för identitetsfederationer för Svensk e-legitimation

1 (26) Ref.nr: ELN-0500-v1.1 Huvudtext Regelverk för identitetsfederationer för Svensk e-legitimation

2 (26) Ref.nr: ELN-0500-v1.1 Huvudtext Innehåll 1. Bakgrund och syfte 3 2. Definitioner 4 3. Regelverket 5 4. Identitetsfederationen 9 5. Regler för Federationsoperatören 12 6. Regler för Leverantörer av eid-tjänst 14 7. Regler för Tillhandahållare av e-tjänst 18 8. Persondataskydd 20 9. Sekretess 21 10. Kontroll 22 11. Immateriella rättigheter 22 12. Reklamation 23 13. Befrielsegrund 23 14. Begränsning av åtkomst till Identitetsfederationen 23 15. Uppsägning av Anslutningsavtal 23 16. Verkan av Anslutningsavtals upphörande 25 17. Meddelanden 25 18. Tillämplig lag och tvister 26

3 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 1. Bakgrund och syfte 1.1 Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering (e-legitimationer) i den offentliga förvaltningens e-tjänster. 1.2 E-legitimationsnämnden har tagit fram regler för e-legitimationer som avses kunna användas både för den offentliga förvaltningens e-tjänster och för privata e-tjänster. De utfärdare av e-legitimationer som uppfyller de uppställda reglerna kan genom avtal med E-legitimationsnämnden ges rätt att använda ett särskilt kännetecken i anslutning till kravenliga e-legitimationer. 1.3 Regelverket för identitetsfederationer för Svensk e-legitimation syftar till att etablera en modell för att reglera förhållandet mellan parterna i en så kallad identitetsfederation bestående av (a) (b) (c) parter som tillhandahåller e-tjänster där det krävs elektronisk legitimering eller elektronisk underskrift, parter som levererar intyg i elektronisk form med uppgifter om e-legitimationsinnehavares identitet eller attribut, och en part som handlägger och administrerar anslutning till federationen och tillhandahåller de register och tjänster som behövs för att samordna leverans av intygen till e-tjänsterna. Avsikten är att denna modell, tillsammans med de nämnda reglerna för e-legitimationer, ska underlätta samordning mellan identitetsfederationer och tillhandahållande av motsvarande tjänster inom flera identitetsfederationer. Sådan samordning avses främja tillhandahållande och användning av elektronisk identifiering och underskrift inom både offentlig och privat sektor. 1.4 Detta regelverk (Regelverket) är tillämpligt mellan parter i en identitetsfederation. Part ansluts till identitetsfederationen genom skriftligt avtal. Ändring av och tillägg till Regelverket samordnas med andra gällande regelverk för identitetsfederationer för Svensk e-legitimation på sätt som anges i Regelverket och

4 (26) Ref.nr: ELN-0500-v1.1 Huvudtext E-legitimationsnämndens interna föreskrifter IFS 2009:01 om förvaltning av infrastrukturen för Svensk e-legitimation. Avtalsvillkor som avviker från bestämmelserna i det vid var tid gällande Regelverket gäller endast mellan parter som skriftligen avtalat om sådant avtalsvillkor. 2. Definitioner I Regelverket betyder 1. Anslutningsavtal: ett sådant avtal om anslutning av en Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst som avses i punkt 4.3.1 respektive 4.4.1, 2. Användare: en fysisk person som har en Svensk e-legitimation, 3. Identitetsfederationen: den samverkan för elektronisk legitimering av Användare som regleras i Anslutningsavtalen och Regelverket, 4. Identitetsintyg: ett av en Leverantör av eid-tjänst utställt intyg i elektronisk form med uppgifter om en Användares identitet och attribut, 5. Federationsoperatören: den part som inom Identitetsfederationen för Metadataregister, tillhandahåller aktuella Tilläggstjänster, handlägger och administrerar Anslutningsavtal, samt tillhandahåller därmed förenade tjänster och i övrigt förvaltar Identitetsfederationen, 6. Kännetecknen: de särskilda kännetecken som E-legitimationsnämnden från tid till annan anvisar för användning i anslutning till Svensk e-legitimation och som för närvarande har den utformning som framgår av Bilaga K, 7. Legitimeringstjänst: en av en Leverantör av eid-tjänst tillhandahållen tjänst för legitimering av Användare och utställande av Identitetsintyg med stöd av Svensk e-legitimation, 8. Leverantör av eid-tjänst: en part som enligt tillämpligt Anslutningsavtal avses tillhandahålla Legitimeringstjänst och aktuella Tilläggstjänster och leverera Identitetsintyg, samt tillhandahålla därmed förenade tjänster,

5 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 9. Metadataregister: det register som Federationsoperatören för över Leverantörer av eid-tjänst, Tillhandahållare av e-tjänst, m.m., 10. Part: var och en av Federationsoperatören, Leverantörerna av eid-tjänst och Tillhandahållarna av e-tjänst, 11. Svensk e-legitimation: de tekniska hjälpmedel för elektronisk identifiering som tillhandahålls av en Utfärdare av Svensk e-legitimation och uppfyller de krav som E-legitimationsnämnden har ställt upp i avtal med utfärdaren, 12. Tekniska ramverket: de tekniska specifikationer för Identitetsfederationer för Svensk e-legitimation som E-legitimationsnämnden från tid till annan föreskriver och som för närvarande har den utformning som framgår av Bilaga E, 13. Tillhandahållare av e-tjänst: en part som enligt tillämpligt Anslutningsavtal avses beställa Identitetsintyg för att hantera frågor om identitet och attribut i anslutning till en e-tjänst, 14. Tillitsnivåer: de skyddsklasser för Svensk e-legitimation som anges i Tillitsramverket, 15. Tillitsramverket: de regler om Tillitsnivåer som E-legitimationsnämnden från tid till annan föreskriver och som för närvarande har den utformning som framgår av Bilaga B, 16. Tilläggstjänster: de tjänster som beskrivs i Bilaga G, och 17. Utfärdare av Svensk e-legitimation: en part som enligt avtal med E-legitimationsnämnden har rätt att, i anslutning till e-legitimationer som uppfyller i avtalet uppställda krav, använda Kännetecknen. 3. Regelverket 3.1 Identitetsfederationens reglering Identitetsfederationen regleras genom Regelverket och Anslutningsavtalen i den utsträckning avvikande bestämmelser inte föreskrivits i tvingande lag eller annan tvingande författning. Om ett Anslutningsavtal innehåller bestämmelse som står i motsättning till bestämmelse i Regelverket ska bestämmelsen i Anslutningsavtalet gå före bestämmelsen i Regelverket om inte omständigheterna uppenbarligen föranleder annat.

6 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 3.2 Regelverkets delar Regelverket består av denna huvudtext och följande bilagor: Bilaga A Bilaga B Bilaga C Bilaga D Bilaga E Bilaga F Bilaga G Bilaga H Bilaga I Bilaga J Bilaga K Bilaga L Bilaga M Ersättning och fakturering (federationsspecifik) Tillitsramverk för Svensk e-legitimation Servicenivåer (federationsspecifik) Tekniska specifikationer (federationsspecifik) Tekniskt ramverk för Svensk e-legitimation Krav avseende medverkan till test (federationsspecifik) Tilläggstjänster (federationsspecifik) Användargränssnitt m.m. Fördelning av personuppgiftsansvar (federationsspecifik) Rapporteringsrutiner (federationsspecifik) Kännetecken för Svensk e-legitimation E-legitimationsnämndens interna föreskrifter IFS 2009:01 om förvaltning av infrastrukturen för elektronisk identifiering Förteckning över ändringar och tillägg (federationsspecifik) 3.3 Tolkningsordning Om bestämmelser i Regelverket står i motsättning till varandra ska (a) en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,

7 (26) Ref.nr: ELN-0500-v1.1 Huvudtext (b) (c) (d) (e) en bestämmelse i denna huvudtext gå före en bestämmelse i någon av bilagorna, en bestämmelse i en i punkt 3.2 tidigare nämnd bilaga gå före en bestämmelse i en senare nämnd bilaga, en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre dokument, och en specifik bestämmelse gå före en allmän bestämmelse. Dessa tolkningsregler ska tillämpas så att en tidigare i (a) (d) nämnd regel går före en senare nämnd regel. 3.4 Ändring och tillägg 3.4.1 förvaltas på det sätt som föreskrivs i E-legitimationsnämndens senast beslutade interna föreskrifter IFS 2009:01 om förvaltning av infrastrukturen för Svensk e-legitimation, vilka för närvarande har det innehåll som framgår av Bilaga L. Om Identitetsfederationen inte är den identitetsfederation för offentlig sektor där E-legitimationsnämnden är federationsoperatör gäller punkt 3.4.2-3.4.5 dock inte med avseende på de bilagor som i punkt 3.2 anges vara federationsspecifika. 3.4.2 De ändringar av eller tillägg till Regelverk för identitetsfederationer för Svensk e-legitimation som beslutats enligt de föreskrifter som nämns i punkt 3.4.1 ska gälla även för Regelverket. Ändring eller tillägg som innebär avvikelse från reglerna i denna huvudtext, Bilaga A eller Bilaga C gäller dock inte om Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst till Federationsoperatören har lämnat en sakligt grundad invändning mot ändringen eller tillägget senast 30 dagar efter underrättelse om ändringen eller tillägget lämnats enligt punkt 3.4.3, såvida inte ändringen eller tillägget av E-legitimationsnämnden har beslutats vara nödvändigt på grund av allvarliga säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. Invändning får inte lämnas av Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst vars Anslutningsavtal upphör att gälla före ändringen eller tilläggets planerade ikraftträdande och invändning med grund i att konkurrensen

8 (26) Ref.nr: ELN-0500-v1.1 Huvudtext skulle öka genom föreslagen ändring eller tillägg, eller annan liknande grund, ska aldrig anses saklig. 3.4.3 Federationsoperatören ska utan dröjsmål underrätta samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst om de ändringar och tillägg som beslutats enligt den procedur som nämns i punkt 3.4.1. Federationsoperatören ska i underrättelsen ange om beslutet, enligt vad som anges i punkt 3.4.2, har direkt tillämplighet eller om ändringen eller tillägget kan hindras genom sakligt grundad invändning från Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst. Federationsoperatören ska även ange det datum då ändringen eller tillägget ska träda i kraft alternativt det datum då invändning mot ändringen eller tillägget ska ha lämnats till Federationsoperatören. 3.4.4 För ändring eller tillägg som enligt punkt 3.4.2 kan hindras genom sakligt grundad invändning från Leverantörer av eidtjänst eller Tillhandahållare av e-tjänst, ska Federationsoperatören, efter att tid för lämnande av invändning har gått ut, utan dröjsmål underrätta samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst om huruvida ändringen ska införas i Regelverket (varvid invändning från Part vars Anslutningsavtal samtidigt sägs upp enligt punkt 15.3 inte ska hindra införande, men ändringen eller tillägget ska i så fall träda ikraft tidigast den dag sådana Anslutningsavtal upphör). 3.4.5 En ändring eller ett tillägg som beslutats enligt de föreskrifter som nämns i punkt 3.4.1 ska träda i kraft den dag som anges i beslutet eller sådan senare dag som följer av punkt 3.4.4. Ändringen eller tillägget ska dock tidigast träda i kraft 180 dagar efter att Federationsoperatören har underrättat samtliga Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst enligt punkt 3.4.3, såvida inte annat datum överenskommits mellan Parterna eller, enligt de föreskrifter som nämns i punkt 3.4.1, beslutats på grund av att ändringen eller tillägget uppenbart är av ringa betydelse eller på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. 3.4.6 Med undantag för vad som anges i punkt 3.4.2-3.4.5 och vad som annars särskilt avtalats måste samtliga Parter samtycka till ändring av eller tillägg till Regelverket för att ändringen eller tillägget ska vara bindande.

9 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 3.4.7 Federationsoperatören ska i Bilaga M förteckna de ändringar och tillägg som gäller för Regelverket. Federationsoperatören ska vidare bevara, och på begäran av Leverantör av eid-tjänst respektive Tillhandahållare av e-tjänst tillhandahålla, alla tidigare gällande versioner av Regelverket samt det vid var tid gällande Regelverket. 4. Identitetsfederationen 4.1 Roller 4.1.1 Federationsoperatören för Metadataregister, tillhandahåller aktuella Tilläggstjänster, handlägger och administrerar Anslutningsavtal, samt tillhandahåller därmed förenade tjänster och förvaltar Identitetsfederationen i övrigt. 4.1.2 Leverantör av eid-tjänst tillhandahåller Legitimeringstjänst och aktuella Tilläggstjänster och levererar Identitetsintyg, samt tillhandahåller därmed förenade tjänster. 4.1.3 Tillhandahållare av e-tjänst beställer och tar emot Identitetsintyg för att hantera frågor om identitet och attribut i anslutning till e-tjänst. 4.2 Förvaltning Leverantörerna av eid-tjänst och Tillhandahållarna av e-tjänst uppdrar åt Federationsoperatören att förvalta Identitetsfederationen enligt Regelverket. Leverantörerna och tillhandahållarna får inte vidta åtgärder i förvaltningen utan särskilt uppdrag från Federationsoperatören. 4.3 Anslutning av en Leverantör av eid-tjänst 4.3.1 Anslutning av en Leverantör av eid-tjänst till Identitetsfederationen sker efter ansökan hos Federationsoperatören, genom att operatören, för sig själv samt på uppdrag av samtliga Tillhandahållare av e-tjänst, tecknar avtal om anslutning (Anslutningsavtal) med Leverantören av eid-tjänst. När sådant Anslutningsavtal upphör, upphör även leverantörens anslutning till Identitetsfederationen.

10 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 4.3.2 Federationsoperatören får ingå Anslutningsavtal med en Leverantör av eid-tjänst endast om leverantören förpliktigar sig att följa de krav som följer av Regelverket. 4.4 Anslutning av en Tillhandahållare av e-tjänst 4.4.1 Anslutning av en Tillhandahållare av e-tjänst till Identitetsfederationen sker efter ansökan hos Federationsoperatören, genom att operatören tecknar avtal om anslutning (Anslutningsavtal) med Tillhandahållaren av e-tjänst samt, på uppdrag av tillhandahållaren och respektive Leverantör av eid-tjänst, ansluter tillhandahållaren till de Anslutningsavtal genom vilka Leverantörerna av eid-tjänst anslutits. När Anslutningsavtalet mellan Federationsoperatören och Tillhandahållare av e-tjänst upphör, upphör även tillhandahållarens anslutning till Identitetsfederationen. 4.4.2 Federationsoperatören får ingå Anslutningsavtal med en Tillhandahållare av e-tjänst endast om Tillhandahållaren av e-tjänst förpliktigar sig att följa de krav som följer av Regelverket. 4.5 Aktivering efter anslutning 4.5.1 De anslutningar och funktioner hos Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst som samverkar med Identitetsfederationen, får inte aktiveras förrän de testats och Federationsoperatören funnit att de fungerar på ett tillförlitligt sätt. Leverantör av eid-tjänst som ska anslutas till Identitetsfederationen ska, senast 60 dagar före den startdag som anges i tillämpligt Anslutningsavtal, tillhandahålla anslutningar och funktioner för testning enligt de krav som anges i Bilaga F och i övrigt i skälig omfattning på det sätt som Federationsoperatören anger. Federationsoperatören ska, senast 60 dagar efter att sådana anslutningar och funktioner tillhandahållits för test, aktivera anslutningarna och funktionerna om de uppfyller kraven i Regelverket (annars förlängs testperioden med 15 dagar i taget). 4.5.2 Federationsoperatören ska tillhandahålla en testmiljö för test av tillkommande Leverantörer av eid-tjänst respektive Tillhandahållare av e-tjänst enligt 4.5.1 samt leda och i skälig omfattning medverka i sådana tester.

11 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 4.5.3 Leverantörer av eid-tjänst ska, i enlighet med Bilaga F och i övrigt i skälig omfattning, på begäran av Federationsoperatören medverka till test av tillkommande Tillhandahållare av e-tjänst enligt 4.5.1. 4.6 Ersättning och fakturering Den ersättning och de avgifter som Part ska betala och den ersättning som Part har rätt till framgår av Bilaga A. I Bilaga A anges även hur fakturering ska ske mellan Partnerna. 4.7 Säker kommunikation Part ska i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av Bilaga D, kontrollera motpartens identitet och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som där anges. 4.8 Samarbetsformer 4.8.1 Samarbetet inom Identitetsfederationen ska inte anses medföra något agentförhållande, enkelt bolag eller handelsbolag eller någon annan liknande sammanslutning. Part får inte företräda annan Part utan den sistnämnda Partens skriftliga medgivande såvida inte annat följer av Regelverket eller Anslutningsavtal. 4.8.2 Part svarar själv för sina åtaganden enligt Regelverket och Anslutningsavtal om inte annat uttryckligen anges. Solidariskt ansvar föreligger således inte och Federationsoperatören svarar exempelvis inte för Leverantörer av eid-tjänsts tillhandahållande av Identitetsintyg eller leverantörernas rätta fullgörande av sina åtaganden i övrigt. Avtalsbrott enligt Regelverket eller Anslutningsavtal får vidare göras gällande endast av berörd Part. 4.8.3 Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Regelverket eller Anslutningsavtal. 4.8.4 Part får anlita underleverantör för fullgörande av sina åtaganden enligt Regelverket eller Anslutningsavtal men svarar då för underleverantörens åtgärder som om Parten hade utfört åtgärderna själv. Innan en Leverantör av eid-tjänst anlitar en underleverantör för utförande av sina åtaganden enligt aktuellt Anslut-

12 (26) Ref.nr: ELN-0500-v1.1 Huvudtext ningsavtal ska leverantören vidare skriftligen underrätta Federationsoperatören om vilken underleverantör som avses anlitas. 4.8.5 Part ska medverka i samarbetet inom Identitetsfederationen och därvid samarbeta och samråda med övriga Partner samt i skälig omfattning informera dessa Parter om de omständigheter som kan antas påverka vad som regleras i Regelverket. Tillhandahållare av e-tjänst ska bland annat i god tid informera Federationsoperatören om period då någon av tillhandahållarens anslutna e-tjänster förväntas vara utsatt för extra hög eller tidskritisk belastning eller Tillhandahållaren av e-tjänst annars kan komma att behöva extra stöd. Federationsoperatören ska kommunicera sådan information vidare till Leverantörerna av eid-tjänst. 5. Regler för Federationsoperatören 5.1 Förvaltning Federationsoperatören ska handlägga och administrera Anslutningsavtal samt i övrigt förvalta Identitetsfederationen i enlighet med Regelverket. 5.2 Metadataregistret Federationsoperatören ska föra Metadataregistret i enlighet med Bilaga D. 5.3 Tilläggstjänster Om för Federationsoperatören aktuell Tilläggstjänst förtecknas i Bilaga G, ska operatören i enlighet därmed tillhandahålla Tilläggstjänsten i den utsträckning som anges i respektive Anslutningsavtal. 5.4 Användargränssnitt Federationsoperatören ska utforma de användargränssnitt och dylikt som operatören, eller den operatören svarar för, tillhandahåller till Användare, i enlighet med Bilaga H. 5.5 Incidenthantering och rapportering 5.5.1 Om Federationsoperatören upptäcker missbruk av dess tjänster ska operatören skyndsamt stänga av den aktuella tjänsten eller

13 (26) Ref.nr: ELN-0500-v1.1 Huvudtext vidta andra lämpliga åtgärder för att förhindra upprepat missbruk. 5.5.2 Federationsoperatören ska rapportera incidenter, m.m. till Leverantörerna av eid-tjänst och Tillhandahållarna av e-tjänst i enlighet med Bilaga J. 5.5.3 Federationsoperatören ska löpande rapportera prognoser och andra uppgifter till Leverantör av eid-tjänst i enlighet med Bilaga J. 5.6 Fackmannamässighet m.m. 5.6.1 Federationsoperatören ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med Regelverket, gällande lagar och andra författningar, myndighetsbeslut och inom relevant område förekommande god branschpraxis. 5.6.2 Federationsoperatören ska i tillämpliga delar följa de regler och metoder som anges i Tillitsramverket. 5.7 Servicenivåer och ansvar för fel 5.7.1 För tillhandahållande av aktuell Tilläggstjänst gäller de servicenivåer som i Bilaga C anges för den aktuella Tilläggstjänsten. Såvida inte uppsåt eller grov oaktsamhet föreligger ansvarar Federationsoperatören för avvikelser från servicenivåerna endast enligt vad som anges i Bilaga C. 5.7.2 Föreligger fel eller försening i Federationsoperatören fullgörande av sina åtaganden enligt Regelverket eller Anslutningsavtal, som inte omfattas av sådan servicenivå som nämns i punkt 5.7.1 men som operatören svarar för, ska Federationsoperatören med den skyndsamhet som omständigheterna kräver avhjälpa felet eller förseningen om så är möjligt. Federationsoperatören ska under den tid som felet eller förseningen föreligger i skälig utsträckning sätta ned den eller de avgifter som enligt Bilaga A gäller för den eller de tjänster som påverkas av felet. Om felet orsakats av Federationsoperatörens vårdslöshet är operatören skadeståndsansvarig med de begränsningar som följer av punkt 5.8.

14 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 5.8 Ansvarsbegränsningar 5.8.1 I andra fall än sådana avvikelser från servicenivåer som avses i punkt 5.7.1 är Federationsoperatörens skadeståndsansvar begränsat till ansvar för direkt skada som operatören vållar annan Part genom vårdslöshet. 5.8.2 Federationsoperatörens skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar 35 prisbasbelopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proportion till de skadelidande Parternas skada. 5.8.3 Begränsningarna som anges i denna punkt 5.8 ska inte gälla om uppsåt eller grov vårdslöshet föreligger. 5.9 Beställning av Identitetsintyg Federationsoperatören har rätt att beställa Identitetsintyg från Leverantörer av eid-tjänst. Reglerna i punkt 7, liksom skyldigheten att betala ersättning för Identitetsintyg i enlighet med Bilaga A, gäller då i tillämpliga delar för operatören. 6. Regler för Leverantörer av eid-tjänst 6.1 Legitimeringstjänst och Identitetsintyg 6.1.1 Leverantör av eid-tjänst ska, från och med den startdag som anges i tillämpligt Anslutningsavtal, tillhandahålla Legitimeringstjänst i enlighet med Bilaga D, för samtliga de Svenska e-legitimationer som leverantören svarar för enligt Anslutningsavtalet. 6.1.2 Leverantör av eid-tjänst ska, från och med den startdag som anges i tillämpligt Anslutningsavtal, leverera ett Identitetsintyg i enlighet med Bilaga D varje gång en Tillhandahållare av e-tjänst anvisat en Användare till leverantörens Legitimeringstjänst och sådan Användare på korrekt sätt legitimerat sig själv med en sådan Svensk e-legitimation som leverantören svarar för enligt tillämpligt Anslutningsavtal. 6.1.3 Identitetsintyg från Leverantör av eid-tjänst ska grunda sig på Svensk e-legitimation. En e-legitimation som utfärdats av en

15 (26) Ref.nr: ELN-0500-v1.1 Huvudtext part som tidigare varit en Utfärdare av Svensk e-legitimation men vars avtal med E-legitimationsnämnden om användande av Kännetecknen har upphört, ska därvid anses vara en Svensk e-legitimation endast i den utsträckning Federationsoperatören begär att Leverantör av eid-tjänst ska fortsätta att leverera Identitetsintyg för sådan e-legitimation. 6.1.4 Leverantör av eid-tjänst svarar för att levererade Identitetsintyg och de e-legitimationer som ligger till grund för intygen, har utfärdats i enlighet med de regler och metoder som anges i Tillitsramverket för de aktuella Tillitsnivåerna. 6.1.5 Leverantör av eid-tjänst ska, i den utsträckning som skäligen kan krävas, på begäran av Federationsoperatören eller en Tillhandahållare av e-tjänst tillhandahålla de ytterligare uppgifter som i samband med att en Användare ifrågasatt ett Identitetsintygs utställande eller riktighet, kan behövas för att kontrollera leveransen av eller uppgifterna i Identitetsintyget. Leverantören ansvarar för att sådana ytterligare uppgifter kan tillhandahållas även om den e-legitimation som ligger till grund för Identitetsintyget har utfärdats av annan än leverantören. 6.2 Tilläggstjänster Om för Leverantör av eid-tjänst aktuell Tilläggstjänst förtecknas i Bilaga G, ska leverantören i enlighet därmed tillhandahålla Tilläggstjänsten i den utsträckning som anges i respektive Anslutningsavtal. 6.3 Uppgifter om Användare Leverantör av eid-tjänst får behandla sådana uppgifter om Användare, som leverantören får kännedom om genom samarbetet inom Identitetsfederationen, endast i den utsträckning som krävs för att leverantören ska kunna fullgöra rättsliga skyldigheter eller åtaganden enligt Anslutningsavtal. Leverantören ska behandla uppgifterna på sätt som begränsar risken för övervakning eller kartläggning av enskildas personliga förhållanden.

16 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 6.4 Användargränssnitt och kundtjänst 6.4.1 Leverantör av eid-tjänst ska utforma de användargränssnitt och dylikt som leverantören, eller den leverantören svarar för, tillhandahåller till Användare, i enlighet med Bilaga H. 6.4.2 Leverantör av eid-tjänst ska tillhandahålla kundtjänst med god tillgänglighet där Federationsoperatören och Tillhandahållare av e-tjänst samt de som innehar en Svensk e-legitimation för vilken leverantören ger ut Identitetsintyg, per telefon och e-post kan ställa frågor rörande leverantörens tjänster. Kontaktuppgifter för sådan kundtjänst ska av Leverantör av eid-tjänst uppges till Federationsoperatören för publicering på Federationsoperatörens webbplats. Leverantör av eid-tjänst ska erbjuda Federationsoperatören och Tillhandahållare av e-tjänst möjlighet att teckna särskilt avtal om utökade öppettider för kundtjänst under särskilda perioder; innehållet i sådant avtal bestäms mellan parterna till avtalet. 6.5 Incidenthantering och rapportering 6.5.1 Om en Leverantör av eid-tjänst upptäcker missbruk av dess tjänster ska leverantören skyndsamt stänga av den aktuella tjänsten eller vidta andra lämpliga åtgärder för att förhindra upprepat missbruk. 6.5.2 Leverantör av eid-tjänst ska rapportera incidenter, statistik, förändringar, m.m. till Federationsoperatören i enlighet med Bilaga J. 6.6 Fackmannamässighet Leverantör av eid-tjänst ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med Regelverket, gällande lagar och andra författningar, myndighetsbeslut och inom relevant område förekommande god branschpraxis. 6.7 Servicenivåer och ansvar för fel 6.7.1 För tillhandahållande av Legitimeringstjänst och aktuell Tilläggstjänst och leverans av Identitetsintyg, gäller de servicenivåer som anges i Bilaga C för de aktuella tjänsterna och leveransen. Såvida inte uppsåt eller grov oaktsamhet föreligger ansvarar Le-

17 (26) Ref.nr: ELN-0500-v1.1 Huvudtext verantör av eid-tjänst för avvikelser från servicenivåerna endast enligt vad som anges i Bilaga C. 6.7.2 Föreligger fel i levererat Identitetsintyg som inte omfattas av sådan servicenivå som nämns i punkt 6.7.1 men som Leverantör av eid-tjänst svarar för, har leverantören inte rätt till ersättning för Identitetsintyget. Om felet orsakats av att leverantörens brott mot punkt 6.1.4 eller annan vårdslöshet som leverantören svarar för, är leverantören skadeståndsansvarig med de begränsningar som följer av punkt 6.8. Om ett Identitetsintyg har utfärdats enligt de regler och metoder som anges i Tillitsramverket för den aktuella Tillitsnivån svarar Leverantören av eid-tjänst emellertid inte för en eventuell oriktig identifiering eller annan brist i resultat av identifiering. 6.7.3 Föreligger fel eller försening i Leverantör av eid-tjänsts fullgörande av sina åtaganden enligt Regelverket eller Anslutningsavtal, som inte omfattas av punkt 6.7.1 eller 6.7.2 men som Leverantör av eid-tjänst svarar för, ska leverantören med den skyndsamhet som omständigheterna kräver avhjälpa felet eller förseningen om så är möjligt. Leverantören av eid-tjänst ska under den tid som felet eller förseningen föreligger i skälig utsträckning sätta ned den eller de avgifter som enligt Bilaga A gäller för den eller de tjänster som påverkas av felet. Om felet eller förseningen orsakats av Leverantör av eid-tjänsts vårdslöshet är leverantören skadeståndsansvarig med de begränsningar som följer av punkt 6.8. 6.8 Ansvarsbegränsningar 6.8.1 I andra fall än sådana avvikelser från servicenivåer som avses i punkt 6.7.1 är Leverantör av eid-tjänsts skadeståndsansvar begränsat till ansvar för direkt skada som leverantören vållar Federationsoperatören eller Tillhandahållare av e-tjänst genom vårdslöshet. 6.8.2 Leverantör av eid-tjänsts skadeståndsansvar gentemot respektive Tillhandahållare av e-tjänst är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 30 % av den totala ersättning som leverantören är berättigad till enligt Regelverket för utförande av tjäns-

18 (26) Ref.nr: ELN-0500-v1.1 Huvudtext ter till aktuell tillhandahållare under de 12 månader som föregick skadetillfället. 6.8.3 Leverantör av eid-tjänsts skadeståndsansvar gentemot Federationsoperatören är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som leverantören är berättigad till enligt Regelverket (från samtliga aktuella Parter) för utförande av tjänster under de 12 månader som föregick skadetillfället. 6.8.4 Begränsningarna som anges i denna punkt 6.8 ska inte gälla om uppsåt eller grov vårdslöshet föreligger. 6.9 Försäkring Leverantör av eid-tjänst ska inneha ändamålsenlig och tillräcklig ansvarsförsäkring med hänsyn till det ansvar som kan uppkomma för leverantören enligt Regelverket. 7. Regler för Tillhandahållare av e-tjänst 7.1 Användning av intyg och tjänster 7.1.1 Tillhandahållare av e-tjänst har rätt att beställa Identitetsintyg från Leverantörer av eid-tjänst. 7.1.2 En begäran från en Tillhandahållare av e-tjänst om Identitetsintyg ska framställas i enlighet med Bilaga D. Tillhandahållaren av e-tjänst bedömer vilken Tillitsnivå som krävs. 7.1.3 Tillhandahållare av e-tjänst får använda Identitetsintyg endast för att hantera frågor om identitet i anslutning till tillhandahållarens e-tjänst samt för därmed förenade förhållanden och endast i enlighet med gällande lagar, andra författningar, myndighetsbeslut och god sed. Tillhandahållare av e-tjänst får använda Identitetsintyget för att utfärda ny identifiering av den aktuella Användaren endast för kortvarig identifiering i enlighet med handelsbruk eller annan sedvänja, varvid en ny identifiering som syftar till att ersätta framtida beställningar av Identitetsintyg inte ska anses omfattas av sådan sedvänja.

19 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 7.1.4 Tillhandahållare av e-tjänst får i anslutning till dess e-tjänst och i marknadsföringen av e-tjänsten använda sådana kännetecken och beteckningar tillhörande Leverantör av eid-tjänst respektive Federationsoperatören som avser Identitetsfederationen eller annan tjänst som tillhandahålls till Tillhandahållaren av e-tjänst inom Identitetsfederationen, men endast i enlighet med god sed med hänsyn till Leverantör av eid-tjänsts respektive Federationsoperatörens immaterialrätt och anseende. 7.1.5 Tillhandahållare av e-tjänst ska vidta lämpliga åtgärder för att motverka obehörig användning av Svensk e-legitimation i anslutning till tillhandahållarens e-tjänst och därvid bland annat implementera de tekniska skydd som framgår av Bilaga D. 7.1.6 Tillhandahållare av e-tjänst får använda Tilläggstjänsterna endast i enlighet med de begräsningar som anges Bilaga G. 7.2 Användargränssnitt Tillhandahållare av e-tjänst ska utforma de användargränssnitt och dylikt som tillhandahållaren, eller den tillhandahållaren svarar för, tillhandahåller till Användare, i enlighet med Bilaga H. 7.3 Incidenthantering och rapportering 7.3.1 Om en Tillhandahållare av e-tjänst upptäcker missbruk av dess tjänster ska tillhandahållaren skyndsamt stänga av den aktuella tjänsten eller vidta andra lämpliga åtgärder för att förhindra upprepat missbruk. 7.3.2 Tillhandahållare av e-tjänst ska rapportera incidenter, prognoser, m.m. till Federationsoperatören i enlighet med Bilaga J. 7.4 Ansvarsbegränsningar 7.4.1 Tillhandahållare av e-tjänsts skadeståndsansvar är begränsat till ansvar för direkt skada som tillhandahållaren vållar Federationsoperatören eller Leverantör av eid-tjänst genom vårdslöshet. 7.4.2 Tillhandahållare av e-tjänsts skadeståndsansvar gentemot respektive Leverantör av eid-tjänst är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäk-

20 (26) Ref.nr: ELN-0500-v1.1 Huvudtext ringsbalken och (ii) 30 % av den totala ersättning som tillhandahållaren är skyldig att betala till leverantören enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället. 7.4.3 Tillhandahållare av e-tjänsts skadeståndsansvar gentemot Federationsoperatören är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som tillhandahållaren är skyldig att betala enligt Regelverket (till samtliga aktuella Parter) för utförande av tjänster under de 12 månader som föregick skadetillfället. 7.4.4 Begränsningarna som anges i denna punkt 7.4 ska inte gälla om uppsåt eller grov vårdslöshet föreligger. 8. Persondataskydd 8.1 Parternas uppfattning om hur personuppgiftsansvar för uppgifter i anslutning till Identitetsfederationen fördelas mellan Parterna framgår av Bilaga I, men varje Part ansvarar själv för att tillämpliga persondataskyddsregler följs. 8.2 I samband med utförandet av åtaganden enligt Regelverket kan Part såsom personuppgiftsbiträde komma att behandla personuppgifter för en personuppgiftsansvarig Parts räkning. Reglerna i punkt 8.2.1-8.2.4 ska då gälla mellan personuppgiftsbiträdet och den personuppgiftsansvarige. 8.2.1 Personuppgiftsbiträdet får behandla personuppgifterna endast i den utsträckning som krävs för att fullgöra åtaganden gentemot den personuppgiftsansvarige och endast i enlighet med den personuppgiftsansvariges instruktioner. 8.2.2 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för detta ändamål följa av Datainspektionen fattade beslut och utfärdade riktlinjer om åtgärder för att uppfylla personuppgiftslagens säkerhetskrav. Närmare regler om säkerhet anges i Tillitsramverket. 8.2.3 Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige om någon begär att få ta del av information som finns registre-

21 (26) Ref.nr: ELN-0500-v1.1 Huvudtext rad om honom eller henne eller begär rättelse av sådan information. Personuppgiftsbiträdet ska även bistå den personuppgiftsansvarige efter begäran från myndighet. 8.2.4 Den personuppgiftsansvarige är enligt personuppgiftslagen ansvarig gentemot registrerade personer för mot lagen stridande behandling. Om en registrerad eller annan tredje man riktar krav mot den personuppgiftsansvarige avseende behandling som utförts av personuppgiftsbiträdet på ett sätt som stred mot den personuppgiftsansvariges instruktioner eller Regelverket ska personuppgiftsbiträdet hålla den personuppgiftsansvarige skadeslös för sådana krav. 8.2.5 Innan personuppgiftsbiträdet anlitar en underleverantör för behandling av personuppgifterna ska personuppgiftsbiträdet skriftligen underrätta den personuppgiftsansvarige om vilken underleverantör som avses anlitas samt, som ombud för den personuppgiftsansvarige, ingå ett avtal med underleverantören enligt vilket underleverantören åtar sig att gentemot den personuppgiftsansvarige följa vad som anges i punkt 8.2.1-8.2.4. 9. Sekretess Part får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom samarbetet inom Identitetsfederationen och (i) är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400; OSL) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits eller (ii) kan vara att betrakta som affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Parten är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen). Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt OSL eller annan tillämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i sådan tillämplig lagstiftning.

22 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 10. Kontroll 10.1 Om Federationsoperatören har sakliga skäl att misstänka att en Leverantör av eid-tjänst inte följer Regelverket eller tillämpligt Anslutningsavtal har Federationsoperatören rätt att, efter skriftligt meddelande till leverantören med angivande av åberopade skäl senast 14 dagar i förväg, låta en oberoende tredje part genomföra kontroll hos leverantören för att undersöka om leverantören följer Regelverket och Anslutningsavtalet. Leverantören av eid-tjänst ska samarbeta vid sådan kontroll och bereda den oberoende tredje parten tillträde till lokaler, utrustning, material och annat som kan vara av betydelse för kontrollen. Kontrollen ska ske under kontorstid och utföras på ett sådant sätt att den inte stör leverantörens verksamhet mer än vad som är skäligt med hänsyn till ändamålet. Kontrollen ska vidare genomföras med hänsyn till leverantörens behov av sekretess och Federationsoperatören svarar för att erforderliga avtal om sekretess träffas med tredje part som ska utföra kontrollen. 10.2 Leverantör av eid-tjänst ska tillse att Federationsoperatören har rätt att utföra kontroll enligt punkt 10.1 ovan även hos sådan underleverantör som utför del av leverantörens åtaganden enligt Regelverket eller tillämpligt Anslutningsavtal, såvida inte det kan anses orimligt med hänsyn till omfattningen och karaktären av de relevanta delarna. 10.3 Om det vid kontroll enligt punkt 10.1 framkommer att Leverantör av eid-tjänst inte följt Regelverket eller tillämpligt Anslutningsavtal och bristerna kan anses allvarliga, ska leverantören bära kostnaderna för kontrollen i den utsträckning sådana kostander inte är oskäliga. I annat fall bär vardera Parten sina egna kostnader. 11. Immateriella rättigheter Parternas samarbete inom Identitetsfederationen ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan, med undantag för i Regelverket eller i Anslutningsavtal uttryckligen angivna överlåtelse och upplåtelser samt rätten att nyttja tillhandahållna tjänster för och enligt de i Regelverket avsedda ändamålen och villkoren.

23 (26) Ref.nr: ELN-0500-v1.1 Huvudtext 12. Reklamation Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Anslutningsavtal eller Regelverket inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts. 13. Befrielsegrund Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Regelverket eller Anslutningsavtal, av omständighet som Parten inte kunnat råda över och som Parten inte skäligen kunde förväntas ha räknat med vid anslutningen till Identitetsfederationen och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 regeringsformen, oavsett om Parten själv är föremål för eller vidtar sådan åtgärd), eller av att Partens underleverantör förhindras fullgöra sin leverans på grund av omständighet som här angetts, ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation och befrielse från skadestånd och andra påföljder. Om Leverantör av eid-tjänst önskar åberopa sådan befrielsegrund ska leverantören utan oskäligt dröjsmål lämna Federationsoperatören skriftligt meddelande härom. 14. Begränsning av åtkomst till Identitetsfederationen Om Parts deltagande i Identitetsfederationen skadar eller riskerar att skada förtroendet för federationen exempelvis för att Parten vid upprepade tillfällen eller i väsentlig mån brister i förpliktelse enligt Regelverket har Federationsoperatören rätt att stänga av eller begränsa Partens åtkomst till Identitetsfederationen, varvid Parten snarast möjligt ska underrättas om begränsningen. En begränsning av Parts åtkomst till Identitetsfederationen får inte fortgå under längre tid än vad som är försvarligt med hänsyn till omständigheterna. 15. Uppsägning av Anslutningsavtal 15.1 Federationsoperatören har rätt att med omedelbar verkan säga upp ett Anslutningsavtal om den anslutna Parten

24 (26) Ref.nr: ELN-0500-v1.1 Huvudtext (a) (b) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Tillitsramverket, i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Anslutningsavtalet eller Regelverket och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom, (c) varit skyldig att utge maximalt vite enligt Bilaga C under 3 på varandra följande månader eller 4 av 6 på varandra följande månader, (d) (e) (f) försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses riskera att komma på obestånd, avhänder sig en väsentlig del av sina tillgångar eller ändrar inriktning på sin verksamhet, eller lämnat oriktiga uppgifter i ansökan om godkännande för anslutning till Identitetsfederationen och dessa uppgifter har varit av icke oväsentlig betydelse vid Federationsoperatörens godkännande av ansökan. 15.2 Federationsoperatören har rätt att, med iakttagande av minst 730 dagars uppsägningstid, säga upp samtliga (inte en del av) vid tidpunkten gällande Anslutningsavtal. 15.3 I samband med underrättelse enligt punkt 3.4.4 har Federationsoperatören rätt att, med iakttagande av minst 365 dagars uppsägningstid, säga upp ett Anslutningsavtal om den anslutna Parten invänt mot en ändring eller ett tillägg som beslutats enligt punkt 3.4.1 och ändringen eller tillägget kan hindras genom Partens invändning. 15.4 En Leverantör av eid-tjänst eller en Tillhandahållare av e-tjänst har rätt att, med iakttagande av minst 730 dagars uppsägningstid, när som helst säga upp det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen, varvid avtalet upphör att gälla i sin helhet på sätt som anges i punkt 16.2. 15.5 En Leverantör av eid-tjänst eller en Tillhandahållare av e-tjänst har rätt att säga upp det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen, om ändring eller tillägg som beslutats enligt punkt 3.4 är oskäligt betungande för leverantö-

25 (26) Ref.nr: ELN-0500-v1.1 Huvudtext ren eller tillhandahållaren, varvid avtalet upphör att gälla i sin helhet på sätt som anges i punkt 16.2. För att uppsägningen ska vara giltig måste den lämnas inom 60 dagar efter att ändringen eller tillägget tillkännagetts av Federationsoperatören och ange att Anslutningsavtalet ska upphöra tidigast den dag ändringen eller tillägget ska träda i kraft. 15.6 Leverantör av eid-tjänst respektive Tillhandahållare av e-tjänst får inte säga upp andra Anslutningsavtal som denne är part i än det Anslutningsavtal genom vilket Parten anslutits till Identitetsfederationen (jfr punkt 16). 15.7 Uppsägning ska ske skriftligen för att vara gällande. 16. Verkan av Anslutningsavtals upphörande 16.1 Identitetsfederationen fordrar att Tillhandahållare av e-tjänst är part i samtliga Anslutningsavtal för Leverantör av eid-tjänst. Om ett Anslutningsavtal för Tillhandahållare av e-tjänst upphör att gälla, ska Tillhandahållaren av e-tjänst automatiskt upphöra att vara part i samtliga Anslutningsavtal för Leverantör av eid-tjänst. 16.2 Om ett Anslutningsavtal för Leverantör av eid-tjänst upphör att gälla för Leverantören av eid-tjänst, ska Anslutningsavtalet upphöra i sin helhet. Avtalet ska således inte fortsätta gälla mellan Federationsoperatören och de Tillhandahållare av e-tjänst som är part i avtalet. 17. Meddelanden 17.1 Meddelanden som enligt Regelverket ska tillställas Part ska i skriftlig form översändas till den postadress, den e-postadress eller det faxnummer som mottagaren angivit i Anslutningsavtal eller meddelat till Federationsoperatören. Federationsoperatören ska på begäran av Leverantör av eid-tjänst eller Tillhandahållare av e-tjänst tillhandahålla angiven Parts senast meddelade postadress, e-postadress och faxnummer. 17.2 Leverantör av eid-tjänst respektive Tillhandahållare av e-tjänst får skriftligen lämna meddelande, som enligt Regelverket ska tillställas Part, till Federationsoperatören för vidarebefordran till angiven Leverantör av eid-tjänst eller Tillhandahållare av

26 (26) Ref.nr: ELN-0500-v1.1 Huvudtext e-tjänst. Federationsoperatören ska tillse att sådan vidarebefordran sker senast 5 arbetsdagar efter operatörens mottagande av meddelandet. 18. Tillämplig lag och tvister 18.1 Regelverket ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga. 18.2 Tvister angående tolkning eller tillämpning av Regelverket och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.

1 (4) Ref.nr: ELN-0501-v1.1 Bilaga A Ersättning och fakturering Regelverk för identitetsfederationer för Svensk e-legitimation Bilaga A Ersättning och fakturering

2 (4) Ref.nr: ELN-0501-v1.1 Bilaga A Ersättning och fakturering 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvudtexten i Regelverk för identitetsfederationer för Svensk e-legitimation (Regelverket). De begrepp som definieras i huvudtexten har samma betydelse i denna bilaga. 1.2 Bilagan anger den ersättning som Part ska betala respektive den ersättning som Part har rätt till. Bilagan anger även hur fakturering ska ske mellan Parterna. 2. Ersättning till Leverantör av eid-tjänst För Leverantör av eid-tjänsts utförande av åtaganden enligt Regelverket ska varje Tillhandahållare av e-tjänst, för respektive kalendermånad, betala en ersättning som beräknas genom att multiplicera det fasta priset f (beräknat enligt nedan) med det antal Användare som leverantören levererat Identitetsintyg för, till den aktuella tillhandahållaren under den aktuella kalendermånaden (betecknat i), dvs. enligt formeln f * i. Det fasta priset f ska fram till och med 31 december 2015 vara 2,03 kronor och därefter, för respektive kalenderår, beräknas enligt följande formel: (2 + 0,2 ) där B är ett baspris, beräknat enligt nedan, och j är det genomsnittliga antalet levererade Identitetsintyg (från samtliga Leverantör av eid-tjänst) per Användare och kalendermånad, under den 12-månadersperiod som avslutats efter den senast förekommande 30 september (dvs. den 1 oktober 2014 till och med den 30 september 2015 för det fasta pris som ska gälla från och med den 1 januari 2016). Baspriset B ska, för respektive kalenderår, vara det som anges i tabellen nedan för den sammanlagda summan N av antal levererade Identitetsintyg (från samtliga Leverantör av eid-tjänst) under den 12-månadersperiod som avslutats efter den senast förekommande 30 september: N Baspris < 60 0,711

3 (4) Ref.nr: ELN-0501-v1.1 Bilaga A Ersättning och fakturering 60 < N < 70 (0,711*60+0,695 *(70-N))/(N) N = 70 0,709 70 < N < 80 (0,711*60+0,695*10+0,678*(80-N))/N N = 80 0,705 80 < N < 90 (0,711*60+0,695*10+0,678*10+0,662*(90-N))/N N = 90 0,700 90 < N < 100 (0,711*60+0,695*10+0,678*10+0,662*10+0,645*(100-N))/N N = 100 0,695 100 < N < 120 (0,711*60+0,695*10+0,678*10+0,662*10+0,645*10+0,629*(120-N))/N N = 120 0,684 3. Avgifter till Federationsoperatören För de tjänster Federationsoperatören tillhandahåller enligt Regelverket ska Tillhandahållare av e-tjänst betala avgifter till Federationsoperatören i enlighet med tillämplig avgiftsföreskrift. 4. Fakturering och betalning 4.1 Leverantör av eid-tjänst ska, senast 15 dagar efter utgången av varje kalendermånad, fakturera den ersättning som leverantören enligt punkt 2 är berättigad till för utförande av åtaganden under kalendermånaden. En faktura ska ställas ut för varje aktuell Tillhandahållare av e-tjänst (och i förekommande fall för Federationsoperatören) och sändas till Federationsoperatören. Faktureringen ska ske med elektronisk faktura enligt standarden Svefaktura (VERVAFS 2007:1) och i enlighet med Federationsoperatörens vid var tid meddelande instruktioner. 4.2 Federationsoperatören ska, tidigast 16 och senast 25 dagar efter utgången av varje kalendermånad, tillställa varje aktuell Tillhandahållare av e-tjänst en sammanställning över den ersättning rörande tillhandahållaren som Federationsoperatören sedan utgången av kalendermånaden mottagit faktura för enligt punkt 4.1. Sammanställningen ska ange totalsumman av de fakturerade beloppen. 4.3 Tillhandahållare av e-tjänst ska, senast 30 dagar efter att tillhandahållaren mottagit sammanställning enligt punkt 4.2, överföra

4 (4) Ref.nr: ELN-0501-v1.1 Bilaga A Ersättning och fakturering angiven totalsumma till Federationsoperatören. Federationsoperatören ska, senast 60 dagar efter att operatören mottagit faktura enligt punkt 4.1, betala fakturerat belopp till aktuell Leverantör av eid-tjänst för aktuell Tillhandahållare av e-tjänsts räkning. 4.4 Vid försenad betalning utgår dröjsmålsränta från förfallodagen till dess att betalning är mottagen i enlighet med bestämmelserna i räntelagen (1975:635).

Tillitsramverk för Svensk e-legitimation 1 (11) Ref.nr: ELN-0700-v1.1 Tillitsramverk för Svensk e-legitimation

2 (11) Ref.nr: ELN-0700-v1.1 Tillitsramverk för Svensk e-legitimation 1. Bakgrund och syfte Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering och signering (e-legitimationer) i den offentliga förvaltningens e-tjänster. Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för utfärdare av Svensk e-legitimation. Kraven är fördelade på olika skyddsklasser tillitsnivåer som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara. Nivåindelningen motsvarar den som används i den internationella standarden ISO/IEC 29115. Kraven i detta tillitsramverk gäller tillitsnivå 2 till 4, där nivå 4 svarar mot den högsta graden av skydd. Kravuppfyllnad ska tolkas så att (a) (b) om tillitsnivå inte anges ska kravet uppfyllas på samtliga nivåer, och om tillitsnivå finns angiven, ska kravuppfyllnad ske på som lägst den aktuella nivån. Krav som anges för en lägre nivå än den aktuella ska bortses från. 2. Organisation och styrning Övergripande krav på verksamheten K2.1 Utfärdare av Svensk e-legitimation som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar. K2.2 Utfärdare av Svensk e-legitimation ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, samt vara väl insatt i de juridiska krav som ställs på denne som utfärdare av Svensk e-legitimation. K2.3 Utfärdare av Svensk e-legitimation ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga