Digitaliseringsstyrelsen NemLog-in Vilkår til private Tjenesteudbydere
Digitaliseringsstyrelsen |
NemLog-in |
Vilkår til private Tjenesteudbydere |
Contents
3 Korrekt organisatorisk klassifikation af Tjenesteudbyder 7
5 Gennemførelse af tilslutning 7
5.2 Tjenesteudbyders anvendelse af en teknisk samarbejdspartner 8
6 Anvendelse af Autentifikation i Digitale Selvbetjeningsløsninger 8
6.1 Login og autentifikation 8
6.2 Begrænsning i brugen af Autentifikation fra NemLog-in 8
6.3 Oplysninger i autentifikationssvar 9
6.4 Oplysninger fra Attributservice efter Autentifikation af Slutbruger 9
6.5 NemLog-in CPR match-tjeneste 9
6.6 Slutbrugers adgangsrettigheder 9
6.7 Anvendelse af Autentifikation uden for fastlagt tidsperiode 10
6.8 Risikodata ved anvendelse af XxxXX som identifikationsmiddel 10
6.9 Autentifikation med NemID 10
6.10 Signering via NemLog-in 10
7 Anvendelse af XxxXX’x kendetegn 10
8 Håndtering af sikkerhedsbrud 11
10.1 Support af Slutbrugere 11
11.1 Vederlag for brug af services 11
11.3 Vederlag fra Slutbrugere 12
12 Misligholdelse og misligholdelsesbeføjelser 12
12.3 Digitaliseringsstyrelsens ophævelse 12
12.4 Suspension af Tjenesteudbyderens adgang til NemLog-in’s Services 13
13 Generel nedlukning af Services 13
14.1 Generelle bestemmelser 13
14.2 Ansvar for kvalificerede elektroniske signaturer og segl 14
15 Vedligeholdelse af information om Tjenesteudbyder i NemLog-in 14
17 Behandling af personoplysninger 15
19 Ændring af vilkår og Services 15
19.2 Ændring af services eller funktionalitet 15
19.3 Særlige forhold vedr. signeringstjenester 15
20.2 Tvister, mediation og voldgift 16
Date | Version | Change description | Initials |
21/9-2021 | 1.0 | Version til offentliggørelse | ACB |
Disse vilkår regulerer private Tjenesteudbyderes anvendelse af Login og Autentifikation og digital signering fra NemLog-in.
Som Broker leverer NemLog-in Autentifikation samt tilhørende funktionalitet til Tjenesteudbydere, der ønsker at autentificere Slutbrugere på baggrund af MitID, NemID (i en periode) og en række øvrige NSIS anmeldte identifikationsmidler.
NemLog-in er certificeret XxxXX Xxxxxx og har indgået en Brokeraftale med Nets DanID A/S, der er ansvarlig for udstedelse af MitID.
Offentlige myndigheder og offentligretlige organers anvendelse af NemLog-in som Tjenesteudbydere er omfattet af bekendtgørelse om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer, og skal ikke tiltræde disse vilkår.
Vilkårene henviser til en række tekniske krav og politikker, der er offentliggjort på XxxXxx-in’s tjenesteudbydersite xxxxx://xxx.xxxxxx-xx.xx/xx/xxxx. Disse indeholder detaljerede krav og servicebeskrivelser og fungerer som en integreret del af vilkårene.
Ved tilslutning til NemLog-in skal Tjenesteudbyder særligt være opmærksom på den organisatoriske klassifikation af Tjenesteudbyder, jf. punkt 3, og krav om indgåelse af særskilt NemID tjenesteudbyderaftale med Nets DanID A/S, jf. punkt 6.9.
Begreb | Beskrivelse |
Autentifikation | En elektronisk proces, som genkender og verificerer identiteten af en Slutbruger. |
Attributservice | En service hos NemLog-in, hvor Tjenesteudbyder efter at Autentifikation er gennemført, men inden for samme session har mulighed for at rekvirere oplysninger om Slutbruger. |
Administrationsmodul | En selvbetjeningsløsning i NemLog-in, hvor Tjenesteudbydere kan administrere tilslutningen af deres Digitale Selvbetjeningsløsninger til NemLog-in, herunder hvilke attributter, der skal leveres til Tjenesteudbyder i autentifikationssvaret samt certifikater og øvrige tekniske oplysninger relevant for integrationen. |
Broker | En Juridisk enhed, der videreformidler Autentifikation af digitale identiteter til tredjeparter på baggrund af en Autentifikation verificeret af brokeren selv eller evt. af en tredjepart (brokere i flere led). NemLog-in’s login-tjeneste i serviceområdet login og autentifikation opererer på baggrund af en aftale med MitID Leverandøren som en MitID Broker ved at formidle MitID-autentifikationer. |
Begreb | Beskrivelse |
Digital selvbetjeningsløsning | Et it-system, hvor privatpersoner eller Erhvervsbrugere med digitale identiteter kan tilgå digital selvbetjening efter at være blevet autentificeret. Benævnes også Selvbetjeningsløsning eller It-system. |
eIDAS-forordningen | Europa-Parlamentets og Rådets forordning (EU) Nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF. |
Erhvervsbruger | En fysisk person, der er associeret med en Juridisk enhed, og som er oprettet med en erhvervsidentitet i NemID Erhverv eller XxxXX Xxxxxxx (benævnt NemLog-in Erhvervsadministration i lov om MitID og NemLog-in). |
Identifikationsmiddel | Et identifikationsmiddel kendetegnes som en materiel enhed, en immateriel enhed eller en kombination af disse, der anvendes til online Autentifikation. Identifikationsmidlet skal være under kontrol af den fysiske eller juridiske entitet, der har fået det udstedt. Identifikationsmidler, der kan autentificeres via NemLog-in vil enten være baseret på et NemID, MitID eller NSIS anmeldt identifikationsmiddel fra en Lokal IdP. |
It-system | Anvendes som synonym for Digital Selvbetjeningsløsning leveret af en Tjenesteudbyder. |
Kvalificeret elektronisk signatur | En kvalificeret elektronisk signatur afgivet i Signaturtjenesten på baggrund af et kvalificeret certifikat. Medmindre andet specifikt er anført omfattet betegnelsen også kvalificeret elektronisk segl, der ligeledes kan afgives i Signaturtjenesten. Kvalificerede elektroniske signaturer svarer til underskrifter afgivet af fysiske personer, hvorimod kvalificerede elektroniske segl afgives af virksomheder og tjener som bevis for, at de forseglede data hidrører fra virksomheden. |
Lokal IdP | Lokal autentifikationstjeneste, hvorigennem en brugerorganisation kan udstille autentifikation af egne erhvervsbrugere, der gennem NemLog-in kan videreformidles til Tjenesteudbydere tilsluttet NemLog-in. |
MitID | Den nationale digitale identitet af en privatperson og tilhørende elektroniske identifikationsmidler, som kan tilknyttes privatpersoners og erhvervsbrugeres digitale identiteter. |
MitID Broker | En Broker i MitID infrastrukturen, der leverer autentifikation på baggrund af MitID evt. suppleret af yderligere ydelser. NemLog-in’s login-tjeneste i serviceområdet login og autentifikation opererer på baggrund af en aftale med MitID Leverandøren som en XxxXX Xxxxxx. |
MitID Erhverv | Serviceområdet Erhvervsadministration til brugerorganisationer i NemLog- in, der bl.a. muliggør oprettelse og administration af digitale erhvervsidentiteter og certifikater. |
Nets DanID A/S | Nets DanID A/S, Lautrupbjerg 10, Postbox 500, 2750 Ballerup |
Begreb | Beskrivelse |
MitID-løsningen | Den danske nationale eID-løsning til erstatning for NemID. Løsningen stiller elektronisk identifikation og autentifikation af fysiske personer og fysiske personer, der repræsenterer juridiske enheder, til rådighed. |
MitID transaktion | En anmodning om autentifikation med MitID fra en Tjenesteudbyder som et resultat af, at en Slutbruger ønsker adgang til en Digital Selvbetjeningsløsning. |
NemID | En national identifikationsordning, der udsteder identifikationsmidler til danske borgere samt til medarbejdere og virksomheder (NemID Erhverv). For borgere giver NemID ét fælles log-in til både offentlige og private selvbetjeningsløsninger og til netbanker. |
NemLog-in | Den fællesoffentlige digitale infrastrukturløsning, som sætter privatpersoner og erhvervsbrugere med digitale identiteter i stand til at interagere med digitale selvbetjeningsløsninger, herunder som Broker for Tjenesteudbydere og øvrige brokere. NemLog-in er endvidere den nationale identitetsgarant for erhvervsidentiteter. |
NSIS | National Standard for Identiteters Sikringsniveauer. |
Services | Tilslutningsydelser, tilvejebringelse af Autentifikation og signering samt de i vilkårene yderligere fastlagte services, som Digitaliseringsstyrelsen leverer til Tjenesteudbyder. |
Signeringstjeneste | Digitaliseringsstyrelsens tjeneste i NemLog-in omfattet af serviceområdet Digital signering, hvori der udstedes kvalificerede, elektroniske signaturer og segl med tilhørende kvalificerede certifikater. |
Sikringsniveau | Graden af tillid til en autentificeret Identitet (på engelsk ”Level of Assurance”) og ofte benævnt autenticitetssikringsniveau. Der opereres med tre sikringsniveauer: Lav, Betydelig og Høj. |
Slutbruger | En fysisk person i form af en privatperson eller Erhvervsbruger, som kan anvende et identifikationsmiddel som grundlag for Autentifikation mod en Tjenesteudbyder. |
Security Token Service (STTS) | En service i NemLog-in, der håndterer autentifikation og autorisation af systembrugere / klienter gennem udstedelse af såkaldte ’security tokens’, der kan anvendes ved kald af API’er udbudt af Tjenesteudbydere tilsluttet NemLog-in’s STS. Indgår som en del af de autentifikationsservices, der leveres af NemLog-in. |
Tjenesteudbyder | En privat juridisk enhed med et CVR-nummer, der stiller én eller flere Digitale Selvbetjeningsløsninger til rådighed for Slutbrugere og som autentificerer disse via en Broker. |
Tjenesteudbyderaftale | Den aftale, der indgås mellem Tjenesteudbyder og Digitaliseringsstyrelsen ved Tjenesteudbyders accept af disse vilkår. |
Begreb | Beskrivelse |
Tjenesteudbydersite | NemLog-in’s portal målrettet Tjenesteudbydere på xxxxx://xxx.xxxxxx- xx.xx/xx/xxxx Tjenesteudbydersitet indeholder en beskrivelse af tekniske krav til Tjenesteudbyderes anvendelse af NemLog-in samt en række underliggende politikker. Henvisning til Tjenesteudbydersitet er samtidig en henvisning til de tekniske krav og underliggende politikker, der tilgængelige på sitet. |
3 Korrekt organisatorisk klassifikation af Tjenesteudbyder
Ved tilslutning til NemLog-in foretages en umiddelbar og automatisk klassifikation af Tjenesteudbyder som henholdsvis offentlig Tjenesteudbyder eller privat Tjenesteudbyder. En offentlig Tjenesteudbyder omfatter offentlige myndigheder og offentligretlige organer, som nærmere defineret i Lov om MitID og NemLog-in.
Tjenesteudbyder er forpligtet til at sikre, at klassifikationen er korrekt i henhold til loven og skal kontakte Digitaliseringsstyrelsen, hvis det vurderes at der er behov for at ændre den automatisk fastlagte klassifikation, således at Tjenesteudbyder er korrekt registreret i NemLog-in.
Ved accept af disse vilkår opnår Tjenesteudbyder adgang til følgende Services via NemLog-in:
• Login og Autentifikation (inkl. opslagstjenester)
• Security Token Service
• Digital signering
De enkelte services er overordnet beskrevet i punkt 5 og punkt 6 nedenfor. På Tjenesteudbydersitet findes desuden en detaljeret teknisk beskrivelse heraf.
Der gives ikke adgang til single sign-on funktionalitet via NemLog-in mellem private Tjenesteudbydere hvorfor en Slutbruger altid aktivt skal autentificere sig, når Slutbruger tilgår Tjenesteudbyder.
5 Gennemførelse af tilslutning
Den tekniske tilslutning af en Digital selvbetjeningsløsning til NemLog-in og test heraf sker i overensstemmelse med det på Tjenesteudbydersitet anførte. På Tjenesteudbydersitet er der ligeledes beskrevet de tekniske standarder og politikker, som Tjenesteudbyder er forpligtet til at overholde.
For tilslutning til NemLog-in betales et vederlag som anført i punkt 11 og priser oplyst på Tjenesteudbydersitet.
5.2 Tjenesteudbyders anvendelse af en teknisk samarbejdspartner
Tjenesteudbyder kan via NemLog-in administrationsmodulet tilknytte en teknisk samarbejdspartner (benævnt It-leverandør i NemLog-in) til at bistå med tilslutning og løbende vedligehold af den Digitale selvbetjeningsløsnings integrationer etc.
Tjenesteudbyder er over for Digitaliseringsstyrelsen ansvarlig for de handlinger en teknisk samarbejdspartner udfører i NemLog-in.
Tjenesteudbyder er forpligtet til at afmelde en teknisk samarbejdspartner fra NemLog-in, når denne ikke længere udfører opgaver for Tjenesteudbyder.
Ved registrering i NemLog-in skal den tekniske samarbejdspartner acceptere særskilte vilkår over for Digitaliseringsstyrelsen, der afspejler nærværende punkt. Der skal desuden accepteres specifikke krav til teknisk og organisatorisk sikkerhed. Tjenesteudbyder skal sikre at forpligtelserne i vilkårene for den tekniske samarbejdspartner ligeledes fremgår af den indbyrdes aftale mellem Tjenesteudbyder og den tekniske samarbejdspartner. Vilkårene er tilgængelige på Tjenesteudbydersitet.
6 Anvendelse af Autentifikation i Digitale Selvbetjeningsløsninger
Tjenesteudbyderen opnår adgang til NemLog-in’s logintjeneste til brug for Autentifikation af Slutbrugere, der ønsker at benytte de af Tjenesteudbyder tilsluttede Digitale selvbetjeningsløsninger.
Der leveres Autentifikation af Slutbrugere med følgende identifikationsmidler:
• Privatpersoner, der anvender et NemID eller MitID
• Erhvervsbrugere, der anvender et privat eller dedikeret XxxXX
• Erhvervsbrugere, der benytter et NemID privat til erhverv eller MitID privat til erhverv
• Erhvervsbrugere, der anvender et NemID medarbejdercertifikat (MOCES)
• Erhvervsbrugere, der logger på via en NSIS-anmeldt Lokal IdP og anvender et NSIS anmeldt identifikationsmiddel udstedt af en lokal identitetsgarant (Lokal IdP) tilsluttet NemLog-in.
Der henvises desuden til Tjenesteudbydersitet for krav til indrapportering til Digitaliseringsstyrelsen vedr. Tjenesteudbyders anvendelsesmønstre, herunder spidsbelastninger i brugen af NemLog-in’s logintjeneste.
6.2 Begrænsning i brugen af Autentifikation fra NemLog-in
Tjenesteudbyder må alene benytte Autentifikation fra NemLog-in til autentifikation af Slutbrugere i egne Digitale selvbetjeningsløsninger.
Det er således ikke tilladt at videreformidle en Autentifikation til tredjemand med henblik på at denne som Tjenesteudbyder kan stille egne selvbetjeningsløsninger til rådighed for Slutbrugeren. Retten til
videreformidling af autentificerede identiteter fra NemLog-in til tredjemand kan alene fås efter indgåelse af en særskilt NemLog-in Brokeraftale med Digitaliseringsstyrelsen.
Ved tredjemand forstås en juridisk enhed med et CVR-nummer, der er forskelligt fra Tjenesteudbyders.
Tjenesteudbyder skal sikre, at anvendelsen af Autentifikation tilrettelægges på en sådan måde, at Slutbruger ikke vidende eller uvidende omgår sikkerheden i NemLog-in Autentifikationen, herunder risikerer at kompromittere sikkerheden knyttet til Slutbrugerens identifikationsmidler.
6.3 Oplysninger i autentifikationssvar
Ved tilslutning af en Digital Selvbetjeningsløsning skal Tjenesteudbyder i Administrationsmodulet fastlægge de attributter, der ønskes udleveret af NemLog-in på baggrund af Slutbrugers Autentifikation i den pågældende Digitale Selvbetjeningsløsning.
Tjenesteudbyder er som dataansvarlig i overensstemmelse med det generelle princip om dataminimering forpligtet til at sikre, at indsamlingen af oplysninger via attributter begrænses til hvad der er relevant og nødvendigt under hensyn til det formål, som de indhentes til og behandles af Tjenesteudbyder.
I autentifikationssvaret oplyses Tjenesteudbyder om det Sikringsniveau, der er opnået for den gennemførte Autentifikation af Slutbruger. Det er Tjenesteudbyders ansvar at kontrollere Sikringsniveau og beslutte, hvorvidt og i hvilket omfang der på baggrund heraf skal gives adgang til Tjenesteudbyders Digitale Selvbetjeningsløsning.
Tjenesteudbyder anbefales at gennemføre en risikovurdering med henblik på at afdække, hvilke sikringsniveauer der giver adgang til den Digitale Selvbetjeningsløsning. Som støtte for denne risikovurdering kan Tjenesteudbyder gøre brug af værktøjer og vejledninger publiceret af Digitaliseringsstyrelsen1.
En nærmere beskrivelse af oplysninger i autentifikationssvaret findes på Tjenesteudbydersitet.
6.4 Oplysninger fra Attributservice efter Autentifikation af Slutbruger
6.5 NemLog-in CPR match-tjeneste
Digitaliseringsstyrelsen stiller en match-tjeneste til rådighed for Tjenesteudbyder, hvori det er muligt at kontrollere om et CPR-nummer oplyst af Slutbruger matcher det CPR-nummer, som Digitaliseringsstyrelsen har registreret om Slutbruger.
En nærmere beskrivelse af match-tjenesten fremgår af Bilag 1.
Tjenesteyder indestår for, at der foreligger et gyldigt samtykke fra Slutbruger eller anden behandlingshjemmel førend oplysningerne indhentes fra NemLog-in.
6.6 Slutbrugers adgangsrettigheder
I MitID Erhverv kan Brugerorganisationer tildele rettigheder til Slutbrugere til brug for anvendelse i offentlige Digitale Selvbetjeningsløsninger. Det er ikke muligt for private Tjenesteudbydere at efterspørge og modtage sådanne rettigheder.
1 [xxxxx://xxxxx.xx/xx-xxxxxxxxxx/xxxxxx-xx/xxx-xxxxxxxx-xxxxxx-xx/xxxxxxxxxxxx-xx-xxxxxxxxxx/xxxx-xxxxxxxxxx/].
6.7 Anvendelse af Autentifikation uden for fastlagt tidsperiode
Autentifikationer via NemLog-in er underlagt specifikke sessionslængder, som er nærmere beskrevet på Tjenesteudbydersitet. Tjenesteudbyderen er eneansvarlig og bærer risikoen for Autentifikationers validitet og sikkerhedsmæssig kvalitet, hvis de anvendes uden for de fastlagte tidsperioder, og Digitaliseringsstyrelsen kan på ingen måde gøres ansvarlig for sikkerhed eller andre forhold relateret hertil.
6.8 Risikodata ved anvendelse af XxxXX som identifikationsmiddel
MitID løsningen opsamler risikodata vedr. en Slutbrugers anvendelse af sit MitID identifikationsmiddel. Disse risikodata kan MitID løsningen videregive til MitID Brokere til brug for Brokernes vurdering af risici knyttet til konkrete autentifikationer hos tilsluttede Tjenesteudbydere.
Risikodata bruges ikke af NemLog-in og videregives ikke til Tjenesteudbydere.
Slutbruger har via NemLog-in i en periode mulighed for at autentificere sig over for Tjenesteudbyders Digitale Selvbetjeningsløsning under anvendelse af NemID. Tjenesteudbyder er forpligtet til at indgå en særskilt Tjenesteudbyderaftale med Nets DanID A/S herom.
Vederlag for modtagelse af Autentifikationer baseret på NemID afregnes direkte med Nets DanID A/S. Fakturering sker på baggrund af afregningsmodellen ”sessionsafregning”, hvorefter der betales for hver enkelt NemID transaktion, der gennemføres via NemLog-in Broker.
Såfremt Tjenesteudbyder ikke ønsker at modtage autentifikationer på baggrund af NemID kan dette fravælges ved henvendelse Digitaliseringsstyrelsen. Fravalget af denne mulighed for autentifikation på baggrund af NemID betales efter de fastlagte priser for support hos Nets DanID A/S.
Tjenesteudbyder har mulighed for at integrere til to forskellige signeringstjenester hos NemLog-in:
• Signeringstjeneste baseret på OCES certifikater under anvendelse af NemID (NemLog-in NemID Signaturtjeneste)
• Signeringstjeneste baseret på kvalificerede certifikater (NemLog-in Serviceområdet Digital Signering) Der henvises til punkt 19.3 for særlige regler om introduktion af og nedlæggelse af signeringstjenesterne. En nærmere beskrivelse af de to tjenester, herunder vilkår for anvendelse, fremgår af Tjenesteudbydersitet.
7 Anvendelse af XxxXX’x kendetegn
Den visuelle identitet og de designkomponenter, der stilles til rådighed for Tjenesteudbyderen i MitID- og NemLog-in infrastrukturen, må alene anvendes i forbindelse med Autentifikation af MitID. Det er ikke tilladt for Tjenesteudbyderen at anvende disse til understøttelse af egne eller tredjeparts services.
Tjenesteudbyderen er forpligtiget til at overholde de gældende regler for brug af MitID løsningens og XxxXX’x kendetegn, herunder navne, logoer og domænenavne samt øvrigt materiale med tilknytning til MitID.
Tjenesteudbydere har en brugsret til XxxXX’x kendetegn og er forpligtet til at anvende XxxXX’x kendetegn ved Autentifikation via MitID-løsningen og markedsføring heraf.
UX Scheme og designmanualer er tilgængelige på Tjenesteudbydersitet og Tjenesteudbyder er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gældende retningslinjer.
Tjenesteudbyderen er ved ophør af Tjenesteudbyderaftalen forpligtet til at fjerne enhver henvisning til
XxxXX’x kendetegn og ophøre med brugen heraf, medmindre anden aftale indgås med en rettighedshaver.
8 Håndtering af sikkerhedsbrud
Tjenesteudbyder skal straks underrette relevante Slutbrugere og Digitaliseringsstyrelsen om evt. sikkerhedsbrud.
Et sikkerhedsbrud er en hændelse, som kan udgøre en sikkerhedsmæssig brist/risiko, herunder således, at der kan opnås uberettiget adgang til og/eller tab af personoplysninger, fortrolige oplysninger, økonomiske oplysninger eller lignende kritiske oplysninger.
Såfremt et sikkerhedsbrud relaterer sig til brud på persondatasikkerheden, er Tjenesteudbyderen særskilt forpligtet til at handle i overensstemmelse med databeskyttelsesreglerne, herunder foretage indberetning til Datatilsynet. Udbyder er forpligtet til at orientere Digitaliseringsstyrelsen om al sådan kommunikation med Datatilsynet, der relaterer sig til anvendelse af services fra NemLog-in.
I forbindelse med generelle trusler eller angreb mod NemLog-in og tilknyttede sikkerhedsinfrastrukturer, er Tjenesteudbyder forpligtet til i rimeligt omfang at bistå Digitaliseringsstyrelsen eller anden kompetent myndighed med fejlsøgning og lignende, også selv om Tjenesteudbyder ikke er omfattet af den pågældende trussel eller et konkret angreb.
Medmindre andet specifikt er anført i disse vilkår, er alle NemLog-in services, omfattet af disse vilkår, ved normal drift tilgængelig døgnet rundt alle årets dage, eksklusive servicevinduer.
Detaljeret beskrivelse af Servicemål fremgår af Tjenesteudbydersitet. Digitaliseringsstyrelsen er ikke ansvarlig for at Servicemål overholdes.
Tjenesteudbyder er ansvarlig for support af Slutbrugere vedr. anvendelse af Tjenesteudbyders Digitale Selvbetjeningsløsninger, herunder den konkrete implementering af NemLog-in hos Tjenesteudbyder.
Teknisk support relateret til den Digitale Selvbetjeningsløsnings anvendelse af NemLog-in kan mod betaling af de på Tjenesteudbydersitet anførte vederlag rekvireres hos Nets DanID A/S.
Den nærmere beskrivelse af teknisk support er ligeledes beskrevet på Tjenesteudbydersitet.
11.1 Vederlag for brug af services
Tjenesteudbyder betaler de på Tjenesteudbydersitet anførte vederlag for anvendelse af services fra NemLog-in. Den konkrete anvendelse af NemLog- registreres og opgøres af Nets DanID A/S på vegne af Digitaliseringsstyrelsen.
Tjenesteudbyder faktureres månedligt for services omfattet af disse vilkår, herunder anvendelse af MitID transaktioner.
Fakturering foretages på vegne af Digitaliseringsstyrelsen af Nets DanID A/S, der ligeledes håndterer de praktiske forhold vedr. betalinger og efterreguleringer.
Fakturering for NemID-transaktioner sker direkte fra Nets DanID A/S, jf. punkt 6.9.
Tjenesteudbyder skal foretage betaling senest tredive (30) dage efter afsendelse af en faktura. For betalinger, der modtages efter forfaldsdagen, er Digitaliseringsstyrelsen berettiget til morarenter i henhold til renteloven. Nets DanID A/S sender på vegne af Digitaliseringsstyrelsen første og anden rykker, hvorefter udeståender overdrages til Gældsstyrelsen med henblik på offentlig gældsinddrivelse.
Digitaliseringsstyrelsen har ret til at afvise levering af Services til Tjenesteudbyderen, hvis denne har en væsentlig restance relateret til Tjenesteudbyderaftalen i to sammenhængende måneder.
Det er ikke tilladt for Tjenesteudbyder at opkræve vederlag fra Slutbrugere for Autentifikation med identifikationsmidler fra NemLog-in, herunder MitID.
12 Misligholdelse og misligholdelsesbeføjelser
Parterne er forpligtet til uden ugrundet ophold efter, at den anden part skriftligt har reklameret at foretage afhjælpning af fejl og mangler ved partens forpligtelser.
Hver part kan ophæve Tjenesteudbyderaftalen såfremt den anden part i væsentlig grad har misligholdt sine forpligtelser, herunder særligt i forhold til sikkerhed og ikke uden ugrundet ophold har afhjulpet det eller de pågældende forhold.
Digitaliseringsstyrelsen kan derudover ophæve Tjenesteudbyderaftalen, hvis Tjenesteudbyderen bliver erklæret konkurs, indgiver konkursbegæring eller indleder rekonstruktionsbehandling i det omfang konkurslovens regler ikke er til hinder derfor.
Ophævelsen har virkning fra det tidspunkt, hvor meddelelsen om ophævelse kommer frem og for de Services, der i tid ligger herefter.
Digitaliseringsstyrelsen kan desuden ophæve aftalen som nærmere beskrevet i punkt 12.3.
12.3 Digitaliseringsstyrelsens ophævelse
Digitaliseringsstyrelsen er berettiget til at ophæve Tjenesteudbydeaftalen såfremt ét eller flere af følgende forhold gør sig gældende:
• Tjenesteudbyderen misligholdelser sin afrapporteringsforpligtelse relateret til sikkerhedshændelser
• Tjenesteudbyder misligholder sine betalings- og vederlagsforpligtelser, jf. punkt 11
• Digitaliseringsstyrelsen kan med føje konstatere, at Tjenesteudbyderen anvendelse af Services fra NemLog-in har en sådan karakter, at det indebærer en risiko for kompromittering af NemLog-in eller tilknyttede infrastrukturer, herunder MitID.
• Manglende overholdelse af gældende lovgivning, herunder databeskyttelsesloven og databeskyttelsesforordningen
• Tjenesteudbyderen udviser en adfærd, der i væsentligt omfang har en negativ påvirkning eller er egnet til negativt at påvirke Slutbrugernes opfattelse af NemLog-in og/eller tilknyttede infrastrukturer, herunder MitID-løsningen
• Tjenesteudbyder anvender logo og kendetegn i strid med de fastlagte regler, jf. punkt 7
12.4 Suspension af Tjenesteudbyderens adgang til NemLog-in’s Services
Digitaliseringsstyrelsen har adgang til at suspendere Tjenesteudbyderens adgang til Services, omfattet af disse vilkår, såfremt Tjenesteudbyder efter Digitaliseringsstyrelsens vurdering i væsentligt omfang ikke opfylder det i Tjenesteudbyderaftalen fastlagte, eller i øvrigt anvender NemLog-in’s services eller MitID på en sådan måde, at det er til skade for infrastrukturens sikkerhed og omdømme.
Digitaliseringsstyrelsen skal give et rimeligt og så vidt muligt 14 kalenderdages varsel til Tjenesteudbyderen med henblik på at det pågældende forhold kan udbedres.
En suspendering af adgangen til NemLog-in kan i ekstraordinære tilfælde ske med kortere eller uden varsel, såfremt hensyn til infrastrukturens integritet, øvrige Tjenesteudbydere eller Slutbrugere gør det nødvendigt, eller såfremt den pågældende anvendelse udgør en sikkerhedsrisiko. Digitaliseringsstyrelsen skal i alle tilfælde levere en konkret begrundelse for beslutningen om suspendering.
Ved en suspension er Tjenesteudbyderen udelukket fra NemLog-in indtil Digitaliseringsstyrelsen genopretter tilslutningen eller udnytter sine øvrige beføjelser efter disse vilkår, herunder retten til ophævelse.
13 Generel nedlukning af Services
Digitaliseringsstyrelsen kan foretage en generel nedlukning af Tjenesteudbyderes adgang til Services, såfremt dette er begrundet i driftsmæssige forhold, herunder af hensyn til opretholdelse af et højt sikkerhedsniveau i infrastrukturen.
Nedlukning vil i videst muligt omfang blive varslet over for de omfattede Tjenesteudbydere.
Parterne er erstatningspligtige i henhold til dansk rets almindelige regler og i henhold til det i dette punkt angivne.
Digitaliseringsstyrelsen er ikke i noget tilfælde ansvarlig for driftstab, avancetab, følgeskader eller andet indirekte tab. Tab relateret til suspension og spærring i henhold til punkt 12.4 og punkt 13, har karakter af indirekte tab.
Digitaliseringsstyrelsen er ikke ansvarlig for evt. tab som følge af manglende tilgængelighed af NemLog-in, herunder opfyldelse af de på Tjenesteudbydersitet fastlagte servicemål.
Parternes samlede erstatningsansvar er begrænset til 100.000 kr. for hver tabsgivende begivenhed og er i alle tilfælde maksimeret til 100.000 kr. årligt. Ved en tabsgivende begivenhed anses alle forhold, der udspringer af samme fortsatte eller gentagne ansvarspådragende forhold.
Ovenstående begrænsning er kun gældende, såfremt misligholdelsen ikke kan henføres til grov uagtsomhed eller forsætlige forhold hos parterne.
Ansvarsforhold relateret til Slutbrugerens erhvervelse og anvendelse af et MitID er reguleret af MitID Slutbrugervilkår, som Slutbrugeren accepterer ved udstedelsen af MitID. Krav relateret til XxxXX kan alene rettes direkte mod MitID-leverandøren, såfremt lovgivning ufravigeligt foreskriver, at en Tjenesteudbyder eller Slutbruger kan rejse et sådant krav.
14.2 Ansvar for kvalificerede elektroniske signaturer og segl
Såfremt Tjenesteudbyder med rimelighed forlader sig en kvalificeret elektronisk signatur eller et kvalificeret elektronisk segl og tilhørende certifikat fra NemLog-in Digital Signering, er Digitaliseringsstyrelsen erstatningsansvarlig efter dansk rets almindelige regler, medmindre Digitaliseringsstyrelsen kan løfte bevisbyrden for ikke at have handlet forsætligt eller uagtsomt, herunder at certifikatet ikke er anvendt i overensstemmelse med de i certifikatet indeholdte retningslinjer.
Omfattet af Digitaliseringsstyrelsens ansvar er tab, der kan henføres til, at Digitaliseringsstyrelsen har begået fejl i forbindelse med identitetskontrollen af certifikatholder, registrering, udstedelse og spærring af certifikatet.
15 Vedligeholdelse af information om Tjenesteudbyder i NemLog-in
Tjenesteudbyder er forpligtet til at sikre, at registreret information i NemLog-in om Tjenesteudbyder, herunder navne på administratorer altid er korrekte og retvisende.
Parterne, herunder medarbejdere, underleverandører, konsulenter med flere, skal iagttage ubetinget tavshed med hensyn til oplysninger modtaget fra den anden part i forbindelse med forberedelsen, indgåelsen og opfyldelsen af Tjenesteudbyderaftalen, og forudsat oplysningerne vedrører den pågældende parts forretningshemmeligheder, koncepter, relationer og andre fortrolige oplysninger. Parterne skal i særlig grad sikre fortrolighed om personoplysninger, tekniske integrationer og sikkerhedsrelaterede emner.
For Digitaliseringsstyrelsens personale gælder reglerne for ansatte i den offentlige forvaltning. Konsulenter og andre, der bistår styrelsen, pålægges tilsvarende forpligtelse med hensyn til oplysninger om Tjenesteudbyders forhold, som gælder for Tjenesteudbyder med hensyn til Digitaliseringsstyrelsens forhold.
Tavshedspligten gælder også efter Tjenesteudbyderaftalens ophør, uanset om Tjenesteudbyderaftalen er ophævet, opsagt eller på anden vis bortfaldet.
17 Behandling af personoplysninger
6.5. Tjenesteudbyder er ligeledes dataansvarlig for personoplysninger, der som led i anvendelsen af signeringstjenesterne, jf. punkt 6.10, videregives til Tjenesteudbyder.
Tjenesteudbyder skal forud for behandling af personoplysninger sikre, at der foreligger fornødent behandlingsgrundlag.
Tjenesteudbyderaftalen træder i kraft ved Tjenesteudbyders accept af nærværende vilkår og løber indtil den opsiges af én af parterne.
Hver af partere kan opsige Tjenesteudbyderaftalen med 6 måneders varsel.
19 Ændring af vilkår og Services
Digitaliseringsstyrelsen kan ændre vilkårene og omfattede politikker på Tjenesteudbydersitet med et varsel på 3 måneder.
Ved større ændringer, herunder ændringer der vurderes at påvirke Tjenesteudbyders It-systemer, vil Digitaliseringsstyrelsen tilstræbe at give et varsel på 6 måneder.
Såfremt ændringer af Digitaliseringsstyrelsen vurderes væsentlige af hensyn til driftsmæssige forhold, herunder sikkerhed, kan ændringer gennemføres med kortere varsel, herunder med virkning fra meddelelsestidspunktet. Tilsvarende er ligeledes gældende for ændringer, som Digitaliseringsstyrelsen er forpligtet til at implementere som følge af aftale med MitID-leverandøren om levering af MitID brokerservices.
Ændringer til vilkår og omfattede politikker meddeles Tjenesteudbyder hvorefter de vil være gældende efter udløb af varslet.
Meddelelsen sendes pr. e-mail til de i Administrationsmodulet opgivne adresser.
19.2 Ændring af services eller funktionalitet
Tilføjelse af nye services eller funktionaliteter, der ikke påvirker de eksisterende driftsmæssige forhold hos Tjenesteudbyder kan ske uden varsel.
Digitaliseringsstyrelsen kan løbende og uden varsel ændre udbuddet af understøttede identifikationsmidler i NemLog-in, herunder som følge af beslutninger truffet af identitetsleverandører, der er tilsluttet til NemLog- in.
19.3 Særlige forhold vedr. signeringstjenester
Signeringstjeneste baseret på OCES certifikater under anvendelse af NemID (NemLog-in NemID Signaturtjeneste) forventes nedlagt i løbet af 2023. Digitaliseringsstyrelsen er berettiget til at nedlægge denne tjeneste med én måneds varsel.
Ved nedlæggelsen af NemLog-in NemID Signaturtjeneste opdateres vilkårene for nye Tjenesteudbydere.
Retsforholdet ifølge disse vilkår og fortolkning heraf afgøres efter dansk ret.
20.2 Tvister, mediation og voldgift
Såfremt der måtte opstå tvister mellem Parterne, skal Parterne først forsøge at løse uoverensstemmelserne ved gensidige og loyale forligsforhandlinger.
Alle tvister og uoverensstemmelser, som direkte eller indirekte måtte udspringe af disse vilkår skal med endelig og bindende virkning afgøres ved voldgift i Det Danske Voldgifts-institut i henhold til instituttets regler og efter dansk ret. Stedet for voldgiftsretten er i København.
Hver Part udpeger en voldgiftsmand, mens voldgiftsrettens formand udnævnes af instituttet, såfremt de af Parterne udpegede voldgiftsmænd ikke inden 14 dage efter deres udnævnelse er blevet enige om en formand.
Har én af Parterne ikke inden 30 dage efter at have indgivet eller modtaget underretning om begæring af voldgift udpeget en voldgiftsmand, udpeges denne af instituttet i overensstemmelse med ovennævnte regler.
Dette punkt 20.2 skal dog ikke være til hinder for, at Parterne indbringer sager om overtrædelse af disse vilkår for domstolene med henblik på iværksættelse af foreløbige retsskridt.