Allmänna Villkor för RS eID‌

Allmänna Villkor för RS eID‌

1 Allmänt

PKI RS är en tjänst inom Region Stockholms organisation med organisationsnummer 232100-0016. RS eID utfärdas till personer som på ett säkert sätt behöver kunna utbyta information med eller identifiera sig mot Region Stockholms IT-system och förlitande parter.

Kraven är fördelade på olika skyddsklasser – tillitsnivåer – som svarar mot olika grader av teknisk- och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den personen utgivit sig för att vara.

Den identitet som representeras av RS eID säkras genom en kombination av processen för utfärdande och den säkra lagringen av e-legitimationen. RS eID (mobilt eller annan säker bärare) kan användas för underskrift, kryptering, identifiering och autentisering. Definitioner:

PKI RS	PKI RS står för ”Public Key Infrastructure Region Stockholm” och är en tjänst för utfärdande av elektroniska identitetshandlingar, stämpling av dokument samt kryptering av information.
Innehavare	Den person som tilldelats ett RS eID.
Förlitande part	Den aktör som litar på att innehavare som använder ett RS eID är den som den utger sig för att vara.
Användare	Användare av en tjänst som tillhandahålls av en förlitande part.
Säker bärare	E-legitimation på olika bärare utfärdade av PKI RS på tillitsnivå 3 (LoA3) till exempel smartkort eller mobila enheter.
RS eID	Mobila och hårda certifikat utfärdade av PKI RS på tillitsnivå 3 (LoA3)
Allmänna Villkor	Villkor angivna i denna handling, Allmänna Villkor för RS eID

Allmänna Villkor för RS eID gäller både förlitande part och innehavare av RS eID. Ändringar i Allmänna Villkor kan bara göras av Serviceförvaltningen efter godkännande av systemägare PKI - RS inom Serviceförvaltningen i samråd med Informationssäkerhetssamordnare. Uppdateringar ersätter motstridiga bestämmelser i‌

den refererade versionen av Allmänna Villkor.

PKI RS förbehåller sig rätten att besluta om ändring av de Allmänna Villkoren utan förvarning. Ändringarna träder i kraft direkt efter publicering. Fortsatt användning efter ändring innebär ett godkännande av de uppdaterade Allmänna Villkoren. Detta gäller även om ändringen beror på förändringar i lag eller annan författning eller på myndighetsbeslut.

RS eID tillämpar kraven på tillitsnivå 3 enligt Myndigheten för digital förvaltnings (DIGG) tillitsramverk för kvalitetsmärket svensk e-legitimation.

Den fysiska person för vilken PKI RS utfärdar RS eID åt måste vara anställd eller ha ett intygat uppdrag inom någon av de organisationer som är anslutna direkt eller via ombud till PKI RS. Personuppgifter i certifikaten för RS eID ska kunna verifieras mot Folkbokföringen samt Nationella HSA-katalogen och/eller Region Stockholms katalog över personposter (EK – Elektroniska Katalogen).

En handling som undertecknas med hjälp av RS eID har samma rättsliga verkan som om den som undertecknar skrivit under handlingen på papper med sin egenhändiga underskrift.

2 Spärr av RS eID

PKI RS tillhandahåller olika metoder för innehavaren att spärra sitt RS eID, via:

1. ett telefonsamtal till ServiceDesk 08-123 177 77, telefontid: 06-22 måndag‌

-söndag,

2. lägga ett ärende via TellUs-portalen xxxxx://xxxxxx.xxx.xx/xx eller

3. epostmeddelande till PKI RS, xxx-xx.xxxx@xxx.xx

Innehavaren ska omedelbart begära spärr via någon av metoderna enligt 2.1 om denne har förlorat sitt RS eID eller om misstanke finns att någon annan fått tillgång till innehavarens RS eID eller tillhörande aktiveringskoder.‌

Om innehavare begär spärr ska denna effektueras så snart som möjligt efter att begäran mottagits via någon av metoderna i 2.1.

PKI RS eller den organisation som utfärdat certifikatet får spärra RS eID om:

1. innehavaren bryter mot dessa Allmänna Villkor,

2. innehavaren slutar sin anställning hos den organisation där denne varit anställd eller haft ett intygat uppdrag,

3. det framkommer eller finns misstanke om att uppgifter i innehavarens RS eID är felaktiga eller bristfälliga,

4. det framkommer eller finns misstanke om att någon annan än innehavaren fått tillgång till RS eID eller aktiveringskoderna, eller

5. det framkommer eller finns misstanke om att innehavaren eller någon annan har eller kommer att missbruka RS eID, eller

6. politiska beslut inom Regionen.

PKI RS får utöver vad som anges i 2.4 spärra enstaka eller flera RS eID om:

1. den organisation som utfärdat RS eID gjort detta på ett felaktigt sätt eller brister i sina skyldigheter gentemot PKI RS, eller

2. den organisation som utfärdat RS eID begär hjälp med effektuering av spärrbegäran.

Spärr av RS eID innebär att den inte längre kan användas.

Det går inte att häva en spärr av ett RS eID. Det går dock att ansöka om utfärdande av ett nytt RS eID.

3 Innehavarens ansvar för RS eID

RS eID är en värdehandling som endast får användas för innehavarens personliga bruk och får under inga omständigheter lånas ut till annan person.

Innehavaren ansvarar för att användningen inte:

1. ger upphov till skada eller annan olägenhet för PKI RS eller tredje man,

2. kränker PKI RS eller tredje mans upphovsrätt eller annan immaterialrätt, eller

3. strider mot lag eller mot myndighetsföreskrift eller beslut.

Innehavare får inte göra ingrepp i eller manipulera RS eID.

Innehavaren ska förvara RS eID och tillhörande aktiveringskoder på ett sätt som förhindrar att obehöriga kan ta del av dem.

Innehavaren ansvarar gentemot PKI RS och tredje man för:

1. skada som uppkommit genom fel eller försummelse från innehavarens sida,

2. skada som uppkommit på grund av felaktiga eller bristfälliga uppgifter som innehavaren har tillhandahållit PKI RS,

3. skada som uppstår på grund av fel eller brist i innehavarens kommunikationsutrustning, programvara som innehavaren har på sin klientplattform (mobiltelefon, surfplatta, personlig dator eller annan bärare) eller det system som innehavaren nyttjar vid identifiering, och

4. skada som uppkommit på grund av brottsligt förfarande från innehavarens sida.

Innehavaren åtar sig att välja en säker PIN-kod samt att vidta alla nödvändiga åtgärder för att hålla PIN-koden hemlig.

Innehavaren ska omedelbart begära spärr via någon av ovan metoder om denne har förlorat sitt RS eID eller om misstanke finns att någon annan fått tillgång till innehavarens mobila RS eID och/eller tillhörande aktiveringskoder.

Innehavaren ansvarar för att snarast rapportera och reklamera upptäckta fel i ett RS eID till PKI RS enligt de metoder som anges i punkt 2.1 och till utfärdande organisation.

Innehavaren av ett RS eID ansvarar för användningen av RS eID till dess spärr skriftligen har bekräftats av PKI RS.

4 Ansvar för Förlitande part som nyttjar RS eID‌

Förlitande part som använder sig av RS eID för att elektroniskt identifiera innehavare förbinder sig att göra detta i enlighet med Allmänna Villkor.

Förlitande part ska implementera sina lösningar i enlighet med de anvisningar, standarder och specifikationer som anvisas av PKI RS.

Förlitande part ska nyttja de tekniska gränssnitt för kontroll av giltighet som PKI RS tillhandahåller för detta ändamål.

Förlitande part ansvarar i förhållande till innehavaren och tredje man för:

1. skada som uppkommit genom fel eller brist i Förlitande parts användning av RS eID,

2. skada som uppkommit på grund av fel eller brist i Förlitande parts kommunikationsutrustning, applikation eller tjänst, och

3. skada som uppkommit på grund av brottsligt förfarande från Förlitande parts sida.

5 PKI RS ansvar och avgränsningar‌

PKI RS ansvarar för att de av Användare angivna uppgifterna kontrolleras mot folkbokföringsregistret via Folkbokföringen samt Nationella HSA-katalogen och/eller Region Stockholms katalog över personposter (EK- Elektroniska Katalogen).

PKI RS ska tillhandahålla certifikat på ett fackmannamässigt sätt. PKI RS har rätt att anlita underleverantörer för att fullgöra sina åtaganden. PKI RS svarar i så fall för underleverantörens arbete såsom för eget arbete.

Om PKI RS upptäcker fel i RS eID som orsakats av PKI RS ska Innehavaren skyndsamt informeras om detta och förses med ett nytt RS eID utan avgift.

PKI RS är inte ansvarig för skada som uppkommer genom att RS eID innehåller felaktiga uppgifter som Innehavaren har angett eller bekräftat i samband med beställning av RS eID. Vidare ansvarar PKI RS inte för skada som uppkommer på grund av att Xxxxxxxxxxx ej anmält ändring av uppgifter i RS eID i enlighet med punkt 8.2.

PKI RS är inte ansvarig för skada som beror på myndighetsåtgärd eller underlåtenhet, nytillkommen eller ändrad lagstiftning, arbetskonflikt, blockad, krig, upplopp, sabotage, extrema väderförhållanden, blixtnedslag, brand, explosion, översvämning, naturkatastrof eller olyckshändelse eller annan liknande omständighet som ligger utanför PKI RS kontroll.

6 Avveckling av tjänsten

6.1 Vid avveckling av Tjänsten ska:

1. samtliga innehavare och förlitande parter med vilka PKI RS har avtal eller andra etablerade relationer meddelas skyndsamt efter att beslut om avveckling av Tjänsten fattats av PKI RS,

2. resurser för Tjänstens statuskontroll stängas av,

3. arkiverad information finnas åtkomlig i enlighet med arkiveringsregler inom Region Stockholm,

4. Serviceförvaltningen garantera medel så att 5.6.3 kan genomföras,

5. Förlitande part och Xxxxxxxxxxx stå för eventuella kostnader som uppstår på deras sida, och

6. samtliga utfärdade RS eID certifikat spärras.

7 Tvistelösning‌

Tvist med anledning av Allmänna Villkor eller användning av RS eID ska avgöras i första hand genom överenskommelse mellan Region Stockholm och innehavaren/förlitande part, i andra hand enligt svensk lag och av svensk domstol.

Innehavaren av RS eID har inte rätt till någon ersättning från PKI RS vare sig vid direkt, indirekt eller ideell skada. Eventuella skadestånd regleras i tillämpliga fall i avtalet för det uppdrags- eller anställningsavtal som innehavaren har med sin uppdrags- eller arbetsgivare.

8 Giltighetstid‌

Varje RS eID certifikat har en giltighetstid på 2 år. Önskas fortsatt användning av RS eID måste ansökan om förnyat certifikat göras.

9 Behandling av personuppgifter‌

Personuppgifter som behandlas av PKI RS för utgivning av RS eID är fullständigt namn enligt folkbokföringsregistret, folkbokföringsadress, personnummer, hsa-id, e- post, arbetsplats, befattning och uppgifter om den enhet man ansluter med.

Personuppgifter kommer att bevaras i enlighet med Region Stockholms arkiveringsregler i syfte att uppfylla regulatoriska krav. Därefter gallras uppgifterna. Information om hur Region Stockholm behandlar personuppgifter finns att läsa på den externa webbplatsen (xxxxxxxxxxxxxxx.xx) – om Region Stockholm – Regionövergripande styrande dokument – Lagar och regler skyddar dina personuppgifter‌

Innehavaren ska på PKI RS begäran lämna de uppgifter enligt 9.1 som PKI RS behöver för att tillhandahålla RS eID.

Innehavaren ska utan dröjsmål meddela PKI RS om eventuella ändringar av personuppgifter. PKI RS tillhandahåller två metoder för innehavaren att meddela om ändringar av personuppgifter, via:

1. epostmeddelande till PKI RS, xxx-xx.xxxx@xxx.xx, eller

2. personligt besök till RA funktionen för PKI RS.

PKI RS behandlar personuppgifterna för att tillhandahålla PKI RS certifikat (inklusive kontroll av personuppgifter mot folkbokföringsregistret eller annat register) Syftet är att åstadkomma säker identifiering av användare för att

- ge åtkomst till digitala tjänster,

- underteckna handlingar och dokument,

- säkerställa att endast behöriga användare får tillgång till de tjänster som de ska ha tillgång till,

- säkerställa att endast behöriga användare undertecknar handlingar eller dokument,

- kontrollera att reglerna för användningen av tjänsterna följs, samt

- upptäcka incidenter, fel eller brister i tjänsten, och utreda dessa.

Den lagliga grunden för PKI RS behandling av personuppgifter är för att kunna fullgöra avtal med Innehavaren samt för att kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning eller som ett led i Region Stockholms myndighetsutövning enligt lag eller annan författning.

10 Programvara

Programvara och annan upphovsrättsligt skyddad information som tillhandahållits av PKI RS eller någon av PKI RS underleverantörer är PKI RS eller underleverantörens egendom.

Innehavaren får inte, utöver vad som skriftligen medgivits av PKI RS eller berörd underleverantör, använda, ändra eller på annat sätt hantera programvara eller annat material som tillhör PKI RS.