Avtalevilkår for PersonBankID
Avtalevilkår for PersonBankID
1. Kort beskrivelse av tjenesten
Utstedelse av BankID sertifikater er regulert av bestemmelsene i lov om elektronisk signatur, som implementerer EU’s direktiv om elektroniske signaturer. Loven med tilhørende forskrifter, stiller krav til utstedere, som må tilrettelegge systemer, regler og prosedyrer for å ivareta sikkerheten i sertifikatene.
PersonBankID er ett eller flere elektronisk(e) sertifikat(er) som en sertifikatholder (heretter benevnt Kunden) kan benytte for å lage elektroniske signaturer som skal sikre elektronisk meldingsutveksling, herunder elektronisk avtaleinngåelse. Sikring skjer ved at den elektroniske signaturen bekrefter avsenderens identitet, knytter meldingen til avsender og gjør det mulig å oppdage endringer i meldingen. PersonBankID er en avansert elektronisk signatur som oppfyller kravene i lov om elektronisk signatur § 3 nr. 2.
PersonBankID kan brukes ved elektronisk kommunikasjon med sertifikatutsteder (heretter benevnt Utsteder) og BankID brukersteder.
Det er SpareBank 1 Banksamarbeidet DA som utsteder de PersonBankID som Utsteder inngår avtale med sine kunder om. SpareBank 1 Banksamarbeidet DA er registrert hos Nasjonal kommunikasjonsmyndighet (Nkom) som utsteder av kvalifiserte sertifikater og skal følge de regler som er fastsatt i lov 15. juni 2001 nr 81 om elektronisk signatur herunder ansvarsreglene i lovens § 22. Disse lovreglene kommer i tillegg til det ansvar Utsteder har påtatt seg i henhold til betingelsene i denne avtale. Sertifikatutsteders ansvar er begrenset til kr 100.000,-. Utsteders ansvar er regulert i avtalens pkt 13.
Spørsmål og andre henvendelser vedrørende BankID rettes til Utsteder.
2. Hvem kan få BankID personsertifikat
PersonBankID kan utstedes til fysiske personer.
Utsteder kan avslå å utstede PersonBankID når saklig grunn foreligger, så som mistanke om straffbare forhold rettet mot Utsteder eller hvor kundekontroll ikke lar seg gjennomføre.
3. Priser og prisinformasjon
Kostnader ved å få utstedt, ha og bruke PersonBankID fremgår av Utsteders gjeldende prisliste og/eller opplyses på annen egnet måte bl.a. på Utsteders hjemmeside på Internett.
Ved bruk av PersonBankID som er lagret på SIM-kort, vil det kunne påløpe ekstra kostnader ved bruk av telenettet. Teleoperatørens priser for bruk av PersonBankID på SIM-kort fremgår av den til enhver tid gjeldende prisliste på teleoperatørens hjemmeside på Internett og/eller opplyses på annen egnet måte.
4. Legitimasjonskontroll og krav til legitimasjonsdokumenter
Lov om elektronisk signatur § 13 stiller krav til utsteder om å å forsikre seg om at sertifikatholders identitet er kontrollert og verifisert på en sikker måte. Ved utstedelse av PersonBankID skal Kunden legitimere seg og bekrefte riktigheten av oppgitte opplysninger. Slik identifisering skal skje ved personlig fremmøte hos Xxxxxxxx eller representant for denne, med mindre Kunden allerede er identifisert ved personlig fremmøte gjennom eksisterende kundeforhold i Utsteder.
Utsteder vil kreve at Kunden i forbindelse med Utsteders legitimasjonskontroll fremlegger gyldig norsk pass, dokument likestilt med norsk pass, eller utenlandsk pass.
Kunden skal snarest mulig varsle Utsteder ved navn- og adresseendringer og endringer i andre opplysninger som Kunden har gitt Utsteder under dette avtaleforholdet.
5. Utlevering av PersonBankID. Brukerdokumentasjon og sikkerhetsprosedyrer
Nødvendig brukerdokumentasjon og utstyr for bruk av PersonBankID vil være tilgjengelig for eller bli utlevert til Kunden på anvist måte.
Informasjon og veiledning om prosedyrene for bruk, fornyelse og sperring av PersonBankID vil fremgå av brukerdokumentasjonen som er tilgjengelig gjennom Utsteders nettsider eller Kundens nettbank der Kunden har nettbankavtale med Utsteder. Brukerdokumentasjonen vil også inneholde sikkerhetsprosedyrer herunder rutiner for sikkerhetskopiering og informasjon om virusbeskyttelse samt eventuelle beløpsbegrensninger og grenser for Utsteders ansvar ved bruk av PersonBankID.
Kunden må gjøre seg kjent med dokumentasjonen før tjenesten tas i bruk og rette seg etter anvisningene. Kunden må ikke gjøre endringer i PersonBankID, programvare eller dokumentasjon.
Kunden må sammen med PersonBankID benytte slik programvare, maskinutrustning eller det sikkerhetsutstyr som Utsteder spesifiserer. Utsteder kan stille nye krav til programvare/maskinutrustning/sikkerhetsutstyr dersom dette er nødvendig av sikkerhetsmessige grunner eller ved nødvendige oppgraderinger av PersonBankID.
6. Anvendelsesområdet for BankID
PersonBankID kan benyttes fra ulike elektroniske enheter som datamaskin nettbrett, smarttelefon og lignende, for pålogging i nettbank og til identifisering og signering i forbindelse med elektronisk meldingsforsendelse, avtaleinngåelse og annen form for nettbasert elektronisk kommunikasjon med Utsteder og andre BankIDbrukersteder.
En PersonBankID skal ikke benyttes som grunnlag for å få utstedt en fysisk eller en ny elektronisk legitimasjon.
Dersom Utsteder utvider eller begrenser anvendelsesområdet for PersonBankID herunder beløpsmessige begrensninger, vil Kunden motta varsel om dette. Anvendelsesområdet er nærmere beskrevet i brukerdokumentasjonen
Kunden må selv lagre/arkivere elektroniske meldinger/inngåtte avtaler sikret ved PersonBankID..
7. Behandling av personopplysninger
Utsteder vil i forbindelse med utstedelse og bruk av PersonBankID innhente og registrere opplysninger om Kunden. Slike personopplysninger innhentes direkte fra Kunden selv, fra Utsteders eget kunderegister og fra andre banker i forbindelse med bruken av PersonBankID.
For å ivareta sikkerheten ved bruk av PersonBankID og motvirke straffbare handlinger, kan Utsteder som ett av flere sikkerhetstiltak identifisere den datamaskin som Kunden anvender ved bruk av PersonBankID, herunder brukeradferd og datamaskinens tilstand. Informasjon om datamaskinen, IP-adresse og eventuelle avvik fra normalt brukermiljø og brukeradferd, vil kunne anvendes for å motvirke og eventuelt følge opp straffbare handlinger rettet mot Kunden og/eller Utsteder. Brukerstedet vil kunne motta informasjon som indikerer hvilken risiko det er for at bruk av BankID kan være gjort av uberettiget person (risikoscore). Slik informasjon vil bli gitt til Utsteder eller til det brukersted som PersonBankID er benyttet mot.
Personopplysningsloven av 14. april 2000 nr. 31 inneholder regler om registrering og annen form for behandling av personopplysninger. På denne bakgrunn har Utsteder utarbeidet Utsteders personvernregler.
8. Opplysninger i PersonBankID. Utlevering av opplysninger til andre
PersonBankID inneholder følgende opplysninger:
• Angivelse av sertifikatutsteder
• Opplysninger om Xxxxxxx navn og fødselsdato. Kallenavn eller pseudonym skal ikke anvendes
• Unik identifikator for identifisering av Xxxxxx
• Gyldighetsperiode for PersonBankID
• Data som er nødvendig for fremstilling av Kundens digitale signatur og verifisering av denne
• Sertifikatutsteders digitale signatur
• Data som entydig identifiserer det enkelte PersonBankID (serienummer)
• Angivelse av PersonBankID som kvalifisert sertifikat
• Angivelse av den bank som inngår avtale med Kunden
• Angivelse av beløpsmessig bruksbegrensning.
Ved bruk av PersonBankID vil disse opplysningene inngå i meldingsutvekslingen og kan gjøres tilgjengelig for meldingsmottaker herunder brukersteder.
For å oppnå sikker identifisering av Kunden i forbindelse med Kundens bruk av PersonBankID, vil Utsteder for kontrollformål utlevere Kundens fødselsnummer til brukersteder som har lovhjemmel til å registrere Kundens fødselsnummer og som Kunden enten har oppgitt fødselsnummer til i forbindelse med bruk av BankID eller som allerede har registrert Kundens fødselsnummer.
Andre opplysninger om Kunden vil kun bli utlevert til meldingsmottaker herunder brukersteder så fremt Utsteder har lovbestemt opplysningsplikt eller det foreligger et uttrykkelig samtykke fra Kunden, jf forøvrig personopplysningsloven §§ 8, 9 og 11 og lov om elektronisk signatur § 7.
9. Vern om passord og andre sikkerhetsprosedyrer
PersonBankID er personlig og skal ikke overdras eller på annen måte overlates til eller brukes av andre enn Kunden, jfr. lov om elektronisk signatur § 3 nr. 2. Passord, personlige koder og andre sikkerhetsprosedyrer må ikke røpes for noen, heller ikke overfor politiet Utsteder eller husstandsmedlemmer. Kunden skal benytte oppdatert programvare, herunder operativsystem, nettleserprogram og annen programvare for sikker kommunikasjon med nettstedet, samt antivirusprogramvare. For øvrig skal Kunden følge Utsteders til enhver tid gjeldende sikkerhetsråd.
Når BankID benyttes som sikkerhetsanordning ved bruk av betalingsinstrumenter gjelder i tillegg finansavtalelovens § 34, første ledd: En kunde som har rett til å bruke et betalingsinstrument, skal bruke det i samsvar med vilkårene for utstedelse og bruk, og skal herunder ta alle rimelige forholdsregler for å beskytte de personlige sikkerhetsanordningene knyttet til betalingsinstrumentet så snart instrumentet er mottatt. I tillegg skal kunden uten ugrunnet opphold underrette institusjonen, eller den institusjonen har oppgitt, dersom kunden blir oppmerksom på tap, tyveri eller uberettiget tilegnelse av sikkerhetsanordningen, eller betalingsinstrumentet, eller på uautorisert bruk.
10. Melding om tap
Kunden må underrette Utsteder eller Utsteders utpekte medhjelper snarest mulig etter at Kunden har fått kjennskap til eller mistanke om at PersonBankID og/eller tilhørende passord og personlig kode er kommet bort eller at uvedkommende har fått kjennskap til passord/personlig kode. Kunden skal benytte de meldingsmuligheter Utsteder har stilt til disposisjon, og forøvrig bistå på en slik måte at PersonBankID så raskt som mulig blir sperret. Kunden skal ikke anvende PersonBankID etter at slik mistanke eller kunnskap har oppstått.
Ved slik melding skal Utsteder eller Utsteders medhjelper bekrefte overfor Kunden at meldingen er mottatt. Bekreftelsen skal blant annet inneholde en referanse til mottatt melding. Dersom Utsteder ikke kan dokumentere at meldingssystemet fungerte som det skulle innenfor det aktuelle tidsrom, skal Kundens forklaring vedrørende tapstidspunktet, samt når Utsteder eller Utsteders medhjelper ble forsøkt underrettet, normalt legges til grunn.
Kunden vil ikke bli belastet for Utsteders kostnader ved melding om tap og sperring av PersonBankID, med mindre det foreligger spesielle forhold på Kundens side, f.eks. gjentatte meldinger om tap. Utsteder kan imidlertid kreve vederlag for utstedelse av ny PersonBankID, så fremt tapet ikke skyldes forhold på Utsteders side.
11. Sperring av PersonBankID
Lov om elektronisk signatur med tilhørende forskrifter stiller krav til at utstedere av BankID sertifikater skal ha systemer, regler og prosedyrer som gir utstedere adgang til å sperre (suspendere eller tilbakekalle) PersonBankID sertifikatet for videre bruk dersom det foreligger saklige grunner knyttet til sertifikatets sikkerhet, nøkler og tilhørende koder er kommet på avveie eller at sertifikatet inneholder feilaktige opplysninger, jfr. punkt 9.
12. Kontroll av gyldig BankID (validering)
Utsteder vil påse at det blir etablert et system for gyldighetskontroll av alle BankID som er benyttet overfor Kunden.
Det vil av hensyn til slik gyldighetskontroll bli ført et register over gyldige BankID samt BankID som er suspendert eller tilbakekalt (sperret). De registrerte opplysninger vil bli oppbevart i minst 10 år etter at gyldighetsperioden for et BankID er utløpt eller etter at det er tilbakekalt.
Utstedere av BankID vil utveksle opplysninger om gyldige og suspenderte/tilbakekalte BankID. Opplysningene vil bare benyttes for å kontrollere om BankID er gyldig og til formål som er forenlig med bruken av BankID.
13. Ansvar ved misbruk av Kundens BankID
13. 1 BankID er misbrukt til belastning av Kundens konto
Xxxxxx Xxxxxx lider tap som følge av at BankID er benyttet i forbindelse med urettmessig belastning av Kundens konto, reguleres Utsteders og Kunden ansvar av finansavtaleloven § 35, jf §§ 36 og 37 og Kundens avtale med sin bank om bruk av det aktuelle betalingsinstrument.
13.2 BankID er misbrukt på andre måter enn belastning av konto
Hvis uvedkommende benytter Kundens BankID i andre situasjoner enn nevnt i punkt 13.1, vil de(n) uvedkommende kunne utgi seg for å være Kunden og dermed få kjennskap til opplysninger om Xxxxxx eller forsøke å inngå avtaler på Kundens vegne. Dersom noen har handlet i tillit til disposisjoner gjort av uvedkommende som har misbrukt Kundens BankID, for eksempel inngått avtale med misbrukeren, vil disse etter alminnelige rettsregler kunne holde Kunden erstatningsansvarlig dersom misbruket er muliggjort ved forsettlig eller uaktsom handling eller unnlatelse fra Kundens side.
Utsteder er bare erstatningsansvarlig for Kundens økonomiske tap som følge av andres misbruk av Kundens BankID som beskrevet i forrige avsnitt, dersom Utsteder har utvist uaktsomhet og dette er årsak til tapet.
14. Ansvar der Kunden feilaktig har stolt på en annens BankID
Utsteder er erstatningsansvarlig for direkte tap Kunden har lidt som følge av at Kunden på feilaktig grunnlag har stolt på en annens BankID, dersom Utsteder, noen Utsteder hefter for (for eksempel en underleverandør eller medhjelper) eller en annenutsteder, har opptrådt uaktsomt i forbindelse med utstedelse, bruk eller validering av den aktuelle BankID.
Ved følgende skadeårsaker må Utsteder godtgjøre at den eller andre som nevnt i første avsnitt, ikke har handlet uaktsomt (”omvendt bevisbyrde”):
a) BankID ble utlevert til uvedkommende,
b) de opplysninger som ble lagt inn i BankID ikke var korrekte på utstedelsestidspunktet,
c) BankID ikke inneholdt alle opplysninger som kreves i henhold til denne avtalen,
d) det ikke er benyttet forsvarlige produkter og systemer for utstedelse av BankID og fremstilling av digital signatur, eller
e) en tapsmelding eller tilbakekall av BankID ikke ble registrert på korrekt måte og det av denne grunn ble gitt uriktig svar på en gyldighetskontroll.
For indirekte tap som Kunden har lidt, er Utsteder ansvarlig dersom tapet skyldes grov uaktsomhet eller forsett fra Utsteders side.
Utsteder er likevel ikke erstatningsansvarlig for tap som skyldes at BankID har blitt brukt i strid med tydelige begrensninger i anvendelsesområde eller utover beløpsbegrensningen på NOK 100.000,- som fremgår av sertifikatet.
Utsteders ansvar kan begrenses eller falle helt bort dersom Kunden benytter PersonBankID, programvare eller dokumentasjon i strid med denne avtale, herunder foretar uberettiget endring eller manipulering av PersonBankID eller programvare.
Utsteders ansvar etter denne bestemmelse faller bort så langt Kunden har fått sitt tap dekket av andre, for eksempel av utsteder av det misbrukte sertifikat.
15. Kundens ansvar overfor Utsteder ved sikkerhetsbrudd
Bruker Kunden PersonBankID, programvare eller dokumentasjon i strid med denne avtale, herunder uberettiget endrer eller manipulerer PersonBankID eller programvare, kan Utsteder holde Kunden erstatningsansvarlig for Utsteders tap som følge av dette. Med mindre Kunden har opptrådt forsettlig eller grovt uaktsomt er Kundens ansvar overfor Utsteder begrenset til NOK 100.000,-.
16. Endring av avtalen og sikkerhetsprosedyrer
Er partene enige om det, kan avtalen endres. Endringen skjer i utgangspunktet på samme måte som ved inngåelse av ny avtale.
Utsteder kan likevel ensidig endre vilkårene med to ukers varsel i følgende tilfeller:
1) Dersom endringen ikke er til skade for Kunden
2) Endringer av fastsatte priser til skade for Kunden
Dersom forhold hos Kunden eller sikkerhetsmessige forhold gjør det nødvendig, kan Utsteder uten forhåndsvarsel begrense bruksområdet for PersonBankID, senke beløpsmessige bruksbegrensninger og foreta andre endringer i sikkerhetsprosedyrer eller lignende. Utsteder skal snarest mulig etter endringen varsle Kunden om forholdet.
17. Opphør av avtalen
Kunden kan uten forhåndsvarsel si opp avtalen om PersonBankID med mindre annet særskilt er avtalt.
Utsteder kan si opp avtalen med minst fire ukers varsel dersom det foreligger saklig grunn og det ikke er særskilt avtalt lengre oppsigelsesfrist. Grunnen til oppsigelsen skal opplyses. Utsteder kan med øyeblikkelig virkning heve avtalen ved vesentlig mislighold fra Kundens side. Grunnen til hevingen skal opplyses.
Ved opphør av avtalen eller Utsteder på annet saklig grunnlag forlanger det, skal Kunden straks makulere all programvare og dokumentasjon som Xxxxxx har mottatt for bruk av PersonBankID. PersonBankID vil samtidig bli sperret og gjort ugyldig for videre bruk.
18. Tvisteløsning - Finansklagenemnda
Oppstår det tvist mellom Kunden og Utsteder, kan Xxxxxx bringe saken inn for Finansklagenemnda for uttalelse når nemnda er kompetent i tvisten og Kunden har saklig interesse i å få nemndas uttalelse.