Digitaliseringsstyrelsen NemLog-in Vilkår til private Tjenesteudbydere
Digitaliseringsstyrelsen |
NemLog-in |
Vilkår til private Tjenesteudbydere |
Version 1.2
Indholdsfortegnelse
3 Korrekt organisatorisk klassifikation af Tjenesteudbyder 6
5 Gennemførelse af tilslutning 7
5.2 Tjenesteudbyders anvendelse af en teknisk samarbejdspartner 7
6 Anvendelse af Autentifikation i Digitale Selvbetjeningsløsninger 7
6.1 Login og autentifikation 7
6.2 Begrænsning i brugen af Autentifikation fra NemLog-in 8
6.3 Oplysninger i autentifikationssvar 8
6.4 Oplysninger fra Attributservice efter Autentifikation af Slutbruger 8
6.5 NemLog-in CPR match-tjeneste 8
6.6 Slutbrugers adgangsrettigheder 9
6.7 Anvendelse af Autentifikation uden for fastlagt tidsperiode 9
6.8 Risikodata ved anvendelse af XxxXX som identifikationsmiddel 9
6.9 Autentifikation med NemID 9
6.10 Signering via NemLog-in 9
7 Anvendelse af MitID’s kendetegn 9
8 Håndtering af sikkerhedsbrud 10
10.1 Support af Slutbrugere 10
11.1 Vederlag for brug af Services 11
11.3 Vederlag fra Slutbrugere 11
12 Misligholdelse og misligholdelsesbeføjelser 11
12.3 Digitaliseringsstyrelsens ophævelse 11
12.4 Suspension af Tjenesteudbyderens adgang til NemLog-in’s Services 12
13 Generel nedlukning af Services 12
14.1 Generelle bestemmelser 12
14.2 Ansvar for kvalificerede elektroniske signaturer og segl 13
15 Vedligeholdelse af information om Tjenesteudbyder i NemLog-in 13
17 Behandling af personoplysninger 14
19 Ændring af vilkår og Services 14
19.2 Ændring af Services eller funktionalitet 14
19.3 Særlige forhold vedr. signeringstjenester 14
20.2 Tvister, mediation og voldgift 15
Changelog
Date | Version | Change description | Initials |
21/9-2021 | 1.0 | Version til offentliggørelse | ACB |
16/1-2023 | 1.1 | Opdateret med henblik på understøttelse af nyt setup for vilkår, hvor vilkår for tjenesteudbydere er underlag vilkår for It-systemudbydere. Generelle opdateringer i relation til begrebsanvendelse og beskrivelse af infrastruktur. | ACB |
28/2-2023 | 1.2 | Ansvarsbestemmelse i punkt 14.2 vedr. kvalificerede certifikater er opdateret. Definition af certifikatpolitik er tilføjet. | ACB |
Disse vilkår for Tjenesteudbydere regulerer private Tjenesteudbyderes anvendelse af Login og Autentifikation og digital signering fra NemLog-in. Vilkår for Tjenesteudbydere indgås som en del af vilkår for It-systemudbydere og accepteres samlet ved tilslutning til NemLog-in.
Som Broker leverer NemLog-in Autentifikation samt tilhørende funktionalitet til Tjenesteudbydere, der ønsker at autentificere Slutbrugere på baggrund af MitID, NemID (i en periode) og en række øvrige NSIS anmeldte identifikationsmidler.
NemLog-in er certificeret XxxXX Xxxxxx og videreformidler autentifikationer foretaget med MitID på baggrund af egen aftale med MitID-leverandøren (Nets DanID A/S).
Offentlige myndigheder og offentligretlige organers anvendelse af NemLog-in som Tjenesteudbydere er omfattet af bekendtgørelse nr. 968 af 10. juni 2022 om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer, og er ikke forpligtet af disse vilkår.
Vilkårene har flere henvisninger til Tjenesteudbydersitet, hvor der findes række tekniske krav og politikker. Disse krav og politikker indeholder detaljerede krav og servicebeskrivelser og fungerer som en integreret del af Vilkårene.
Ved tilslutning til NemLog-in skal Tjenesteudbyder særligt være opmærksom på den organisatoriske klassifikation af Tjenesteudbyder, jf. punkt 3, og krav om indgåelse af særskilt NemID tjenesteudbyderaftale med Nets DanID A/S, jf. punkt 6.9.
Alle de i Vilkårene beskrevne Services er ikke nødvendigvis tilgængelige på tidspunktet for Tjenesteudbyders accept af Vilkår. Tjenesteudbyder skal særskilt orientere sig på Tjenesteudbydersitet for nærmere beskrivelse af hvilke Services, der er tilgængelige samt evt. tidsplaner for introduktion af nye Services.
Begreb | Beskrivelse |
Autentifikation | En elektronisk proces, som genkender og verificerer identiteten af en Slutbruger. |
Attributservice | En service hos NemLog-in, hvor Tjenesteudbyder efter at Autentifikation er gennemført, men inden for samme session har mulighed for at rekvirere oplysninger om Slutbruger. |
Administrationsmodul | En selvbetjeningsløsning i NemLog-in, hvor Tjenesteudbydere kan administrere tilslutningen af deres Digitale Selvbetjeningsløsninger til NemLog-in, herunder hvilke attributter, der skal leveres til Tjenesteudbyder i autentifikationssvaret samt certifikater og øvrige tekniske oplysninger relevant for integrationen. |
Begreb | Beskrivelse |
Broker | En Juridisk enhed, der videreformidler Autentifikation af digitale identiteter til tredjeparter på baggrund af en Autentifikation verificeret af brokeren selv eller evt. af en tredjepart (brokere i flere led). En broker agerer som trusted third-party. Brokere tilsluttet til NemLog-in er NSIS-anmeldte. NemLog-in’s login-tjeneste i serviceområdet login og autentifikation opererer på baggrund af en aftale med MitID Leverandøren som en MitID Broker ved at formidle MitID-autentifikationer. |
Certifikatpolitik | De grundlæggende regler for de enkelte certifikattyper, der skal opfyldes af Den Danske Stats Tillidstjenester som udsteder af certifikater. Certifikatpolitikkerne kan læses på xxxxx://xxxxxxxxxx.xxx.xx/. |
Digital selvbetjeningsløsning | Et it-system, hvor privatpersoner eller Erhvervsbrugere med digitale identiteter kan tilgå digital selvbetjening efter at være blevet autentificeret. Benævnes også Tjeneste eller It-system. |
eIDAS-forordningen | Europa-Parlamentets og Rådets forordning (EU) Nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF. |
Erhvervsbruger | En fysisk person, der er associeret med en Juridisk enhed, og som er oprettet med en erhvervsidentitet i NemID Erhverv eller XxxXX Xxxxxxx (benævnt NemLog-in Erhvervsadministration i lov om MitID og NemLog-in). |
Identifikationsmiddel | Et identifikationsmiddel kendetegnes som en materiel enhed, en immateriel enhed eller en kombination af disse, der anvendes til online Autentifikation. Identifikationsmidlet skal være under kontrol af den fysiske eller juridiske entitet, der har fået det udstedt. Identifikationsmidler, der kan autentificeres via NemLog-in vil enten være baseret på et NemID, MitID eller NSIS anmeldt identifikationsmiddel fra en Lokal IdP. |
It-system | Anvendes som synonym for Digital Selvbetjeningsløsning leveret af en Tjenesteudbyder. |
It-systemudbyder | Fællesbetegnelse for organisationer med et CVR-nummer, der tilslutter It- systemer til NemLog-in med henblik på at kunne agere i rollen som Tjenesteudbyder, Multi-tenant leverandør eller Broker. |
Kvalificeret elektronisk signatur | En kvalificeret elektronisk signatur afgivet i Signeringsløsningen på baggrund af et kvalificeret certifikat. Medmindre andet specifikt er anført omfattet betegnelsen også kvalificeret elektronisk segl, der ligeledes kan afgives i Signeringsløsningen. Kvalificerede elektroniske signaturer svarer til underskrifter afgivet af fysiske personer, hvorimod kvalificerede elektroniske segl afgives af virksomheder og tjener som bevis for, at de forseglede data hidrører fra virksomheden. |
Lokal IdP | Lokal autentifikationstjeneste, hvorigennem en brugerorganisation kan udstille autentifikation af egne erhvervsbrugere, der gennem NemLog-in kan videreformidles til Tjenesteudbydere tilsluttet NemLog-in. |
Begreb | Beskrivelse |
MitID | Den nationale digitale identitet af en privatperson og tilhørende elektroniske identifikationsmidler, som kan tilknyttes privatpersoners og erhvervsbrugeres digitale identiteter. |
MitID Broker | En Broker i MitID infrastrukturen, der leverer autentifikation på baggrund af MitID evt. suppleret af yderligere ydelser. NemLog-in’s login-tjeneste i serviceområdet login og autentifikation opererer på baggrund af en aftale med MitID Leverandøren som en XxxXX Xxxxxx. |
MitID Erhverv | Serviceområdet Erhvervsadministration til brugerorganisationer i NemLog- in, der bl.a. muliggør oprettelse og administration af digitale erhvervsidentiteter og certifikater. |
Multi-tenant | Et It-system, der tilsluttes NemLog-in og som danner grundlag for en Digital Selvbetjeningsløsning, der anvendes af én eller flere Tjenesteudbydere hvortil Leverandøren af systemet som en integreret ydelse ligeledes modtager Autentifikation fra NemLog-in. |
Nets DanID A/S | Nets DanID A/S, Xxxxxxxxxxxx 00, Xxxxxxx 000, 0000 Xxxxxxxx |
MitID-løsningen | Den danske nationale eID-løsning til erstatning for NemID. Løsningen stiller elektronisk identifikation og autentifikation af fysiske personer og fysiske personer, der repræsenterer juridiske enheder, til rådighed. |
MitID autentifikationsanmodning | En anmodning om autentifikation med MitID fra en Tjenesteudbyder som et resultat af, at en Slutbruger ønsker adgang til en Digital Selvbetjeningsløsning. |
NemID | En national identifikationsordning, der udsteder identifikationsmidler til danske borgere samt til medarbejdere og virksomheder (NemID Erhverv). For borgere giver NemID ét fælles log-in til både offentlige og private Digitale selvbetjeningsløsninger og til netbanker. |
NemLog-in | Den fællesoffentlige digitale infrastrukturløsning, som sætter privatpersoner og erhvervsbrugere med digitale identiteter i stand til at interagere med Digitale selvbetjeningsløsninger, herunder som Broker for Tjenesteudbydere og øvrige brokere. NemLog-in er endvidere den nationale identitetsgarant for erhvervsidentiteter. |
NSIS | National Standard for Identiteters Sikringsniveauer. |
Services | Tilslutningsydelser, tilvejebringelse af Autentifikation og signering samt de i vilkårene yderligere fastlagte services, som Digitaliseringsstyrelsen leverer til Tjenesteudbyder. |
Signeringsløsningen | Signeringsløsning fra den Danske Stat Tillidstjenester ved Digitaliseringsstyrelsen hvorfra der udstedes kvalificerede, elektroniske signaturer og segl med tilhørende kvalificerede certifikater. |
Begreb | Beskrivelse |
Sikringsniveau | Graden af tillid til en autentificeret Identitet (på engelsk ”Level of Assurance”) og ofte benævnt autenticitetssikringsniveau. Der opereres med tre sikringsniveauer: Lav, Betydelig og Høj. |
Slutbruger | En fysisk person i form af en privatperson eller Erhvervsbruger, som kan anvende et identifikationsmiddel som grundlag for Autentifikation mod en Tjenesteudbyder. |
Security Token Service (STTS) | En service i NemLog-in, der håndterer autentifikation og autorisation af systembrugere / klienter gennem udstedelse af såkaldte ’security tokens’, der kan anvendes ved kald af API’er udbudt af Tjenesteudbydere tilsluttet NemLog-in’s STS. Indgår som en del af de autentifikationsservices, der leveres af NemLog-in. |
Tjenesteudbyder | En organisation, der stiller én eller flere Digitale Selvbetjeningsløsninger til rådighed for Slutbrugere. Tjenesteudbyder er registreret som It- systemudbyder i NemLog-in. |
Aftale | Den aftale, der statueres mellem Digitaliseringsstyrelsen og Tjenesteudbyder ved Tjenesteudbyders accept af disse vilkår. |
Tjenesteudbydersite | NemLog-in’s portal målrettet Tjenesteudbydere på xxxxx://xxx.xxxxxx- xx.xx/xx/xxxx Tjenesteudbydersitet indeholder en beskrivelse af tekniske krav til Tjenesteudbyderes anvendelse af NemLog-in samt en række underliggende politikker. Henvisning til Tjenesteudbydersitet er samtidig en henvisning til de tekniske krav og underliggende politikker, der tilgængelige på sitet. |
3 Korrekt organisatorisk klassifikation af Tjenesteudbyder
Ved tilslutning til NemLog-in foretages en umiddelbar og automatisk klassifikation af Tjenesteudbyder som henholdsvis offentlig Tjenesteudbyder eller privat Tjenesteudbyder. En offentlig Tjenesteudbyder omfatter offentlige myndigheder og offentligretlige organer, som nærmere defineret i Lov om MitID og NemLog-in.
Tjenesteudbyder er forpligtet til at sikre, at klassifikationen er korrekt i henhold til loven og skal kontakte Digitaliseringsstyrelsen, hvis det vurderes at der er behov for at ændre den automatisk fastlagte klassifikation, således at Tjenesteudbyder er korrekt registreret i NemLog-in.
Ved accept af disse vilkår opnår Tjenesteudbyder adgang til følgende Services via NemLog-in:
• Login og Autentifikation (inkl. opslagstjenester)
• Security Token Service
• Digital signering
De enkelte Services er overordnet beskrevet i punkt 5 og punkt 6 nedenfor. På Tjenesteudbydersitet findes desuden en detaljeret teknisk beskrivelse heraf.
Der gives ikke adgang til single sign-on funktionalitet via NemLog-in mellem private Tjenesteudbydere hvorfor en Slutbruger altid aktivt skal autentificere sig, når Slutbruger tilgår Tjenesteudbyder.
5 Gennemførelse af tilslutning
Den tekniske tilslutning af en Digital selvbetjeningsløsning til NemLog-in og test heraf sker i overensstemmelse med det på Tjenesteudbydersitet anførte. På Tjenesteudbydersitet fremgår de tekniske standarder og politikker, som Tjenesteudbyder er forpligtet til at overholde.
For tilslutning til NemLog-in betales et vederlag som anført i punkt 11 og priser oplyst på Tjenesteudbydersitet.
5.2 Tjenesteudbyders anvendelse af en teknisk samarbejdspartner
Tjenesteudbyder kan via NemLog-in administrationsmodulet tilknytte en teknisk samarbejdspartner (benævnt It-leverandør i NemLog-in) til at bistå med tilslutning og løbende vedligehold af den Digitale selvbetjeningsløsnings integrationer etc.
Tjenesteudbyder er over for Digitaliseringsstyrelsen ansvarlig for de handlinger en teknisk samarbejdspartner udfører i NemLog-in.
Tjenesteudbyder er forpligtet til at afmelde en teknisk samarbejdspartner fra NemLog-in, når denne ikke længere udfører opgaver for Tjenesteudbyder.
Ved registrering i NemLog-in skal den tekniske samarbejdspartner acceptere særskilte vilkår over for Digitaliseringsstyrelsen, der afspejler nærværende punkt. Der skal desuden accepteres specifikke krav til teknisk og organisatorisk sikkerhed. Tjenesteudbyder skal sikre at forpligtelserne i vilkårene for den tekniske samarbejdspartner ligeledes fremgår af den indbyrdes aftale mellem Tjenesteudbyder og den tekniske samarbejdspartner. Vilkårene er tilgængelige på Tjenesteudbydersitet.
6 Anvendelse af Autentifikation i Digitale Selvbetjeningsløsninger
Tjenesteudbyderen opnår adgang til NemLog-in’s logintjeneste til brug for Autentifikation af Slutbrugere, der ønsker at benytte de af Tjenesteudbyder tilsluttede Digitale selvbetjeningsløsninger.
Der leveres Autentifikation af Slutbrugere med følgende identifikationsmidler:
• Privatpersoner, der anvender et NemID eller MitID
• Erhvervsbrugere, der anvender et privat MitID eller særskilt MitID til erhvervsbrug
• Erhvervsbrugere, der benytter et NemID privat til erhverv eller MitID privat til erhverv
• Erhvervsbrugere, der anvender et NemID medarbejdercertifikat (MOCES)
• Erhvervsbrugere, der logger på via en NSIS-anmeldt Lokal IdP og anvender et NSIS anmeldt identifikationsmiddel udstedt af en lokal identitetsgarant (Lokal IdP) tilsluttet via MitID Erhverv.
Der henvises desuden til Tjenesteudbydersitet for krav til indrapportering til Digitaliseringsstyrelsen vedr. Tjenesteudbyders anvendelsesmønstre, herunder spidsbelastninger i brugen af NemLog-in’s logintjeneste.
6.2 Begrænsning i brugen af Autentifikation fra NemLog-in
Tjenesteudbyder må alene benytte Autentifikation fra NemLog-in til Autentifikation af Slutbrugere i egne Digitale selvbetjeningsløsninger.
Det er således ikke tilladt i rollen som Tjenesteudbyder at udstede eller signere egne autentifikationssvar til tredjemand og dermed indgå i tillidskæden over for Slutbrugere.
Ved tredjemand forstås en juridisk enhed med et CVR-nummer, der er forskelligt fra Tjenesteudbyders.
Tjenesteudbyder skal sikre, at anvendelsen af Autentifikation tilrettelægges på en sådan måde, at Slutbruger ikke vidende eller uvidende omgår sikkerheden i NemLog-in Autentifikationen, herunder risikerer at kompromittere sikkerheden knyttet til Slutbrugerens identifikationsmidler.
6.3 Oplysninger i autentifikationssvar
Ved tilslutning af en Digital Selvbetjeningsløsning skal Tjenesteudbyder i Administrationsmodulet fastlægge de attributter, der ønskes udleveret af NemLog-in på baggrund af Slutbrugers Autentifikation i den pågældende Digitale Selvbetjeningsløsning.
Tjenesteudbyder er som dataansvarlig i overensstemmelse med det generelle princip om dataminimering forpligtet til at sikre, at indsamlingen af oplysninger via attributter begrænses til hvad der er relevant og nødvendigt under hensyn til det formål, som de indhentes til og behandles af Tjenesteudbyder.
I autentifikationssvaret oplyses Tjenesteudbyder om det Sikringsniveau, der er opnået for den gennemførte Autentifikation af Slutbruger. Det er Tjenesteudbyders ansvar at kontrollere Sikringsniveau og beslutte, hvorvidt og i hvilket omfang der på baggrund heraf skal gives adgang til Tjenesteudbyders Digitale Selvbetjeningsløsning.
Tjenesteudbyder anbefales at gennemføre en risikovurdering med henblik på at afdække, hvilke sikringsniveauer der giver adgang til den Digitale Selvbetjeningsløsning. Som støtte for denne risikovurdering kan Tjenesteudbyder gøre brug af værktøjer og vejledninger publiceret af Digitaliseringsstyrelsen .
En nærmere beskrivelse af oplysninger i autentifikationssvaret findes på Tjenesteudbydersitet.
6.4 Oplysninger fra Attributservice efter Autentifikation af Slutbruger
Tjenesteudbyder kan efter Autentifikation af Xxxxxxxxxx, men inden for den pågældende session, rekvirere yderligere attributter fra NemLog-in's Attributservice. Tjenesteudbyder skal i denne forbindelse iagttage princippet om dataminimering som beskrevet i punkt 6.3.
6.5 NemLog-in CPR match-tjeneste
Digitaliseringsstyrelsen stiller en match-tjeneste til rådighed for Tjenesteudbyder, hvori det er muligt at kontrollere om et CPR-nummer oplyst af Slutbruger matcher det CPR-nummer, som Digitaliseringsstyrelsen har registreret om Slutbruger.
En nærmere beskrivelse af match-tjenesten findes på Tjenesteudbydersitet.
Tjenesteyder indestår for, at der foreligger et gyldigt samtykke fra Slutbruger eller anden behandlingshjemmel førend oplysningerne indhentes fra NemLog-in.
6.6 Slutbrugers adgangsrettigheder
I MitID Erhverv kan Brugerorganisationer tildele rettigheder til Slutbrugere til brug for anvendelse i offentlige Digitale Selvbetjeningsløsninger. Det er ikke muligt for private Tjenesteudbydere at efterspørge og modtage sådanne rettigheder.
6.7 Anvendelse af Autentifikation uden for fastlagt tidsperiode
Autentifikationer via NemLog-in er underlagt specifikke sessionslængder, som er nærmere beskrevet på Tjenesteudbydersitet. Tjenesteudbyderen er eneansvarlig og bærer risikoen for Autentifikationers validitet og sikkerhedsmæssig kvalitet, hvis de anvendes uden for de fastlagte tidsperioder, og Digitaliseringsstyrelsen kan på ingen måde gøres ansvarlig for sikkerhed eller andre forhold relateret hertil.
6.8 Risikodata ved anvendelse af XxxXX som identifikationsmiddel
MitID løsningen opsamler risikodata vedr. en Slutbrugers anvendelse af sit MitID identifikationsmiddel. Disse risikodata kan MitID løsningen videregive til MitID Brokere til brug for Brokernes vurdering af risici knyttet til konkrete autentifikationer hos tilsluttede Tjenesteudbydere.
Risikodata bruges ikke af NemLog-in og videregives ikke til Tjenesteudbydere.
6.9 Autentifikation med NemID
Slutbruger har via NemLog-in i en periode mulighed for at autentificere sig over for Tjenesteudbyders Digitale Selvbetjeningsløsning under anvendelse af NemID. Tjenesteudbyder er forpligtet til at indgå en særskilt tjenesteudbyderaftale med Nets DanID A/S herom.
Vederlag for modtagelse af Autentifikationer baseret på NemID afregnes direkte med Nets DanID A/S. Fakturering sker på baggrund af afregningsmodellen ”sessionsafregning”, hvorefter der betales for hver enkelt NemID transaktion, der gennemføres via NemLog-in Broker.
Såfremt Tjenesteudbyder ikke ønsker at modtage Autentifikationer på baggrund af NemID kan dette fravælges ved henvendelse Digitaliseringsstyrelsen. Fravalget af denne mulighed for Autentifikation på baggrund af NemID betales efter de fastlagte priser for support hos Nets DanID A/S.
Tjenesteudbyder har mulighed for at integrere til to forskellige signeringstjenester hos NemLog-in:
• Signeringstjeneste baseret på OCES certifikater under anvendelse af NemID (NemLog-in NemID Signaturtjeneste)
• Signeringsløsning fra den Danske Stat Tillidstjenester er baseret på kvalificerede certifikater
Der henvises til punkt 19.3 for særlige regler om nedlæggelse af signeringstjenesten baseret på OCES- certifikater.
Slutbrugers anvendelse af signering er underlagt særskilte vilkår.
7 Anvendelse af MitID’s kendetegn
Den visuelle identitet og de designkomponenter, der stilles til rådighed for Tjenesteudbyderen i MitID- og NemLog-in infrastrukturen, må alene anvendes i forbindelse med Autentifikation af MitID. Det er ikke tilladt for Tjenesteudbyderen at anvende disse til understøttelse af egne eller tredjeparts services.
Tjenesteudbyderen er forpligtiget til at overholde de gældende regler for brug af MitID løsningens og XxxXX’x kendetegn, herunder navne, logoer og domænenavne samt øvrigt materiale med tilknytning til MitID.
Tjenesteudbydere har en brugsret til XxxXX’x kendetegn og er forpligtet til at anvende XxxXX’x kendetegn ved Autentifikation via MitID-løsningen og markedsføring heraf.
UX Scheme og designmanualer er tilgængelige på Tjenesteudbydersitet og Tjenesteudbyder er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gældende retningslinjer.
Tjenesteudbyderen er ved afkobling af den Digitale Selvbetjeningsløsning fra NemLog-in forpligtet til at fjerne enhver henvisning til XxxXX’x kendetegn og ophøre med brugen heraf, medmindre anden aftale indgås med en rettighedshaver.
8 Håndtering af sikkerhedsbrud
Tjenesteudbyder skal straks underrette relevante Slutbrugere og Digitaliseringsstyrelsen om evt. sikkerhedsbrud.
Et sikkerhedsbrud er en hændelse, som kan udgøre en sikkerhedsmæssig brist/risiko, herunder således, at der kan opnås uberettiget adgang til og/eller tab af personoplysninger, fortrolige oplysninger, økonomiske oplysninger eller lignende kritiske oplysninger.
Såfremt et sikkerhedsbrud relaterer sig til brud på persondatasikkerheden, er Tjenesteudbyderen særskilt forpligtet til at handle i overensstemmelse med databeskyttelsesreglerne, herunder foretage indberetning til Datatilsynet. Udbyder er forpligtet til at orientere Digitaliseringsstyrelsen om al sådan kommunikation med Datatilsynet, der relaterer sig til anvendelse af Services fra NemLog-in.
I forbindelse med generelle trusler eller angreb mod NemLog-in og tilknyttede sikkerhedsinfrastrukturer, er Tjenesteudbyder forpligtet til i rimeligt omfang at bistå Digitaliseringsstyrelsen eller anden kompetent myndighed med fejlsøgning og lignende, også selv om Tjenesteudbyder ikke er omfattet af den pågældende trussel eller et konkret angreb.
Medmindre andet specifikt er anført i disse vilkår, er alle Services, omfattet af disse vilkår, ved normal drift tilgængelig døgnet rundt alle årets dage, eksklusive servicevinduer.
Detaljeret beskrivelse af Servicemål fremgår af Tjenesteudbydersitet. Digitaliseringsstyrelsen er ikke ansvarlig for at Servicemål overholdes.
Tjenesteudbyder er ansvarlig for support af Slutbrugere vedr. anvendelse af Tjenesteudbyders Digitale Selvbetjeningsløsninger, herunder den konkrete implementering af NemLog-in hos Tjenesteudbyder.
Teknisk support relateret til den Digitale Selvbetjeningsløsnings anvendelse af NemLog-in kan mod betaling af de på Tjenesteudbydersitet anførte vederlag rekvireres hos Nets DanID A/S.
Den nærmere beskrivelse af teknisk support er ligeledes beskrevet på Tjenesteudbydersitet.
11.1 Vederlag for brug af Services
Tjenesteudbyder betaler de på Tjenesteudbydersitet anførte vederlag for anvendelse af Services fra NemLog-in. Den konkrete anvendelse af Services registreres og opgøres af Nets DanID A/S på vegne af Digitaliseringsstyrelsen.
Tjenesteudbyder faktureres månedligt for Services omfattet af disse vilkår, herunder for MitID autentifikationsanmodninger.
Fakturering foretages på vegne af Digitaliseringsstyrelsen af Nets DanID A/S, der ligeledes håndterer de praktiske forhold vedr. betalinger og efterreguleringer.
Fakturering for NemID-transaktioner sker direkte fra Nets DanID A/S, jf. punkt 6.9.
Tjenesteudbyder skal foretage betaling senest tredive (30) dage efter afsendelse af en faktura. For betalinger, der modtages efter forfaldsdagen, er Digitaliseringsstyrelsen berettiget til morarenter i henhold til renteloven. Nets DanID A/S sender på vegne af Digitaliseringsstyrelsen første og anden rykker, hvorefter udeståender overdrages til Gældsstyrelsen med henblik på offentlig gældsinddrivelse.
Digitaliseringsstyrelsen har ret til at afvise levering af Services til Tjenesteudbyderen, hvis denne har en væsentlig restance relateret til Services leveret i medfør af disse vilkår i to sammenhængende måneder.
11.3 Vederlag fra Slutbrugere
Det er ikke tilladt for Tjenesteudbyder at opkræve vederlag fra Slutbrugere for Autentifikation med identifikationsmidler fra NemLog-in, herunder MitID.
12 Misligholdelse og misligholdelsesbeføjelser
Parterne er forpligtet til uden ugrundet ophold efter, at den anden part skriftligt har reklameret at foretage afhjælpning af fejl og mangler ved partens forpligtelser.
Hver part kan ophæve Aftalen såfremt den anden part i væsentlig grad har misligholdt sine forpligtelser, herunder særligt i forhold til sikkerhed og ikke uden ugrundet ophold har afhjulpet det eller de pågældende forhold.
Digitaliseringsstyrelsen kan derudover ophæve Aftalen, hvis Tjenesteudbyderen bliver erklæret konkurs, indgiver konkursbegæring eller indleder rekonstruktionsbehandling i det omfang konkurslovens regler ikke er til hinder derfor.
Ophævelsen har virkning fra det tidspunkt, hvor meddelelsen om ophævelse kommer frem og for de Services, der i tid ligger herefter.
Digitaliseringsstyrelsen kan desuden ophæve aftalen som nærmere beskrevet i punkt 12.3.
12.3 Digitaliseringsstyrelsens ophævelse
Digitaliseringsstyrelsen er berettiget til at ophæve Tjenesteudbydeaftalen såfremt ét eller flere af følgende forhold gør sig gældende:
• Tjenesteudbyderen misligholdelser sin afrapporteringsforpligtelse relateret til sikkerhedshændelser
• Tjenesteudbyder misligholder sine betalings- og vederlagsforpligtelser, jf. punkt 11
• Digitaliseringsstyrelsen kan med føje konstatere, at Tjenesteudbyderen anvendelse af Services fra NemLog-in har en sådan karakter, at det indebærer en risiko for kompromittering af NemLog-in eller tilknyttede infrastrukturer, herunder MitID.
• Manglende overholdelse af gældende lovgivning, herunder databeskyttelsesloven og databeskyttelsesforordningen
• Tjenesteudbyderen udviser en adfærd, der i væsentligt omfang har en negativ påvirkning eller er egnet til negativt at påvirke Slutbrugernes opfattelse af NemLog-in og/eller tilknyttede infrastrukturer, herunder MitID-løsningen
• Tjenesteudbyder anvender logo og kendetegn i strid med de fastlagte regler, jf. punkt 7
Ved en ophævelse afkobles Tjenesteudbyders it-systemer fra NemLog-in.
12.4 Suspension af Tjenesteudbyderens adgang til NemLog-in’s Services
Digitaliseringsstyrelsen har adgang til at suspendere Tjenesteudbyderens adgang til Services, omfattet af disse vilkår, såfremt Tjenesteudbyder efter Digitaliseringsstyrelsens vurdering i væsentligt omfang ikke opfylder det i vilkårene fastlagte, eller i øvrigt anvender NemLog-in’s Services eller MitID på en sådan måde, at det er til skade for infrastrukturens sikkerhed og omdømme.
Digitaliseringsstyrelsen skal give et rimeligt og så vidt muligt 14 kalenderdages varsel til Tjenesteudbyderen med henblik på at det pågældende forhold kan udbedres.
En suspendering af adgangen til NemLog-in kan i ekstraordinære tilfælde ske med kortere eller uden varsel, såfremt hensyn til infrastrukturens integritet, øvrige Tjenesteudbydere eller Slutbrugere gør det nødvendigt, eller såfremt den pågældende anvendelse udgør en sikkerhedsrisiko. Digitaliseringsstyrelsen skal i alle tilfælde levere en konkret begrundelse for beslutningen om suspendering.
Ved en suspension er Tjenesteudbyderen udelukket fra NemLog-in indtil Digitaliseringsstyrelsen genopretter tilslutningen eller udnytter sine øvrige beføjelser efter disse vilkår, herunder retten til ophævelse.
13 Generel nedlukning af Services
Digitaliseringsstyrelsen kan foretage en generel nedlukning af Tjenesteudbyderes adgang til Services, såfremt dette er begrundet i driftsmæssige forhold, herunder af hensyn til opretholdelse af et højt sikkerhedsniveau i infrastrukturen.
Nedlukning vil i videst muligt omfang blive varslet over for de omfattede Tjenesteudbydere.
Parterne er erstatningspligtige i henhold til dansk rets almindelige regler og i henhold til det i dette punkt angivne.
Digitaliseringsstyrelsen er ikke i noget tilfælde ansvarlig for driftstab, avancetab, følgeskader eller andet indirekte tab. Tab relateret til suspension og spærring i henhold til punkt 12.4 og punkt 13, har karakter af indirekte tab.
Digitaliseringsstyrelsen er ikke ansvarlig for evt. tab som følge af manglende tilgængelighed af NemLog-in, herunder opfyldelse af de på Tjenesteudbydersitet fastlagte servicemål.
Parternes samlede erstatningsansvar er begrænset til 100.000 kr. for hver tabsgivende begivenhed og er i alle tilfælde maksimeret til 100.000 kr. årligt. Ved en tabsgivende begivenhed anses alle forhold, der udspringer af samme fortsatte eller gentagne ansvarspådragende forhold.
Ovenstående begrænsning er kun gældende, såfremt misligholdelsen ikke kan henføres til grov uagtsomhed eller forsætlige forhold hos parterne.
Ansvarsforhold relateret til Slutbrugerens erhvervelse og anvendelse af et MitID er reguleret af MitID Slutbrugervilkår, som Slutbrugeren accepterer ved udstedelsen af MitID. Krav relateret til XxxXX kan alene rettes direkte mod MitID-leverandøren, såfremt lovgivning ufravigeligt foreskriver, at en Tjenesteudbyder eller Slutbruger kan rejse et sådant krav.
14.2 Ansvar for kvalificerede elektroniske signaturer og segl
Såfremt Tjenesteudbyder med rimelighed forlader sig en kvalificeret elektronisk signatur eller et kvalificeret elektronisk segl og tilhørende certifikat fra Den Danske Stat Tillidstjenester, er Digitaliseringsstyrelsen erstatningsansvarlig for tab efter dansk rets almindelige regler.
For de i Certifikatpolitikkens krav 9.6.1-04 anførte forhold er Digitaliseringsstyrelsen ansvarlig for tab, medmindre Digitaliseringsstyrelsen kan løfte bevisbyrden for ikke at have handlet forsætligt eller uagtsomt.
Digitaliseringsstyrelsens ansvar efter denne bestemmelse er underlagt den økonomiske ansvarsbegrænsning anført i punkt 14.1.
15 Vedligeholdelse af information om Tjenesteudbyder i NemLog-in
Tjenesteudbyder er forpligtet til at sikre, at registreret information i NemLog-in om Tjenesteudbyder, herunder navne på administratorer altid er korrekte og retvisende.
Parterne, herunder medarbejdere, underleverandører, konsulenter med flere, skal iagttage ubetinget tavshed med hensyn til oplysninger modtaget fra den anden part som et resultat af Tjenesteudbyders tilslutning til NemLog-in, og forudsat oplysningerne vedrører den pågældende parts forretningshemmeligheder, koncepter, relationer og andre fortrolige oplysninger. Parterne skal i særlig grad sikre fortrolighed om personoplysninger, tekniske integrationer og sikkerhedsrelaterede emner.
For Digitaliseringsstyrelsens personale gælder reglerne for ansatte i den offentlige forvaltning. Konsulenter og andre, der bistår styrelsen, pålægges tilsvarende forpligtelse med hensyn til oplysninger om Tjenesteudbyders forhold, som gælder for Tjenesteudbyder med hensyn til Digitaliseringsstyrelsens forhold.
Tavshedspligten gælder også efter gælder også efter ophør af Digitaliseringsstyrelsens levering af Services, uanset om Tjenesteudbyderaftalen er ophævet, opsagt eller på anden vis bortfaldet.
17 Behandling af personoplysninger
6.5. Tjenesteudbyder er ligeledes dataansvarlig for personoplysninger, der som led i anvendelsen af signeringstjenesterne, jf. punkt 6.10, videregives til Tjenesteudbyder.
Tjenesteudbyder skal forud for behandling af personoplysninger sikre, at der foreligger fornødent behandlingsgrundlag.
Aftalen løber indtil den opsiges eller ophæves. Aftalen kan opsiges af begge parter med 6 måneders skriftligt varsel.
Ved udløb af Aftalen afkobles Tjenesteudbyders it-systemer fra NemLog-in.
19 Ændring af vilkår og Services
Digitaliseringsstyrelsen kan ændre vilkårene og omfattede politikker på Tjenesteudbydersitet med et varsel på 3 måneder.
Ved større ændringer, herunder ændringer der vurderes at påvirke Tjenesteudbyders It-systemer, vil Digitaliseringsstyrelsen tilstræbe at give et varsel på 6 måneder.
Såfremt ændringer af Digitaliseringsstyrelsen vurderes væsentlige af hensyn til driftsmæssige forhold, herunder sikkerhed, kan ændringer gennemføres med kortere varsel, herunder med virkning fra meddelelsestidspunktet. Tilsvarende er ligeledes gældende for ændringer, som Digitaliseringsstyrelsen er forpligtet til at implementere som følge af aftale med MitID-leverandøren om levering af MitID brokerservices.
Ændringer til vilkår og omfattede politikker meddeles Tjenesteudbyder hvorefter de vil være gældende efter udløb af varslet.
Meddelelsen sendes pr. e-mail til de i Administrationsmodulet opgivne adresser.
19.2 Ændring af Services eller funktionalitet
Tilføjelse af nye Services eller funktionaliteter, der ikke påvirker de eksisterende driftsmæssige forhold hos Tjenesteudbyder kan ske uden varsel.
Digitaliseringsstyrelsen kan løbende og uden varsel ændre udbuddet af understøttede identifikationsmidler i NemLog-in, herunder som følge af beslutninger truffet af identitetsleverandører, der er tilsluttet til NemLog- in.
19.3 Særlige forhold vedr. signeringstjenester
Signeringstjeneste baseret på OCES certifikater under anvendelse af NemID (NemLog-in NemID Signaturtjeneste) forventes nedlagt i løbet af 2023. Digitaliseringsstyrelsen er berettiget til at nedlægge denne tjeneste med én måneds varsel.
Ved nedlæggelsen af NemLog-in NemID Signaturtjeneste opdateres vilkårene for nye Tjenesteudbydere.
Retsforholdet ifølge disse vilkår og fortolkning heraf afgøres efter dansk ret.
20.2 Tvister, mediation og voldgift
Såfremt der måtte opstå tvister mellem Parterne, skal Parterne først forsøge at løse uoverensstemmelserne ved gensidige og loyale forligsforhandlinger.
Alle tvister og uoverensstemmelser, som direkte eller indirekte måtte udspringe af disse vilkår skal med endelig og bindende virkning afgøres ved voldgift i Det Danske Voldgifts-institut i henhold til instituttets regler og efter dansk ret. Stedet for voldgiftsretten er i København.
Hver Part udpeger en voldgiftsmand, mens voldgiftsrettens formand udnævnes af instituttet, såfremt de af Parterne udpegede voldgiftsmænd ikke inden 14 dage efter deres udnævnelse er blevet enige om en formand.
Har én af Parterne ikke inden 30 dage efter at have indgivet eller modtaget underretning om begæring af voldgift udpeget en voldgiftsmand, udpeges denne af instituttet i overensstemmelse med ovennævnte regler.
Dette punkt 20.2 skal dog ikke være til hinder for, at Parterne indbringer sager om overtrædelse af disse vilkår for domstolene med henblik på iværksættelse af foreløbige retsskridt.