Bruksvilkår for utlevering av opplysninger om inntekt, skatt og restanser fra Skatteetatens APIer
Bruksvilkår for utlevering av opplysninger om inntekt, skatt og restanser fra Skatteetatens APIer
Vilkår er satt av
Skatteetaten (xxx.xx. 974 761 076)
(Skatteetaten) og akseptert av
NN (xxx.xx. xxx xxx xxx)
(Konsumenten)
Bemyndiget representant konsument (Navn og tittel)
Sted og dato
Innhold
1. Formål med Bruksvilkår for Skatteetatens APIer 3
2. Tjenestene og kategorier av opplysninger 3
3.2 Skatteetatens github for datasamarbeid og abonnementsplikt 4
4. Hendelser (incidents) og varsling 6
4.2 Kanal for å melde hendelser 6
4.3 Kanal for å melde sikkerhetshendelse eller personavvik 7
4.4 Kategorisering av type hendelser og feil i tjenesten 7
5. Endringshåndtering og varsling 8
5.1 Planlegging av endringer 8
5.2 Kanal for varsling av endringer 8
5.3 Type endring og varslingsfrister 8
6. Krise og beredskapsplaner 10
6.1 Krise- og beredskapsplaner 10
6.2 Endrede behov i kritiske perioder og under ekstraordinære situasjoner 10
7.3 Personvern og informasjonssikkerhet 11
7.4 Bruk av tredjepart/databehandler 11
7.5 Brukerstøtte for egne sluttbrukere 11
8. Finansiering og kostnader 12
9. Risiko og erstatningsplikt 12
1. Formål med Bruksvilkår for Skatteetatens APIer
Dette dokumentet inneholder vilkår for bruk av informasjon som er tilgjengelig gjennom Skatteetatens API-er. Dokumentet beskriver hvilke tjenester (API-er) som tilgjengeliggjøres, krav til kvalitet og tilgjengelighet, rutiner for endringer, feilhåndtering og administrasjon.
Bruksvilkårene gjelder sammen med generelle vilkår for deling (delingsvilkår). Bruksvilkårene må leses i sammenheng med delingsvilkårene. og segmentansvarligavtale og/eller konsumentavtale/egenerklæring hvis relevant.
Ved aksept av vilkårene termineres tidligere inngåtte avtaler som omfattes av disse vilkårene.
2. Tjenestene og kategorier av opplysninger
2.1 Tjenestene
Tjenestene/API-ene og opplysningene som leveres under disse vilkårene er:
Tjeneste | Innhold |
Inntektsmottaker | Inntektsmottaker API leverer innrapporterte inntektsopplysninger for en skattyter for en gitt periode. |
Hendelsesliste inntektsmottaker | Støttetjeneste - tilbyr hendelseslister med informasjon om endringer i datasett som leveres av Skatteetatens datatjenester. |
Summertskattegrunnlag | Summert skattegrunnlag inneholder summert informasjon om en skatteyters inntekt, formue og fradrag og formuesfradrag, uten spesifikasjoner. |
Spesifisert summert skattegrunnlag | Spesifisert summert skattegrunnlag inneholder summert informasjon om en skatteyters inntekt, formue og fradrag og formuesfradrag, med spesifikasjoner. |
Beregnet Skatt | Informasjon om beregnet skatt og overordnet formue, inntekt, gjeld og fradrag som var grunnlag for beregningen. |
Pensjonsgivende inntekt | Pensjonsgivende inntekt for skattepliktige. |
Avregning | Avregningsinformasjon knyttet til et skatteoppgjør. |
Boligsparing for ungdom | Informasjon om renteinntekter knyttet til Boligsparing for ungdom. |
Tjeneste | Innhold |
Hendelsesliste | Støttetjeneste - tilbyr hendelseslister med informasjon om endringer i datasett som leveres av Skatteetatens datatjenester. |
Tilgjengeligdata | Støttetjeneste – tilbyr informasjon om seneste tilgjengelige data for en skattepliktig i en datatjeneste. |
Oppgaveinnlevering | Informasjon om skattyters overholdelse av oppgaveplikten. |
Restanse | Informasjon om fordringer Skatteetaten har mot skattyter. |
Skattemelding | API for utkast til skattemelding og fastsatt skattemelding. Utkastet er et forslag til skattemelding Skatteetaten har laget for den skattepliktige basert på innrapporterte data. Fastsatt betyr at skattemeldingen er myndighetsfastsatt, innlevert av skattepliktig, eller automatisk innlevert ved utløp av innleveringsfrist. |
Hendelsesliste skattemelding utkast | Støttetjeneste - tilbyr hendelseslister med informasjon om endringer i datasett som leveres av Skatteetatens datatjenester. |
Hendelsesliste skattemelding fastsatt | Støttetjeneste - tilbyr hendelseslister med informasjon om endringer i datasett som leveres av Skatteetatens datatjenester. |
3. Tjenestenivå
Skatteetaten vil tilstrebe å levere stabile og driftssikre tjenester. Tjenestene kan tas ut av drift som følge av hendelser utenfor Skatteetatens kontroll. Konsumenten vil bli varslet, så langt det er mulig.
3.1 Dokumentasjon
Skatteetaten publiserer oppdatert dokumentasjon av tjenestene som spesifisert over og er ansvarlig for å oppdatere dokumentasjonen uten ugrunnet opphold etter at en endring er implementert.
Dokumentasjon finnes her: xxxxx://xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/
3.2 Skatteetatens github for datasamarbeid og abonnementsplikt Skatteetaten varsler om endringer og feil i tjenestene her: xxxxx://Xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/xxxx.xxx
Konsumenten plikter å abonnere på varsler og vurdere relevans for konsumentens bruk av tjenester som dette dokumentet gjelder. Dersom kanal for varsling blir endret vil konsumentene bli informert.
3.3 Produksjonsmiljø
Tilgjengelighet | Tjenestene er normalt tilgjengelig hele døgnet alle virkedager i året med unntak av kortere stopp for nødvendig teknisk vedlikehold. | |
Tilgjengelighetskrav til tjenestene | 99,5% (ikke medregnet planlagt teknisk vedlikehold) Måleperiode er månedlig (per kalendermåned). | |
Driftstid (med driftstjenester og overvåkning) | I tidsrommet: - fra 08:00 til 15:45 i perioden 15. september til 14. mai. - fra 08:00 til 15:00 i perioden fra 15. mai til 14. september. Driftstjenester er tilgjengelig alle virkedager. Jul-, nyttårsaften, romjula og onsdag før skjærtorsdag er det begrenset åpningstid. | |
Responstid for tjenesten | Responstid: Maks 4 sekunder for 99,5% av tjenestekall målt på Skatteetatens side av tjenesten for API-grensesnittet. Følgende forutsetninger om last gjelder: • maks. forespørsler per sekund: 5 • maks. forespørsler per time: 10.000 Responstid forutsetter også at konsumenten tar i bruk hendelsesliste. Dette for å unngå unødvendig last. Dersom det viser seg å være nødvendig/hensiktsmessig kan skatteetaten begrense/regulere forespørsler og kall per konsument. | |
Faste planlagte tider for endringer, service og vedlikehold | Periode | Tidspunkt |
Behovsstyrt ukentlig vedlikehold av infrastruktur og/eller enkeltsystemer. | Torsdager 18:00 – fredag 05:00 Ut over dette vil bli det bli varslet så snart behov for endringer, service og vedlikehold er kjent. | |
3.4 Testmiljø
Tilgjengelighet | Tjenestene er normalt tilgjengelig hele døgnet alle virkedager i året med unntak av kortere stopp for nødvendig teknisk vedlikehold. |
Driftstid (med driftstjenester og overvåkning) | I tidsrommet: - fra 08:00 til 15:45 i perioden 15. september til 14. mai. - fra 08:00 til 15:00 i perioden fra 15. mai til 14. september. Driftstjenester er tilgjengelig alle virkedager. Jul-, nyttårsaften, romjula og onsdag før skjærtorsdag er det begrenset åpningstid. |
Testdata | I testmiljøet skal syntetiske testdata være tilgjengelig for integrasjonstesting. Det er forventet at spesifikke egenskaper som gjelder den enkelte konsument tilrettelegges for test på konsumentens side. |
Komponentversjoner | Versjoner av komponenter i testmiljøet skal normalt være samme versjon som i produksjonsmiljøet. |
Akseptabel nedetid ved feilsituasjon | Inntil 5 virkedager. |
4. Hendelser (incidents) og varsling
4.1 Hendelser skal meldes
Dersom feil og mangler avdekkes skal konsumenten informeres om feilen eller mangelen og hvilke tiltak som er iverksatt for å gjenopprette tjenesten. Skatteetaten plikter å avhjelpe feil og mangler innenfor de tidsfrister som er beskrevet. Dersom ingen frister er avtalt vil feil eller mangel blir rettet innen rimelig tid, vurdert etter feilens eller mangelens alvorlighet og mulige konsekvenser for konsumenten.
Dersom en konsument opplever tjenesten som ustabil, utilgjengelig eller feiler, skal konsumenten melde dette til Skatteetaten.
Før feil meldes til Skatteetaten skal konsumenten, så langt det er mulig, sikre at årsaken ikke ligger i egne systemer. Konsumenten plikter derfor å håndtere hendelsen innenfor egne kvalitetsprosesser (rutiner for incident management).
Skatteetaten skal sikre at innmeldte hendelser løses i henhold til avtalt tjenestenivå. Ved behov vil Skatteetaten kunne eskalere saker i henhold til etatens interne avviksrutiner.
4.2 Kanal for å melde hendelser
Konsument melder om hendelser (incidents) her: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxx-xx- organisasjon/starte-og-drive/bestill-attester-og-tilgang-pa-data/skatteetatens-datasamarbeid/skatte-- og-inntektsopplysninger/brukerstotte-datasamarbeid/
4.3 Kanal for å melde sikkerhetshendelse eller personavvik
Dersom Konsumenten har mistanke om brudd, risiko eller hendelser relatert til alle typer sikkerhet eller personvernavvik som for eksempel uautorisert eller utilsiktet utlevering av opplysninger, uautorisert tilgang, spredning, tap eller misbruk av opplysninger, skal Skatteetaten varsles om dette umiddelbart, og det skal iverksettes nødvendige tiltak. Skatteetaten skal kun varsles dersom avviket er innenfor etatens grensesnitt for eierskap/behandlingsansvar. Skatteetaten varsles om slike kritiske sikkerhetshendelser på telefonnummer: 00 00 00 00.
Dersom konsumenten har meldt et personvernavvik til Datatilsynet som gjelder opplysninger omfattet av avtalen, bør personvernombudet i Skatteetaten informeres xxxxxxxxxxxxxxx@xxxxxxxxxxxx.xx
4.4 Kategorisering av type hendelser og feil i tjenesten
Det er Skatteetaten som kategoriserer hendelser, herunder feil, som meldes inn.
Skatteetaten garanterer ikke et bestemt tjenestenivå for hendelseshåndtering men tilstreber å håndtere hendelser iht. det som er beskrevet under. Varsling og retting vil gjelde fra Skatteetaten er gjort oppmerksom på hendelsen/feilen. Omfang, alvorlighetsgrad og kompleksitet er avgjørende for behandlingstid.
Prioritet | Beskrivelse | Varsel og reaksjonstid, fra feil og kritikalitet er kjent |
A-Kritisk | Kritisk feil. Det finnes ingen midlertidig løsning. Feilen vil ha en kritisk påvirkning på bruk av tjenesten. Hendelser som gjør at tjenesten er utilgjengelig eller tilnærmet utilgjengelig pga. treghet i en kritisk periode. En tjeneste har alvorlig funksjonsfeil i en kritisk periode. De to nevnte typer hendelser kan få store samfunnsmessige konsekvenser og/eller kan føre til svekket omdømme eller store økonomiske konsekvenser. | Første varsel: 15 min Reaksjonstid: 2 arbeidstimer |
B-Alvorlig | Hendelser som gjør at brukere ikke får benyttet tjenesten. En tjeneste er utilgjengelig eller har alvorlig funksjonsfeil, men i en ikke-kritisk periode. En tjeneste er utilgjengelig eller har alvorlig funksjonsfeil i en kritisk periode | Første varsel: 1 time Reaksjonstid: 8 arbeidstimer |
C-Mindre alvorlig | Feil som ikke påvirker løsningens funksjonalitet eller stabilitet. Hendelser hvor brukeren likevel får utført sine hovedoppgaver. Feil som reduserer løsningens bruksverdi, men hvor oppgavene likevel kan utføres på en, etter forholdene, tilfredsstillende måte. | Første varsel: 1 arbeidsdag Reaksjonstid: 5 virkedager |
Forklaring til tabellen:
Første varsel: Bekreftelse på mottatt hendelse. Dette er eksempelvis teknisk kvittering, eventuelt en direkte bekreftelse fra mottaker i Skatteetaten.
Reaksjonstid: Skatteetaten har satt i gang relevante prosesser på hvilke tiltak som er aktuelle og dialog opprettet med konsument.
5. Endringshåndtering og varsling
5.1 Planlegging av endringer
Med endring menes alle typer endringer som påvirker tjenestene som er regulert i denne avtalen, jfr. pkt. 2.1.
Endringer skal som hovedregel være planlagt og varslet på forhånd. Alle endringer skal så langt det er mulig/hensiktsmessig være gjenstand for testing.
Både Skatteetaten og konsumentene kan initiere endring/endringsbehov. Skatteetaten er ansvarlig for å prioritere og beslutte hvilke endringer som skal gjennomføres.
Det må sikres at endringer som kan påvirke stabilitet og tilgjengelighet på tjenestene gjennomføres på en koordinert og sikker måte.
5.2 Kanal for varsling av endringer
Skatteetaten varsler om planlagte endringer i tjenestene her: xxxxx://Xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/xxxx.xxx
5.3 Type endring og varslingsfrister
Endringer klassifiseres i følgende kategorier, med tilhørende saksgang og varsling.
Kategori | Beskrivelse og eksempler | Gjennomføring/ saksgang | Varsling |
Standard endring | Veldokumentert endring med minimal risiko for forstyrrelser i tjenesten Eksempler: | Hvis endring på eksisterende tjeneste så vil gammel versjon erstattes av ny ved release i produksjon. | Endringen varsles kun som nyhet på nyhetstjenesten etter endringen er gjennomført |
-Bakoverkompatible endringer -Utrulling av nye versjoner uten at gamle tas bort | Konsumenten må kunne håndtere dette uten endring på sin side. | ||
-Feilrettinger som ikke påvirker eksternt grensesnitt | Konsumenten er selv ansvarlig for å varsle Skatteetaten dersom en standardendring gir problemer for konsumenten. | ||
Normal endring | Planlagte endringer som ikke er standardendringer. | Ved ny versjon av tjenesten, vil gammel | Normale endringer varsles gjennom |
versjon som | nyhetstjenesten | ||
hovedregel være | senest 4 måneder | ||
tilgjengelig i 4 | før gammel | ||
måneder etter at ny | tjeneste ikke lenger | ||
versjon er introdusert. | er tilgjengelig | ||
Konsumenten må i | |||
slike tilfeller ta i bruk | |||
ny versjon i løpet av | |||
perioden. | |||
Tidligere årsversjoner | |||
vil fortsatt være | |||
tilgjengelig etter at ny | |||
årsversjon er | |||
introdusert | |||
Hasteendring (Emergency Change) | Endringer som pga. ytre forhold ikke kan følge normale frister. Typiske eksempler er endringer som følge av statsbudsjett, sikkerhetsavvik eller håndtering av kritiske produksjonsfeil. | Konkret vurdering i den enkelte endring | Varsles på nyhetstjenesten snarest etter at Skatteetaten er kjent med endringen |
6. Krise og beredskapsplaner
6.1 Krise- og beredskapsplaner
Skatteetaten skal sørge for at det foreligger oppdaterte og tilgjengelige krise- og beredskapsplaner for drift av tjenestene. Konsumenten skal ha nødvendige krise- og beredskapsplaner for egne tjenester. I en beredskapssituasjon, eller annen ekstraordinær situasjon utenfor partenes kontroll, forutsettes det at partene samarbeider om å etablere alternative elektroniske og/eller manuelle rutiner for utveksling av opplysninger, så fremt situasjonen gjør dette mulig.
6.2 Endrede behov i kritiske perioder og under ekstraordinære situasjoner
Dersom konsumenten har ytelsesbehov utover det som er angitt som grenseverdier for antall kall må dette meldes inn som et endringsønske.
Konsumenten plikter å informere Skatteetaten dersom tjenestene skal benyttes i ekstraordinære situasjoner eller i en kritisk periode, definert av konsumenten. Dette gjelder også hvis det er planlagt større arbeid utenfor definert tid for tilgjengelighet, jfr. pkt. 3.3. Skatteetaten vil i slike tilfeller vurdere om det er mulig å øke beredskap, basert på tilgjengelig kapasitet.
Skatteetaten informeres så snart konsumenten er kjent med kommende endringer eller har planlagt aktiviteter knyttet til tjenesten.
7. Konsumentens plikter
7.1 Tilgang til tjenestene
Tilgang til tjenestene (api) er avhengig av tillatelse fra Skatteetaten. Konsumenten er selv ansvarlig for å administrere slik søknad. Når konsumenten har akseptert bruksvilkårene, gjennomført test og koblet seg til tjenesten i produksjon, har konsumenten tilgang til tjenesten.
Konsumenten er behandlingsansvarlig for personopplysninger som konsumenten får tilgang til gjennom å godta disse vilkårene. Konsumenten er således ansvarlig for at personopplysningene blir behandlet i henhold til gjeldende regelverk om personvern. Konsumenten kan bare benytte tjenestene i det omfang som følger av hjemmelsgrunnlaget. Grunnlaget er beskrevet i konsumentavtalen. Et eventuelt samtykke for utlevering skal være avgitt elektronisk gjennom Altinns samtykkekomponent eller tilsvarende løsning etablert av offentlig myndighet.
Dersom det skulle oppstå endringer hos konsumenten som kan ha betydning for konsumentens rett til bruk av mottatte opplysninger, plikter konsumenten å varsle Skatteetaten så raskt som mulig.
Tilganger gis så lenge hjemmelsgrunnlaget er gjeldende.
Hvis vilkårene for tilgang faller bort, herunder at vilkårene ikke respekteres av bruker, kan tilgangen termineres. Konsumentens tilgang gjelder de aktuelle tjenestene slik de er til enhver tid og det er konsumentens plikt å revidere tilganger på fast basis.
Konsumenten forplikter seg til å sette seg godt inn i tekniske og funksjonelle grensesnitt samt følge tekniske krav og funksjonelle rutiner spesifisert i dokumentasjonen for tjenestene.
7.2 Test av integrasjon
Konsumenten skal gjennomføre integrasjonstest mot tjenestene. De til enhver tid gjeldende retningslinjer for og krav til integrasjon og testing er tilgjengelige på xxxxx://Xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/.
Konsumenten gis tilgang til et felles eksternt testmiljø. Dette testmiljøet benyttes for testing ved feil og avvik, endringer og videreutvikling av tjenestene.
Skatteetaten benytter utelukkende syntetisk genererte testdata, og det vil ikke tilbys test med produksjonsdata.
Konsumenten må ha et testmiljø som kan knyttes opp mot Skatteetatens testmiljø. Konsumenten skal på Skatteetatens forespørsel fremlegge dokumentasjon på hvordan integrasjonen er testet.
Når konsumenten har utført testing i henhold til retningslinjene, kan Skatteetaten og konsumenten avtale tidspunkt for når konsumenten skal integreres mot produksjonsmiljøet. Konsumenten må selv verifisere at tjenesten fungerer tilfredsstillende i produksjonsmiljøet.
7.3 Personvern og informasjonssikkerhet
Konsumenten skal påse at personopplysningene ikke blir lagret lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, og for å etablere rutiner for regelmessig gjennomgang og sletting av personopplysninger som ikke lenger skal oppbevares, jf. personopplysningsloven § 28 og personvernforordningens artikkel 17.
Konsumenten skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsloven § 13 og personvernforordningens artikkel 32. Konsumenten skal dessuten etablere, dokumentere og holde vedlike planlagte og systematiske internkontrolltiltak i henhold til personopplysningsloven § 14.
7.4 Bruk av tredjepart/databehandler
Konsumenten kan benytte tredjepart til å utføre oppgaver i forbindelse med bruk av og integrasjon mot tjenestene. Konsumenten må forsikre seg om at tredjepart følger de tekniske og funksjonelle krav samt rutiner spesifisert i dokumentasjonen for de aktuelle tjenestene. Konsumenten identifiseres med og svarer fullt ut for tredjepartens handlinger og unnlatelser som om de var konsumentens egne.
Dersom konsumentens underleverandør/databehandler behandler personopplysninger på vegne av konsumenten, skal det inngås databehandleravtale i tråd med gjeldende regler i personvernregelverket.
7.5 Brukerstøtte for egne sluttbrukere
Konsumenten skal ha nødvendig brukerstøtte overfor sine sluttbrukere. Spørsmål om sluttbrukers personopplysninger skal ikke meldes inn som feil for den tekniske løsningen.
Personopplysninger som antas å være feil eller feilregistrert skal ikke meldes som en hendelse. Hvis sluttbrukerne har spørsmål knyttet til egne personopplysninger, eller ønsker å korrigere personopplysninger som Skatteetaten har registrert skal disse henvises til Skatteetaten på xxx.xx.
000 00 000.
Tips om mulige overtredelser som kan ha betydning for Skatteetatens virksomhet sendes inn på et skjema som er tilgjengelig på xxxxxxxxxxxx.xx.
8. Finansiering og kostnader
Skatteetaten tilbyr tjenestene via et grensesnitt uten noe form for vederlag. Konsumenten dekker egne kostnader for tilpasning og tilrettelegging av egne systemer, samt drift og videreutvikling av disse.
9. Risiko og erstatningsplikt
Opplysningene som tilgjengeliggjøres kan være gjenstand for feil både fra Skatteetatens side og fra tredjeparter. Skatteetaten kan ikke garantere opplysningenes korrekthet, og konsumenten må selv vurdere om det er behov for ytterligere verifisering av opplysningene før de tas i bruk.
Skatteetaten kan ikke holdes ansvarlig for konsekvenser av eventuelle feil, forsinkelser eller andre forhold knyttet til opplysninger eller tjenester omfattet av disse vilkår. Dette gjelder tilsvarende for etterfølgende bruk og følger for tredjepart. Skatteetaten kan heller ikke holdes ansvarlig for tap eller indirekte tap knyttet til tjenesten. Indirekte tap omfatter men er ikke begrenset til, tapt fortjeneste av enhver art, tapte besparelser og krav fra tredjeparter.
10. Endringer i vilkårene
Skatteetaten kan endre tjenesten samt vilkår for bruk dersom endringer i lov, forskrift eller eventuelle konsesjonsvilkår nødvendiggjør dette. Krav som følger av endringer i lover og forskrifter skal gjennomføres innen de tidsfrister som følger av lov eller forskrift. Det samme gjelder krav som følger av pålegg eller instrukser fra regjeringen eller departementene samt endrede krav til sikkerhet.
Varsel om endring i vilkårene skal skje skriftlig via Skatteetatens github for datasamarbeid.