Ärendenr:

Ärendenr:

2018-158

Avtal

med förlitande part beträffande

funktioner för elektronisk identifiering

Sweden Connect

1. Parter

Detta avtal om anslutning till Sweden Connect (”Avtalet”) har träffats mellan:

1. Myndigheten för digital förvaltning, xxx.xx 202100-6883, och

2. ____________________________(”Förlitande part”)

Namn och xxx.xx

(var och en ”Part” och gemensamt ”Parterna”).

2. Inledning

1. Enligt 3 § 1 p. förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning (”Instruktionen”) ska Myndigheten för digital förvaltning ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift. Myndigheten för digital förvaltning ska vidare enligt 3 § 4 p. Instruk­tionen ansvara för de svenska förbindelsepunkterna (noderna) för gränsöverskridande elektronisk identifiering i enlighet med Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (”eIDAS-förordningen”).

2. Myndigheten för digital förvaltning tillhandahåller därför funktioner för elektronisk identifie­ring (”Sweden Connect”). Syftet med dessa funktioner är bland annat att

1. en nod (”eIDAS-noden”) ska etableras enligt 3 § 4 p. Instruk­tionen,

2. ett register över tjänster som är anslutna till Sweden Connect (”Aktörsregistret”) ska införas för säker och effektiv kommunikation, och

3. elektronisk identifiering som levereras av utfärdare i andra länder inom EU och EES (”e-legitimationer från andra länder”) ska kunna användas i digitala tjänster som tillhandahålls av svenska myndigheter.

1. Genom att publicera information om dessa funktioner och att bedriva ett systematiskt arbete för informationssäkerhet vid elektronisk identifie­ring och underskrift kan en allmän tillit etable­ras till Sweden Connect, såväl nationellt som vid kommunikation mellan Sverige och andra länder inom EU och EES.

2. Förlitande part som är myndighet under regeringen utgör en del av samma juridiska person som Myndigheten för digital förvaltning. Även överenskommelser om sådana myndigheters användning av Sweden Connect ska dock regleras av bestämmelserna i Avtalet, varvid även sådan Förlitande part betecknas som Part och ansluter sig till Sweden Connect genom det förfarande som regleras i punkt 9.1 – 9.3.

3. Funktioner som omfattas av Xxxxxxx och hantering av ändringar

1. Genom Avtalet tillhandahåller Myndigheten för digital förvaltning åt Förlitande part

1. Aktörsregistret och tillhörande administrativa kontrollfunktioner, så att elektronisk identifiering kan ske säkert och effektivt, nationellt och internationellt, i enlighet med Myndigheten för digital förvaltnings tekniska ramverk för elektronisk identifiering (”Om tekniskt ramverk”), bilaga 1,

2. eIDAS-noden, så att identitetskontroll kan utföras med e-legitimationer från andra länder, och

3. den svenska incidentrapporteringsfunktionen för elektronisk identifiering, så att Myndigheten för digital förvaltning kan uppfylla sina skyldigheter enligt Avtalet och artikel 4 kommissionens genomförande­beslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete.

1. Förlitande part får använda funktioner enligt punkt 3.1 endast i enlighet med de villkor och begränsningar som följer av Avtalet.

2. Funktionerna ingår i Sweden Connect, som är under utveckling i enlighet med närmare specifikationer som finns tillgängliga på webbplatsen, xxxxx://xxxxxxxxxxxxx.xx. Nya funktioner kan komma att införas genom ändringar av Xxxxxxx enligt det förfarande för ändringar och tillägg som följer av punkt 8.1 och 8.2.

4. Myndigheten för digital förvaltnings åtaganden

1. Myndigheten för digital förvaltning administrerar och förvaltar Sweden Connect bland annat genom att hantera anslutning av förlitande parter.

2. Myndigheten för digital förvaltning tillhandahåller funktioner enligt punkt 3.1 åt Förlitande part för att användare av e-legitimationer från andra länder ska kunna legitimera sig – för tillträde eller för underskrift – i digitala tjänster som tillhandahålls av Förlitande part och för att elektronisk identifiering ska ske säkert och effektivt såväl nationellt som internationellt.

3. Myndigheten för digital förvaltning ska, i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av punkt 3.1 och Om tekniskt ramverk, bilaga 1, kontrollera Förlitande part identitet och skydda kommunikationen mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i den nämnda bilagan.

4. Myndigheten för digital förvaltning ska vägleda Förlitande part vid anslutning till Sweden Connect så att Förlitande part

1. utformar det tekniska och administrativa förfarandet så att det blir effektivt och säkert, nationellt och internationellt, och

2. tillhandahåller en användardialog som är utformad så att den inte riskerar att missförstås av användare av e-legitimationer.

1. Myndigheten för digital förvaltning tillhandahåller användarstöd där Förlitande part via e-post och/eller annan lämplig kontaktväg kan ställa frågor rörande Sweden Connect. På sin webbplats ska Myndigheten för digital förvaltning publicera kontaktuppgifter för sådant stöd och lämna grundläggande infor­mation. Myndigheten för digital förvaltning sänder också viss information till funktionsbrevlådor enligt punkt 25.5.

2. Myndigheten för digital förvaltning får bestämma att ytterligare tillitsnivåer får förekomma än de som följer av punkt 5.5.

1. Förlitande parts åtaganden

   1. Förlitande part ska för registrering i Aktörsregistret anmäla till Myndigheten för digital förvaltning de metadata och de förändringar i metadata som krävs enligt det Tekniska ramverket, bilaga 1.

   2. Förlitande part ska hantera Aktörsregistret så att elektronisk identifiering kan ske på ett effektivt och säkert sätt, nationellt och internationellt.

   3. Förlitande part ska, i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av punkt 3.1 och bilaga 1, kontrollera identiteter och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i den nämnda bilagan.

   4. Förlitande part ska i skälig omfattning, från tid till annan i enlighet med instruktioner från Myndigheten för digital förvaltning, medverka till tester av Förlitande parts anslutning och andra funktioner.

   5. Vid anmälan av metadata och användning av e-legitimationer från andra länder gäller de tillitsnivåer som följer av eIDAS-förordningen. Vid användning av svenska e-legitimationer gäller de tillitsnivåer som följer av Tillitsramverket för Svensk e-legitimation, bilaga 2. Har Myndigheten för digital förvaltning enligt punkt 4.6 beslutat om ytterligare tillitsnivåer kan Förlitande part också tillämpa en sådan tillitsnivå för svenska e-legitimationer.

   6. Förlitande part ska utforma sitt tekniska och administrativa förfarande så att det blir effektivt och säkert, nationellt och internationellt, och tillhandahålla en användardialog som är utformad så att den inte riskerar att missförstås av användare. För det alternativ som innebär val av en e-legitimation från ett annat land ska Förlitande part i sin användardialog bruka uttrycket ”Foreign eID”.

   7. Förlitande part får använda Aktörsregistret också för nationell trafik vid elektronisk identifiering om tjänsten är förenlig med Om tekniskt ramverk, bilaga 1.

   8. Förlitande part ska rapportera och ta emot incidentrapporter i enlighet med punkt 12.1 – 12.3.

6. Avtalsdokument

1. Avtalet består av detta huvudavtal och nedan angivna bilagor, i från tid till annan gällande lydelse, enligt vad som framgår av webbplatsen, xxxxx://xxxxxxxxxxxxx.xx.

Bilaga 1, Om tekniskt ramverk

Bilaga 2, Tillitsramverket för Svensk e-legitimation

Bilaga 3, Behandling av personuppgifter

2. Det ankommer på Förlitande part att hålla sig uppdaterad om förändringar i bilagorna, efter avisering till funktionsbrevlåda enligt punkt 25.5.

1. Gällande regler och tolkningsordning

   1. Av eIDAS-förordningen följer att länderna inom EU och EES ömsesidigt ska erkänna vissa e-legitimationer för gränsöverskridande identitetskontroll (artikel 6), ska ha interoperabla nationella system för gränsöverskridande identitetskontroller (artikel 12), ska rapportera säkerhetsincidenter i dessa nationella system (artikel 10) och ska hantera detta baserat på interoperabilitetsramverk som uppfyller vissa specifika kriterier (artikel 12.3). Europeiska kommissionen har vidare antagit genomförande­förord­ningar, bl.a. den ovan i punkt 2.1 nämnda genomförandeförordningen.

   2. Skulle någon bestämmelse i Avtalet strida mot eIDAS-förordningen, en genomförande­förord­ning som Europeiska kommissionen har antagit eller någon regel i svensk lag eller författning, har eIDAS-regleringen respektive svenska lagar, förordningar eller myndighetsföreskrifter, i från tid till annan gällande lydelse, företräde framför Xxxxxxx.

   3. Om bestämmelser i Avtalet är motstridiga ska

1. en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,

1. en bestämmelse i denna huvudtext gå före en bestämmelse i någon av bilagorna,

2. en bestämmelse i en i punkt 6.1 tidigare nämnd bilaga gå före en bestämmelse i en senare nämnd bilaga

3. en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre, och

4. en specifik bestämmelse gå före en allmän bestämmelse.

1. Dessa tolkningsregler ska tillämpas så att en tidigare, i a–e, nämnd regel går före en senare nämnd regel.

1. Ändringar och tillägg

   1. Myndigheten för digital förvaltning ska fortlöpande hålla Förlitande part underrättad om hur Sweden Connect utvecklas och vilka ändringar och tillägg som planeras, dels med avseende på funk­tioner, dels beträffande de regler som ska gälla för Parterna.

   2. Regelverket förvaltas på det sätt som föreskrivs i Myndigheten för digital förvaltnings senast beslutade interna föreskrifter. Ändring av och tillägg till Avtalet ska ske enligt Myndigheten för digital förvaltnings interna föreskrifter i den mån och utsträckning dessa föreskrifter avser Sweden Connect.

2. Hur Avtal sluts

   1. Förlitande part lämnar anbud genom att

1. fylla i det elektroniska formulär som Myndigheten för digital förvaltning tillhandahåller via webbplatsen, xxxxx://xxxxxxxxxxxxx.xx, och

2. under­teckna formuläret genom behörig företrädare och ge in det till Myndigheten för digital förvaltning.

1. Anbudet fullbordas genom att kontaktperson som enligt punkt 25.2 är behörig att anmäla uppgifter till Aktörsregistret lämnar Förlitande parts metadata till Myndigheten för digital förvaltning.

2. Myndigheten för digital förvaltning anses ha accepterat lämnat anbud genom att registrera Förlitande part i Aktörsregistret och göra det faktiskt möjligt för de som använder Förlitande parts digitala tjänster att legitimera sig med e-legitimationer från andra länder.

1. Ersättning och fakturering

För närvarande utgår ingen ersättning och inga avgifter för Parternas åtaganden under Avtalet. Parterna är emellertid medvetna om att regelverket kan komma att ändras enligt punkt 8.2 för den händelse att finansieringen upphör eller begränsas eller förutsättningar annars inte finns för att tillhandahålla funktionerna utan ersättning.

11. Fackmannamässighet

Parterna ska utföra sina åtaganden på ett fackmannamässigt sätt och i enlighet med gällande EU-förordningar, svenska författningar, myndighetsbeslut, bestämmelserna i detta Avtal och inom relevant område förekommande god sed.

12. Incidenthantering, rapportering och åtgärder

    1. Om Part upptäcker missbruk av funktioner med anknytning till Sweden Connect ska Parten skyndsamt stänga av den aktuella funktionen eller vidta andra lämpliga åtgärder för att hindra upprepat missbruk.

    2. Parten ska lämna information till den andra Parten om inträffade säkerhetsincidenter och i övrigt i nödvändig omfattning medverka vid utredning av säkerhetsincidenter. Rapport om säker­hetsincidenter lämnas utan otillbörligt dröjsmål av Förlitande part i enlighet med de rutiner som Myndigheten för digital förvaltning närmare anger på webbplatsen xxxxx://xxxxxxxxxxxxx.xx.

    3. För att bibehålla en hög säkerhet och kvalitet vid hantering av Sweden Connect äger Myndigheten för digital förvaltning rätt att utarbeta närmare regler för rapportering av säkerhetsrelaterade händelser och övriga störningar. För införande av sådana regler gäller 8.1 och 8.2.

13. Behandling av personuppgifter

    1. Respektive Part ansvarar själv som personuppgiftsansvarig för den behandling av personuppgifter som Parten genomför i anslutning till Sweden Connect. Personuppgiftsansvaret för Parternas behandling av personuppgifter beskrivs översiktligt i bilaga 3, Behandling av personuppgifter.

    2. Part ansvarar i förekommande fall för att upprätta sedvanligt personuppgiftsbiträdesavtal, i enlighet med vad som följer av EU:s dataskyddsförordning 2016/679, med under Avtalet anlitade underleverantörer som behandlar personuppgifter för Parts räkning.

14. Sekretess och tystnadsplikt

    1. Part får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom Sweden Connect och (i) är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits eller (ii) kan vara att betrakta som säkerhetskritiska eller affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Xxxxxx är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen).

    2. Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt offentlighets- och sekretesslagen eller annan tillämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i tillämplig lagstiftning.

    3. Myndighets skyldighet att iaktta sekretess, inklusive tystnadsplikt, följer av offentlighets- och sekretesslagen (2009:400).

15. Kontroll

    1. Myndigheten för digital förvaltning har rätt att under Avtalets giltighetstid genomföra kontroll hos Förlitande part för att tillförsäkra att kraven i Avtalet uppfylls. Sådana kontroller kan t.ex. bestå i telefonsamtal, platsbesök eller begäran om att erhålla handlingar av betydelse för kontrollen. Myndigheten för digital förvaltning ska vid planering och utförande av sådan kontroll i möjligaste mån samråda med Förlitande part, som ska medverka i skälig omfattning.

    2. Förlitande part ska tillse att Myndigheten för digital förvaltning har rätt att utföra kontroll även hos de underleverantörer vars utförande kan påverka Förlitande part uppfyllnad av väsentliga krav enligt Avtalet. Är Förlitande part enligt ett vid Avtalets ikraftträdande gällande avtal med en underleverantör förhindrad att genomföra sådan kontroll, ska en rätt till sådan kontroll gälla från den första tidpunkt som ett sådant krav är möjligt att införa.

    3. Om det vid kontroll enligt punkt 15.1 framkommer att Förlitande part inte följt Avtalet, ska Förlitande part bära kostnaderna för kontrollen i den utsträckning sådana kostnader inte är oskäliga. I annat fall bär vardera Parten sina egna kostnader.

16. Immateriella rättigheter

Avtalet ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.

17. Reklamation

Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Xxxxxxx inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts.

18. Ansvarsbegränsningar

1. Parts skadeståndsansvar är begränsat till ansvar för direkt skada som Parten vållar annan Part genom vårdslöshet.

2. Parts skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar 35 prisbasbelopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proportion till de skadelidande Parternas skada.

3. Begränsningarna som anges i denna punkt ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

1. Befrielsegrund

   1. Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Xxxxxxx ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation samt befrielse från skadestånd och andra påföljder, under förutsättning att hindret består av antingen:

a) en omständighet som Parten inte kunnat råda över och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 § regeringsformen, oavsett om Xxxxxx själv är föremål för eller vidtar sådan åtgärd), eller

b) att underleverantör till Part förhindras fullgöra sin leverans på grund av sådan omständighet som anges i a).

2. Om en Part önskar åberopa en befrielsegrund ska Parten utan oskäligt dröjsmål lämna skriftligt meddelande om detta till den andra Parten.

1. Begränsning av åtkomst till funktioner

   1. Om Förlitande part bryter mot Avtalet eller om Förlitande parts deltagande i eller agerande rörande Sweden Connect skadar eller riskerar att skada Sweden Connect eller förtroendet för Sweden Connect har Myndigheten för digital förvaltning rätt att stänga av eller begränsa Förlitande parts åtkomst till funktioner som tillhandahålls enligt Avtalet. Förlitande part ska snarast möjligt underrättas om avstängningen eller begränsningen samt skälen till denna.

   2. En avstängning eller begränsning av Förlitande parts åtkomst till funktioner enligt Avtalet får fortgå endast så länge det är nödvändigt med hänsyn till omständigheterna.

2. Avtalstid och Uppsägning av Avtalet

   1. Detta Avtal gäller tills vidare.

   2. Myndigheten för digital förvaltning har rätt att, med iakttagande av minst tre månaders uppsägningstid, säga upp Avtalet till upphörande om en funktion ska avvecklas eller förändras i en omfattning eller på ett sätt som enligt Myndigheten för digital förvaltnings bedömning inte lämpligen kan hanteras enligt punkt 8.1 och 8.2.

   3. Förlitande part har rätt att, med iakttagande av minst 30 dagars uppsägningstid, när som helst säga upp Avtalet.

   4. Myndigheten för digital förvaltning har rätt att med omedelbar verkan säga upp Avtalet om Förlitande part

a) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Avtalet och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom, eller

b) lämnat oriktiga uppgifter vid anslutning till Sweden Connect och dessa uppgifter har varit av icke oväsentlig betydelse för att Avtalet slutits.

5. Uppsägning ska ske skriftligen för att vara gällande.

1. Meddelanden

   1. Meddelanden som ska tillställas Myndigheten för digital förvaltning ska i skriftlig form översändas till den postadress eller den e-postadress som Myndigheten för digital förvaltning anger på sin webbplats.

   2. Meddelanden som ska tillställas Förlitande part ska i skriftlig form översändas till den postadress eller den e-postadress som Förlitande part angett i Avtalet eller meddelat till Myndigheten för digital förvaltning.

23. Underleverantör

1. Part får anlita underleverantör för fullgörande av sina åtaganden enligt Xxxxxxx och ansvarar då för underleverantörens åtgärder som om Parten utfört åtgärderna själv.

2. Förlitande part får anlita underleverantör endast om underleverantören,

a) enligt skriftligt avtal med Förlitande part, är förpliktad att ingå i Aktörs­registret,

b) vid sin hantering uppfyller samma krav som om Förlitande part hanterat denna funktion själv, och

c) hanterar leveranser i enlighet med Om tekniskt ramverk, bilaga 1.

Är Förlitande part enligt gällande avtal med en underleverantör förhindrad att uppfylla något av dessa villkor ska villkoret tillämpas från den första tidpunkt som ett sådant krav är möjligt att införa.

3. Förlitande part får anmäla befattningshavare hos underleverantören som kontaktperson som är behörig enligt punkt 25.2 eller 25.3 att anmäla uppgifter till Aktörsregistret eller att hantera säkerhetsincidenter.

1. Tillämplig lag och tvister

   1. Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.
      
      

   2. Tvist angående tolkning eller tillämpning av Avtalet och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.

   3. När Förlitande part omfattas av punkt 2.4 ska följande gälla istället för punkt 24.2 ovan. Tvist angående tolkning eller tillämpning av Avtalet och därmed sammanhängande rättsförhållanden ska i första hand lösas av de i punkt 25.1 utsedda kontaktpersonerna för Parterna och i sista hand av myndighetscheferna. Myndigheterna ska därvid lojalt samverka för att utan tidsutdräkt finna en gemensam lösning.

2. Uppgifter om behörig kontaktperson

   1. Kontaktperson för Avtalet och administrativa frågor.

      Förnamn och efternamn
      Telefonnummer		Funktionsbrevlåda för Avtalet
      Postadress
      Postnummer	Ort

   2. Kontaktperson som är behörig att anmäla uppgifter till Aktörsregistret.

Förnamn och efternamn
Telefonnummer
Postadress		E-postadress till funktionsbrevlåda för anmälan
Postnummer	Ort

3. Kontaktperson som är behörig att hantera säkerhetsincidenter.

   Förnamn och efternamn
   Telefonnummer
   Postadress		E-postadress till funktionsbrevlåda för incidenter
   Postnummer	Ort

4. Kontaktperson för supportfrågor.

   Förnamn och efternamn
   Telefonnummer		E-postadress till funktionsbrevlåda för support
   Postadress
   Postnummer	Ort

5. Funktionsbrevlåda anges för alla fyra. Med en sådan brevlåda menas en elektronisk funktion där Förlitande part tar emot meddelanden oberoende av vilka fysiska personer som är på arbetet en viss dag.

6. Beträffande Myndigheten för digital förvaltnings accept av Avtalet, se ovan punkt 9.3.

1. Underskrift

Förlitande parts underskrift genom behörig företrädare.

Genom undertecknandet ges ovan angivna kontaktpersoner fullmakt/intygas att ovan angivna kontaktpersoner är behöriga att för Förlitande parts räkning agera inom ramen för respektive angiven funktion.

Datum	Ort
Behörig företrädares namnteckning
Namnförtydligande
Bilagda behörighetshandlingar för undertecknare

Sida 1 av 15