Tillitsgranskningsavtal

Tillitsgranskningsavtal

Part Part

Stiftelsen för Internetinfrastruktur Box 92073

120 07 Stockholm

Org nr 802405-0190

(i det följande ”Tillitsgranskningstjänsten”) (i det följande ”Sökanden”)

1 Inledning

Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) är en lösning för federativ samverkan, där olika användarorganisationer och e-tjänster samlas i en gemensam nationell infrastrukturlösning för identiteter och behörighetsstyrande attribut för den svenska vård- och omsorgssektorn.

Visionen för Sambi är att erbjuda en säkrare och effektivare åtkomst (single sign-on) till tjänster inom hela sektorn. Samarbetet bygger på tillit till användarnas inloggningsuppgifter och skydd för den personliga integriteten.

Stiftelsen för Internetinfrastruktur är Federationsoperatör och tillhandahåller de gemensamma infrastrukturella tjänsterna för federationen.

Betrodda parter i Sambi har tillit till varandras användaridentifiering. Med tillit avses tillit till att de Betrodda parterna följer det gemensamma regelverket, gällande tillitsnivåer, hantering av autentisering och behörigheter och ytterst tillit till utställda tekniska intyg. För att åstadkomma denna tillit har Tillitsgranskningstjänsten till uppgift att genomföra Tillitsgranskning av Sökanden som avser att bli Betrodd part.

Sökanden som avser att bli en Betrodd part ska genomgå en Tillitsgranskning och parterna har därför beslutat att ingå detta avtal (”Avtal”). Sökanden är införstådd med att sådan granskning görs i syfte att bistå Sökanden att uppfylla Tillitsramverket och inte för att garantera efterlevnad av detta. Federationsoperatören åtar sig därför inte något ansvar för att Sökanden uppfyller eller efterlever Tillitsramverket. Det är istället Sökandens eget ansvar att vid var tid tillse att den efterlever Tillitsramverket.

Definitioner som används i detta Avtal finns angivna i Anslutningsavtal för medlemskap i Sambi, Bilaga 1 – Definitioner.

2 Tillitsgranskningsprocessen

Med Tillitsgranskning avses den granskning av Sökandens Tillitsdeklaration och övrig för Tillitsgranskningen nödvändig information och dokumentation, som genomförs av Granskare för att undersöka om Sökanden uppfyller de krav som Tillitsramverket ställer på Betrodda parter i Sambi (”Tillitsgranskning”).

Tillitsgranskningstjänsten och Sökanden ska genomföra Tillitsgranskningen i enlighet med Tillitsgranskningstjänstens tillitsgranskningsprocess.

2.1 Omfattning av Tillitsgranskning

Tillitsgranskningstjänsten ska genomföra Tillitsgranskning av Sökandens Tillitsdeklaration för de delar av Sökandens verksamhet som definieras i sökandes Anmälan till tillitsgranskning som biläggs detta Avtal

2.2 Sökandens tillhandahållande av information

Sökanden ska tillhandahålla Tillitsdeklaration och övrig för Tillitsgranskningen nödvändig information och dokumentation till Tillitsgranskningstjänsten. Sökanden garanterar att denna information är fullständig och korrekt samt utgör den mest aktuella tillgängliga informationen.

Tillitsgranskningstjänsten kan behöva ställa kompletterande frågor och/eller begära in kompletterande information gällande Tillitsdeklaration och/eller övrig för Tillitsgranskningen nödvändig information och dokumentation från Sökanden.

Sökanden ska tillhandahålla Tillitsdeklaration och övrig för Tillitsgranskningen nödvändig information och dokumentation samt eventuella kompletteringar i enlighet med Tillitsgranskningstjänstens.

2.3 Förändringar

Sökanden åtar sig att utan dröjsmål meddela Tillitsgranskningstjänsten eventuella förändringar i de delar av Sökandens verksamhet som omfattas av Tillitsgranskningen eller andra förändringar som kan påverka Tillitsdeklarationen och/eller Sökandens förmåga att uppfylla Tillitsramverket.

Sökanden ska förse Tillitsgranskningstjänsten med den information och dokumentation som behövs för att bedöma hur förändringarna kommer att påverka Tillitsgranskningen.

Tillitsgranskningstjänsten ska, vid meddelande om förändring enligt förra stycket, ha rätt att revidera hela eller vissa delar av Tillitsgranskningen om detta bedöms vara nödvändigt eller lämpligt för att säkerställa att Sökanden följer Tillitsramverket.

3 Sekretess

Tillitsgranskningen innebär att Tillitsgranskningstjänsten får del av information om Sökanden som är konfidentiell och i vissa fall också sekretessbelagd enligt lag.

Tillitsgranskningstjänsten förbinder sig att inte för utomstående röja konfidentiell eller

sekretessbelagd information som erhållits i samband med Tillitsgranskningen och inte heller nyttja sådan information annat än i samband med Tillitsgranskningen.

Tillitsgranskningstjänsten äger dock rätt att lämna ut Tillitsdeklaration och övrig för Tillitsgranskningen nödvändig information och dokumentation till underkonsult och/eller leverantör som anlitats av Tillitsgranskningstjänsten för att genomföra eller administrera Tillitsgranskning. Tillitsgranskningstjänsten ansvarar för att sådan underkonsult och/eller leverantör förbinder sig att inte för utomstående röja konfidentiell eller sekretessbelagd information som erhållits i samband med Tillitsgranskningen och inte heller nyttja sådan information annat än i samband med Tillitsgranskningen.

Sekretessåtagandet gäller inte för sådan information som Tillitsgranskningstjänsten kan visa blivit känd på annat sätt än genom Tillitsgranskningen eller som är allmänt känd eller när Tillitsgranskningstjänsten enligt lag är skyldig att lämna ut handlingar eller uppgifter.

Tillitsgranskningstjänsten äger rätt att offentliggöra beslut om godkänd Tillitsgranskning, godkänd med förbehåll eller godkänd med krav på komplettering.

4 Personuppgiftsbehandling

Tillitsgranskningstjänsten behandlar personuppgifter i enlighet med gällande lagstiftning. Behandling av personuppgifter kan även ske hos den som Tillitsgranskningstjänsten anlitat om det behövs för att fullfölja Tillitsgranskningstjänsten skyldigheter enligt detta Avtal.

Tillitsgranskningstjänsten kommer endast behandla sådana personuppgifter för att kunna fullfölja skyldigheterna enligt detta Avtal.

Ändamålet med behandlingen är att Tillitsgranskningstjänsten ska kunna genomföra den Tillitsgranskning som regleras i detta Avtal samt uppfylla de åtaganden som Tillitsgranskningstjänsten har enligt Avtalet. Laglig grund för behandlingen är således avtalsförhållandet samt legitimt intresse för behandling av kontaktuppgifter som behövs för att kunna kontakta Sökanden för frågor om Tillitsgranskningen samt annan information relaterat till avtalsförhållandet. Gallring av granskningsunderlag sker när den Återkommande granskningen har beslutats och raderas permanent 12 månader därefter. Gallring av personuppgifter angivna i rekommendation och beslut sker 10 år efter att Sökanden ej längre är en Betrodd part.

Den vars personuppgifter finns registrerade hos Tillitsgranskningstjänsten har, i enlighet med gällande lagstiftning rätt att, utan kostnad, få information om de personuppgifter som Tillitsgranskningstjänsten behandlar om denne. En sådan begäran ska göras skriftligen till Tillitsgranskningstjänsten. Den registrerade har även rätt att begära att Tillitsgranskningstjänsten rättar eller tar bort sådana personuppgifter som inte är riktiga eller som annars inte behandlas i enlighet med gällande lagstiftning.

Synpunkter och reaktioner på Tillitsgranskningstjänstens sätt att hantera integritetsfrågor utvärderas och hanteras skyndsamt. Den som har frågor eller vill lämna synpunkter kan kontakta Tillitsgranskningstjänstens personuppgiftsombud på xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx.

Stiftelsen för Internetinfrastruktur Box 92037, 120 07 Stockholm

Tel x00 0 000 00 00, xxxx@xxxxx.xx

Org. nr. 802405-0190

Den registrerade har även rätt att lämna klagomål avseende personuppgiftsbehandling till tillsynsmyndigheten.

5 Ansvar

5.1 Tillitsgranskningstjänstens ansvar

Tillitsgranskningstjänsten ansvar gentemot Sökanden är begränsat till direkt skada som Tillitsgranskningstjänsten vållar genom vårdslöshet. Ersättningsskyldigheten är begränsad till belopp motsvarande de enligt detta Avtal betalade granskningsavgifterna.

Ansvarsbegränsningen gäller inte vid uppsåt eller grov vårdslöshet.

Tillitsgranskningstjänsten ansvarar inte i något fall för indirekt skada eller följdskada, till exempel utebliven vinst, intäkt, goodwill eller ersättningsskyldighet mot tredje man.

6 Avtalet och uppsägning

6.1 Avtalet

Avtalet träder i kraft från dag för undertecknade av båda parter och gäller till dess att Sökanden erhållit beslut gällande Tillitsgranskningen från Tillitsgranskningstjänsten.

Om beslutet från Tillitsgranskningstjänsten innebär att Sökanden godkänns för medlemskap i Sambi men med krav på kompletterade åtgärder ska detta Avtal dock även gälla för dessa kompletterande granskningar.

6.2 Uppsägning

Xxxxxxx parten äger rätt att genom skriftligt meddelande säga upp Avtalet med en uppsägningstid om 30 dagar räknat från avsändandet av meddelande om uppsägning.

6.3 Omedelbart upphörande

Xxxxxxx parten har rätt att skriftligen säga upp detta Avtal till omedelbart upphörande om:

a) Part väsentligen bryter mot detta Avtal och inte vidtar rättelse inom sju dagar efter skriftlig begäran, eller

b) Part försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses vara på obestånd.

c) Tillitsgranskningstjänsten upphör att vara Sambis tillitsgranskningsorgan.

Tillitsgranskningstjänsten har även rätt att skriftligen säga upp detta Avtal till omedelbart upphörande om:

a) Sökanden underlåter att betala Tillitsgranskningstjänsten avgift i enlighet med detta Avtal.

b) Sökanden saknar nödvändiga tillstånd för att bedriva verksamheten.

c) Det framkommer att Sökanden lämnat oriktiga uppgifter i Tillitsdeklaration eller i övrig för Tillitsgranskningen nödvändig information och dokumentation och dessa uppgifter har varit av icke oväsentlig betydelse vid Tillitsgranskningstjänsten beslut gällande Tillitsgranskningen.

6.4 Övrigt om Avtalet

Punkt 3 och 5 i detta Avtal ska gälla även efter detta Avtals upphörande.

7 Avgifter och betalningsvillkor

Avgifter för initial och kompletterande granskning framgår av information på Sambis webbplats1.

Avgift för Tillitsgranskning ska betalas i förskott. Betalningsvillkor är 30 dagar netto.

Att detta Avtal upphör påverkar inte Tillitsgranskningstjänsten rätt till ersättning för utfört arbete och styrkt nödvändig kostnad. Sökanden ska inte vara berättigad till något avdrag eller återbetalning av avgift som redan betalats.

8 Övrigt

8.1 Avtalet

Avtalet består av detta huvudavtal tillsammans med i sökandes Anmälan till tillitsgranskning som biläggs detta Avtal. För det fall motstridiga uppgifter skulle förekomma ska detta huvudavtal ha företräde.

8.2 Force Majeure

Om part förhindras att fullgöra sina åtaganden enligt detta Avtal av omständighet som part inte kunnat råda över, såsom blixtnedslag, arbetskonflikt, eldsvåda, beslag, myndighetsbestämmelse ska detta utgöra befrielsegrund som medför befrielse från skadestånd och andra eventuella påföljder. Om parts åtaganden till väsentlig del förhindrats längre tid än 30 dagar på grund av omständighet angiven ovan, har vardera parten utan ersättningsskyldighet rätt att säga upp Xxxxxxx.

8.3 Tillämplig lag och tvister

Svensk lag ska tillämpas på detta Avtal. Vid tvist i anledning av detta Avtal ska talan väckas vid Stockholms tingsrätt.

1 xxxxx://xxx.xxxxx.xx/xxxxxxxxxxxxxxxxx/xxxxxxxx-xxxxxxxxxxxxxxxxx/

Genom undertecknande av detta Avtal intygar Sökanden att den har tagit del av och godkänner villkoren i detta huvudavtal och informationen i sökandes Anmälan till tillitsgranskning som biläggs detta Avtal

Ort och datum

[Sökanden]

Namnförtydligande och roll