Tilläggsavtal för e-legitimering - eIDAS

Ärendenr:

2021-2858


Shape2

Tilläggsavtal
för e-legitimering - eIDAS

1.Parter

Detta tilläggsavtal om anslutning av Leverantör av identitetsintyg för elektronisk identifiering i andra länder än Sverige där eIDAS-förordningen gäller (”Tilläggsavtalet”), har träffats mellan:

  1. Myndigheten för digital förvaltning (”DIGG”), org. nr 202100-6883

  2. ___________________________________ (”Leverantör av identitetsintyg”)

Namn och xxx.xx

(var och en ”Part” och gemensamt ”Parterna”).

Är Leverantör av identitetsintyg en statlig myndighet och därmed en del av samma juridiska person som DIGG regleras också den överenskommelsen genom Tilläggsavtalet så att även en sådan Leverantör av identitetsintyg ansluter sig genom de förfaranden som följer av Tilläggsavtalet. Skulle en tvist uppkomma mellan DIGG och en sådan statlig myndighet angående tolkning eller tillämpning av Tilläggsavtalet och därmed sammanhängande rättsförhållanden tillämpas punkten 24.3.

Skulle en tvist uppkomma mellan DIGG och en annan Leverantör av identitetsintyg än en statlig myndighet tillämpas vad som i övrigt sägs om tvist i detta Tilläggsavtal.

2.Inledning

    1. XXXX har regeringens uppdrag att samordna arbetet inom offentlig sektor vad gäller bland annat elektronisk identifiering. För nationell elektronisk identifiering finns det olika regelverk och avtal om anslutning; avtal om valfrihetssystem, antingen Valfrihetssystem 2017 E-legitimering eller Valfrihetssystem 2018 E-legitimering, och avtal om förbetald elektronisk identifiering. Regeringen överväger också ett förslag om att ersätta valfrihetssystem med så kallade auktorisationssystem. Ett offentligt organ kan dessutom ha tecknat avtal med en utfärdare av E-legitimation eller annars ha infört regler så att en viss typ av E-legitimation kan användas för åtkomst till det organets tjänster, utan att avtal har tecknats med DIGG för denna användning inom Sverige, så som vid förbetald elektronisk identifiering.

    2. DIGG och Leverantören av identitetsintyg har tecknat avtal om e-legitimering för nationell trafik (”Anslutningsavtalet”). Parternas Anslutningsavtal avser ett av de två i punkt 2.1 nämnda valfrihetssystemen eller förbetald elektronisk identifiering. Genomförs förslaget om auktorisationssystem kan ett sådant Anslutningsavtal också komma att tecknas mellan parterna. Uppgift om vilket Anslutningsavtal Parterna vid var tid har tecknat och som därmed ligger till grund för detta Tilläggsavtal finns att tillgå på DIGG:s webbplats, xxx.xxxx.xx. Till förtydligande ska anges att Tilläggsavtalets giltighet inte behöver påverkas av om Parterna under avtalstiden för Tilläggsavtalet träffar annat avtal för nationell trafik än det som gäller vid tidpunkten för tecknandet av Tilläggsavtalet.

    3. Genom Anslutningsavtalet gäller vissa tillitskrav och tekniska krav för automatiserad kontroll av vem som har använt sin e-legitimation (”Elektronisk identitetskontroll”).

    4. Parterna har också tecknat licensavtal för utfärdare av Svensk e-legitimation (”Licensavtalet”) där Tillitsramverket för Svensk e-legitimation, i aktuell uppdaterad version, utgör en del.

    5. eIDAS-förordningen syftar bland annat till att E-legitimationer utfärdade i ett EU land ska kunna användas för elektronisk identifiering även i andra länder inom EU och EES.

    6. DIGG har en central roll vid användningen av intyg i elektronisk form med uppgifter om användares identitet och attribut (”Identitetsintyg”) och ansvarar för de svenska förbindelsepunkterna för gränsöverskridande elektronisk identifiering (”eIDAS-noden”) som i enlighet med eIDAS-förordningen används så att Identitetsintyg lämnas till aktörer i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller.

    7. Leverantör av identitetsintyg vill att Identitetsintyg som denne utfärdar ska kunna användas för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller

    8. Detta Tilläggsavtal reglerar villkoren för att Leverantör av identitetsintyg ska få tillhandahålla Elektronisk identitetskontroll och Identitetsintyg för elektronisk identifiering i andra länder än Sverige genom det av Sverige Anmälda systemet för elektronisk identifiering. Avtalet har föregåtts av DIGG:s prövning av Leverantören av identitetsintygs ansökan om att få ingå i Anmält system för elektronisk identifiering.

    9. Till förtydligande ska anges att DIGG har träffat Tilläggsavtalet endast för egen del och att Förlitande parter, med vilka DIGG – i egenskap av ombud och för egen del – träffat avtal för nationell trafik, inte är part i Tilläggsavtalet.

    10. Om Leverantör av identitetsintyg är en myndighet eller annars omfattas av reglerna i 2 kap. tryckfrihetsförordningen om offentlighetsinsyn ska beslut om att lämna intyg fattas automatiserat genom en sådan teknisk funktion för fråga och svar som har beskrivits i HFD 2015 ref. 61 (det s.k. LEFI Onlinemålet).

3.Omfattning av Tilläggsavtalet för elektronisk identifiering

    1. Tilläggsavtalet anger villkoren för leverans av Identitetsintyg till eIDAS-noden och omfattar de funktioner som fordras för att tillhandahålla Identitetsintyg inom det av Sverige Anmälda systemet för elektronisk identifiering, baserat på eIDAS förordningen.



    1. Tilläggsavtalet förutsätter att Anslutningsavtalet och Xxxxxxxxxxxxx är gällande mellan Xxxxxxxx. Upphör Anslutningsavtalet eller Licensavtalet att gälla upphör även detta Tilläggsavtal, såvida Parterna inte träffat annat avtal rörande elektronisk identifiering som gäller vid elektronisk identifiering i enlighet med detta Tilläggsavtal.


    1. Om inte annat följer av Tilläggsavtalet ska Leverantör av identitetsintyg, även för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller, utföra sina åtaganden enligt Anslutningsavtalet och Licensavtalet


    1. Begrepp som används i Tilläggsavtalet har samma innebörd som i Anslutningsavtalet om annat inte anges i punkten 6 eller framgår av sammanhanget.





4.Avtalsdokument

    1. Tilläggsavtalet är ett tillägg till Anslutningsavtalet och Licensavtalet. Anslutningsavtalet och Licensavtalet gäller även vid elektronisk identifiering i andra länder än Sverige, vid transaktioner där eIDAS-förordningen gäller, enligt den lydelse de vid var tid har, såvida annat inte meddelas av DIGG. Även avtalsbilagor till Anslutningsavtalet blir således tillämpliga på Tilläggsavtalet om inte annat anges i det följande. Bland annat de Tekniska kraven, numera betecknade Tekniskt ramverk för Sweden Connect, omfattas därmed av Tilläggsavtalet. Som framgått av punkten 2.5 har Parterna också tecknat Licensavtalet där Tillitsramverket för Svensk e-legitimation, i aktuell uppdaterad version, utgör en del. Det är detta Tillitsramverk för Svensk e-legitimation som gäller inom Tilläggsavtalets tillämpningsområde.

    2. Härutöver omfattar Tilläggsavtalet följande bilaga;

  1. Tekniskt ramverk för Sweden Connect, bilaga 1



    1. Bilagorna gäller enligt vid var tid aktuell lydelse. På DIGG:s webbplats, xxx.xxxx.xx, finns att tillgå Anslutningsavtalet, Licensavtalet, jämte bilagor och bilagorna till detta Tilläggsavtal i aktuell lydelse samt den i punkt 4.6 nämnda beskrivningen.

    2. Leverantören av identitetsintyg har beskrivit sin tjänst i en ansökan om att bli godkänd för kvalitetsmärket Svensk e-legitimation och har som framgått av punkten 2.7 tecknat Licensavtalet. Uppdateringar av dessa beskrivningar äger rum inom ramen för Licensavtalet. Leverantören svarar vid utförande av sina åtaganden enligt Xxxxxxxxxxxxxxx för att de utförs i enlighet med beskrivningarna för kvalitetsmärket Svensk e-legitimation. För den del av hantering som rör trafik i andra länder än Sverige gäller eIDAS-förordningen och de rättsakter som meddelas med stöd av eIDAS-förordningen.

    3. Leverantör av identitetsintyg ansvarar vid utförande av sina åtaganden enligt Tilläggsavtalet även för att de utförs i enlighet med den beskrivning av Leverantör av identitetsintygs system som lämnas i anmälan till Europeiska kommissionen enligt artikel 9 eIDAS-förordningen.

    4. Det ankommer på Leverantören av identitetsintyg att löpande hålla sig uppdaterad om förändringar i Anslutningsavtalet och Licensavtalet jämte bilagorna och bilagorna till detta Tilläggsavtal.

5.Gällande regler och tolkningsordning

    1. Detta Avtal ska följa eIDAS-förordningen och de rättsakter som meddelas med stöd av eIDAS-förordningen, lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering samt tillämpliga myndighetsföreskrifter som DIGG från tid till annan har meddelat.


    1. Skulle någon bestämmelse i Tilläggsavtalet strida mot eIDAS-förordningen, en annan EU-förordning, en genomförandeförordning som Europeiska kommissionen har antagit eller någon regel i svensk lag eller författning, har EU-förordningen eller genomförandeförordningen respektive svenska lagar, förordningar eller myndighetsföreskrifter, i från tid till annan gällande lydelse, företräde framför Tilläggsavtalet.


    1. Om någon bestämmelse i Tilläggsavtalet är stridig mot någon bestämmelse i Anslutningsavtalet eller Licensavtalet har vad som anges i Tilläggsavtalet företräde framför Anslutningsavtalet respektive Licensavtalet.


    1. Om bestämmelser i Tilläggsavtalet är motstridiga ska

  1. en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,

  2. en bestämmelse i denna huvudtext gå före en bestämmelse i bilagan,

  3. en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre, och

  4. en specifik bestämmelse gå före en allmän bestämmelse.


    1. Dessa tolkningsregler ska tillämpas så att en tidigare, i a–d nämnd regel går före en senare nämnd regel.

6.Definitioner och begrepp

De begrepp och definitioner som används i Anslutningsavtalet och Licensavtalet används även i Tilläggsavtalet, med följande förändringar och förtydliganden.


  1. Leverantör av identitetsintyg: den som enligt tillämpligt Anslutningsavtal levererar en tjänst där Identitetsintyg upprättas och levereras till eIDAS-noden, i valfrihetssystemen betecknad ”Leverantör” för nationell trafik,



  1. Använda sin e-legitimation: förfarande där Användaren styrker sin identitet genom att använda sin E-legitimation, i valfrihetssystemen betecknat ”Legitimering” som utförs i en ”Legitimeringsfunktion”, numera i exempelvis dialogrutor kallat ”Identifiering”,


  1. Elektronisk identitetskontroll: automatiserad kontroll av vem som har Använt sin e-legitimation, i valfrihetssystemen betecknat ”Identifiering”,


  1. Intygsfunktion: tjänst där Identitetsintyg ställs ut efter Elektronisk identitetskontroll, i valfrihetssystemen betecknat ”Identifiering” som äger rum i en ”Identifieringsfunktion”,


  1. Aktörsregistret: samlingsbeteckning för de uppgifter som DIGG registrerar om de aktörer som är anslutna för elektronisk identifiering inom Anmält system för elektronisk identifiering,


  1. eIDAS tillitsramverk: de krav som följer av Kommissionens genomförandeförordning (EU) 2015/1502 om fastställande av tillitsnivåer för gränsöverskridande Identitetskontroll och som gäller för den som utfärdar E-legitimation inom Anmält system för elektronisk identifiering,


  1. eIDAS-noden: de svenska förbindelsepunkterna (noderna) för gränsöverskridande Elektronisk identifiering som i enlighet med eIDAS-förordningen används för befordran och anpassning av Identitetsintyg så att de kan lämnas till noder i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller,


  1. eIDAS-förordningen: Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1993/93/EG samt rättsakter som har meddelats med stöd av förordningen,


  1. Anmälda systemet för elektronisk identifiering: svenskt system som har anmälts enligt eIDAS-förordningen för gränsöverskridande användning,


  1. Anslutningsavtalet: det vid varje tid gällande avtal som ligger till grund för detta Tilläggsavtal och som Parterna har tecknat i enlighet med punkten 2.2.


  1. Regelverket: det regelverk som gäller mellan Parterna enligt Anslutningsavtalet.

7.Regler för elektronisk identifiering

    1. DIGG svarar för att elektronisk identifiering ska kunna ske på ett säkert och effektivt sätt i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller och tillhandahåller därför;

  1. Drift och administration av eIDAS-noden,

  2. Administration av Aktörsregistret,

  3. Regelverket, och

  4. den svenska funktionen för rapportering av händelser som kan ha betydelse för eIDAS-nodens funktionalitet eller säkerhet, så att DIGG kan uppfylla sina skyldigheter enligt Avtalet, artikel 10 eIDAS-förordningen, artikel 4 kommissionens genomförandebeslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete och 1 c § lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, i enlighet med de föreskrifter DIGG meddelar med stöd av 7 § 2 förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

    1. DIGG handlägger och prövar ansökningar om att få ingå i Anmält system för elektronisk identifiering. I Tilläggsavtalet regleras inte hur handläggningen och prövningen av en sådan ansökan ska utföras.

    2. DIGG kan besluta om ändring av de interna föreskrifterna om ändringsrutiner och Tillägget till interna föreskrifter om ändringsrutiner, bilaga 2.

    3. När DIGG tillhandahåller elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller nyttjar DIGG de funktioner som enligt Anslutningsavtalet och Licensavtalet tillhandahålls åt Förlitande parter i förhållande till Leverantör av identitetsintyg för nationell trafik.

8.Tillitskrav m.m. vid identifiering

    1. Tillitskrav för identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller följer av kommissionens genomförandeförordning (EU) 2015/1502 om fastställande av tillitsnivåer för gränsöverskridande identifiering (”eIDAS-förordningens tillitsramverk”). Dessa nivåer motsvarar de tillitsnivåer som följer av Tillitsramverket för Svensk e-legitimation.


    1. Baserat på ansökan från Leverantören av identitetsintyg och DIGG:s prövning anmäler DIGG den tillitsnivå som ska vara uppfylld.


    1. När en Användare av Svensk e-legitimation Använder sin e-legitimation och Leverantören av identitetsintyg hanterar Intygsfunktionen och ställer ut Identitetsintyg svarar leverantören för att anmäld tillitsnivå uppfylls.


    1. När Användare Använder sin e-legitimation för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller ska Leverantören av identitetsintyg se till att den E-legitimation som används och funktionerna för elektronisk identifiering uppfyller minst begärd tillitsnivå.


9.DIGG:s åtaganden

    1. DIGG ska svara för de åtaganden som framgår av punkt 7.1 så att Leverantör av identitetsintyg kan erbjuda Användare identifiering med Svensk e-legitimation i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller när E-legitimationen ingår i ett Anmält system för elektronisk identifiering som anges i den i Europeiska unionens officiella tidning senast offentliggjorda förteckningen över anmälda system.

    2. DIGG ska hantera Identitetsintyg och kommunikationen i övrigt i enlig-het med de specifikationer, regler, krav, tjänster och kontrollfunktioner som ska tillämpas enligt Tilläggsavtalet och vad som följer av eIDAS-förordningen och de rättsakter som har meddelats med stöd av eIDAS-förordningen. Detta innebär att DIGG i enlighet med nämnda reglering ska använda de Identitetsintyg som mottas från Leverantör av identitetsintyg för leverans av Identitetsintyg till andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller.

    3. För användningen av levererade Identitetsintyg i andra länder än Sverige gäller eIDAS-förordningen och de rättsakter som meddelats med stöd av eIDAS-förordningen samt där i övrigt tillämplig reglering.

    4. DIGG ska vägleda Leverantör av identitetsintyg vid anslutning till Funktionerna för elektronisk identifiering så att Leverantör av identitetsintyg

  1. utformar det tekniska och administrativa förfarandet effektivt och säkert,

  2. inför användardialoger som är utformade så att de inte riskerar att missförstås av Användare som Använder sin e-legitimation.

    1. DIGG bereder och genomför ändringar i Tilläggsavtalet och de funktioner som används för elektronisk identifiering enligt de förfaranden för ändringar och tillägg som följer av punkten 11 och av DIGG beslutade interna föreskrifter om ändringsrutiner.

    2. DIGG ska tillhandahålla expertstöd där Leverantör av identitetsintyg via e-post eller annan av DIGG angiven kontaktväg kan ställa frågor rörande elektronisk identifiering vid transaktioner där eIDAS-förordningen gäller. På sin webbplats ska DIGG publicera kontaktuppgifter för sådant stöd och lämna grundläggande information. DIGG sänder också viss information till funktionsbrevlådor enligt bilaga 4.



10. Leverantör av identitetsintyg

    1. Leverantör av identitetsintyg ska leverera den funktion där Användare Använder sin e-legitimation och den tjänst där Elektronisk identitetskontroll sker och Identitetsintyg ställs ut (”Intygsfunktion”) samt leverera Identitetsintyg direkt till eIDAS-noden i enlighet med de specifikationer, regler, krav, tjänster och administrativa kontrollfunktioner som omfattas av Tilläggsavtalet och vad som följer av Anslutningsavtalet, Licensavtalet, eIDAS-förordningen, de rättsakter som har meddelats med stöd av eIDAS-förordningen, lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och de myndighetsföreskrifter som DIGG meddelar.


    1. Leverantör av identitetsintyg ska utföra Elektroniska identitetskontroller och lämna Identitetsintyg på begäran av DIGG efter att offentliga organ i andra länder än Sverige har begärt Identitetsintyg. Leverantör av identitetsintyg får också utföra Elektroniska identitetskontroller och lämna Identitetsintyg på begäran av DIGG efter att andra organ än offentliga, i andra länder än Sverige, har begärt Identitetsintyg.


    1. Leverantör av identitetsintyg ansvarar för att utfärdade E-legitimationer, funktionen där Användaren Använder sin e-legitimation, Intygsfunktionen och Identitetsintygen, vid tidpunkten för den Elektroniska identitetskontrollen, uppfyller de krav som följer av detta Tilläggsavtal.


    1. Leverantör av identitetsintyg ska hantera elektronisk identifiering så att den kan ske på ett effektivt och säkert sätt. Hit hör bland annat att kontrollera identiteter på ett tillförlitligt sätt och att skydda kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som följer av Tilläggsavtalet.


    1. Leverantör av identitetsintyg ska utforma sitt tekniska och administrativa förfarande i enlighet med DIGG:s rådgivning enligt punkt 9.4 så att hanteringen blir effektiv och säker, nationellt och internationellt, och tillhandahålla användardialoger som är utformade så att de inte riskerar att missförstås av Användare.


    1. Leverantör av identitetsintyg ska i skälig omfattning, från tid till annan i enlighet med instruktioner från DIGG, medverka till tester av Leverantör av identitetsintygs anslutning och andra funktioner som används för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller.


    1. Leverantören av identitetsintyg åtar sig att inte ta ut någon ersättning för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller.


    1. Leverantör av identitetsintyg ska rapportera händelser och ta emot rapporter om händelser i enlighet med punkten 13.


    1. Leverantör av identitetsintyg ska se till att denne under hela avtalstiden har erforderlig ansvarsförsäkring för skada som denne orsakar med anledning av Tilläggsavtalet.

11. Ändringar och tillägg

    1. DIGG ska fortlöpande hålla Leverantör av identitetsintyg underrättad om hur funktioner för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller utvecklas och vilka ändringar och tillägg som planeras.


    2. De av DIGG tillhandahållna funktionerna för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller administreras och förvaltas av DIGG på det sätt som föreskrivs i Regelverket för Anslutningsavtalet och i DIGG:s senast beslutade interna föreskrifter om ändringsrutiner. Ändring av och tillägg till Tilläggsavtalet ska ske enligt DIGG:s interna föreskrifter i den mån och utsträckning dessa föreskrifter avser Parts åtaganden enligt Tilläggsavtalet. I övrigt sker ändringar och tillägg genom överenskommelse mellan parterna såvida inte annat följer av Anslutningsavtalet.


    1. DIGG ska agera proaktivt och eftersträva förbättringar av de funktioner som används för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller.

12. Anmälan av uppgifter för registrering i Aktörsregistret

    1. Leverantör av identitetsintyg ska senast 14 dagar efter Tilläggsavtalets undertecknande genom kontaktperson som är behörig enligt bilaga 4 anmäla kompletterande uppgifter om Leverantör av identitetsintygs metadata till DIGG, som därefter skyndsamt ska registrera uppgifterna i Aktörsregistret. Parterna kan dock skriftligen överenskomma om att Leverantör av identitetsintygs metadata lämnas vid en annan tidpunkt.


    1. Leverantör av identitetsintyg äger inte rätt att använda sig av funktioner för elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller förrän DIGG har registrerat Leverantör av identitetsintygs kompletterande uppgifter i Aktörsregistret.


    1. Om Leverantör av identitetsintyg inte lämnat uppgifter till DIGG på så sätt och inom tid som sägs i punkten 12.1 äger DIGG rätt att omedelbart säga upp Tilläggsavtalet.


13. Underrättelse om händelser som rör eIDAS-nodens funktionalitet eller säkerhet

    1. Leverantör av identitetsintyg ska enligt 1 c § lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering så snart som möjligt underrätta DIGG om händelser som kan ha betydelse för nodens funktionalitet eller säkerhet. Leverantör av identitetsintyg ska fullgöra Underrättelseskyldigheten enligt de föreskrifter som regeringen meddelar eller DIGG meddelar med stöd av 7 § 2 förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

    2. Som framgått av punkten 2.7 har Parterna tecknat Licensavtalet. Om inte annat följer av författning enligt punkten 13.1 ska Leverantören av identitetsintyg lämna underrättelse inom Tilläggsavtalets tillämpningsområde enligt de regler som följer av Licensavtalet med de tillägg och förändringar som följer av Tillägg till Rapporteringsrutiner, bilaga 3.

14. Kontroll

    1. Leverantör av identitetsintyg ska årligen efter varje avslutad intern- eller externrevision i enlighet med bestämmelserna i Tillitsramverket för Svensk e-legitimation skicka en revisionsrapport till DIGG. Revisions-rapporten ska ha kommit in till DIGG senast en månad efter det att internrevisionen ska vara avslutad enligt fastställd revisionsplan, om inte DIGG skriftligen har medgett undantag från skyldigheten att lämna revisionsrapport eller från den tidpunkt när en revisionsrapport ska ha getts in till DIGG.


    1. DIGG har enligt Regelverket för Anslutningsavtalet möjlighet att utföra kontroller hos Leverantör av Identitetskontroll. Sådan rätt omfattar även kontroll enligt Tilläggsavtalet.


    1. Om det vid en kontroll enligt punkt 14.1 eller 14.2 framkommer att Leverantör av identitetsintyg eller en underleverantör till denne brustit i sin hantering, ska Leverantör av identitetsintyg bära kostnaderna för kontrollen i den utsträckning sådan kostnad inte är oskälig. I annat fall bär vardera Parten sina egna kostnader.

15.Behandling av personuppgifter

    1. Respektive Part ansvarar själv som personuppgiftsansvarig för den behandling av personuppgifter som Parten genomför i anslutning till elektronisk identifiering i andra länder än Sverige vid transaktioner där eIDAS-förordningen gäller. Personuppgiftsansvaret för Parternas behandling av personuppgifter har översiktligt beskrivits i det i punkten 2 angivna Anslutningsavtalet.


    1. För den tillkommande behandling av personuppgifter som sker vid tillhandahållandet av eIDAS-noden för gränsöverskridande elektronisk identifiering är DIGG personuppgiftsansvarig (prop. 2020/21:81).


    1. Part ansvarar i förekommande fall för att upprätta sedvanligt personuppgiftsbiträdesavtal, i enlighet med vad som följer av EU:s dataskyddsförordning, med under Avtalet anlitade underleverantörer som behandlar personuppgifter för Parts räkning.

16. Sekretess och tystnadsplikt

    1. Vad som anges i Anslutningsavtalet om sekretess och tystnadsplikt gäller även detta Tilläggsavtal. Utöver vad som följer av Anslutningsavtalet gäller följande.


    1. Leverantör av identitetsintyg garanterar att denne, och de underleverantörer för vilka Leverantör av identitetsintyg svarar, inte under avtalstiden omfattas av utländsk lagstiftning som innebär att Leverantör av identitetsintyg, eller annan för vilken Leverantör av identitetsintyg svarar, är eller kan komma att bli skyldig att överlämna sekretessreglerade uppgifter, utan att laglig grund föreligger enligt svensk rätt.

17. Immateriella rättigheter

Tilläggsavtalet ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.

18. Reklamation

Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Xxxxxxxxxxxxxxx inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts.

19. Ansvarsbegränsningar

    1. Parts skadeståndsansvar är begränsat till ansvar för direkt skada som Parten vållar annan Part genom vårdslöshet. Parts skadeståndsansvar per skadetillfälle är begränsat till ett sammanlagt belopp som motsvarar 10 prisbasbelopp enligt socialförsäkringsbalken (2010:110).


    1. Begränsningarna som anges i punkten 19.1 ska dock inte gälla om uppsåt eller grov vårdslöshet föreligger.


    1. De begränsningar som anges i punkten 19.1 ska inte heller gälla för det fall DIGG eller svenska staten hålls ansvarig enligt artikel 11.1 eIDAS-förordningen för skada hos tredje man som orsakats av Leverantör av identitetsintyg eller en underleverantör för vilken Leverantör av identitetsintyg ansvarar.


    1. Framställs ett krav mot DIGG eller svenska staten och kan det skäligen antas att detta krav kan komma att beröra Leverantör av identitetsintyg i enlighet med punkten 19.3 ska DIGG informera Leverantör av identitetsintyg om kravet. DIGG ska i skälig omfattning samråda med Leverantör av identitetsintyg vid bemötande av kravet samt vid en eventuell rättslig process. Leverantör av identitetsintyg ska på begäran av DIGG lämna information till DIGG och svenska staten samt i övrigt i skälig omfattning medverka så att DIGG:s, svenska statens och Leverantör av identitetsintygs intressen kan tas tillvara.

20. Befrielsegrund

    1. Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Tilläggsavtalet ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation samt befrielse från skadestånd och andra påföljder, under förutsättning att hindret består av antingen:


  1. en omständighet som Parten inte kunnat råda över och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 § regeringsformen, oavsett om Xxxxxx själv är föremål för eller vidtar sådan åtgärd), eller

  2. att underleverantör till Part förhindras fullgöra sin leverans på grund av sådan omständighet som anges i a).


    1. Om en Part önskar åberopa en befrielsegrund ska Parten utan oskäligt dröjsmål lämna skriftligt meddelande om detta till den andra Parten.

21. Begränsning av åtkomst till funktioner

    1. Om Leverantör av identitetsintyg eller en underleverantör till denne bryter mot Tilläggsavtalet, Anslutningsavtalet eller Licensavtalet eller om Leverantör av identitetsintygs eller underleverantörs deltagande i eller agerande rörande funktioner för elektronisk identifiering, skadar eller riskerar att skada en sådan funktion, förtroendet för kvalitetsmärket Svensk e-legitimation eller tilliten till Identitetsintyg från Anmälda systemet för elektronisk identifiering eller om det föreligger intrång eller andra händelser som enligt DIGG:s bedömning helt eller delvis kan äventyra Leverantören av Identitetsintygs fullgörande av sina åtaganden, har DIGG rätt att stänga av eller begränsa Leverantör av identitetsintygs eller underleverantörs åtkomst till funktioner som tillhandahålls enligt Tilläggsavtalet, Anslutningsavtalet eller Licensavtalet.


    1. Om Leverantör av identitetsintyg eller en underleverantör till denne bryter mot punkten 16.2 ska risk för skada, förtroende eller tillit som sägs i punkt 21.1 anses föreligga och DIGG därmed ha rätt att stänga av eller begränsa Leverantör av identitetsintygs eller underleverantörs åtkomst till funktioner som DIGG tillhandahåller enligt Tilläggsavtalet, Anslutningsavtalet eller Licensavtalet.


    1. Leverantör av identitetsintyg ska snarast möjligt underrättas om avstängningen eller begränsningen samt skälen till denna.


    1. En avstängning eller begränsning av Leverantör av identitetsintygs eller en underleverantörs åtkomst till funktioner enligt Tilläggsavtalet, Anslutningsavtalet eller Licensavtalet får fortgå endast så länge det är nödvändigt med hänsyn till omständigheterna. Så länge en Leverantör av identitetsintygs eller en underleverantör bryter mot punkten 16.2 anses en åtgärd enligt punkt 21.1 nödvändig med hänsyn till omständigheterna.

22. Avtalstid och Uppsägning av avtalet

    1. Tilläggsavtalet gäller tills vidare.


    1. DIGG har rätt att, med iakttagande av minst tre månaders uppsägningstid, säga upp Tilläggsavtalet till upphörande om en funktion ska avvecklas eller förändras i en omfattning eller på ett sätt som enligt DIGG:s bedömning inte lämpligen kan hanteras enligt punkt 11.


    1. Säger DIGG upp det mellan DIGG och Leverantören av identitetsintyg träffade Anslutningsavtalet eller Licensavtalet ska sådan uppsägning anses omfatta även detta Tilläggsavtal, såvida annat inte anges i uppsägningen.


    1. Leverantör av identitetsintyg har rätt att, med iakttagande av minst 30 dagars uppsägningstid, när som helst säga upp Tilläggsavtalet.


    1. DIGG har rätt att med omedelbar verkan säga upp Tilläggsavtalet om Leverantör av identitetsintyg eller en underleverantör till denne

  1. i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Tilläggsavtalet, Anslutningsavtalet eller Licensavtalet och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom,

  2. lämnat oriktiga uppgifter vid anslutning för elektronisk identifiering eller i ansökan om kvalitetsmärket Svensk e-legitimation eller uppdateringar av dessa beskrivningar och dessa uppgifter har varit av icke oväsentlig betydelse för att Tilläggsavtalet slutits,

  3. Leverantör av identitetsintyg eller en underleverantör till denne inte längre omfattas av avtal enligt Regelverket, eller

  4. Leverantör av identitetsintyg eller en underleverantör till denne enligt punkten 16.2 kan komma att bli skyldig att överlämna sekretessreglerade uppgifter utan laglig grund.

    1. Uppsägning ska ske skriftligen för att vara gällande.

23. Meddelanden

    1. Meddelanden som ska tillställas DIGG ska i skriftlig form översändas till den postadress eller den e-postadress som DIGG anger på sin webbplats.


    1. Meddelanden som ska tillställas Leverantör av identitetsintyg ska i skriftlig form översändas till den postadress eller den e-postadress som Leverantör av identitetsintyg angett i bilaga 4 till Tilläggsavtalet för kontaktperson för Tilläggsavtalet och administrativa frågor.

24. Tillämplig lag och tvister

    1. Tilläggsavtalet ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.


    1. Tvist angående tolkning eller tillämpning av Tilläggsavtalet och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.


    1. När Leverantör av identitetsintyg är en del av samma juridiska person som DIGG ska istället för punkt 24.2 denna punkt gälla. Uppkommer frågor mellan Parterna om fördelning av ansvar eller kostnader tillämpas punkterna 24.3.1 - 24.3.5.


      1. Tvist angående tolkning eller tillämpning av Tilläggsavtalet och därmed sammanhängande rättsförhållanden ska, om tvisten rör den tekniska och administrativa hanteringen, lösas av de i punkt 25.1 utsedda kontaktpersonerna, i första hand av kontaktpersonerna för frågor som rör it-drift, i andra hand av kontaktperson som är behörig att hantera händelser som kan ha betydelse för eIDAS-nodens funktionalitet eller säkerhet. Kan de inte enas ska frågan lösas av de företrädare vardera Parten utser.


      1. Rör tvisten istället främst de juridiska villkoren ska den i första hand lösas av kontaktpersonerna enligt punkt 25 för Tilläggsavtalet och administrativa frågor, i andra hand av de företrädare vardera Parten utser.


      1. Uppkommer oenighet om en tvistefråga rör de juridiska villkoren eller den tekniska och administrativa hanteringen ska frågan anses röra de juridiska villkoren.


      1. Kan enighet inte uppnås enligt punkt 24.3.1 eller 24.3.2 ska Parternas myndighetschefer eller motsvarande organ lösa frågan.


      1. Myndigheterna ska lojalt samverka för att utan tidsutdräkt finna en lösning.


25. Uppgifter om behörig kontaktperson hos Leverantör av identitetsintyg

    1. Leverantören för identitetsintyg ska i avsnitt 26 Underskrifter och kontaktuppgifter ange kontaktpersoner för Tilläggsavtalet och administrativa frågor, Aktörsregistret, händelser som kan ha betydelse för eIDAS-nodens funktionalitet eller säkerhet och it-drift.


    1. Skulle Leverantör av identitetsintyg under avtalstiden ha önskemål om att byta kontaktperson ska uppgifter om byte och uppgifter för ny kontaktperson anmälas av kontaktpersonen för Tilläggsavtalet och administrativa frågor.


    1. För de fyra kontaktpersonerna ska så kallad funktionsbrevlåda anges. Med en sådan brevlåda menas en elektronisk funktion där Leverantör av identitetsintyg tar emot meddelanden oberoende av vilka fysiska personer som är på arbetet en viss dag.



26. Underskrift och kontaktpersoner

    1. Leverantör av identitetsintyg underskrift genom behörig företrädare.

Genom undertecknandet ges nedan angivna kontaktpersoner fullmakt/intygas att nedan angivna kontaktpersoner är behöriga att för Leverantör av identitetsintygs räkning agera inom ramen för respektive angiven funktion.


Datum

Ort

Behörig företrädares namnteckning

Namnförtydligande


    1. DIGG:s underskrift genom behörig företrädare


Datum

Ort

Behörig företrädares namnteckning

Namnförtydligande


    1. Kontaktpersoner

      1. Kontaktpersoner för Tilläggsavtalet och administrativa frågor.

        Förnamn och efternamn

        Telefonnummer

        Funktionsbrevlåda för Avtalet

        Postadress


        Postnummer

        Ort

      2. Kontaktperson som är behörig att anmäla uppgifter till Aktörsregistret

Förnamn och efternamn

Telefonnummer


Postadress

E-postadress till funktionsbrevlåda för anmälan

Postnummer

Ort



      1. Kontaktperson som är behörig att hantera händelser som kan ha betydelse för eIDAS-nodens funktionalitet eller säkerhet.


Förnamn och efternamn

Telefonnummer

E-postadress till funktionsbrevlåda för incidenter

Postadress


Postnummer

Ort

      1. Kontaktperson för frågor som rör it-drift.

Förnamn och efternamn

Telefonnummer

E-postadress till funktionsbrevlåda för IT-drift

Postadress


Postnummer

Ort


Personuppgifterna i avsnitt 26 behandlas i enlighet med beskrivning på xxxxx://xxx.xxxx.xx/xx-xxx/xx-xxxxxxxxx-xxxx-xxxxxxxxxxxxxxx/.






­xxxx.xx

Document Metadata

Filed: February 1st, 2022