Användarvillkor för Suomi.fi-informationsle- den
DVV / PAL 4.12.2023
Användarvillkor för Suomi.fi-informationsle- den
4.12.2023
DVV / PAL 4.12.2023
Versionshantering | ||
versions nr | vad som har gjorts | datum/person |
1.0 | Användarorganisationens Användarvillkor för tjänsten Suomi.fi- informationsled | 4.7.2016/PK |
2.0 | Användarorganisationens uppdaterade Användarvillkor för tjänsten Suomi.fi-informationsled | 8.4.2019/EL |
3.0 | Användarvillkor för Suomi.fi-informationsleden har uppdaterats och sektioner om mellanaktör har lagts till | 4.12.2023/AA |
DVV / PAL 4.12.2023
Innehållsförteckning
3.1 Suomi.fi-informationsleden 7
4 Ändringar i Tjänsten och dess villkor 8
5.1 Registrering i Tjänsten och godkännande av anslutningen 9
5.2 Testning av Tjänsten och att börja produktionsanvändning av Tjänsten 10
6 Tjänstens parter och deras uppgifter 11
6.2 Serviceproducentens rättigheter och skyldigheter 11
6.3 Rättigheter och skyldigheter för Kundorganisationer och Mellanaktörer 13
6.4 Mellanaktörens rättigheter och skyldigheter 16
7 Tjänstens äganderättigheter och andra immateriella rättigheter 17
8 Kundorganisationens och Mellanaktörens rätt att använda Tjänsten och materialet den innehåller 17
9 Tjänstens avgifter och kostnadsfördelning 18
11 Information om avbrott och fel i Tjänsten 18
12 Serviceproducentens rätt att förhindra användningen av Tjänsten 19
13 Informationssäkerheten och kraven i anslutning till den 19
13.1 Serviceproducentens rättigheter och skyldigheter 20
13.2 Rättigheter och skyldigheter för Kundorganisationer och Mellanaktörer 21
14 Behandling av personuppgifter och integritetsskydd 23
14.1 Behandling av personuppgifter och andra uppgifter samt integritetsskydd 23
15 Kundorganisationens datautrustning, program och förbindelser 23
16 Serviceproducentens ansvar och ansvarsbegränsning 24
17 Sekretess och konfidentialitet 25
20 Uppföljning och kontroll 27
DVV / PAL 4.12.2023
23 Överföring av rättigheter och skyldigheter 28
25 Tillämplig lag och avgörande av meningsskiljaktigheter 29
DVV / PAL 4.12.2023
Användarvillkor för Suomi.fi-informationsleden
1 Allmänt
Dessa användarvillkor tillämpas på Suomi.fi-informationsleden, xxxxx Xxxxxxxx, som produceras av Myndigheten för digitalisering och befolkningsdata (MDB). Tjänsten Suomi.fi-informationsled erbjuder Kundorganisationerna en trygg och enhetlig inform- ationsförmedlingsmetod som gör det möjligt att överföra och lämna ut information och tillhandahålla E-tjänster för ärendehantering. Dessa användarvillkor tillämpas inte på användningen av innehåll och material som erbjuds via tjänsten.
En Kundorganisation som använder tjänsten ska godkänna dessa användarvillkor och förbinda sig att följa dem för att kunna använda Tjänsten. Användarvillkoren god- känns på Kundorganisationens vägnar av en person som har namnteckningsrätt i rättshandlingar som görs på organisationens vägnar. I tjänsten utnyttjas Myndigheten för digitalisering och befolkningsdatas certifikattjänster, som förutsätter ett separat avtal.
För att kunna utnyttja en tjänst som tillhandahålls av en tredje part via Suomi.fi-in- formationsleden krävs ett avtalsbaserat eller motsvarande förhållande till tjänsten via Suomi.fi-informationsleden. MDB är inte registeransvarig för uppgifter som lämnats via Anslutningsservrar. MDB:s tjänst begränsas till det tekniska genomförandet. MDB fastställer inte villkoren för hanteringen av de uppgifter som förmedlas mellan de E- tjänster som anslutits till tjänsten, utan Kundorganisationerna kommer sinsemellan överens om dem vid behov. Godkännandet av dessa villkor utesluter inte Kundorga- nisationen behov av att ansöka om ett separat datatillstånd eller motsvarande eller ingå ett separat kontrakt eller motsvarande med tjänsteleverantören. Godkännandet av villkoren upphäver inte heller skyldigheten att dessutom godkänna andra special- villkor, såsom uppfyllandet av informationssäkerhetskrav som eventuellt ställs av en tredje part i egenskap av Tjänsteleverantör. En Kundorganisation och/eller en Mellan- aktör ska beakta behandlingstiderna för dessa eventuella separata processer som har eller kan ha en direkt inverkan på när tjänsten de facto kan användas.
2 Definitioner
Tidsstämpeltjänst (TSA, Time Stamping Authority) avser en komponent som upp- rätthålls av en betrodd aktör och som erbjuder en certifierad tidsstämpeltjänst för meddelanden som skickats via Suomi.fi-informationsleden. Tidsstämpeltjänsten är en del av Suomi.fi-informationsledens centralservrar och certifikatlösningar.
Subsystem avser en grupp tjänster (gränssnitt) som en Kundorganisation anslutit till Suomi.fi-informationsleden och som Kundorganisationen publicerar på Suomi.fi-in- formationsleden. Ett subsystem används för att tillhandahålla och utnyttja tjänster och datasystem i Suomi.fi-informationsleden. Subsystemet grupperar de tjänster som Kundorganisationen tillhandahåller via Suomi.fi-informationsleden och gör det möjligt för Mellanaktören att gruppera likadana klienter.
Kundorganisation avser en organisation som har anslutit sig till Suomi.fi-informat- ionsleden. Kundorganisationen kan vara en den som utnyttjar en tjänst, en tjänstele- verantör eller båda. En kundorganisation kan använda Suomi.fi-informationsleden
DVV / PAL 4.12.2023
självständigt eller via en Mellanaktör. Kundorganisationen hänvisar till den kundorga- nisation som avses i 2 § i stödtjänstlagen, med vilken man enligt lagen avser en så- dan myndighet, annan aktör som sköter offentliga uppgifter eller privat aktör som an- vänder stödtjänster.
E-tjänst avser den e-tjänst eller det datasystem som kundorganisationen tillhanda- håller slutanvändaren. E-tjänsten gör det möjligt att använda den elektroniska tjäns- ten med hjälp av informations- och kommunikationsteknik via Suomi.fi-informationsle- den.
MDB avser Myndigheten för digitalisering och befolkningsdata. MDB fungerar som Serviceproducent för Suomi.fi-informationsleden.
Centralserver (Central Server) avser Suomi.fi-informationsledens centralkomponent som innehåller uppgifter om alla Anslutningsservrar som är anslutna till Suomi.fi-in- formationsleden samt om de Kundorganisationer som använder dem. Serviceprodu- centen eller en av Serviceproducenten anvisad aktör ansvarar för Centralserverns funktioner och funktion.
Användare avser en person som representerar Kundorganisationen och som för Kundorganisationens räkning använder Suomi.fi-informationsleden eller en del av den. Användaren kan också vara en representant för Kundorganisationens leverantör eller någon annan person som representerar Mellanaktören.
API-katalogen (API Catalogue) avser ett serviceregister som innehåller alla organi- sationer som anslutit sig till Suomi.fi-informationsleden och de tjänster som kan fås via Subsystemen och uppgifterna om dessa. En del av uppgifterna uppdateras auto- matiskt i API-katalogen, men Kundorganisationen och/eller Mellanaktören ansvarar för kompletteringen av uppgifterna.
Anslutningsservern (Security Server) avser kundorganisationens eller Mellanaktö- rens tekniska anslutningspunkt till Suomi.fi-informationsleden. Varje system som har kopplats till Suomi.fi-informationsled ska ha en Anslutningsserver till sitt förfogande. Alla meddelanden som skickas till eller tas emot från Suomi.fi-informationsled går via Anslutningsservern. Anslutningsservern ansvarar bl.a. för förmedling av serviceanrop mellan systemen, s.k. handskakning med certifikat, kryptering av datakommunikation och meddelanden, registrering av loggdata och behörighetsadministration.
Slutanvändaren avser Kundorganisationens slutkund som använder E-tjänsten, t.ex. en medborgare, organisation eller företrädare för en organisation. Serviceproducen- ten erbjuder inte Suomi.fi-informationsleden för Slutanvändare.
Tjänsten avser Suomi.fi-informationsleden, som är en teknisk lösning för dataöverfö- ring mellan organisationer som produceras och upprätthålls av MDB. Suomi.fi-inform- ationsleden beskrivs närmare som en tjänst på Serviceadministrationens webbplats eller motsvarande. Termen E-tjänst som används i dessa användarvillkor hänvisar inte till Tjänsten eller tvärtom.
Serviceadministrationens webbplats avser Suomi.fi-serviceadministrationen som erbjuder drifttagning, administration och stöd för Kundorganisationer och Mellanaktö- rer.
DVV / PAL 4.12.2023
Tjänsteleverantör (Service Provider) avser en kundorganisation som tillhandahåller sina tjänster eller producerar information via Suomi.fi-informationsleden Organisat- ionen kan samtidigt vara både en användare och en Tjänsteleverantör.
Serviceproducenten avser MDB som producerar Suomi.fi-informationsleden.
Informationsledsoperatören är den part som opererar, upprätthåller och ger tek- niskt stöd för Suomi.fi-informationsleden och som agerar för MDB:s räkning. I prakti- ken uppdaterar och administrerar Informationsledsoperatören Suomi.fi-informations- ledens Centralservermiljö och utför uppdaterings- och servicearbeten.
Informationssystem avser en kundorganisations elektroniska ärendetjänst eller da- talager som anslutits till Suomi.fi-informationsleden. En anslutningsserver ansluts till Informationssystemet för att kunna kontakta Suomi.fi-informationsleden. Med Inform- ationssystem avses Informationssystem för både Tjänsteleverantörer och de som an- vänder tjänsterna.
Mellanaktör avser en aktör som erbjuder kundorganisationer tjänster i anslutning till administrativt eller tekniskt ibruktagande eller underhåll av Suomi.fi-informationsleden enligt avtalet mellan Mellanaktören och Kundorganisationen.
X-Road® avser en dataöverföringslösning med öppen källkod som fungerar som en del av Suomi.fi-informationsledens tekniska kärna. X-Road erbjuder ett standardise- rat och datasäkert sätt att överföra information mellan datalagren och de Informat- ionssystem som utnyttjar dem. X-Road utvecklas av Nordic Institute for Interopera- bility Solutions (NIIS).
3 Beskrivning av Tjänsten
3.1 Suomi.fi-informationsleden
Suomi.fi-informationsleden är en informationssäker informationsförmedlingskanal som Kundorganisationer kan använda för att överföra och lämna ut uppgifter i sina datalager till andra Kundorganisationer som anslutit sig till Suomi.fi-informationsle- den. Suomi.fi-informationsleden är en helhet som består av decentraliserade tjänster där man följer gemensamt överenskomna verksamhetsmodeller och dataöverförings- protokoll i fråga om avtals- och meddelandeutbyte. Utnyttjandet av de tjänster som kopplats till Suomi.fi-informationsleden baseras alltid på ett avtal eller motsvarande mellan Tjänsteleverantören och användaren.
Kundorganisationer kan utnyttja Tjänsten
• för att publicera information,
• för att förmedla information och/eller
• för att ta emot uppgifter som är tillgängliga via Tjänsten från en annan kundorgani- sation.
Suomi.fi-informationsleden ansvarar för identifieringen av organisationer och deras Informationssystem. Trafiken mellan anslutningsservrarna krypteras och tidsstämplas med certifikat som produceras av MDB:s certifikattjänst. Anslutningsservrarna
DVV / PAL 4.12.2023
kontrollerar behörigheten hos Kundorganisationen och dess Informationssystem att anropa andra tjänster som erbjuds i Suomi.fi-informationsleden.
Lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) innehål- ler bestämmelser om Suomi.fi-informationsleden, dess utveckling och produktion samt tillhandahållande till kundorganisationerna. Tjänsten, dess verksamhetsprinci- per och allmänna arkitektur beskrivs mer ingående i Administratörsverktyget.
Med hjälp av kopplingen mellan Finland och Estland som producerats för Suomi.fi- informationsleden är det tekniskt möjligt att elektroniskt förmedla information mellan Kundorganisationer som anslutit sig till ländernas informationsleder. MDB och Riigi Infosüsteemi Amet (RIA) har avtalat om överföring av uppgifter mellan länderna. RIA är Estland stats informationsinstitut som tar hand om Estlands informationssystem.
3.2 API-katalogen
De tjänster som erbjuds via Suomi.fi-informationsleden samt de anslutna organisat- ionerna finns i API-katalogen, som bildar ett centraliserat servicekatalog. I API-katalo- gen finns dessutom servicebeskrivningar, beskrivningar av tjänsternas gränssnitt, tekniska tilläggsuppgifter och kontaktinformation till tjänsternas administratörer.
Uppgifterna om Subsystem och gränssnitt uppdateras automatiskt varje natt från An- slutningsservrarna till API-katalogen. Ägarorganisationerna för Subsystemen ansva- rar för att producera beskrivningar av Subsystemen och gränssnitten i API-katalogen. Tjänsterna som presenteras i API-katalogen kan tas i bruk genom att avtala om det med Tjänsteleverantören. API-katalogen gör det också möjligt att ansöka om använd- ningstillstånd för tjänster som tillhandahålls via Suomi.fi-informationsleden, om Tjäns- televerantören så definierar.
4 Ändringar i Tjänsten och dess villkor
Serviceproducenten har rätt att ändra Tjänstens funktioner och användarvillkor och innehåll som beskriver dem för att utveckla Tjänsten eller av någon annan grundad anledning som Serviceproducenten anser vara motiverad. För klarhetens skull kon- stateras att Tjänsten utvecklas med smidiga metoder.
Serviceproducenten har rätt att ändra dessa användarvillkor för Tjänsten samt even- tuella andra specialvillkor för Tjänsten efter att ha meddelat om ändringarna i Ser- viceadministrationen eller motsvarande. Dessutom meddelas Användarna per e-post om ändringen.
Om Serviceproducentens ändring av användarvillkoren inte är väsentlig, godkänner Användaren de ändrade användarvillkoren genom att fortsätta att använda Tjänsten. Serviceproducenten kan dock också förutsätta att de ändrade användarvillkoren god- känns separat i enlighet med den process som Serviceproducenten fastställt. Om An- vändaren inte godkänner de ändrade användarvillkoren ska den meddela detta till Serviceproducenten. Användningen av Tjänsten ska då avslutas senast när använ- darvillkoren ändras.
Om Användaren inte följer gällande användarvillkor och till exempel inte ändrar sitt genomförande så att det motsvarar de ändrade användarvillkoren, har MDB i
DVV / PAL 4.12.2023
egenskap av tjänsteproducent rätt att förhindra att tjänsten används på det sätt som anges i punkt 12 Serviceproducentens rätt att förhindra användningen av Tjänsten.
5 Driftsättning
5.1 Registrering i Tjänsten och godkännande av anslutningen
För att använda Tjänsten förutsätts att Kundorganisationen och/eller Mellanaktören registrerar sig på Serviceadministrationens webbplats eller motsvarande eller regi- strerar sig på något annat sätt som Serviceproducenten förutsätter samt att de nöd- vändiga uppgifter som Serviceproducenten fastställt lämnas. Registreringen samt meddelandet av Kundorganisationens och/eller Mellanaktörens uppgifter vid änd- ringar görs via Serviceadministrationen eller på ett annat sätt som Serviceproducen- ten förutsätter. Information, beskrivningar och/eller redogörelser förmedlas till Inform- ationsledoperatören, Tjänsteleverantörerna och/eller de som ansvarar för den tek- niska produktionen av Tjänsten.
I Tjänsten kan registreras en organisation med finländskt FO-nummer eller en organi- sation som enligt finsk lagstiftning inte har registreringsskyldighet, till exempel ett pri- vat företag, eller som inte på annat sätt får ett finländskt FO-nummer, dvs. till exem- pel en stiftelse eller motsvarande. I Tjänsten kan man också registrera sig en organi- sation som är registrerad inom EU-/EES-området och som kan identifieras med ett identifikationsnummer som används av ett register som registrerar organisationsupp- gifter i en stat inom EU-/EES-området. En organisation som är registrerad utanför
EU-/EES-området kan använda Tjänsten om Serviceproducenten undantagsvis god- känner detta.
Lagstiftningen kan fastställa begränsningar i organisationernas möjligheter att an- vända Tjänsten. I lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) föreskrivs om de organisationer som kan utnyttja Tjänsten. Serviceprodu- centen bedömer huruvida en organisation uppfyller de krav i lagen som ställs för an- slutningen. Om organisationen godkänns som Kundorganisation i Tjänsten, kan orga- nisationen administrativt anslutas till Suomi.fi-informationsleden.
För att ansluta sig till Tjänsten krävs att Kundorganisationen ansöker om använd- ningstillstånd eller motsvarande eller ansluter sig till Tjänsten administrativt på något annat sätt som Serviceproducenten förutsätter. Om Kundorganisationen utnyttjar tjänsten via en Mellanaktör sköter Mellanaktören motsvarande skyldigheter för Kund- organisationens räkning. Kundorganisationen ska dock själv godkänna ansökan om användningstillstånd.
Dessa användarvillkor ska godkännas av Kundorganisationen och Informationsled- operatören ska ges fullmakt att ingå ett kontrakt eller motsvarande om certifikat som används på Anslutningsservern. Om Kundorganisationen utnyttjar tjänsten via Mel- lanaktören, godkänner Mellanaktören och Kundorganisationen användarvillkoren och dessutom ska Mellanaktören ge Informationsledsoperatören fullmakt att ingå ett certi- fikatavtal eller motsvarande. Informationsledoperatörens fullmakt för certifikat ges i samband med ansökan om användningstillstånd. Serviceproducenten förutsätter att certifikaten söks med jämna mellanrum eller förutsätter andra åtgärder eller möjliggör för Kundorganisationen och/eller Mellanaktören ett tillvägagångssätt med vilket
DVV / PAL 4.12.2023
certifikaten uppdateras automatiskt. Närmare anvisningar om hur man ansöker om och förnyar certifikaten finns på Serviceadministrationens webbplats eller motsva- rande.
Användningen förutsätter dessutom registrering samt komplettering av de egna upp- gifterna i API-katalogen eller andra åtgärder som Serviceproducenten förutsätter för att ta i bruk API-katalogen. Serviceproducenten ger närmare anvisningar om detta i Serviceadministrationen eller motsvarande. Om Kundorganisationen fungerar som Tjänsteleverantör, beskrivs beskrivningen av uppgifterna närmare i punkt 6.3 Rättig- heter och skyldigheter för Kundorganisationen och Mellanaktören. En Kundorganisat- ion och en eventuell Mellanaktör som är registrerad utanför EU/EES-området ska på det sätt som Serviceproducenten förutsätter beskriva organisationens geografiska läge och åtgärder i anslutning till databehandlingen i fråga om databehandling som sker utanför EU/EES-området eller som är möjlig utanför EU/EES-området och som hänför sig till databehandlingen av tjänster som erbjuds eller uppgifter som överläm- nas via Informationsleden.
Registreringen och godkännandet av anslutningen till Tjänsten samt nödvändiga åt- gärder beskrivs närmare på Serviceadministrationens webbplats eller motsvarande. Dessutom kan Serviceproducenten på eget initiativ skicka närmare anvisningar även till Kundorganisationens kontaktpersoner som Serviceproducenten fastställt per e- post. Om Kundorganisationen utnyttjar tjänsten via Mellanaktören, skickar Service- producenten närmare anvisningar endast till Mellanaktörens kontaktpersoner, som kan förmedla dem till Mellanaktörens egna Kundorganisationer med beaktande av eventuella begränsningar och anvisningar för delandet av innehållet.
5.2 Testning av Tjänsten och att börja produktionsanvändning av Tjänsten
Innan Tjänsten börjar användas för produktion ska Kundorganisationen och/eller Mel- lanaktören se till att Tjänsten testas i testmiljön. Test- och produktionsmiljön är två olika separata miljöer som Tjänsten använder. För båda dessa görs begäran om an- slutning genom att Kundorganisationen eller Mellanaktören fyller i ansökningar om användningstillstånd eller motsvarande.
Dessa två miljöer i Tjänsten är tekniskt sett identiska med undantag av fördröjningar i test- och produktionsmiljön på grund av versionsuppdateringar. Produktionsmiljön är den officiella användningsmiljön för Tjänsten. Efter ändamålsenlig testning godkänner Serviceproducenten eller Informationsledsoperatören att Kundorganisationen och/el- ler Mellanaktören övergår till produktionsmiljön. De åtgärder som testningen förutsät- ter beskrivs på Serviceadministrationens webbplats eller motsvarande.
Kundorganisationen och/eller Mellanaktören kan förbipassera testningen som använ- darvillkoren förutsätter och ansluta sig direkt till produktionsmiljön om ett identiskt an- slutningsfall redan tidigare testats enligt användarvillkoren. Identiska anslutningsfall är sådana där Kundorganisationen och/eller Mellanaktören och dess Subsystem an- sluts till Informationsleden helt på samma sätt som i det tidigare anslutningsfallet dvs. med samma, redan använda och testade Anslutningsservrar och gränssnitt. Om för- bipasseringen av testningen i ovan nämnda situationer finns ett separat beslut av den 29.3.2019 (dnr. VRK/1826/2019). En Tjänsteleverantör som tillhandahåller tjänster eller uppgifter via Informationsleden kan dock ställa avvikande krav även i fråga om testningen, som Kundorganisationen och/eller Mellanaktören ska beakta.
DVV / PAL 4.12.2023
Kundorganisationen och/eller Mellanaktören kan börja använda Tjänsten när Service- producenten har godkänt Kundorganisationen och/eller Mellanaktören och godkänt användningen av Tjänsten och när alla åtgärder som inledandet av Tjänstens an- vändning förutsätter har vidtagits på behörigt sätt.
6 Tjänstens parter och deras uppgifter
6.1 Tjänstens parter
Myndigheten för digitalisering och befolkningsdata (MDB) ansvarar för att producera och utveckla tjänsten. MDB ansvarar för kvalitetskontrollen av utvecklingsarbetet, den nationella distributionen av produkterna, serviceproduktionen av de centraliserade komponenterna och för att ge Informationsledens kunder råd. Suomi.fi-informations- leden använder X-Road-teknologin som utvecklats av Nordic Institute for Interopera- bility Solutions (NIIS). NIIS ansvarar idag för utvecklingen av kärnkomponenterna i X- Road-tekniken som Informationsleden använder. DVV har med avtal skaffat en del av Tjänstens produktionstjänster av utomstående partier och med användaravtal gett ansvar för kontinuiteten och administrationen till Informationsledsoperatören.
Informationsleden möjliggör gränsöverskridande informationsutbyte mellan de Anslut- ningsservrar som anslutit sig till Estlands X-Tee-genomförande. MDB och RIA har av- talat om detta genom ett separat avtal. Informationsleden kan göra det möjligt att till- handahålla tjänster och överföra information även mellan andra lösningar som mots- varar Informationsleden.
Kundorganisationerna och/eller Mellanaktörerna utnyttjar Tjänsten för att överföra och utlämna uppgifter samt för att tillhandahålla och utnyttja E-tjänster. Xxxxx Xxxxxx- ganisation och eventuell Mellanaktör är för sin del personuppgiftsansvarig för de upp- gifter som de behandlar eller behandlar uppgifterna för den personuppgiftsansvariges räkning. Dessa behandlingsåtgärder sker i samband med att Tjänsten används, men MDB ansvarar inte för dem i egenskap av personuppgiftsansvarig eller behandlare av personuppgifter. MDB är personuppgiftsansvarig till den del som beskrivs i punkt 14.1 Behandling av personuppgifter och andra uppgifter samt integritetsskydd.
6.2 Serviceproducentens rättigheter och skyldigheter
Utöver vad som följer av lagstiftningen har rättigheter och skyldigheter som gäller Serviceproducenten konstaterats i dessa användarvillkor.
Serviceproducenten ansvarar för Tjänstens produktion och utveckling. Serviceprodu- centen ansvarar för att Tjänsten uppfyller lagstiftningens krav. Serviceproducenten är skyldig att se till att dess skyldigheter fullföljs så att Tjänsten produceras så kontinu- erligt och informationssäkert som möjligt. Kraven på Serviceproducentens verksam- het följer i synnerhet lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016).
Serviceproducenten ansvarar för att erbjuda Kundorganisationerna och Mellanaktö- rerna nödvändigt material och anvisningar för att ansluta sig till Tjänsten på Service- administrationens webbplats eller motsvarande. Dessutom ansvarar Serviceprodu- centen för att erbjuda stöd i frågor som gäller anslutning till test- och produktionsmil- jön samt i felsituationer i användningen av Tjänsten när det är fråga om problem med
DVV / PAL 4.12.2023
en Anslutningsserver eller mellan en Anslutningsserver och Centralservern. Service- producenten sköter underhållet av test- och produktionsmiljön samt mottagandet och hanteringen av anmälningar om avvikelser.
Serviceproducenten ansvarar för att anskaffa och upprätthålla centralservern och för att producera certifikattjänster. Serviceproducenten ansvarar för att erbjuda Kundor- ganisationerna och Mellanaktörerna ett installationspaket för Anslutningsservrarna samt uppdateringar och stöd i anslutning till detta. Serviceproducenten ansvarar även för upprätthållandet av API-katalogen.
Serviceproducenten har rätt att av Kundorganisationerna och/eller Mellanaktörerna få de tillräckliga och nödvändiga uppgifter som den förutsätter i Kundorganisationens registrerings- och anslutningsskede och i andra skeden av Tjänstens användning.
Serviceproducenten har rätt att få tillräckliga och nödvändiga uppgifter av Kundorga- nisationerna och/eller Mellanaktörerna för utredning av avvikelser eller misstanke om missbruk.
Serviceproducenten har rätt att ändra Tjänstens innehåll, funktioner och användarvill- kor i syfte att utveckla Tjänsten eller av någon annan orsak som Serviceproducenten betraktar som grundad. Serviceproducenten har rätt att göra ändringar till exempel i Tjänstens funktioner eller gränssnitt.
Serviceproducenten har rätt att dela de administrativa och tekniska beskrivningar av Kundorganisationens och Mellanaktörens Subsystem och E-tjänster som sparats i API-katalogen fritt tillgängliga. Serviceproducenten har dessutom rätt att fatta beslut om och ändra den licens för öppna data som används för publicering av dessa upp- gifter i API-katalogen.
Serviceproducenten har rätt att förordna att Kundorganisationen och/eller Mellanaktö- ren på sin Anslutningsserver ska installera en uppdatering som enligt Serviceprodu- centens bedömning är nödvändig, till exempel en informationssäkerhetsuppdatering eller ett versionsbyte, och att meddela en frist för installation av uppdateringen. Kund- organisationen eller Mellanaktören ansvarar för installationskostnaderna och dessu- tom kommer Mellanaktören och dess kundorganisationer sinsemellan överens om kostnadsfördelningen.
Serviceproducenten eller Informationsledoperatören har rätt att förhindra att Kundor- ganisationen eller Mellanaktörens Anslutningsserver ansluts till tjänsten om den har observerats vara ur bruk i minst 60 dygn och inte har tagits i bruk inom de 60 dygn som Tjänsteleverantören har utsatt som tidsfrist. Om Serviceproducenten eller In- formationsledoperatören upptäcker att programvaran för Anslutningsservern inte är uppdaterad eller att Anslutningsservern av någon annan anledning inte följer kraven i punkt 13 Informationssäkerhet och kraven i anslutning till den har Serviceproducen- ten eller Informationsledsoperatören rätt att förhindra användningen av en sådan här Anslutningsserver eller ta bort Anslutningsservern. Om certifikaten på Anslutningsser- vern har föråldrats avbryts dessutom anslutningen till Tjänsten automatiskt. Mer in- formation om begränsningen av tjänsten finns i punkt 12 Serviceproducentens rätt att förhindra användningen av Tjänsten.
Serviceproducenten har rätt att samla in uppgifter för att producera och utveckla Tjänsten. Serviceproducenten kan samla in information om meddelandetrafiken
DVV / PAL 4.12.2023
mellan Kundorganisationerna och Mellanaktörernas Anslutningsservrar och Central- servern och om dess mängd. Detta innebär dock aldrig att man samlar in det egent- liga förmedlade datainnehållet som behandlats på Anslutningsservern. Dessutom har Serviceproducenten rätt att samla in plattformsmonitoreringsuppgifter fån alla Anslut- ningsservrar som kopplats till Tjänsten både i test- och produktionsmiljöerna för att förbättra Tjänstens kvalitet och datasäkerhet. Uppgifter som samlas in är bland annat X-Road-programversionen, versionsnumret för plattformsserverns operativsystem, giltighetstiden för Anslutningsserverns certifikat och energiförbrukningen. Uppgifterna samlas även in för administrativa ändamål. Med hjälp av de insamlade uppgifterna kan Tjänstens administration till exempel rekommendera att Kundorganisationen eller Mellanaktören att uppdatera Anslutningsserverns programvara till en nyare version eller meddela om serverns certifikat håller på att gå ut. Plattformsmonitoreringsin- formationen är inte offentlig information. Dessutom har NIIS, som utvecklar X-Road- teknologin, rätt att samla in operativa data till exempel för att förbättra bakgrundstek- nologin och datasäkerheten.
Serviceproducenten kan också samla in annan information som behövs för att produ- cera och utveckla Tjänsten. Statistik kan produceras över de insamlade uppgifterna. Behandlingen av uppgifterna beskrivs närmare i Tjänstens dataskyddsbeskrivningar på Serviceadministrationens webbplats eller motsvarande.
Serviceproducenten har rätt att genomföra skanningar mellan Anslutningsservrarna och de Informationssystem som anslutits till dem för att till exempel förbättra tjänste- produktionen och upptäcka eventuella informationssäkerhetshot. Serviceproducenten kan utifrån dessa uppgifter till exempel rekommendera att vissa portar stängs för att förbättra informationssäkerheten i Kundorganisationens och/eller Mellanaktörens in- formationssystemhelhet eller motsvarande. Informationsledsoperatören skickar en lista över portar till Kundorganisationen och/eller Mellanaktören som ska öppnas för insamling av monitoreringsdata. Serviceproducenten har också rätt att begära att se- parat definierade portar öppnas tillfälligt till exempel för utredning av fel eller hante- ring av störningar.
Serviceproducenten sköter om utredningen av avvikelser och misstankar om miss- bruk och samarbetar vid behov med Kundorganisationerna och/eller Mellanaktörerna eller andra instanser. Serviceproducenten ansvarar för Tjänstens system, central- servrar, applikationer och gränssnitt samt för utredningen och samordningen av felsi- tuationer i anslutning till dem. En Informationsledoperatör kan sköta dessa uppgifter för Serviceproducentens räkning.
Serviceproducenten är skyldig att se till att uppgifter som den ansvarar för behandlas utan att informationssäkerheten eller dataskyddet äventyras.
6.3 Rättigheter och skyldigheter för Kundorganisationer och Mellanaktörer
Utöver vad som följer av lagstiftningen har rättigheter och skyldigheter som gäller Kundorganisationen och Mellanaktören konstaterats i dessa användarvillkor.
Det är Kundorganisationens och Mellanaktörens ansvar att se till att de skyldigheter den ansvarar för uppfylls. Kundorganisationen och Mellanaktören ska agera enligt dessa användarvillkor. Kundorganisationen och Mellanaktören ansvarar för att även
DVV / PAL 4.12.2023
E-tjänsten som anslutits till Tjänsten uppfyller de lagstadgade kraven. Kundorganisat- ionen och Xxxxxxxxxxxxx ansvarar för sina Användares agerande.
Kundorganisationen och Xxxxxxxxxxxxx har rätt att få tillräckliga och nödvändiga upp- gifter av Serviceproducenten så att den kan ansluta sig till Tjänsten och fortsätta att använda Tjänsten vid eventuella förändringar. Kundorganisationen och Mellanaktö- ren har rätt att få information om uppgifter och tjänster i API-katalogen som finns att få via Suomi.fi-informationsleden.
Innan Kundorganisationen och Mellanaktören ansluter sig ska de lämna de uppgifter om organisationen och nödvändiga person- och andra kontaktpersoner som Service- producenten förutsätter. Dessutom ska Kundorganisationen och Mellanaktören upp- fylla de tekniska villkor för anslutning till Tjänsten som beskrivs på Serviceadminist- rationens webbplats. Om Kundorganisationen utnyttjar tjänsten via en Mellanaktör, sköter Mellanaktören motsvarande skyldigheter på sin egen kundorganisations väg- nar beroende på vad Kundorganisationen och Mellanaktören har kommit överens om.
Kundorganisationen är skyldig att beskriva sin E-tjänst samt publicera eller på annat sätt göra nödvändiga gränssnittsbeskrivningar av de tjänster som Kundorganisat- ionen tillhandahåller tillgängliga för den Anslutningsserver som den administrerar.
Om Kundorganisationens sekretess eller någon annan grundad anledning förutsätter det, kan de uppgifter och beskrivningar som Serviceproducenten förutsätter om E- tjänsten och dess verksamhetsprinciper skickas direkt till Serviceproducenten.
Det är Kundorganisationens och Mellanaktörens skyldighet att beskriva sin organisat- ions uppgifter i API-katalogen. Kundorganisationen är också skyldig att ge informat- ion om sin E-tjänst och dess verksamhetsprinciper. Kundorganisationen själv ger uppgifter om de tjänster som organisationen tillhandahåller, om sina gränssnitt samt om deras drifttagande och kontaktpersoner, samt informerar användarna av sina tjänster om eventuella driftsavbrott. Om Kundorganisationen utnyttjar tjänsten via en Mellanaktör, sköter Mellanaktören motsvarande skyldigheter på sin egen kundorgani- sations vägnar beroende på vad Kundorganisationen och Mellanaktören har kommit överens om.
Kundorganisationen och/eller Mellanaktören som är registrerad utanför EU/EES-om- rådet ska i API-katalogen på det sätt som Serviceproducenten förutsätter beskriva åtgärder i anslutning till databehandlingen i fråga om databehandling som sker utan- för EU/EES-området eller som är möjlig utanför EU/EES-området och som hänför sig till databehandlingen av tjänster som erbjuds eller uppgifter som överlämnas via In- formationsleden.
Kundorganisationen och Mellanaktören ser till att den behandling av uppgifter som görs via Tjänsten med Anslutningsservrarna genomförs i enlighet med lagstiftningens krav. Kundorganisationen är skyldig att behandla de uppgifter som den ansvarar för i enlighet med punkt 14.1. Behandling av personuppgifter och andra uppgifter samt in- tegritetsskydd så att informationssäkerheten eller dataskyddet inte äventyras. Vid be- hov ansvarar Kundorganisationen och Mellanaktören också själv för att utreda kvali- teten på de uppgifter som behandlas.
Kundorganisationen och Mellanaktören ansvarar själv eller sinsemellan genom ett separat avtal eller motsvarande överenskomna åtgärder för berättigandet och
DVV / PAL 4.12.2023
grunderna för utlämnandet av uppgifter när de lämnar ut uppgifter via Tjänsten för att utnyttjas, behandlas eller lämnas vidare till andra Kundorganisationer och/eller Mel- lanaktörer. Utlämning av uppgifter sker dock i enlighet med bestämmelserna i speci- allagstiftning och allmän lagstiftning som tillämpas på registermyndighetens eller nå- gon annan parts verksamhet. Uppgifter kan lämnas ut på olika sätt och för olika än- damål i enlighet med de villkor och krav som respektive registeransvarig fastställer. Utlämnande av uppgifter kan kräva ett särskilt uppgiftstillstånd eller motsvarande.
MDB tar inte ställning till informationsutbytet mellan Anslutningsservrarna.
I egenskap av instans som lämnar ut eller tar emot uppgifter ska Kundorganisationen självständigt sörja för nödvändig tillståndsgivning eller motsvarande samt nödvändiga utredningar, såsom uppgifternas användningsändamål, för den som tar emot och lämnar ut uppgifterna. Om det krävs att tillstånd, kontrakt eller motsvarande lämnas ut ska Kundorganisationen se till att det i API-katalogen finns en beskrivning eller länkning av processen och dess krav för mottagaren av uppgifterna. Kundorganisat- ionen ska också se till att det i API-katalogen beskrivs var tillstånd eller motsvarande ska sökas eller begäras. Om Kundorganisationen utnyttjar tjänsten via en Mellanak- tör, sköter Mellanaktören motsvarande skyldigheter på sin egen kundorganisations vägnar beroende på vad Kundorganisationen och Mellanaktören har kommit överens om.
Kundorganisationen och Mellanaktören ansvarar för att de egna uppgifterna är kor- rekta. Kundorganisationen och Xxxxxxxxxxxxx är också skyldiga att uppdatera de uppgifter som de lämnat till Serviceproducenten och utan dröjsmål meddela de änd- rade uppgifterna på Serviceadministrationens webbplats och i API-katalogen eller på något annat sätt som Serviceproducenten förutsätter. Om Kundorganisationen utnytt- jar tjänsten via en Mellanaktör, sköter Mellanaktören motsvarande skyldigheter på sin egen kundorganisations vägnar beroende på vad Kundorganisationen och Mellanak- tören har kommit överens om.
Kundorganisationen fastställer själv eller tillsammans med Mellanaktören de tjänster och/eller uppgifter som den vill utnyttja via Tjänsten. Kundorganisationen och/eller Mellanaktören ser till att de andra avtal, tillstånd eller motsvarande som behövs har ingåtts eller erhållits, utifrån vilka den kan utnyttja de tjänster och/eller uppgifter som erbjuds via Tjänsten.
En Kundorganisation som fungerar som Tjänsteleverantör ser till att den tillhandahål- ler sina tjänster och/eller lämnar ut sina uppgifter enligt sina egna villkor. En Kundor- ganisation som fungerar som Tjänsteleverantör kan själv besluta om en Mellanaktör kan representera en Kundorganisation som utnyttjar tjänsterna till exempel i eventu- ella tillstånds- och avtalsprocesser Xxxxxxxx beslutar Tjänsteleverantörerna själv- ständigt om Kundorganisationer som utnyttjar Mellanaktören kan erbjudas tjänster eller lämna ut uppgifter så att den mottagande Anslutningsservern eller Subsystemet används av flera organisationer.
Serviceproducenten ansvarar inte för att ansöka om eller bevilja avtal, tillstånd eller motsvarande mellan Kundorganisationer eller för att kontrollera dessas befintlighet eller kravenlighet eller iaktta dessa. Serviceproducenten tar inte heller ställning till vil- ken roll och vilket ansvar en eventuell Mellanaktör har i förhållande till Kundorganisat- ionerna. Kundorganisationen och Mellanaktören ska iaktta villkoren och kraven i avtal eller uppgiftstillstånd eller motsvarande som fastställts av tredje parter.
DVV / PAL 4.12.2023
Varje organisation som ansluter sig till Informationsleden ska ha tillgång till en egen Anslutningsserver, en som delas med en annan organisation eller som skaffats på annat sätt. Kundorganisationen ansvarar för anskaffningen och driften av Anslut- ningsservrarna och för de kostnader som de medför. Det installationspaket som Ser- viceproducenten tillhandahåller ska vara installerat på den Anslutningsserver som Kundorganisationen använder. Kundorganisationen ansvarar för de Anslutningsserv- rar, E-tjänster eller andra Informationssystem som Användarorganisationen kopplat till Tjänsten samt för alla åtgärder i anslutning till dem. Kundorganisationen ser till att nödvändiga portar öppnas och öppnas på det sätt som Serviceproducenten förutsät- ter. Kunden är också skyldig att stänga portar som öppnats för att utreda eventuella störnings- och felsituationer. Kundorganisationen ansvarar för att se till att nödvän- diga ändringar görs i E-tjänsten eller ett annat Informationssystem när det görs änd- ringar i Tjänsten. Om Kundorganisationen utnyttjar tjänsten via en Mellanaktör, sköter Mellanaktören motsvarande skyldigheter på sin egen kundorganisations vägnar bero- ende på vad Kundorganisationen och Mellanaktören har kommit överens om.
Kundorganisationen sörjer för utredningen av avvikelser och misstankar om missbruk och samarbetar vid behov med Serviceproducenten eller andra instanser. Kundorga- nisationen ansvarar för utredningen och samordningen av fel i E-tjänsten och syste- men. Vidare ansvarar Kundorganisationen för utredningen och samordningen av fel i dess Anslutningsserver till den del det inte är fråga om ett fel som gäller installations- paketet.
Kundorganisationen är skyldig att anmäla Serviceproducenten om Kundorganisat- ionen E-tjänsts koppling eller Anslutningsserver har tagits ur bruk eller håller på att helt tas ur bruk.
6.4 Mellanaktörens rättigheter och skyldigheter
Utöver det som konstateras i föregående kapitel är Mellanaktören bunden av de rät- tigheter och skyldigheter som anges i detta kapitel. Serviceproducenten gör det möj- ligt för Mellanaktören att erbjuda sina IKT-tjänster eller plattformstjänster till sina egna kundorganisationer.
Mellanaktören kan fungera som administrativ Mellanaktör, det vill säga för Kundorga- nisationernas räkning ansöka om och administrera användningstillstånd eller motsva- rande som Serviceproducenten eller Suomi.fi-informationsleden i övrigt förutsätter.
Mellanaktören kan också fungera som en teknisk Mellanaktör, varvid den kan sörja för Kundorganisationens tekniska anslutningsprocess och administrationen av Anslut- ningsservern samt erbjuda tekniska lösningar för genomförande eller anslutning av tjänsterna. En teknisk Mellanaktör förutsätts ansöka om användningstillstånd eller motsvarande eller ansluta sig till Tjänsten på något annat sätt som Serviceproducen- ten förutsätter. Mellanaktören kan samtidigt fungera som Tjänsteleverantör eller an- vändare av andra tjänster i Tjänsten.
Mellanaktören har rätt att komma överens om vilken roll den kommer att spela för Kundorganisationen i anslutning till Tjänsten samt hur ansvaren som berör Kundorga- nisationen fördelas mellan Mellanaktören och Kundorganisationen. Serviceproducen- ten tar inte ställning till vilket avtal Mellanaktören och Kundorganisationen kommer överens om sinsemellan.
DVV / PAL 4.12.2023
Mellanaktören ska oberoende av sin roll registrera sig i Serviceadministrationen eller motsvarande och ge de uppgifter om organisationen som Serviceproducenten förut- sätter samt nödvändiga person- och andra uppgifter om de kontaktpersoner som för- utsätts bli utsedda. Den tekniska Mellanaktören ska dessutom beskriva sin organisat- ion och de ICT-tjänster som erbjuds eller motsvarande i API-katalogen på det sätt som Serviceproducenten förutsätter. Om Mellanaktören fungerar som Tjänsteleve- rantör ska den beskriva sina E-tjänster i API-katalogen på det sätt som Serviceprodu- centen förutsätter. Mellanaktören ska uppdatera de uppgifter som Serviceproducen- ten förutsätter. Om Xxxxxxxxxxxxx själv utnyttjar de tjänster eller uppgifter som tillhan- dahålls via Tjänsten ser den till att ansöka om nödvändiga användningstillstånd eller motsvarande.
Närmare anvisningar som gäller Mellanaktören finns på Serviceadministrationens webbplats eller motsvarande.
7 Tjänstens äganderättigheter och andra immateriella rättigheter
Om inte annat nämns, kvarstår äganderättigheterna och de övriga immateriella rättig- heterna hos de parter som ursprungligen innehade dem.
Serviceproducenten och Kundorganisationerna har äganderätt och övriga immateri- ella rättigheter till datainnehållet i registren som de upprätthåller och till tjänsterna som de producerar.
Dessa användarvillkor ändrar inte Serviceproducentens eller Kundorganisationens äganderättigheter och andra immateriella rättigheter till de dataprogram och -applikat- ioner som de tillverkat och/eller anskaffat samt till deras källkoder, beskrivningar och anvisningar.
Allt material som Serviceproducenten eller Kundorganisationen lämnar ut till varandra före eller efter att användningen av Tjänsten börjat användas förblir den utlämnande partens egendom. Det som avtalats i denna punkt varken gäller eller förhindrar att logguppgifter eller andra uppgifter som anknyter till Tjänstens funktion lämnas ut till Serviceproducenten eller den Informationsledsoperatör som Serviceproducenten gett fullmakt, och det förhindrar inte att material eller uppgifter som behövs för utredning lämnas ut. Bestämmelser om utlämnande av uppgifter finns också i lag.
De skyldigheter och villkor som gäller äganderättigheterna och de övriga immateriella rättigheterna förblir i kraft även efter att användningen eller produktionen av Tjänsten har upphört.
Applikationskomponenternas licenser beskrivs i samband med Anslutningsserverns distributionspaket.
8 Kundorganisationens och Mellanaktörens rätt att använda Tjänsten och materialet den innehåller
Kundorganisationen och Xxxxxxxxxxxxx får rätt att använda Tjänsten i enlighet med dessa användarvillkor och eventuella andra specialvillkor, såsom krav som ställs av
DVV / PAL 4.12.2023
tredje parter, i sin interna användning och att tillhandahålla eller utnyttja Tjänsten i samband med att den erbjuder sina E-tjänster till Slutanvändare.
Kundorganisationen och Mellanaktören har inte rätt att utlämna icke-offentligt material som den fått genom Tjänsten till tredje parter eller göra dess innehåll eller en del av innehållet tillgängligt för allmänheten genom att distribuera, förmedla, presen- tera eller visa det offentligt, om inte Serviceproducenten eller någon annan rättsinne- havare på förhand gett skriftligt samtycke till detta.
9 Tjänstens avgifter och kostnadsfördelning
För Tjänsten debiteras inga avgifter eller andra prestationer. Serviceproducenten tar inte ställning till om E-tjänster eller uppgifter som tillhandahålls via Tjänsten är av- giftsbelagda. De certifikat som användningen av Tjänsten förutsätter är tills vidare av- giftsfria. Certifikatens prissättning och eventuella avgiftsbeläggande kontrolleras årli- gen.
Serviceproducenten ansvarar för kostnaderna för det allmänna administrativa och tekniska stödet till Tjänsten samt för anvisningarna för ibruktagandet samt för kostna- derna för de övriga skyldigheter som Serviceproducenten ansvarar för.
Kundorganisationen och/eller Mellanaktören ansvarar för att göra nödvändiga och ändamålsenliga anslutningar, för eventuella ändringar som ska göras i Användaror- ganisationens egna system, för andra eventuella kostnader som anslutningen till Tjänsten medför och för kostnaderna för Användarorganisationens övriga skyldig- heter.
10 Tillgång till tjänsten
Serviceproducenten garanterar inte att Tjänsten är kontinuerligt tillgänglig men strä- var efter att Tjänsten är tillgänglig utan avbrott. Mer information om tillgången till Tjänsten finns på Serviceadministrationens webbplats eller motsvarande.
För klarhetens skull konstateras att Serviceproducenten alltid har rätt att avbryta Tjänsten på grund av ändring eller förnyande av Tjänsten eller på grund av en teknisk orsak i samband med Tjänsten eller på grund av reparations-, installations- eller un- derhållsarbeten i datakommunikationsnätet eller på grund av någon annan liknande orsak eller på grund av hot eller avvikelse som gäller informationssäkerheten eller om lagstiftningen eller annan myndighetsbestämmelse förutsätter det.
11 Information om avbrott och fel i Tjänsten
Avbrott och fel meddelas på Suomi.fi-webbplatsen eller motsvarande samt till Kund- organisationens och/eller Mellanaktörens kontaktpersoner så snart som möjligt efter att felet upptäckts, om det är möjligt bland annat tekniskt eller av dataskydds- och da- tasäkerhetsskäl.
I meddelandet anges den uppskattade längden på driftavbrottet eller felsituationen samt om möjligt de åtgärder som Kundorganisationen, Mellanaktören och Slutanvän- daren har tillgång till. Dessutom meddelar Serviceproducenten
DVV / PAL 4.12.2023
Kundorganisationerna, Mellanaktörerna och Slutanvändarna om att driftavbrottet eller felsituationen upphör.
12 Serviceproducentens rätt att förhindra användningen av Tjänsten
Serviceproducenten har rätt att av grundad anledning inte godkänna en Kundorgani- sation eller Mellanaktör som användare av Tjänsten. Serviceproducenten kan med sitt beslut förbjuda att ett privat samfund, en stiftelse eller en näringsidkare använder Tjänsten eller helt eller delvis spärra Tjänsten för en sådan organisation på så sätt som föreskrivs mer detaljerat i lagen om förvaltningens gemensamma stödtjänster för e-tjänster.
Serviceproducenten har även rätt att begränsa användningen av Tjänsten av grun- dad anledning, till exempel om Tjänstens informationssäkerhet eller dataskydd kan äventyras om inte begränsningar införs, eller om informationssäkerheten eller data- skyddet för en tjänst eller ett register som anknyter till Tjänsten kan äventyras om inte begränsningar införs. Dessutom har Serviceproducenten rätt att hindra Xxxxxxxxxx- sationen eller Mellanaktören från att använda Tjänsten:
• om Kundorganisationen, Mellanaktören eller Användaren handlar eller det finns grundad anledning att misstänka att Kundorganisationen handlar i strid med dessa användarvillkor eller villkor som andra parter fastställt och som anknyter till utnytt- jandet av Tjänsten eller i strid med god sed eller lag
• om Kundorganisationen eller Mellanaktören inte lämnar de uppgifter eller utred- ningar som krävs
• om Kundorganisationen eller Mellanaktören inte iakttar annan lagstiftning i sin verksamhet eller
• om Kundorganisationen, Mellanaktören eller Användaren använder Tjänsten på så sätt att Tjänstens informationssäkerhet eller dataskydd äventyras eller om inform- ationssäkerheten eller dataskyddet för en tjänst eller ett register som anknyter till Tjänsten äventyras.
Om Kundorganisationen inte utför de åtgärder som ändringar i Tjänsten förutsätter har Serviceproducenten dessutom rätt att förhindra att Kundorganisationen använder Tjänsten fram till dess att åtgärderna har utförts på behörigt sätt. Om Kundorganisat- ionen inte utför installationen av en uppdatering i Anslutningsservern inom den frist som meddelats har Serviceproducenten rätt att förhindra att Kundorganisationen an- vänder Tjänsten fram till dess att uppdateringen installerats på tillbörligt sätt. Om Kundorganisationen inte genomför de ändringar som krävs inom utsatt tid kan det också leda till att det inte är tekniskt möjligt att använda Tjänsten. Om Kundorganisat- ionen utnyttjar tjänsten via en Mellanaktör, sköter Mellanaktören motsvarande skyl- digheter på sin egen kundorganisations vägnar beroende på vad Kundorganisationen och Mellanaktören har kommit överens om.
13 Informationssäkerheten och kraven i anslutning till den
Enligt lagen om stödtjänster (571/2016) omfattar Tjänsten hantering och säkerstäl- lande av informationssäkerheten. Både Serviceproducenten samt Kundorganisation- erna och Mellanaktörerna ansvarar för genomförandet av informationssäkerheten.
DVV / PAL 4.12.2023
Det är möjligt att förmedla material av den lägsta skyddsnivån (TL IV) via Tjänsten utan specialarrangemang. Transport- och kommunikationsverket Traficoms krav på överföringen av information på skyddsnivå TL IV via informationsnät har verkställts och beaktats i användningen av Tjänsten. Serviceproducenten fastställer till exempel hur långa krypteringsnycklar och certifikat som används i Anslutningsservrarna. I an- nat fall sörjer Kundorganisationen och Serviceproducenten sinsemellan avtalsmässigt och tekniskt för att eventuella strängare informationssäkerhetskrav uppfylls och till exempel för att material av skyddsnivå III (TL III) förmedlas via Tjänsten.
13.1 Serviceproducentens rättigheter och skyldigheter
Serviceproducenten ansvarar för Tjänstens informationssäkerhet i enlighet med den gällande lagstiftningen. Vid produktionen av Tjänsten iakttas Serviceproducentens gällande informationssäkerhetsförfaranden till den del som gäller uppgifter som Ser- viceproducenten ansvarar för.
Serviceproducenten kan fastställa särskilda informationssäkerhetskrav som gäller Kundorganisationen, Mellanaktören och E-tjänsten som en förutsättning för använd- ningen av Tjänsten. Serviceproducenten har rätt att skärpa informationssäkerhetskra- ven. Kraven på informationssäkerhet har dessutom kunnat göras strängare i avtal, uppgiftstillstånd eller motsvarande som gäller mellan Kundorganisationens och tredje parter.
Serviceproducenten eller en Informationsledoperatör som den anvisar kan utföra fjärradministration och portskanning på Anslutningsservern. Serviceproducenten har rätt att av Kundorganisationerna och/eller Mellanaktörerna begära rätt att utföra fjärr- administration på Anslutningsservrar som kopplats till Tjänsten. Fjärradministrationen utförs av Serviceproducenten eller en Informationsledoperatör som den anvisat. För hantering av lägesbilden och sårbarheter behöver Serviceproducenten eller Informat- ionsledsoperatör som den anvisat uppgifter bland annat om Anslutningsservrarnas programvaruversion, paket som installerats i Anslutningsserverns operativsystem och tjänster som används. Serviceproducenten eller en informationsledsoperatör som den anvisat utför portskanningar för att kontrollera att anslutningsservermiljön är här- dad enligt anvisningarna samt för att kontrollera datasäkerhetsuppdateringarnas sta- tus i syfte att hantera sårbarheter.
Om Serviceproducenten beslutar att genomföra sårbarhetsskanningar i de offentliga gränssnitten i Kundorganisationens E-tjänst, kommer man gemensamt överens om tidpunkten för sårbarhetsskanningarna så att de kan genomföras utan att E-tjänsten störs.
Serviceproducenten har rätt att utifrån uppgifterna om övervakningen av Kundorgani- sationens och/eller Mellanaktörens Anslutningsserver publicera information om statu- sen av Anslutningsserverns störningsfrihet i API-katalogen eller på annat sätt.
Om Serviceproducentens Informationssystem som används för att producera Tjäns- ten eller Kundorganisationens eller Mellanaktörens Informationssystem som kopplats till Tjänsten skadar funktionen eller informationssäkerheten hos det Informationssy- stem som används i eller kopplats till Tjänsten ska den part som ansvarar för Inform- ationssystemet omedelbart vidta åtgärder för att korrigera situationen. Vid behov kan
DVV / PAL 4.12.2023
Serviceproducenten, Kundorganisationen eller Mellanaktören koppla bort sitt inform- ationssystem från ett system som administreras av en annan part.
Serviceproducenten ska utan dröjsmål underrätta Användarorganisationerna, Mellan- aktörerna och Slutanvändarna om Tjänsten utsätts för eller är exponerad för en bety- dande kränkning av Informationssäkerheten eller någon annan händelse som för- hindrar Tjänstens funktion eller stör den i väsentlig grad eller äventyrar informations- säkerhetens genomförande. Kundorganisationerna, Mellanaktörerna och Användarna informeras om observerade avvikelser i eller hot mot informationssäkerheten på det sätt som konstateras i punkt 11 Information om avbrott och fel i Tjänsten.
Om Serviceproducenten i enskilda fall bedömer att det är möjligt och nödvändigt, in- formerar Serviceproducenten eller Informationsledsoperatören Kundorganisationerna och Mellanaktörerna om observerade sårbarheter, eventuella korrigerande åtgärder och datasäkerhetsuppdateringar som anknyter till Tjänsten eller som har inverkan på användningen av Tjänsten eller Anslutningsservrarna på annat sätt.
13.2 Rättigheter och skyldigheter för Kundorganisationer och Mellanaktörer
Kundorganisationen och Xxxxxxxxxxxxx godkänner Serviceproducentens informat- ionssäkerhetskrav och förbinder sig att följa dem genom att godkänna användarvillko- ren. Kundorganisationen och Mellanaktören godkänner Tjänstens implementering som sådan och bedömer dess lämplighet i förhållande till de eventuella krav som ställs på Kundorganisationens egen verksamhet.
Av Kundorganisationen och Mellanaktören förutsätts att god informationssäkerhets- praxis iakttas. Kundorganisationen och Mellanaktören ansvarar för informationssäker- heten i sina Anslutningsservrar eller anslutningsserverlösningar samt i sina E-tjänster och Informationssystem.
Av Kundorganisationer och Mellanaktörer som använder Tjänsten förutsätts att de:
• sörjer för att datasäkerheten i deras Informationssystem är ändamålsenlig, följer upp datasäkerhetsuppdateringar och uppdaterar datasäkerhetsuppdateringar
• rapporterar om avvikelser i informationssäkerheten på det sätt som Serviceprodu- centen förutsätter samt
• upprätthåller Anslutningsservern och de system som anknyter till den på ett tryggt sätt i fråga om behörigheter, användaridentifikationer, säkerhetskopiering och han- teringen av störningssituationer. Närmare information om dessa finns på Service- administrationens webbplats eller motsvarande.
När det gäller Anslutningsservrar ska Kundorganisationen och Mellanaktören se till att:
• installationerna och konfigureringarna görs enligt Serviceproducentens anvis- ningar
• uppdateringarna installeras på påkallat sätt på Kundorganisationens eller Mellan- aktörens Anslutningsserver samt om att uppdateringar görs regelbundet
• systemet har tillräckliga funktioner för säkring och återställande samt
DVV / PAL 4.12.2023
• de loggar som skapas i Kundorganisationens system och på dess Anslutningsser- ver förvaras och arkiveras på tillbörligt sätt under den frist som lagstiftningen eller andra krav förutsätter.
För att upptäcka eventuella sårbarheter i informationssäkerheten och dataskyddet ger Kundorganisationen Serviceproducenten rätt att skanna de offentliga gränssnitten i Kundorganisationens E-tjänst. Kundorganisationen förbinder sig att åtgärda obser- verade betydande sårbarheter inom en frist som Serviceproducenten meddelar. Om Kundorganisationen inte korrigerar de observerade sårbarheterna inom utsatt tid, har Serviceproducenten rätt att förhindra att Tjänsten används på det sätt som konstate- ras i punkt 12 Serviceproducentens rätt att förhindra användningen av Tjänsten. Om Kundorganisationen utnyttjar tjänsten via en Mellanaktör, sköter Mellanaktören mot- svarande skyldigheter på sin egen kundorganisations vägnar beroende på vad Kund- organisationen och Mellanaktören har kommit överens om.
Om Serviceproducentens datasystem som används för att producera Tjänsten eller Kundorganisationens datasystem som kopplats till Tjänsten skadar funktionen eller informationssäkerheten hos det datasystem som används i eller kopplats till Tjänsten ska den part som ansvarar för datasystemet omedelbart vidta åtgärder för att korri- gera situationen. Vid behov kan Serviceproducenten eller Kundorganisationen koppla bort sitt datasystem från ett system som administreras av en annan part. Om Kundor- ganisationen på motsvarande sätt utnyttjar tjänsten via en Mellanaktör kan Mellanak- tören sköta motsvarande skyldigheter för Kundorganisationens räkning.
Tjänsteleverantörerna kan kräva att Kundorganisationerna uppfyller de informations- säkerhetskrav som de ställer i sina egna uppgiftstillstånd eller motsvarande. Dessa parter kan fastställa särskilda informationssäkerhetskrav som gäller den som utnyttjar deras tjänster. Informationssäkerhetskrav som gäller Tjänsteleverantörerna fastställs utifrån de informationssäkerhetskrav som gäller den tjänst/det system som ska anslu- tas.
En Kundorganisation ska utan dröjsmål meddela Serviceproducenten eller Informat- ionsledoperatören som Serviceproducenten befullmäktigat, om Kundorganisationens datasystem som anslutits till tjänsten, inkl. Anslutningsservern, utsätts för eller är ex- ponerat för en betydande kränkning av informationssäkerheten eller någon annan händelse som kan förhindrar Tjänstens informationssäkerhet eller funktion eller störa den i väsentlig grad. I anmälan ska informeras om störningens eller hotets innehåll, uppskattade varaktighet och, om det är möjligt, om skyddsåtgärderna. Den Kundor- ganisationen ska dessutom informera Serviceproducenten när störningen eller hotet upphör. Kundorganisationen ska också underrätta Serviceproducenten om observe- rade sårbarheter, eventuella reparationsåtgärder och datasäkerhetsuppdateringar som gäller Anslutningsservrarnas installationspaket. Om Kundorganisationen utnytt- jar tjänsten via en Mellanaktör, sköter Mellanaktören motsvarande skyldigheter på sin egen kundorganisations vägnar beroende på vad Kundorganisationen och Mellanak- tören har kommit överens om.
DVV / PAL 4.12.2023
14 Behandling av personuppgifter och integritetsskydd
14.1 Behandling av personuppgifter och andra uppgifter samt integritets- skydd
Serviceproducenten, Kundorganisationen och Mellanaktören ser till och ansvarar för sin del för att personuppgifter och andra uppgifter behandlas på tillbörligt sätt och för att personuppgifter behandlas utan att dataskyddet eller integritetsskyddet äventyras. Serviceproducenten, Kundorganisationen och Mellanaktören ska se till att alla skyl- digheter gällande personuppgiftsansvarig enligt den allmänna dataskyddsförord- ningen (2016/679) tillgodoses och se till att båda för var sin del gör och publicerar nödvändiga meddelanden och rapporter gällande behandlingen av personuppgifter.
Serviceproducenten behandlar Tjänstens kunduppgifter på det sätt som närmare konstateras i Tjänstens dataskyddsbeskrivning. Uppgifter som gäller Kundorganisat- ionerna, Mellanaktörerna och Användarna sparas i Tjänstens register på det sätt som närmare konstateras i Tjänstens dataskyddsbeskrivning. Kundorganisationerna och/eller Mellanaktörerna behandlar också personuppgifter på deras Anslutnings- servrar och i system som kopplats till Anslutningsservrarna om personuppgifter be- handlas via Tjänsten. Dessutom kan Kundorganisationen och/eller Mellanaktören be- handla personuppgifter i E-tjänsterna.
Serviceproducenten behandlar personuppgifter i sin Tjänst, i sitt kund- och användar- register samt i andra register på det sätt som meddelas mer ingående i Tjänstens dataskyddsbeskrivningar. Uppgifter som gäller Kundorganisationerna, Mellanaktö- rerna och Användarna sparas i Tjänstens register på det sätt som närmare konstate- ras i Tjänstens dataskyddsbeskrivning. Serviceproducenten behandlar dock inte per- sonuppgifter som förmedlats via Anslutningsservrarna.
Serviceproducenten har rätt att behandla och överlåta personuppgifter enligt gällande dataskyddslagstiftning och övrig lagstiftning samt på de sätt som närmare beskrivs i dataskyddsbeskrivningen. Uppgifterna sparas under en nödvändig tid efter att kund- relationen eller produktionen av Tjänsten har upphört så att de skyldigheter som lag- stiftningen ålägger kan fullföljas.
Användarorganisationen och Mellanaktören ska förvara och arkivera transaktions- och logguppgifter som uppkommer i Användarorganisationens system och server på ett ändamålsenligt sätt och under den frist som lagstiftningen eller andra krav före- skriver.
14.2 Kakor
I Tjänsten används kakor både för personer som identifierat sig i Serviceadministrat- ionen och för användare som loggat in i API-katalogen. Behandlingen av uppgifterna beskrivs närmare i dataskyddsbeskrivningen.
15 Kundorganisationens datautrustning, program och förbindelser
Kundorganisationen ansvarar för anskaffningen, funktionen, uppdateringen och kost- naderna av de utrustningar, programvaror och nätförbindelser som användningen av
DVV / PAL 4.12.2023
Tjänsten kräver samt för att de inte orsakar störningar eller annan skada för Tjänsten eller andra användare.
16 Serviceproducentens ansvar och ansvarsbegränsning
Serviceproducenten ansvar begränsas endast till Tjänsten och till integriteten och rik- tigheten av den information som behandlas och tillhandahålls i Tjänsten till den som informationen behandlas i Tjänsten eller lämnas ut från Tjänsten, samt till den del som de system och servrar med vilka informationen behandlas eller med förmedling av vilka informationen lämnas ut ligger på Serviceproducentens ansvar. Ansvarsbe- gränsningen gäller inte situationer i vilka en skada uppkommer genom Serviceprodu- centens uppsåt eller grova oaktsamhet.
Serviceproducentens ansvar begränsas till funktionen av den installationskomponent som tillhandahålls för Anslutningsservrar och till funktionen och administrationen av Centralservern för Tjänsten. Serviceproducenten ansvarar för den information som behövs för att producera tjänsten på Centralservern. Sådana uppgifter är till exempel uppgifter som Kundorganisationer och/eller Mellanaktörer har meddelat och som be- hövs för att dirigera dataöverföringen mellan Anslutningsservrarna, såsom uppgifter om Anslutningsserverns placering.
Serviceproducenten ansvarar för Tjänstens kvalitet och kostnadseffektivitet, för att Tjänsten lämpar sig allmänt för sitt ändamål, för att den har nödvändiga prestanda samt för att den är så användarvänlig och tillgänglig som möjligt.
Serviceproducenten ansvarar för att den samkörning av uppgifter som produktionen av Tjänsten förutsätter är korrekt samt för informationssäkerheten för de uppgifter som behandlas i Tjänsten i den mån det är fråga om databehandling som Servicepro- ducenten ansvarar för.
Serviceproducenten ansvarar för att den Tjänst som den producerar har planerats, byggts upp och administrerats så att:
• den producerade Tjänsten har hög teknisk kvalitet och informationssäkerhet
• den tål de normala externa störningar och informationssäkerhetshot som kan vän- tas
• Tjänstens prestanda, tillgänglighet, kvalitet och funktionssäkerhet följs upp
• de betydande kränkningar av och hot mot informationssäkerheten som riktas mot den samt fel och störningar som medför betydande störningar i dess funktion kan upptäckas och repareras samt att
• ändringar som görs i den inte orsakar oförutsedda störningar i Användarorganisat- ionens E-tjänst som utnyttjar Tjänsten eller i fullföljandet av någon annan uppgift som Tjänsten används för att stöda.
Serviceproducenten ansvarar inte inför Kundorganisationen, Mellanaktören eller tredje part för:
• eventuella fel hos Tjänsteleverantörer eller andra tredje parter
• att Tjänsten är lämpad för eller kompatibel med specialbehoven hos en Kundorga- nisation, Mellanaktör eller E-tjänst
DVV / PAL 4.12.2023
• fel eller skador som uppkommer i en E-tjänst till följd av att Tjänsten används eller till följd av att uppgifter som Tjänsten innehåller används, tolkas eller missbrukas i E-tjänsten eller för att uppgifter förändras eller kommer bort i E-tjänsten
• E-tjänstens verksamhet som står i strid med Användarvillkoren eller lagstiftningen eller för skador som detta orsakar
• tillfälliga funktionsstörningar som förhindrar användningen av Tjänsten, för avbrott som orsakas av underhålls- eller installationsarbeten i Tjänsten som meddelats på förhand eller för avbrott som orsakas av installations- och reparationsarbeten som är kritiska med tanke på Tjänstens funktionaliteter och informationssäkerhet
• tekniska fel som är oberoende av Serviceproducenten eller för eventuella avbrott i datakommunikationsförbindelsernas eller Internets funktion
Hanteringen av och informationssäkerheten för Kundorganisationens eller Mellanak- törens Anslutningsserver och de Informationssystem som kopplats till den är på Kundorganisationens eller Mellanaktörens eget ansvar, enligt beskrivningen i punkt 13 Informationssäkerhet och kraven i anslutning till den. Serviceproducenten ansva- rar inte för eventuella informationssäkerhetsavvikelser, informationsläckor eller drift- störningar som orsakas av underhållet eller driften av Tjänstens Anslutningsservrar som Kundorganisationen eller Mellanaktören ansvarar för.
Till tjänsten hör i väsentlig grad att man utnyttjar förbindelser till tredje parts anslut- ningsservrar, inkl. Mellanaktörens Anslutningsservrar och E-tjänster som tillhanda- hålls av tredje part. På sådana servrar och tjänster som tillhandahålls av tredje parter tillämpas den aktuella tredje partens användarvillkor och andra villkor. Serviceprodu- centen ansvarar inte till någon del för en sådan tredje parts servrar eller tjänster eller för deras funktion eller användning eller för andra skador som eventuellt uppkommer. Serviceproducenten ansvarar inte heller för informationssäkerheten eller dataskyddet för eller innehållet i en sådan tredje parts servrar eller tjänster.
17 Sekretess och konfidentialitet
Serviceproducenten tillämpar bestämmelserna i lagen om offentlighet i myndigheter- nas verksamhet (621/1999) i sin verksamhet. I enlighet med lagen om offentlighet i myndigheternas verksamhet är myndighetshandlingar offentliga om inte annat före- skrivs.
Allt material som gäller Serviceproducentens, Kundorganisationens eller deras even- tuella underleverantörers affärsverksamhet eller tekniska lösningar som framkommer i samband med Tjänsten är sekretessbelagt, och det får inte yppas för utomstående om inte annat överenskoms eller har förutsatts. Serviceproducenten och Kundorgani- sationen ska i sin kommunikation om Tjänsten markera de handlingar eller de punk- ter i handlingarna som är sekretessbelagda, inklusive eventuella underleverantörers material.
Handlingar och andra material som lämnas ut i anslutning till skötseln av Tjänsten samt de uppgifter som förknippas med dem och som antecknats som sekretessbe- lagda eller som på annan grund kan betraktas som sådana genom deras anknytning till denna kontext omfattas av affärshemlighet och utgör konfidentiellt och sekretess- belagt material. Detsamma gäller de uppgifter som Serviceproducenten, Kundorgani- sationen eller Mellanaktören får kännedom om och som denne har förstått eller borde
DVV / PAL 4.12.2023
ha förstått som sekretessbelagda eller som någon annan har lagt fram som sekre- tessbelagda.
Serviceproducenten och Kundorganisationen är skyldiga att informera sina anställda och sina eventuella underleverantörer om vilket datamaterial som har uppkommit i samarbetet mellan Serviceproducenten och Kundorganisationen och/eller Mellanak- tören eller som behandlats på annat sätt utifrån Tjänsten är konfidentiellt samt om hur dess sekretess och konfidentialitet ska tryggas och i praktiken ordnas.
Sekretesskyldigheterna förblir i kraft även efter att produktionen eller utnyttjandet av Tjänsten har upphört.
Sekretessen i enlighet med denna punkt gäller inte material och uppgifter som förut- sätts bli publicerade som en del av Tjänsten eller dess användning.
Serviceproducenten, Kundorganisationen och Mellanaktören har rätt att på ett sed- vanligt och allmänt sätt informera om sin verksamhet utan brott mot de sekretessvill- kor som definieras i detta kapitel.
Sekretessen gäller inte sådana uppgifter som är offentligt tillgängliga eller uppgifter som har kommit till partens kännedom på lagligt sätt via tredje part utan att denne be- rörs av sekretesskyldigheten.
18 Skadeståndsskyldighet
Serviceproducenten är inte skyldig att ersätta eventuella indirekta skador som an- vändningen av Tjänsten orsakar Kundorganisationen, Mellanaktören Användaren el- ler Slutanvändaren. Serviceproducenten är ansvarig gentemot Kundorganisationen, Mellanaktören Användaren eller Slutanvändaren för direkta skador som är en följd av Serviceproducentens uppsåt eller grova oaktsamhet.
Om Serviceproducenten måste betala ersättningar till en tredje part på grund av E- tjänstens, Kundorganisationens eller Mellanaktörens verksamhet, är Kundorganisat- ionen eller Mellanaktören ansvarig gentemot Serviceproducenten till fullt belopp för de ersättningar som Serviceproducenten betalat till den tredje parten.
19 Oöverstigligt hinder
Ett oöverstigligt hinder (force majeure) frigör Serviceproducenten från de skyldigheter som anknyter till Tjänsten om hindret förhindrar eller medför orimliga svårigheter att fullfölja en prestation i anslutning till Tjänsten. Ett överstigligt hinder kan vara till ex- empel krig, uppror, interna oroligheter, myndigheternas tvångsrekvisition eller beslag för offentligt behov, strejk eller annan arbetsinställelse, naturkatastrof såsom jordbäv- ning eller översvämning, avbrott i den allmänna samfärdseln eller energidistribut- ionen, störning i energidistributionen, brist på råvara eller tillbehör, kabel- eller annan datakommunikationsstörning som orsakats av utomstående eller någon annan lik- nande orsak som inte varit känd på förhand och som man skäligen inte kunna förbe- reda sig för.
DVV / PAL 4.12.2023
Serviceproducenten informerar om force majeure på sin webbplats, på Serviceadmi- nistrationen samt till Kundorganisationens och/eller Mellanaktörens kontaktperson utan dröjsmål efter att orsaken framkommit, om det är möjligt att informera om den.
20 Uppföljning och kontroll
Serviceproducenten följer upp och övervakar användningen av Tjänsten, genomfö- randet av dataskyddet och informationssäkerheten samt lagligheten av behandlingen av uppgifterna när Tjänsten utnyttjas.
Kundorganisationen och Mellanaktören övervakar för egen del hur dataskyddet och informationssäkerheten genomförs och att uppgifterna behandlas i enlighet med la- gen. Kundorganisationen och Mellanaktören ska utse en ansvarig för dataskyddet och informationssäkerheten om Serviceproducenten förutsätter det samt se till att an- ställda som använder Tjänsten har fått tillräcklig utbildning i informationssäkerhet.
För att möjliggöra övervakning i efterhand underhålls transaktions- och logguppgifter om utlämnande av uppgifter i anslutning till Tjänsten och annan behandling. Service- producenten underhåller separat definierade transaktions- och logguppgifter om Tjänsten. Lagringen av logguppgifter beskrivs närmare i dataskyddsbeskrivningen som finns på Serviceadministrationens webbplats eller motsvarande.
Kundorganisationen och/eller Mellanaktören ska underhålla de transaktions- och logguppgifter som Tjänsten eller tredje part eventuellt förutsätter. Transaktions- och logguppgifterna baseras på identifierade Kundorganisationer och Användare samt på andra uppgifter om behandlingen av uppgifterna. Om det finns anledning att miss- tänka missbruk är det med hjälp av transaktions- och logguppgifterna möjligt att ut- reda den part som behandlat uppgifterna. Serviceproducenten har rätt att av Kundor- ganisationen, Mellanaktören eller Användaren få den utredning om användningen av Tjänsten som Serviceproducenten förutsätter inom den frist som Serviceproducenten meddelat.
21 Rapportering
Serviceproducenten följer upp kvalitetsavvikelser, avbrott och fel samt avvikelser i in- formationssäkerheten och dataskyddet i Tjänsten och genomförandet av åtgärder för att avhjälpa dem samt rapporterar om dem till olika parter. Serviceproducenten rap- porterar om de aktuella helheterna och om utvecklandet av Tjänsten till Kundorgani- sationerna och Mellanaktörerna i Serviceadministrationen eller på annat sätt. Dessu- tom kan Serviceproducenten eller NIIS samla in operativa data om till exempel An- slutningsservrarnas energiförbrukning och utnyttja dessa uppgifter för att utveckla tjänsten.
22 Revision av Tjänsten
Tjänsten kan revideras av Finansministeriet, Traficom, annan part som reviderar Ser- viceproducentens verksamhet eller en part som utför revision och som Serviceprodu- centen anlitat på avtalsbasis. Kundorganisationerna eller Mellanaktörerna har inte rätt att revidera Tjänsten eller utföra inspektioner av dem.
DVV / PAL 4.12.2023
Tjänsten bygger ursprungligen på den estniska programvaran X-Road, vars källkod har reviderats av Kommunikationsverket. NIIS ansvarar idag för utvecklingen av kärn- komponenterna i X-Road-tekniken som Tjänsten använder. Den fortsatta utveckl- ingen av Tjänsten revideras vid sidan av tillämpningsutvecklingen och innan nya funktionaliteter förs till produktion.
23 Överföring av rättigheter och skyldigheter
Kundorganisationen eller Xxxxxxxxxxxxx har inte rätt att överföra användningsrätten till Tjänsten eller de rättigheter och skyldigheter som anknyter till den till tredje part utan förhandsmeddelande till Serviceproducenten och utan Serviceproducentens godkännande. I en situation där organisationen vill överföra sin användningsskyldig- het sker detta enligt Serviceproducentens anvisningar som beskrivs på Serviceadmi- nistrationens webbplats eller motsvarande.
En Kundorganisation som tillhör statsförvaltningen har rätt att delvis eller helt över- föra användningsrätten till Tjänsten och de rättigheter och skyldigheter som anknyter till den till en annan enhet inom statsförvaltningen till vilken uppgifter som hör till Kundorganisationen överförs. Serviceproducenten ska informeras skriftligen om för- flyttningen på förhand.
Serviceproducenten har rätt att överföra rätten att producera Tjänsten och de rättig- heter och skyldigheter som anknyter till den till en annan enhet inom statsförvalt- ningen till vilken uppgifter som ankommer på Serviceproducenten överförs.
24 Avsluta tjänsten
Vid avslutande av Tjänsten ska lagstadgade skyldigheter beaktas.
En Kundorganisation har rätt att sluta använda tjänsten när som helst utan att ange någon orsak. En kundorganisation kan passivera Tjänsten eller sluta använda tjäns- ten på det sätt som Serviceproducenten förutsätter. Närmare anvisningar om hur man avslutar användningen av Tjänsten finns på Serviceadministrationens webbplats eller motsvarande.
Mellanaktören har rätt att avsluta tjänsten när som helst utan orsak, dock med iaktta- gande av avtal som ingåtts med dess egna kundorganisationer. Mellanaktören kan passivera Tjänsten eller sluta använda Tjänsten på det sätt som Serviceproducenten förutsätter, med iakttagande av avtal som den ingåtts med sina kundorganisationer. Närmare anvisningar om hur man avslutar användningen av Tjänsten finns på Ser- viceadministrationens webbplats eller motsvarande.
Serviceproducenten har rätt att avsluta produktionen av Tjänsten helt eller delvis, om det finns särskilt grundad anledning till detta. Serviceproducenten kan stänga eller avbryta Tjänsten om det finns anledning att misstänka att Tjänstens informationssä- kerhet är hotad eller om det finns anledning att misstänka att Tjänstens funktion inte uppfyller kraven.
Serviceproducenten har dessutom rätt att avsluta produktionen av Tjänsten till en särskild Kundorganisation eller Mellanaktör eller återkalla en bestämd Användares användningsrätt på sådana grunder som avses i punkt 12 Serviceproducentens rätt
DVV / PAL 4.12.2023
att förhindra användningen av Tjänsten eller om det finns motiverade skäl att miss- tänka annat missbruk. Produktionen av Tjänsten kan avslutas eller rätten att använda tjänsten återkallas med omedelbar verkan. Om det enligt Serviceproducentens be- dömning inte är nödvändigt att avsluta eller återkalla Tjänsten med omedelbar ver- kan, lämnar Serviceproducenten på förhand skriftlig information om avslutandet eller återkallelsen och dess grunder.
Serviceproducenten är inte skyldig att ersätta eventuella inkomstbortfall eller skador som avslutandet av produktionen eller återkallandet av användarrätten medför för Kundorganisationerna, Mellanaktörerna eller andra parter.
25 Tillämplig lag och avgörande av meningsskiljaktigheter
På Tjänsten tillämpas Finlands lag, med undantag av bestämmelserna om val av lag.
Serviceproducentens beslut om registrering, godkännande för användning av Tjäns- ten och förhindrande av användningen av Tjänsten är förvaltningsbeslut. Menings- skiljaktigheter som gäller dessa beslut avgörs genom förfarandet för ändringssö- kande. Rättelse av Serviceproducentens beslut får begäras hos Serviceproducenten. Rättelse ska yrkas med skriftligt rättelseyrkande. Beslut som meddelats med anled- ning av en begäran om rättelse får överklagas genom besvär. Ändring kan sökas skriftligen hos Helsingfors förvaltningsdomstol.
Anvisning för rättelseyrkande och besvärsanvisning
Parterna strävar efter att lösa andra eventuella meningsskiljaktigheter genom för- handlingar mellan parterna.
På avtalsförhållanden och användarvillkor mellan en annan myndighet eller Service- producenten eller en tredje part och en Kundorganisation eller en Mellanaktör tilläm- pas lagen och villkoren enligt det som separat föreskrivits eller överenskommits om dem.
Meningsskiljaktigheter mellan en annan myndighet och Serviceproducenten eller mel- lan en tredje part och en Kundorganisation eller en Mellanaktör avgörs enligt det som separat föreskrivits eller överenskommits om dem.