Ärendenr:
Ärendenr:
2018-158
Avtal
med förlitande part beträffande
funktioner för elektronisk identifiering
Sweden Connect
Parter
Detta avtal om anslutning till Sweden Connect (”Avtalet”) har träffats mellan:
Myndigheten för digital förvaltning, xxx.xx 202100-6883, och
Namn och xxx.xx
(var och en ”Part” och gemensamt ”Parterna”).
Inledning
Enligt 3 § 1 p. förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning (”Instruktionen”) ska Myndigheten för digital förvaltning ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift. Myndigheten för digital förvaltning ska vidare enligt 3 § 4 p. Instruktionen ansvara för de svenska förbindelsepunkterna (noderna) för gränsöverskridande elektronisk identifiering i enlighet med Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (”eIDAS-förordningen”).
Myndigheten för digital förvaltning tillhandahåller därför funktioner för elektronisk identifiering (”Sweden Connect”). Syftet med dessa funktioner är bland annat att
en nod (”eIDAS-noden”) ska etableras enligt 3 § 4 p. Instruktionen,
ett register över tjänster som är anslutna till Sweden Connect (”Aktörsregistret”) ska införas för säker och effektiv kommunikation, och
elektronisk identifiering som levereras av utfärdare i andra länder inom EU och EES (”e-legitimationer från andra länder”) ska kunna användas i digitala tjänster som tillhandahålls av svenska myndigheter.
Genom att publicera information om dessa funktioner och att bedriva ett systematiskt arbete för informationssäkerhet vid elektronisk identifiering och underskrift kan en allmän tillit etableras till Sweden Connect, såväl nationellt som vid kommunikation mellan Sverige och andra länder inom EU och EES.
Förlitande part som är myndighet under regeringen utgör en del av samma juridiska person som Myndigheten för digital förvaltning. Även överenskommelser om sådana myndigheters användning av Sweden Connect ska dock regleras av bestämmelserna i Avtalet, varvid även sådan Förlitande part betecknas som Part och ansluter sig till Sweden Connect genom det förfarande som regleras i punkt 9.1 – 9.3.
Funktioner som omfattas av Xxxxxxx och hantering av ändringar
Genom Avtalet tillhandahåller Myndigheten för digital förvaltning åt Förlitande part
Aktörsregistret och tillhörande administrativa kontrollfunktioner, så att elektronisk identifiering kan ske säkert och effektivt, nationellt och internationellt, i enlighet med Myndigheten för digital förvaltnings tekniska ramverk för elektronisk identifiering (”Om tekniskt ramverk”), bilaga 1,
eIDAS-noden, så att identitetskontroll kan utföras med e-legitimationer från andra länder, och
den svenska incidentrapporteringsfunktionen för elektronisk identifiering, så att Myndigheten för digital förvaltning kan uppfylla sina skyldigheter enligt Avtalet och artikel 4 kommissionens genomförandebeslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete.
Förlitande part får använda funktioner enligt punkt 3.1 endast i enlighet med de villkor och begränsningar som följer av Avtalet.
Funktionerna ingår i Sweden Connect, som är under utveckling i enlighet med närmare specifikationer som finns tillgängliga på webbplatsen, xxxxx://xxxxxxxxxxxxx.xx. Nya funktioner kan komma att införas genom ändringar av Xxxxxxx enligt det förfarande för ändringar och tillägg som följer av punkt 8.1 och 8.2.
Myndigheten för digital förvaltnings åtaganden
Myndigheten för digital förvaltning administrerar och förvaltar Sweden Connect bland annat genom att hantera anslutning av förlitande parter.
Myndigheten för digital förvaltning tillhandahåller funktioner enligt punkt 3.1 åt Förlitande part för att användare av e-legitimationer från andra länder ska kunna legitimera sig – för tillträde eller för underskrift – i digitala tjänster som tillhandahålls av Förlitande part och för att elektronisk identifiering ska ske säkert och effektivt såväl nationellt som internationellt.
Myndigheten för digital förvaltning ska, i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av punkt 3.1 och Om tekniskt ramverk, bilaga 1, kontrollera Förlitande part identitet och skydda kommunikationen mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i den nämnda bilagan.
Myndigheten för digital förvaltning ska vägleda Förlitande part vid anslutning till Sweden Connect så att Förlitande part
utformar det tekniska och administrativa förfarandet så att det blir effektivt och säkert, nationellt och internationellt, och
tillhandahåller en användardialog som är utformad så att den inte riskerar att missförstås av användare av e-legitimationer.
Myndigheten för digital förvaltning tillhandahåller användarstöd där Förlitande part via e-post och/eller annan lämplig kontaktväg kan ställa frågor rörande Sweden Connect. På sin webbplats ska Myndigheten för digital förvaltning publicera kontaktuppgifter för sådant stöd och lämna grundläggande information. Myndigheten för digital förvaltning sänder också viss information till funktionsbrevlådor enligt punkt 25.5.
Myndigheten för digital förvaltning får bestämma att ytterligare tillitsnivåer får förekomma än de som följer av punkt 5.5.
Förlitande parts åtaganden
Förlitande part ska för registrering i Aktörsregistret anmäla till Myndigheten för digital förvaltning de metadata och de förändringar i metadata som krävs enligt det Tekniska ramverket, bilaga 1.
Förlitande part ska hantera Aktörsregistret så att elektronisk identifiering kan ske på ett effektivt och säkert sätt, nationellt och internationellt.
Förlitande part ska, i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av punkt 3.1 och bilaga 1, kontrollera identiteter och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i den nämnda bilagan.
Förlitande part ska i skälig omfattning, från tid till annan i enlighet med instruktioner från Myndigheten för digital förvaltning, medverka till tester av Förlitande parts anslutning och andra funktioner.
Vid anmälan av metadata och användning av e-legitimationer från andra länder gäller de tillitsnivåer som följer av eIDAS-förordningen. Vid användning av svenska e-legitimationer gäller de tillitsnivåer som följer av Tillitsramverket för Svensk e-legitimation, bilaga 2. Har Myndigheten för digital förvaltning enligt punkt 4.6 beslutat om ytterligare tillitsnivåer kan Förlitande part också tillämpa en sådan tillitsnivå för svenska e-legitimationer.
Förlitande part ska utforma sitt tekniska och administrativa förfarande så att det blir effektivt och säkert, nationellt och internationellt, och tillhandahålla en användardialog som är utformad så att den inte riskerar att missförstås av användare. För det alternativ som innebär val av en e-legitimation från ett annat land ska Förlitande part i sin användardialog bruka uttrycket ”Foreign eID”.
Förlitande part får använda Aktörsregistret också för nationell trafik vid elektronisk identifiering om tjänsten är förenlig med Om tekniskt ramverk, bilaga 1.
Förlitande part ska rapportera och ta emot incidentrapporter i enlighet med punkt 12.1 – 12.3.
Avtalsdokument
Avtalet består av detta huvudavtal och nedan angivna bilagor, i från tid till annan gällande lydelse, enligt vad som framgår av webbplatsen, xxxxx://xxxxxxxxxxxxx.xx.
Bilaga 1, Om tekniskt ramverk
Bilaga 2, Tillitsramverket för Svensk e-legitimation
Bilaga 3, Behandling av personuppgifter
Det ankommer på Förlitande part att hålla sig uppdaterad om förändringar i bilagorna, efter avisering till funktionsbrevlåda enligt punkt 25.5.
Gällande regler och tolkningsordning
Av eIDAS-förordningen följer att länderna inom EU och EES ömsesidigt ska erkänna vissa e-legitimationer för gränsöverskridande identitetskontroll (artikel 6), ska ha interoperabla nationella system för gränsöverskridande identitetskontroller (artikel 12), ska rapportera säkerhetsincidenter i dessa nationella system (artikel 10) och ska hantera detta baserat på interoperabilitetsramverk som uppfyller vissa specifika kriterier (artikel 12.3). Europeiska kommissionen har vidare antagit genomförandeförordningar, bl.a. den ovan i punkt 2.1 nämnda genomförandeförordningen.
Skulle någon bestämmelse i Avtalet strida mot eIDAS-förordningen, en genomförandeförordning som Europeiska kommissionen har antagit eller någon regel i svensk lag eller författning, har eIDAS-regleringen respektive svenska lagar, förordningar eller myndighetsföreskrifter, i från tid till annan gällande lydelse, företräde framför Xxxxxxx.
Om bestämmelser i Avtalet är motstridiga ska
en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,
en bestämmelse i denna huvudtext gå före en bestämmelse i någon av bilagorna,
en bestämmelse i en i punkt 6.1 tidigare nämnd bilaga gå före en bestämmelse i en senare nämnd bilaga
en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre, och
en specifik bestämmelse gå före en allmän bestämmelse.
Dessa tolkningsregler ska tillämpas så att en tidigare, i a–e, nämnd regel går före en senare nämnd regel.
Ändringar och tillägg
Myndigheten för digital förvaltning ska fortlöpande hålla Förlitande part underrättad om hur Sweden Connect utvecklas och vilka ändringar och tillägg som planeras, dels med avseende på funktioner, dels beträffande de regler som ska gälla för Parterna.
Regelverket förvaltas på det sätt som föreskrivs i Myndigheten för digital förvaltnings senast beslutade interna föreskrifter. Ändring av och tillägg till Avtalet ska ske enligt Myndigheten för digital förvaltnings interna föreskrifter i den mån och utsträckning dessa föreskrifter avser Sweden Connect.
Hur Avtal sluts
Förlitande part lämnar anbud genom att
fylla i det elektroniska formulär som Myndigheten för digital förvaltning tillhandahåller via webbplatsen, xxxxx://xxxxxxxxxxxxx.xx, och
underteckna formuläret genom behörig företrädare och ge in det till Myndigheten för digital förvaltning.
Anbudet fullbordas genom att kontaktperson som enligt punkt 25.2 är behörig att anmäla uppgifter till Aktörsregistret lämnar Förlitande parts metadata till Myndigheten för digital förvaltning.
Myndigheten för digital förvaltning anses ha accepterat lämnat anbud genom att registrera Förlitande part i Aktörsregistret och göra det faktiskt möjligt för de som använder Förlitande parts digitala tjänster att legitimera sig med e-legitimationer från andra länder.
Ersättning och fakturering
För närvarande utgår ingen ersättning och inga avgifter för Parternas åtaganden under Avtalet. Parterna är emellertid medvetna om att regelverket kan komma att ändras enligt punkt 8.2 för den händelse att finansieringen upphör eller begränsas eller förutsättningar annars inte finns för att tillhandahålla funktionerna utan ersättning.
Fackmannamässighet
Parterna ska utföra sina åtaganden på ett fackmannamässigt sätt och i enlighet med gällande EU-förordningar, svenska författningar, myndighetsbeslut, bestämmelserna i detta Avtal och inom relevant område förekommande god sed.
Incidenthantering, rapportering och åtgärder
Om Part upptäcker missbruk av funktioner med anknytning till Sweden Connect ska Parten skyndsamt stänga av den aktuella funktionen eller vidta andra lämpliga åtgärder för att hindra upprepat missbruk.
Parten ska lämna information till den andra Parten om inträffade säkerhetsincidenter och i övrigt i nödvändig omfattning medverka vid utredning av säkerhetsincidenter. Rapport om säkerhetsincidenter lämnas utan otillbörligt dröjsmål av Förlitande part i enlighet med de rutiner som Myndigheten för digital förvaltning närmare anger på webbplatsen xxxxx://xxxxxxxxxxxxx.xx.
För att bibehålla en hög säkerhet och kvalitet vid hantering av Sweden Connect äger Myndigheten för digital förvaltning rätt att utarbeta närmare regler för rapportering av säkerhetsrelaterade händelser och övriga störningar. För införande av sådana regler gäller 8.1 och 8.2.
Behandling av personuppgifter
Respektive Part ansvarar själv som personuppgiftsansvarig för den behandling av personuppgifter som Parten genomför i anslutning till Sweden Connect. Personuppgiftsansvaret för Parternas behandling av personuppgifter beskrivs översiktligt i bilaga 3, Behandling av personuppgifter.
Part ansvarar i förekommande fall för att upprätta sedvanligt personuppgiftsbiträdesavtal, i enlighet med vad som följer av EU:s dataskyddsförordning 2016/679, med under Avtalet anlitade underleverantörer som behandlar personuppgifter för Parts räkning.
Sekretess och tystnadsplikt
Part får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom Sweden Connect och (i) är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits eller (ii) kan vara att betrakta som säkerhetskritiska eller affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Xxxxxx är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen).
Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt offentlighets- och sekretesslagen eller annan tillämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i tillämplig lagstiftning.
Myndighets skyldighet att iaktta sekretess, inklusive tystnadsplikt, följer av offentlighets- och sekretesslagen (2009:400).
Kontroll
Myndigheten för digital förvaltning har rätt att under Avtalets giltighetstid genomföra kontroll hos Förlitande part för att tillförsäkra att kraven i Avtalet uppfylls. Sådana kontroller kan t.ex. bestå i telefonsamtal, platsbesök eller begäran om att erhålla handlingar av betydelse för kontrollen. Myndigheten för digital förvaltning ska vid planering och utförande av sådan kontroll i möjligaste mån samråda med Förlitande part, som ska medverka i skälig omfattning.
Förlitande part ska tillse att Myndigheten för digital förvaltning har rätt att utföra kontroll även hos de underleverantörer vars utförande kan påverka Förlitande part uppfyllnad av väsentliga krav enligt Avtalet. Är Förlitande part enligt ett vid Avtalets ikraftträdande gällande avtal med en underleverantör förhindrad att genomföra sådan kontroll, ska en rätt till sådan kontroll gälla från den första tidpunkt som ett sådant krav är möjligt att införa.
Om det vid kontroll enligt punkt 15.1 framkommer att Förlitande part inte följt Avtalet, ska Förlitande part bära kostnaderna för kontrollen i den utsträckning sådana kostnader inte är oskäliga. I annat fall bär vardera Parten sina egna kostnader.
Immateriella rättigheter
Avtalet ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.
Reklamation
Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Xxxxxxx inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts.
Ansvarsbegränsningar
Parts skadeståndsansvar är begränsat till ansvar för direkt skada som Parten vållar annan Part genom vårdslöshet.
Parts skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar 35 prisbasbelopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proportion till de skadelidande Parternas skada.
Begränsningarna som anges i denna punkt ska inte gälla om uppsåt eller grov vårdslöshet föreligger.
Befrielsegrund
Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Xxxxxxx ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation samt befrielse från skadestånd och andra påföljder, under förutsättning att hindret består av antingen:
a) en omständighet som Parten inte kunnat råda över och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 § regeringsformen, oavsett om Xxxxxx själv är föremål för eller vidtar sådan åtgärd), eller
b) att underleverantör till Part förhindras fullgöra sin leverans på grund av sådan omständighet som anges i a).
Om en Part önskar åberopa en befrielsegrund ska Parten utan oskäligt dröjsmål lämna skriftligt meddelande om detta till den andra Parten.
Begränsning av åtkomst till funktioner
Om Förlitande part bryter mot Avtalet eller om Förlitande parts deltagande i eller agerande rörande Sweden Connect skadar eller riskerar att skada Sweden Connect eller förtroendet för Sweden Connect har Myndigheten för digital förvaltning rätt att stänga av eller begränsa Förlitande parts åtkomst till funktioner som tillhandahålls enligt Avtalet. Förlitande part ska snarast möjligt underrättas om avstängningen eller begränsningen samt skälen till denna.
En avstängning eller begränsning av Förlitande parts åtkomst till funktioner enligt Avtalet får fortgå endast så länge det är nödvändigt med hänsyn till omständigheterna.
Avtalstid och Uppsägning av Avtalet
Detta Avtal gäller tills vidare.
Myndigheten för digital förvaltning har rätt att, med iakttagande av minst tre månaders uppsägningstid, säga upp Avtalet till upphörande om en funktion ska avvecklas eller förändras i en omfattning eller på ett sätt som enligt Myndigheten för digital förvaltnings bedömning inte lämpligen kan hanteras enligt punkt 8.1 och 8.2.
Förlitande part har rätt att, med iakttagande av minst 30 dagars uppsägningstid, när som helst säga upp Avtalet.
Myndigheten för digital förvaltning har rätt att med omedelbar verkan säga upp Avtalet om Förlitande part
a) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Avtalet och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom, eller
b) lämnat oriktiga uppgifter vid anslutning till Sweden Connect och dessa uppgifter har varit av icke oväsentlig betydelse för att Avtalet slutits.
Uppsägning ska ske skriftligen för att vara gällande.
Meddelanden
Meddelanden som ska tillställas Myndigheten för digital förvaltning ska i skriftlig form översändas till den postadress eller den e-postadress som Myndigheten för digital förvaltning anger på sin webbplats.
Meddelanden som ska tillställas Förlitande part ska i skriftlig form översändas till den postadress eller den e-postadress som Förlitande part angett i Avtalet eller meddelat till Myndigheten för digital förvaltning.
Underleverantör
Part får anlita underleverantör för fullgörande av sina åtaganden enligt Xxxxxxx och ansvarar då för underleverantörens åtgärder som om Parten utfört åtgärderna själv.
Förlitande part får anlita underleverantör endast om underleverantören,
a) enligt skriftligt avtal med Förlitande part, är förpliktad att ingå i Aktörsregistret,
b) vid sin hantering uppfyller samma krav som om Förlitande part hanterat denna funktion själv, och
c) hanterar leveranser i enlighet med Om tekniskt ramverk, bilaga 1.
Är Förlitande part enligt gällande avtal med en underleverantör förhindrad att uppfylla något av dessa villkor ska villkoret tillämpas från den första tidpunkt som ett sådant krav är möjligt att införa.
Förlitande part får anmäla befattningshavare hos underleverantören som kontaktperson som är behörig enligt punkt 25.2 eller 25.3 att anmäla uppgifter till Aktörsregistret eller att hantera säkerhetsincidenter.
Tillämplig lag och tvister
Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.
Tvist angående tolkning eller tillämpning av Avtalet och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.
När Förlitande part omfattas av punkt 2.4 ska följande gälla istället för punkt 24.2 ovan. Tvist angående tolkning eller tillämpning av Avtalet och därmed sammanhängande rättsförhållanden ska i första hand lösas av de i punkt 25.1 utsedda kontaktpersonerna för Parterna och i sista hand av myndighetscheferna. Myndigheterna ska därvid lojalt samverka för att utan tidsutdräkt finna en gemensam lösning.
Uppgifter om behörig kontaktperson
Kontaktperson som är behörig att hantera säkerhetsincidenter.
Förnamn och efternamn
Telefonnummer
Postadress
E-postadress till funktionsbrevlåda för incidenter
Postnummer
Ort
Kontaktperson för supportfrågor.
Förnamn och efternamn
Telefonnummer
E-postadress till funktionsbrevlåda för support
Postadress
Postnummer
Ort
Funktionsbrevlåda anges för alla fyra. Med en sådan brevlåda menas en elektronisk funktion där Förlitande part tar emot meddelanden oberoende av vilka fysiska personer som är på arbetet en viss dag.
Beträffande Myndigheten för digital förvaltnings accept av Avtalet, se ovan punkt 9.3.
Underskrift
Förlitande parts underskrift genom behörig företrädare.
Genom undertecknandet ges ovan angivna kontaktpersoner fullmakt/intygas att ovan angivna kontaktpersoner är behöriga att för Förlitande parts räkning agera inom ramen för respektive angiven funktion.
Sida 1 av 15