Tilslutningsaftale
UDKAST
Tilslutningsaftale
Bemærkninger til udkastet:
Digitaliseringsstyrelsen har i dette udkast til tilslutningsaftale fokuseret på de overordnede juridiske og forretningsmæssige krav, der kan danne grundlag for en vurdering af rammerne for Visningsklienten.
Hvor Digitaliseringsstyrelsen særligt ønsker at understrege, at endelige beslutninger/krav udestår, er det eksplicit fremhævet i teksten.
Henvisningerne til NemLog-in infrastrukturen afspejler den kommende løsning, der vil være klar forud for Go-live af Digital Post med Visningsklienter.
Der pågår i øjeblikket et lovforberedende arbejde vedr. ændringer til Lov om Digital Post, der er sendt i høring primo juni 2020. Det følger blandt andet af lovforslaget, at digital post fra offentlige afsendere tilgås via offentlige Visningsklienter og Kommerci- elle Visningsklienter. De nærmere rammer for roller i forbindelse med behandling af persondata vil ligeledes blive fastlagt i den kommende lovændring
Version 0.7
UDKAST - Tilslutningsaftale Side 1 af 30
Indholdsfortegnelse
1
5
2. Digitaliseringsstyrelsen Services
6
2.2 Samarbejde i udviklingsfasen - indtil Go-live af Digital Post 6
2.3 Testmiljø samt tilslutning 6
2.4 Digitaliseringsstyrelsens support til Udbyder 7
2.5 Driftsinformation og dokumentation 7
2.6 Rapportering og statistik 7
2.8 Anvendelse af rettigheder fra NemLog-in 7
7
3.2 Tekniske krav til Udbyderen samt attest 8
3.4 Lovgivnings- og myndighedskrav 8
3.5 Regler for brug af Digital Post 8
4. Misligholdelse og misligholdelsesbeføjelser
8
4.4 Digitaliseringsstyrelsens ophævelse 9
4.5 Digitaliseringsstyrelsens adgang til at suspendere Udbyders adgang til Digital Post 9
5. Ophør af Tilslutningsaftale
10
6. Ansvar og ansvarsbegrænsning
10
6.2 Ansvar over for Slutbrugere 10
6.3 Forsæt og grov uagtsomhed 11
11
11
9. Behandling af personoplysninger
11
12
10.2 Krænkelse af tredjemands rettigheder 12
10.3 Anvendelse af Digital Post-kendetegn 12
12
12. Ændringer til Tilslutningsaftalen
13
12.1 Ændringer aftalt mellem Parterne 13
13
13
14
15.2 Tvister, mediation og voldgift 14
15.3 Parternes forpligtelser ved tvister 14
15
16
Bilag 2 Samarbejde og leverancer fra Digitaliseringsstyrelsen
18
18
2. Generelt samarbejde mellem parterne
18
2.2 Videndeling og informationspligt 18
3. Samarbejde forud for Go-Live
18
3.3 Samarbejde med Udviklingsleverandør og tredjeparter 19
4. Services fra Digitaliseringsstyrelsen
19
4.8 Kommunikation til tredjeparter og Slutbrugere 20
20
Bilag 3 Tilslutning og Godkendelse af Udbyder
23
23
2. Dokumentationsforløb og tilslutning
23
3. Dokumentationsforløbets indhold
24
3.1 Overordnet om Godkendelsen 24
3.2 Uafhængige Tredjemand og attest 24
Bilag 4 Krav til etablering og drift af Visningsklienter
27
Bilag 5 Udbyders Slutbrugervilkår
29
29
2. Sikring af fornødent samtykke til behandling
29
3. Information om de Fællesoffentlige Visningsklienter
29
29
29
29
30
30
9. Løsninger til autentifikation af Slutbrugere
30
Bilag
Bilag 1 Definitioner
Bilag 2 Samarbejde og leverancer fra Digitaliseringsstyrelsen Bilag 3 Godkendelse af Udbyder
Bilag 4 Krav til etablering og drift af Visningsklienter Bilag 5 Udbyders slutbrugervilkår
Mellem | Digitaliseringsstyrelsen CVR-nr. 34051178 Landgreven 4, Postboks 2193 1017 København K ("Digitaliseringsstyrelsen") |
Og | |
[…] ("Udbyderen") (Digitaliseringsstyrelsen og Udbyderen hver for sig "Part" og sammen "Parterne") |
1. Indledning
1.1 Digitaliseringsstyrelsen har på baggrund af et EU-udbud indgået kontrakt med Netcompany om Levering af Digital Post (Kontrakt om Udvikling, drift, vedligeholdelse, support og videreudvikling af Digital Post). Digita- liseringsstyrelsen har systemansvaret for Digital Post-løsningen og forestår ligeledes forvaltning heraf.
1.2 Formålet med Digital Post er at opretholde en effektiv og sikker levering af digital post fra offentlige myn- digheder til borgere og virksomheder. Digital Post vil ikke indeholde post fra private afsendere. Slutbruger- nes adgang til Digital Post sker gennem tilsluttede Visningsklienter. Det er i medfør af Lov om Digital Post fra offentlige afsendere (lovbekendtgørelse nr. 801 af 13. juni 2016 med senere ændringer), som udgangs- punkt obligatorisk for borgere og virksomheder at være tilslutte sig Digital Post.
1.3 Digitaliseringsstyrelsen etablerer sin egen Visningsklient på xxxxxx.xx og Erhvervsstyrelsen etablerer en vis- ningsklinet på xxxx.xx. Disse fællesoffentlige visningsklienter formidler digital post til henholdsvis borgere og virksomheder og indgår som centrale aktører i den samlede Digital Post-løsning, jf. § 2 i lov om Digital Post fra offentlige afsendere.
1.4 Som supplement til de fællesoffentlige Visningsklienter har Udbydere i form af private aktører mulighed for at formidle Digital Post gennem Kommercielle Visningsklienter. Dette kan fx ske i sammenhæng med andre ydelser, som Udbyderen leverer til markedet. Retsvirkningen for Slutbrugere er den samme uanset hvilken type visningsklient der vælges, idet offentlige og kommercielle visningsklienter er ligestillet i medfør af lov om Digital Post.
1.5 Formålet med tilslutningsaftalen er på denne baggrund at fastlægge de nærmere vilkår og betingelser gæl- dende for:
i. Udbyderens levering af Ydelser, herunder Meddelelser til sine brugere via en Kommerciel Visningsklient
ii. De tekniske og sikkerhedsmæssige krav, som Udbyderen skal opfylde for at levere Ydelser, samt
iii. De vilkår som Udbyderen skal opfylde, og som Udbyderen skal indarbejde i sine aftalevilkår med Slut- brugere.
1.6 Som baggrundsinformation til tilslutningsaftalen og de ovenfor anførte bilag henvises til Digitaliseringsstyrel- sens website xxx.xxxxx.xx/xxxxxxxxxxx.
1.7 Visningsklienten har en række bindinger til NemLog-in infrastrukturen, herunder som følge af sikkerhedsmo- dellen i Digital Post. Det er derfor en forudsætning for Udbyders drift af Visningsklienten, at NemLog-in an- vendes som Broker, og at der som grundlag for dette er indgået en Tjenesteudbyderaftale med Digitalise- ringsstyrelsen.
1.8 Definerede termer fremgår af Bilag 1 (Definitioner).
2. Digitaliseringsstyrelsen Services
2.1 Generelt
2.1.1 Digitaliseringsstyrelsen skal levere Services til Udbyderne som nærmere beskrevet i denne Tilslutningsaftale, herunder særligt Bilag 4.
2.1.2 Hvis ikke andet fremgår af Tilslutningsaftalen, skal Services leveres fra tidspunktet for Tilslutningsaftalens indgåelse.
2.2 Samarbejde i udviklingsfasen - indtil Go-live af Digital Post
2.2.1 Bestemmelserne under punkt 2.2 er alene gældende for levering af Services til Udbydere, der ønsker sin Vis- ningsklient godkendt og tilsluttet på tidspunktet for Go-live. Digitaliseringsstyrelsen har i Bilag 2 beskrevet nærmere krav hertil.
2.2.2 Digital Post forventes færdigudviklet og lanceret (Go-live) på det i bilag 4 anførte tidspunkt. Digitaliserings- styrelsen skal holde Xxxxxxxxx informeret om eventuelle ændringer i tidspunktet for Go-live og i øvrigt holde Udbyderen informeret som nærmere beskrevet i punkt 2.2.5.
2.2.3 Inden Go-live vil Digitaliseringsstyrelsen levere en række services til Udbyderen med henblik på Udbyderens etablering af sin Visningsklient og klargøring af Ydelserne. Inden Go-live vil Digitaliseringsstyrelsens Services blive leveret på et "as-is ”-grundlag, hvor Digitaliseringsstyrelsen stiller Services til rådighed for Udbyderen i den form, hvor de er og forefindes. Det kan fx betyde, at ikke alle API'er fungerer, som de skal, eller at tek- nisk dokumentation ikke er i endelig form.
2.2.4 Uagtet ovenstående, er Udbyderen forpligtet til rimeligvis at søge at omgå eller rette eventuelle ulemper eller fejl, som Udbyderen måtte opleve.
2.3 Testmiljø samt tilslutning
2.3.1 Digitaliseringsstyrelsen skal stille testmiljø til rådighed for Udbyderen samt levere de øvrige tilslutningsser- vices, herunder API'er, som fremgår af Bilag 2. Som en del af tilslutningsservices leverer Digitaliseringsstyrel- sen dokumentation og vejledning i, hvordan Udbyderen kan tilsluttes Digital Post, herunder eksempelkode og referenceimplementering for, hvordan Udbyderen integrerer til og anvender Digital Post.
2.3.2 Digitaliseringsstyrelsen skal, forudsat at Udbyderen opfylder kravene fastsat i denne Tilslutningsaftale, her- under Godkendelse som angivet i punkt 3.2 tillade, at Udbyderen tilsluttes Digital Post. Digitaliseringsstyrel- sen skal foretage alle nødvendige og rettidige handlinger herfor.
2.3.3 For support i forbindelse med tilslutning henvises til punkt 2.4 nedenfor.
2.4 Digitaliseringsstyrelsens support til Udbyder
2.4.1 Digitaliseringsstyrelsen skal levere support til Udbyderen vedrørende tekniske forhold relateret til tilslutning og løbende anvendelse af Digital Post, herunder grænseflader til Digital Post og Services i øvrigt.
2.4.2 Det nærmere omfang af supporten og udførelse heraf samt forudsætninger, som Udbyderen skal opfylde for at modtage support efter dette punkt 2.4 samt support til slutbrugere er specificeret i Bilag 2.
2.5 Driftsinformation og dokumentation
2.5.1 Digitaliseringsstyrelsen skal løbende levere information til Udbyderen om driftsforhold, som har betydning for Udbyderen, herunder information om vedligehold, opdateringer mv.
2.5.2 Driftsinformation og dokumentation er beskrevet i Bilag 2.
2.6 Rapportering og statistik
2.6.1 Digitaliseringsstyrelsen skal levere rapportering og statistik til Udbyderen som nærmere beskrevet i Bilag 2.
2.7 Rammer for vidensdeling
2.7.1 Digitaliseringsstyrelsen skal etablere rammer for vidensdeling, således at Udbyderen løbende har adgang til den seneste viden om Digital Post og Services i øvrigt. Digitaliseringsstyrelsen opretter et samarbejdsfora for Udbydere, hvor der kan foretages erfaringsudveksling, løbende rapportering om status og løsningshånd- tering herunder support, vedligeholdelsesnotifikationer, driftsmæssige og sikkerhedsmæssige risici osv.
2.8 Anvendelse af rettigheder fra NemLog-in
2.8.1 Såfremt Udbyder distribuerer post fra private afsendere og udstiller disse i sammenhæng med Meddelelser fra Digital Post, kan Udbyder på baggrund af et samtykke fra Slutbruger anvende registrerede rettigheder i NemLog-in Digital repræsentation og NemLog-in Erhvervsadministration til brug for håndtering af post fra private afsendere. Det skal være muligt for slutbruger at trække sit samtykke tilbage.
2.8.2 Anvendelsen af rettighedsstyringen i NemLog-in sker på Udbyders eget ansvar. Digitaliseringsstyrelsen er således ikke ansvarlig for data registeret i NemLog-in eller ansvarlig for om tjenesten er tilgængelig.
3. Krav til Udbyderen
3.1 Generelt
3.1.1 Udbyderen skal på baggrund af tilslutning til Digital Post levere Ydelserne til Slutbrugerne som nærmere beskrevet i denne Tilslutningsaftale og skal opfylde de pligter og krav, som påhviler Udbyderen i henhold til Tilslutningsaftalen.
3.1.2 Udbyderen kan først levere sine Ydelser når der foreligger Godkendelse, jf. punkt 3.2.
3.1.3 Udbyderen modtager intet vederlag fra Digitaliseringsstyrelsen for levering af Ydelser til Slutbrugerne. Alle Udbyderens omkostninger til opfyldelse af de pligter, Udbyderen er pålagt efter denne Tilslutningsaftale er Digitaliseringsstyrelsen uvedkommende.
3.1.4 Ydelserne skal leveres i overensstemmelse med kravene i Bilag 4. Udbyderen er desuden forpligtet til at levere Ydelsen i overensstemmelse med God it-skik.
3.1.5 Udbyderen skal i rimeligt omfang bistå Digitaliseringsstyrelsen, hvis Digitaliseringsstyrelsen har brug for in- formationer eller assistance til håndtering af opgaver relateret til samarbejdet.
3.1.6 Udbyderen er forpligtet til at bistå Digitaliseringsstyrelsen eller andre myndigheder i forbindelse med efter- forskning af kriminalitet, herunder misbrugssager. Udbyder er berettiget til et rimeligt vederlag fastlagt på baggrund af forbrugt tid til håndtering af sådanne opgaver.
3.2 Tekniske krav til Udbyderen samt attest
3.2.1 En Udbyder skal være Godkendt i overensstemmelse med dette punkt 3.2 og bilag 3.
3.2.2 Der skal ske re-Godkendelse af Udbyderens Visningsklient i det omfang, der foretages i) ændringer i God- kendelseskravene eller ii) ændringer i den del af Udbyderens Visningsklient, som er omfattet af Godkendel- sen.
3.2.3 Dokumentationsforløbet, de komponenter som skal godkendes og kravene til Godkendelse fremgår af Bilag 3.
3.2.4 Dokumentationsforløbet skal forestås af en Uafhængige Tredjemand, der i) er i stand til at iværksætte og gennemføre Godkendelsen inden for rimelig tid og ii) er i stand til, udover at foretage en almindelig it-revi- sion at attestere, at Udbyderen integration til Digital Post opfylder kravene i Bilag 4. Den Uafhængige Tred- jemand skal være statsautoriseret revisor. Efter afslutning af Dokumentationsforløbet skal Den Uafhængige Tredjemand udstede en attest.
3.2.5 Udbyderen afholder egne omkostninger til implementering, test, Godkendelse og drift.
3.3 Årlig revision
3.3.1 Udbyderen skal årligt levere revisionserklæringer til Digitaliseringsstyrelsen som nærmere beskrevet i Bilag 4.
3.4 Lovgivnings- og myndighedskrav
3.4.1 Udbyderen skal overholde den til enhver tid gældende lovgivning.
3.4.2 For behandling af personoplysninger henvises til punkt 9 nedenfor.
3.4.3 Digitaliseringsstyrelsen og Udbyderen forestår hver især eventuelle lovpligtige anmeldelser og indberetnin- ger til offentlige myndigheder, herunder Datatilsynet.
3.5 Regler for brug af Digital Post
3.5.2 Derudover kan Udbyderen frit aftale betingelser og vilkår med den enkelte Slutbruger.
4. Misligholdelse og misligholdelsesbeføjelser
4.1 Afhjælpning
4.2 Generelt om ophævelse
4.2.1 Både Udbyderen og Digitaliseringsstyrelsen kan ophæve Tilslutningsaftalen såfremt den anden part i væ- sentlig grad har misligholdt sine forpligtelser efter Tilslutningsaftalen og ikke uden ugrundet ophold har af- hjulpet det eller de pågældende forhold´.
4.2.2 Ophævelsen har virkning fra det tidspunkt, hvor meddelelsen om ophævelse kommer frem og for de Ydel- ser henholdsvis Services, der i tid ligger herefter.
4.2.3 Paterne kan altid ophæve aftalen som nærmere beskrevet i henholdsvis punkt 4.3 og 4.4. Digitaliseringssty- relsen kan desuden suspendere Udbyderens adgang til Digital Post som nærmere beskrevet i punkt 4.5.
4.3 Udbyderens ophævelse
4.3.1 Udbyderen kan skriftligt ophæve Tilslutningsaftalen, hvis Digitaliseringsstyrelsen gør sig skyldig i væsentlig misligholdelse eller i gentagen misligholdelse, der akkumuleret må anses for at være væsentlig, og Digitali- seringsstyrelsen ikke uden ugrundet ophold har afhjulpet det eller de pågældende forhold, jf. punkt 4.1.1.
4.4 Digitaliseringsstyrelsens ophævelse
▪ Udbyderen opnår ikke Godkendelse, herunder rettidig re-Godkendelse, jf. punkt 3.2
▪ Udbyderen leverer ikke revisionsrapporten, jf. punkt 3.3 inden for den fastlagte frist.
▪ Der konstateres væsentlige mangler i den revisionserklæring, som Udbyderen leverer, jf. bilag 4, punkt 16.
▪ Digitaliseringsstyrelsen kan med føje konstatere at Udbyderes drift af Visningsklienten har en sådan karakter, at det indebærer en risiko for kompromittering af én eller flere slutbrugeres post.
▪ Udbyders handlinger kan medføre, at den samlede tillid til Digital Post infrastrukturen lider skade.
4.4.2 Derudover kan Digitaliseringsstyrelsen ophæve Tilslutningsaftalen, hvis Udbyderen bliver erklæret konkurs, indgiver konkursbegæring eller indleder rekonstruktionsbehandling i det omfang konkurslovens regler ikke er til hinder derfor.
4.4.3 Ophævelse efter punkt 4.4.1 kan dog først ske efter at Digitaliseringsstyrelsen skriftligt har påtalt det pågæl- dende forhold over for Udbyderen med en rimelig frist til udbedring af det pågældende forhold og dette ikke er sket inden for fristen.
4.5 Digitaliseringsstyrelsens adgang til at suspendere Udbyders adgang til Digital Post
Digitaliseringsstyrelsen har, såfremt en Udbyder efter Digitaliseringsstyrelsens vurdering i væsentligt om- fang ikke opfylder det i Tilslutningsaftalen fastlagte eller i øvrigt misbruger Digital Post funktionalitet eller er til skade for Digital Posts sikkerhed, adgang til at suspendere den pågældende Udbyders adgang til at an- vende Digital Post. Ved en suspension er Udbyderen udelukket fra Digital Post indtil Digitaliseringsstyrelsen beslutter at genoprette tilslutningen eller udnytte sine øvrige beføjelser efter Tilslutningsaftalen, herunder retten til ophævelse.
Digitaliseringsstyrelsens skal give et rimeligt og så vidt muligt 14 dages varsel til Udbyder, så denne kan bringe det pågældende forhold kan til ophør. En suspendering for adgangen til Digital Post kan i ekstraordi- nære tilfælde ske med kortere eller uden varsel, såfremt hensyn til Digital Posts integritet, øvrige Udbydere,
5. Ophør af Tilslutningsaftale
5.1 Ophør
5.1.2 Digitaliseringsstyrelsen har ret til at gennemføre særskilte informationsaktiviteter i forbindelse med et ophør, herunder både generel information til offentligheden og specifik information til udvalgte grupper af Slutbru- gere og andre interessenter.
6. Ansvar og ansvarsbegrænsning
6.1 Ansvar
6.1.1 Hvor andet ikke fremgår af Tilslutningsaftalen, er hver Part ansvarlig efter dansk rets almindelige regler. Par- terne er erstatningspligtige i det omfang, der foreligger det fornødne ansvarsgrundlag, og der er lidt et tab.
6.1.2 Parterne hæfter for tab, der skyldes, at Parten på grund af fejl eller forsømmelser enten ikke opfylder de aftalte forpligtelser eller opfylder de aftalte forpligtelser for sent eller mangelfuldt.
6.1.3 En Part er i intet tilfælde erstatningsansvarlig for den anden Parts følgeskader og indirekte tab, jf. dog punkt
6.3. Driftstab, avancetab og kundetab er at betragte som indirekte tab.
6.1.4 En Parts samlede erstatningsansvar over for den anden Part under denne Tilslutningsaftale er i et kalen- derår beløbsmæssigt begrænset til DKK [5.000.000].
6.1.5 Såfremt tredjemand, Myndigheder eller Slutbrugere retter et erstatningskrav mod Digitaliseringsstyrelsen, og erstatningskravet kan henføres til Udbyders ydelser, kan Digitaliseringsstyrelsen rette et tilsvarende er- statningskrav mod Udbyder, der også skal friholde Kunden for omkostninger til advokat mv. samt sagsom- kostninger, som måtte blive tilkendt vedkommende sagsøger (regres).
6.2 Ansvar over for Slutbrugere
6.2.1 Udbyder er erstatningsansvarlig over for Slutbrugere efter dansk rets almindelige regler med de i afsnit
6.2.2 til 6.2.4 anførte undtagelser:
6.2.3 Udbyder er ikke ansvarlig for tab som følge af a) driftsforstyrrelser hos Udbyder, der forhindrer anvendelsen af Visningsklienten; b) afbrydelser i Slutbrugers adgang til at anvende Visningsklienten.
6.2.4 Udbyder er ikke ansvarlig for tab, der skyldes lovindgreb eller forvaltningsakter.
6.3 Forsæt og grov uagtsomhed
6.3.1 Ansvarsbegrænsningerne i Punkt 6.1 finder ikke anvendelse i det omfang en skade er forårsaget ved en Parts forsætlige eller grove uagtsomme misligholdelse af Tilslutningsaftalen.
7. Force majeure
7.2 Forhold hos en underleverandør anses kun for force majeure, såfremt der for underleverandøren foreligger en hindring, der er omfattet af punkt 7.1, og som Parten eller underleverandøren ikke kunne have undgået eller overvundet.
7.3 En Part er ikke ansvarsfri efter nærværende punkt, hvis lovgivningen under alle omstændigheder gør Parten ansvarlig for det forhold, som er årsag til tabet eller såfremt force majeure-situationen ikke var opstået, hvis Xxxxxx havde opfyldt sine forpligtelser efter Tilslutningsaftalen.
7.4 Force majeure kan kun påberåbes, såfremt den pågældende Part har givet meddelelse herom til den anden Part senest 5 Arbejdsdage efter, at force majeure er indtrådt. Meddelelsen skal indeholde en vurdering af den forventede varighed af force majeure-situationen.
7.5 Den Part, der ikke er ramt af force majeure, er berettiget til at annullere Tilslutningsaftalen helt eller delvis, såfremt en force majeure begivenhed består af mere end 50 Arbejdsdage.
8. Løbetid og opsigelse
8.1 Tilslutningsaftalen træder i kraft ved den seneste Parts underskrift.
8.2 Tilslutningsaftalen kan af Digitaliseringsstyrelsen opsiges med 24 måneders skriftligt varsel og af Udbyderen med 3 måneders varsel.
8.3 Tilslutningsaftalen udspringer af Digital Post infrastrukturen som beskrevet i lov om Digital Post (lovbe- kendtgørelse nr. 801 af 13. juni 2016 med efterfølgende ændringer. Såfremt ny lovgivning ændrer grundla- get for Tilslutningsaftalen, kan Digitaliseringsstyrelsen opsige Tilslutningsaftalen med et rimeligt varsel ikke under 12 måneder, således at Tilslutningsaftalen ophører på tidspunktet for ikrafttræden af en sådan æn- dring.
9. Behandling af personoplysninger
9.1 Udbyder er dataansvarlig for den behandling af persondata, der foretages som led i visning af Slutbrugernes Meddelelser i Visningsklienten.
9.2 [Afventer yderligere afklaring. Forhold vedrørende persondata indgår i det igangværende lovforberedende arbejde i Digitaliseringsstyrelsen. Herudover pågår der afklaringer i relation til håndtering af databeskyttel- seslovens § 3, stk. 9 idet Digital Post-løsningen er vurderet som samfundskritisk infrastruktur.]
10. Immaterielle rettigheder
10.1 Udbyderens brugsret
10.1.1 Udbyderen kan i Tillægsaftalens løbetid integrere til og trække på Services fra Digital Post blandt andet med henblik på at stille Meddelelser til rådighed for Slutbrugere.
10.1.2 Til øvrige Services under denne Tilslutningsaftale, herunder dokumentation og rapportering udarbejdet med henblik på kommunikation til markedet opnår Udbyderen en tidsbegrænset brugsret til at anvende disse i den løbende forretning, herunder til kommunikation med Slutbrugere.
10.2 Krænkelse af tredjemands rettigheder
10.2.1 Digitaliseringsstyrelsen garanterer, at Digital Post og øvrige leverancer efter denne Tilslutningsaftale ikke krænker andres rettigheder, herunder patenter eller ophavsrettigheder.
10.2.2 Såfremt der rejses krav mod Udbyderen, hvor det gøres gældende, at en sådan krænkelse foreligger, er Ud- byderen forpligtet til uden ugrundet ophold at give Digitaliseringsstyrelsen underretning herom. Digitalise- ringsstyrelsen er berettiget til at overtage sagen og de med sagen forbundne omkostninger, og Digitalise- ringsstyrelsen har uigenkaldelig fuldmagt til for egen regning at føre sagen, herunder gennemføre en even- tuel retssag eller indgå forlig vedrørende de påståede krænkelser.
10.2.3 Digitaliseringsstyrelsen skal skadesløsholde Udbyderen for enhver omkostning og ethvert tab, som Udbyde- ren måtte have eller lide i forbindelse med en aktuel krænkelse af tredjemands rettigheder. Forpligtelsen til at skadesløsholde Udbyderen er ikke omfattet af erstatningsmaksimeringen i punkt 6.1.
10.3 Anvendelse af Digital Post-kendetegn
10.3.2 For retningslinjer for brug af kendetegn (UX Scheme) henvises til Digitaliseringsstyrelsens hjemmeside. Ret- ningslinjerne kan ændres og kendetegn kan ændres helt eller delvist. Udbyderen er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gældende retningslinjer og anvende det til enhver tid gældende kendetegn.
10.3.3 Udbyderen er ved ophør af Tilslutningsaftalen forpligtet til at fjerne enhver henvisning til Digital Posts ken- detegn, jf. punkt 10.3.1 og ophøre med brugen heraf, medmindre anden aftale indgås med Digitaliserings- styrelsen.
10.3.4 Der henvises i øvrigt til Bilag 4 om brug af kendetegn.
11. Underleverandører
11.1 Medmindre andet fremgår af Bilag 3, er Udbyderen berettiget til at anvende underleverandører og eksterne konsulenter med henblik på opfyldelse af Tilslutningsaftalen.
11.2 Udbyderen hæfter for underleverandørers ydelser på samme måde, som hvis det var Udbyderens Ydelser.
12. Ændringer til Tilslutningsaftalen
12.1 Ændringer aftalt mellem Parterne
12.1.1 Ændringer til Tilslutningsaftalen skal være aftalt skriftligt mellem Parterne, og ændringerne skal være til- trådt af Parterne for at være virksomme.
12.1.2 Digitaliseringsstyrelsen har ret til ændre tilslutningsaftalen med et varsel på 12 måneder. Udbyder kan ikke nægte sådanne ændringer. Ændringer grundet sikkerhedsmæssige forhold kan gennemføres med et kortere varsel end angivet ovenfor, herunder med virkning fra meddelelsestidspunktet, såfremt det er nødvendigt af hensyn til driften.
13. Diverse
13.1 Bilag og forrang
13.1.1 De til Tilslutningsaftalen tilhørende bilag er en integreret del af den samlede aftale og vilkår. I tilfælde af uoverensstemmelse mellem Tilslutningsaftalen og/eller bilagene skal følgende prioritering gælde:
(i) Tilslutningsaftalen (uden bilag)
(ii) Bilag 1 (Definitioner)
(iii) Bilag 4 (Krav til etablering og drift af Visningsklienter)
(iv) Bilag 3 (Certificering af Udbyder) Øvrige bilag er sideordnede.
14. Tavshedspligt
14.1.1 Udbyder og dennes personale skal iagttage ubetinget tavshed med hensyn til oplysninger vedrørende Digi- taliseringsstyrelsen, Slutbrugere, Digitaliseringsstyrelsens øvrige leverandørers eller andres forhold og data, som Udbyder og dennes personale får kendskab til i forbindelse med opfyldelse af Kontrakten. Udbyder er forpligtet til ikke at misbruge, kopiere eller i øvrigt anvende eller videregive oplysninger på anden måde el- ler i et andet omfang, end hvad der er nødvendigt for at kunne opfylde sine forpligtelser.
14.1.2 Udbyder skal pålægge eventuelle Underleverandører og andre, der bistår Udbyder i forbindelse med denne Tilslutningsaftale, en tilsvarende forpligtelse.
14.1.3 For Digitaliseringsstyrelsen og Digitaliseringsstyrelsens personale gælder reglerne for ansatte i den offent- lige forvaltning. Konsulenter og andre, der bistår Digitaliseringsstyrelsen, pålægges tilsvarende forpligtelse med hensyn til oplysninger om Leverandørens forhold, som gælder for Udbyder med hensyn til Digitalise- ringsstyrelsens forhold.
14.1.4 Udbyder må ikke uden Digitaliseringsstyrelsens forudgående samtykke bruge Digitaliseringsstyrelsen som reference. Dog er Udbyder berettiget til at medtage Digitaliseringsstyrelsen på en simpel referenceliste.
14.1.5 Tavshedspligten gælder også efter Kontraktens ophør uanset årsagen hertil.
14.2 Overdragelse
15. Lovvalg og tvister
15.1 Lovvalg
15.1.1 Retsforholdet ifølge Xxxxxxxxxxxxxxxxxxx og dennes fortolkning afgøres efter dansk ret.
15.2 Tvister, mediation og voldgift
15.2.1 Såfremt der måtte opstå tvister mellem Parterne, skal Parterne først forsøge at løse uoverensstemmelserne ved gensidige og loyale forligsforhandlinger.
15.2.2 Hvis enighed ikke kan opnås ved forhandling, kan tvisten på begæring fra en Part søges løst ved mediation ledet af en af Parterne i fællesskab udpeget mediator. Hvis Parterne ikke inden 5 Arbejdsdage, efter at en af Parterne har begæret tvisten løst ved mediation, har opnået enighed om valg af mediator, kan enhver af Parterne anmode Danske IT-advokater (DITA) om at udpege en mediator. Mediation gennemføres i givet fald i overensstemmelse med Danske IT-advokaters mediationsprocedure.
15.2.3 Alle tvister og uoverensstemmelser, som direkte eller indirekte måtte udspringe af denne Tilslutningsaftale eller dens fortolkning, skal med endelig og bindende virkning afgøres ved voldgift i Det Danske Voldgiftsin- stitut i henhold til instituttets regler og efter dansk ret. Stedet for voldgiftsretten er i København.
15.2.4 Hver Part udpeger en voldgiftsmand, mens voldgiftsrettens formand udnævnes af instituttet, såfremt de af Parterne udpegede voldgiftsmænd ikke inden 14 dage efter deres udnævnelse er blevet enige om en for- mand.
15.2.5 Har én af Parterne ikke inden 30 dage efter at have indgivet eller modtaget underretning om begæring af voldgift udpeget en voldgiftsmand, udpeges denne af instituttet i overensstemmelse med ovennævnte reg- ler.
15.2.6 Dette punkt 15.2 skal dog ikke være til hinder for, at Parterne indbringer sager om overtrædelse af denne Tilslutningsaftale for domstolene med henblik på iværksættelse af foreløbige retsskridt.
15.3 Parternes forpligtelser ved tvister
15.3.1 Parterne skal i perioden, hvori konfliktløsningen pågår, fortsat opfylde deres forpligtelser efter Tilslutning- saftalen.
15.3.2 Digitaliseringsstyrelsen er i den forbindelse ikke berettiget til helt eller delvist at standse den af Udbyderen ønskede opfyldelse af Tilslutningsaftalen, medmindre der foreligger en særlig grund hertil, jf. bestemmel- serne i punkt 4.
16. Underskrifter
16.1 Tilslutningsaftalen er udfærdiget og underskrevet i 2 enslydende eksemplarer, hvoraf hver Part modtager et originalt eksemplar.
---oo0oo---
FOR UDBYDEREN | FOR DIGITALISERINGSSTYRELSEN | |||
Underskrift | [Sted], den [Dato] | Underskrift | [Sted], den [Dato] | |
Navn: | Navn: | |||
Stilling: | Stilling: |
Bilag 1 Definitioner
Medmindre andet klart fremgår af konteksten, skal definerede termer forstås i overensstemmelse med nedenstående.
Begreb | Definition |
Uafhængig Tredjemand | En uafhængig tredjemand, der kan gennemføres en it-revision af Udbyder samt kontrollere af Digitaliseringsstyrelsens krav til Udbyder og Visningsklient er op- fyldt. |
Digital Post | Den digitale-post-løsning, som Digitaliseringsstyrelsen stiller til rådighed og som kan tilgås af Slutbrugere via Visningsklienter. |
Digital Post specifikke Metadata | Digital Post specifikke Metadata knytter sig til Slutbrugers behandling af med- delelser i dennes postkasse, fx sletning, mapper og læsning. Behandlingen sker via den Visningsklient som Xxxxxxxxxx har valgt at se sin post i. |
Kommercielle Visningsklienter | Visningsklienter, der udstilles af juridiske enheder, der ikke samtidig er offent- lige Visningsklienter. Se Visningsklient. |
Fuldmægtig | En Slutbruger, der har mulighed for at tilgå en anden Slutbrugers postkasse på baggrund af en fuldmagt registreret i NemLog-in Digital repræsentation. |
Go-live | Det tidspunkt, hvor Digital Post-løsningen i sin helhed idriftsættes af Digitalise- ringsstyrelsen |
Godkendelse | Digitaliseringsstyrelsens samlede godkendelse af Dokumentationsforløbet be- stående af basisgodkendelse og løsningsgodkendelse. |
God it-skik | Ved God it-skik forstås en af it-branchen alment accepteret god udførelse inden for et bestemt område. |
Hoveddokument | Det brev, der typisk udgør den centrale del af kommunikationen fra afsender til Slutbruger og som kan læses af Slutbruger. |
Hændelseslog | Hændelseslog registrerer og udstiller informationer om hvilke aktiviteter en be- stemt aktør, herunder Slutbruger har udført i Digital Post og i givet fald hvem aktiviteterne er udført på vegne af. Hændelsesloggen kan tilgås af Slutbrugeren med henblik at kontrollere aktivitet. Via Visningsklientens korrekte anvendelse af Services fra Digital Post sikres opdatering af Hændelsesloggen. |
Meddelelse | En samlebetegnelse for Hoveddokument, bilag til hovedokument og Memo me- tadata i Digital Post, som Slutbrugeren tilgår i Visningsklienten. |
MeMo Metadata | MeMo Metadata er en integreret del af de Meddelsler som myndighederne sen- der til Slutbrugerne via Digital Post. De opmærkede Memo Metadata bruges både af Digital Post-løsningen til håndtering Meddelelsen, og til at give slutbru- geren overblik over indholdet af de Meddelelser, der ligger i dennes postkasse – fx titel på meddelelse, attentionperson, frist, aftale etc. Memo Metadata kan ikke ændres af Xxxxxxxxxxxx eller dennes visningsklient. |
Offentlige Visningsklienter | Visningsklienter, der stilles til rådighed af Digitaliseringsstyrelsen (xxxxxx.xx) og Erhvervsstyrelsen (xxxx.xx). De offentlige Visningsklienter er etableret i medfør af § 10a i lov om Digital Post fra offentlige afsendere. Se Visningsklienter |
Partsrepræsentant | En partsrepræsentant er en Slutbruger der kan tilgå en andens (partens) post- kasse via en Visningsklient. |
Services | De services, herunder adgang til Digital Post som Digitaliseringsstyrelsen leverer til Udbyderen med henblik på at denne kan levere sine Ydelser til Slutbrugerne. |
Slutbrugere | Slutbrugere er virksomheder eller borgere, der via en Visningsklient tilgår Digital Post. |
Supplerende Ydelse | En ydelse som Udbyder tilbyder til Slutbrugeren eller afsendere af Meddelelser, og som har en nær tilknytning til Visningsklienten og Digital Post, fx ved at nyt- tiggøre data fra Visningsklienten, herunder ved integration hertil. En Supple- rende Ydelse vil typisk have en kommerciel værdi for Udbyderen, der understøt- tes af, at Udbyderen har kontakt til Slutbrugere via Visningsklienten. |
Tillidsperson | En Slutbruger der i egen Digital Post indbakke kan modtage sikre Meddelelser videresendt fra en anden Digital Post Slutbruger. Meddelelser videresendes in- ternt i løsningen og er derfor beskyttede. Oprettelse af en Slutbruger som tillids- person sker via NemLog-in Digital repræsentation. En tillidsperson kan både være en borger eller en repræsentant fra en virksomhed. |
Udbyder | Den juridiske enhed, der har indgået en tilslutningsaftale med Digitaliseringssty- relsen med henblik på at stille en Visningsklient til rådighed for Slutbrugere |
Udviklingsfasen | Den periode op til tidspunktet for Go-Live, hvor Digitaliseringsstyrelsen etable- rer Digital Post-løsningen. |
Ydelser | De ydelser, som Udbyderen i medfør af Tilslutningsaftalen leverer til Slutbru- gerne, herunder adgang til Digital Post. |
Visningsklient | En klient, der stiller en brugergrænseflade til rådighed for Slutbrugere, hvorigen- nem der gives adgang til Digital Post fra offentlige afsendere. |
Bilag 2 Samarbejde og leverancer fra Digitaliseringsstyrelsen
1. Indledning
Dette bilag bestemmer de nærmere krav til samarbejdet mellem parterne, herunder særlige forhold forud for Go-live, hvis Udbyder ønsker at Visningsklienten er godkendt og tilsluttet på tidspunktet for Go-live.
Bilaget beskriver desuden leverancer fra Digitaliseringsstyrelsen, herunder support til Udbyderen
2. Generelt samarbejde mellem parterne
2.1 Samarbejdsorganisation
Digitaliseringsstyrelsen nedsætter en samarbejdsorganisation, hvor parterne med passende mellemrum kan behandle forhold vedrørende Digital Post og Visningsklienterne.
Der etableres en styregruppe med deltagelse af ledelsesrepræsentanter fra begge parter. Styregruppen har mandat til at træffe bindende beslutninger for parternes samarbejde og for Digital Post. Digitaliseringsstyrelsen varetager for- mandskabet for styregruppen.
I perioden efter Go-live mødes styregruppen hver halve år. Hvis der foreligger et konkret behov, kan Digitaliseringssty- relsen indkalde til yderligere møder.
2.2 Videndeling og informationspligt
Parterne er forpligtet til loyalt at dele viden om Digital Post og Visningsklienten med henblik på samlet at kunne styrke Digital Post infrastrukturen.
Parterne skal særligt dele information om følgende:
• Identificerede forsøg på Cyberangreb, herunder eventuelt identificerede trends i angrebsforsøg
• Brud på integritet af Digital Post infrastrukturen, herunder forhold, der kan nedsætte infrastrukturens trovær- digheden og anseelse i Danmark
• Uregelmæssigheder i Digital Post eller Visningsklienten, herunder uregelmæssigheder i forhold til drift
3. Samarbejde forud for Go-live
Det er en forudsætning for godkendelse og tilslutning af en Kommerciel Visningsklient til Go-live at Udbyderen indgår i et tæt samarbejde med Digitaliseringsstyrelsen som nærmere beskrevet i dette afsnit. En forudsætning for samarbejdet er, at Udbyder efter indgået tilslutningsaftale påbegynder Dokumentationsforløbet som nærmere beskrevet i Bilag 3.
3.1 Workshops
Udbyder er forpligtet til i rimeligt omfang at deltage i workshops i Digitaliseringsstyrelsen og igennem disse aktivt bi- drage til at alle relevante forhold vedrørende tilslutning og drift af Visningsklienten afklares. Digitaliseringsstyrelsen beslutter hvilke aktører, der deltager på workshops, herunder om flere Udbydere deltager på fælles workshops.
3.2 Løbende afrapportering
Udbyderen er forpligtet til på Digitaliseringsstyrelsens anmodning løbende at afrapportere status i forhold til sit arbejde med visningsklienten og fremlægge begrundende tidsplaner for udviklingsarbejdet. Forpligtelsen efter dette punkt er uafhængig af Udbyderens forpligtelser i relation til godkendelsesprocessen, jf. bilag 3.
3.3 Samarbejde med Udviklingsleverandør og tredjeparter
Udbyderen er forpligtet til at indgå i tæt dialog med Digitaliseringsstyrelsens udviklingsleverandør og andre tredjeparter, som Digitaliseringsstyrelsen måtte finde relevant, herunder med henblik på at sikre test af integrationer mellem Digital Post og Visningsklienten.
4. Services fra Digitaliseringsstyrelsen
4.1 Indledning
For at understøtte Udbyderens tilslutning til Digital Post og den løbende drift af Visningsklienten leverer Digitaliserings- styrelsen en række services i overensstemmelse med det nedenfor anførte. Adgang til systemer og beskrivelser leveres til Udbyderen efter gennemført Basisgodkendelse.
4.2 Testmiljøer
Digitaliseringsstyrelsen stiller et testmiljø til rådighed for Udbyderen, hvori det er muligt for Udbyder at foretage test med henblik på tilslutning til Digital Post.
4.3 Snitflader
Digitaliseringsstyrelsen leverer en beskrivelse af de API’er, hvorigennem Udbyderen kan kommunikere med Digital Post. De forskellige funktioner i Digital Post udstilles til Udbyderen som REST-baserede webservices i JSON og XML.
Under transport mellem visningsklienter og Digital Post krypteres data med brug af certifikater. Således bliver data aldrig transporteret i klartekst og begge parter i kommunikationen kan verificere modpartens identitet.
4.4 Dokumentation
De tekniske leverancer er dokumenteret af Digitaliseringsstyrelsen med henblik på at lette Udbyderens tilslutning af Visningsklienten til Digital Post og den efterfølgende drift af Visningsklinten.
Der leveres desuden dokumentation til brug for integration til NemLog-in med henblik på understøttelse af rettigheds- styring.
4.5 Driftsstatus
Udbyderen har adgang til live driftsstatus via Digital Post driftsovervågning. Desuden vil Digitaliseringsstyrelsen løbende, levere information, herunder via it-service management system, om konstaterede incident og status for udbedring heraf samt eventuelle servicevinduer.
Udbydere vil ligeledes blive informeret om releaseplaner og forventet betydning for påvirkning af driften af Digital Post og de komponenter, som Udbyderen interagerer med.
4.6 Servicedesk
Udbyder har adgang til teknisk support vedrørende integrationer og driftstekniske forhold relateret til Digital Post-løs- ningen.
Digital Post servicedesk kan kontaktes elektronisk og telefonisk på følgende tidspunkter:
[De nærmere forhold vedrørende Servicedesk er under afklaring]
Udbyder kan desuden indberette incidents til servicedesken.
4.7 Årshjul og roadmap
Digitaliseringsstyrelsen vil i januar måned og juli måned levere en beskrivelse af forventede tiltag i Digital Post de kom- mende 12 måneder. I det omfang Digitaliseringsstyrelsen er bekendt hermed vil beskrivelsen ligeledes indeholde infor- mation om forventet udvikling i generelt forsendelsesomfang og specifikke perioder, hvor antallet af forsendelser øges.
4.8 Kommunikation til tredjeparter og Slutbrugere
Digitaliseringsstyrelsen vil som ansvarlig for Digital Post infrastrukturen foretage en aktiv kommunikationsindsats over for myndigheder og Slutbrugere med henblik på at understøtte anvendelsen af løsningen.
Kommunikationen vil ligeledes adressere Kommercielle Visningsklienter således at særligt Slutbrugerne opnår et bredt kendskab til de muligheder, der er på markedet for at tilgå Digital Post.
Digitaliseringsstyrelsen vil i regi af samarbejdsorganisationen, jf. afsnit 2.1 drøfte kommunikationstiltag med Udbyder med henblik på at sikre den bedst mulige effekt heraf.
5. Servicemål
5.1 Indledning
I afsnit 5.2 og afsnit 5.3 nedenfor anføres de servicemål, som Udbyder kan forvente, at Digital Post-løsningen opererer efter. Servicemålene afspejler den kontrakt, som Digitaliseringsstyrelsen har med Leverandøren af Digital Post-løsnin- gen.
5.2 Tilgængelighed
Tilgængelighed for produktionsmiljø i Digital Post-løsningen
• Primær driftstid (alle dage kl. 06.00 – 24.00): 99,5 pct.
• Sekundær driftstid (alle dage kl. 00.00 – 06.00): 98 pct.
Tilgængelighed for testmiljø
• Primær driftstid (alle dage kl. 06.00 - 24.00): 95 pct.
• Sekundær driftstid (alle dage kl. 24:00 - 06.00): Oppetid: 95 pct.
På produktionsmiljøet opereres som udgangspunkt med maksimum 6 årlige servicevinduer i tidsrummet kl. 22.00 -
04.00. Servicevinduer vil blive varslet til Udbyder med mindst 3 ugers varsel. Digitaliseringsstyrelsen vil give et rimeligt varsel vedrørende servicevinduer på testmiljøet.
5.3 Svartider
Generelle services mod visningsklienter | Svartid |
Fra en kompliceret webservice kaldes indtil webservicen har gennemført operationen uden Fejl | < 3,5 sekund i 95 pct. Af tilfældene |
Fra en svær webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl | <2 sekund i 95 pct. af tilfældene |
Fra en mellem webservice kaldes indtil webservicen har gennemført operationen uden Fejl | <1 sekund i 95 pct. af tilfældene |
FRA en let webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl | <0,5 sekund i 95 pct. af tilfældene |
Kontaktregisteret | Svartid |
Fra en svær webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl | <2 sekund i 95 pct. af tilfældene |
Fra en mellem webservice kaldes indtil webservicen har gennemført operationen uden Fejl | <1 sekund i 95 pct. af tilfældene |
Fra en let webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl | <0,5 sekund i 95 pct. af tilfældene |
Webservices kategoriseres i overensstemmelse med nedenstående model.
Kontaktregisteret | Svartid |
Kompliceret webservice | En web service der skriver mere end 10 Complex Types og orkestrere/aggregerer flere bagvedliggende web service opdateringer. |
Svær webservice | En web service der opdaterer data med under 10 Complex Types eller orkestrere/ag- gregerer flere bagvedliggende web service opdateringer. |
Mellem webservice | En web service der læser data med over 10 “Complex Types” eller hvor data aggrege- res med data fra eksterne kilder (fx andre eksterne web services). |
Let webservice | En web service der læser data med maksimalt 10 “Complex Types” og hvor data ikke aggregeres med data eksterne kilder (fx andre eksterne web services). |
Bilag 3 Tilslutning og Godkendelse af Udbyder
1. Indledning
Forud for tilslutning til Digital Post skal Udbyder gennemføre et dokumentationsforløb i overensstemmelse med de i dette bilag fastlagte krav.
Dokumentationsforløbet har til formål at sikre, at Udbyders Visningsklient og driften deraf opfylder en række krav fast- lagt af Digitaliseringsstyrelsen. Disse krav skal blandt andet sikre at Visningsklienter har et højt sikkerhedsniveau og viser Slutbrugernes Meddelelser i en ramme, der understøtter at den samlede Digital Post infrastruktur opleves som en tro- værdig og tryg ramme.
Et afsluttet og godkendt dokumentationsforløb er en forudsætning for at foretage endelig tilslutning til Digital Post og fungere som Visningsklient.
2. Dokumentationsforløb og tilslutning
Dokumentationsforløbet og tilslutning til Digital Post består af nedenstående fem trin.
01
Opstartsmøde med Digitaliserings- styrelsen
02
Indgåelse af Tilslutningsaftale
03
Basis- godkendelse
04
Løsnings- godkendelse
05
Godkendelse ved Digitaliserings- styrelsen
Ad. 01 Opstartsmøde
Digitaliseringsstyrelsen og den juridiske enhed, der ønsker at være Udbyder afholder et opstartsmøde, hvor dokumen- tationsforløbet gennemgås. På mødet gennemgås ligeledes de særlige forhold vedrørende tilslutning til Digital Post og løbende drift af en Visningsklient.
Ad. 02 Indgåelse af Tilslutningsaftale
Indgåelse af tilslutningsaftalen er en forudsætning for adgang til det videre forløb med Digitaliseringsstyrelsen, herunder samarbejdsmøder.
Ad. 03 Basisgodkendelse
Den juridiske enhed skal gennemføre en basisgodkendelse, jf. afsnit 3.3. Efter en gennemført basisgodkendelse og god- kendelse fra Digitaliseringsstyrelsen opnår Udbyderen adgang til systemer og dokumentation, herunder Testmiljøer,
API’er og systemdokumentation med henblik på at Udbyder kan afslutte udvikling og test af sin Visningsklient forud for endelig tilslutning.
Ad. 04 Løsningsgodkendelse
Løsningsgodkendelsen bygger oven på basisgodkendelsen og tager udgangspunkt i de funktionelle krav og sikkerheds- krav, der er fastlagt af Digitaliseringsstyrelsen, jf. bilag 4. Løsningsgodkendelsen skal dokumentere at Visningsklienten opfylder de fastlagte krav og kan tages i brug efter tilslutning til Digital Post.
Ad. 05 Godkendelse ved Digitaliseringsstyrelsen
På baggrund af den udstedte samlede attest, jf. afsnit 3.2 foretager Digitaliseringsstyrelsen en vurdering med henblik på Godkendelse af Visningsklienten.
3. Dokumentationsforløbets indhold
3.1 Overordnet om Godkendelsen
Den samlede Godkendelse af Visningsklienten på baggrund af dokumentationsforløbet er opdelt i en basisgodkendelse, jf. afsnit 3.3 og en løsningsgodkendelse, Jf. afsnit 3.4.
Godkendelsen gennemføres af en uafhængig tredjemand, jf. afsnit 3.2.
3.2 Uafhængige Tredjemand og attest
Gennemførelse af Dokumentationsforløbet skal foretages af en Uafhængige Tredjemand, jf. Tilslutningsaftalens punkt 3.2.4, der både er i stand til at foretage en almindelig it-revision og attestere, at Udbyderens Visningsklient og integra- tionen til Digital Post opfylder de i Tilslutningsaftalen fastlagte krav. Godkendelsen er først afsluttet ved Digitaliserings- styrelsens godkendelse, jf. nedenfor.
Som grundlag for Digitaliseringsstyrelsens Godkendelse af Udbyderens skal Den Uafhængige Tredjemand udstede en attest med følgende indhold:
• en erklæring om Udbyderens overholdelse af kravene, fastlagt af Digitaliseringsstyrelsen, og
• en underskrevet ledelseserklæring afgivet af Xxxxxxxxxx ledelse, hvor ledelsen erklærer, at Udbyder har svaret sandfærdigt på kravene og efter bedste overbevisning, samt at Udbyder ikke er bekendt med, at der er nogle for- hold hos Udbyderen, som gør Udbyderen uegnet til at blive Udbyder, og
• Udfyldte kravskemaer til dokumentation af opfyldelse af basisgodkendelsen. Kravskemaerne skal være udfyldte af både Udbyderen og Uafhængige Tredjemand, og
• En overordnet konklusion udfyldt af den uafhængige tredjemand, om Udbyderens efterlevelse af kravene indeholdt i Godkendelsen.
Herudover skal den uafhængige tredjemand foretage en særskilt indstilling til Digitaliseringsstyrelsen som led i basis- godkendelsen.
Udbyderen skal svare ærligt og grundigt og skal være i stand til at demonstrere overensstemmelse med kravene og fremlægge dokumentation til den uafhængige tredjemand og Digitaliseringsstyrelsen, såfremt dette vurderes nødven- digt.
3.3 Basisgodkendelse
Basisgodkendelsen er den første del af Godkendelsen. Udbyderen skal gennemføre basisgodkendelsen og godkendes af Digitaliseringsstyrelsen.
For at gennemføre basisgodkendelsen skal Udbyderen kunne dokumentere at denne har et effektivt ledelsessystem for informationssikkerhed omfattende den del af Udbyders virksomhed, hvor Visningsklienten administreres.
Udbyderen skal udfylde kravskemaet for basisgodkendelsen, jf. Bilag 3A. ved at besvare kravene og vedlægge relevant dokumentation for opfyldelse af kravene, herunder at Udbyderen har tilstrækkelige kontroller implementeret. Det er en forudsætning for basisgodkendelse, at omfanget af Udbyderens ledelsessystem for informationssikkerhed omfatter den kommende Udbyders Visningsklient aktiviteter og de krævede kontroller.
Krav indenfor følgende kontrolområder indgår i basisgodkendelsen:
• Styring af informationsaktiver
• Adgangsstyring
• Driftssikkerhed
• Kommunikationssikkerhed
• Sikkerhedskrav i forbindelse med databeskyttelse
• Styring af sikkerhedshændelser
• Styring af beredskab
• Styring af efterlevelse (Compliance) af lovgivning, kontrakter, sikkerhedskrav
• Oplysningspligt
[Der udestår en endelig afklaring af hvilke specifikke krav, der skal stilles til Udbyder i regi af basisgodkendelse, herunder mulig dokumentation ved standardiserede revisorerklæringer]
Den Uafhængige Tredjemand skal verificere, at Udbyderen har besvaret og dokumenteret kravene tilstrækkeligt og ind- stiller på denne baggrund til Digitaliseringsstyrelsen, om Udbyderen kan basisgodkendes.
Digitaliseringsstyrelsen godkender på denne baggrund Udbyderens Basisgodkendelse, såfremt denne er fyldestgørende og opfylder de angivne krav.
3.4 Løsningsgodkendelse
Løsningsgodkendelse omfatter en kontrol af følgende
• Overholdelse af de generelle krav til Visningsklienten, jf. Bilag 4
• Driftsmæssige beskrivelser
• [Specifikke sikkerhedsmæssige forhold]
For at gennemføre denne anden del af Godkendelsen skal Udbyder udfylde kravskemaet for […] og i relevant omfang vedlægge dokumentation for opfyldelse af kravene.
Den Uafhængige Tredjemand skal verificere, at Udbyderen har besvaret og dokumenteret kravene tilstrækkeligt og ind- stiller på denne baggrund til Digitaliseringsstyrelsen, om Udbyderen kan løsningsgodkendes.
Digitaliseringsstyrelsen godkender på denne baggrund Udbyderens Løsningsgodkendelse, såfremt denne er fyldestgø- rende og opfylder de angivne krav.
3.5 Samlet godkendelse
Godkendelsen af Løsningsgodkendelsen udgør samtidig den samlede godkendelse af Udbyder, der herefter kan tilslutte Visningsklienten til Digital Post i overensstemmelse med de nærmere aftaler herom mellem Parterne.
3.6 Re-Godkendelse
Efter Godkendelse skal udbyderen re-Godkendelse ved ændringer i Udbyderens løsning, der er omfattet af Godkendel- sen eller ved ændringer i Godkendelseskravene beskrevet i Bilag 4.
Desuden kan ændringer til Digital Post medføre at Udbyderens Visningsklient skal re-Godkendes.
Hvis Udbyder foretager ændringer til Visningsklienten omfattet af Godkendelsen, skal Udbyderen inden idriftsættelse notificere Digitaliseringsstyrelsen. Digitaliseringsstyrelsen afgør, om Udbyderens ændringer kræver fornyet Godken- delse. Fornyet Godkendelse skal være opnået, inden idriftsættelse af Udbyderens ændringer.
Såfremt Digitaliseringsstyrelsen foretager ændringer til kravene til Godkendelse, vil Udbyderen få et rimeligt varsel herom. Tilsvarende vil være gældende for ændringer til Digital Post-løsningen, der forudsætter re-Godkendelse af Ud- byderne
Udbyderen skal selv afholde omkostninger til re-Godkendelsen.
Bilag 3A Krav til Basisgodkendelse
[Krav til basisgodkendelse er under afklaring i Digitaliseringsstyrelsen]
Bilag 4 Krav til etablering og drift af Visningsklienter
Bilag 4 er vedlagt som særskilt dokument.
Bilag 5 Udbyders Slutbrugervilkår
1. Indledning
I dette bilag er der i overensstemmelse med Tilslutningsaftalens punkt 3.5 fastlagt en række forhold, som Udbyder er forpligtet til at iagttage i sine slutbrugervilkår.
Udbyderen skal i henhold til Tilslutningsaftalens punkt 3.5 sikre, at slutbrugervilkårene, herunder de bestemmelser der følger af krav i Tilslutningsaftalen gælder og er bindende for Slutbrugerne.
Digitaliseringsstyrelsens krav til slutbrugervilkår kan ændres og opdateres, jf. Tilslutningsaftalens punkt 12. Ændringer i vilkårene kommunikeres til Udbyderen, som skal kommunikere ændringer til Slutbrugerne, ligesom Udbyderen skal gennemføre ændringer i slutbrugervilkårene.
2. Sikring af fornødent samtykke til behandling
Udbyder skal sikre et tydeligt og informeret samtykke fra Slutbrugeren til at vise post fra offentlige afsendere og til behandling af Slutbrugerens personoplysninger ved anvendelse af Visningsklienten.
3. Information om de Fællesoffentlige Visningsklienter
Udbyderen skal informere Slutbrugeren om at de fællesoffentlige Visningsklienter er til rådighed som et alternativ og/el- ler supplement til Udbyders visningsklient og at det er muligt for Slutbrugeren at tilgå sin post herfra.
4. Sproglig tilgængelighed
Udbyders vilkår skal udarbejdes så de er let tilgængelige og fremstå i et klart sprog, der gør at de kan forstås af personer uden særlige juridiske eller tekniske forudsætninger.
5. Binding af slutbrugere
Udbyder må ikke skabe kunstige bindinger af Slutbrugere til Udbyders Visningsklient. Det skal til enhver tid være frivilligt for Slutbrugeren at ophøre med anvendelse af Visningsklienten og/eller anvende alternative Visningsklienter.
6. Ansvarsrækkefølge
Det skal i overensstemmelse med Tilslutningsaftalens punkt 7.3 fremgå af vilkårene, at ethvert krav fra Slutbrugere relateret til anvendelsen af Visningsklienten skal rettes imod Udbyderen, der herefter – hvis og i det omfang betingel- serne i Tilslutningsaftalen er opfyldte – kan rette krav imod Digitaliseringsstyrelsen.
7. Support til Slutbrugere
Udbyder skal informere Slutbrugerne om det ansvarsmæssige snit mellem Udbyderen og Fællesoffentlig Support, hvor- efter at support af Visningsklienten håndteres af Udbyder og at support relateret til selve Digital Post-løsningen og indholdet i Meddelelser håndteres af Fællesoffentlig Support.
8. Opsigelsesvarsel
Opsigelse af Slutbrugere skal ske med et varsel på på minimum [1] måned.
9. Løsninger til autentifikation af Slutbrugere
Udbyder skal informere Slutbruger om hvilke løsninger, der anvendes til autentifikation med henblik på adgang til Slut- brugeres Meddelelser i Digitale Post.
I det omfang Udbyder tilbyder autentifikationsløsninger med andet end NemID, MitID og NSIS anmeldte identifikations- midler fra NemLog-in, skal Udbyder detaljeret redegøre for Slutbrugers ansvar og i forbindelse med anvendelse heraf, herunder i forhold til misbrug og spærring.