Bruksvilkår: Digital post til virksomheter
Bruksvilkår: Digital post til virksomheter
Versjon | Endring | Dato |
1.1 | Ny prismodell | 18.04.2018 |
1.2 | Revisjon: personopplysningslov m.m. | 17.12.2019 |
1.3 | Oppdatert tekst og logo med Digitaliseringsdirektoratet | 01.01.2020 |
1 Beskrivelse av tjenesten Digital post til virksomheter - DPV Tjenesten Digital post til virksomheter er et ferdig sett meldingstjenester i Altinn-løsningen, som kan tas i bruk av avsendere uten at det må utføres tjenesteutvikling. Funksjonaliteten er nærmere beskrevet i bruksvilkårenes kapittel 3.
Det er Digitaliseringsdirektoratet som, i kraft av sin rolle som Altinn sentralforvaltning (ASF), tilbyr tjenesten.
2 Virksomheter som kan benytte tjenesten Digital post til virksomheter
Følgende virksomheter kan benytte seg av meldingstjenesten Digital post til virksomheter:
Offentlig virksomhet og virksomheter som utfører oppgaver på vegne av, og som helt eller delvis er finansiert av, det offentlige. Dette omfatter blant annet alle sentrale og lokale statlige organer, herunder tilsyn, ombud og direktorater, alle fylkeskommuner, kommuner og kommunale etater, samt offentlig eide selskaper som bare leverer tjenester til det offentlige (egenregi). I tillegg omfattes private virksomheter som treffer vedtak etter forvaltningsloven, og private virksomheter som yter tjenester etter avtale med og på vegne av det offentlige, men da begrenset til den delen av virksomheten som omfattes av forvaltningsloven eller utføres på vegne av det offentlige.
Det skal også være mulig å knytte til andre virksomheter eller utøvere av aktiviteter, som ikke faller direkte inn under avgrensningene ovenfor, men som likevel må anses som offentlig virksomhet. Offentlig virksomhet må i denne sammenheng avgrenses mot virksomhet som anses som ervervsvirksomhet i henhold til konkurranse- og statsstøtteregelverket.
Relevante momenter i denne vurderingen vil blant annet være om virksomheten faller inn under forvaltningslovens og/eller offentlighetslovens virkeområde, om de aktuelle tjenester utøves i
- 1 -
allmennhetens interesse, om tjenestene tilbys i konkurranse med private aktører, om det offentlige helt eller delvis finansierer tjenestene, og om det tas betalt for tjenestene fra sluttbrukerne utover det som er nødvendig for dekning av utøverens kostnader.
Det er Digitaliseringsdirektoratet som avgjør om en virksomhet kan benytte seg av tjenesten Digital post til virksomheter.
Statsaksjeselskaper og offentlig eide virksomheter som helt eller delvis driver i konkurranse med private virksomheter, kan ikke benytte tjenesten, med mindre de treffer vedtak etter forvaltningsloven eller utfører oppgaver på vegne av, og helt eller delvis finansiert av det offentlige, men da begrenset til den delen av virksomheten som omfattes av forvaltningsloven eller utføres på vegne av det offentlige.
De virksomhetene som benytter tjenesten Digital post til virksomheter, benevnes i bruksvilkårene som kunden eller Tjenesteeier DPV.
3 Funksjonalitet
Altinn tilbyr et ferdig sett med meldingstjenester til bruk i DPV. Dette er fellestjenester som alle avsendere av DPV kan benytte uten noen form for tjenesteutvikling på forhånd. Det er foreløpig utviklet 10 ulike meldingstjenester innenfor ulike tjenesteområder, inkludert en generell kategori:
• Post fra det offentlige innenfor administrasjon
• Post fra det offentlige innenfor plan, bygg og geodata
• Post fra det offentlige innenfor helse, sosial og omsorg
• Post fra det offentlige innenfor oppvekst og utdanning
• Post fra det offentlige innenfor kultur, idrett og fritid
• Post fra det offentlige innenfor trafikk, reiser og samferdsel
• Post fra det offentlige innenfor natur og miljø
• Post fra det offentlige innenfor næringsutvikling
• Post fra det offentlige innenfor skatter og avgifter
• Post fra det offentlige innenfor tekniske tjenester
Alle disse meldingstjenestene er knyttet opp til nøkkelroller og en rolle i Altinn-løsningen ved navn «Post/Arkiv».
3.1 Funksjonalitet, overordnet
Eksisterende grunnfunksjonalitet for forsendelse av meldinger i Altinn dekker behov for forsendelse, statusoppdatering, varslinger og revarsling (varsling på nytt om en melding ikke er åpnet). I tillegg til eksisterende funksjonalitet er det for DPV lagt inn mulighet for:
• Å sende post på vegne av annen virksomhet. En mottaker vil da kunne se hvem som er den faktiske avsender, ikke den tekniske avsender. Altinn loggfører både hvem som er teknisk og hvem som er faktisk avsender.
• Styrt brukertilgang til post via rollen «Post/Arkiv»
• Mulighet for å lese status på inntil 10.000 meldinger av gangen
Statlige avsendere kan integrere seg direkte mot Altinns webtjenester (kontaktpunkt: xxxxxxxxxxxx@xxxxxx.xx) eller integrere seg via Difi sin eFormidling (kontaktpunkt: xxxxxxxx@xxxx.xx). Kommunale avsendere kan integrere seg via FIKS-plattformen (kontaktpunkt: xxxxxx@xx.xx).
3.2 For sluttbruker
Personer som skal lese post for en virksomhet må ha rollen «Post/Arkiv». Alle som har en nøkkelrolle i en virksomhet, får denne rollen automatisk. Rollen «Post/Arkiv» kan delegeres videre til:
• Andre privatpersoner
• Andre virksomheter
• Virksomhetsbrukere (som benytter virksomhetssertifikat)
Det er kun personer som har nøkkelrolle eller har fått delegert rollen
«Tilgangsstyring» som kan delegere videre.
Sluttbrukere kan integrere sine IKT-løsninger mot egen meldingsboks i Altinn. Altinn tilbyr Web Services enten i form av SOAP eller REST.
3.3 For avsender
En avsender kan sende post ved å knytte seg til Altinns Web Service grensesnitt «InsertCorrespondence», eller på Batch (SFTP). Når en offentlig virksomhet er registrert i Altinn som tjenesteeier eller har akseptert disse bruksvilkår, kan man benytte DPV og de felles meldingstjenestene (sehttps://xxxxxx.xxxxxx.xx/xxxx/xxxxxxxxxxxxxxxx/xxxxxxx-xxxx-xxx- virksomheter/ for mer informasjon).
Xxxxxxxxx med taushetsbelagt innhold
Forsendelser av meldinger ved bruk av tjenesten DPV vil adresseres til virksomheten, og kunne åpnes av ledende roller (nøkkelroller) registrert for virksomheten i Enhetsregisteret, og personer i virksomheten som har blitt tildelt rollen "Post/arkiv".
Før tjenesten tas i bruk, må den enkelte tjenesteeier/avsender utføre risikovurdering i forhold til om slike tilganger imøtekommer avsenders behov for tilgangsstyring- og kontroll, herunder bestemmelser som regulerer taushetsplikt. Avsender er ansvarlig for eventuelle brudd på taushetsbestemmelser.
4 Altinn sentralforvaltnings (ASF) oppgaver overfor Tjenesteeier DPV
Ytelse | Tjenestenivå | Måle/kontrollmetode |
Tilgjengelighet på produksjonssatte basistjenester som tilbys fra Altinn | - Driftstid 00:00 – 24:00 mandag – søndag med unntak av planlagt vedlikehold som skal varsles 5 virkedager i forkant. - 99,8 % tilgjengelig i driftstiden målt pr. kalendermåned. | Måles i avtalte bruksmønstre med leverandør. Avvik behandles i månedlig leveransemøte med drifts- og applikasjonsdrifts- leverandør. Vil bli rapportert månedlig |
Varsel om planlagt vedlikehold og øvrige driftsvarsler | - Vedlikehold som kan medføre redusert ytelse eller tilgjengelighet på tjenester skal varsles minimum 5 virkedager før vedlikeholdet skjer | Varsles via kanalen for driftsmeldinger til Tjenesteeier DPV. Avvik rapporteres. |
Planlagte endringer i Altinn som medfører behov for endringer hos tjenesteeiere/ sluttbruker- system- leverandører. | - Planlagte endringer som påvirker grensesnitt eller tjenester i Altinn, der dette krever endringer hos tjenesteeiere DPV for at tjenestene skal være tilgjengelig, varsles senest 6 måneder før endring skjer. - ASF skal sette av tilstrekkelig med tid for test av slike endringer i forkant av produksjonssetting. | Måles ut i fra innmeldte saker til ASF. Eventuelle avvik håndteres med den enkelte Tjenesteeier |
Åpningstid på epost Tjenesteeier DPV: servicedesk@ xxxxxx.xx | - Åpningstid alle virkedager 08:00 15:45 (sommertid 08:00-15:00). | Avvik dokumenteres manuelt |
5 Tjenesteeier DPVs oppgaver overfor Altinn sentralforvalnting
Ytelse | Tjenestenivå |
Etablering av og informasjon om ansvarlig kontaktpunkt | Ved aksept av disse bruksvilkår, skal servicelederrollen etableres hos Tjenesteeier DPV. Serviceleder er kontaktpunkt og ansvarlig overfor ASF tilknyttet daglig drift. Dette innebærer også informasjon- og merkantilt ansvar. Kontaktpunktet må enten ha en fast stedfortreder, eller være satt opp med en felles epostadresse og telefonnummer som flere har tilgang til i tilfelle fravær. Tjenesteeier DPV plikter å oversende oversikt over kontaktperson og kontaktinformasjon (navn, e-post og telefonnummer (inkludert mobil) til ASF |
Brukerstøtte | Tjenesteeier DPV skal ha nødvendig brukerstøtte overfor sluttbruker for egne tjenester |
6 Behandlingsansvar
Digitaliseringsdirektoratet v/Altinn sentralforvaltning er behandlingsansvarlig, jf personopplysningsloven, for tjenesten DPV, herunder:
Lagring av grunndata:
• Det sentrale folkeregister (DSF)
Utdrag fra Folkeregisteret i henhold til tillatelse fra Skattedirektoratet: Navn, fødsels- og D-nummer, adresse.
• Kontakt- og reservasjonsregisteret (KRR):
Navn, fødsels- og D-nummer, e-postadresse, mobilnummer
• Enhetsregisteret (ER):
Navn, fødsels- og D-nummer, adresse, roller i ER, varslingadresse (e- postadresse og mobilnummer).
Lagring av opplysninger oppgitt av bruker eller generert av systemet:
Lagring av personopplysninger for å kunne utføre korrekt kontroll av autentisering og autorisasjon til data. Dette er fødselsnummer/D-nummer,
navn, mobil, e-post, pinkoder, brukernavn, brukerID, roller og rettigheter til tjenester.
Lagring av loggdata med personopplysninger i forbindelse med brukeraktiviteter (Tiltrodd tredjeparts arkiv). Loggdatabasen er ikke direkte tilgjengelig for bruker eller andre, men kan utleveres på forespørsel. Loggdatabasen inneholder IP-adresser, intern brukerID, tidspunkt for innlogging, aktivitetshistorikk. Personopplysninger i tjenesteeiernes tjenester/skjema lagres ikke i loggdatabasen.
Lagring av personopplysninger i brukerens innboks. Innboksen inneholder brukerens lagrede/innsendte skjema/tjenester fra de ulike tjenesteeierne i Altinn-samarbeidet. Skjemadata vil kunne inneholde personopplysninger som faller inn under artikkel 9 (spesielle kategorier av personopplysninger).
Mellomlagring av personopplysninger i Tjenesteeiers servicearkiv.
Tjenesteeier DPV er behandlingsansvarlig for personopplysninger som behandles i tjenesteeiers egne systemer ved forespørsler på informasjon fra Altinn, uavhengig av hvilket teknisk grensesnitt og funksjonalitet som benyttes i løsningen.
Tjenesteeier DPV innestår for å ha rettslig grunnlag etter personopplysningsloven for bruken av disse personopplysningene, jf. personopplysningsloven § 1, jf, personvernforordningen artikkel 6 nr 1 e) og artikkel 9 og 10, og ha oversikt over hvilke personopplysninger som overføres ved bruk av tjenesten DPV.
Tjenesteeier DPV skal kunne godtgjøre det foreligger tillatelse fra Skattedirektoratet til å motta ønskede folkeregisteropplysninger.
Tjensteeier DPV/avsender er ansvarlig for feilsendte meldinger, herunder oppfølging av sletting, informasjon til berørte og varsling til Datatilsynet.
Bruk av underleverandør
Databehandlingen kan utføres av underleverandører. ASF er overfor Xxxxxxxxxxxx DPV ansvarlig for at underleverandører utfører sine oppgaver i overensstemmelse med disse bruksvilkårene og personopplysningsloven.
Overføring av personopplysninger til tredjeland
Databehandlingen kan utføres av underleverandører. ASF er overfor Xxxxxxxxxxxx DPV ansvarlig for at underleverandører utfører sine oppgaver i overensstemmelse med disse bruksvilkårene og personopplysningsloven.
7 Sikkerhetstiltak
ASF er forpliktet til å ivareta det ansvar for informasjonssikkerhet som tilligger databehandler i henhold til personopplysningslovens § 1, jf personvernforordningen artikkel 32. Informasjonssikkerhet omfatter:
• Sikring av konfidensialitet; beskyttelse mot at uvedkommende får innsyn i opplysningene
• Sikring av integritet; beskyttelse mot utilsiktet endring av opplysningene
• Sikring av tilgjengelighet; sørge for at tilstrekkelige og relevante opplysninger er til stede
ASF plikter for øvrig å etterkomme krav til databehandlingen som ellers følger av relevante lover og forskrifter. Databehandlingen vil i tillegg utføres i henhold til gjeldende systemdokumentasjon og øvrige rutinebeskrivelser for tjenesten.
Dokumentasjon på dette skal på forespørsel være tilgjengelig for Tjenesteeier DPV, Datatilsynet og Personvernnemnda.
Ved opphør av tjenesten DPV, vil ASF slette informasjon tilknyttet tjenesteeier DPV i Tjenesteeiers arkiv.
7 Avvik/sikkerhetsbrudd
Ved hendelser som har sikkerhetsmessig konsekvens i forhold til konfidensialitet og integritet av informasjon og data, skal partene informere hverandre uten ugrunnet opphold.
Ved en sikkerhetshendelse skal partene så snart som mulig oversende den annen part en redegjørelse for hendelsen, og hvilke tiltak som er iverksatt eller skal iverksettes.
Ved konfidensialitetsbrudd som ikke omhandler avsenders feilsending av melding, er det den behandlingsansvarlige som skal sørge for avviksmelding til Datatilsynet.
Ved hendelser knyttet til tjenesten Digital post til virksomheter, skal Brønnøysundregistrene håndtere informasjon overfor sluttbruker og presse, med mindre partene avtaler noe annet for det enkelte tilfellet.
8 Krise- og beredskapsplaner
Tjenesteeier DPV og Altinn sentralforvaltning skal ha nødvendige krise- og beredskapsplaner.
9 Ansvar for underleverandører
Dersom en av partene engasjerer underleverandører til å utføre oppgaver som følger av disse bruksvilkår, er parten fullt ut ansvarlig for utførelsen av disse oppgavene på samme måte som om parten selv stod for utførelsen.
10 Taushetsplikt
Forvaltningslovens taushetspliktbestemmelser kommer til anvendelse for Altinn sentralforvaltning, Tjenesteeier DPV, og eventuelle underleverandører partene benytter.
Partene, og eventuelle underleverandører, skal ta nødvendige forholdsregler for å hindre at uvedkommende får innsyn i eller kan bli kjent med taushetsbelagt materiale eller informasjon.
Om nødvendig skal det undertegnes taushetserklæring. Det skal i tilfelle angis hvilke opplysninger som omfattes av taushetsplikten, og hvordan den skal ivaretas.
Taushetsplikten gjelder også etter tjenestenes opphør. Ansatte eller andre som fratrer sin tjeneste hos en av partene eller deres underleverandører, skal pålegges å bevare taushet om forhold som er nevnt ovenfor, også etter fratredelsen.
11 Tjenesteeier DPV sine bruksrettigheter
Tjenesteeier DPV har en ikke-eksklusiv rett til å benytte tjenesten Digital post til virksomheter. Bruksretten er saklig begrenset til formålet med tjenesten, de rettigheter som følger av bruksvilkårene og underliggende avtaler, samt god forvaltningsskikk.
12 Mislighold
12.1 Reklamasjon
Bruksvilkårene misligholdes når en av partene ikke følger opp sine plikter og sitt ansvar knyttet til vilkårene. Ved mislighold skal den part som ønsker å gjøre misligholdet gjeldende, innen rimelig tid reklamere skriftlig til den andre part.
12.2 Rett og plikt til retting av mislighold
Den part som har misligholdt sine plikter etter vilkårene, har rett og plikt til å utbedre forholdet så raskt det er praktisk mulig.
Ved vesentlig mislighold fra kunden, kan Brønnøysundregistrene v/Altinn sentralforvaltning frakoble tjenesten Digital post til virksomheter inntil kunden har dokumentert at misligholdet er rettet.
12.3 Erstatning
Digitaliseringsdirektoratet v/Altinn sentralforvaltning er ikke ansvarlig for tap som kunden lider på grunn av mislighold eller feil i Altinn-løsningen
med mindre dette skyldes vesentlig mislighold, og det foreligger grov uaktsomhet eller forsett fra Digitaliseringsdirektoratets side.
Ansvaret er under enhver omstendighet begrenset til kundens tap og oppad begrenset til 20 000 pr skadetilfelle. Digitaliseringsdirektoratets ansvar for feil begått av leverandører er uansett begrenset til det beløp som Digitaliseringsdirektoratet oppnår fra leverandør som erstatning for kundens tap i hvert enkelt tilfelle.
Det kan ikke kreves dekning for indirekte tap, med mindre det foreligger forsett.
13 Endring av bruksvilkår
Digitaliseringsdirektoratet v/direktøren kan endre bruksvilkårene dersom det foreligger behov for dette.
Tjenesteeier DPV kan fremsette forslag om endring av bruksvilkårene skriftlig til Digitaliseringsdirektoratet v/ASF.
Digitaliseringsdirektoratet v/ASF skal informere om endringer i bruksvilkårene på xxxxx://xxx.xxxxxxxxxxxxx.xx/. Tjenesteeier DPV forplikter seg å overholde alle krav i den til enhver tid gjeldende versjon av disse bruksvilkår.
14 Opphør/oppsigelse
Tjenesten «Digital post til virksomheter» kan benyttes av offentlige virksomheter for inntil 10.000 meldinger/transaksjoner pr år.
Offentlige virksomheter som har et volum på over 10.000 utsendinger til virksomheter pr år, må inngå ordinær Samarbeidsavtale med Altinn.
Kunden kan si opp sin bruk av tjenesten «Digital post til virksomheter» med en måneds skriftlig varsel.
15 Tvisteløsning
Eventuelle konflikter eller uenigheter mellom partene skal søkes løst gjennom dialog.
Dersom Tjenesteeier DPV er en statlig enhet gjelder følgende: Dersom konflikten ikke blir avklart ved dialog mellom partene innen rimelig tid, skal den avklares utenrettslig og på alminnelig forvaltningsmessig måte.
Dersom TjenesteeierDPV er en selvstendig juridisk person gjelder følgende: Dersom konflikten ikke blir avklart ved dialog mellom partene innen rimelig tid, kan søksmål reises for de alminnelige domstoler. Oslo tingrett vedtas som rett verneting.
16 Kostnader
Tjenesten kan benyttes kostnadsfritt for inntil 10 000 meldinger pr år.
Den enkelte tjenesteeier bærer selv alle kostnader i forbindelse med tilkobling.
Undertegnede er bemyndiget til å akseptere disse bruksvilkår på vegne av
Xxx.xx. | |
Forvaltningsorganets navn |
Sted/dato:
Signatur:
Navn
(blokkbokstaver):