationsoperatören rätt att, efter skriftligt meddelande till leverantören med angivande av åberopade skäl senast 14 dagar i förväg, låta en oberoende tredje part genomföra kontroll hos leverantören för att undersöka om leverantören följer Regelverket och Anslutningsavtalet. Leverantören av eid-tjänst ska samarbeta vid sådan kontroll och bereda den oberoende tredje parten tillträde till lokaler, utrustning, material och annat som kan vara av betydelse för kontrollen. Kontrollen ska ske under kontorstid och utföras på ett sådant sätt att den inte stör leverantörens verksamhet mer än vad som är skäligt med hänsyn till ändamålet. Kontrollen ska vidare genomföras med hänsyn till leverantörens behov av sekretess och Federationsoperatören svarar för att erforderliga avtal om sekretess träffas med tredje part som ska utföra kontrollen Leverantör av eid-tjänst ska tillse att Federationsoperatören har rätt att utföra kontroll enligt punkt 10.1 ovan även hos de underleverantörer vars utförande kan påverka leverantörens uppfyllnad av väsentliga krav enligt Regelverket eller tillämpligt Anslutningsavtal, såvida inte det kan anses orimligt med hänsyn till omfattningen och karaktären av de relevanta delarna Om det vid kontroll enligt punkt 10.1 framkommer att Leverantör av eid-tjänst inte följt Regelverket eller tillämpligt Anslutningsavtal och bristerna kan anses allvarliga, ska leverantören bära kostnaderna för kontrollen i den utsträckning sådana kostander inte är oskäliga. I annat fall bär vardera Parten sina egna kostnader. 11. Immateriella rättigheter Parternas samarbete inom Identitetsfederationen ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan, med undantag för i Regelverket eller i Anslutningsavtal uttryckligen angivna överlåtelse och upplåtelser samt rätten att nyttja tillhandahållna tjänster för och enligt de i Regelverket avsedda ändamålen och villkoren.

25 25 (28) 12. Reklamation Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Anslutningsavtal eller Regelverket inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts. Tillhandahållare av e-tjänst fullgör sin reklamationsskyldighet avseende Legitimeringstjänst med alternativt tekniskt gränssnitt genom reklamation till Federationsoperatören. Mottar Federationsoperatören sådan reklamation ska Federationsoperatören meddela berörd Leverantör av eid-tjänst enligt punkt Befrielsegrund Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Regelverket eller Anslutningsavtal, av omständighet som Parten inte kunnat råda över och som Parten inte skäligen kunde förväntas ha räknat med vid anslutningen till Identitetsfederationen och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 regeringsformen, oavsett om Parten själv är föremål för eller vidtar sådan åtgärd), eller av att Partens underleverantör förhindras fullgöra sin leverans på grund av omständighet som här angetts, ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från skadestånd och andra påföljder. Om Leverantör av eid-tjänst önskar åberopa sådan befrielsegrund ska leverantören utan oskäligt dröjsmål lämna Federationsoperatören skriftligt meddelande härom. 14. Begränsning av åtkomst till Identitetsfederationen Om Parts deltagande i Identitetsfederationen skadar eller riskerar att skada förtroendet för federationen exempelvis för att Parten vid upprepade tillfällen eller i väsentlig mån brister i förpliktelse enligt Regelverket har Federationsoperatören rätt att stänga av eller begränsa Partens åtkomst till Identitetsfederationen, varvid Parten snarast möjligt ska underrättas om begränsningen. En begränsning av Parts åtkomst till Identitetsfederationen får inte fortgå under längre tid än vad som är försvarligt med hänsyn till omständigheterna.

26 26 (28) 15. Uppsägning av Anslutningsavtal 15.1 Federationsoperatören har rätt att med omedelbar verkan säga upp ett Anslutningsavtal om den anslutna Parten (a) (b) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Tillitsramverket, i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Anslutningsavtalet eller Regelverket och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom, (c) varit skyldig att utge maximalt vite enligt Bilaga C under 3 på varandra följande månader eller 4 av 6 på varandra följande månader, (d) (e) (f) försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses riskera att komma på obestånd, avhänder sig en väsentlig del av sina tillgångar eller ändrar inriktning på sin verksamhet, eller lämnat oriktiga uppgifter i ansökan om godkännande för anslutning till Identitetsfederationen och dessa uppgifter har varit av icke oväsentlig betydelse vid Federationsoperatörens godkännande av ansökan Federationsoperatören har rätt att, med iakttagande av minst 730 dagars uppsägningstid, säga upp samtliga (inte en del av) vid tidpunkten gällande Anslutningsavtal I samband med underrättelse enligt punkt har Federationsoperatören rätt att, med iakttagande av minst 365 dagars uppsägningstid, säga upp ett Anslutningsavtal om den anslutna Parten invänt mot en ändring eller ett tillägg som beslutats enligt punkt och ändringen eller tillägget kan hindras genom Partens invändning Federationsoperatören har rätt att, med iakttagande av minst 30 dagars uppsägningstid, säga upp ett Anslutningsavtal om den anslutna Parten åberopat befrielsegrund enligt punkt 6.9 för period eller perioder som sammantaget är längre än 60 dagar.

27 27 (28) 15.5 En Leverantör av eid-tjänst eller en Tillhandahållare av e-tjänst har rätt att, med iakttagande av minst 730 dagars uppsägningstid, när som helst säga upp det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen, varvid avtalet upphör att gälla i sin helhet på sätt som anges i punkt En Leverantör av eid-tjänst eller en Tillhandahållare av e-tjänst har rätt att säga upp det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen, om ändring eller tillägg som beslutats enligt punkt 3.4 är oskäligt betungande för leverantören eller tillhandahållaren, varvid avtalet upphör att gälla i sin helhet på sätt som anges i punkt För att uppsägningen ska vara giltig måste den lämnas inom 60 dagar efter att ändringen eller tillägget tillkännagetts av Federationsoperatören och ange att Anslutningsavtalet ska upphöra tidigast den dag ändringen eller tillägget ska träda i kraft En Leverantör av eid-tjänst eller en Tillhandahållare av e-tjänst har rätt att med omedelbar verkan säga upp det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen, om sådan avgift som det hänvisas till i Bilaga A, punkten 3, sätts högre än den där specificerade högsta nivån Leverantör av eid-tjänst respektive Tillhandahållare av e-tjänst får inte säga upp andra Anslutningsavtal som denne är part i än det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen (jfr punkt 16) Uppsägning ska ske skriftligen för att vara gällande. 16. Verkan av Anslutningsavtals upphörande 16.1 Identitetsfederationen fordrar att Tillhandahållare av e-tjänst är part i samtliga Anslutningsavtal för Leverantör av eid-tjänst. Om ett Anslutningsavtal för Tillhandahållare av e-tjänst upphör att gälla, ska Tillhandahållaren av e-tjänst automatiskt upphöra att vara part i samtliga Anslutningsavtal för Leverantör av eid-tjänst Om ett Anslutningsavtal för Leverantör av eid-tjänst upphör att gälla för Leverantören av eid-tjänst, ska Anslutningsavtalet upphöra i sin helhet. Avtalet ska således inte fortsätta gälla mel-

28 28 (28) lan Federationsoperatören och de Tillhandahållare av e-tjänst som är part i avtalet. 17. Meddelanden 17.1 Meddelanden som enligt Regelverket ska tillställas Part ska i skriftlig form översändas till den postadress, den e-postadress eller det faxnummer som mottagaren angivit i Anslutningsavtal eller meddelat till Federationsoperatören. Federationsoperatören ska på begäran av Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst tillhandahålla angiven Parts senast meddelade postadress, e-postadress och faxnummer Leverantör av eid-tjänst respektive Tillhandahållare av e-tjänst får skriftligen lämna meddelande, som enligt Regelverket ska tillställas Part, till Federationsoperatören för vidarebefordran till angiven Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst. Federationsoperatören ska tillse att sådan vidarebefordran sker senast 5 arbetsdagar efter operatörens mottagande av meddelandet. 18. Tillämplig lag och tvister 18.1 Regelverket ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga Tvister angående tolkning eller tillämpning av Regelverket och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.