Svensk e-legitimation
|
|
|
- Kjell Lundström
- för 10 år sedan
- Visningar:
Transkript
1 Svensk e-legitimation Övergripande beskrivning av avtalsarkitektur m.m. Utkast
2 2 1. Bakgrund 1.1 Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering (e-legitimationer) i den offentliga förvaltningens e-tjänster samt utveckla specifikationer och liknande krav som ska vara gemensamma för myndigheter under regeringen i deras användning av e-legitimationer. 1.2 E-legitimationsnämnden har nu tagit fram ett förslag till en vidareutvecklad lösning för e-legitimationer som övergripande beskrivs i följande figur. Leverantör av eid-tjänst Leverantör av eid-tjänst Leverantör av eid-tjänst Leverantören ansvarar för hela leveranskedjan, dvs. för såväl identitetsintyget som bakomliggande e-legitimationstjänster. Anslutningsavtal Anslutningsavtal Leverantör av eid-tjänst Identitetsfederationen för offentlig sektor - specifika delar e-tjänste-leverantör Tillhandahållare av e-tjänster Nämnden i rollen som Federationsoperatör Privat identitetsfederationen - specifika delar e-tjänste-leverantör Tillhandahållare av e-tjänster Federationsoperatör Utfärdare av Svensk e-legitimation Utfärdare av Svensk e-legitimation Utfärdare av Svensk e-legitimation Anslutningsavtal Utfärdare av Svensk e-legitimation Tillitsramverk Regelverk Regler Tekniskt ramverk Nämnden i rollen som ansvarig för Basstrukturen Funktioner Godkännande Test Uppföljning Basstruktur för offentlig och privat sektor
3 3 2. Basstruktur 2.1 En gemensam grund ska skapas för funktioner för elektronisk legitimering och elektronisk underskrift (Basstukturen). Basstrukturen ska styras och förvaltas av E-legitimationsnämnden. 2.2 I rollen som ansvarig för basstrukturen ska E-legitimationsnämnden upprätta gemensamma regler dels för utfärdande av Svensk e-legitimation (Tillitsramverket för Svensk e-legitimation), dels för s.k. identitetsfederationer för Svensk e-legitimation (Regelverk för identitetsfederationer för Svensk e-legitimation). 2.3 Regelverk för identitetsfederationer för Svensk e-legitimation ska gälla mellan parterna inom Identitetsfederationen för offentlig sektor (se punkt 3 nedan) och mellan motsvarande parter inom privata identitetsfederationer som väljer att tillämpa regelverket. Nämnden ska därför utforma regelverket så att det kan användas även inom privata identitetsfederationer. 2.4 Tillitsramverket för Svensk e-legitimation ska omfatta både privata e-legitimationer och e-tjänstelegitimationer och ska vara tillämpligt oavsett om e-legitimationerna avses användas inom privat eller offentlig sektor. 2.5 Det ska finnas ett särskilt igenkänningstecken för Svensk e-legitimation som endast får användas av de parter (Utfärdare av Svensk e-legitimation) som genom att teckna ett Anslutningsavtal för Utfärdare av Svensk e-legitimation (se bilagt utkast) accepterat att följa reglerna i Tillitsramverket. Härigenom kan nämnden skapa kontroll över att oseriösa aktörer inte ger ut Svensk e-legitimation. 2.6 E-legitimationsnämnden ska vidare tillhandahålla vissa centrala och gemensamma funktioner såsom uppföljning (avtalsgrundad tillsyn), vägledning och test. 2.7 E-legitimationsnämnden förvaltar basstrukturen genom att styra och besluta om ändringar i regler och andra grundläggande förutsättningar. Sådana ändringar ska ske först efter samråd med centrala aktörer i ett förvaltningsforum. Samråd m.m. ska ske i enlighet med E-legitimationsnämndens interna föreskrifter IFS 2013:X om förvaltning av infrastrukturen för Svensk e-legitimation.
4 4 3. Identitetsfederationer för Svensk e-legitimation 3.1 Basstrukturen ska användas inom s.k. identitetsfederationer för Svensk e-legitimation som består av (a) (b) (c) parter som tillhandahåller e-tjänster där det krävs elektronisk legitimering eller elektronisk underskrift (Tillhandahållare av e-tjänst), parter som levererar intyg i elektronisk form med uppgifter om en användares identitet eller egenskaper om användaren (Leverantörer av eid-tjänst respektive Utfärdare av attributsintyg), och en part som handlägger och administrerar anslutning till federationen och tillhandahåller de register, installationer och tjänster som behövs för att samordna leverans av intygen till e-tjänsterna (Federationsoperatören). 3.2 Anslutning av en Tillhandahållare av e-tjänst, Leverantörer av eid-tjänst respektive Utfärdare av attributsintyg till en identitetsfederation för Svensk e-legitimation sker efter ansökan hos Federationsoperatören, genom att operatören tecknar avtal om anslutning (Anslutningsavtal) men den anslutande parten. 3.3 Vid anslutning av en Leverantör av eid-tjänst till en identitetsfederation för Svensk e-legitimation tecknar Federationsoperatören med stöd av fullmakt avtal också för redan anslutna Tillhandahållare av e-tjänsts räkning så att ett kontraktsförhållande uppkommer mellan leverantören och varje Tillhandahållare av e-tjänst. På motsvarande sätt tecknar Federationsoperatören vid anslutning av en Tillhandahållare av e-tjänst till Identitetsfederationen, med stöd av fullmakt avtal också för redan anslutna Leverantörer av eid-tjänsts räkning så att ett kontraktsförhållande uppkommer mellan tillhandahållaren och varje Leverantör av eid-tjänst. Motsvarande förhållanden för Utfärdare av attributsintyg regleras emellertid i separata avtal. 3.4 Det ska finnas en Identitetsfederation för offentlig sektor. Basstrukturen ska dock även kunna användas i en eller flera identitetsfederationer för privat sektor.
5 5 3.5 E-legitimationsnämnden ska vara federationsoperatör inom Identitetsfederation för offentlig sektor. I rollen som federationsoperatör ska nämnden ha i uppgift att (a) (b) (c) (d) ingå Anslutningsavtal med Tillhandahållare av e-tjänst, Leverantörer av eid-tjänst respektive Utfärdare av attributsintyg, löpande följa upp kravuppfyllnad inom ramarna för avtalen, tillhandahålla en central underskriftstjänst, samt i övrigt sköta affärsverksamheten och administrera federationen. 3.6 Leverantörer av eid-tjänst inom Identitetsfederationen för offentlig sektor ska enbart få använda utfärdare av e-legitimationer som är anslutna till basstrukturen, dvs. Utfärdare av Svensk e-legitimation. Varje e-legitimation inom Identitetsfederation för offentlig sektor ska vidare vara bunden till en särskild Leverantör av eid-tjänst. Det ska alltså bara kunna finnas en Leverantör av eid-tjänst för varje e-legitimation, medan det ska finnas möjlighet att knyta en utfärdare av e-legitimationer som inte själv vill vara Leverantörer av eid-tjänst till någon som vill vara leverantör för dennes e-legitimationer. Om någon blir Leverantör av eid-tjänst för e-legitimationer som ges ut av någon annan, ska leverantören gentemot förlitande part (Tillhandahållaren av e-tjänst) svara även för e-legitimationen, som om leverantören själv hade utfärdat den. 3.7 Anslutningsavtal inom Identitetsfederationen för offentlig sektor kan tecknas med såväl kommersiella som icke kommersiella Leverantörer av eid-tjänst. 4. Regel- och avtalsdokument 4.1 Basstrukturen Anslutningsavtal för Utfärdare av Svensk e-legitimation: Avtal för anslutning av e-legitimationsutfärdare till Basstrukturen. Genom avtalet förbinder sig utfärdaren att följa Tillitsramverket för Svensk e-legitimation och får i gengäld rätt att använda det särskilda igenkänningstecknet för Svensk e-legitimation.
6 Tillitsramverket för Svensk e-legitimation: Innhåller krav för Utfärdare av Svensk e-legitimation, fördelade på olika skyddsklasser tillitsnivåer som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara. 4.2 Identitetsfederationer Anslutningsavtal för Leverantör av eid-tjänst inom Identitetsfederationen för offentlig sektor: Avtal för anslutning av Leverantör av eidtjänst till Identitetsfederationen för offentlig sektor. 1 Avtalet tecknas av leverantören och E-legitimationsnämnden men genom fullmaktsförhållanden uppkommer avtalsförhållanden även mellan leverantören och Tillhandahållare av e-tjänst. Genom avtalet förbinder sig parterna att följa Regelverket för identitetsfederationer för Svensk e-legitimation Anslutningsavtal för Tillhandahållare av e-tjänst inom Identitetsfederationen för offentlig sektor: Avtal för anslutning av Tillhandahållare av e-tjänst till Identitetsfederationen för offentlig sektor Regelverk för identitetsfederationer för Svensk e-legitimation: Reglerar förhållandet mellan parterna i en identitetsfederation, dvs. Federationsoperatören, Tillhandahållare av e-tjänst och Leverantörer av eid-tjänst. Till regelverket hör en rad bilagor, bl.a. Tilllitsramverket och en servicenivåbilaga. 5. Myndigheter under regeringen 5.1 Identitetsfederationen för offentlig sektor kommer i betydande utsträckning att användas så att olika myndigheter under regeringen agerar som parter i förhållande till varandra. Eftersom dessa myndigheter är en del av samma juridiska person kan de inte sluta civilrättsligt bindande avtal med varandra. Regleringen planeras därför i denna del ges genom förordning och myndig- 1 Anslutningsavtalet för Leverantör av eid-tjänst är upprättat för Identitetsfederationen för offentlig sektor men en privat federation kan naturligtvis använda dokumentet som förlaga. 2 Anslutningsavtalet för Tillhandahållare av e-tjänst är upprättat för Identitetsfederationen för offentlig sektor men en privat federation kan naturligtvis använda dokumentet som förlaga.
7 hetsföreskrifter efter delegation av normgivningskompetens till nämnden. 7
8 Anslutningsavtal för Utfärdare av Svensk e-legitimation inom Infrastrukturen för Svensk e-legitimation Utkast
9 2 1. Avtalsparter Detta anslutningsavtal ( Avtalet ) har träffats mellan 1. E-legitimationsnämnden, org. nr , och 2. [namn på part], org.nr [ ] ( Utfärdaren ); (var och en Part och gemensamt Parterna ). 2. Bakgrund 2.1 E-legitimationsnämnden styr och förvaltar en gemensam grund en slags basstruktur för elektronisk legitimering och elektronisk underskrift ( Infrastrukturen för Svensk e- legitimation ). 2.2 En utfärdare av e-legitimation kan hos E-legitimationsnämnden ansöka om godkännande för anslutning till Infrastrukturen för Svensk e-legitimation. Anslutningen ger utfärdaren rätt att teckna avtal om användning av de kännetecken som beskrivs i bilaga 1 ( Kännetecknen ), på av E-legitimationsnämnden fastställda villkor. 2.3 Utfärdaren har lämnat ansökan om godkännande för anslutning till Infrastrukturen för Svensk e-legitimation och E-legitimationsnämnden har godkänt ansökan. 3. Tillitsramverk 3.1 I Avtalet ingår, förutom denna huvudtext, det vid var tid gällande Tillitsramverket för Svensk e-legitimation ( Tillitsramverket ), som vid Avtalets ingående har det innehåll som framgår av bilaga 1. Om Tillitsramverket och denna huvudtext innehåller motstridiga uppgifter ska huvudtextens uppgifter gälla om inte omständigheterna uppenbarligen föranleder annat. 3.2 Tillitsramverket för Svensk e-legitimation förvaltas enligt den procedur som följer av E-legitimationsnämndens senast beslutade interna föreskrifter IFS 2013:X om förvaltning av infrastrukturen för Svensk e-legitimation. Föreskrifterna har för närvarande det innehåll som framgår av bilaga 2.
10 3 3.3 De ändringar av eller tillägg till Tillitsramverk för Svensk e-legitimation som beslutats enligt den procedur som nämns i punkt 3.2 ska gälla även för Tillitsramverket. En ändring eller ett tillägg ska träda i kraft den dag som anges i beslutet. Ändringen eller tillägget ska dock tidigast träda i kraft [ ] dagar efter det att E-legitimationsnämnden har sänt en underrättelse till Utfärdaren, såvida inte annat, enligt den procedur som nämns i punkt 3.2, beslutats vara nödvändigt på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. 4. Upplåtelse och rättigheter 4.1 E-legitimationsnämnden upplåter till Utfärdaren en icke exklusiv rätt att under avtalstiden använda Kännetecknen (i) i anslutning till av Utfärdaren utfärdade e-legitimationer som uppfyller kraven i Tillitsramverket och (ii) i marknadsföring av sådana e-legitimationer. 4.2 Kännetecknen får användas bara i enlighet med detta Avtal, gällande författningar, myndighetsbeslut och god sed. Utfärdaren är också skyldig att följa E-legitimationsnämndens vid var tid lämnade instruktioner för användning av Kännetecknen. Utfärdaren får aldrig använda Kännetecknen i anslutning till andra e- legitimationer än de som uppfyller kraven i Tillitsramverket. 4.3 Utfärdaren är införstådd med att samtliga rättigheter till Kännetecknen tillkommer E-legitimationsnämnden och att inga rättigheter överlåts, överförs eller upplåts till Utfärdaren utöver rätten att använda Kännetecknen enligt villkoren i detta Avtal. 5. Regler för utfärdande av Svensk e-legitimation 5.1 Utfärdaren ska följa reglerna i det vid var tid gällande Tillitsramverket och utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med övriga bestämmelserna i detta Avtal och gällande författningar, myndighetsbeslut och inom relevant område förekommande god sed. 5.2 Utfärdarens ansvar omfattar samtliga delar av Tillitsramverket och således bl.a. att de identitetsintyg som, med Utfärdarens tilllåtelse, utfärdas med hjälp av Utfärdarens e-legitimationer uppfyller kraven i Tillitsramverket.
![Ändringen eller tillägget ska dock tidigast träda i kraft [ ] dagar efter det att E-legitimationsnämnden har sänt en underrättelse till Utfärdaren, såvida inte annat, enligt den procedur som nämns i](/docs-images/48/5558217/images/page_10.jpg "punkt 3.2, beslutats vara nödvändigt på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. 4. Upplåtelse och rättigheter 4.")
11 4 5.3 Utfärdarens svarar för att de tekniska hjälpmedel, användargränssnitt och dylikt som Utfärdaren, eller den som med Utfärdarens tillåtelse utfärdar identitetsintyg med hjälp av Utfärdarens e-legitimationer, tillhandahåller till Användare, är utformade i enlighet med vad som anges i bilaga Persondataskydd Utfärdaren får i anslutning till utfärdande av Svensk e-legitimation inhämta personuppgifter endast direkt från den som uppgifterna avser eller med dennes uttryckliga samtycke och endast i den utsträckning som det är nödvändigt för att utfärda eller upprätthålla funktioner för e-legitimationer. Uppgifterna får inte samlas in eller behandlas för andra ändamål utan uttryckligt samtycke från den som uppgifterna avser. 7. Sekretess 8. Kontroll Part åtar sig att inte utan den andra Partens medgivande till tredje man lämna information om den sistnämnda Partens verksamhet, som blivit kända genom samarbetet inom Infrastrukturen och som kan vara att betrakta som affärs- eller yrkeshemligheter. Sekretesskyldigheten gäller dock inte när Part enligt författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Part är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen). 8.1 E-legitimationsnämnden har rätt att, efter skriftligt meddelande till Utfärdaren senast [ ] arbetsdagar i förväg, låta en oberoende tredje part kontrollera att Utfärdaren fullgör sina skyldigheter enligt Avtalet. Utfärdaren ska samarbeta vid sådan kontroll och bereda den oberoende tredje parten tillträde till lokaler, utrustning, material och annat som kan vara av betydelse för kontrollen. Kontrollen ska ske under kontorstid och utföras på ett sådant sätt att den inte stör Utfärdarens verksamhet mer än vad som är skäligt med hänsyn till ändamålet. Kontrollen ska vidare genomföras med hänsyn till Utfärdarens behov av sekretess, varvid nödvändiga sekretessavtal och dylikt ska upprättas.
12 5 8.2 Utfärdaren ska tillse att E-legitimationsnämnden har rätt att utföra kontroll enligt punkt 8.1 ovan även hos Utfärdarens underleverantörer. 9. Friskrivning och ansvarsbegränsning 9.1 Kännetecknen upplåts i befintligt skick och E-legitimationsnämnden ansvarar inte för Kännetecknens egenskaper, användbarhet eller värde eller för skada som orsakas genom fel i Kännetecknen eller intrång i tredje mans rätt. 9.2 Part ansvarar inte i något fall för indirekt skada eller följdskada såsom utebliven vinst, intäkt, besparing eller goodwill eller ersättningsskyldighet mot tredje man. 9.3 Begränsningarna som anges i denna punkt 9 ska inte gälla om uppsåt eller grov vårdslöshet föreligger. 10. Avtalstid Avtalet träder i kraft den [ ] och gäller därefter för en obestämd tid. Avtalet kan sägas upp av vardera Parten genom skriftligt meddelande till motparten med [ ] månaders uppsägningstid. 11. Begränsning av Utfärdarens rättigheter Om Utfärdarens agerade skadar eller riskerar att skada förtroendet för Infrastrukturen för Svensk e-legitimation exempelvis för att Utfärdaren vid upprepade tillfällen eller i väsentlig mån brister i förpliktelse enligt Avtalet har E-legitimationsnämnden rätt att stänga av eller begränsa Utfärdarens rätt att använda Kännetecknen. En sådan begränsning av Utfärdarens rättigheter får inte fortgå under längre tid än vad som är försvarligt med hänsyn till omständigheterna. 12. Förtida upphörande 12.1 E-legitimationsnämnden äger rätt att med omedelbar verkan säga upp Avtalet om (a) Utfärdaren i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Tillitsramverket.
13 6 (b) (c) (d) Utfärdaren annars i väsentlig mån brister i förpliktelse enligt Avtalet och inte vidtar rättelse inom [ ] dagar efter skriftlig anmodan därom, Utfärdaren försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan riskera att komma på obestånd, Regeringsbeslut påverkar inriktningen av Infrastrukturen för Svensk e-legitimation på sådant sätt att E-legitimationsnämnden behöver frånträda avtalet i förtid Utfärdaren äger rätt att med omedelbar verkan säga upp Avtalet om E-legitimationsnämnden i väsentlig mån brister i förpliktelse enligt Avtalet och inte vidtar rättelse inom [ ] dagar efter skriftlig anmodan därom Uppsägning ska ske skriftligen för att vara gällande. 13. Meddelanden Meddelanden som enligt detta Avtal ska tillställas Part ska skriftligen tillställas Partens nedan angivna postadress, e-postadress eller faxnummer (eller till sådan annan adress, e-postadress eller faxnummer som mottagaren meddelat avsändaren för detta ändamål). Till E-legitimationsnämnden: E-legitimationsnämnden [kontaktperson] [adress] Telefon: [ ] Fax: [ ] E-post: [ ] Till Utfärdaren: [namn på part] [kontaktperson] [adress] Telefon: [ ] Fax: [ ]
14 7 E-post: [ ] 14. Ändringar och tillägg Med undantag för vad som anges i punkt 3 ska ändringar av och tillägg till Avtalet vara skriftliga och undertecknade eller elektroniskt underskrivna av båda Parterna för att vara gällande. 15. Kostnader Vardera Parten ska bära de kostnader och utlägg hänförliga till upprättandet, förhandlandet, ingåendet eller genomförandet av detta Avtal som Parten ådragit sig. 16. Överlåtelse Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Avtalet. 17. Tillämplig lag och tvister 17.1 Detta Avtal ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga Tvister angående tolkning eller tillämpning av detta Avtal och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans. Detta Avtal har upprättats i två exemplar nedan senast angivna datum, varav Parterna tagit var sitt. Ort: Datum: E-legitimationsnämnden Ort: Datum: [namn på part] [namn] [namn]
15 Tillitsramverk för Svensk e-legitimation Utkast
16 2 1. Bakgrund och syfte Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering (e-legitimationer) i den offentliga förvaltningens e-tjänster samt utveckla specifikationer och liknande krav som ska vara gemensamma för myndigheter under regeringen i deras användning av e-legitimationer. Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för utfärdare av Svensk e-legitimation. Kraven är fördelade på olika skyddsklasser tillitsnivåer som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara. Nivåindelningen motsvarar den som används i internationella standarder. Kraven i detta tillitsramverk gäller tillitsnivå 2 till 4. Kravuppfyllnad ska tolkas så att om (a) (b) tillitsnivå inte anges ska kravet uppfyllas på samtliga nivåer, och ett krav anges för en lägre nivå ska det inte tillämpas om ett krav anges för aktuell nivå. Uppfyllande av ett krav som anges för en högre nivå kan ersätta uppfyllandet av motsvarande krav för aktuell nivå. 2. Organisation och styrning Övergripande krav på verksamheten K2.1 Utfärdare av Svensk e-legitimation som inte är ett offentligt organ ska drivas som registrerat bolag samt teckna och vidmakthålla för verksamheten erforderliga försäkringar. K2.2 Utfärdare av Svensk e-legitimation ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, och vara väl insatt i de juridiska krav som ställs på denne som utfärdare av Svensk e-legitimation.
17 3 K2.3 Utfärdare av Svensk e-legitimation ska förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år och bära risken för skadeståndsskyldighet. Informationssäkerhet K2.4 Utfärdare av Svensk e-legitimation ska ha ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC eller motsvarande erkända och vedertagna standarder, omfattande bl.a. organisation, resurstilldelning samt tekniska respektive administrativa säkerhetsåtgärder, och utgöra en kvalitetsprocess som kontinuerligt utvärderar och anpassar verksamheten till aktuella omvärldskrav: (a) (b) (c) (d) (e) Samtliga säkerhetskritiska administrativa och tekniska processer ska dokumenteras och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade. Utfärdare av Svensk e-legitimation ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden. Utfärdare av Svensk e-legitimation ska inrätta en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var sjätte månad, analyserar hot och sårbarheter i verksamheten, och som genom införande av säkerhetsåtgärder balanserar riskerna till acceptabla nivåer. Utfärdare av Svensk e-legitimation ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i tjänsten, former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada vid händelser som lett till eller kunnat leda till en incident. Utfärdare av Svensk e-legitimation ska upprätta och testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av katastrof eller allvarliga incidenter. K2.5 Ledningssystemets mognadsgrad
18 4 Nivå 3: Ledningssystemet för informationssäkerhet ska följa ISO/IEC 27001, i dess lydelse den [ ], och inom avgränsningen för detta inkludera samtliga krav som ställs på utfärdare av Svensk e-legitimation på Nivå 3. Nivå 4: Ledningssystemet för informationssäkerhet ska vara certifierat enligt ISO/IEC 27001, i dess lydelse den [ ], av ackrediterad revisor. Avgränsningen för certifieringen ska inkludera samtliga krav som ställs på utfärdare av Svensk e-legitimation på Nivå 4. Villkor för underleverantörer K2.6 En utfärdare av Svensk e-legitimation som på annan part har lagt ut utförandet av en eller flera säkerhetskritiska processer, ska genom avtal definiera vilka kritiska processer som underleverantören är ansvarig för och vilka krav som är tillämpliga på dessa, samt tydliggöra avtalsförhållandet i utfärdardeklarationen. Handlingars bevarande K2.7 Utfärdare av Svensk e-legitimation ska bevara (a) (b) (c) ansökningshandlingar och handlingar som rör utlämnande, mottagande eller spärr av e-legitimationer, avtal, policydokument och utfärdardeklarationer, och övrig dokumentation som stöder efterlevnaden av de krav som ställs på utfärdare av Svensk e-legitimation, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar. K2.8 Tiden för bevarande ska inte understiga tio år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning. Granskning och uppföljning K2.9 Ledningssystemet för informationssäkerhet och efterlevnaden av de krav som ställs på utfärdare av Svensk e-legitimation ska årligen vara föremål för internrevision, utförd av oberoende in-
19 5 tern kontrollfunktion, såvida inte organisationens storlek eller annan försvarbar orsak motiverar annat. 3. Fysisk, administrativ och personorienterad säkerhet K3.1 Verksamhetens centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar. Tillträdeskontroll ska tillämpas så att åtkomst till känsliga utrymmen är begränsad till behörig personal, att flyttbart datamedia och pappersdokument förvaras på ett säkert sätt, och att tillträde till dessa utrymmen kontinuerligt övervakas. K3.2 Innan en person antar någon av de roller som identifierats i enlighet med K2.4(a), och som är av särskild betydelse för säkerheten, ska utfärdaren av Svensk e-legitimation ha genomfört bakgrundskontroll i syfte att förvissa sig att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra de arbetsuppgifter som följer av rollen. 4. Teknisk säkerhet K4.1 Utfärdare av Svensk e-legitimation ska kunna visa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva. K4.2 Kommunikation mellan komponenter över allmänna telekommunikationsnät eller andra kommunikationslänkar som inte är fysiskt skyddade i enlighet med K3.1, ska begränsas och ömsesidigt identifieras med en styrka som minst motsvarar kraven för Svensk e-legitimation (för den aktuella nivån), samt skyddas mot insyn, manipulation och återuppspelning. K4.3 Känsligt kryptografiskt nyckelmaterial ska skyddas så att: (a) (b) åtkomst begränsas, logiskt och fysiskt, till de roller och de tillämpningar som oundgängligen kräver det, nyckelmaterialet aldrig lagras i klartext på beständigt lagringsmedia,
20 6 (c) (d) (e) nyckelmaterialet skyddas när det inte är under användning, direkt eller indirekt, via kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som skyddar mot både fysiska och logiska försök att röja nyckelmaterialet, och säkerhetsmekanismerna för skydd av nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder; och Nivå 3 och 4: aktiveringsdata för skydd av nyckelmaterial hanteras genom flerpersonkontroll. K4.4 Utfärdare av Svensk e-legitimation ska ha en dokumenterad och fungerande process för styrning och ändring av IT-system i enlighet med vedertagna principer, och som innefattar kontinuerlig omvärldsbevakning av de produkter och tekniker som används i tjänsten, samt ändamålsenlig beredskap för förändrade risknivåer. 5. Ansökan, identifiering och registrering Information om villkor K5.1 Utfärdare av Svensk e-legitimation ska tillhandahålla uppgifter om avtal, villkor samt anknytande uppgifter och eventuella begränsningar i användandet av tjänsten till anslutna användare, e- tjänsteleverantörer och andra som kan komma att förlita sig på utfärdarens tjänst. K5.2 En utfärdare av Svensk e-legitimation som vill införa villkor som inte finns med i ansökningshandlingen ska tydligt hänvisa till villkoren och utforma rutinerna så att villkoren kommer sökanden tillhanda innan denne undertecknar eller annars ingår avtal med utfärdaren. K5.3 Utfärdare av Svensk e-legitimation ska tillhandahålla en utfärdardeklaration som innefattar bl.a.: (a) (b) utfärdarens identitet och kontaktuppgifter, beskrivning av de regler och rutiner som utfärdaren tilllämpar för att uppfylla kraven i tillitsramverket,
21 7 (c) (d) (e) (f) (g) (h) villkor förknippade med den tillhandahållna tjänsten (inklusive metod för utgivning, spärr och avveckling), tillvägagångssätt för att ändra villkoren för den tillhandahållna tjänsten, utfärdarens skyldigheter, utfästa garantier, utlovad tillgänglighet och finansiellt ansvar, användarens skyldigheter att skydda sin elektroniska identitet, information om insamling, registrering, lagring, bearbetning, och spridning eller samkörning av personuppgifter, och i vilken mån detta sker. K5.4 Nivå 3 och 4: Utfärdare av Svensk e-legitimation ska på begäran, av E-legitimationsnämnden eller annan som har ett berättigat intresse lämna uppgifter om hur verksamheten ägs och styrs. K5.5 Utfärdare av Svensk e-legitimation ska inhämta användarens godkännande av utfärdarens villkor för tjänsten vid nyteckning eller ändring av tjänsten. K5.6 En utfärdare av Svensk e-legitimation som upphör med sin verksamhet ska informera sina användare och E-legitimationsnämnden. Utfärdaren ska hålla arkiverat material tillgängligt i enlighet med K2.7. Ansökan K5.7 Ansökningsförfarandet Nivå 2: Svensk e-legitimation får utfärdas endast efter skriftlig ansökan i elektronisk eller traditionell form. Nivå 3: Svensk e-legitimation får utfärdas endast efter skriftlig ansökan i traditionell form. Ansökan ska vara undertecknad på traditionellt sätt, med intyg om att lämnade uppgifter är riktiga och fullständiga. K5.8 Förenklat ansökningsförfarande
22 8 Nivå 3: Om en sökande redan har identifierats (i enlighet med K5.12 Nivå 3) för ekonomiskt eller rättsligt betydelsefulla mellanhavanden, och sökanden kan identifieras på annat tillförlitligt sätt som är likvärdigt med kraven för Svensk e-legitimation Nivå 3, får utfärdaren identifiera och ta emot ansökan i samband därmed i stället för enligt K5.7. Nivå 4: Ej tillämpligt. K5.9 En ansökan om Svensk e-legitimation ska innehålla personnummer eller samordningsnummer, samt de uppgifter som i övrigt är nödvändiga för att utfärdaren av Svensk e-legitimation ska kunna tillhandahålla sådan e-legitimation och utfärda identitetsintyg. Fastställande av sökandens identitet K5.10 Kontroll av uppgifter Nivå 2: Utfärdare av Svensk e-legitimation ska kontrollera att de uppgifter som sökanden lämnat är fullständiga och stämmer överens med uppgifter som finns registrerade i ett officiellt register. Nivå 3 och 4: Utfärdare av Svensk e-legitimation ska kontrollera att ansökan om e-legitimation är behörigen undertecknad på papper eller lämnad elektroniskt enligt K5.8, och att de uppgifter som sökanden lämnat är fullständiga och stämmer överens med uppgifter som finns registrerade i ett officiellt register. K5.11 Om uppgifter som ska kontrolleras i ett officiellt register är sekretessmarkerade (s.k. skyddad identitet) får nödvändiga kontroller göras på annat likvärdigt sätt. K5.12 Identifiering av sökanden Nivå 2: Utfärdare av Svensk e-legitimation som identifierar sökanden på distans, ska tillhandahålla e-legitimationen i enlighet med K6.5 Nivå 2. Nivå 3: Utfärdare av Svensk e-legitimation som identifierar sökanden på distans, ska göra detta i en relation som avser ekonomiskt eller rättsligt betydelsefulla mellanhavanden på det sätt som anges i K5.8.
23 9 Registrering Nivå 3: Utfärdare av Svensk e-legitimation som identifierar sökanden vid personligt besök, ska fastställa dennes identitet genom kontroll av fullgod identitetshandling. Nivå 4: Utfärdare av Svensk e-legitimation ska kontrollera sökandens identitet vid ett personligt besök, på likvärdigt sätt som vid en ansökan om en traditionell identitetshandling. K5.13 Utfärdare av Svensk e-legitimation ska, med beaktande av tilllämpliga regler för persondataskydd, föra register över anslutna användare och de tilldelade elektroniska identitetshandlingarna, och hålla detta register aktuellt. 6. Utfärdande och spärr av e-legitimation Utformning av tekniska hjälpmedel K6.1 Tekniska hjälpmedel Nivå 2: Tekniska hjälpmedel för elektronisk identifiering genom Svensk e-legitimation, ska utformas så att användaren tilldelas en eller flera personliga koder som användaren brukar för att identifiera sig. Nivå 3: Tekniska hjälpmedel för elektronisk identifiering genom Svensk e-legitimation, ska utformas enligt sådan tvåfaktorsprincip att en del består i elektroniskt lagrad information som användaren ska inneha, och en del i det som användaren ska bruka för att aktivera e-legitimationen (personlig kod). Nivå 4: Tekniska hjälpmedel för elektronisk identifiering genom Svensk e-legitimation, ska utformas enligt sådan tvåfaktorsprincip att en del består i en personlig säkerhetsmodul som användaren ska inneha, och en del i det som användaren ska bruka för att aktivera säkerhetsmodulen (personlig kod). K6.2 Aktiveringsmekanismen och personlig kod ska utformas så att det är osannolikt att en utomstående kan forcera skyddet, ens på maskinell väg. K6.3 Användare av Svensk e-legitimation ska på eget initiativ kunna byta personlig kod, och genom automatisk framställning eller
24 10 genom vägledning få hjälp att upprätthålla kraven i K6.2. Detta gäller dock inte för en e-legitimation som har utfärdats före den [ ]. K6.4 Utfärdare av Svensk e-legitimation ska säkerställa att alla användare tilldelas en unik elektronisk identitet som är entydigt kopplad till den tillhandahållna e-legitimationshandlingen. Tillhandahållande av e-legitimationshandling K6.5 Tillhandahållande Spärrtjänst Nivå 2: En utfärdare av Svensk e-legitimation ska tillhandahålla personlig kod som användaren ska bruka för att aktivera e-legitimationen, på ett sätt som bekräftar att denne kan ta emot reguljär post på folkbokföringsadressen. Nivå 3: En utfärdare av Svensk e-legitimation ska vid personligt besök eller via elektroniskt förfarande som är förenligt med K5.8, tillhandahålla både den elektroniska legitimationshandlingen som användaren ska inneha och personlig kod som användaren ska bruka för att aktivera e-legitimationen, och ska bekräfta med vanligt brev till användarens folkbokföringsadress att en sådan e-legitimation har överlämnats. Bekräftelse behöver dock inte lämnas vid förnyelse av e-legitimation. Nivå 4: En utfärdare av Svensk e-legitimation ska vid personligt besök tillhandahålla den elektroniska legitimationshandlingen, och ska också tillhandahålla personlig kod som användaren ska bruka för att aktivera e-legitimationen på ett sätt som bekräftar att denne kan ta emot post på folkbokföringsadressen. K6.6 Utfärdare av Svensk e-legitimation ska tillhandahålla en tjänst där användaren kan ändra tilläggsinformation knuten till den elektroniska identiteten (t.ex. e-postadress) samt spärra sin e- legitimation (spärrtjänst). K6.7 Utfärdare av Svensk e-legitimation ska skyndsamt och på ett säkert sätt behandla och effektuera spärrbegäran, och vidta sådana åtgärder för att förhindra missbruk av spärrtjänsten (eller andra handlingar som leder till spärr av en elektronisk identi-
25 11 tetshandling) att användares e-legitimationer är tillgängliga när de behövs. 7. Verifiering av elektronisk identitet Utställande av identitetsintyg K7.1 Utfärdare av Svensk e-legitimation som tillhandahåller tjänst för utgivning av identitetsintyg till förlitande e-tjänster, ska se till att denna tjänst har god tillgänglighet och att utlämnande av identitetsintyg föregås av en tillförlitlig kontroll av den angivna elektroniska identiteten och den elektroniska identitetshandlingens giltighet. Nivå 4: Intygen ska vara starkt kryptografiskt kopplade till användarens e-legitimationshandling. K7.2 Lämnade identitetsintyg ska vara giltiga endast så länge som det krävs för att användaren ska få tillgång till den efterfrågade e-tjänsten, samt skyddas så att informationen endast är läsbar för den avsedda mottagaren, och att den som tar emot intyget kan kontrollera att mottagna intyg är äkta. K7.3 Utfärdaren av Svensk e-legitimation ska kunna påvisa att tekniska säkerhetskontroller införts vid kontroll av elektroniska ID-handlingar och vid utfärdande av identitetsintyg, så att det är osannolikt att utomstående genom gissning, avlyssning, återuppspelning eller manipulation av kommunikation kan forcera skyddsmekanismerna.
26 Anslutningsavtal för Tillhandahållare av e-tjänst inom Identitetsfederationen för offentlig sektor Utkast
27 2 1. Avtalsparter Detta anslutningsavtal ( Avtalet ) har träffats mellan 1. E-legitimationsnämnden, org. nr , och 2. [namn på part], org.nr [ ] ( Tillhandahållaren ); (var och en Part och gemensamt Parterna ). 2. Bakgrund 2.1 E-legitimationsnämnden inrättar en s.k. identitetsfederation för offentlig sektor ( Identitetsfederationen ) som syftar till att förenkla användning av funktioner för elektronisk legitimering och elektronisk underskrift. 2.2 Tillhandahållaren har lämnat ansökan om godkännande för anslutning till Identitetsfederationen och E-legitimationsnämnden har godkänt denna ansökan. 3. Regelverk I Avtalet ingår, förutom denna huvudtext, det vid var tid gällande Regelverket för identitetsfederationer för Svensk e-legitimation ( Regelverket ), som vid Avtalets ingående har det innehåll som framgår av bilaga 1. Tillägg och ändring av Regelverket kan ske på de villkor som anges i Regelverket. Om Regelverket och denna huvudtext innehåller motstridiga uppgifter ska huvudtextens uppgifter gälla om inte omständigheterna uppenbarligen föranleder annat. 4. Definitioner De begrepp som definieras i Regelverket har samma betydelse i övriga delar av Avtalet. 5. Parternas roller Inom Identitetsfederationen avses (a) E-legitimationsnämnden: handlägga och administrera Anslutningsavtal, föra Metadataregister samt tillhandahålla Anvisningstjänst, eventuella Tilläggstjänster och tillhörande installationer och tjänster, och
28 3 (b) Tillhandahållaren: beställa Identitetsintyg eller Attributsintyg för att hantera frågor om identitet och attribut i anslutning till en e-tjänst. 6. Parternas åtaganden Part ska följa reglerna i det vid var tid gällande Regelverket och tillhandahålla de produkter och tjänster och betala de avgifter som sådan Part ska tillhandahålla eller betala enligt Regelverket. 7. Fullmaktsförhållanden 7.1 Tillhandahållaren befullmäktigar och uppdrar åt E-legitimationsnämnden att, för Tillhandahållarens räkning, ingå avtal med befintliga och tillkommande Leverantörer av eid-tjänst, enligt den avtalsmall som framgår av bilaga När E-legitimationsnämnden träffat avtal med stöd av den fullmakt som följer av punkt 7.1, ska E-legitimationsnämnden meddela Tillhandahållaren. De vid var tid anslutna Leverantörerna av eid-tjänst förtecknas även på E-legitimationsnämndens webbplats. 8. Avtalstid Avtalet träder i kraft den [ ] och gäller därefter till dess det enligt Regelverket upphör att gälla. 9. Förtida upphörande Utöver vad som anges i Regelverket äger E-legitimationsnämnden rätt att med omedelbar verkan säga upp Avtalet om regeringsbeslut påverkar inriktningen av Identitetsfederationen på sådant sätt att E-legitimationsnämnden behöver frånträda Avtalet i förtid eller om E-legitimationsnämnden av annat skäl beslutar att Identitetsfederationen ska upphöra. 10. Meddelanden Meddelanden som enligt detta Avtal ska tillställas Part ska skriftligen tillställas Partens nedan angivna postadress, e-postadress eller faxnummer (eller till sådan annan adress,
29 4 e-postadress eller faxnummer som mottagaren meddelat avsändaren för detta ändamål). Till E-legitimationsnämnden: E-legitimationsnämnden [kontaktperson] [adress] Telefon: [ ] Fax: [ ] E-post: [ ] Till Tillhandahållaren: [namn på part] [kontaktperson] [adress] Telefon: [ ] Fax: [ ] E-post: [ ] 11. Ändringar och tillägg Med undantag för vad som anges i punkt 3 ska ändringar av och tillägg till Avtalet vara skriftliga och undertecknade eller elektroniskt underskrivna av Parterna för att vara gällande. 12. Tillämplig lag och tvister 12.1 Detta Avtal ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga Tvister angående tolkning eller tillämpning av detta Avtal och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans. Detta Avtal har upprättats i två exemplar nedan senast angivna datum, varav Tillhandahållaren och E-legitimationsnämnden tagit var sitt. Ort: Datum: E-legitimationsnämnden Ort: Datum: [namn på part]
30 5 [namn] [namn]
31 Anslutningsavtal för Leverantör av eid-tjänst inom Identitetsfederationen för offentlig sektor Utkast
32 2 1. Avtalsparter Detta anslutningsavtal ( Avtalet ) har träffats mellan 1. E-legitimationsnämnden, org. nr , 2. [namn på part], org.nr [ ] ( Leverantören ), och 3. de tillhandahållare av e-tjänst för vilkas räkning E legitimationsnämnden ingår detta Avtal (var och en Tillhandahållare av e-tjänst ); (var och en Part och gemensamt Parterna ). 2. Bakgrund 2.1 E-legitimationsnämnden inrättar en s.k. identitetsfederation för offentlig sektor ( Identitetsfederationen ) som syftar till att förenkla användning av funktioner för elektronisk legitimering och elektronisk underskrift. 2.2 Leverantören har lämnat ansökan om godkännande för anslutning till Identitetsfederationen och E-legitimationsnämnden har godkänt denna ansökan. 2.3 Varje Tillhandahållare av e-tjänst som från tid till annan är ansluten till Identitetsfederationen avses vara part i Avtalet. Därför ingår E-legitimationsnämnden med stöd av fullmakt Avtalet också för sådana Parters räkning. 3. Regelverk I Avtalet ingår, förutom denna huvudtext, det vid var tid gällande Regelverket för identitetsfederationer för Svensk e-legitimation ( Regelverket ), som vid Avtalets ingående har det innehåll som framgår av bilaga 1. Tillägg och ändring av Regelverket kan ske på de villkor som anges i Regelverket. Om Regelverket och denna huvudtext innehåller motstridiga uppgifter ska huvudtextens uppgifter gälla om inte omständigheterna uppenbarligen föranleder annat. 4. Definitioner De begrepp som definieras i Regelverket har samma betydelse i övriga delar av Avtalet.
33 3 5. Parternas roller Inom Identitetsfederationen avses (a) (b) (c) E-legitimationsnämnden: handlägga och administrera Anslutningsavtal, föra Metadataregister samt tillhandahålla Anvisningstjänst, eventuella Tilläggstjänster och tillhörande installationer och tjänster, Leverantören: från och med den [ ] (startdag) tillhandahålla Identitetsintyg och därmed förenade tjänster, och Tillhandahållarna av e-tjänst: beställa Identitetsintyg eller Attributsintyg för att hantera frågor om identitet och attribut i anslutning till en e-tjänst. 6. Parternas åtaganden Part ska följa reglerna i det vid var tid gällande Regelverket och tillhandahålla de produkter och tjänster och betala de avgifter som sådan Part ska tillhandahålla eller betala enligt Regelverket. [För icke kommersiella leverantörer: Leverantören har dock inte rätt till ersättning för levererade Identitetsintyg]. 7. Fullmaktsförhållanden 7.1 Federationsoperatören tecknar med stöd av fullmakt detta Avtal också för de Tillhandahållare av e-tjänst som vid Avtalets ingående är anslutna till Identitetsfederationen och förtecknas i bilaga Leverantören befullmäktigar och uppdrar åt E-legitimationsnämnden att, för Leverantörens räkning, ansluta tillkommande Tillhandahållare av e-tjänst som part i detta Avtal. Leverantören äger inte under avtalstiden återkalla eller inskränka fullmakten. 7.3 När E-legitimationsnämnden träffat avtal med stöd av den fullmakt som följer av punkt 7.2, ska E-legitimationsnämnden meddela Leverantören. De vid var tid anslutna Tillhandahållarna av e-tjänst förtecknas även på E-legitimationsnämndens webbplats.
34 4 8. Avtalstid Avtalet träder i kraft den [ ] och gäller därefter till dess det enligt Regelverket upphör att gälla. 9. Förtida upphörande Utöver vad som anges i Regelverket äger E-legitimationsnämnden rätt att med omedelbar verkan säga upp Avtalet om regeringsbeslut påverkar inriktningen av Identitetsfederationen på sådant sätt att E-legitimationsnämnden behöver frånträda Avtalet i förtid eller om E-legitimationsnämnden av annat skäl beslutar att Identitetsfederationen ska upphöra. 10. Meddelanden Meddelanden som enligt detta Avtal ska tillställas Part ska skriftligen tillställas Partens nedan angivna postadress, e-postadress eller faxnummer (eller till sådan annan adress, e-postadress eller faxnummer som mottagaren meddelat avsändaren för detta ändamål). Till E-legitimationsnämnden / Tillhandahållare av e-tjänst: E-legitimationsnämnden [kontaktperson] [adress] Telefon: [ ] Fax: [ ] E-post: [ ] Till Leverantören: [namn på part] [kontaktperson] [adress] Telefon: [ ] Fax: [ ] E-post: [ ]
35 5 11. Ändringar och tillägg Med undantag för vad som anges i punkt 3 ska ändringar av och tillägg till Avtalet vara skriftliga och undertecknade eller elektroniskt underskrivna av Parterna för att vara gällande. 12. Tillämplig lag och tvister 12.1 Detta Avtal ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga Tvister angående tolkning eller tillämpning av detta Avtal och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans. Detta Avtal har upprättats i två exemplar nedan senast angivna datum, varav Leverantören och E-legitimationsnämnden tagit var sitt. Ort: Datum: E-legitimationsnämnden Ort: Datum: [namn på part] [namn] [namn] Ort: Datum: E-legitimationsnämnden för de i bilaga 2 förtecknade parternas räkning [namn]
36 Regelverk för identitetsfederationer för Svensk e-legitimation Utkast
37 2 Innehåll 1. Bakgrund och syfte 3 2. Definitioner 4 3. Regelverket 5 4. Identitetsfederationen 8 5. Regler för operatören Regler för Leverantörer av eid-tjänst Regler för Tillhandahållare av e-tjänst Persondataskydd Sekretess Kontroll Immateriella rättigheter Ansvarsbegränsning och reklamation Befrielsegrund Begränsning av åtkomst till Identitetsfederationen Uppsägning av Anslutningsavtal Verkan av Anslutningsavtals upphörande Meddelanden Tillämplig lag och tvister 20
38 3 1. Bakgrund och syfte 1.1 Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering (e-legitimationer) i den offentliga förvaltningens e-tjänster samt utveckla specifikationer och liknande krav som ska vara gemensamma för myndigheter under regeringen i deras användning av e-legitimationer. 1.2 E-legitimationsnämnden har tagit fram regler för e-legitimationer som avses kunna användas både för den offentliga förvaltningens e-tjänster och för privata e-tjänster. De utfärdare av e-legitimationer som uppfyller de uppställda reglerna kan genom avtal med E-legitimationsnämnden ges rätt att använda ett särskilt kännetecken i anslutning till kravenliga e-legitimationer. 1.3 Regelverket för identitetsfederationer för Svensk e-legitimation syftar till att etablera en modell för att reglera förhållandet mellan parterna i en så kallad identitetsfederation bestående av (a) (b) (c) parter som tillhandahåller e-tjänster där det krävs elektronisk legitimering eller elektronisk underskrift, parter som levererar intyg i elektronisk form med uppgifter om en användares identitet eller egenskaper om användaren, och en part som handlägger och administrerar anslutning till federationen och tillhandahåller de register, installationer och tjänster som behövs för att samordna leverans av intygen till e-tjänsterna. Avsikten är att denna modell, tillsammans med de nämnda reglerna för e-legitimationer, ska underlätta samordning mellan identitetsfederationer och tillhandahållande av motsvarande tjänster inom flera identitetsfederationer. Sådan samordning avses främja tillhandahållande och användning av elektronisk identifiering och underskrift inom både offentlig och privat sektor. 1.4 Detta regelverk (Regelverket) är tillämpligt mellan parter i en identitetsfederation. Part ansluts till identitetsfederationen genom skriftligt avtal. Ändring av och tillägg till Regelverket sam-
39 4 ordnas med andra gällande regelverk för identitetsfederationer för Svensk e-legitimation på sätt som anges i detta Regelverk och E-legitimationsnämndens interna föreskrifter IFS 2013:X om förvaltning av infrastrukturen för Svensk e-legitimation. Avtalsvillkor som avviker från bestämmelserna i det vid var tid gällande Regelverket gäller endast mellan parter som skriftligen avtalat om sådant avtalsvillkor. 2. Definitioner I Regelverket betyder 1. Anslutningsavtal: ett sådant avtal om anslutning av en Leverantör av eid-tjänst, Tillhandahållare av e-tjänst eller Utfärdare av attributsintyg som avses i punkt 4.3.1, respektive 4.5.1, 2. Anvisningstjänsten: det tekniska och administrativa stöd som Federationsoperatören lämnar åt en Tillhandahållare av e-tjänst för att Användare ska kunna välja e-legitimation, 3. Användare: en fysisk person som har en Svensk e-legitimation, 4. Attributsintyg: ett av en Utfärdare av attributsintyg utställt intyg i elektronisk form med uppgifter om Användares juridiska behörighet, organisatoriska roll eller andra egenskaper, 5. Identitetsfederationen: den samverkan för elektronisk legitimering av Användare som regleras i detta Regelverk, 6. Identitetsintyg: ett av en Leverantör av eid-tjänst utställt intyg i elektronisk form med uppgifter om en Användares identitet och attribut, 7. Federationsoperatören: den som inom Identitetsfederationen handlägger och administrerar Anslutningsavtal, för Metadataregister samt tillhandahåller Anvisningstjänst, eventuella Tilläggstjänster och tillhörande installationer och tjänster, 8. Leverantör av eid-tjänst: den som enligt Anslutningsavtal tillhandahåller Identitetsintyg och därmed förenade tjänster, 9. Metadataregister: det register som Federationsoperatören för över Leverantörer av eid-tjänst, Tillhandahållare av e-tjänst samt Utfärdare av attributsintyg,
40 5 10. Part: var och en av Federationsoperatören, Leverantörerna av eid-tjänst och Tillhandahållarna av e-tjänst, 11. Svensk e-legitimation: de certifikat, säkerhetsdosor eller andra hjälpmedel för identifiering som tillhandahålls av en Utfärdare av Svensk e-legitimation och som uppfyller de krav som E-legitimationsnämnden har ställt upp i avtal med utfärdaren, 12. Tekniska ramverket: de tekniska krav och rutiner rörande Identitetsfederationen som E-legitimationsnämnden från tid till annan föreskriver och som för närvarande har det innehåll som framgår av Bilaga D, 13. Tillhandahållare av e-tjänst: den som enligt Anslutningsavtal beställer Identitetsintyg eller Attributsintyg för att hantera frågor om identitet och attribut i anslutning till en e-tjänst, 14. Tillitsnivåer: de skyddsklasser för Svensk e-legitimation som anges i Tillitsramverket, 15. Tillitsramverket: de regler om Tillitsnivåer som E-legitimationsnämnden från tid till annan föreskriver och som för närvarande har det innehåll som framgår av Bilaga B, 16. Tilläggstjänster: de tjänster som specificeras i Bilaga E, 17. Utfärdare av attributsintyg: den som enligt Anslutningsavtal tillhandahåller Attributsintyg och därmed förenade tjänster, och 18. Utfärdare av Svensk e-legitimation: den som enligt avtal med E-legitimationsnämnden har rätt att, i anslutning till e-legitimationer som uppfyller i avtalet uppställda krav, använda de särskilda kännetecken som E-legitimationsnämnden från tid till annan föreskriver och som för närvarande har den utformning som framgår av Bilaga H. 3. Regelverket 3.1 Infrastrukturens reglering Infrastrukturen regleras genom detta Regelverk om inte annat följer av Anslutningsavtal eller författning.
41 6 3.2 Regelverkets delar Regelverket består av detta dokument och följande bilagor. Bilaga A Bilaga B Bilaga C Bilaga D Bilaga E Bilaga F Bilaga G Bilaga H Bilaga I Bilaga J Avgifter, ersättning och fakturering [Federationsspecifik] Tillitsramverket Servicenivåer [Federationsspecifik] Tekniskt ramverk Tilläggstjänster [Federationsspecifik] Tekniska hjälpmedel, användargränssnitt, m.m. Rapporteringsrutiner [Federationsspecifik] Kännetecken för Svensk e-legitimation E-legitimationsnämndens interna föreskrifter IFS 2013:X om förvaltning av infrastrukturen för elektronisk identifiering Förteckning över ändringar och tillägg [Federationsspecifik] 3.3 Tolkningsordning Om de dokument som ingår i Regelverket innehåller motstridiga bestämmelser gäller (a) (b) (c) (d) ett dokument före ett annat om så uttryckligen anges, detta dokument före bilagorna och bilagorna sinsemellan i angiven nummer- eller bokstavsordning, ett yngre dokument före ett äldre dokument, och en specifik bestämmelse före en allmän. Dessa tolkningsregler ska tillämpas så att en tidigare i (a) (d) nämnd regel går före en senare.
42 7 3.4 Ändring och tillägg Regelverk för identitetsfederationer för Svensk e-legitimation förvaltas enligt den procedur som följer av E-legitimationsnämndens senast beslutade interna föreskrifter IFS 2013:X om förvaltning av infrastrukturen för Svensk e- legitimation. Föreskrifterna har för närvarande det innehåll som framgår av Bilaga I De ändringar av eller tillägg till regelverk för identitetsfederationer för Svensk e-legitimation som beslutats enligt den procedur som nämns i punkt ska gälla även för detta Regelverk. Ändring eller tillägg som innebär avvikelse från andra delar än Tillitsramverket, det Tekniska ramverket, Bilaga F eller [ ] gäller dock inte om Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst har lämnat en sakligt grundad invändning mot ändringen eller tillägget, med angivelse av skäl, inom den tid som framgår av punkt 3.4.3, såvida inte ändringen eller tillägget beslutats vara nödvändigt på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl Federationsoperatören ska utan dröjsmål underrätta samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst om de ändringar och tillägg som beslutats enligt den procedur som nämns i punkt Federationsoperatören ska i underrättelsen ange om beslutet, enligt vad som anges i punkt 3.4.2, har direkt tillämplighet eller om ändringen eller tillägget kan hindras genom saklig invändning från Leverantörer av eid-tjänst eller Tillhandahållare av e-tjänst. Federationsoperatören ska även ange det datum då ändringen eller tillägget enligt punkt ska träda i kraft alternativt det datum då invändning mot ändringen eller tillägget ska ha lämnats till Federationsoperatören. Datum för lämnande av invändning ska anges till tidigast [ ] dagar och senast [ ] dagar från datumet för underrättelsen För ändring eller tillägg som enligt punkt kan hindras genom saklig invändning från Leverantörer av eid-tjänst eller Tillhandahållare av e-tjänst, ska Federationsoperatören, efter att tid för lämnande av invändning har gått ut, utan dröjsmål underrätta samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst om huruvida ändringen ska införas i Regelverket.
43 En ändring eller ett tillägg som beslutats enligt den procedur som nämns i punkt ska träda i kraft den dag som anges i beslutet. Ändringen eller tillägget ska dock tidigast träda i kraft [ ] dagar efter det att Federationsoperatören har underrättat samtliga Leverantörer av eid-tjänst och Tillhandahållare av e- tjänst enligt punkt respektive 3.4.4, såvida inte annat datum överenskommits mellan Parterna eller, enligt den procedur som nämns i punkt 3.4.1, beslutats vara nödvändigt på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl Federationsoperatören ska i Bilaga J förteckna de ändringar och tillägg som gäller för detta Regelverk. Operatören ska vidare bevara, och på begäran av Leverantör av eid-tjänst respektive Tillhandahållare av e-tjänst tillhandahålla, alla tidigare gällande versioner av Regelverket samt det vid var tid gällande Regelverket. 4. Identitetsfederationen 4.1 Roller Federationsoperatören handlägger och administrerar Anslutningsavtal, för Metadataregister samt tillhandahåller Anvisningstjänst, eventuella Tilläggstjänster och tillhörande installationer och tjänster Leverantörer av eid-tjänst tillhandahåller Identitetsintyg och därmed förenade tjänster Tillhandahållare av e-tjänst beställer Identitetsintyg eller Attributsintyg för att hantera frågor om identitet och attribut i anslutning till en e-tjänst Utfärdare av attributsintyg tillhandahåller Attributsintyg och därmed förenade tjänster. 4.2 Anslutning av en Leverantör av eid-tjänst Anslutning av en Leverantör av eid-tjänst till Identitetsfederationen sker, efter ansökan hos Federationsoperatören, genom att operatören tecknar avtal om anslutning (Anslutningsavtal) med Leverantören av eid-tjänst.
44 Federationsoperatören får ingå Anslutningsavtal med en Leverantör av eid-tjänst endast om leverantören förpliktigar sig att följa de krav som följer av Regelverket. 4.3 Anslutning av en Tillhandahållare av e-tjänst Anslutning av en Tillhandahållare av e-tjänst till Identitetsfederationen sker efter ansökan hos Federationsoperatören, genom att operatören tecknar avtal om anslutning (Anslutningsavtal) med Tillhandahållaren av e-tjänst. I sådant avtal regleras även eventuell anslutning av Tillhandahållaren av e-tjänst till en Tilläggstjänst Federationsoperatören får ingå Anslutningsavtal med en Tillhandahållare av e-tjänst endast om Tillhandahållaren av e-tjänst förpliktigar sig att följa de krav som följer av Regelverket. 4.4 Anslutning av en Utfärdare av attributsintyg Anslutning av en Utfärdare av attributsintyg till Identitetsfederationen sker efter ansökan hos Federationsoperatören, genom att operatören tecknar avtal om anslutning (Anslutningsavtal) med Utfärdaren av attributsintyg. Utfärdaren av attributsintygs rättigheter och skyldigheter regleras i sådana avtal samt andra separata avtal Federationsoperatören får ingå Anslutningsavtal med en Attributsutfärdare endast om utfärdaren förpliktigar sig att följa de krav som följer av Regelverket. 4.5 Federationsoperatören agerar som fullmäktig vid anslutning Vid anslutning av en Leverantör av eid-tjänst till Identitetsfederationen tecknar Federationsoperatören med stöd av fullmakt avtal också för redan anslutna Tillhandahållare av e-tjänsts räkning så att ett kontraktsförhållande uppkommer mellan leverantören och varje Tillhandahållare av e-tjänst Vid anslutning av en Tillhandahållare av e-tjänst till Identitetsfederationen tecknar Federationsoperatören med stöd av fullmakt avtal också för redan anslutna Leverantörer av eid-tjänsts räkning så att ett kontraktsförhållande uppkommer mellan tillhandahållaren och varje Leverantör av eid-tjänst.
45 Aktivering efter anslutning De anslutningar och funktioner hos Leverantörer av eid-tjänst, Tillhandahållare av e-tjänst och Utfärdare av attributsintyg som samverkar med Identitetsfederationen, får inte aktiveras förrän de testats och Federationsoperatören funnit att de fungerar på ett tillförlitligt sätt. Part som ska anslutits till Identitetsfederationen ska, senast [ ] dagar från det att Anslutningsavtal träffats, tillhandahålla anslutningar och funktioner för testning på sätt som Federationsoperatören anger. Federationsoperatören ska, senast inom [ ] dagar från det att sådana anslutningar och funktioner tillhandahållits för test, aktivera anslutningarna och funktionerna om de uppfyller kraven i Regelverket. 4.7 Avgifter, ersättning och fakturering De avgifter som Part ska betala och den ersättning som Part har rätt till framgår av Bilaga A. I Bilaga A anges även hur fakturering ska ske mellan Partnerna. 4.8 Säker kommunikation Leverantör av eid-tjänst och Tillhandahållare av e-tjänst ska för varje kommunikationstillfälle, i enlighet med den standard för säker kommunikation som framgår av det Tekniska ramverket, kontrollera varandras identitet och skydda sin kommunikation mot manipulationer och förfalskningar genom den hantering av certifikat som ingår i de tekniska och administrativa funktioner som utgör en del av standardiserade rutiner inom Identitetsfederationen. 4.9 Samarbetsformer Varje Part är ett självständigt rättssubjekt och samarbetet inom federationen ska därvid inte anses medföra något agentförhållande, enkelt bolag eller handelsbolag eller någon annan liknande sammanslutning. Part får inte företräda annan Part utan den sistnämnda Partens skriftliga medgivande såvida inte annat följer av Regelverket eller Anslutningsavtal Part svarar själv för sina åtaganden enligt Regelverket och Anslutningsavtal om inte annat uttryckligen anges. Solidariskt ansvar föreligger således inte och Federationsoperatören svarar
46 11 exempelvis inte för Leverantörer av eid-tjänsts tillhandahållande av Identitetsintyg eller leverantörernas rätta fullgörande av sina åtaganden i övrigt. Avtalsbrott enligt Regelverket eller Anslutningsavtal får vidare göras gällande endast av berörd Part Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Regelverket Part får anlita underleverantör för fullgörande av sina åtaganden enligt Regelverket men svarar då för underleverantörens åtgärder som om Parten hade utfört åtgärderna själv. Innan en Leverantör av eid-tjänst anlitar en underleverantör ska leverantören vidare skriftligen underrätta Federationsoperatören om vilken underleverantör som avses anlitas. 5. Regler för operatören 5.1 Register Federationsoperatören ska föra Metadataregistret i enlighet med vad som anges i det Tekniska ramverket Metadataregistret får inte innehålla personuppgifter såsom information om kommunikation mellan Användare och Tillhandahållare av e-tjänst, innehållet i Identitets- eller Attributintyg eller handlingar som ska skrivas under eller har undertecknats elektroniskt. 5.2 Anvisningstjänsten och Tilläggstjänster Federationsoperatören ska tillhandahålla Anvisningstjänsten i enlighet med vad som anges i det Tekniska ramverket Federationsoperatören ska även i enlighet med vad som anges i Bilaga E tillhandahålla Tilläggstjänster i den utsträckning som anges i respektive Anslutningsavtal. 5.3 Fackmannamässighet Federationsoperatören ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med bestämmelserna i detta Regelverk och gällande författningar, myndighetsbeslut och inom relevant område förekommande god sed.
47 Servicenivåer och ansvar för fel För Anvisningstjänsten och Tilläggstjänsterna gäller de servicenivåer som anges i Bilaga C. Såvida inte uppsåt eller grov oaktsamhet föreligger ansvarar Federationsoperatören för avvikelser från servicenivåerna endast enligt vad som anges i Bilaga C Föreligger fel i Anvisningstjänsten eller Tilläggstjänsterna som inte omfattas av punkt men som Federationsoperatören svarar för, ska operatören med den skyndsamhet som omständigheterna kräver avhjälpa felet om så är möjligt. Federationsoperatören ska under den tid som felet föreligger i skälig utsträckning sätta ned avgiften för den tjänst eller de tjänster som påverkas av felet. Om felet orsakats av Federationsoperatörens vårdslöshet är operatören skadeståndsansvarig med de begränsningar som följer av punkt Beställning av Identitetsintyg Federationsoperatören har rätt att beställa Identitetsintyg från Leverantörer av eid-tjänst. Reglerna i punkt 7 gäller då i tilllämpliga delar för operatören. 6. Regler för Leverantörer av eid-tjänst 6.1 Identitetsintyg Leverantör av eid-tjänst ska, från och med den startdag som anges i tillämpligt Anslutningsavtal, på begäran enligt detta Reglerverk från en Tillhandahållare av e-tjänst eller från Federationsoperatören, tillhandahålla Identitetsintyg i enlighet med vad som anges i det Tekniska ramverket Ett Identitetsintyg från en Leverantör av eid-tjänst ska grunda sig på (a) (b) en Svensk e-legitimation som utfärdats av Leverantören av eid-tjänst, eller en Svensk e-legitimation som Leverantören av eid-tjänst, enligt avtal med en Utfärdare av Svensk e-legitimation, ensam har rätt att lägga till grund för att utfärda Identitetsintyg inom Identitetsfederationen.
48 Leverantör av eid-tjänst svarar för att levererade Identitetsintyg och de e-legitimationer som ligger till grund för intygen, har utfärdats i enlighet med de regler och metoder som anges i Tilllitsramverket för de aktuella Tillitsnivåerna Leverantör av eid-tjänst ska, i den utsträckning som skäligen kan krävas, på begäran av en Tillhandahållare av e-tjänst tillhandahålla de ytterligare uppgifter som i det enskilda fallet kan behövas för att kontrollera uppgifterna i ett levererat Identitetsintyg. Leverantören av eid-tjänst ansvarar för att sådana uppgifter kan tillhandahållas även om den e-legitimation som ligger till grund för Identitetsintyget har utfärdats av annan än leverantören. 6.2 Tekniska hjälpmedel och användargränssnitt Leverantör av eid-tjänst ska utforma de tekniska hjälpmedel, användargränssnitt och dylikt som leverantören, eller den leverantören svarar för, tillhandahåller till Användare, i enlighet med vad som anges i Bilaga F. 6.3 Rapportering Leverantör av eid-tjänst ska, till Federationsoperatören, utan dröjsmål rapportera alla fel och övriga störningar och incidenter som uppkommer i samband med leverantörens åtaganden enligt Regelverket. Leverantören ska även, till Federationsoperatören, utan dröjsmål rapportera alla andra fel och övriga störningar och incidenter i samband med Identitetsfederationen som leverantören annars upptäcker Leverantör av eid-tjänst ska, till Federationsoperatören, löpande rapportera statistik och andra uppgifter i enlighet med Bilaga G. 6.4 Fackmannamässighet Leverantör av eid-tjänst ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med bestämmelserna i detta Regelverk och gällande författningar, myndighetsbeslut och inom relevant område förekommande god sed.
49 Servicenivåer och ansvar för fel För tillhandahållandet av Identitetsintyg gäller de servicenivåer som anges i Bilaga C. Såvida inte uppsåt eller grov oaktsamhet föreligger ansvarar Leverantör av eid-tjänst för avvikelser från servicenivåerna endast enligt vad som anges i Bilaga C Föreligger fel i levererat Identitetsintyg som inte omfattas av punkt men som Leverantör av eid-tjänst svarar för, har leverantören inte rätt till ersättning för Identitetsintyget. Om felet orsakats av att leverantörens brott mot punkt eller annan vårdslöshet som leverantören svarar för, är leverantören skadeståndsansvarig med de begränsningar som följer av punkt 12. Om ett Identitetsintyg har utfärdats enligt de regler och metoder som anges i Tillitsramverket för den aktuella Tillitsnivån svarar Leverantören av eid-tjänst emellertid inte för en eventuell oriktig identifiering eller annan brist i resultat av identifiering Föreligger annat fel än som avses i punkt 6.5.2, som Leverantör av eid-tjänst svarar för, ska leverantören med den skyndsamhet som omständigheterna kräver avhjälpa felet om så är möjligt. Leverantör av eid-tjänst ska under den tid som felet föreligger i skälig utsträckning sätta ned avgiften för den tjänst eller de tjänster som påverkas av felet. Om felet orsakats av Leverantör av eid-tjänsts vårdslöshet är leverantören skadeståndsansvarig med de begränsningar som följer av punkt Regler för Tillhandahållare av e-tjänst 7.1 Användning av intyg och tjänster Tillhandahållare av e-tjänst har rätt att beställa Identitetsintyg från Leverantörer av eid-tjänst En begäran från en Tillhandahållare av e-tjänst om Identitetsintyg eller Attributsintyg ska framställas i enlighet med vad som anges i det Tekniska ramverket. Tillhandahållaren av e-tjänst bedömer vilken Tillitsnivå som krävs Tillhandahållare av e-tjänst får använda ett Identitetsintyg endast för att hantera frågor om identitet i anslutning till tillhandahållarens e-tjänst samt för därmed förenade förhållanden.
50 Tillhandahållare av e-tjänst får använda Anvisningstjänsten endast för att låta Användare välja e-legitimation. För Tilläggstjänsterna gäller de begräsningar som anges Bilaga E. 7.2 Rapportering Tillhandahållare av e-tjänst ska, till Federationsoperatören, utan dröjsmål rapportera alla fel och övriga störningar och incidenter som uppkommer i samband med tillhandahållarens åtaganden enligt Regelverket. Tillhandahållaren ska även, till Federationsoperatören, utan dröjsmål rapportera alla andra fel och övriga störningar och incidenter i samband med Identitetsfederationen som tillhandahållaren annars upptäcker Tillhandahållare av e-tjänst ska, till Federationsoperatören, löpande rapportera statistik och andra uppgifter i enlighet med Bilaga G. 8. Persondataskydd 8.1 Federationsoperatören ska vid var tid kunna tillhandahålla skriftlig information om hur personuppgiftsansvar för uppgifter i anslutning till Infrastrukturen fördelas mellan Parterna, men varje Part ansvarar själv för att tillämpliga persondataskyddsregler följs. Parterna ska verka för en gemensam uppfattning om hur personuppgiftsansvaret fördelas mellan Parterna. 8.2 I samband med utförandet av åtaganden enligt detta Regelverk kan Part såsom personuppgiftsbiträde komma att behandla personuppgifter för en personuppgiftsansvarig Parts räkning. Reglerna i punkt ska då gälla mellan personuppgiftsbiträdet och den personuppgiftsansvarige Personuppgiftsbiträdet får behandla personuppgifterna endast i den utsträckning som krävs för att fullgöra åtaganden gentemot den personuppgiftsansvarige och endast i enlighet med den personuppgiftsansvariges instruktioner Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för detta ändamål följa av Datainspektionen fattade beslut och utfärdade riktlinjer om åtgärder för att uppfylla personuppgiftslagens
51 16 säkerhetskrav. Närmare regler om säkerhet anges i Tillitsramverket Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige om någon begär att få ta del av information som finns registrerad om honom eller henne eller begär rättelse av sådan information. Personuppgiftsbiträdet ska även bistå den personuppgiftsansvarige efter begäran från myndighet Den personuppgiftsansvarige är enligt personuppgiftslagen ansvarig gentemot registrerade personer för mot lagen stridande behandling. Om en registrerad eller annan tredje man riktar krav mot den personuppgiftsansvarige avseende behandling som utförts av personuppgiftsbiträdet på ett sätt som stred mot den personuppgiftsansvariges instruktioner eller Regelverket ska personuppgiftsbiträdet hålla den personuppgiftsansvarige skadeslös för sådana krav. 9. Sekretess 10. Kontroll Part åtar sig att inte utan berörd annan Parts medgivande till tredje man lämna information om den berörda Partens verksamhet, som blivit kända genom samarbetet inom Identitetsfederationen och som kan vara att betrakta som affärs- eller yrkeshemligheter. Sekretesskyldigheten gäller dock inte när Part enligt författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Part är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen) Federationsoperatören har rätt att, efter skriftligt meddelande till en Leverantör av eid-tjänst senast [ ] arbetsdagar i förväg, låta en oberoende tredje part kontrollera att leverantören fullgör sina skyldigheter enligt Regelverket. Leverantören av eid-tjänst ska samarbeta vid sådan kontroll och bereda den oberoende tredje parten tillträde till lokaler, utrustning, material och annat som kan vara av betydelse för kontrollen. Kontrollen ska ske under kontorstid och utföras på ett sådant sätt att den inte stör leverantörens verksamhet mer än vad som är skäligt med hänsyn till ändamålet. Kontrollen ska vidare genomföras med hänsyn till leverantörens behov av sekretess och Federationsopera-
52 17 tören svarar för att erforderliga avtal om sekretess träffas med tredje part som ska utföra kontrollen Leverantör av eid-tjänst ska tillse att Federationsoperatören har rätt att utföra kontroll enligt punkt 10.1 ovan även hos leverantörens underleverantörer. 11. Immateriella rättigheter Parternas samarbete inom Identitetsfederationen ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan, utöver rätten att nyttja tillhandahållna tjänster för och enligt de i detta Regelverk avsedda ändamålen och villkoren. 12. Ansvarsbegränsning och reklamation 12.1 I andra fall än sådana avvikelser från servicenivåer som avses i punkt och är Parts ansvar begränsat till direkt skada som Parten vållar annan Part genom vårdslöshet Såvida inte uppsåt eller grov oaktsamhet föreligger är Parts ersättningsskyldighet per skadetillfälle begränsad till ett belopp som motsvarar [ ] prisbasbelopp enligt socialförsäkringsbalken (2010:110) och per kalenderår till ett sammanlagt belopp som motsvarar [ ] prisbasbelopp Såvida inte uppsåt eller grov oaktsamhet föreligger får avtalsbrott inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts. 13. Befrielsegrund Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Regelverket eller Anslutningsavtal i övrigt, av omständighet utanför dennes kontroll som Parten inte skäligen kunde förväntas ha räknat med vid anslutningen till Identitetsfederationen och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit, eller av att Partens underleverantör förhindras fullgöra sin leverans på grund av omständigheter som här angetts, ska detta utgöra befrielsegrund som medför
53 18 framflyttning av tidpunkt för prestation och befrielse från skadestånd och andra påföljder. 14. Begränsning av åtkomst till Identitetsfederationen Om Parts deltagande i Identitetsfederationen skadar eller riskerar att skada förtroendet för federationen exempelvis för att Parten vid upprepade tillfällen eller i väsentlig mån brister i förpliktelse enligt detta Regelverk har Federationsoperatören rätt att stänga av eller begränsa Partens åtkomst till Identitetsfederationen, varvid Parten snarast möjligt ska underrättas om begränsningen. En begränsning av Parts åtkomst till Identitetsfederationen får inte fortgå under längre tid än vad som är försvarligt med hänsyn till omständigheterna. 15. Uppsägning av Anslutningsavtal 15.1 Federationsoperatören har rätt att omedelbart säga upp ett Anslutningsavtal om (a) (b) (c) (d) den anslutna Parten i väsentlig mån brister i förpliktelse enligt Anslutningsavtalet eller detta Regelverk och inte vidtar rättelse inom [ ] dagar efter skriftlig anmodan därom, den anslutna Parten varit skyldig att utge maximalt vite enligt Bilaga C under [ ] på varandra följande månader eller [ ] av [ ] på varandra följande månader, den anslutna Parten försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses riskera att komma på obestånd, det framkommer att den anslutna Parten lämnat oriktiga uppgifter i ansökan om godkännande för anslutning till Identitetsfederationen och dessa uppgifter har varit av icke oväsentlig betydelse vid Federationsoperatörens godkännande av ansökan Federationsoperatören har rätt att, med iakttagande av [ ] månaders uppsägningstid, säga upp ett Anslutningsavtal om den anslutna Parten invänt mot en ändring eller ett tillägg som be-
54 19 slutats enligt punkt och hindras genom Partens invändning En Leverantör av eid-tjänst eller en Tillhandahållare av e-tjänst har rätt att, med iakttagande av [ ] månaders uppsägningstid, när som helst säga upp det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen, varvid avtalet upphör att gälla i sin helhet på sätt som anges i punkt Leverantören av eid-tjänst respektive Tillhandahållaren av e-tjänst får inte säga upp andra Anslutningsavtal som denne är part i utan upphör istället att vara part till sådana avtal under de förutsättningar som anges i punkt Uppsägning ska ske skriftligen för att vara gällande. 16. Verkan av Anslutningsavtals upphörande 16.1 Identitetsfederationen fordrar att Tillhandahållare av e-tjänst är part i samtliga Anslutningsavtal för Leverantör av eid-tjänst. Om ett Anslutningsavtal för Tillhandahållare av e-tjänst upphör att gälla, ska Tillhandahållaren av e-tjänst automatiskt upphöra att vara part i samtliga Anslutningsavtal för Leverantör av eid-tjänst Om ett Anslutningsavtal för Leverantör av eid-tjänst upphör att gälla för Leverantören av eid-tjänst, ska Anslutningsavtalet upphöra i sin helhet. Avtalet ska således inte fortsätta gälla mellan Federationsoperatören och de Tillhandahållare av e-tjänst som är part i avtalet. 17. Meddelanden 17.1 Meddelanden som enligt Regelverket ska tillställas Part får skriftligen lämnas till Federationsoperatören för vidarebefordran till angiven mottagare. Federationsoperatören ska tillse att sådan vidarebefordran sker senast [ ] dagar efter operatörens mottagande av meddelandet Meddelanden från Federationsoperatören, och meddelanden som vidarebefordras av operatören enligt punkt 17.1, ska anses ha kommit mottagaren tillhanda [ ] dagar efter att operatören sänt meddelandet till mottagaren eller när meddelandet, under
55 20 sammanhängande tid om [ ] dagar, på ändamålsenligt sätt funnits tillgängligt på Federationsoperatörens webbplats. 18. Tillämplig lag och tvister 18.1 Detta Regelverk ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga Tvister angående tolkning eller tillämpning av detta Regelverk och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.
56 Regelverk för identitetsfederationer för Svensk e-legitimation Bilaga C Servicenivåer Utkast
57 2 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvuddokumentet i Regelverket för identitetsfederationer för Svensk e-legitimation (Regelverket). De begrepp som definieras i huvuddokumentet har samma betydelse i denna bilaga. 1.2 Bilagan anger de servicenivåer som Federationsoperatören respektive en Leverantör av eid-tjänst ska prestera. Vid bristande uppfyllelse av servicenivåerna utfaller viten enligt vad som anges nedan. 2. Definitioner I denna bilaga betyder 1. Avbrottstid: den tid under Drifttiden då aktuell tjänst helt eller delvis inte kan utnyttjas på avsett sätt, räknad från det först inträffande av (i) tidpunkten för avbrottet mätt enligt det Tekniska ramverket (ii) felanmälan från annan Part enligt överenskomna kontaktvägar och (iii) annan felupptäckt; 2. Drifttid: [00:00-24:00 alla dagar], med avdrag för den tid då planerad service eller liknande åtgärder utförs enligt det Tekniska ramverket och har meddelats Federationsoperatören senast [ ] arbetsdagar i förväg för tillkännagivande på Federationsoperatörens webbplats; 3. Mätperiod: den regelbundna period under vilken servicenivåer ska mätas enligt punkt 5.1; 4. Svarstid: den tid, mätt enligt det Tekniska ramverket, det tar från det att en Tillhandahållare av e-tjänst har begärt en leverans i enlighet med Regelverket till dess leverans har skett; 5. Tillgänglighet: den tid i procent av Drifttiden som aktuell tjänst kan utnyttjas på avsett sätt, beräknad enligt formeln: Tillgänglighet (%) = 100 x (Drifttiden-Avbrottstid) / Drifttiden; och 6. Vitesunderlaget: den totala ersättning som en vitesskyldig Part är berättigad till enligt Regelverket, för utförande av tjänster under aktuell Mätperiod, exklusive eventuella prisavdrag eller andra nedsättningar.
58 3 3. Servicenivåer och vite 3.1 För den tjänst som Leverantör av eid-tjänst tillhandahåller för leverans av Identitetsintyg är avtalad Tillgänglighet [ ] %. Om den faktiska Tillgängligheten understiger den avtalade Tillgängligheten är Leverantören av eid-tjänst skyldig att utge vite med [ ] % av Vitesunderlaget per procentenhet som Tillgängligheten understiger avtalad nivå. 3.2 För Leverantör av eid-tjänsts leverans av Identitetsintyg är avtalad Svarstid [ ] i [ ] % av fallen. Om den faktiska Svarstiden överstiger den avtalade Svarstiden är Leverantören av eidtjänst skyldig att utge vite med [ ] % av Vitesunderlaget [per fall som Svarstiden understigande avtalad nivå]. 3.3 För Anvisningstjänsten är avtalad Tillgänglighet [ ] %. Om den faktiska Tillgängligheten understiger den avtalade Tillgängligheten är Federationsoperatören skyldig att utge vite med [ ] % av Vitesunderlaget per procentenhet som Tillgängligheten understiger avtalad nivå. 3.4 [För leverans av [Underskrifter] är avtalad Svarstid [ ] % i [ ] % av fallen. Om den faktiska Svarstiden överstiger den avtalade Svarstiden är Federationsoperatören skyldig att utge vite med [ ] % av Vitesunderlaget [per fall som Svarstiden understigande avtalad nivå]. 4. Ansvarsfrihet och ansvarsbegränsning 4.1 Part ansvarar inte för bristande uppfyllelse av servicenivåer i den utsträckning Parten kan visa att detta har orsakats av en omständighet utanför Parten ansvarsområde, som t.ex. brist i kommunikation eller andra produkter eller tjänster från tredjeman som Parten inte ansvarar för. 4.2 Det sammanlagda vite som en Part är skyldig att utge enligt punkt 3 ska per Mätperiod vara begränsad till ett maximalt belopp motsvarande [ ] % av Vitesunderlaget. 5. Mätning och rapportering 5.1 Tillgänglighet och Svarstid ska mätas per kalendermånad.
59 4 5.2 Part som ansvarar enligt en avtalad servicenivå ska införa och bekosta verktyg som kan mäta servicenivåerna enligt vad som framgår av denna bilaga och av det Tekniska ramverket. Parten ska även tillhandahålla ändamålsenliga kontaktvägar för felanmälan och vid ändring av sådan kontaktväg meddela Federationsoperatören detta senast [ ] % arbetsdagar i förväg för tillkännagivande på Federationsoperatörens webbplats. 5.3 Leverantör av eid-tjänst ska, senast [ ] arbetsdagar efter utgången av varje Mätperiod, rapportera uppmätta resultat till Federationsoperatören, enligt Federationsoperatörens vid var tid lämnande instruktioner. 5.4 Om Leverantör av eid-tjänst förpliktigats att utge maximalt vite för en Mätperiod eller att utge vite under tre på varandra följande månader eller tre av sex på varandra följande månader, ska leverantören, senast [ ] arbetsdagar efter utgången av Mätperioden, tillställa Federationsoperatören en skiftlig rapport innehållande en analys av orsakerna till problemen samt ett åtgärdsprogram för att lösa problemen. 5.5 Det vite som en Part är skyldig att utge enligt punkt 3 ska krediteras på Partens fakturor till övriga Parter avseende ersättning för påverkade tjänster under Mätperioden, varvid kreditbeloppet ska framgå på fakturan. Vitet ska fördelas i proportion till respektive fakturabelopp..
60 UTKAST E-legitimationsnämndens interna föreskrifter E-legitimationsnämndens interna föreskrifter om förvaltning av infrastrukturen för Svensk e-legitimation; beslutade den [ ] IFS 2013:x Utkom från trycket den [ ] 2013 E-legitimationsnämnden föreskriver med stöd av 4 myndighetsförordningen (2007:515) följande. Definitioner 1 I dessa föreskrifter menas med infrastrukturen för Svensk e-legitimation: den infrastruktur för elektronisk identifiering som E-legitimationsnämnden enligt [ ] förordningen (2010:1497) med instruktion för E-legitimationsnämnden ansvarar för, och reglerna för Svensk e-legitimation: de regler för Svensk e- legitimation som E-legitimationsnämnden förvaltar för tillämpning i anslutning både till den offentliga förvaltningens e-tjänster och till den privata sektors e-tjänster. Information 2 E-legitimationsnämnden ska fortlöpande hålla berörda parter underrättade om hur infrastrukturen för Svensk e-legitimation utvecklas liksom om föreslagna och planerade ändringar av och tillägg till reglerna för Svensk e-legitimation och infrastrukturen i övrigt. Underrättelse lämnas genom meddelande på E-legitimationsnämndens webbplats Beslut 3 E-legitimationsnämnden beslutar om ändring av eller tillägg till reglerna för Svensk e-legitimation. I beslutet anges från vilken dag ändrade eller tillkommande regeldokument avses gälla och vilket versionsnummer regeldokumentet getts. Ändrade och tillkommande regeldokument ska anges gälla först från och med [ ] dagar efter det att E-legitimationsnämnden har publicerat de ändrade eller tillkommande regeldokumenten på E- legitimationsnämndens webbplats om inte [SW /4]
61 nämnden i sitt beslut angett att kortare tid ska tillämpas på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. 4 E-legitimationsnämnden beslutar även om annan förändring av infrastrukturen än ändring av regelverket för Svensk e-legitimation. I beslutet anges från vilket dag ändringen avses gälla. Ändringen ska anges gälla först från och med [ ] dagar efter det att E-legitimationsnämnden har underrättat berörda parter om den genom meddelande på E-legitimationsnämndens webbplats om inte nämnden i sitt beslut angett att kortare tid ska tillämpas på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. Samråd 5 Innan E-legitimationsnämnden beslutar om en ändring av eller ett tillägg till reglerna för Svensk e-legitimation eller om en annan viktigare förändring av infrastrukturen för Svensk e-legitimation, ska nämnden på eget initiativ samråda med berörda parter. Om synnerliga skäl föranleder det, får E-legitimationsnämnden dock besluta om ändring av infrastrukturen och verkställa sitt beslut innan nämnden har fullgjort sin samrådskyldighet. Om fler än [ ] berörda parter påkallar det, ska E- legitimationsnämnden även i annat fall samråda med berörda parter. 6 Samråd enligt 5 sker efter kallelse från E-legitimationsnämnden. Kallelse lämnas genom att den publiceras på E-legitimationsnämndens webbplats i god tid före det att samrådet ska äga rum. Kallelsen ska innehålla för samrådet nödvändig information. 7 E-legitimationsnämnden bestämmer vilka parter som ska ha tillträde till samråd enligt 5 och hur många representanter respektive part får närvara med. Dessa föreskrifter träder i kraft den [ ] På E-legitimationsnämndens vägnar 2
Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation
Tillitsramverk för Svensk e-legitimation 1 (11) 2 (11) 1. Bakgrund och syfte Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering
Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst
1 (7) Anslutningsavtal för Leverantör av eid-tjänst inom Identitetsfederationen för offentlig sektor 2 (7) 1. Avtalsparter Detta anslutningsavtal ( Avtalet ) har träffats mellan 1. E-legitimationsnämnden,
BILAGA 3 Tillitsramverk Version 0.8
BILAGA 3 Tillitsramverk Version 0.8 Sammanfattning Sambi har likt andra federativa initiativ som mål att i tillämpliga delar följa E-legitimationsnämndens Tillitsramverk (EID2) som i sin tur har använt
Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1
Tillitsramverk ÄRENDENUMMER: 2019-277 Tillitsramverk för kvalitetsmärket Svensk e-legitimation Version 2019-09-19 1 1. Bakgrund och syfte Tillitsramverket för kvalitetsmärket Svensk e-legitimation syftar
BILAGA 2 Tillitsramverk Version 1.0
BILAGA 2 Tillitsramverk Version 1.0 Sammanfattning Sambi har likt andra federativa initiativ som mål att i tillämpliga delar följa E-legitimationsnämndens Tillitsramverk (EID2) som i sin tur har använt
BILAGA 3 Tillitsramverk Version: 1.3
BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3
Anslutningsavtal. inom identitetsfederationen för offentlig sektor. för leverantör av eid-tjänst
1 (8) Anslutningsavtal för leverantör av eid-tjänst inom identitetsfederationen för offentlig sektor 2 (8) 1. Avtalsparter Detta anslutningsavtal ( Avtalet ) har träffats mellan 1. E-legitimationsnämnden,
Allmänna villkor för infrastrukturen Mina meddelanden
Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam
BILAGA 3 Tillitsramverk Version: 2.1
BILAGA 3 Tillitsramverk Version: 2.1 Innehåll Inledning... 2 Läs tillitsramverket så här... 2 A. Generella krav... 3 Övergripande krav på verksamheten... 3 Säkerhetsarbete... 3 Kryptografisk säkerhet...
Svensk e-legitimation Hearing om regelverksremiss
Svensk e-legitimation Hearing om regelverksremiss 2012-09-13 Erik Sandström Biträdande jurist T: +46 8 598 891 43 M: +46 703 791 981 E: [email protected] 1 Leverantören ansvarar för hela leveranskedjan,
AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION För Tjänsteleverantör
1 av 5 AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION För Tjänsteleverantör Part Part Stiftelsen för Internetinfrastruktur [ ] Box 92073 [ ] 120 07 Stockholm [ ] Org nr 802405-0190 [ ] (i det följande kallad IIS
AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION. För Användarorganisation
1 av 6 Part AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION Stiftelsen för Internetinfrastruktur Box 7399 103 91 Stockholm Org nr 802405-0190 För Användarorganisation (i det följande kallad IIS ) (i det följande
Infrastrukturen för Svensk e-legitimation
1 (20) 2 (20) 1. Bakgrund 1.1 Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering (e-legitimationer) i den
Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1
Tillitsdeklaration Version: 1.3-3 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1 Innehåll Regelverkets tillämpning... 2 Versionsnummer för denna Tillitsdeklaration... 3 Den
Sjukvårdsrådgivningen GRUNDAVTAL IT-TJÄNSTER
Sjukvårdsrådgivningen GRUNDAVTAL IT-TJÄNSTER 2008-01-30 Version 1.0 2 (6) Mellan Sjukvårdsrådgivningen SVR AB, organisationsnummer 556559-4230 (nedan benämnd Sjukvårdsrådgivningen) och organisationsnummer
AVTAL OM TELIASONERA KOPPLAD TRANSIT
AVTAL OM TELIASONERA KOPPLAD TRANSIT mellan TeliaSonera Network Sales AB och OPERATÖREN AB 1 TeliaSonera Network Sales AB, org.nr 556458-0040, 123 86 Farsta, nedan Network Sales, och OPERATÖREN AB, org.nr,,
Tillitsregler för Valfrihetssystem 2018 E-legitimering
Ärendenr 2018-158 Tillitsregler för Valfrihetssystem 2018 E-legitimering Sida 1 av 5 1. Anvisningar... 3 2. Tillitsregler för utfärdare... 3 3. Rutiner vid ansökan om e-legitimation... 3 4. Utfärdarens
BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1
BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1 Innehåll 1 Inledning... 2 Om detta dokument... 2 Samverkan... 2 2 Sambiombudets tekniska tjänst... 5 3 Tillitsgranskning av Sambiombud... 5 Initiala
AVTAL OM KOPPLAD TRANSIT
Avtalsnummer: AVTAL OM KOPPLAD TRANSIT mellan TeliaSonera Network Sales AB och OPERATÖREN AB 1 TeliaSonera Network Sales AB, org.nr 556458-0040, 123 86 Farsta, nedan Network Sales, och OPERATÖREN AB, org.nr,,
Sweden Connect ÖVERENSKOMMELSE. med förlitande myndighet beträffande funktioner för elektronisk identifiering UTKAST kl.
ÖVERENSKOMMELSE med förlitande myndighet beträffande funktioner för elektronisk identifiering Sweden Connect UTKAST 2018-05-22 kl. 12:15 SW37236409/3 2 1. Parter Denna överenskommelse om anslutning till
Tillitsramverk för E-identitet för offentlig sektor
Tillitsramverk för E-identitet för offentlig sektor Revisionshistorik Version Datum Författare Kommentar 1.0 Efos Policy Authority Fastställd 1.1 2018-04-23 Funktionsbeställare ersatt med funktionscertifikatsbeställare
Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)
Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst
Personuppgiftsbiträdesavtal Zynatic Medlemsregister
PERSONUPPGIFTSBITRÄDESAVTAL Sida 1(5) Personuppgiftsbiträdesavtal Zynatic Medlemsregister 1 PARTER Den som beställer och använder Zynatic Medlemsregister, och därmed bekräftar att de accepterar våra Allmänna
Tillitsramverk. Identifieringstjänst SITHS
Tillitsramverk Identifieringstjänst SITHS Innehåll 1. Inledning... 4 1.1 Bakgrund och syfte... 4 1.2 Översikt... 4 1.3 Målgrupp... 4 1.4 Identifiering... 5 1.5 Begrepp... 5 2. Organisation och styrning...
Avtal distribution m.m. av trycksaker. Box 27215 102 53 Stockholm
AVTALSUTKAST Dnr Adm 2008/70 Bilaga 1 Avtal distribution m.m. av trycksaker 1. Avtalsparter Statens kulturråd Box 27215 102 53 Stockholm Organisationsnummer 202100-1280 Distributören Organisationsnummer
Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal 1. Parter 1. Du ( Kunden ) som användare av tjänsten, nedan benämnd Personuppgiftsansvarige ; och 2. Rule Communication Nordic AB, org. Nr 556740-1293, med adress Kammakargatan
MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7
MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7 Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) XXX ( XXX ), org. nr 123456-7890, (Personuppgiftsansvarig) och 2) [ ],
Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01
Tillitsdeklaration Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01 Innehåll Om detta dokument...2 Regelverkets tillämpning...2 Versionsnummer för denna Tillitsdeklaration...3
Regelverk. Valfrihetssystem 2017 E-legitimering
Regelverk Valfrihetssystem 2017 E-legitimering 2 (21) Innehåll 1. Bakgrund och syfte 3 2. Definitioner 5 3. Regelverket 6 4. Valfrihetssystem 2017 8 5. Regler för E-legitimationsnämnden 11 6. Regler för
PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL 1. 1.1 1.2 1.3 1.4 Allmänt Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet om Directory ( Avtalet ) mellan Leverantören och Kunden. Leverantören kommer
Allmänna Villkor för Tjänsten
Allmänna Villkor för Tjänsten 2014-12-23 1. OMFATTNING OCH DEFINITIONER 1.1. Dessa Allmänna Villkor för Kund gäller när Joblife AB (nedan kallad Joblife ) ger privatpersoner ( Användare ) tillgång till
Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren
Säkerhet och Tillit vid elektronisk identifiering? Fredrik Ljunggren 2012-11-13 Internationella tillitsramverk OMB M-04-04/NIST SP 800-63 STORK QAA Kantara IAF ISO/IEC 29115 Identifiering och registrering
BILAGA 1 Definitioner
BILAGA 1 Definitioner Version: 1.1 Följande begrepp används inom Sambi: Anslutningsavtal: Avtal mellan Sökanden och Federationsoperatören som innebär att Sökanden ansluter till Federationstjänsten som
Avtal Hälsoval Sörmland
Avtal Hälsoval Sörmland Avtal Avtal har denna dag slutits mellan Landstinget Sörmland genom Enheten för Hälsoval Sörmland, nedan kallad Landstinget, och XX, nedan kallad Vårdgivaren. Avtalsparter Landstinget
Bilaga 1: Personuppgiftsbiträdesavtal 1/10
Bilaga 1: Personuppgiftsbiträdesavtal 1/10 2/10 Innehållsförteckning 1 Bakgrund och syfte... 3 2 Lagval och definitioner... 3 3 Behandling av personuppgifter... 3 4 Underbiträden... 4 5 Begränsningar i
Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)
Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen) Parter: Personuppgiftsansvarig Personuppgiftsbiträde Vård- och omsorgsnämnden
ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt
ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA 1. Allmänt Bayou AB ( Bayou ) tillhandahåller tjänsten Tyra ( Tyra ). Tyra är ett verktyg avsedd för förskola och föräldrar till barn i förskola ( Skolan ). Genom
Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal Uthyrare AB med org.nr XXXXXX-XXXX, Adress, 123 45 X-stad, och motpartens namn, org.nr. XXXXXX-XXXX, Adress, 123 45 X-stad har denna dag träffat följande [Titel/dokumentnamn]
RAMAVTAL FÖR JURIDISKA TJÄNSTER
Diarienummer 2015/136 RAMAVTAL FÖR JURIDISKA TJÄNSTER Detta ramavtal, ( Ramavtalet ), har träffats mellan Tredje AP-fonden, ( AP3 ) och [firma leverantör] ( Juristbyrån ). 1. Bakgrund 1.1 AP3 har genomfört
MALL FÖR AVTAL UTBILDNING AV SERVICE- ELLER SIGNALHUND
1(7) MALL FÖR AVTAL UTBILDNING AV SERVICE- ELLER SIGNALHUND Avtal mellan.och gällande utbildning av service- eller. Innehållsförteckning Sid nr 1. AVTALSPARTER OCH KONTAKTPERSONER 2 2. OMFATTNING 3 3.
Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.
DETTA PERSONUPPGIFTSBITRÄDESAVTAL ( Personuppgiftsbiträdesavtalet ) är dag som nedan träffat mellan: (1) Lomma kommun, organisationsnummer 212000-1066 ( Kommunen ); och (2) [ ], organisationsnummer [ ]
Granskningsinstruktion och checklista för Tillitsdeklaration
Granskningsinstruktion och checklista för Tillitsdeklaration Version: 1.3-3 Ska användas av Sambis granskare vid granskning av Tillitsdeklaration version 1.4 Ska användas vid tillitsdeklaration enligt
Huvudavtal NetBusiness
AVTAL om NetBusiness Gäller från 2018-05-25 Detta avtal har ingåtts mellan följande parter Skanova AB (nedan kallad Skanova ) Org.nr 556446-3734 Box 3010 169 03 Solna (nedan kallad Operatören ) Org.nr:
Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal Detta Personuppgiftsbiträdesavtal ( Personuppgiftsbiträdesavtalet ) gäller mellan EgenSajt Sverige AB, org.nr. 556878-7773 ( EgenSajt ) och Kunder som valt att ingå detta Personuppgiftsbiträdesavtal
Personuppgiftsbiträde
Personuppgiftsbiträdesavtal 1 PARTER Symbolbruket AB www.symbolbruket.se Detta Personuppgiftsbiträdesavtal gäller mellan Symbolbruket AB, org.nr. 559025-7316, Östra Harg Torpängen, 585 91 Linköping, [email protected]
PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)
1 (6) Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS) Detta personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges
C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.
BILAGA 1 - PERSONUPPGIFTSBITRÄDESAVTAL Detta personuppgiftsbiträdesavtal ( Avtalet ) har träffats mellan [Avtalspart 1], org.nr [nummer], med adress [adress], ( Personuppgiftsbiträde ) och [Avtalspart
PERSONUPPGIFTSBITRÄDESAVTAL
1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal
Mellan parterna Gotlands kommun ( ), VISBY, nedan kallad köparen, å ena sidan, och,
Sida 1 av 5 Mellan parterna Gotlands kommun (212000-0803), 621 81 VISBY, nedan kallad köparen, å ena sidan, och, Föreningen S:t Lukas på Gotland (834001-0357) Söderväg 5 Företag Organisationsnummer Adress
Granskningsinstruktioner och checklista för Tillitsgranskare
Granskningsinstruktioner och checklista för Tillitsgranskare Version: 2.0.1 Detta dokument ska användas av Sambis granskare vid deras granskning av Tillitsdeklaration gjorda enligt mallen Tillitsdeklaration
Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal Detta Personuppgiftsbiträdesavtal ( Personuppgiftsbiträdesavtalet ) mellan: 1. Yelles AB / Inleed, org.nr. 556931-6788 ( Inleed ); och 2. Kunder som använder våra tjänster (
Överenskommelse om myndighetssamverkan
Överenskommelse om myndighetssamverkan för effektiv informationsförsörjning inom området för ekonomiskt bistånd 2 1. PARTER Denna överenskommelse om myndighetssamverkan har ingåtts mellan de uppgiftslämnande
AVTAL OM TJÄNSTER FÖR AVYTTRING AV MÖBLER OCH KONTORSINREDNING
Mellan Post- och telestyrelsen organisationsnummer 202100-4359 (nedan kallad PTS) och XXXX organisationsnummer xxxxxx-xxxx (nedan kallad Företaget) har träffats följande AVTAL OM TJÄNSTER FÖR AVYTTRING
AVTAL. Avseende tjänster för nykundsbearbetning och varumärkesbyggande
AVTAL Avseende tjänster för nykundsbearbetning och varumärkesbyggande Innehåll 1 Avtalets omfattning... 3 2 Avtalsperiod... 3 3 Avtalshandlingar... 3 4 Kontaktpersoner... 3 5 Engagerade säljare... 3 5.1
PERSONUPPGIFTSBITRÄDESAVTAL
14483 PERSONUPPGIFTSBITRÄDESAVTAL Detta Personuppgiftsbiträdesavtal ( Biträdesavtal/-et ) har denna dag träffats mellan: (1) Klicka här och skriv Studieförbundets namn, org nr [adress] ( Studieförbundet
Regeringskansliet 103 33 Stockholm (nedan kallad sponsorn) Adress Postadress. 202100 3831 (ange)
Avtalsnummer: (diarienummer) Denna avtalsmall kan användas vid avtal om sponsring. Under varje avsnitten i avtalsmallen ges förslag på vad som bör regleras i avtalet (rödmarkerad text) och även på lämpliga
Villkor för Telia Internet För Alla
Villkor för Telia Internet För Alla 1. Allmänt För Telias accesstjänst Telia Internet För Alla gäller Telias allmänna villkor för teleabonnemang. (finns publicerade i telekatalogen ) med följande ändringar
Användarvillkor Mitt KemRisk
Användarvillkor Mitt KemRisk 1. Allmänt om Tjänsten 1.1 KemRisk Sweden AB, org. nr 556624-2854, Platensgatan 8, 582 20 Linköping ( KemRisk ) erbjuder befintliga och tillkommande kunder ( Kunden ) tillgång
PERSONUPPGIFTSBITRÄDESAVTAL
Bilaga 8 Personuppgiftsbiträdesavtal Polismyndigheten Datum: 2016-12-22 Dnr: A293.290/2016 PERSONUPPGIFTSBITRÄDESAVTAL 1 PARTER Personuppgiftsansvarig: Polismyndigheten, org. nr. 202100-0076, Box 12256,
Infrastrukturen för Svensk e-legitimation
1 (7) 2 (7) 1. Bakgrund 1.1 Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering i den offentliga förvaltningens
AVTAL FÖR ADVITUMS DOKUMENTPORTAL
AVTAL FÖR ADVITUMS DOKUMENTPORTAL Inledning Detta avtal för Advitums dokumentportal, ( Avtalet ), har slutits mellan Advitum AB, 556671-9448, Kraftvägen 2, 382 36 Nybro, ( Advitum ), och organisationen
Avtal Hälsoval Sörmland
Avtal Hälsoval Sörmland Avtal Avtal har denna dag slutits mellan Landstinget Sörmland genom Hälsoval Sörmland, nedan kallad Landstinget, och, nedan kallad Vårdgivaren. Avtalsparter Landstinget Landstinget
Adress Postnr Postort
Sidan 1 av 6 BESTÄLLNING / AVTAL Företagskund Företagsnamn Kontaktperson Adress Postnr Postort Organisationsnummer Tel Mobiltel E-post Tjänstebeskrivning (GEAB) tillhandahåller ett fiberpar för kunds bruk
Version 1.0, 12-10-07
Ramavtal avtalspaket avseende svartfiber och andra tjänster som kan tillhandahållas av stadsnät tillhörande Svenska Stadsnätsföreningen Detta ramavtal ( Ramavtalet ) har ingåtts mellan (1) Svenska Stadsnätsföreningen
Svensk e-legitimation
1 (31) Svensk e-legitimation Modellbeskrivning Version 2012-04-19 2012-04-19 2 (31) Innehåll 1 Bakgrund och syfte... 4 2 Begrepp och definitioner... 5 3 Helhetsvy... 7 4 Målbild... 8 5 Roller i modellen...
Licens för användning av Arbetsförmedlingens API för lediga jobb
Sida: 0 av 5 Licens för användning av Arbetsförmedlingens API för lediga jobb Version 1.0 Sida: 1 av 5 Innehållsförteckning Bakgrund... 2 1. Licens... 2 2. Immateriella rättigheter... 2 3. Personuppgiftsbehandling...
KONCERNSEKRETESSAVTAL
KONCERNSEKRETESSAVTAL Mellan Adven Sweden AB, (556726-7512r), med Dotterbolag (Adven Swedenkoncernen) och 113 46 Stockholm (Nedan kallad Adven) Org.nr: (nedan kallad Företaget) har denna dag träffats följande
BILAGA Personuppgiftsbiträdesavtal
BILAGA Personuppgiftsbiträdesavtal Till mellan Beställaren och Leverantören (nedan kallad Personuppgiftsbiträdet) ingånget Avtal om IT-produkter och IT-tjänster bifogas härmed följande Bilaga Personuppgiftsbiträdesavtal.
E-legitimationsnämnden Nils Fjelkegård 171 94 SOLNA. Stockholm 2012-09-03
E-legitimationsnämnden Nils Fjelkegård 171 94 SOLNA Stockholm 2012-09-03.SE:s svar på E-legitimationsnämndens remiss av utkast till regelverk.se har tagit del av E-legitimationsnämndens remiss daterad
Allmänna villkor Hosting
Allmänna villkor Hosting 1 Allmänt 2 Tjänsterna 3 Avtalstid och uppsägning 4 Domännamn 5 Avgifter 6 Överlåtelse av Tjänsterna 7 Leafstudios ansvar 8 Kunds ansvar 9 Force majeure 10 Övrigt 1 Allmänt 1.
Bilaga 3. Ramavtal SMHI och XXXXX
Bilaga 3 Ramavtal SMHI och XXXXX Innehållsförteckning 1 Parter... 1 2 Avtalets omfattning... 1 3 Avtalstid - Förlängning... 1 4 Avtalshandlingar... 1 5 Överlåtelse av avtalet... 1 6 Leverantörens åtaganden...