Skatteetaten (org.nr. 974 761 076)
Bruksvilkår for utlevering av opplysninger om inntekt, skatt og restanser fra Skatteetatens APIer
Vilkår er satt av
Skatteetaten (xxx.xx. 974 761 076)
(Skatteetaten)
Innhold
1. Formål med Bruksvilkår for Skatteetatens APIer 3
2. Tjenestene og kategorier av opplysninger 3
3.2 Skatteetatens github for datasamarbeid og abonnementsplikt 3
4. Hendelser (incidents) og varsling 5
4.2 Kanal for å melde hendelser 5
4.3 Kanal for å melde sikkerhetshendelse eller personavvik 5
4.4 Kategorisering av type hendelser og feil i tjenesten 6
5. Endringshåndtering og varsling 7
5.1 Planlegging av endringer 7
5.2 Kanal for varsling av endringer 7
5.3 Type endring og varslingsfrister 7
6. Krise og beredskapsplaner 8
6.1 Krise- og beredskapsplaner 8
6.2 Endrede behov i kritiske perioder og under ekstraordinære situasjoner 8
7.3 Personvern og informasjonssikkerhet 9
7.4 Bruk av tredjepart/databehandler 10
7.5 Brukerstøtte for egne sluttbrukere 10
8. Finansiering og kostnader 10
9. Risiko og erstatningsplikt 10
1. Formål med Bruksvilkår for Skatteetatens APIer
Dette dokumentet inneholder vilkår for bruk av informasjon som er tilgjengelig gjennom Skatteetatens API-er. Dokumentet beskriver hvilke tjenester (API-er) som tilgjengeliggjøres, krav til kvalitet og tilgjengelighet, rutiner for endringer, feilhåndtering og administrasjon.
Bruksvilkårene gjelder sammen med generelle vilkår for deling (delingsvilkår). Bruksvilkårene må leses i sammenheng med delingsvilkårene og konsumentavtale/egenerklæring. I tilfeller hvor utlevering av opplysninger skjer via et API og delingsvilkårene og bruksvilkårene regulerer samme tema er det den mer spesialiserte reguleringen i bruksvilkårene som har forrang.
Ved aksept av vilkårene termineres tidligere inngåtte avtaler som omfattes av disse vilkårene. Videre anses nye versjoner av vilkårene som akseptert uten innhenting av nytt aksept fra konsumenten.
Endringer i vilkårene vil bli varslet i henhold til rutiner beskrevet under. Konsumenten kan velge å terminere delingssamarbeidet, hvis endringer i vilkårene ikke aksepteres.
2. Tjenestene og kategorier av opplysninger
Tjenestene/API-ene og kategorier av opplysninger som leveres under disse vilkårene er angitt i konsumentavtale/egenerklæring.
3. Tjenestenivå
Skatteetaten vil tilstrebe å levere stabile og driftssikre tjenester. Tjenestenivået utgjør ingen garantier som kan utløse økonomiske sanksjoner eller andre former for reaksjoner mellom partene.
Tjenestenivået er satt ut fra at dette er en ikke-kommersiell samarbeidsmodell hvor hver av partene bærer egne kostnader og henter ut egne gevinster som følge av en effektivisering av distribusjon av informasjon. APIene kan tas ut av drift som følge av hendelser utenfor Skatteetatens kontroll.
Konsumenten vil bli varslet, så langt det er mulig.
3.1 Dokumentasjon
Skatteetaten publiserer oppdatert dokumentasjon av tjenestene som spesifisert over og er ansvarlig for å oppdatere dokumentasjonen uten ugrunnet opphold etter at en endring er implementert.
Dokumentasjon finnes her: xxxxx://xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/
3.2 Skatteetatens github for datasamarbeid og abonnementsplikt Skatteetaten varsler om endringer og hendelser i tjenestene her: xxxxx://xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/xxx_xxxx.xxxx
Konsumenten plikter å abonnere på varsler og vurdere relevans for konsumentens bruk av Skatteetatens delingstjenester. Dersom kanal for varsling blir endret vil konsumentene bli informert.
3.3 Produksjonsmiljø
Tilgjengelighet | Tjenestene er normalt tilgjengelig hele døgnet alle virkedager i året med unntak av kortere stopp for nødvendig teknisk vedlikehold. | |
Tilgjengelighetskrav til tjenestene | 99,5% (ikke medregnet planlagt teknisk vedlikehold) Måleperiode er månedlig (per kalendermåned). | |
Driftstid (med driftstjenester og overvåkning) | I tidsrommet: - fra 08:00 til 15:45 i perioden 15. september til 14. mai. - fra 08:00 til 15:00 i perioden fra 15. mai til 14. september. Driftstjenester er tilgjengelig alle virkedager. Jul-, nyttårsaften, romjula og onsdag før skjærtorsdag er det begrenset åpningstid. | |
Responstid for tjenesten | Responstid: Maks 4 sekunder for 99,5% av tjenestekall målt på Skatteetatens side av tjenesten for API-grensesnittet. Følgende forutsetninger om last gjelder: • maks. forespørsler per sekund: 5 • maks. forespørsler per time: 10.000 Responstid forutsetter også at konsumenten tar i bruk hendelsesliste. Dette for å unngå unødvendig last. Dersom det viser seg å være nødvendig/hensiktsmessig kan skatteetaten begrense/regulere forespørsler og kall per konsument. | |
Faste planlagte tider for endringer, service og vedlikehold | Periode | Tidspunkt |
Behovsstyrt ukentlig vedlikehold av infrastruktur og/eller enkeltsystemer. | Torsdager 18:00 – fredag 05:00 Ut over dette vil bli det bli varslet så snart behov for endringer, service og vedlikehold er kjent. | |
3.4 Testmiljø
Tilgjengelighet | Tjenestene er normalt tilgjengelig hele døgnet alle virkedager i året med unntak av kortere stopp for nødvendig teknisk vedlikehold. |
Driftstid (med driftstjenester og overvåkning) | I tidsrommet: - fra 08:00 til 15:45 i perioden 15. september til 14. mai. - fra 08:00 til 15:00 i perioden fra 15. mai til 14. september. Driftstjenester er tilgjengelig alle virkedager. Jul-, nyttårsaften, romjula og onsdag før skjærtorsdag er det begrenset åpningstid. |
Testdata | I testmiljøet skal syntetiske testdata være tilgjengelig for integrasjonstesting. Det er forventet at spesifikke egenskaper som gjelder den enkelte konsument tilrettelegges for test på konsumentens side. |
Komponentversjoner | Versjoner av komponenter i testmiljøet skal normalt være samme versjon som i produksjonsmiljøet. |
Akseptabel nedetid ved feilsituasjon | Inntil 5 virkedager. |
4. Hendelser (incidents) og varsling
4.1 Hendelser skal meldes
Dersom Skatteetaten avdekker feil og mangler skal konsumenten informeres om feilen eller mangelen og hvilke tiltak som er iverksatt for å gjenopprette tjenesten.
Dersom en konsument opplever tjenesten som ustabil, utilgjengelig eller feiler, skal konsumenten melde dette til Skatteetaten.
Før feil meldes til Skatteetaten skal konsumenten, så langt det er mulig, sikre at årsaken ikke ligger i egne systemer. Konsumenten plikter derfor å håndtere hendelsen innenfor egne kvalitetsprosesser (rutiner for incident management).
Skatteetaten skal sikre at innmeldte hendelser løses i henhold til avtalt tjenestenivå. Dersom ingen frister er avtalt vil feil eller mangel blir rettet innen rimelig tid, vurdert etter feilens eller mangelens alvorlighet og mulige konsekvenser for konsumenten. Dette følger av prinsippet om den ikke- kommersielle samarbeidsmodellen hvor en ikke har absolutte garantier for retting av feil eller andre hendelser. Ved behov vil Skatteetaten kunne eskalere saker i henhold til etatens interne avviksrutiner. Det er Skatteetaten som vil avgjøre hvilke saker som eskaleres og hvordan hendelser følges opp.
4.2 Kanal for å melde hendelser
Konsument melder om hendelser (incidents) her: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxx/xxxxxxx/
4.3 Kanal for å melde sikkerhetshendelse eller personavvik
Dersom Konsumenten har mistanke om brudd, risiko eller hendelser relatert til alle typer sikkerhet eller personvernavvik i form av brudd på konfidensialitet, integritet og/eller tilgjengelighet, skal nødvendige tiltak iverksettes. Skatteetaten skal varsles dersom avviket er eller kan være omfattet av etatens behandlingsansvar Skatteetaten varsles om slike kritiske sikkerhetshendelser på telefonnummer: 00 00 00 00.
Dersom konsumenten har meldt et personvernavvik til Datatilsynet, og avviket er eller kan være omfattet av Skatteetatens behandlingsansvar, skal personvernombudet i Skatteetaten informeres per e-post til xxxxxxxxxxxxxxx@xxxxxxxxxxxx.xx og kopi av melding til Datatilsynet vedlegges. Slik informasjonsplikt gjelder ikke hvor Datatilsynet har unntatt avviksmeldingen fra offentlighet.
4.4 Kategorisering av type hendelser og feil i tjenesten
Det er Skatteetaten som kategoriserer hendelser, herunder feil, som meldes inn.
Skatteetaten garanterer ikke et bestemt tjenestenivå for hendelseshåndtering men tilstreber å håndtere hendelser iht. det som er beskrevet under. Varsling og retting vil gjelde fra Skatteetaten er gjort oppmerksom på hendelsen/feilen. Omfang, alvorlighetsgrad og kompleksitet er avgjørende for behandlingstid.
Prioritet | Beskrivelse | Varsel og reaksjonstid, fra feil og kritikalitet er kjent |
A-Kritisk | Kritisk feil. Det finnes ingen midlertidig løsning. Feilen vil ha en kritisk påvirkning på bruk av tjenesten. En tjeneste har en alvorlig funksjonsfeil i en kritisk periode, jf. pkt 6.2 Hendelser som gjør at tjenesten er utilgjengelig eller tilnærmet utilgjengelig pga. treghet i en kritisk periode, jf. pkt. 6.2, og slik utilgjengelighet • medfører risiko for store samfunnsmessige konsekvenser eller, • kan føre til svekket omdømme eller, • kan medføre store økonomiske konsekvenser. | Første varsel: 15 min Reaksjonstid: 2 arbeidstimer |
B-Alvorlig | Hendelser som gjør at brukere ikke får benyttet tjenesten. En tjeneste er utilgjengelig eller har alvorlig funksjonsfeil, men i en ikke-kritisk periode. | Første varsel: 1 time Reaksjonstid: 8 arbeidstimer |
C-Mindre alvorlig | Feil som ikke påvirker løsningens funksjonalitet eller stabilitet. Hendelser hvor brukeren likevel får utført sine hovedoppgaver. | Første varsel: 1 arbeidsdag Reaksjonstid: 5 virkedager |
Feil som reduserer løsningens bruksverdi, men hvor oppgavene likevel kan utføres på en, etter forholdene, tilfredsstillende måte. |
Forklaring til tabellen:
Første varsel: Bekreftelse på mottatt hendelse. Dette er eksempelvis teknisk kvittering, eventuelt en direkte bekreftelse fra mottaker i Skatteetaten.
Reaksjonstid: Skatteetaten har satt i gang relevante prosesser på hvilke tiltak som er aktuelle og dialog opprettet med konsument.
5. Endringshåndtering og varsling
5.1 Planlegging av endringer
Med endring menes alle typer endringer som påvirker tjenestene som er regulert i konsumentavtale/egenerklæring.
Endringer skal som hovedregel være planlagt og varslet på forhånd. Alle endringer skal så langt det er mulig/hensiktsmessig være gjenstand for testing.
Både Skatteetaten og konsumentene kan initiere endring/endringsbehov. Skatteetaten er ansvarlig for å prioritere og beslutte hvilke endringer som skal gjennomføres.
Det må sikres at endringer som kan påvirke stabilitet og tilgjengelighet på tjenestene gjennomføres på en koordinert og sikker måte.
5.2 Kanal for varsling av endringer
Skatteetaten varsler om planlagte endringer i tjenestene her: xxxxx://xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/xxx_xxxx.xxxx
5.3 Type endring og varslingsfrister
Endringer klassifiseres i følgende kategorier, med tilhørende saksgang og varsling.
Kategori | Beskrivelse og eksempler | Gjennomføring/ saksgang | Varsling |
Standard endring | Veldokumentert endring med minimal risiko for forstyrrelser i tjenesten Eksempler: -Bakoverkompatible endringer | Hvis endring på eksisterende tjeneste så vil gammel versjon erstattes av ny ved release i produksjon. Konsumenten må kunne håndtere dette | Endringen varsles kun som nyhet på nyhetstjenesten etter endringen er gjennomført For årsrevisjoner vil det bli varslet så |
-Utrulling av nye versjoner uten at gamle tas bort -Feilrettinger som ikke påvirker eksternt grensesnitt -Årlig revisjon av eksisterende versjon (eks. nye felter, kodelister og annet som går på innhold) | uten endring på sin side. Konsumenten er selv ansvarlig for å varsle Skatteetaten dersom en standardendring gir problemer for konsumenten. | snart endringen er kjent, og fortrinnsvis via andre relevante kanaler (xxxxxxxxxxxx.xx, særskilt møte) | |
Normal endring | Planlagte endringer som ikke er standardendringer, dvs. endringer som medfører brudd på eksisterende tjeneste. | Ved ny versjon av tjenesten, vil gammel versjon som hovedregel være | Normale endringer varsles gjennom nyhetstjenesten senest 4 måneder |
Slike tekniske endringer vil kreve tekniske endringer hos konsumenten for at oppslag mot | tilgjengelig i 4 måneder etter at ny versjon er introdusert. | før gammel tjeneste ikke lenger er tilgjengelig | |
tjenesten fortsatt skal fungere. | Konsumenten må i | ||
slike tilfeller ta i bruk | |||
ny versjon i løpet av | |||
perioden. | |||
Hasteendring (Emergency Change) | Endringer som pga. ytre forhold ikke kan følge normale frister. Typiske eksempler er endringer som følge av statsbudsjett, sikkerhetsavvik eller håndtering av kritiske produksjonsfeil. | Konkret vurdering i den enkelte endring | Varsles på nyhetstjenesten snarest etter at Skatteetaten er kjent med endringen |
6. Krise og beredskapsplaner
6.1 Krise- og beredskapsplaner
Skatteetaten skal sørge for at det foreligger oppdaterte og tilgjengelige krise- og beredskapsplaner for drift av tjenestene. Konsumenten skal ha nødvendige krise- og beredskapsplaner for egne tjenester. I en beredskapssituasjon, eller annen ekstraordinær situasjon utenfor partenes kontroll, forutsettes det at Skatteetaten og konsumenten samarbeider om å etablere alternative elektroniske og/eller manuelle rutiner for utveksling av opplysninger, så fremt situasjonen gjør dette mulig.
6.2 Endrede behov i kritiske perioder og under ekstraordinære situasjoner
Dersom konsumenten har ytelsesbehov utover det som er angitt som grenseverdier for antall kall må dette meldes inn som et endringsønske.
Konsumenten plikter å informere Skatteetaten dersom tjenestene skal benyttes i ekstraordinære situasjoner eller i en kritisk periode, definert av konsumenten. Dette gjelder også hvis det er planlagt større arbeid utenfor definert tid for tilgjengelighet, jfr. pkt. 3.3. Skatteetaten vil i slike tilfeller vurdere om det er mulig å øke beredskap, basert på tilgjengelig kapasitet.
Skatteetaten informeres så snart konsumenten er kjent med kommende endringer eller har planlagt aktiviteter knyttet til tjenesten.
7. Konsumentens plikter
7.1 Tilgang til tjenestene
Tilgang til tjenestene (api) er avhengig av tillatelse fra Skatteetaten. Konsumenten er selv ansvarlig for å administrere slik søknad. Når konsumenten har signert konsumentavtale/egenerklæring, akseptert delings- og bruksvilkår, gjennomført test og koblet seg til tjenesten i produksjon, har konsumenten tilgang til tjenesten.
Konsumenten er behandlingsansvarlig for personopplysninger som konsumenten får tilgang til gjennom å godta disse vilkårene. Konsumenten er således ansvarlig for at personopplysningene blir behandlet i henhold til gjeldende regelverk om personvern. . Et eventuelt samtykke for utlevering skal være avgitt elektronisk gjennom Altinns samtykkekomponent eller tilsvarende løsning etablert av offentlig myndighet.
Hvis vilkårene for tilgang faller bort, herunder at vilkårene ikke respekteres av bruker, kan tilgangen termineres. Konsumentens tilgang gjelder de aktuelle tjenestene slik de er til enhver tid og det er konsumentens plikt å revidere tilganger på fast basis.
Konsumenten forplikter seg til å sette seg godt inn i tekniske og funksjonelle grensesnitt samt følge tekniske krav og funksjonelle rutiner spesifisert i dokumentasjonen for tjenestene.
7.2 Test av integrasjon
Konsumenten skal gjennomføre integrasjonstest mot tjenestene. De til enhver tid gjeldende retningslinjer for og krav til integrasjon og testing er tilgjengelige på xxxxx://Xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx-xxxxxxxxxxxxx/.
Konsumenten gis tilgang til et felles eksternt testmiljø. Dette testmiljøet benyttes for testing ved feil og avvik, endringer og videreutvikling av tjenestene.
Skatteetaten benytter utelukkende syntetisk genererte testdata, og det vil ikke tilbys test med produksjonsdata.
Konsumenten må ha et testmiljø som kan knyttes opp mot Skatteetatens testmiljø. Konsumenten skal på Skatteetatens forespørsel fremlegge dokumentasjon på hvordan integrasjonen er testet.
7.3 Personvern og informasjonssikkerhet
Konsumenten skal behandle personopplysninger i henhold til personopplysningsloven og personvernforordningen. Herunder skal konsumenten sørge for at personopplysninger behandles i tråd med de grunnleggende prinsipper for personvern etter personvernforordningen artikkel 5.
Konsumenten skal påse at personopplysningene ikke blir lagret lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, og for å etablere rutiner for regelmessig gjennomgang og sletting av personopplysninger som ikke lenger skal oppbevares, jf. personvernforordningens artikkel 17.
Konsumenten skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet.. Konsumenten skal
dessuten etablere, dokumentere og holde vedlike planlagte og systematiske internkontrolltiltak for sikre at personopplysninger behandles lovlig, sikkert og forsvarlig.
7.4 Bruk av tredjepart/databehandler
Konsumenten kan benytte databehandler til å utføre oppgaver i forbindelse med bruk av og integrasjon mot tjenestene. Konsumenten må forsikre seg om at databehandler gir tilstrekkelige garantier for at de følger tekniske og funksjonelle krav som sikrer at behandlingen er i tråd med personvernregelverket. Dette gjelder også for rutiner spesifisert i dokumentasjonen for de aktuelle tjenestene. Konsumenten identifiseres med og svarer fullt ut for tredjepartens handlinger og unnlatelser som om de var konsumentens egne.
Dersom konsumentens underleverandør/databehandler behandler personopplysninger på vegne av konsumenten, skal det inngås databehandleravtale i tråd med gjeldende regler i personvernregelverket, jf. personvernforordningen artikkel 28.
7.5 Brukerstøtte for egne sluttbrukere
Konsumenten skal ha nødvendig brukerstøtte overfor sine sluttbrukere. Spørsmål om sluttbrukers personopplysninger skal ikke meldes inn som feil for den tekniske løsningen.
Personopplysninger som antas å være feil eller feilregistrert skal ikke meldes som en hendelse. Hvis sluttbrukerne har spørsmål knyttet til egne personopplysninger, eller ønsker å korrigere personopplysninger som Skatteetaten har registrert skal disse henvises til Skatteetaten på xxx.xx.
000 00 000.
Tips om mulige overtredelser som kan ha betydning for Skatteetatens virksomhet sendes inn på et skjema som er tilgjengelig på xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxx/.
8. Finansiering og kostnader
Skatteetaten tilbyr tjenestene via et grensesnitt uten noe form for vederlag. Konsumenten dekker egne kostnader for tilpasning og tilrettelegging av egne systemer, samt drift og videreutvikling av disse.
9. Risiko og erstatningsplikt
Opplysningene som tilgjengeliggjøres kan være gjenstand for feil både fra Skatteetatens side og fra tredjeparter. Skatteetaten kan ikke garantere opplysningenes korrekthet, og konsumenten må selv vurdere om det er behov for ytterligere verifisering av opplysningene før de tas i bruk.
Skatteetaten kan ikke holdes ansvarlig for konsekvenser av eventuelle feil, forsinkelser eller andre forhold knyttet til opplysninger eller tjenester omfattet av disse vilkår. Dette gjelder tilsvarende for etterfølgende bruk og følger for tredjepart. Skatteetaten kan heller ikke holdes ansvarlig for tap eller indirekte tap knyttet til tjenesten. Indirekte tap omfatter men er ikke begrenset til, tapt fortjeneste av enhver art, tapte besparelser og krav fra tredjeparter.
10. Endringer i vilkårene
Skatteetaten kan endre disse bruksvilkårene. Krav om endring som følger av endringer i lover og forskrifter skal gjennomføres innen de tidsfrister som følger av lov eller forskrift. Det samme gjelder krav som følger av pålegg eller instrukser fra regjeringen eller departementene samt endrede krav til sikkerhet.
Varsel om endring i vilkårene skal skje skriftlig via xxxxx://Xxxxxxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxx-xxx- dokumentasjon/feed.xml