Tilslutningsaftale

UDKAST

Tilslutningsaftale

Bemærkninger til udkastet:

Digitaliseringsstyrelsen har i dette udkast til tilslutningsaftale fokuseret på de overordnede juridiske og forretningsmæssige krav, der kan danne grundlag for en vurdering af rammerne for Visningsklienten.

Hvor Digitaliseringsstyrelsen særligt ønsker at understrege, at endelige beslutninger/krav udestår, er det eksplicit fremhævet i teksten.

Henvisningerne til NemLog-in infrastrukturen afspejler den kommende løsning, der vil være klar forud for Go-live af Digital Post med Visningsklienter.

Der pågår i øjeblikket et lovforberedende arbejde vedr. ændringer til Lov om Digital Post, der er sendt i høring primo juni 2020. Det følger blandt andet af lovforslaget, at digital post fra offentlige afsendere tilgås via offentlige Visningsklienter og Kommerci- elle Visningsklienter. De nærmere rammer for roller i forbindelse med behandling af persondata vil ligeledes blive fastlagt i den kommende lovændring

Version 0.7

UDKAST - Tilslutningsaftale Side 1 af 30

Indholdsfortegnelse

Bemærkninger til udkastet:

30

Bilag

Bilag 1 Definitioner

Bilag 2 Samarbejde og leverancer fra Digitaliseringsstyrelsen Bilag 3 Godkendelse af Udbyder

Bilag 4 Krav til etablering og drift af Visningsklienter Bilag 5 Udbyders slutbrugervilkår

TILSLUTNINGSAFTALE

Mellem

Digitaliseringsstyrelsen

CVR-nr. 34051178

Landgreven 4, Postboks 2193

1017 København K

("Digitaliseringsstyrelsen")

[…]

("Udbyderen")

(Digitaliseringsstyrelsen og Udbyderen hver for sig "Part" og sammen "Parterne")

1. Indledning

1.1 Digitaliseringsstyrelsen har på baggrund af et EU-udbud indgået kontrakt med Netcompany om Levering af Digital Post (Kontrakt om Udvikling, drift, vedligeholdelse, support og videreudvikling af Digital Post). Digita- liseringsstyrelsen har systemansvaret for Digital Post-løsningen og forestår ligeledes forvaltning heraf.

1.2 Formålet med Digital Post er at opretholde en effektiv og sikker levering af digital post fra offentlige myn- digheder til borgere og virksomheder. Digital Post vil ikke indeholde post fra private afsendere. Slutbruger- nes adgang til Digital Post sker gennem tilsluttede Visningsklienter. Det er i medfør af Lov om Digital Post fra offentlige afsendere (lovbekendtgørelse nr. 801 af 13. juni 2016 med senere ændringer), som udgangs- punkt obligatorisk for borgere og virksomheder at være tilslutte sig Digital Post.

1.3 Digitaliseringsstyrelsen etablerer sin egen Visningsklient på xxxxxx.xx og Erhvervsstyrelsen etablerer en vis- ningsklinet på xxxx.xx. Disse fællesoffentlige visningsklienter formidler digital post til henholdsvis borgere og virksomheder og indgår som centrale aktører i den samlede Digital Post-løsning, jf. § 2 i lov om Digital Post fra offentlige afsendere.

1.4 Som supplement til de fællesoffentlige Visningsklienter har Udbydere i form af private aktører mulighed for at formidle Digital Post gennem Kommercielle Visningsklienter. Dette kan fx ske i sammenhæng med andre ydelser, som Udbyderen leverer til markedet. Retsvirkningen for Slutbrugere er den samme uanset hvilken type visningsklient der vælges, idet offentlige og kommercielle visningsklienter er ligestillet i medfør af lov om Digital Post.

1.5 Formålet med tilslutningsaftalen er på denne baggrund at fastlægge de nærmere vilkår og betingelser gæl- dende for:

i. Udbyderens levering af Ydelser, herunder Meddelelser til sine brugere via en Kommerciel Visningsklient

ii. De tekniske og sikkerhedsmæssige krav, som Udbyderen skal opfylde for at levere Ydelser, samt

iii. De vilkår som Udbyderen skal opfylde, og som Udbyderen skal indarbejde i sine aftalevilkår med Slut- brugere.

1.6 Som baggrundsinformation til tilslutningsaftalen og de ovenfor anførte bilag henvises til Digitaliseringsstyrel- sens website xxx.xxxxx.xx/xxxxxxxxxxx.

1.7 Visningsklienten har en række bindinger til NemLog-in infrastrukturen, herunder som følge af sikkerhedsmo- dellen i Digital Post. Det er derfor en forudsætning for Udbyders drift af Visningsklienten, at NemLog-in an- vendes som Broker, og at der som grundlag for dette er indgået en Tjenesteudbyderaftale med Digitalise- ringsstyrelsen.

1.8 Definerede termer fremgår af Bilag 1 (Definitioner).

2. Digitaliseringsstyrelsen Services

2.1 Generelt

2.1.1 Digitaliseringsstyrelsen skal levere Services til Udbyderne som nærmere beskrevet i denne Tilslutningsaftale, herunder særligt Bilag 4.

2.1.2 Hvis ikke andet fremgår af Tilslutningsaftalen, skal Services leveres fra tidspunktet for Tilslutningsaftalens indgåelse.

2.2 Samarbejde i udviklingsfasen - indtil Go-live af Digital Post

2.2.1 Bestemmelserne under punkt 2.2 er alene gældende for levering af Services til Udbydere, der ønsker sin Vis- ningsklient godkendt og tilsluttet på tidspunktet for Go-live. Digitaliseringsstyrelsen har i Bilag 2 beskrevet nærmere krav hertil.

2.2.2 Digital Post forventes færdigudviklet og lanceret (Go-live) på det i bilag 4 anførte tidspunkt. Digitaliserings- styrelsen skal holde Xxxxxxxxx informeret om eventuelle ændringer i tidspunktet for Go-live og i øvrigt holde Udbyderen informeret som nærmere beskrevet i punkt 2.2.5.

2.2.3 Inden Go-live vil Digitaliseringsstyrelsen levere en række services til Udbyderen med henblik på Udbyderens etablering af sin Visningsklient og klargøring af Ydelserne. Inden Go-live vil Digitaliseringsstyrelsens Services blive leveret på et "as-is ”-grundlag, hvor Digitaliseringsstyrelsen stiller Services til rådighed for Udbyderen i den form, hvor de er og forefindes. Det kan fx betyde, at ikke alle API'er fungerer, som de skal, eller at tek- nisk dokumentation ikke er i endelig form.

2.2.4 Uagtet ovenstående, er Udbyderen forpligtet til rimeligvis at søge at omgå eller rette eventuelle ulemper eller fejl, som Udbyderen måtte opleve.

2.2.5 I perioden frem til Go-live er Digitaliseringsstyrelsen forpligtet til at udarbejde og vedligeholde en plan for udvikling af funktionalitet således, at Udbyderen kan optimere sin planlægning. Digitaliseringsstyrelsen vil ligeledes løbende afholde samarbejdsmøder med henblik på at sikre at der etableres et solidt grundlag for Udbyderens etablering af sin Visningsklient.

2.3 Testmiljø samt tilslutning

2.3.1 Digitaliseringsstyrelsen skal stille testmiljø til rådighed for Udbyderen samt levere de øvrige tilslutningsser- vices, herunder API'er, som fremgår af Bilag 2. Som en del af tilslutningsservices leverer Digitaliseringsstyrel- sen dokumentation og vejledning i, hvordan Udbyderen kan tilsluttes Digital Post, herunder eksempelkode og referenceimplementering for, hvordan Udbyderen integrerer til og anvender Digital Post.

2.3.2 Digitaliseringsstyrelsen skal, forudsat at Udbyderen opfylder kravene fastsat i denne Tilslutningsaftale, her- under Godkendelse som angivet i punkt 3.2 tillade, at Udbyderen tilsluttes Digital Post. Digitaliseringsstyrel- sen skal foretage alle nødvendige og rettidige handlinger herfor.

2.3.3 For support i forbindelse med tilslutning henvises til punkt 2.4 nedenfor.

2.4 Digitaliseringsstyrelsens support til Udbyder

2.4.1 Digitaliseringsstyrelsen skal levere support til Udbyderen vedrørende tekniske forhold relateret til tilslutning og løbende anvendelse af Digital Post, herunder grænseflader til Digital Post og Services i øvrigt.

2.4.2 Det nærmere omfang af supporten og udførelse heraf samt forudsætninger, som Udbyderen skal opfylde for at modtage support efter dette punkt 2.4 samt support til slutbrugere er specificeret i Bilag 2.

2.5 Driftsinformation og dokumentation

2.5.1 Digitaliseringsstyrelsen skal løbende levere information til Udbyderen om driftsforhold, som har betydning for Udbyderen, herunder information om vedligehold, opdateringer mv.

2.5.2 Driftsinformation og dokumentation er beskrevet i Bilag 2.

2.6 Rapportering og statistik

2.6.1 Digitaliseringsstyrelsen skal levere rapportering og statistik til Udbyderen som nærmere beskrevet i Bilag 2.

2.7 Rammer for vidensdeling

2.7.1 Digitaliseringsstyrelsen skal etablere rammer for vidensdeling, således at Udbyderen løbende har adgang til den seneste viden om Digital Post og Services i øvrigt. Digitaliseringsstyrelsen opretter et samarbejdsfora for Udbydere, hvor der kan foretages erfaringsudveksling, løbende rapportering om status og løsningshånd- tering herunder support, vedligeholdelsesnotifikationer, driftsmæssige og sikkerhedsmæssige risici osv.

2.8 Anvendelse af rettigheder fra NemLog-in

2.8.1 Såfremt Udbyder distribuerer post fra private afsendere og udstiller disse i sammenhæng med Meddelelser fra Digital Post, kan Udbyder på baggrund af et samtykke fra Slutbruger anvende registrerede rettigheder i NemLog-in Digital repræsentation og NemLog-in Erhvervsadministration til brug for håndtering af post fra private afsendere. Det skal være muligt for slutbruger at trække sit samtykke tilbage.

2.8.2 Anvendelsen af rettighedsstyringen i NemLog-in sker på Udbyders eget ansvar. Digitaliseringsstyrelsen er således ikke ansvarlig for data registeret i NemLog-in eller ansvarlig for om tjenesten er tilgængelig.

3. Krav til Udbyderen

3.1 Generelt

3.1.1 Udbyderen skal på baggrund af tilslutning til Digital Post levere Ydelserne til Slutbrugerne som nærmere beskrevet i denne Tilslutningsaftale og skal opfylde de pligter og krav, som påhviler Udbyderen i henhold til Tilslutningsaftalen.

3.1.2 Udbyderen kan først levere sine Ydelser når der foreligger Godkendelse, jf. punkt 3.2.

3.1.3 Udbyderen modtager intet vederlag fra Digitaliseringsstyrelsen for levering af Ydelser til Slutbrugerne. Alle Udbyderens omkostninger til opfyldelse af de pligter, Udbyderen er pålagt efter denne Tilslutningsaftale er Digitaliseringsstyrelsen uvedkommende.

3.1.4 Ydelserne skal leveres i overensstemmelse med kravene i Bilag 4. Udbyderen er desuden forpligtet til at levere Ydelsen i overensstemmelse med God it-skik.

3.1.5 Udbyderen skal i rimeligt omfang bistå Digitaliseringsstyrelsen, hvis Digitaliseringsstyrelsen har brug for in- formationer eller assistance til håndtering af opgaver relateret til samarbejdet.

3.1.6 Udbyderen er forpligtet til at bistå Digitaliseringsstyrelsen eller andre myndigheder i forbindelse med efter- forskning af kriminalitet, herunder misbrugssager. Udbyder er berettiget til et rimeligt vederlag fastlagt på baggrund af forbrugt tid til håndtering af sådanne opgaver.

3.2 Tekniske krav til Udbyderen samt attest

3.2.1 En Udbyder skal være Godkendt i overensstemmelse med dette punkt 3.2 og bilag 3.

3.2.2 Der skal ske re-Godkendelse af Udbyderens Visningsklient i det omfang, der foretages i) ændringer i God- kendelseskravene eller ii) ændringer i den del af Udbyderens Visningsklient, som er omfattet af Godkendel- sen.

3.2.3 Dokumentationsforløbet, de komponenter som skal godkendes og kravene til Godkendelse fremgår af Bilag 3.

3.2.4 Dokumentationsforløbet skal forestås af en Uafhængige Tredjemand, der i) er i stand til at iværksætte og gennemføre Godkendelsen inden for rimelig tid og ii) er i stand til, udover at foretage en almindelig it-revi- sion at attestere, at Udbyderen integration til Digital Post opfylder kravene i Bilag 4. Den Uafhængige Tred- jemand skal være statsautoriseret revisor. Efter afslutning af Dokumentationsforløbet skal Den Uafhængige Tredjemand udstede en attest.

3.2.5 Udbyderen afholder egne omkostninger til implementering, test, Godkendelse og drift.

3.3 Årlig revision

3.3.1 Udbyderen skal årligt levere revisionserklæringer til Digitaliseringsstyrelsen som nærmere beskrevet i Bilag 4.

3.4 Lovgivnings- og myndighedskrav

3.4.1 Udbyderen skal overholde den til enhver tid gældende lovgivning.

3.4.2 For behandling af personoplysninger henvises til punkt 9 nedenfor.

3.4.3 Digitaliseringsstyrelsen og Udbyderen forestår hver især eventuelle lovpligtige anmeldelser og indberetnin- ger til offentlige myndigheder, herunder Datatilsynet.

3.5 Regler for brug af Digital Post

3.5.1 Digitaliseringsstyrelsens krav til regler og vilkår for Slutbrugernes brug af Digital Post fremgår af Bilag 5. Ud- byderen skal sikre, at disse krav til regler og vilkår føres videre i Udbyderens vilkår over for Slutbrugerne, der anvender Udbydernes Visningsklient således at de er aftaleretligt gældende over for den enkelte Slut- bruger. Digitaliseringsstyrelsens krav til regler og vilkår kan ændres, jf. punkt 12 nedenfor.

3.5.2 Derudover kan Udbyderen frit aftale betingelser og vilkår med den enkelte Slutbruger.

4. Misligholdelse og misligholdelsesbeføjelser

4.1 Afhjælpning

4.1.1 Begge Parter er berettigede og forpligtede til uden ugrundet ophold efter, at den anden part skriftligt har reklameret at foretage afhjælpning af fejl og mangler ved henholdsvis Ydelser og Services.

4.2 Generelt om ophævelse

4.2.1 Både Udbyderen og Digitaliseringsstyrelsen kan ophæve Tilslutningsaftalen såfremt den anden part i væ- sentlig grad har misligholdt sine forpligtelser efter Tilslutningsaftalen og ikke uden ugrundet ophold har af- hjulpet det eller de pågældende forhold´.

4.2.2 Ophævelsen har virkning fra det tidspunkt, hvor meddelelsen om ophævelse kommer frem og for de Ydel- ser henholdsvis Services, der i tid ligger herefter.

4.2.3 Paterne kan altid ophæve aftalen som nærmere beskrevet i henholdsvis punkt 4.3 og 4.4. Digitaliseringssty- relsen kan desuden suspendere Udbyderens adgang til Digital Post som nærmere beskrevet i punkt 4.5.

4.3 Udbyderens ophævelse

4.3.1 Udbyderen kan skriftligt ophæve Tilslutningsaftalen, hvis Digitaliseringsstyrelsen gør sig skyldig i væsentlig misligholdelse eller i gentagen misligholdelse, der akkumuleret må anses for at være væsentlig, og Digitali- seringsstyrelsen ikke uden ugrundet ophold har afhjulpet det eller de pågældende forhold, jf. punkt 4.1.1.

4.4 Digitaliseringsstyrelsens ophævelse

4.4.1 Digitaliseringsstyrelsen er berettiget til at ophæve Tilslutningsaftalen såfremt ét eller flere af følgende for- hold gør sig gældende:

▪ Udbyderen opnår ikke Godkendelse, herunder rettidig re-Godkendelse, jf. punkt 3.2

▪ Udbyderen leverer ikke revisionsrapporten, jf. punkt 3.3 inden for den fastlagte frist.

▪ Der konstateres væsentlige mangler i den revisionserklæring, som Udbyderen leverer, jf. bilag 4, punkt 16.

▪ Digitaliseringsstyrelsen kan med føje konstatere at Udbyderes drift af Visningsklienten har en sådan karakter, at det indebærer en risiko for kompromittering af én eller flere slutbrugeres post.

▪ Udbyders handlinger kan medføre, at den samlede tillid til Digital Post infrastrukturen lider skade.

4.4.2 Derudover kan Digitaliseringsstyrelsen ophæve Tilslutningsaftalen, hvis Udbyderen bliver erklæret konkurs, indgiver konkursbegæring eller indleder rekonstruktionsbehandling i det omfang konkurslovens regler ikke er til hinder derfor.

4.4.3 Ophævelse efter punkt 4.4.1 kan dog først ske efter at Digitaliseringsstyrelsen skriftligt har påtalt det pågæl- dende forhold over for Udbyderen med en rimelig frist til udbedring af det pågældende forhold og dette ikke er sket inden for fristen.

4.5 Digitaliseringsstyrelsens adgang til at suspendere Udbyders adgang til Digital Post

Digitaliseringsstyrelsen har, såfremt en Udbyder efter Digitaliseringsstyrelsens vurdering i væsentligt om- fang ikke opfylder det i Tilslutningsaftalen fastlagte eller i øvrigt misbruger Digital Post funktionalitet eller er til skade for Digital Posts sikkerhed, adgang til at suspendere den pågældende Udbyders adgang til at an- vende Digital Post. Ved en suspension er Udbyderen udelukket fra Digital Post indtil Digitaliseringsstyrelsen beslutter at genoprette tilslutningen eller udnytte sine øvrige beføjelser efter Tilslutningsaftalen, herunder retten til ophævelse.

Digitaliseringsstyrelsens skal give et rimeligt og så vidt muligt 14 dages varsel til Udbyder, så denne kan bringe det pågældende forhold kan til ophør. En suspendering for adgangen til Digital Post kan i ekstraordi- nære tilfælde ske med kortere eller uden varsel, såfremt hensyn til Digital Posts integritet, øvrige Udbydere,

eller Slutbrugere gør det nødvendigt, eller såfremt den pågældende anvendelse udgør en sikkerhedsrisiko. Digitaliseringsstyrelsen skal i alle tilfælde levere en konkret begrundelse for beslutningen om at suspendere adgangen til Digital Post. Udbyder er i forbindelse med en suspension forpligtet til straks at informere Slut- brugerne herom i overensstemmelse med punkt 5.1.1 nedenfor.

5. Ophør af Tilslutningsaftale

5.1 Ophør

5.1.1 Ved ophør af Tilslutningsaftalen uanset grund er Udbyder forpligtet til at informere Xxxxxxxxxxxx, der er til- sluttet Visningsklienten, herom. Slutbrugerne skal som led i denne information loyalt informeres om, at de kan opnå adgang til Digital Post fra offentlige afsendere via de fællesoffentlige Visningsklienter.

5.1.2 Digitaliseringsstyrelsen har ret til at gennemføre særskilte informationsaktiviteter i forbindelse med et ophør, herunder både generel information til offentligheden og specifik information til udvalgte grupper af Slutbru- gere og andre interessenter.

6. Ansvar og ansvarsbegrænsning

6.1 Ansvar

6.1.1 Hvor andet ikke fremgår af Tilslutningsaftalen, er hver Part ansvarlig efter dansk rets almindelige regler. Par- terne er erstatningspligtige i det omfang, der foreligger det fornødne ansvarsgrundlag, og der er lidt et tab.

6.1.2 Parterne hæfter for tab, der skyldes, at Parten på grund af fejl eller forsømmelser enten ikke opfylder de aftalte forpligtelser eller opfylder de aftalte forpligtelser for sent eller mangelfuldt.

6.1.3 En Part er i intet tilfælde erstatningsansvarlig for den anden Parts følgeskader og indirekte tab, jf. dog punkt

6.3. Driftstab, avancetab og kundetab er at betragte som indirekte tab.

6.1.4 En Parts samlede erstatningsansvar over for den anden Part under denne Tilslutningsaftale er i et kalen- derår beløbsmæssigt begrænset til DKK [5.000.000].

6.1.5 Såfremt tredjemand, Myndigheder eller Slutbrugere retter et erstatningskrav mod Digitaliseringsstyrelsen, og erstatningskravet kan henføres til Udbyders ydelser, kan Digitaliseringsstyrelsen rette et tilsvarende er- statningskrav mod Udbyder, der også skal friholde Kunden for omkostninger til advokat mv. samt sagsom- kostninger, som måtte blive tilkendt vedkommende sagsøger (regres).

6.2 Ansvar over for Slutbrugere

6.2.1 Udbyder er erstatningsansvarlig over for Slutbrugere efter dansk rets almindelige regler med de i afsnit

6.2.2 til 6.2.4 anførte undtagelser:

6.2.2 Udbyder er ikke erstatningsansvarlig for tab, der påføres Slutbruger som følge af forsinket aflevering af Meddelelser, herunder er Udbyder ikke ansvarlig for tabt fordel, afsavn, kurstab, rykkergebyrer eller andre direkte eller indirekte følger af en eventuel forsinkelse, hvad enten Slutbruger er modtager eller afsender af Meddelelser.

6.2.3 Udbyder er ikke ansvarlig for tab som følge af a) driftsforstyrrelser hos Udbyder, der forhindrer anvendelsen af Visningsklienten; b) afbrydelser i Slutbrugers adgang til at anvende Visningsklienten.

6.2.4 Udbyder er ikke ansvarlig for tab, der skyldes lovindgreb eller forvaltningsakter.

6.3 Forsæt og grov uagtsomhed

6.3.1 Ansvarsbegrænsningerne i Punkt 6.1 finder ikke anvendelse i det omfang en skade er forårsaget ved en Parts forsætlige eller grove uagtsomme misligholdelse af Tilslutningsaftalen.

7. Force majeure

7.1 Hverken Digitaliseringsstyrelsen eller Udbyderen skal anses for ansvarlig over for den anden Part eller Slut- brugere for så vidt angår forhold, der ligger uden for Partens kontrol, og som Parten ikke burde have taget i betragtning og ej heller burde have undgået eller overvundet, herunder blandt andet regeringsforanstalt- ninger, naturkatastrofer, lynnedslag, oversvømmelse eller anden betydelig vandskade, ildebrand, krig, oprør og sabotage. Begge parter skal i tilfælde af force majeure i videst muligt omfang sikre, at Ydelser henholds- vis Services leveres.

7.2 Forhold hos en underleverandør anses kun for force majeure, såfremt der for underleverandøren foreligger en hindring, der er omfattet af punkt 7.1, og som Parten eller underleverandøren ikke kunne have undgået eller overvundet.

7.3 En Part er ikke ansvarsfri efter nærværende punkt, hvis lovgivningen under alle omstændigheder gør Parten ansvarlig for det forhold, som er årsag til tabet eller såfremt force majeure-situationen ikke var opstået, hvis Xxxxxx havde opfyldt sine forpligtelser efter Tilslutningsaftalen.

7.4 Force majeure kan kun påberåbes, såfremt den pågældende Part har givet meddelelse herom til den anden Part senest 5 Arbejdsdage efter, at force majeure er indtrådt. Meddelelsen skal indeholde en vurdering af den forventede varighed af force majeure-situationen.

7.5 Den Part, der ikke er ramt af force majeure, er berettiget til at annullere Tilslutningsaftalen helt eller delvis, såfremt en force majeure begivenhed består af mere end 50 Arbejdsdage.

8. Løbetid og opsigelse

8.1 Tilslutningsaftalen træder i kraft ved den seneste Parts underskrift.

8.2 Tilslutningsaftalen kan af Digitaliseringsstyrelsen opsiges med 24 måneders skriftligt varsel og af Udbyderen med 3 måneders varsel.

8.3 Tilslutningsaftalen udspringer af Digital Post infrastrukturen som beskrevet i lov om Digital Post (lovbe- kendtgørelse nr. 801 af 13. juni 2016 med efterfølgende ændringer. Såfremt ny lovgivning ændrer grundla- get for Tilslutningsaftalen, kan Digitaliseringsstyrelsen opsige Tilslutningsaftalen med et rimeligt varsel ikke under 12 måneder, således at Tilslutningsaftalen ophører på tidspunktet for ikrafttræden af en sådan æn- dring.

9. Behandling af personoplysninger

9.1 Udbyder er dataansvarlig for den behandling af persondata, der foretages som led i visning af Slutbrugernes Meddelelser i Visningsklienten.

9.2 [Afventer yderligere afklaring. Forhold vedrørende persondata indgår i det igangværende lovforberedende arbejde i Digitaliseringsstyrelsen. Herudover pågår der afklaringer i relation til håndtering af databeskyttel- seslovens § 3, stk. 9 idet Digital Post-løsningen er vurderet som samfundskritisk infrastruktur.]

10. Immaterielle rettigheder

10.1 Udbyderens brugsret

10.1.1 Udbyderen kan i Tillægsaftalens løbetid integrere til og trække på Services fra Digital Post blandt andet med henblik på at stille Meddelelser til rådighed for Slutbrugere.

10.1.2 Til øvrige Services under denne Tilslutningsaftale, herunder dokumentation og rapportering udarbejdet med henblik på kommunikation til markedet opnår Udbyderen en tidsbegrænset brugsret til at anvende disse i den løbende forretning, herunder til kommunikation med Slutbrugere.

10.2 Krænkelse af tredjemands rettigheder

10.2.1 Digitaliseringsstyrelsen garanterer, at Digital Post og øvrige leverancer efter denne Tilslutningsaftale ikke krænker andres rettigheder, herunder patenter eller ophavsrettigheder.

10.2.2 Såfremt der rejses krav mod Udbyderen, hvor det gøres gældende, at en sådan krænkelse foreligger, er Ud- byderen forpligtet til uden ugrundet ophold at give Digitaliseringsstyrelsen underretning herom. Digitalise- ringsstyrelsen er berettiget til at overtage sagen og de med sagen forbundne omkostninger, og Digitalise- ringsstyrelsen har uigenkaldelig fuldmagt til for egen regning at føre sagen, herunder gennemføre en even- tuel retssag eller indgå forlig vedrørende de påståede krænkelser.

10.2.3 Digitaliseringsstyrelsen skal skadesløsholde Udbyderen for enhver omkostning og ethvert tab, som Udbyde- ren måtte have eller lide i forbindelse med en aktuel krænkelse af tredjemands rettigheder. Forpligtelsen til at skadesløsholde Udbyderen er ikke omfattet af erstatningsmaksimeringen i punkt 6.1.

10.3 Anvendelse af Digital Post-kendetegn

10.3.1 Digitaliseringsstyrelsen ejer enhver immateriel rettighed til Digital Posts kendetegn, herunder betegnelser, logoer og domænenavne og materiale på hjemmesider med tilknytning til Digitaliseringsstyrelsen. Udbyde- ren har fået brugsret til at anvende kendetegn i forbindelse med Slutbrugerens anvendelse af Digital Post via Visningsklienten og markedsføring heraf. Udbyderen har en brugsret til og er i overensstemmelse med det i Bilag 4 anførte forpligtede til at anvende kendetegn i forbindelse med levering af Meddelelser fra Digi- tal Post via Visningsklienten og markedsføring heraf.

10.3.2 For retningslinjer for brug af kendetegn (UX Scheme) henvises til Digitaliseringsstyrelsens hjemmeside. Ret- ningslinjerne kan ændres og kendetegn kan ændres helt eller delvist. Udbyderen er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gældende retningslinjer og anvende det til enhver tid gældende kendetegn.

10.3.3 Udbyderen er ved ophør af Tilslutningsaftalen forpligtet til at fjerne enhver henvisning til Digital Posts ken- detegn, jf. punkt 10.3.1 og ophøre med brugen heraf, medmindre anden aftale indgås med Digitaliserings- styrelsen.

10.3.4 Der henvises i øvrigt til Bilag 4 om brug af kendetegn.

11. Underleverandører

11.1 Medmindre andet fremgår af Bilag 3, er Udbyderen berettiget til at anvende underleverandører og eksterne konsulenter med henblik på opfyldelse af Tilslutningsaftalen.

11.2 Udbyderen hæfter for underleverandørers ydelser på samme måde, som hvis det var Udbyderens Ydelser.

12. Ændringer til Tilslutningsaftalen

12.1 Ændringer aftalt mellem Parterne

12.1.1 Ændringer til Tilslutningsaftalen skal være aftalt skriftligt mellem Parterne, og ændringerne skal være til- trådt af Parterne for at være virksomme.

12.1.2 Digitaliseringsstyrelsen har ret til ændre tilslutningsaftalen med et varsel på 12 måneder. Udbyder kan ikke nægte sådanne ændringer. Ændringer grundet sikkerhedsmæssige forhold kan gennemføres med et kortere varsel end angivet ovenfor, herunder med virkning fra meddelelsestidspunktet, såfremt det er nødvendigt af hensyn til driften.

13. Diverse

13.1 Bilag og forrang

13.1.1 De til Tilslutningsaftalen tilhørende bilag er en integreret del af den samlede aftale og vilkår. I tilfælde af uoverensstemmelse mellem Tilslutningsaftalen og/eller bilagene skal følgende prioritering gælde:

(i) Tilslutningsaftalen (uden bilag)

(ii) Bilag 1 (Definitioner)

(iii) Bilag 4 (Krav til etablering og drift af Visningsklienter)

(iv) Bilag 3 (Certificering af Udbyder) Øvrige bilag er sideordnede.

14. Tavshedspligt

14.1.1 Udbyder og dennes personale skal iagttage ubetinget tavshed med hensyn til oplysninger vedrørende Digi- taliseringsstyrelsen, Slutbrugere, Digitaliseringsstyrelsens øvrige leverandørers eller andres forhold og data, som Udbyder og dennes personale får kendskab til i forbindelse med opfyldelse af Kontrakten. Udbyder er forpligtet til ikke at misbruge, kopiere eller i øvrigt anvende eller videregive oplysninger på anden måde el- ler i et andet omfang, end hvad der er nødvendigt for at kunne opfylde sine forpligtelser.

14.1.2 Udbyder skal pålægge eventuelle Underleverandører og andre, der bistår Udbyder i forbindelse med denne Tilslutningsaftale, en tilsvarende forpligtelse.

14.1.3 For Digitaliseringsstyrelsen og Digitaliseringsstyrelsens personale gælder reglerne for ansatte i den offent- lige forvaltning. Konsulenter og andre, der bistår Digitaliseringsstyrelsen, pålægges tilsvarende forpligtelse med hensyn til oplysninger om Leverandørens forhold, som gælder for Udbyder med hensyn til Digitalise- ringsstyrelsens forhold.

14.1.4 Udbyder må ikke uden Digitaliseringsstyrelsens forudgående samtykke bruge Digitaliseringsstyrelsen som reference. Dog er Udbyder berettiget til at medtage Digitaliseringsstyrelsen på en simpel referenceliste.

14.1.5 Tavshedspligten gælder også efter Kontraktens ophør uanset årsagen hertil.

14.2 Overdragelse

14.2.1 Udbyderen er berettiget til at overdrage Udbyderens rettigheder og forpligtelser i henhold til Tilslutning- saftalen, helt eller delvist, til et eller flere med Udbyderen koncernforbundne selskaber forudsat, at det koncernforbundne selskab opfylder betingelserne i denne Tilslutningsaftale, herunder at det koncernfor- bundne selskab er Godkendt i overensstemmelse med punkt 3.2 ovenfor.

15. Lovvalg og tvister

15.1 Lovvalg

15.1.1 Retsforholdet ifølge Xxxxxxxxxxxxxxxxxxx og dennes fortolkning afgøres efter dansk ret.

15.2 Tvister, mediation og voldgift

15.2.1 Såfremt der måtte opstå tvister mellem Parterne, skal Parterne først forsøge at løse uoverensstemmelserne ved gensidige og loyale forligsforhandlinger.

15.2.2 Hvis enighed ikke kan opnås ved forhandling, kan tvisten på begæring fra en Part søges løst ved mediation ledet af en af Parterne i fællesskab udpeget mediator. Hvis Parterne ikke inden 5 Arbejdsdage, efter at en af Parterne har begæret tvisten løst ved mediation, har opnået enighed om valg af mediator, kan enhver af Parterne anmode Danske IT-advokater (DITA) om at udpege en mediator. Mediation gennemføres i givet fald i overensstemmelse med Danske IT-advokaters mediationsprocedure.

15.2.3 Alle tvister og uoverensstemmelser, som direkte eller indirekte måtte udspringe af denne Tilslutningsaftale eller dens fortolkning, skal med endelig og bindende virkning afgøres ved voldgift i Det Danske Voldgiftsin- stitut i henhold til instituttets regler og efter dansk ret. Stedet for voldgiftsretten er i København.

15.2.4 Hver Part udpeger en voldgiftsmand, mens voldgiftsrettens formand udnævnes af instituttet, såfremt de af Parterne udpegede voldgiftsmænd ikke inden 14 dage efter deres udnævnelse er blevet enige om en for- mand.

15.2.5 Har én af Parterne ikke inden 30 dage efter at have indgivet eller modtaget underretning om begæring af voldgift udpeget en voldgiftsmand, udpeges denne af instituttet i overensstemmelse med ovennævnte reg- ler.

15.2.6 Dette punkt 15.2 skal dog ikke være til hinder for, at Parterne indbringer sager om overtrædelse af denne Tilslutningsaftale for domstolene med henblik på iværksættelse af foreløbige retsskridt.

15.3 Parternes forpligtelser ved tvister

15.3.1 Parterne skal i perioden, hvori konfliktløsningen pågår, fortsat opfylde deres forpligtelser efter Tilslutning- saftalen.

15.3.2 Digitaliseringsstyrelsen er i den forbindelse ikke berettiget til helt eller delvist at standse den af Udbyderen ønskede opfyldelse af Tilslutningsaftalen, medmindre der foreligger en særlig grund hertil, jf. bestemmel- serne i punkt 4.

16. Underskrifter

16.1 Tilslutningsaftalen er udfærdiget og underskrevet i 2 enslydende eksemplarer, hvoraf hver Part modtager et originalt eksemplar.

---oo0oo---

FOR UDBYDEREN		FOR DIGITALISERINGSSTYRELSEN
Underskrift	[Sted], den [Dato]		Underskrift	[Sted], den [Dato]
Navn:			Navn:
Stilling:			Stilling:

Bilag 1 Definitioner

Medmindre andet klart fremgår af konteksten, skal definerede termer forstås i overensstemmelse med nedenstående.

Begreb	Definition
Uafhængig Tredjemand	En uafhængig tredjemand, der kan gennemføres en it-revision af Udbyder samt kontrollere af Digitaliseringsstyrelsens krav til Udbyder og Visningsklient er op- fyldt.
Digital Post	Den digitale-post-løsning, som Digitaliseringsstyrelsen stiller til rådighed og som kan tilgås af Slutbrugere via Visningsklienter.
Digital Post specifikke Metadata	Digital Post specifikke Metadata knytter sig til Slutbrugers behandling af med- delelser i dennes postkasse, fx sletning, mapper og læsning. Behandlingen sker via den Visningsklient som Xxxxxxxxxx har valgt at se sin post i.
Kommercielle Visningsklienter	Visningsklienter, der udstilles af juridiske enheder, der ikke samtidig er offent- lige Visningsklienter. Se Visningsklient.
Fuldmægtig	En Slutbruger, der har mulighed for at tilgå en anden Slutbrugers postkasse på baggrund af en fuldmagt registreret i NemLog-in Digital repræsentation.
Go-live	Det tidspunkt, hvor Digital Post-løsningen i sin helhed idriftsættes af Digitalise- ringsstyrelsen
Godkendelse	Digitaliseringsstyrelsens samlede godkendelse af Dokumentationsforløbet be- stående af basisgodkendelse og løsningsgodkendelse.
God it-skik	Ved God it-skik forstås en af it-branchen alment accepteret god udførelse inden for et bestemt område.
Hoveddokument	Det brev, der typisk udgør den centrale del af kommunikationen fra afsender til Slutbruger og som kan læses af Slutbruger.
Hændelseslog	Hændelseslog registrerer og udstiller informationer om hvilke aktiviteter en be- stemt aktør, herunder Slutbruger har udført i Digital Post og i givet fald hvem aktiviteterne er udført på vegne af. Hændelsesloggen kan tilgås af Slutbrugeren med henblik at kontrollere aktivitet. Via Visningsklientens korrekte anvendelse af Services fra Digital Post sikres opdatering af Hændelsesloggen.
Meddelelse	En samlebetegnelse for Hoveddokument, bilag til hovedokument og Memo me- tadata i Digital Post, som Slutbrugeren tilgår i Visningsklienten.
MeMo Metadata	MeMo Metadata er en integreret del af de Meddelsler som myndighederne sen- der til Slutbrugerne via Digital Post. De opmærkede Memo Metadata bruges både af Digital Post-løsningen til håndtering Meddelelsen, og til at give slutbru- geren overblik over indholdet af de Meddelelser, der ligger i dennes postkasse – fx titel på meddelelse, attentionperson, frist, aftale etc. Memo Metadata kan ikke ændres af Xxxxxxxxxxxx eller dennes visningsklient.

Offentlige Visningsklienter	Visningsklienter, der stilles til rådighed af Digitaliseringsstyrelsen (xxxxxx.xx) og Erhvervsstyrelsen (xxxx.xx). De offentlige Visningsklienter er etableret i medfør af § 10a i lov om Digital Post fra offentlige afsendere. Se Visningsklienter
Partsrepræsentant	En partsrepræsentant er en Slutbruger der kan tilgå en andens (partens) post- kasse via en Visningsklient.
Services	De services, herunder adgang til Digital Post som Digitaliseringsstyrelsen leverer til Udbyderen med henblik på at denne kan levere sine Ydelser til Slutbrugerne.
Slutbrugere	Slutbrugere er virksomheder eller borgere, der via en Visningsklient tilgår Digital Post.
Supplerende Ydelse	En ydelse som Udbyder tilbyder til Slutbrugeren eller afsendere af Meddelelser, og som har en nær tilknytning til Visningsklienten og Digital Post, fx ved at nyt- tiggøre data fra Visningsklienten, herunder ved integration hertil. En Supple- rende Ydelse vil typisk have en kommerciel værdi for Udbyderen, der understøt- tes af, at Udbyderen har kontakt til Slutbrugere via Visningsklienten.
Tillidsperson	En Slutbruger der i egen Digital Post indbakke kan modtage sikre Meddelelser videresendt fra en anden Digital Post Slutbruger. Meddelelser videresendes in- ternt i løsningen og er derfor beskyttede. Oprettelse af en Slutbruger som tillids- person sker via NemLog-in Digital repræsentation. En tillidsperson kan både være en borger eller en repræsentant fra en virksomhed.
Udbyder	Den juridiske enhed, der har indgået en tilslutningsaftale med Digitaliseringssty- relsen med henblik på at stille en Visningsklient til rådighed for Slutbrugere
Udviklingsfasen	Den periode op til tidspunktet for Go-Live, hvor Digitaliseringsstyrelsen etable- rer Digital Post-løsningen.
Ydelser	De ydelser, som Udbyderen i medfør af Tilslutningsaftalen leverer til Slutbru- gerne, herunder adgang til Digital Post.
Visningsklient	En klient, der stiller en brugergrænseflade til rådighed for Slutbrugere, hvorigen- nem der gives adgang til Digital Post fra offentlige afsendere.

Bilag 2 Samarbejde og leverancer fra Digitaliseringsstyrelsen

1. Indledning

Dette bilag bestemmer de nærmere krav til samarbejdet mellem parterne, herunder særlige forhold forud for Go-live, hvis Udbyder ønsker at Visningsklienten er godkendt og tilsluttet på tidspunktet for Go-live.

Bilaget beskriver desuden leverancer fra Digitaliseringsstyrelsen, herunder support til Udbyderen

2. Generelt samarbejde mellem parterne

2.1 Samarbejdsorganisation

Digitaliseringsstyrelsen nedsætter en samarbejdsorganisation, hvor parterne med passende mellemrum kan behandle forhold vedrørende Digital Post og Visningsklienterne.

Der etableres en styregruppe med deltagelse af ledelsesrepræsentanter fra begge parter. Styregruppen har mandat til at træffe bindende beslutninger for parternes samarbejde og for Digital Post. Digitaliseringsstyrelsen varetager for- mandskabet for styregruppen.

I perioden efter Go-live mødes styregruppen hver halve år. Hvis der foreligger et konkret behov, kan Digitaliseringssty- relsen indkalde til yderligere møder.

2.2 Videndeling og informationspligt

Parterne er forpligtet til loyalt at dele viden om Digital Post og Visningsklienten med henblik på samlet at kunne styrke Digital Post infrastrukturen.

Parterne skal særligt dele information om følgende:

• Identificerede forsøg på Cyberangreb, herunder eventuelt identificerede trends i angrebsforsøg

• Brud på integritet af Digital Post infrastrukturen, herunder forhold, der kan nedsætte infrastrukturens trovær- digheden og anseelse i Danmark

• Uregelmæssigheder i Digital Post eller Visningsklienten, herunder uregelmæssigheder i forhold til drift

3. Samarbejde forud for Go-live

Det er en forudsætning for godkendelse og tilslutning af en Kommerciel Visningsklient til Go-live at Udbyderen indgår i et tæt samarbejde med Digitaliseringsstyrelsen som nærmere beskrevet i dette afsnit. En forudsætning for samarbejdet er, at Udbyder efter indgået tilslutningsaftale påbegynder Dokumentationsforløbet som nærmere beskrevet i Bilag 3.

3.1 Workshops

Udbyder er forpligtet til i rimeligt omfang at deltage i workshops i Digitaliseringsstyrelsen og igennem disse aktivt bi- drage til at alle relevante forhold vedrørende tilslutning og drift af Visningsklienten afklares. Digitaliseringsstyrelsen beslutter hvilke aktører, der deltager på workshops, herunder om flere Udbydere deltager på fælles workshops.

3.2 Løbende afrapportering

Udbyderen er forpligtet til på Digitaliseringsstyrelsens anmodning løbende at afrapportere status i forhold til sit arbejde med visningsklienten og fremlægge begrundende tidsplaner for udviklingsarbejdet. Forpligtelsen efter dette punkt er uafhængig af Udbyderens forpligtelser i relation til godkendelsesprocessen, jf. bilag 3.

3.3 Samarbejde med Udviklingsleverandør og tredjeparter

Udbyderen er forpligtet til at indgå i tæt dialog med Digitaliseringsstyrelsens udviklingsleverandør og andre tredjeparter, som Digitaliseringsstyrelsen måtte finde relevant, herunder med henblik på at sikre test af integrationer mellem Digital Post og Visningsklienten.

4. Services fra Digitaliseringsstyrelsen

4.1 Indledning

For at understøtte Udbyderens tilslutning til Digital Post og den løbende drift af Visningsklienten leverer Digitaliserings- styrelsen en række services i overensstemmelse med det nedenfor anførte. Adgang til systemer og beskrivelser leveres til Udbyderen efter gennemført Basisgodkendelse.

4.2 Testmiljøer

Digitaliseringsstyrelsen stiller et testmiljø til rådighed for Udbyderen, hvori det er muligt for Udbyder at foretage test med henblik på tilslutning til Digital Post.

4.3 Snitflader

Digitaliseringsstyrelsen leverer en beskrivelse af de API’er, hvorigennem Udbyderen kan kommunikere med Digital Post. De forskellige funktioner i Digital Post udstilles til Udbyderen som REST-baserede webservices i JSON og XML.

Under transport mellem visningsklienter og Digital Post krypteres data med brug af certifikater. Således bliver data aldrig transporteret i klartekst og begge parter i kommunikationen kan verificere modpartens identitet.

4.4 Dokumentation

De tekniske leverancer er dokumenteret af Digitaliseringsstyrelsen med henblik på at lette Udbyderens tilslutning af Visningsklienten til Digital Post og den efterfølgende drift af Visningsklinten.

Der leveres desuden dokumentation til brug for integration til NemLog-in med henblik på understøttelse af rettigheds- styring.

4.5 Driftsstatus

Udbyderen har adgang til live driftsstatus via Digital Post driftsovervågning. Desuden vil Digitaliseringsstyrelsen løbende, levere information, herunder via it-service management system, om konstaterede incident og status for udbedring heraf samt eventuelle servicevinduer.

Udbydere vil ligeledes blive informeret om releaseplaner og forventet betydning for påvirkning af driften af Digital Post og de komponenter, som Udbyderen interagerer med.

4.6 Servicedesk

Udbyder har adgang til teknisk support vedrørende integrationer og driftstekniske forhold relateret til Digital Post-løs- ningen.

Digital Post servicedesk kan kontaktes elektronisk og telefonisk på følgende tidspunkter:

[De nærmere forhold vedrørende Servicedesk er under afklaring]

Udbyder kan desuden indberette incidents til servicedesken.

4.7 Årshjul og roadmap

Digitaliseringsstyrelsen vil i januar måned og juli måned levere en beskrivelse af forventede tiltag i Digital Post de kom- mende 12 måneder. I det omfang Digitaliseringsstyrelsen er bekendt hermed vil beskrivelsen ligeledes indeholde infor- mation om forventet udvikling i generelt forsendelsesomfang og specifikke perioder, hvor antallet af forsendelser øges.

4.8 Kommunikation til tredjeparter og Slutbrugere

Digitaliseringsstyrelsen vil som ansvarlig for Digital Post infrastrukturen foretage en aktiv kommunikationsindsats over for myndigheder og Slutbrugere med henblik på at understøtte anvendelsen af løsningen.

Kommunikationen vil ligeledes adressere Kommercielle Visningsklienter således at særligt Slutbrugerne opnår et bredt kendskab til de muligheder, der er på markedet for at tilgå Digital Post.

Digitaliseringsstyrelsen vil i regi af samarbejdsorganisationen, jf. afsnit 2.1 drøfte kommunikationstiltag med Udbyder med henblik på at sikre den bedst mulige effekt heraf.

5. Servicemål

5.1 Indledning

I afsnit 5.2 og afsnit 5.3 nedenfor anføres de servicemål, som Udbyder kan forvente, at Digital Post-løsningen opererer efter. Servicemålene afspejler den kontrakt, som Digitaliseringsstyrelsen har med Leverandøren af Digital Post-løsnin- gen.

5.2 Tilgængelighed

Tilgængelighed for produktionsmiljø i Digital Post-løsningen

• Primær driftstid (alle dage kl. 06.00 – 24.00): 99,5 pct.

• Sekundær driftstid (alle dage kl. 00.00 – 06.00): 98 pct.

Tilgængelighed for testmiljø

• Primær driftstid (alle dage kl. 06.00 - 24.00): 95 pct.

• Sekundær driftstid (alle dage kl. 24:00 - 06.00): Oppetid: 95 pct.

På produktionsmiljøet opereres som udgangspunkt med maksimum 6 årlige servicevinduer i tidsrummet kl. 22.00 -

04.00. Servicevinduer vil blive varslet til Udbyder med mindst 3 ugers varsel. Digitaliseringsstyrelsen vil give et rimeligt varsel vedrørende servicevinduer på testmiljøet.

5.3 Svartider

Generelle services mod visningsklienter	Svartid
Fra en kompliceret webservice kaldes indtil webservicen har gennemført operationen uden Fejl	< 3,5 sekund i 95 pct. Af tilfældene
Fra en svær webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl	<2 sekund i 95 pct. af tilfældene
Fra en mellem webservice kaldes indtil webservicen har gennemført operationen uden Fejl	<1 sekund i 95 pct. af tilfældene
FRA en let webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl	<0,5 sekund i 95 pct. af tilfældene

Kontaktregisteret	Svartid
Fra en svær webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl	<2 sekund i 95 pct. af tilfældene
Fra en mellem webservice kaldes indtil webservicen har gennemført operationen uden Fejl	<1 sekund i 95 pct. af tilfældene
Fra en let webservice kaldes indtil webservicen har gen- nemført operationen uden Fejl	<0,5 sekund i 95 pct. af tilfældene

Webservices kategoriseres i overensstemmelse med nedenstående model.

Kontaktregisteret	Svartid
Kompliceret webservice	En web service der skriver mere end 10 Complex Types og orkestrere/aggregerer flere bagvedliggende web service opdateringer.
Svær webservice	En web service der opdaterer data med under 10 Complex Types eller orkestrere/ag- gregerer flere bagvedliggende web service opdateringer.
Mellem webservice	En web service der læser data med over 10 “Complex Types” eller hvor data aggrege- res med data fra eksterne kilder (fx andre eksterne web services).
Let webservice	En web service der læser data med maksimalt 10 “Complex Types” og hvor data ikke aggregeres med data eksterne kilder (fx andre eksterne web services).

Bilag 3 Tilslutning og Godkendelse af Udbyder

1. Indledning

Forud for tilslutning til Digital Post skal Udbyder gennemføre et dokumentationsforløb i overensstemmelse med de i dette bilag fastlagte krav.

Dokumentationsforløbet har til formål at sikre, at Udbyders Visningsklient og driften deraf opfylder en række krav fast- lagt af Digitaliseringsstyrelsen. Disse krav skal blandt andet sikre at Visningsklienter har et højt sikkerhedsniveau og viser Slutbrugernes Meddelelser i en ramme, der understøtter at den samlede Digital Post infrastruktur opleves som en tro- værdig og tryg ramme.

Et afsluttet og godkendt dokumentationsforløb er en forudsætning for at foretage endelig tilslutning til Digital Post og fungere som Visningsklient.

2. Dokumentationsforløb og tilslutning

Dokumentationsforløbet og tilslutning til Digital Post består af nedenstående fem trin.

Opstartsmøde med Digitaliserings- styrelsen

Indgåelse af Tilslutningsaftale

Basis- godkendelse

Løsnings- godkendelse

Godkendelse ved Digitaliserings- styrelsen

Ad. 01 Opstartsmøde

Digitaliseringsstyrelsen og den juridiske enhed, der ønsker at være Udbyder afholder et opstartsmøde, hvor dokumen- tationsforløbet gennemgås. På mødet gennemgås ligeledes de særlige forhold vedrørende tilslutning til Digital Post og løbende drift af en Visningsklient.

Ad. 02 Indgåelse af Tilslutningsaftale

Indgåelse af tilslutningsaftalen er en forudsætning for adgang til det videre forløb med Digitaliseringsstyrelsen, herunder samarbejdsmøder.

Ad. 03 Basisgodkendelse

Den juridiske enhed skal gennemføre en basisgodkendelse, jf. afsnit 3.3. Efter en gennemført basisgodkendelse og god- kendelse fra Digitaliseringsstyrelsen opnår Udbyderen adgang til systemer og dokumentation, herunder Testmiljøer,

API’er og systemdokumentation med henblik på at Udbyder kan afslutte udvikling og test af sin Visningsklient forud for endelig tilslutning.

Ad. 04 Løsningsgodkendelse

Løsningsgodkendelsen bygger oven på basisgodkendelsen og tager udgangspunkt i de funktionelle krav og sikkerheds- krav, der er fastlagt af Digitaliseringsstyrelsen, jf. bilag 4. Løsningsgodkendelsen skal dokumentere at Visningsklienten opfylder de fastlagte krav og kan tages i brug efter tilslutning til Digital Post.

Ad. 05 Godkendelse ved Digitaliseringsstyrelsen

På baggrund af den udstedte samlede attest, jf. afsnit 3.2 foretager Digitaliseringsstyrelsen en vurdering med henblik på Godkendelse af Visningsklienten.

3. Dokumentationsforløbets indhold

3.1 Overordnet om Godkendelsen

Den samlede Godkendelse af Visningsklienten på baggrund af dokumentationsforløbet er opdelt i en basisgodkendelse, jf. afsnit 3.3 og en løsningsgodkendelse, Jf. afsnit 3.4.

Godkendelsen gennemføres af en uafhængig tredjemand, jf. afsnit 3.2.

3.2 Uafhængige Tredjemand og attest

Gennemførelse af Dokumentationsforløbet skal foretages af en Uafhængige Tredjemand, jf. Tilslutningsaftalens punkt 3.2.4, der både er i stand til at foretage en almindelig it-revision og attestere, at Udbyderens Visningsklient og integra- tionen til Digital Post opfylder de i Tilslutningsaftalen fastlagte krav. Godkendelsen er først afsluttet ved Digitaliserings- styrelsens godkendelse, jf. nedenfor.

Som grundlag for Digitaliseringsstyrelsens Godkendelse af Udbyderens skal Den Uafhængige Tredjemand udstede en attest med følgende indhold:

• en erklæring om Udbyderens overholdelse af kravene, fastlagt af Digitaliseringsstyrelsen, og

• en underskrevet ledelseserklæring afgivet af Xxxxxxxxxx ledelse, hvor ledelsen erklærer, at Udbyder har svaret sandfærdigt på kravene og efter bedste overbevisning, samt at Udbyder ikke er bekendt med, at der er nogle for- hold hos Udbyderen, som gør Udbyderen uegnet til at blive Udbyder, og

• Udfyldte kravskemaer til dokumentation af opfyldelse af basisgodkendelsen. Kravskemaerne skal være udfyldte af både Udbyderen og Uafhængige Tredjemand, og

• En overordnet konklusion udfyldt af den uafhængige tredjemand, om Udbyderens efterlevelse af kravene indeholdt i Godkendelsen.

Herudover skal den uafhængige tredjemand foretage en særskilt indstilling til Digitaliseringsstyrelsen som led i basis- godkendelsen.

Udbyderen skal svare ærligt og grundigt og skal være i stand til at demonstrere overensstemmelse med kravene og fremlægge dokumentation til den uafhængige tredjemand og Digitaliseringsstyrelsen, såfremt dette vurderes nødven- digt.

3.3 Basisgodkendelse

Basisgodkendelsen er den første del af Godkendelsen. Udbyderen skal gennemføre basisgodkendelsen og godkendes af Digitaliseringsstyrelsen.

For at gennemføre basisgodkendelsen skal Udbyderen kunne dokumentere at denne har et effektivt ledelsessystem for informationssikkerhed omfattende den del af Udbyders virksomhed, hvor Visningsklienten administreres.

Udbyderen skal udfylde kravskemaet for basisgodkendelsen, jf. Bilag 3A. ved at besvare kravene og vedlægge relevant dokumentation for opfyldelse af kravene, herunder at Udbyderen har tilstrækkelige kontroller implementeret. Det er en forudsætning for basisgodkendelse, at omfanget af Udbyderens ledelsessystem for informationssikkerhed omfatter den kommende Udbyders Visningsklient aktiviteter og de krævede kontroller.

Krav indenfor følgende kontrolområder indgår i basisgodkendelsen:

• Styring af informationsaktiver

• Adgangsstyring

• Driftssikkerhed

• Kommunikationssikkerhed

• Sikkerhedskrav i forbindelse med databeskyttelse

• Styring af sikkerhedshændelser

• Styring af beredskab

• Styring af efterlevelse (Compliance) af lovgivning, kontrakter, sikkerhedskrav

• Oplysningspligt

[Der udestår en endelig afklaring af hvilke specifikke krav, der skal stilles til Udbyder i regi af basisgodkendelse, herunder mulig dokumentation ved standardiserede revisorerklæringer]

Den Uafhængige Tredjemand skal verificere, at Udbyderen har besvaret og dokumenteret kravene tilstrækkeligt og ind- stiller på denne baggrund til Digitaliseringsstyrelsen, om Udbyderen kan basisgodkendes.

Digitaliseringsstyrelsen godkender på denne baggrund Udbyderens Basisgodkendelse, såfremt denne er fyldestgørende og opfylder de angivne krav.

3.4 Løsningsgodkendelse

Løsningsgodkendelsen fokuserer på Udbyders overholdelse af de generelle krav til Visningsklienten og driften heraf, jf. bilag 4. Løsningsgodkendelsen kan først påbegyndes, når Digitaliseringsstyrelsen har godkendt Basisgodkendelsen, jf. afsnit 3.3 ovenfor.

Løsningsgodkendelse omfatter en kontrol af følgende

• Overholdelse af de generelle krav til Visningsklienten, jf. Bilag 4

• Driftsmæssige beskrivelser

• [Specifikke sikkerhedsmæssige forhold]

For at gennemføre denne anden del af Godkendelsen skal Udbyder udfylde kravskemaet for […] og i relevant omfang vedlægge dokumentation for opfyldelse af kravene.

Digitaliseringsstyrelsen godkender på denne baggrund Udbyderens Løsningsgodkendelse, såfremt denne er fyldestgø- rende og opfylder de angivne krav.

3.5 Samlet godkendelse

Godkendelsen af Løsningsgodkendelsen udgør samtidig den samlede godkendelse af Udbyder, der herefter kan tilslutte Visningsklienten til Digital Post i overensstemmelse med de nærmere aftaler herom mellem Parterne.

3.6 Re-Godkendelse

Efter Godkendelse skal udbyderen re-Godkendelse ved ændringer i Udbyderens løsning, der er omfattet af Godkendel- sen eller ved ændringer i Godkendelseskravene beskrevet i Bilag 4.

Desuden kan ændringer til Digital Post medføre at Udbyderens Visningsklient skal re-Godkendes.

Hvis Udbyder foretager ændringer til Visningsklienten omfattet af Godkendelsen, skal Udbyderen inden idriftsættelse notificere Digitaliseringsstyrelsen. Digitaliseringsstyrelsen afgør, om Udbyderens ændringer kræver fornyet Godken- delse. Fornyet Godkendelse skal være opnået, inden idriftsættelse af Udbyderens ændringer.

Såfremt Digitaliseringsstyrelsen foretager ændringer til kravene til Godkendelse, vil Udbyderen få et rimeligt varsel herom. Tilsvarende vil være gældende for ændringer til Digital Post-løsningen, der forudsætter re-Godkendelse af Ud- byderne

Udbyderen skal selv afholde omkostninger til re-Godkendelsen.

Bilag 3A Krav til Basisgodkendelse

[Krav til basisgodkendelse er under afklaring i Digitaliseringsstyrelsen]

Bilag 4 Krav til etablering og drift af Visningsklienter

Bilag 4 er vedlagt som særskilt dokument.

Bilag 5 Udbyders Slutbrugervilkår

1. Indledning

I dette bilag er der i overensstemmelse med Tilslutningsaftalens punkt 3.5 fastlagt en række forhold, som Udbyder er forpligtet til at iagttage i sine slutbrugervilkår.

Udbyderen skal i henhold til Tilslutningsaftalens punkt 3.5 sikre, at slutbrugervilkårene, herunder de bestemmelser der følger af krav i Tilslutningsaftalen gælder og er bindende for Slutbrugerne.

Digitaliseringsstyrelsens krav til slutbrugervilkår kan ændres og opdateres, jf. Tilslutningsaftalens punkt 12. Ændringer i vilkårene kommunikeres til Udbyderen, som skal kommunikere ændringer til Slutbrugerne, ligesom Udbyderen skal gennemføre ændringer i slutbrugervilkårene.

2. Sikring af fornødent samtykke til behandling

Udbyder skal sikre et tydeligt og informeret samtykke fra Slutbrugeren til at vise post fra offentlige afsendere og til behandling af Slutbrugerens personoplysninger ved anvendelse af Visningsklienten.

3. Information om de Fællesoffentlige Visningsklienter

Udbyderen skal informere Slutbrugeren om at de fællesoffentlige Visningsklienter er til rådighed som et alternativ og/el- ler supplement til Udbyders visningsklient og at det er muligt for Slutbrugeren at tilgå sin post herfra.

4. Sproglig tilgængelighed

Udbyders vilkår skal udarbejdes så de er let tilgængelige og fremstå i et klart sprog, der gør at de kan forstås af personer uden særlige juridiske eller tekniske forudsætninger.

5. Binding af slutbrugere

Udbyder må ikke skabe kunstige bindinger af Slutbrugere til Udbyders Visningsklient. Det skal til enhver tid være frivilligt for Slutbrugeren at ophøre med anvendelse af Visningsklienten og/eller anvende alternative Visningsklienter.

6. Ansvarsrækkefølge

Det skal i overensstemmelse med Tilslutningsaftalens punkt 7.3 fremgå af vilkårene, at ethvert krav fra Slutbrugere relateret til anvendelsen af Visningsklienten skal rettes imod Udbyderen, der herefter – hvis og i det omfang betingel- serne i Tilslutningsaftalen er opfyldte – kan rette krav imod Digitaliseringsstyrelsen.

7. Support til Slutbrugere

Udbyder skal informere Slutbrugerne om det ansvarsmæssige snit mellem Udbyderen og Fællesoffentlig Support, hvor- efter at support af Visningsklienten håndteres af Udbyder og at support relateret til selve Digital Post-løsningen og indholdet i Meddelelser håndteres af Fællesoffentlig Support.

8. Opsigelsesvarsel

Opsigelse af Slutbrugere skal ske med et varsel på på minimum [1] måned.

9. Løsninger til autentifikation af Slutbrugere

Udbyder skal informere Slutbruger om hvilke løsninger, der anvendes til autentifikation med henblik på adgang til Slut- brugeres Meddelelser i Digitale Post.

I det omfang Udbyder tilbyder autentifikationsløsninger med andet end NemID, MitID og NSIS anmeldte identifikations- midler fra NemLog-in, skal Udbyder detaljeret redegøre for Slutbrugers ansvar og i forbindelse med anvendelse heraf, herunder i forhold til misbrug og spærring.

Document Metadata

Table of Contents

Tilslutningsaftale

Document Metadata

Tilslutningsaftale

1

5

6

7

8

10

10

11

11

11

12

12

13

13

13

14

15

16

18

18

18

18

19

20

23

23

23

24

27

29

29

29

29

29

29

29

30

30

30

Bilag

Bilag 4 Krav til etablering og drift af Visningsklienter

Document Metadata