BROKERAFTALE

1.1 Leverandøren har indgået kontrakt om udvikling, drift, vedligeholdelse, support og videreudvikling af en national elektronisk identitets- og autentifikationsløsning (MitID-løsningen) med FR I af 16. september 2015 A/S (på vegne af Finans Danmark) og Digitaliseringsstyrelsen (på vegne af Den Danske Stat, de danske regio- ner og kommuner m.v.) som kunde (Partnerskabet). Partnerskabet har til formål at anskaffe og stille MitID- løsningen til rådighed for hele den offentlige og private sektor i Danmark. Det er således Partnerskabet, der står bag MitID-løsningen og har indgået kontrakt herom med Leverandøren.

1.2 Leverandøren opererer og leverer Ydelserne i henhold til Brokeraftalen på baggrund af den kontrakt, som Partnerskabet har indgået med Leverandøren herom. Leverandøren kan derfor ikke uden Partnerskabets godkendelse ændre Brokeraftalen. Brokeren kan endvidere rette henvendelse til Partnerskabet i tilfælde af uenigheder med Leverandøren, jf. tillige punkt 18.2.1.

1.3 For så vidt angår behandling af personoplysninger er det imidlertid alene Digitaliseringsstyrelsen, der er da- taansvarlig, jf. punkt 11. Leverandøren handler som databehandler på vegne af Digitaliseringsstyrelsen, og Brokeren bliver derfor underdatabehandler for Leverandøren i overensstemmelse med Bilag 9B i forbin- delse med indsamling af personoplysninger fra Slutbrugeren (i ”upstream dataflow”) ved anvendelse af en- ten standardmodellen eller fleksibilitetsmodellen. Der indsamles ikke personoplysninger ved anvendelse af pakkemodellen i upstream-dataflowet. Brokeren er selvstændig dataansvarlig i relation til de personoplys- ninger, der videregives fra MitID-løsningen til Brokeren (i ”downstream dataflow”), jf. Bilag 9A.

1.4 Efter kontrakten har Leverandøren udviklet MitID-løsningen, hvorefter Leverandøren skal vedligeholde, supportere og drive MitID-løsningen. Formålet med MitID-løsningen er at yde en service, der giver mulig- hed for sikkert at verificere identiteten af en Slutbruger.

1.5 Selve brugen af MitID-løsningen og Autentifikation vil ske ved, at en række brokere formidler adgang for Tjenesteudbydere til MitID-løsningen. Tjenesteudbydere kan lade Slutbrugere verificere deres identitet ved hjælp af MitID-løsningen. En oversigt over aftalestrukturen er vedlagt som Bilag 2. Det er således i ovenstå- ende kontekst, at Brokeraftalen indgås mellem Brokeren og Leverandøren.

1.6 Formålet med Brokeraftalen er i forlængelse heraf at fastlægge de vilkår og betingelser, som skal gælde for:

i. Leverandørens levering af Ydelserne til Brokeren,

ii. De tekniske krav og andre krav, som Brokeren skal opfylde for at have adgang til MitID-løsningen, samt

iii. De vilkår, som Tjenesteudbydere skal opfylde, og som Brokeren skal indarbejde i sine aftalevilkår med Tjenesteudbydere.

1.7 Brokeraftalen består udover selve aftalen og de ovenfor anførte bilag af en række underliggende dokumen- ter, der fremgår af Broker-sitet. Disse omfatter dokumenterne ”Security Requirements”, “Basiscertifice- ringskrav” og ”UX Scheme”, jf. Bilag 6. Disse dokumenter betragtes som en del af Brokeraftalen. Broker får først adgang til ”Security Requirements” og ”UX Scheme” efter indgåelse af Brokeraftalen og gennemførelse af basiscertificering. Dokumenterne indeholder en præcisering eller yderligere beskrivelse af de forskellige krav eller samarbejdsforhold i Brokeraftalen, men kan ikke medføre en fravigelse af Brokeraftalen. I tilfælde af modstrid mellem indholdet af disse dokumenter og Brokeraftalen med tilhørende bilag, vil Brokeraftalen og de tilhørende bilag have forrang.

1.8 MitID-løsningen er baseret på National Standard for Identiteters Sikringsniveauer (NSIS). Dette medfører en række krav til de parter, f.eks. Brokere og Tjenesteudbydere, der tillige ønsker at indgå i eller tilgå den of- fentlige infrastruktur, herunder NemLog-in.

1.9 Definerede termer fremgår af Bilag 1.

2. Leverandørens Ydelser

2.1 Generelt

2.1.1 Leverandøren skal levere Ydelserne til Brokeren som nærmere beskrevet i denne Brokeraftale, herunder navnlig Autentifikation.

2.1.2 Hvis ikke andet fremgår af Brokeraftalen for en specifik Ydelse, skal Ydelserne leveres fra tidspunktet for Brokeraftalens indgåelse.

2.1.3 Hvis ikke andet fremgår af Brokeraftalen for en specifik Ydelse, er betalingen herfor omfattet af Bilag 5.

2.1.4 Ydelserne skal leveres i overensstemmelse med Servicemålene. Bilag 4 angiver, hvorledes Servicemålene måles og opfyldes. Leverandøren er desuden forpligtet til at levere Ydelserne i overensstemmelse med God it-skik.

2.2 Samarbejde indtil Go-live af MitID-løsningen

2.2.1 MitID-løsningen forventes færdigudviklet og idriftsat i 2. kvartal 2021 ("Go-live"). Leverandøren holder Bro- keren informeret om eventuelle ændringer i tidspunktet for Go-live gennem Brokerforum, jf. punkt 2.9, og holder i øvrigt Brokeren informeret som nærmere beskrevet i punkt 2.2.4.

2.2.2 Inden Go-live vil en række af Ydelserne i denne Brokeraftale blive leveret på et "as-is"-grundlag, hvor Leve- randøren stiller Ydelserne til rådighed for Brokerne i den form, hvor de er og forefindes, dog under hensyn til det afprøvnings- og godkendelsesforløb i relation til Ydelserne, som er aftalt mellem Leverandøren og Partnerskabet, jf. punkt 1.2. Det kan fx betyde, at ikke alle API'er fungerer som ellers tilsigtet i perioden op til Go-live, eller at Autentifikation og/eller Leverandørens support ikke overholder alle Servicemål, samt at der kan være længere leverancetid på konsulentydelser.

2.2.3 Uanset punkt 2.2.2, er Leverandøren forpligtet til på rimelig vis at søge at omgå eller rette eventuelle ulem- per eller fejl, som Brokeren måtte opleve.

2.2.4 Leverandøren er, indtil idriftsættelse af MitID-løsningen, forpligtet til at holde Brokeren opdateret på udvik- lingen af funktionalitet ved MitID-løsningen og andre tiltag, som må forventes at påvirke Brokerens udnyt- telse af Ydelserne.

2.3 Testmiljø samt tilslutning

2.3.1 Leverandøren stiller dedikererede testmiljøer til rådighed for Brokeren med henblik på understøttelse af Brokerens tilslutning til MitID-løsningen samt leverer de øvrige tilslutningsydelser, herunder API'er, som fremgår af Bilag 3. Testmiljøerne er tilgængelige for tests hele døgnet med undtagelse af annoncerede ved- ligehold og opdateringer. Leverandøren leverer dokumentation og vejledning i, hvordan Brokeren kan til- sluttes MitID-løsningen, herunder eksempelkode og referenceimplementering for, hvordan Brokeren inte- grerer til og anvender MitID-løsningen.

2.3.2 Testmiljøerne har til formål at understøtte Brokerens integration til og test af MitID-løsningen.

2.3.3 Leverandøren skal, efter certificeringen af Brokeren, jf. punkt 3.2, tillade, at Brokeren tilsluttes MitID-løsnin- gen og idriftsætter sin løsning.

2.3.4 For support i forbindelse med tilslutning og idriftsættelse henvises til punkt 2.5 nedenfor.

2.4 Autentifikation

2.4.1 Efter Go-live og godkendt certificering af Brokeren, leverer Leverandøren Autentifikation til Brokeren i over- ensstemmelse med Bilag 3 og Servicemålene i Bilag 4, og som led deri leveres de Ydelser, som er nødven- dige for, at Autentifikation opfylder Brokeraftalens krav i øvrigt, herunder navnlig drift af MitID-løsningen, logning af Autentifikationsanmodninger via MitID-løsningen mv.

2.5 Support

2.5.1 Leverandøren leverer support til Brokeren vedrørende forhold angående MitID-løsningen, Autentifikation og Ydelserne, herunder i forbindelse med Brokerens tilslutning til MitID-løsningen og idriftsættelse af Bro- kerens løsning samt support i den efterfølgende drift, jf. Bilag 3. Leverandøren er således ikke forpligtet til at yde support direkte til Tjenesteudbydere eller Slutbrugere og leverer ikke support vedrørende andre for- hold end MitID-løsningen, Autentifikation og Ydelserne i øvrigt.

2.5.2 Supporten er nærmere specificeret i Bilag 3 samt på Broker sitet.

2.5.3 Det er en forudsætning for, at Brokeren kan modtage support efter dette punkt 2.5 og Bilag 3, at Brokeren har gennemført basiscertificering, jf. Bilag 6. Såfremt Brokeren anmoder om support uden at have opfyldt denne forudsætning, er Leverandøren berettiget til at modtage betaling herfor, jf. Bilag 5.

2.5.4 Parterne skal inden for rammerne for det forum, som stilles til rådighed for Brokeren (brokerforum) efter punkt 2.9, drøfte Leverandørens support og Brokerens brug heraf, herunder for at sikre, at supporten er tidssvarende og opfylder kravene hertil, jf. Bilag 3, og at Brokeren ikke kontakter Leverandørens support unødigt.

2.5.5 Supportydelsen skal overholde Servicemålene i Bilag 4.

2.6 Driftsinformation

2.6.1 Leverandøren leverer til Brokeren løbende information om driftsforhold, som har betydning for Brokeren, herunder information om vedligehold, opdateringer mv. Driftsinformation leveres via monitoreringsplatfor- men, jf. Bilag 3.

2.7 Leverandørens logning og opsamling af risk data

2.7.1 Leverandøren logger alle kald til MitID-løsningen, jf. Bilag 3.

2.7.2 Leverandøren sikrer, at der er sat processer og systemer op for indberetning af Brokerens opsamlede risk data i punkt 3.4.

2.8 Rapportering

2.8.1 Leverandøren leverer rapportering som nærmere beskrevet i Bilag 3. Leverandørens rapportering som be- skrevet deri er omfattet af vederlaget for AAP, jf. Bilag 5.

2.8.2 Leverandøren kan levere yderligere rapporter til Brokeren, hvis Brokeren anmoder herom. Brokeren betaler særskilt herfor i overensstemmelse med punkt 4 nedenfor og Bilag 5.

2.9 Brokerforum

2.9.1 Leverandøren stiller et forum til rådighed for Brokeren, hvor Brokeren kan få den seneste viden om MitID- løsningen og Ydelserne, og hvor Brokeren kan udveksle erfaringer og rejse spørgsmål til andre brokere, jf. Bilag 3.

2.10 Certificeringsydelser

2.10.1 Brokeren kan anmode om certificering og re-certificering, jf. punkt 3.2, som Leverandøren leverer i henhold til punkt 3.2 og Bilag 6 og til de i Bilag 5 angivne priser.

2.11 Konsulentydelser

2.11.1 Brokeren kan løbende bestille konsulentydelser ved Leverandøren, herunder supplerende supportydelser, jf. Bilag 3. Leverandøren er forpligtet til at levere konsulentydelserne inden for rimelig tid. Leverandøren kan kun nægte levering af konsulentydelser, såfremt de ikke har rimelig sammenhæng til Ydelserne.

2.11.2 Priser for konsulentydelser fremgår af Bilag 5.

3. Krav til Brokeren, Tjenesteudbydere og Slutbrugere

3.1 Generelt

3.1.1 Brokeren skal opfylde de pligter og krav, som påhviler Brokeren i henhold til Brokeraftalen. Brokeren skal i rimeligt omfang bistå Leverandøren, hvis Leverandøren har brug for informationer eller assistance i håndte- ring af samarbejdet mellem Leverandøren og Brokeren.

3.1.2 Brokeren vederlægges ikke for pligter, som Brokeren er pålagt i medfør af denne Brokeraftale.

3.2 Certificering

3.2.1 Forud for certificering, jf. nedenfor, foretager Leverandøren en vurdering af brokeranmodningen fra den enhed, der anmoder om at blive broker. Leverandøren vil på vegne af Partnerskabet afvise enheder, der anmoder om at blive broker, såfremt der er rimelig tvivl om, hvorvidt:

- Enheden kan opnå de i Brokeraftalen og Bilag 6 fastsatte krav til certificering senest ved tilslutning til MitID-løsningen og idriftsættelse af Brokerens løsning, samt at enheden løbende kan overholde kra- vene til certificering i overensstemmelse med efterfølgende ændringer, eller

- Enheden vil udgøre en væsentlig sikkerhedsrisiko for MitID-løsningen i øvrigt.

Leverandøren kan ved rimelig tvivl anmode enheden om at sandsynliggøre over for Leverandøren, at disse kriterier kan opfyldes, herunder ved at redegøre for enhedens it-informationssikkerhed og enhedens efter- levelse af anerkendte it-sikkerhedsstandarder. Enheden antages at have sandsynliggjort opfyldelsen af disse kriterier, såfremt enheden i det væsentligste er underlagt offentligt reguleret tilsyn.

3.2.2 Brokeren skal være certificeret i overensstemmelse med dette punkt 3.2. Certificeringen består af to dele, som nærmere beskrevet i Bilag 6.

3.2.3 Der skal ske re-certificering af Brokeren i det omfang, det fremgår af Bilag 6.

3.2.4 Certificeringsprocessen, de komponenter, som skal certificeres, og kravene til certificering fremgår af Bilag 6.

3.2.5 Certificeringsprocessen skal forestås af en certificeringspartner, der i) er i stand til at iværksætte og gen- nemføre certificeringen inden for rimelig tid og ii) er i stand til, ud over at foretage en almindelig it-revision, at certificere, at Brokerens integration til MitID-løsningen opfylder kravene i Bilag 6. Certificeringspartneren skal udstede en certificeringsrapport, som afleveres til og godkendes af Leverandøren inden certificeringen kan godkendes. Leverandøren skal udstede en certificeringsattest til Brokeren.

3.2.6 Brokeren kan benytte den certificeringspartner, som Leverandøren stiller til rådighed, eller egen certifice- ringspartner, som skal opfylde nærmere fastsatte krav til kompetencer inden for it-revision og anvendelse af anerkendte revisionsstandarder. De nærmere fastsatte krav fremgår af Broker-sitet. Leverandøren vil

kunne afkræve dokumentation for, at certificeringspartneren opfylder de fastsatte krav. Leverandøren kan afvise certificeringsrapporten udstedt af certificeringspartner, som ikke kan dokumentere at kravene er op- fyldt. Endelig skal egen certificeringspartner være dokumenteret uafhængig af ledelsen og gennemføre cer- tificering uafhængigt af ledelsen, jf. dog punkt 3.2.7.

3.2.7 Brokerens certificering kan baseres på erklæring fra Brokerens egen certificeringspartner, medmindre Leve- randøren i det konkrete tilfælde vurderer, at dette ikke er tilstrækkeligt. Leverandøren begrunder i så fald vurderingen skriftligt til Brokeren. Brokeren er i det tilfælde forpligtet til at indhente erklæringen fra den certificeringspartner, som Leverandøren stiller til rådighed, efter Leverandørens anmodning herom.

3.2.8 Brokeren afholder egne omkostninger i relation til certificering og gennemførelsen heraf, herunder ved an- vendelsen af den eventuelle certificeringspartner, som Leverandøren stiller til rådighed.

3.3 Leverandørens adgang til at hindre misbrug af MitID-løsningen mv.

3.3.1 Såfremt Brokeren i væsentligt omfang ikke opfylder de i Brokeraftalen eller i øvrigt misbruger MitID-løsnin- gens funktionalitet eller er til skade for MitID-løsningens sikkerhed, har Leverandøren adgang til med rime- ligt og så vidt muligt 14 dages varsel, og forudsat det pågældende forhold ikke er bragt til ophør inden, at spærre den pågældende Brokers adgang til at anvende MitID-løsningen. En sådan spærring kan i ekstraordi- nære tilfælde ske uden varsel, såfremt tilliden til MitID-løsningens integritet, hensyn til øvrige brokere, Tje- nesteudbydere eller Slutbrugere gør det nødvendigt, eller såfremt den pågældende anvendelse udgør en sikkerhedsrisiko.

3.3.2 Leverandøren kan med samme varsler som nævnt under punkt 3.3.1 spærre Brokerens adgang til at an- vende MitID-løsningen, såfremt Brokeren eller Tjenesteudbyderen udviser en adfærd, der i væsentligt om- fang påvirker eller er egnet til at påvirke Slutbrugernes opfattelse af MitID-løsningen negativt.

3.3.3 Det er Brokeren, der har ansvaret for at spærre sine tilknyttede Tjenesteudbyderes adgang, hvis Tjeneste- udbyderen i væsentligt omfang ikke opfylder de i Bilag 7 angive krav til Tjenesteudbyderen, eller hvis Tjene- steudbyderens adfærd i øvrigt udgør en sikkerhedsrisiko eller hvis Tjenesteudbyderen udviser en adfærd, der i væsentligt omfang påvirker eller er egnet til at påvirke Slutbrugernes opfattelse af MitID-løsningen negativt. Leverandøren kan dog i helt særlige tilfælde spærre Brokerens Tjenesteudbydere, hvis der forelig- ger væsentlige sikkerhedsmæssige grunde, der nødvendiggør dette.

3.3.4 Brokeren skal sikre, at Brokerens vilkår over for Tjenesteudbydere indeholder tilsvarende muligheder for at spærre brug af MitID-løsningen.

3.4 Risk data

3.4.1 Brokeren er forpligtet til at opsamle risk data som fastlagt i Bilag 6. Opsamlingen af risk data er fastlagt i ”Security Requirements”, som varierer i forhold til, hvilke(n) anvendelsesmodel(ler), som Brokeren vælger, jf. Bilag 6.

3.5 Brokers egne fødererings- eller single sign-on løsninger

3.5.1 Brokeren kan etablere egne fødererings- eller single sign-on løsninger baseret på en Autentifikation. Anven- delse af en Autentifikation i efterfølgende sessioner kan på denne måde ske vederlagsfrit flere gange inden for et begrænset tidsrum på otte timer efter, at Autentifikation er foretaget i MitID-løsningen.

3.6 Vilkår for brug af MitID-løsningen

3.6.1 Leverandørens vilkår for Tjenesteudbydernes brug af MitID-løsningen fremgår af Bilag 7. Brokeren skal sikre, at disse vilkår gælder for Tjenesteudbydere. Vilkårene kan ændres af Leverandøren, jf. punkt 15 ne- denfor.

3.6.2 Brokeren kan vælge at indarbejde vilkårene i sin Tjenesteudbyderaftale, gøre vilkårene tilgængelige på Bro- kerens hjemmeside og/eller linke til Leverandørens eller MitID-løsningens hjemmeside, så længe det sikres, at vilkårene er aftaleretligt gældende over for den enkelte Tjenesteudbyder.

3.6.3 Derudover kan Brokeren frit aftale betingelser og vilkår med den enkelte Tjenesteudbyder.

Det skal af Brokerens vilkår med den enkelte Tjenesteudbyder fremgå, at Tjenesteudbyderen ikke må op- kræve gebyr for Autentifikation fra Slutbrugere.

3.7 Broker som Tjenesteudbyder

3.7.1 Hvis Brokeren samtidig er Tjenesteudbyder, skal Brokeren ud over Brokeraftalen opfylde de minimumskrav, som Brokeraftalen stiller til Tjenesteudbydere, jf. Bilag 7.

4. Vederlag

4.1 Generelt

4.1.1 Leverandøren modtager vederlag for levering af Ydelserne i overensstemmelse med Bilag 5. Brokeren skal betale vederlag fra tidspunktet for Brokerens første brug af MitID-løsningen efter Go-live, medmindre andet fremgår af Bilag 5.

4.1.2 Brokeren hæfter for betalinger for de Ydelser, der leveres til Brokeren, herunder for de certificeringsydelser og konsulentydelser, som Brokeren måtte bestille.

4.1.3 Såfremt Brokeren tidligere har misligholdt sine betalingsforpligtelser i ikke uvæsentlig grad, er Leverandø- ren berettiget til at kræve rimelig sikkerhedsstillelse for fremtidige betalinger. Dette kan dog ikke kræves senere end tre måneder efter den pågældende betalingsmisligholdelse.

4.1.4 Leverandøren har ret til at afvise levering af yderligere Ydelser til Brokeren, hvis denne har en væsentlig re- stance for MitID-relaterede Ydelser i to sammenhængende måneder, jf. dog Bilag 8. Leverandøren har desu- den ret til at tilbageholde eventuel efterregulering til brokere, som har restancer på MitID-relaterede Ydelser, jf. Bilag 5 og Bilag 8.

4.2 Afgifter

4.2.1 Alle priser er i danske kroner. Alle ved Brokeraftalens underskrift gældende afgifter, bortset fra moms, er inkluderet i de angivne priser. Ved forhøjelse af gældende eller indførelse af nye danske afgifter eller ved reduktion eller bortfald af afgifter skal vederlaget reguleres med den økonomiske nettokonsekvens heraf.

4.3 Fakturering og betalingsbetingelser

4.3.1 Vederlag, herunder AAP, faktureres månedsvis bagud. Fakturaen til Brokeren vil være opdelt på hver af Bro- kerens Tjenesteudbydere, således at fakturaen kan danne grundlag for viderefakturering fra Brokeren.

4.3.2 Leverandøren leverer hver måned en opgørelse til Brokeren og Partnerskabet over det samlede antal Au- tentifikationsanmodninger i MitID-løsningen gennemført i indeværende Kontraktår, samt det forventede antal Autentifikationsanmodninger for den resterende del af Kontraktåret med en angivelse af konsekven- sen for AAP.

4.3.3 Procedure for fakturering og opgørelse er nærmere reguleret i Bilag 5.

4.3.4 Brokeren skal foretage betaling senest tredive (30) dage efter modtagelse af en faktura. For betalinger, der modtages efter forfaldsdagen, er Leverandøren berettiget til morarenter efter rentelovens sats.

5. Garantier

5.1.1 Leverandøren garanterer, at Ydelserne efter denne Brokeraftale overholder Servicemålene i Bilag 4, og at Ydelserne derudover, og såfremt der ikke gælder specifikke Servicemål, leveres i overensstemmelse med God it-skik. Såfremt dette ikke er tilfældet, påhviler det Leverandøren uden yderligere vederlag og inden for de i Brokeraftalen fastsatte tidsfrister at levere det, der er nødvendigt for at opfylde Brokeraftalen.

6. Misligholdelse og misligholdelsesbeføjelser

6.1 Afhjælpning

6.1.1 Leverandøren er berettiget og forpligtet til uden ugrundet ophold efter, at Brokeren skriftligt har reklame- ret over for Leverandøren at foretage afhjælpning af fejl og mangler ved Ydelserne.

6.2 Tilbageholdelse

6.2.1 Leverandøren er udover punkt 3.3.1, 3.3.2 og punkt 4.1.4 ovenfor ikke berettiget til at tilbageholde Ydelser, herunder adgang til Autentifikation.

6.3 Generelt om ophævelse

6.3.1 Brokeren og Leverandøren kan ophæve Brokeraftalen som nærmere beskrevet i henholdsvis punkt 6.4 og 6.5.

6.3.2 Derudover kan hver af Parterne ophæve Brokeraftalen, hvis den anden Part bliver erklæret konkurs, indgi- ver konkursbegæring eller indleder rekonstruktionsbehandling, i det omfang konkurslovens regler ikke er til hinder derfor.

6.3.3 Ophævelsen har virkning fra det tidspunkt, hvor meddelelsen kommer frem til Leverandøren eller Brokeren, og for de Ydelser og vederlag, der i tid ligger herefter.

6.4 Brokerens ophævelse

6.4.1 Brokeren kan skriftligt ophæve Brokeraftalen, hvis Leverandøren gør sig skyldig i væsentlig misligholdelse eller i gentagen misligholdelse, der akkumuleret må anses for at være væsentlig, og Leverandøren ikke uden ugrundet ophold har afhjulpet det eller de pågældende forhold, jf. punkt 6.1.1.

6.5 Leverandørens ophævelse

6.5.1 Leverandøren er alene berettiget til at ophæve Brokeraftalen i de i punkt 6.5.2 og 6.5.3 anførte tilfælde. Partnerskabet skal forud for en eventuel ophævelse af disse grunde orienteres herom.

6.5.2 Leverandøren er berettiget til at ophæve Brokeraftalen for så vidt angår betalingsmisligholdelse, såfremt Leverandøren har afgivet ikke mindre end to skriftlige påkrav med ikke mindre end tredive (30) dages beta- lingsfrist og med minimum tredive (30) dages mellemrum mellem påkravene, og Brokeren ikke betaler in- den de afgivne frister eller bestrider Leverandørens opgørelse. Leverandøren skal i påkravene specificere betalingsmisligholdelsen samt, at Brokeraftalen vil blive ophævet, såfremt betaling ikke sker.

6.5.3 Leverandøren er desuden berettiget til at ophæve Brokeraftalen, såfremt der i den af Brokeren leverede revisionserklæring påpeges væsentlige mangler, og Brokeren ikke uden ugrundet ophold har påbegyndt afhjælpningen af den eller de konstaterede mangler. Leverandøren kan i den forbindelse spærre Brokerens tilslutning til MitID-infrastrukturen, mens afhjælpning pågår, jf. punkt 3.3.

6.6 Brokeraftalens ophør ved kontraktens ophør

6.6.1 Brokeraftalen udspringer af kontrakten mellem Partnerskabet og Leverandøren om levering af MitID-løsnin- gen og Ydelserne mv., jf. punkt 1.1. Brokeraftalen ophører derfor på samme tid, som kontrakten mellem Partnerskabet og Leverandøren måtte ophøre.

6.6.2 Så snart Leverandøren får kendskab til tidspunktet for, hvornår kontrakten mellem Partnerskabet og Leve- randøren ophører, skal Leverandøren informere Brokeren herom, dog ikke tidligere end et år før kontrakten mellem Partnerskabet og Leverandøren ophører.

7. Ansvar og ansvarsbegrænsning

7.1 Ansvar

7.1.1 Hvor andet ikke fremgår af Brokeraftalen, er hver Part ansvarlig efter dansk rets almindelige regler.

7.1.2 Parterne er ikke i noget tilfælde erstatningsansvarlig for driftstab, følgeskader eller andet indirekte tab. Handlinger og transaktioner foretaget på baggrund af ukorrekt Autentifikation, som følge af Leverandørens fejl eller MitID-løsningens fejl, der beror på Leverandørens forhold, skal anses for at være et direkte tab.

7.1.3 En Parts samlede erstatningsansvar over for den anden Part under denne Brokeraftale er i et kalenderår beløbsmæssigt begrænset til de samlede fakturerede betalinger vedrørende det år, hvor ansvaret er pålø- bet. Såfremt de samlede fakturerede betalinger i et kalenderår er mindre end DKK 25.000.000, er en Parts erstatningsansvar over for den anden Part i et kalenderår beløbsmæssigt dog begrænset til DKK 25.000.000.

7.2 Krav fra Tjenesteudbydere mv.

7.2.1 Ethvert krav fra Tjenesteudbydere rettes imod Brokeren, der herefter kan rette krav imod Leverandøren, hvis og i det omfang betingelserne i Brokeraftalen er opfyldte.

7.2.2 Brokeren skal i sine vilkår over for Tjenesteudbydere implementere den i punkt 7.2.1 beskrevne ansvars- rækkefølge. Dette punkt 7.2 finder ikke anvendelse på ansvar eller krav, som lovgivningen ufravigeligt fore- skriver, at en Tjenesteudbyder kan rejse imod Leverandøren.

7.3 Forsæt og grov uagtsomhed

7.3.1 Ansvarsbegrænsningerne i punkt 7.1 finder ikke anvendelse i det omfang en skade er forårsaget ved en Parts forsætlige eller grove uagtsomme misligholdelse af Brokeraftalen.

8. Force majeure

8.1.1 Hverken Leverandøren eller Brokeren skal anses for ansvarlig over for den anden Part for så vidt angår for- hold, der ligger uden for Partens kontrol, og som Parten ikke ved Brokeraftalens underskrift burde have ta- get i betragtning og ej heller burde have undgået eller overvundet, herunder bl.a. regeringsforanstaltninger, naturkatastrofer, lynnedslag, oversvømmelse eller anden betydelig vandskade, ildebrand, krig, oprør og sabotage. Xxxxxxx og lockout betragtes ikke som force majeure, medmindre der er tale om generalstrejke. Leverandøren skal i tilfælde af force majeure i videst muligt omfang sikre, at Ydelser leveres.

8.1.2 Forhold hos en underleverandør anses kun for force majeure, såfremt der for underleverandøren foreligger en hindring, der er omfattet af punkt 8.1.1, og som Leverandøren eller underleverandøren ikke kunne have undgået eller overvundet.

8.1.3 En Part er ikke ansvarsfri efter nærværende punkt, hvis lovgivningen under alle omstændigheder gør Parten ansvarlig for det forhold, som er årsag til tabet, eller såfremt force majeure-situationen ikke var opstået, hvis Xxxxxx havde opfyldt sine forpligtelser efter denne aftale.

8.1.4 Force majeure kan kun påberåbes, såfremt den pågældende Part har givet meddelelse herom til den anden Part senest fem Arbejdsdage efter, at force majeure er indtrådt. Meddelelsen skal indeholde en vurdering af den forventede varighed af force majeure-situationen.

8.1.5 Den Part, der ikke er ramt af force majeure, er berettiget til at annullere Brokeraftalen helt eller delvis, så- fremt en force majeure-begivenhed består mere 100 Arbejdsdage.

9. Løbetid og opsigelse

9.1.1 Brokeraftalen træder i kraft ved den seneste Parts underskrift.

9.1.2 Brokeraftalen kan opsiges af Brokeren med 12 måneders skriftligt varsel.

9.1.3 Leverandøren kan ikke opsige Brokeraftalen, jf. dog punkt 6.5 og punkt 6.6.

10. Forpligtelser ved Brokeraftalens ophør

10.1 Fortsættelse af opgaver

10.1.1 Leverandøren skal loyalt, uanset årsagen til Brokeraftalens ophør, og efter skriftligt påkrav fra Brokeren, fortsætte varetagelsen af de af Brokeraftalen omfattede Ydelser mod Brokerens fortsatte betaling af det aftalte vederlag med tillæg af sådanne dokumenterede meromkostninger, som Leverandøren måtte have i forbindelse med fortsat varetagelse af disse opgaver. Denne forpligtelse gælder, indtil Xxxxxxxx måtte in- formere Leverandøren om, at Brokeren ikke længere ønsker at være MitID-broker, eller til Partnerskabet har indgået aftale med en tredjemand om levering af tilsvarende Ydelser.

10.2 Medvirken til overflytning

10.2.1 Leverandøren er forpligtet til loyalt og hurtigst muligt at medvirke til overflytning af Ydelserne til Brokeren eller en af Brokeren udpeget tredjemand. Leverandøren skal herunder udarbejde nødvendige dokumenta- tion og transitionsplaner, således at overdragelsen fra Leverandøren til en af Brokeren udpeget tredjemand eller Brokeren selv kan ske så gnidningsfrit som muligt.

10.2.2 Leverandøren skal loyalt tilvejebringe de oplysninger og den bistand, som Brokeren med rimelighed måtte anmode om, og som er nødvendig for at sikre en passende overførsel af de Ydelser og funktioner, der leve- res af Leverandøren, til Brokeren eller en af denne udpeget tredjemand.

10.2.3 Leverandørens bistand efter dette punkt betales som for konsulentydelser, jf. Bilag 5.

11. Behandling af personoplysninger

11.1 Generelt

11.1.1 Digitaliseringsstyrelsen er dataansvarlig for personoplysninger, der behandles i MitID-løsningen, herunder personoplysninger om Slutbrugere, som indsamles gennem Brokeren. Leverandøren er databehandler for Digitaliseringsstyrelsen for disse personoplysninger.

11.1.2 Brokeren behandler både personoplysninger a) ved indsamling af personoplysninger fra Slutbrugeren og op til henholdsvis Brokeren og/eller MitID-løsningen (”upstream dataflow”) ved anvendelse af standard- eller fleksibilitetsmodellen, jf. Bilag 3, og b) ved modtagelse af personoplysninger fra MitID-løsningen, som Bro- keren behandler, og eventuelt videregiver til Tjenesteudbydere (”downstream dataflow”), jf. tillige Bilag 9a for overblik over dataflow.

11.1.3 Brokeren og Leverandøren forestår hver især eventuelle lovpligtige anmeldelser og indberetninger til of- fentlige myndigheder, herunder Datatilsynet, jf. herudover Bilag 9b og Bilag 9c i forhold til bistand til den dataansvarlige.

11.2 Brokeren som underdatabehandler

11.2.1 Brokeren er underdatabehandler for Leverandøren i forbindelse med indsamling af personoplysninger fra

Slutbrugeren (”upstream dataflow”) ved anvendelse af enten standardmodellen eller fleksibilitetsmodellen.

11.2.2 Parterne har i den forbindelse indgået Underdatabehandleraftalen i Bilag 9b.

11.3 Brokeren som selvstændig dataansvarlig

11.3.1 Brokeren er selvstændig dataansvarlig med dertil hørende forpligtelser i situationen, hvor Brokeren modtager personoplysninger fra MitID-løsningen (”downstream dataflowet”), som Brokeren behandler. Dette gælder uanset, hvilke anvendelsesmodel(ler) som Brokeren anvender, jf. tillige Bilag 9a og Bilag 9c.

11.3.2 Digitaliseringsstyrelsen har i medfør af lov om MitID og NemLog-in hjemmel til at videregive autentifikations- svar og risikodata til Brokeren i forbindelse med hvert enkelt login og Autentifikation, ligesom Brokeren har hjemmel til at modtage og behandle risikodata til vurdering af risikoen ved hver enkelt konkrete transaktion.

11.3.3 Brokeren har i medfør af lov om MitID og NemLog-in1 hjemmel til at videregive autentifikationssvar til en Tjenesteudbyder, der har indgået en Tjenesteudbyderaftale med Broker. Tjenesteudbyder er selvstændig dataansvarlig for personoplysninger indeholdt i autentifikationssvaret.

11.3.4 Vilkår for Brokerens behandling af personoplysninger i ”downstream dataflowet” som dataansvarlig fremgår af Bilag 9c.

12. Immaterielle rettigheder

12.1 Brokerens brugsret

12.1.1 Brokeren kan benytte Autentifikation i det omfang, det er nødvendigt for, at Brokeren kan stille Autentifika- tion til rådighed for Tjenesteudbydere og i sidste ende for Slutbrugere.

12.1.2 Til øvrige Ydelser under denne Brokeraftale, herunder dokumentation, rapportering og konsulentydelser, opnår Brokeren en udvidet brugsret, som også indeholder retten til at ændre, videreudvikle, fejlrette samt bruge Ydelserne til brug for ethvert formål for Brokerens eller Brokerens Tjenesteudbyderes forretning, her- under kommunikation til Slutbrugere.

12.2 Krænkelse af tredjemands rettigheder

12.2.1 Leverandøren garanterer, at Autentifikation og øvrige Ydelser efter denne Brokeraftale ikke krænker andres rettigheder, herunder patenter, varemærker eller ophavsrettigheder.

12.2.2 Såfremt der rejses krav mod Brokeren, hvor det gøres gældende, at en sådan krænkelse foreligger, er Bro- keren forpligtet til uden ugrundet ophold at underrette Leverandøren xxxxx. Leverandøren er berettiget til at overtage sagen og de med sagen forbundne omkostninger, og Leverandøren har uigenkaldelig fuldmagt til for egen regning at føre sagen, herunder gennemføre en eventuel retssag eller indgå forlig vedrørende de påståede krænkelser.

1 Forslag om lov om XxxXX og NemLog-in forventes fremsat i januar 2021.

12.2.3 Leverandøren skal skadesløsholde Brokeren for enhver omkostning og ethvert tab, som Brokeren måtte have eller lide i forbindelse med en krænkelse af tredjemands rettigheder. Forpligtelsen til at skadesløs- holde Brokeren er ikke omfattet af erstatningsmaksimeringen i punkt 7.1.3.

12.3 Anvendelse af XxxXX’x kendetegn

12.3.1 Partnerskabet ejer enhver immateriel rettighed til MitID-løsningens og XxxXX’x kendetegn, herunder navne, logoer og domænenavne, samt øvrigt materiale med tilknytning til Partnerskabet og MitID. Leverandøren har fået brugsret til, at Brokeren og Tjenesteudbydere kan anvende MitID’s kendetegn i forbindelse med Autentifikation via MitID-løsningen og markedsføring heraf. Brokeren og dennes Tjenesteudbydere har en brugsret til og er forpligtede til at anvende XxxXX’x kendetegn i forbindelse med, at der tilbydes Autentifika- tion via MitID-løsningen og markedsføring heraf. Ved tvivl om brug af XxxXX’x kendetegn krænker Partner- skabets rettigheder, skal Broker kontakte Partnerskabet.

12.3.2 For retningslinjer for brug af XxxXX’x kendetegn henvises til de på MitID’s hjemmeside (el.lign. forum) til- gængelige retningslinjer for brug. Retningslinjerne kan ændres og XxxXX’x kendetegn kan ændres helt eller delvist. Brokeren er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gæl- dende retningslinjer, ligesom Brokeren er forpligtet til i sine aftaler med Tjenesteudbydere at indføre krav om, at Tjenesteudbyderen opfylder samme forpligtelse.

12.3.3 Brokeren er ved ophør af Brokeraftalen forpligtet til at fjerne enhver henvisning til XxxXX’x kendetegn og ophøre med brugen heraf, medmindre anden aftale indgås med Partnerskabet.

12.3.4 Der henvises i øvrigt til punkt 3.2 ovenfor.

13. Outsourcing

13.1.1 Bilag 8 finder anvendelse, hvis Brokeren enten selv er omfattet eller har Tjenesteudbydere, som er omfattet af, bekendtgørelse nr. 1304 af 25. november 2010 om outsourcing af væsentlige aktivitetsområder (”Out- sourcingsbekendtgørelsen”) eller Solvens II-forordningen, specielt artikel 274(4) (samlet ”Outsourcingreg-

lerne”).2

14. Underleverandører

14.1.1 Medmindre andet fremgår af Bilag 8, er Leverandøren berettiget til at anvende underleverandører og eks- terne konsulenter med henblik på opfyldelse af Brokeraftalen.

14.1.2 Leverandøren hæfter for underleverandørers ydelser på samme måde, som hvis det var Leverandørens egne Ydelser.

15. Ændringer til Brokeraftalen

15.1 Ændringer aftalt mellem Parterne

15.1.1 Ændringer til Brokeraftalen skal være aftalt skriftligt mellem Parterne, og ændringerne skal være tiltrådt af Parterne for at være virksomme. Ændringer til Brokeraftalen kan kun ske med skriftlig godkendelse fra Part- nerskabet. Dette gælder tillige ændringer i de underliggende dokumenter, jf. punkt 1.7.

2 Der pågår afklaring af, i hvilket omfang Outsourcingreglerne finder anvendelse, jf. Note 1 til Bilag 8.

15.2 Ændringer fra Partnerskabet

15.2.1 Partnerskabet kan vedtage ændringer til Brokeraftalen. Ændringer, som godkendes i Partnerskabet, kom- munikeres skriftligt til Brokeren med angivelse af ikrafttrædelsestidspunkt for ændringen. Som udgangs- punkt kan ændringer kun gennemføres med mindst tre måneders varsel, medmindre driftstekniske forhold, herunder hensyn til sikkerheden, nødvendiggør en tidligere ikrafttræden.

15.2.2 Leverandøren er som led heri berettiget til ensidigt at gennemføre de af Partnerskabet vedtagne ændringer, jf. punkt 15.2.1, i Brokeraftalen, herunder i bilagene.

16. Diverse

16.1 Bilag og forrang

16.1.1 De til Brokeraftalen tilhørende bilag er en integreret del af den samlede aftale og vilkår. I tilfælde af uover- ensstemmelse mellem Brokeraftalen og/eller bilagene skal følgende prioritering gælde:

(i) Brokeraftalen (uden bilag)

(ii) Bilag 1 (Definitioner)

(iii) Bilag 8 (Outsourcingsbekendtgørelsen)

(iv) Bilag 9 (Underdatabehandleraftale), inkl. underbilag 9A-9C

(v) Bilag 6 (Specifikation af krav til Brokeren)

(vi) Bilag 7 (Leverandørens vilkår for Tjenesteudbyderens brug af MitID-løsningen)

(vii) Bilag 3 (Leverandørens Ydelser)

16.1.2 Øvrige bilag er sideordnede.

17. Tavshedspligt

17.1.1 Parterne, herunder medarbejdere, underleverandører, konsulenter m.fl., skal iagttage ubetinget tavshed med hensyn til oplysninger modtaget fra den anden Part i forbindelse med forberedelsen, indgåelsen og opfyldelsen af Brokeraftalen, dog forudsat oplysningerne vedrører den pågældende Parts forretningshem- meligheder, koncepter, relationer og andre fortrolige oplysninger (f.eks. personoplysninger om Slutbru- gerne). En Part skal beskytte sådanne oplysninger med mindst samme omhu, som Parten udviser i omgan- gen med egne fortrolige forhold og i øvrigt mindst i overensstemmelse med ufravigelige lovgivningskrav (eksempelvis § 117 i lov om finansiel virksomhed for de oplysninger, der modtages fra Tjenesteudby- derne/brokerne, der er omfattet af denne bestemmelse).

17.1.2 Tavshedspligten omfatter ikke information, der

• er eller bliver offentligt tilgængelig, og dette ikke skyldes videregivelse af informationen i strid med dette punkt 17,

• modtages fra tredjemand, som er kommet i besiddelse af oplysningerne, uden at der foreligger et brud på en tavshedsforpligtelse, eller

• skal videregives for at opfylde Partens forpligtelser i henhold til gældende lovgivning og øvrige forskrif- ter, som vedkommende Part er underlagt (herunder men ikke begrænset til eventuelle gældende børs- retlige oplysningsforpligtelser) eller til opfyldelse af en retsafgørelse, som en Part er bundet af.

17.1.3 Parterne må kun behandle fortrolige oplysninger, herunder opbevare, anvende og videregive sådanne op- lysninger i forbindelse med opfyldelsen af Brokeraftalen. Parterne må videregive oplysninger internt i egen organisation, når dette sker for at opfylde Brokeraftalen eller forhold, der er forbundet hermed. Parterne

må videregive information, der er omfattet af tavshedspligten, når det i Brokeraftalen er forudsat at infor- mationen kunne eller skulle videregives til tredjemand, eller når informationen videregives til Partens revi- sor, juridiske rådgiver eller andre, som ved lov eller aftale er forpligtet eller forpligter sig til at iagttage for- trolighed, og hvor der er saglig begrundelse for at inddrage vedkommende tredjemand. Hvis der er tale om personoplysninger, må behandling og videregivelse kun ske i overensstemmelse med den til enhver tid gæl- dende databeskyttelseslovgivning i Danmark.

17.1.4 Parterne kan til enhver tid inddrage en ekstern rådgiver i forbindelse med Brokeraftalen og eventuelt ophør heraf. En sådan tredjemand har adgang til møder, oplysninger og dokumenter. Dog skal eksterne rådgivere være underlagt tilsvarende vilkår om tavshedspligt enten i medfør af lovgivning eller i medfør af aftale med den Part, der anvender rådgiveren.

17.1.5 Tavshedspligten gælder også efter Brokeraftalens ophør, uanset om Brokeraftalen er ophævet, opsagt eller på anden vis bortfaldet.

17.2 Overdragelse

17.2.1 Brokeren er berettiget til at overdrage Brokerens rettigheder og forpligtelser i henhold til Brokeraftalen, helt eller delvist, til et eller flere med Brokeren koncernforbundne selskaber forudsat, at det koncernfor- bundne selskab opfylder betingelserne i denne Brokeraftale, herunder at det koncernforbundne selskab er certificeret i overensstemmelse med punkt 3.2 ovenfor.

18. Lovvalg og tvister

18.1 Lovvalg

18.1.1 Retsforholdet ifølge Brokeraftalen og dennes fortolkning afgøres efter dansk ret.

18.2 Tvister, mediation og voldgift

18.2.1 Såfremt der måtte opstå tvister mellem Parterne, skal Parterne først forsøge at løse uoverensstemmelserne ved gensidige og loyale forligsforhandlinger. Parterne er forpligtet til at orientere Partnerskabet om så- danne eventuelle overensstemmelser, der har betydning for Brokeraftalen og bilagene samt fortolkningen heraf, inden yderligere tiltag iværksættes, jf. nedenfor. Partnerskabet har i den forbindelse mulighed for at indgå i håndteringen af tvisten, herunder i forligsforhandlinger.

18.2.2 Hvis enighed ikke kan opnås ved forhandling, kan tvisten på begæring fra en Part søges løst ved mediation ledet af en af Parterne i fællesskab udpeget mediator. Hvis Parterne ikke inden fem Arbejdsdage efter, at en af Parterne har begæret tvisten løst ved mediation, har opnået enighed om valg af mediator, kan enhver af Parterne anmode Danske IT-advokater (DITA) om at udpege en mediator. Mediation gennemføres i givet fald i overensstemmelse med Danske IT-advokaters mediationsprocedure.

18.2.3 Alle tvister og uoverensstemmelser, som direkte eller indirekte måtte udspringe af denne Brokeraftale eller dens fortolkning, skal med endelig og bindende virkning afgøres ved voldgift i Det Danske Voldgiftsinstitut i henhold til instituttets regler og efter dansk ret. Stedet for voldgiftsretten er i København.

18.2.4 Hver Part udpeger en voldgiftsmand, mens voldgiftsrettens formand udnævnes af instituttet, såfremt de af Parterne udpegede voldgiftsmænd ikke inden 14 dage efter deres udnævnelse er blevet enige om en for- mand.

18.2.5 Har én af Parterne ikke inden 30 dage efter at have indgivet eller modtaget underretning om begæring af voldgift udpeget en voldgiftsmand, udpeges denne af instituttet i overensstemmelse med ovennævnte reg- ler.

18.2.6 Dette punkt 18.2 skal dog ikke være til hinder for, at Parterne indbringer sager om overtrædelse af denne Brokeraftale for domstolene med henblik på iværksættelse af foreløbige retsskridt.

18.3 Parternes forpligtelser ved tvister

18.3.1 Parterne skal i perioden, hvori konfliktløsningen pågår, jf. punkt 18.2, fortsat opfylde deres forpligtelser ef- ter Brokeraftalen. Leverandøren er i den forbindelse ikke berettiget til helt eller delvist at standse den af Brokeren ønskede opfyldelse af Brokeraftalen, jf. dog punkt 3.3 og 4.1.4.

18.3.2 Brokeren kan i forbindelse med tvister udstede skriftligt påbud om opfyldelse i overensstemmelse med Bro- kerens specificerede ønsker (”Deliver First Settle Later”), og Leverandøren skal efterkomme dette påbud i det omfang, det ikke er umuligt. Leverandøren modtager som udgangspunkt almindeligt vederlag herfor. Såfremt Brokeren udsteder skriftligt påbud, skal Leverandøren påbegynde afhjælpning uden ugrundet op- hold, uagtet om Leverandøren er uenig i Brokerens indsigelser om mangler, og uagtet om der er enighed om, hvorvidt Ydelsen er betalbar – ud over de angivne vederlag – eller ej.

18.3.3 Såfremt det senere konstateres, at Brokeren ikke havde krav på den påbudte opfyldelse, skal Brokeren fuldt ud kompensere Leverandøren for enhver merudgift, som Leverandøren godtgør at være blevet påført.

19. Underskrifter

19.1.1 Brokeraftalen er udfærdiget og underskrevet i to enslydende eksemplarer, hvoraf hver Part modtager et originalt eksemplar.

---oo0oo---

FOR

BROKEREN

FOR	LEVERANDØREN

Underskrift [Sted], den [Dato] Underskrift [Sted], den [Dato]

Navn

[Name]

Navn

[Name]

: :

Stilling

[Position]

Stilling

[Position]

: :

Document Metadata

Table of Contents

BROKERAFTALE

Document Metadata