Bilaga Regelverk Förbetald e-legitimering

1. Inledning

1.1. Myndigheten för digital förvaltning

1.1.1. Enligt förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning (”DIGG”), ska DIGG:

  • samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig (1 § första stycket),
  • ansvara för den förvaltningsgemensamma digitala infrastrukturen enligt 3-5 §§ förordningen med instruktion för DIGG (1 § tredje stycket),
  • ansvara för den offentliga förvaltningens tillgång till funktioner och tjänster för elektronisk identifiering och underskrift (3 § 1),
    främja användningen av elektronisk identifiering och underskrift (3 § 2),
  • samordna frågor om gemensamma standarder, format, specifikationer och lik-nande krav för den offentliga förvaltningens elektroniska informationsutbyte (4 § 2), och
  • bedriva arbetet med digitalisering av den offentliga förvaltningen på ett sätt som säkerställer skyddet av säkerhetskänslig verksamhet och informationssäkerhet i övrigt samt skyddet av den personliga integriteten (8 §).

1.1.2. Som en del av ett regeringsuppdrag om att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte (I2019/03306/DF) har DIGG i samverkan med andra myndigheter utrett hur en teknisk, juridisk och administrativ samordning av E-legitimationer för medarbetare och Elektroniska identitetskontroller ska kunna ske så att Medarbetare vid myndigheter och företag kan utföra ärenden i tjänster som tillhandahålls av andra än den som anskaffat identitetshandlingen åt Medarbetaren.

1.2. Syftet med Förbetald e-legitimering

1.2.1. Nuvarande ordning för att använda E-legitimationer för medarbetare saknar en samordnad hantering som gör det möjligt att få Elektroniska identitetskontroller utförda över organisationsgränser i ett stort antal E-tjänster.

1.2.2. Syftet med Förbetald e-legitimering är att utvidga användningsområdet för E-legitimationer för medarbetare så att de kan användas för åtkomst till tjänster som andra myndigheter och företag tillhandahåller. Elektroniska identitetskontroller ska därför kunna utföras och Identitetsintyg lämnas till andra myndigheter och företag (”Förlitande part”) där Medarbetare behöver styrka sin identitet.

2. Förbetald e-legitimering - en översiktlig beskrivning

2.1 Inledning

Huvudmän anskaffar olika funktioner för E-legitimationer så att E-legitimering ska kunna ske när Medarbetare besöker E-tjänster. I det följande regleras användning av E-legitimationer och elektroniska intyg som används för att kontrollera Medarbetares identitet, när en Leverantör av identitetsintyg ställer ut ett stämplat intyg i elektronisk form med uppgift om en Medarbetares identitet (”Identitetsintyg”), efter att Medarbetaren har styrkt sin identitet (Använt sin e-legitimation).

2.2. Identifiering med identitetsintyg

2.2.1. Den från vilken en Huvudman har anskaffat E-legitimation för medarbetare (i den rollen kallad ”Utfärdare av e-legitimation för medarbetare”) tillhandahåller samtidigt (i rollen som ”Leverantör av identitetsintyg”) funktioner där Medarbetare Använder sin e-legitimation och automatiserade kontroller genomförs beträffande vem det är som har Använt sin e-legitimation (”Elektronisk identitetskontroll”). Leverantör av identitetsintyg ställer därefter, i en teknisk funktion (”Intygsfunktion”), ut ett Identitetsintyg där det anges vem Medarbetaren är. Samma part är därmed både Utfärdare av e-legitimation för medarbetare och Leverantör av identitetsintyg.

2.2.2. En Leverantör av identitetsintyg kan också ställa ut Identitetsintyg med stöd av Svensk e-legitimation som är utfärdad av en annan Utfärdare av e-legitimation för medarbetare med vilken Leverantör av identitetsintyg har en närmare samverkan (”Samarbetsanslutning”), om samverkan är varaktigt, kännetecknas av långsiktighet samt innebära en nära teknisk och organisatorisk koppling mellan de samarbetande parterna samtidigt som det föreligger ett ägarsamband eller motsvarande mellan Leverantören av identitetsintyg och Utfärdare av e-legitimation för medarbetare.

2.2.3. För att tillgodose Medarbetares behov av dataskydd, bör uppgiften i en E-legitimation om en Medarbetarens personnummer eller motsvarande i Identitetsintyg bli ersatt med Medarbetarens anställningsnummer eller liknande i förening med Huvudmannens organisationsnummer eller liknande. Uppgifter i Identitetsintyg som ersätter Medarbetarens personnummer med en annan identitetsangivelse ska över tid kunna hänföras till Medarbetaren utan risk för förväxling.

2.2.4. Leverantör av identitetsintyg sänder Identitetsintygen direkt till Förlitande part.

2.2.5. Om Leverantör av identitetsintyg är en myndighet eller annars omfattas av reglerna i 2 kap. tryckfrihetsförordningen om offentlighetsinsyn ska beslut om att lämna intyg fattas automatiserat genom en sådan teknisk funktion för fråga och svar som har be-skrivits i HFD 2015 ref. 61 (det s.k. LEFI Onlinemålet).

2.3. Underleverantörer

Leverantör av identitetsintyg får tillhandahålla berörda tjänster med hjälp av underleverantör endast om underleverantören och dennes hantering av uppgifter uppfyller de krav som gäller för Leverantör av identitetsintyg när denne utför dessa uppgifter själv.

2.4. Fördelning av ansvar och tillit till intyg

2.4.1. Leverantör av identitetsintyg svarar i förhållande till Förlitande part för att de E-legitimationer för medarbetare som utfärdats och de Identitetsintyg som ställts ut har tillkommit och i övrigt hanterats i enlighet med detta regelverk (”Regelverket”), däribland att de E-legitimationer som använts och de Identitetsintyg som utfärdas har en viss tillitsnivå enligt Tillitsramverket för Svensk e-legitimation, att Tekniskt ramverk för Sweden Connect har följts och att Huvudmannen i avtal med Leverantör av identitetsintyg förpliktigats att ha en fullgod hantering av Medarbetares behörighet att agera för Huvudmannens räkning och omedelbart spärra en E-legitimation för med-arbetare när anställningen, uppdraget eller den verksamhet inom ramen för vilken Medarbetare behöver agera upphör.

2.4.2. Om en Leverantör av identitetsintyg i enlighet med punkten 2.2.3 omvandlar uppgiften om personnummer eller motsvarande i den E-legitimation som använts till anställningsnummer eller liknande, ska Leverantör av identitetsintyg garantera att denna omvandling har utförts korrekt och återges rätt i Identitetsintyget. Leverantör av identitetsintyg ska i avtal med varje Huvudman som anskaffar E-legitimation för medarbetare förplikta Huvudmannen att ansvara för att uppgifter som Huvudmannen lämnar till Leverantör av identitetsintyg om anställningsnummer eller liknande är korrekta och aktuella. För detta uppgiftslämnande gäller inte kravet i punkten 3.6.6 på skriftligt godkännande av DIGG för att få anlita underleverantör.

2.4.3. För Leverantör av identitetsintyg gäller Tekniskt ramverk för Sweden Connect, oberoende av om någon viss nivå av tillit följer av Tillitsramverket för Svensk e-legitimation.

2.4.4. Leverantör av identitetsintyg ska lämna uppgifter till DIGG för registrering av tjänsten i Aktörsregistret.

2.4.5. Beträffande andra funktioner eller delar av leveranser än de där Regelverket gäller och för de behov som finns av att genom intyg överföra ytterligare uppgifter kan Parter träffa överenskommer om alternativ och tillägg till de tekniska och administrativa metoder som Regelverket föreskriver eller om att lämna ytterligare uppgifter i intyg utifrån berörda Parters behov.

3. Definitioner

  1. Part: var och en av DIGG, Leverantör av identitetsintyg och Förlitande part,
  2. Användare: en individ som innehar en E-legitimation,
  3. Medarbetare: en Användare som försetts med E-legitimation av en Huvudman för att antingen utföra åtgärder eller företa rättshandlingar för sin Huvudmans räkning eller för att agera inom ramen för Huvudmannens verksamhet,
  4. Huvudman: en arbetsgivare eller uppdragsgivare för Medarbetare eller den som bedriver verksamhet inom ramen för vilken Medarbetare behöver agera och därför anskaffar E-legitimation åt dem,
  5. Utfärdare av Svensk e-legitimation: Den som utfärdar E-legitimation med viss tillitsnivå i enlighet med Tillitsramverket för Svensk e-legitimation samt är bunden av Licensavtal (tillitsnivå 3 och 4 enligt Tillitsramverket för Svensk e-legitimation) eller efter granskning av och beslut av DIGG har bedömts leva upp till kraven för tillitsnivå 2 enligt Tillitsramverket för Svensk e-legitimation.
  6. Utfärdare av e-legitimation för medarbetare: den som utfärdar Svensk e-legitimation åt Medarbetare,
  7. Leverantör av identitetsintyg: den som enligt tillämpligt anslutningsavtal levererar en tjänst där Identitetsintyg upprättas och levereras till Förlitande part,
  8. Förlitande part: den som enligt tillämpligt förlitandeavtal beställer Identitetsintyg för att ge Användare tillträde till dennes E-tjänst i enlighet med en viss tillitsnivå i Tillitsramverket för Svensk e-legitimation,
  9. Förbetald e-legitimering: elektronisk identifiering som utförs utan att Förlitande part ska betala ersättning för den,
  10. E-tjänst: en digital tjänst till vilken tillträde ges baserat på Identitetsintyg,
  11. E-legitimation: identitetshandling i elektronisk form som har urkundskvalitet och som innehåller uppgifter som entydigt kan kopplas till en viss individ,
  12. Svensk e-legitimation: E-legitimation som tillhandahållits åt Användare av en Utfärdare av Svensk e-legitimation,
  13. E-legitimation för medarbetare: Svensk e-legitimation som anskaffats för en Medarbetare,
  14. Kvalitetsmärket: det kännetecken för Svensk e-legitimation avseende tillitsnivå 3 eller 4 enligt Tillitsramverket för Svensk e-legitimation som beskrivs i bilaga 4,
  15. Använda sin e-legitimation: förfarande där Användaren styrker sin identitet genom att använda sin E-legitimation,
  16. Elektronisk identitetskontroll: automatiserad kontroll av vem som har Använt sin e-legitimation,
  17. Identitetsintyg: stämplat intyg i elektronisk form med uppgift om Användares identitet,
  18. Intygsfunktion: tjänst där Identitetsintyg ställs ut efter Elektronisk identitetskontroll enligt tillämpligt anslutningsavtal,
  19. Tillitsgodkänd intygsfunktion: Intygsfunktion som tillhandahålls av en underleverantör som granskats och godkänts av DIGG,
  20. Samarbetsanslutning: när Leverantör av identitetsintyg grundar sina Identitetsintyg på Svensk e-legitimation som utfärdats av en underleverantör med vilken Leverantör av identitetsintyg har ett samarbete som är varaktigt, kännetecknas av långsiktighet samt innebära en nära teknisk och organisatorisk koppling mellan de samarbetande parterna samtidigt som det föreligger ett ägarsamband mellan Leverantören av identitetsintyg och den eller de som är Utfärdare av E-legitimation för medarbetare,
  21. Aktörsregistret: samlingsbeteckning för de uppgifter som DIGG registrerar om Parter som är anslutna till bland annat de funktioner som omfattas av Regelverket,
  22. Tekniskt ramverk för Sweden Connect: de tekniska specifikationer som DIGG från tid till annan föreskriver för Leverantörer av identitetsintyg och Förlitande parter som omfattas av Regelverket, bilaga 1,
  23. Tillitsramverket för Svensk e-legitimation: de säkerhetskrav som DIGG från tid till annan föreskriver för Utfärdare av Svensk e-legitimation och Leverantörer av identitetsintyg som är skyldiga att följa Regelverket, bilaga 3,
  24. Regelverket: detta regelverk för Förbetald e-legitimering.

3. Regelverket

3.1. Funtioner och avtal

3.1.1. Reglering av Parts åtaganden m.m. sker genom Regelverket och beträffande

a. Förbetald e-legitimering, genom Anslutningsavtal för Förbetald e-legitimering (mellan DIGG och Leverantör av identitetsintyg) och Förlitandeavtal för Förbetald e-legitimering (mellan DIGG och Förlitande part),

b. Kännetecknen, genom Licensavtal (mellan DIGG och utfärdare av Svensk e-legitimation).

3.1.2. Är Leverantör av identitetsintyg eller Förlitande part en statlig myndighet och därmed en del av samma juridiska person som DIGG regleras också den överenskommelsen genom Regelverket så att även en sådan Leverantör av identitetsintyg eller Förlitande part ansluter sig genom de förfaranden som följer av Regelverket. Skulle en tvist uppkomma mellan DIGG och en sådan statlig myndighet angående tolkning eller tilllämpning av Regelverket och därmed sammanhängande rättsförhållanden tillämpas punkten 20.3.

3.1.3. Uppkommer en tvist mellan DIGG och en annan Leverantör av identitetsintyg eller Förlitande part än en statlig myndighet tillämpas vad som i övrigt sägs om tvist i detta Regelverk.

3.1.4. För Licensavtal gäller villkoren i separata avtal, inte detta Regelverk.

3.1.5. Skulle någon bestämmelse i Regelverket strida mot någon regel i svensk lag, annan författning eller EU-förordning har den regeln företräde framför Regelverket.

3.1.6. Om Leverantör av identitetsintyg är en myndighet eller annars omfattas av reglerna i 2 kap. tryckfrihetsförordningen om offentlighetsinsyn ska beslut om att lämna intyg fattas automatiserat genom en sådan teknisk funktion för fråga och svar som har beskrivits i HFD 2015 ref. 61 (det s.k. LEFI Onlinemålet).

3.2 Regelverkets delar

Regelverket består av detta dokument och följande delar

  1. Tillitsramverket för Svensk e-legitimation, bilaga 1
  2. Tekniska anslutningsregler för Sweden Connect, bilaga 2
  3. Tekniskt ramverk för Sweden Connect, bilaga 3
  4. Licensavtalet för Svensk e-legitimation, bilaga 4
  5. DIGG:s interna föreskrifter om ändringsrutiner, bilaga 5
  6. Rapporteringsrutiner, bilaga 6

Bilagorna gäller enligt vid var tid aktuell lydelse. Bilaga 1-6 finns att tillgå på DIGG:s webbplats, https://www.digg.se.

Det ankommer på den för vilken Regelverket gäller att löpande hålla sig uppdaterad om eventuella förändringar i dessa bilagor.

3.3. Tolkningsordning

Om bestämmelser i Regelverket är motstridiga ska

(a) en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,

(b) en bestämmelse i detta dokument gå före en bestämmelse i någon av de delar som anges i punkt 3.2,

(c) en bestämmelse i Tillitsramverket för Svensk e-legitimation gå före en bestäm-melse i Tekniskt ramverk för Sweden Connect,

(d) en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre dokument, och

(e) en specifik bestämmelse gå före en allmän bestämmelse.

Dessa tolkningsregler ska tillämpas så att en tidigare i (a) – (c) nämnd regel går före en senare nämnd regel.

3.4. Ändring och tillägg

3.4.1. DIGG ska fortlöpande hålla de Parter för vilka Regelverket gäller underrättade om hur Förbetald e-legitimering utvecklas och om de ändringar och tillägg som planeras med avseende på dessa funktioner eller de regler som gäller för Parterna.

3.4.2. Regelverket förvaltas på det sätt som föreskrivs i DIGG:s senast beslutade interna föreskrifter om ändringsrutiner, bilaga 5. Ändring av och tillägg till Regelverket ska ske enligt DIGG:s senast beslutade interna föreskrifter om ändringsrutiner i den mån och utsträckning dessa föreskrifter avser funktioner för Förbetald e-legitimering. I öv-rigt sker ändringar och tillägg genom överenskommelse mellan parterna.

3.5. Ersättning

För närvarande utgår ingen ersättning och inga avgifter för Parternas åtaganden under Avtalet. Parterna är emellertid medvetna om att regelverket kan komma att ändras så att anslutna Parter ska betala en avgift till DIGG för handläggning och administration av avtal samt för tillhandahållande och administration av funktioner.

3.6. Samarbetsformer

3.6.1. För anslutningen till funktioner för Förbetald e-legitimering gäller följande.

3.6.2. Samarbetet mellan Parterna ska inte anses medföra att något agentförhållande, enkelt bolag eller handelsbolag eller någon annan liknande sammanslutning anses föreligga. En Part får inte företräda en annan Part utan den sistnämnda Partens skriftliga med-givande såvida inte annat följer av Anslutningsavtal, Förlitandeavtal, Licensavtal, Avtal om Tillitsgodkänd intygsfunktion eller Regelverket.

3.6.3. Inget i Anslutningsavtal, Förlitandeavtal eller detta Regelverk ska förstås som att DIGG, ensam eller gemensamt, ansvarar för en Parts åtaganden. DIGG:s ansvar är begränsat till att fullgöra de åtaganden som DIGG uttryckligen har enligt Anslut-ningsavtal och Förlitandeavtal inklusive Regelverket.

3.6.4. Påföljd för avtalsbrott får endast göras gällande av DIGG och Part som är berörd av avtalsbrottet.

3.6.5. En Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Anslutningsavtal, Förlitandeavtal eller Regelverket.

3.6.6. Leverantör av identitetsintyg får efter skriftligt godkännande av DIGG anlita underleverantör för fullgörande av vissa av sina åtaganden enligt Anslutningsavtal och Regelverk. Leverantör av identitetsintyg ansvarar för underleverantörens åtgärder som om Leverantör av identitetsintyg hade utfört åtgärderna själv. Leverantör av identitetsintyg som utfärdar E-legitimation ska dock i eget namn utfärda E-legitimationer. Skrift-ligt godkännande behövs inte för den hantering som regleras i punkten 2.4.2.

3.6.7. En Part ska medverka, samarbeta och samråda med övriga Parter inom berört område och i skälig omfattning informera dessa Parter om de omständigheter som kan antas påverka vad som regleras i Regelverket. Förlitande part ska bland annat i god tid in-formera Leverantör av identitetsintyg om period då någon av Förlitande parts an-slutna E-tjänster förväntas vara utsatt för extra hög eller tidskritisk belastning eller Förlitande part annars kan komma att behöva extra stöd.

3.6.8. Funktionerna för Förbetald e-legitimering som DIGG tillhandahåller används även inom ramen för andra förfaranden än dem som omfattas av Regelverket och nya funktioner kan komma att införas genom ändringar enligt de förfaranden för ändring-ar och tillägg som följer av punkten 3.4 och av DIGG beslutade Interna föreskrifter om ändringsrutiner eller av normgivning exempelvis genom myndighetsföreskrifter som DIGG utfärdar efter delegation av normgivningskompetens.

3.7. Roller

3.7.1. I egenskap av handläggare och administratör tecknar DIGG de Anslutningsavtal och Förlitandeavtal som har redovisats i punkterna 3.1.1 a.

3.7.2. När en Leverantör av identitetsintyg ingår Anslutningsavtal för Förbetald e-legitimering med DIGG, ingår DIGG också, i egenskap av ombud för anslutna Förli-tande parter, Förlitandeavtal för Förbetald e-legitimering mellan Leverantören av identitetsintyg och de Förlitande parter som tecknat Förlitandeavtal för Förbetald e-legitimering.

3.7.3. Om en Förlitande part ingår Förlitandeavtal för Förbetald e-legitimering med DIGG, ingår DIGG också, i egenskap av ombud för anslutna Leverantörer av identitetsintyg, Förlitandeavtal mellan Leverantörerna av identitetsintyg och den Förlitande parten.

3.7.4. Leverantör av identitetsintyg utfärdar E-legitimation för medarbetare med viss tillitsnivå, enligt Tillitsramverket för Svensk e-legitimation, och tillhandahåller Intygsfunktion åt Förlitande parter.

3.7.5. När en annan juridisk person än Leverantör av identitetsintyg utfärdar Svensk e-legitimation och förser Medarbetare med de funktioner där de Använder sin e-legitimation, får Samarbetsanslutning ske om Leverantör av identitetsintyg grundar sina Identitetsintyg på Svensk e-legitimation som utfärdats av en underleverantör med vilken Leverantör av identitetsintyg har ett samarbete som är varaktigt, kännetecknas av långsiktighet samt innebära en nära teknisk och organisatorisk koppling mellan de samarbetande parterna samtidigt som det föreligger ett ägarsamband mellan Leverantören av identitetsintyg och den eller de som är Utfärdare av e-legitimation för medarbetare.

3.7.6. Förlitande parter tillhandahåller tjänster åt Medarbetare och beställer Identitetsintyg för e-legitimering av Medarbetaren.

3.7.7. DIGG tillhandahåller de funktioner som inte tillhandahålls av annan Part, och som krävs för att den Förbetalda elektroniska identifieringen ska fungera på ändamålsenligt sätt.

3.8 Anslutning av Leverantör av identitetsintyg

3.8.1. Anslutning av Leverantör av identitetsintyg för Förbetald e-legitimering sker genom att DIGG tecknar Anslutningsavtal för Förbetald e-legitimering med Leverantören av identitetsintyg, efter att Leverantören av identitetsintyg ansökt hos DIGG om anslutning, godtagit avtalsvillkoren och i övrigt enligt DIGG:s granskning visat sig uppfylla de krav som DIGG bestämt för att få anslutas.

3.8.2. Det är Huvudmannen som träffar avtal med Utfärdare av e-legitimation för medarbetare om att ge ut E-legitimationer till Huvudmannens medarbetare. Huvudmannen svarar också för att avtalet mellan Huvudmannen och Utfärdaren av E-legitimation för medarbetare omfattar de tjänster som krävs för att Leverantör av identitetsintyg ska kunna tillhandahålla de tjänster som krävs enligt det Anslutningsavtal för Förbetald e-legitimering som Leverantör av identitetsintyg tecknar med DIGG. DIGG anskaffar inte i sin roll som handläggare och administratör några tjänster från Leverantören av identitetsintyg.

3.8.3. Innefattar Leverantör av identitetsintygs ansökan om anslutning en begäran om Sam-arbetsanslutning, ska DIGG:s prövning innefatta om samarbetet med Utfärdaren av E-legitimationer för Medarbetare och Leverantör av identitetsintyg är varaktigt, kännetecknas av långsiktighet samt innebära en nära teknisk och organisatorisk koppling mellan de samarbetande parterna samtidigt som det föreligger ett ägarsamband mellan Leverantören av identitetsintyg och den eller de som är Utfärdare av E-legitimation för medarbetare.

3.8.4. En ansökan om Samarbetsanslutning får godkännas endast om Leverantör av identi-tetsintyg åtagit sig att ansvara för Utfärdare av Svensk e-legitimations åtgärder som om Leverantör av identitetsintyg hade utfört dem själv och villkoren för sådan anslut-ning och de krav som DIGG i övrigt bestämt har uppfyllts enligt DIGG:s bedömning.

3.8.5. Om en Leverantör av identitetsintyg anslutits för Förbetald e-legitimering och Leverantören av identitetsintyg är ansluten till ett annat system som DIGG svarar för, ska i förhållande till en Förlitande part endast detta Regelverk för Förbetald e-legitimering tillämpas om Identitetsintyget grundas på E-legitimation för medarbetare.

3.9. Anslutning av Förlitande part

3.9.1. Anslutning av Förlitande part för Förbetald e-legitimering sker genom att DIGG tecknar Förlitandeavtal för Förbetald e-legitimering med den Förlitande parten, efter att den Förlitande parten ansökt hos DIGG om anslutning och enligt DIGG:s bedömning uppfyller de krav som DIGG bestämt för att få anslutas.

3.9.2. Om en Förlitande part som anslutits för Förbetald e-legitimering även är ansluten till ett annat system som DIGG svarar för ska endast reglerna för Förbetald e-legitimering tillämpas för Förlitande part i förhållande till den som levererar tjänsten.

4. Regler för DIGG

4.1. Förvaltning och stöd för anslutna Parter

4.1.1. DIGG ska, i enlighet med Regelverket samt föreskrifter i författning, handlägga och administrera Anslutningsavtal för Förbetald e-legitimering och Förlitandeavtal för Förbetald e-legitimering.

4.1.2. DIGG ska vid sin prövning agera sakligt och opartiskt.

4.1.3. Innefattar en ansökan en begäran enligt punkterna 2.2.2 om Samarbetsanslutning ska DIGG granska att denna hantering uppfyller samma krav som om Leverantör av iden-titetsintyg hade utfört dessa uppgifter själv.

4.1.4. DIGG ska tillhandahålla, administrera och förvalta funktionerna för Förbetald e-legitimering i enlighet med de specifikationer, regler och andra krav som gäller för berörda tjänster och kontrollfunktioner, bland annat genom att ansluta Parter så att Elektronisk identitetskontroll och äkthetskontroll av elektroniskt underskrivna handlingar kan ske säkert och effektivt i enlighet med Regelverket.

4.1.5. DIGG ska vid anslutning till de funktioner för vilka Regelverket gäller vägleda Leverantörer av identitetsintyg så att de

(a) utformar det tekniska och administrativa förfarandet effektivt och säkert, och

(b) inför användardialoger som är utformade så att de inte riskerar att missförstås av Användare som använder sin e-legitimation.

4.1.6. DIGG bereder och genomför ändringar i Regelverket och funktioner för Förbetald e-legitimering enligt de förfaranden för ändringar och tillägg som följer av punkten 3.4 och av DIGG beslutade Interna föreskrifter om ändringsrutiner.

4.1.7. DIGG bestämmer de krav som från tid till annan ska gälla för att Samarbetsanslutning eller användning av underleverantör ska få ske eller att Utfärdare av e-legitimation för medarbetare eller Leverantör av identitetsintyg ska få använda andra liknande tekniska standarder ock förfaranden än dem som följer av Tekniskt ramverk för Sweden Connect, bilaga 3.

4.1.8. DIGG ska tillhandahålla stöd där Leverantör av identitetsintyg via e-post och/eller annan lämplig kontaktväg kan ställa frågor rörande funktioner för Förbetald e-legitimering. På sin webbplats ska DIGG publicera kontaktuppgifter för sådant stöd och lämna grundläggande information. DIGG sänder också viss information till funktionsbrevlådor enligt de Rapporteringsrutiner som anges i bilaga 6.

4.1.9. Regleringen i avsnitt 6 för Förlitande part tillämpas på motsvarande sätt för DIGG om DIGG tillhandahåller en E-tjänst och därvid agerar som Förlitande part.

4.2. Fackmannamässighet och proaktivitet

4.2.1. DIGG ska utföra sina åtaganden på ett fackmannamässigt sätt, med hjälp av lämplig och kvalificerad personal och i enlighet med Regelverket, Anslutningsavtal och Förlitandeavtal samt gällande lagar och andra författningar, myndighetsbeslut samt inom relevant område förekommande god branschpraxis.

4.2.2. DIGG ska agera proaktivt och eftersträva förbättringar av de funktioner som används för Förbetald e-legitimering.

4.3. Ansvarsbegränsningar

4.3.1. DIGG:s skadeståndsansvar är begränsat till ansvar för direkt skada som DIGG vållar annan Part genom vårdslöshet.

4.3.2. DIGG:s skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är be-gränsat till ansvar för skada uppgående till ett sammanlagt belopp om 35 prisbas-belopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proport-ion till de skadelidande Parternas skada.

4.3.3. Begränsningarna som anges i denna punkt 4.3 ska inte gälla om uppsåt eller grov vårdslöshet föreligger eller om annat följer av punkten 3.1.2.

5. Regler för leverantör av identitetsintyg

5.1. Uppgifter

5.1.1. Leverantören av identitetsintyg utfärdar E-legitimation till Användare i enlighet med Tillitsramverket för Svensk e-legitimation, Tekniskt ramverk och vad som i övrigt följer av Regelverket.

5.1.2. Leverantören av identitetsintyg säkerställer att användargränssnitten i de funktioner där Användare Aktiverar sin E-legitimation för medarbetare uppfyller kraven i standarden för tillgänglighet EN 301 549 V2.1.2 (
https://www.digg.se/digital-tillganglighet/offentlig-aktor)
och är utformade så att det tydligt framgår när Elektronisk identifiering sker för identifiering respektive för underskrift.

5.1.3. När Leverantören av identitetsintyg använder sig av E-legitimation för medarbetare inom ramen för en Samarbetsanslutning ska Leverantören av identitetsintyg se till och ansvara för att Utfärdare av Svensk e-legitimation har utfärdat E-legitimationerna i enlighet med Tillitsramverket för Svensk e-legitimation och att användargränssnitten i de funktioner där Medarbetare Aktiverar sin E-legitimation för medarbetare är utformade så att det tydligt framgår när Elektronisk identifiering sker för identifiering respektive för underskrift.

5.1.4. Leverantör av identitetsintyg ska i avtal med varje Huvudman som anskaffar E-legitimation för medarbetare förplikta Huvudmannen att

(a) omedelbart begära spärr av E-legitimation för medarbetare när Medarbetarens anställning eller uppdrag upphör eller den verksamhet upphör inom ramen för vilken Medarbetaren behöver agera, och

(b) ha en fullgod hantering av Medarbetares behörighet att agera för Huvudmannens räkning.

5.1.5. Leverantör av identitetsintyg ska genom regelbundna stickprov som dokumenteras kontrollera att Huvudmannen omedelbart begär spärr enligt punkt 5.1.4.

5.2. Elektronisk identitetskontroll och Intygsfunktion

5.2.1. Från och med den startdag som anges i tillämpligt anslutningsavtal levererar Leverantör av identitetsintyg, till Förlitande parter, den funktion där Medarbetare Använder sin e-legitimation och den tjänst där Elektronisk identitetskontroll sker och Identitetsintyg ställs ut (”Intygsfunktion”) för de E-legitimationer som omfattas av Leverantör av identitetsintygs åtagande.

5.2.2. Leverantörer av identitetsintyg ska utforma sitt tekniska och administrativa förfarande i enlighet med DIGG:s rådgivning enligt punkt 4.1.5 så att hanteringen blir effektiv och säker. Leverantör av identitetsintyg ska utforma användardialoger så att de inte riskerar att missförstås av Användare. En funktion för Elektronisk identitetskontroll och en Intygsfunktion ska vara ändamålsenlig och lämplig för att använda de E-legitimationer för medarbetare som omfattas av anslutningsavtalet.

5.2.3. Leverantör av identitetsintyg ska, i enlighet med den standard för säker kommunikat-ion och i de sammanhang som framgår av Regelverket, kontrollera identiteter och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i Regelverket.

5.2.4. Leverantör av identitetsintyg ansvarar för att utfärdade E-legitimationer, Intygsfunktionen och Identitetsintygen, vid tidpunkten för identifieringen, uppfyller de krav som följer av Tillitsramverket för Svensk e-legitimation, Tekniska anslutningsregler för Sweden Connect och Tekniskt ramverk för Sweden Connect. Vid Samarbetsanslutning och tillhandahållande av någon av dessa funktioner genom underleverantör ansvarar Leverantör av identitetsintyg för Utfärdare av e-legitimation för medarbetares och annan underleverantörs åtgärder som om Leverantör av identitetsintyg för medarbetare hade utfört åtgärden själv.

5.2.5. Leverantör av identitetsintyg ska sända utfärdade Identitetsintyg direkt till Förlitande part.

5.2.6. En Leverantör av identitetsintyg som i enlighet med punkten 2.2.3 omvandlar uppgiften om personnummer eller motsvarande i den E-legitimation som använts, till an-ställningsnummer eller liknande, garanterar att uppgifterna är korrekt omvandlade.

5.2.7. Leverantör av identitetsintyg ska för registrering i Aktörsregistret anmäla till DIGG de metadata och de förändringar i metadata som krävs enligt Tekniska anslutningsregler för Sweden Connect och Tekniskt ramverk för Sweden Connect.

5.2.8. Leverantör av identitetsintyg äger inte rätt att använda sig av funktioner för Förbetald e-legitimering förrän DIGG har registrerat Leverantör av identitetsintygs metadata i Aktörsregistret.

5.2.9. Om en Leverantör av identitetsintyg inte tre månader efter att avtal tecknats med DIGG genom behörig person lämnat metadata till DIGG på av DIGG bestämt sätt äger DIGG rätt att omedelbart säga upp avtalet.

5.2.10. DIGG kan skriftligen överenskomma med en Leverantör av identitetsintyg om att dennes metadata ska lämnas vid en annan tidpunkt.

5.2.11. En Leverantör av identitetsintyg får använda Aktörsregistret endast i enlighet med de villkor och begränsningar som följer av Regelverket så att de Elektronisk identitetskontrollerna och Intygsfunktionerna hanteras på ett effektivt och säkert sätt.

5.2.12. En Leverantör av identitetsintyg ska i skälig omfattning, från tid till annan i enlighet med instruktioner från DIGG, medverka till tester och andra funktioner som DIGG tillhandahåller för Förbetald e-legitimering.

5.3. Kundtjänst

Leverantör av identitetsintyg ska leverera kundtjänst med god tillgänglighet där DIGG och Förlitande part via telefon, e-post eller annan lämplig kontaktväg kan ställa frågor rörande Leverantör av identitetsintygs tjänster. Kontaktuppgifter för sådan kundtjänst ska av Leverantör av identitetsintygs uppges till DIGG för publicering på DIGG:s webbplats.

5.4. Fackmannamässighet och proaktivitet

5.4.1. Leverantör av identitetsintyg ska utföra sina åtaganden på ett fackmannamässigt sätt, med hjälp av lämplig och kvalificerad personal och i enlighet med Regelverket, anslutningsavtal, gällande lagar och andra författningar, myndighetsbeslut samt inom relevant område förekommande god branschpraxis.

5.4.2. Leverantör av identitetsintyg ska agera proaktivt och eftersträva förbättringar av de funktioner som denne tillhandahåller.

5.5. Krav beträffande E-legitimering

5.5.1. Leverantör av identitetsintyg ska tillhandahålla E-legitimering med en tillgänglighet motsvarande minst 99,9 % per månad exklusive internetförbindelsen från Förlitande part till Leverantören av identitetsintyg. Svarstiden för Funktionerna för förbetald elektronisk identitetskontroll ska vara mindre än en sekund för 99,9 % av transaktionerna. Leverantören av identitetsintyg får begränsa tillgänglighet till och/eller nyttjande av funktionerna på grund av planerade underhållsåtgärder. Planerade avbrott ska meddelas Förlitande part minst 48 timmar i förväg och alltid förläggas till tidspe-rioder då användande av funktioner för Förbetald e-legitimering är som lägst (exem-pelvis nattetid).

5.5.2. Leverantören av identitetsintyg ska erbjuda stöd till Medarbetare på svenska och de övriga språk som omfattas av Leverantörens tjänst samt erbjuda spärrmöjlighet dygnet runt. Spärren ska träda i kraft snarast, dock senast inom en timme, från anmälan.

5.5.3. Leverantören av identitetsintyg svarar för att Medarbetare på ett ändamålsenligt sätt får information om användandet av E-legitimation för medarbetare.

5.6. Teknisk integration

5.6.1. Leverantören av identitetsintyg ska, i den utsträckning som skäligen kan krävas, på begäran av Förlitande part tillhandahålla de ytterligare uppgifter som behövs i sam-band med att en Medarbetare eller en Huvudman har ifrågasatt riktigheten av utförd E-legitimering och som kan vara av betydelse för att kontrollera leveransen av eller uppgifterna i Identitetsintyget efter den utförda Elektroniska identitetskontrollen.

5.6.2. Leverantör av identitetsintyg och Förlitande parter ska i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av detta Regelverk, kontrollera motpartens identitet och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges.

5.6.3. I den mån en Förlitande part använder sig av en annan part för integration av Funktioner för förbetald e-legitimering i den av Förlitande part bedrivna verksamheten ska Leverantören av identitetsintyg samverka med sådan part i den mån det krävs för integration av dessa funktioner.

5.7. Aktivering och medverkan till test

5.7.1. Förlitande part är inte skyldig att aktivera Funktioner för förbetald e-legitimering förrän de testats och Förlitande part funnit att de fungerar på ett tillförlitligt sätt och uppfyller Regelverkets krav. Leverantören av identitetsintyg ska, i den mån så erfordras, inom sådan skälig tid inför aktivering av Funktioner för förbetald e-legitimering som Förlitande part meddelar tillhandahålla anslutningar och funktioner för testning enligt de krav som anges i denna punkt 5.7 och i övrigt i skälig omfattning på det sätt Förlitande part anger.

5.7.2. Leverantören av identitetsintyg ska erbjuda möjligheter för Förlitande parter att utföra acceptanstest av Funktioner för förbetald e-legitimering. Leverantören av identitetsintyg ska bland annat tillhandahålla en miljö i vilken acceptanstest kan utföras.

5.7.3. Leverantören av identitetsintyg ska erbjuda Förlitande part möjlighet att teckna till-äggsavtal om utökad medverkan i test, avseende exempelvis prestandatest eller utökade öppettider för kundtjänst; innehållet i sådant tilläggsavtal bestäms mellan parter-na.

5.7.4. Leverantören av identitetsintyg ska erbjuda stöd och processer för beställning och utställande av Funktioner för förbetald e-legitimering för test. Sådana funktioner för test ska finnas tillgängliga för de testpersoner som Förlitande part anvisar.

5.7.5. Leverantören av identitetsintyg ska bistå med information angående hur tester körs mot leverantörens Funktioner för förbetald e-legitimering. Denna information ska omfatta hur anskaffandet av test av E-legitimation kan göras, hur Förlitande part får åtkomst till logginformation samt process för felanmälan och kontaktuppgifter.

5.7.6. Leverantören av identitetsintyg ska i testversionen av Funktioner för förbetald e-legitimering säkerställa att felsituationer beskrivs för testande part. Detta kan göras genom ett utökat gränssnitt för felrapportering eller genom andra processer såsom utdelning av loggar till testande part.

5.8. Ansvarsbegränsningar

5.8.1. Skadeståndsansvaret för en Leverantör av identitetsintyg är begränsat till ansvar för direkt skada som Leverantör av identitetsintyg vållar DIGG eller Förlitande part genom brist i lämnad garanti eller vårdslöshet.

5.8.2. Skadeståndsansvaret, för en Leverantör av identitetsintyg är gentemot respektive Förlitande part per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp om 20 prisbasbelopp enligt socialförsäkringsbalken.

5.8.3. Skadeståndsansvaret gentemot DIGG är för Leverantör av identitetsintyg per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp om 20 prisbasbelopp enligt socialförsäkringsbalken.

5.8.4. För undvikande av oklarhet omfattar Leverantör av identitetsintygs skadeståndsansvar gentemot DIGG och Förlitande part även skador som orsakas av Leverantör av identitetsintygs eller underleverantör till dennes brister i fullgörandet av sina förpliktelser avseende utfärdande av E-legitimation för medarbetare, trots att dessa utfärdats till Medarbetare och inte till DIGG eller Förlitande part.

5.8.5. Begränsningarna som anges i denna punkt 5.6 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

5.9. Särskild befrielsegrund

Om en Leverantör av identitetsintyg visar att viss avvikelse från dennes skyldigheter enligt Regelverket är nödvändig för att Leverantören av identitetsintyg ska kunna förhindra, motverka eller åtgärda allvarlig säkerhetsrisk ska detta utgöra befrielsegrund som medför befrielse från skadestånd och andra påföljder såvitt avser avvikelsen. Om en Leverantör av identitetsintyg önskar åberopa sådan befrielsegrund ska Leverantör av identitetsintyg utan oskäligt dröjsmål lämna DIGG och Förlitande part skriftligt meddelande om detta samt, om befrielsegrund åberopas för period som är längre än 7 dagar, bjuda in DIGG till samråd om hur den aktuella säkerhetsrisken ska hanteras.

6. Regler för Förlitande part

6.1. Användning av Identitetsintyg

6.1.1. Förlitande part har rätt att beställa Identitetsintyg från Leverantör av identitetsintyg när Medarbetare vill Använda sin E-legitimation för medarbetare vid identifiering respektive underskrift.

6.1.2. Förlitande part får använda Identitetsintyg för att hantera frågor om identitet i an-slutning till Förlitande parts tjänst samt, för att under viss kortare tid därefter, identifiera Medarbetaren med avseende på annan tjänst som tillhandahålls av den Förlitande parten. All användning av Identitetsintyget ska ske i enlighet med gällande lagar, andra författningar och myndighetsbeslut.

6.1.3. Förlitande part ska för registrering i Aktörsregistret anmäla till DIGG de metadata och de förändringar i metadata som krävs enligt Tekniskt ramverk för Sweden Connect.

6.1.4. Förlitande part äger inte rätt att använda sig av funktioner för Förbetald e-legitimering förrän DIGG har registrerat Förlitande parts metadata i Aktörsregistret.

6.1.5. Om Förlitande part inte inom ett år efter att avtal tecknats med DIGG genom behörig person lämnat metadata till DIGG på av DIGG bestämt sätt äger DIGG rätt att omedelbart säga upp avtalet.

6.1.6. DIGG kan skriftligen överenskomma med Förlitande part om att dennes metadata ska lämnas vid en annan tidpunkt.

6.1.7. Förlitande part får använda Aktörsregistret endast i enlighet med de villkor och begränsningar som följer av Regelverket och ska hantera Aktörsregistret så att de Elektroniska identitetskontrollerna och Intygsfunktionen hanteras på ett effektivt och säkert sätt.

6.1.8. Förlitande part ska, i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av Regelverket kontrollera identiteter och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i Regelverket.

6.1.9. Förlitande part ska i skälig omfattning, från tid till annan i enlighet med instruktioner från DIGG, medverka till tester av Förlitande parts anslutning och andra funktioner.

6.1.10. Vid användning av E-legitimationer gäller de tillitsnivåer som följer av Tillitsramverket för Svensk e-legitimation.

6.1.11. Förlitande part ska rapportera och ta emot incidentrapporter i enlighet med punkt 7.

6.2. Ansvarsbegränsningar

6.2.1. Skadeståndsansvaret för Förlitande part är begränsat till ansvar för direkt skada som Förlitande part genom vårdslöshet vållar DIGG, Leverantör av identitetsintyg eller en Huvudman som levererar Attributintyg eller Partsintyg.

6.2.2. Skadeståndsansvaret för Förlitande part gentemot respektive Leverantör av identitetsintyg är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp om 20 prisbasbelopp enligt socialförsäkringsbalken.

6.2.3. Skadeståndsansvaret för Förlitande part gentemot DIGG är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp om 20 prisbasbelopp enligt socialförsäkringsbalken.

6.2.4. Begränsningarna som anges i denna punkt 6.2 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

6.2.5. För det fall DIGG eller staten hålls ansvarig för skada som orsakats av Förlitande part, antingen genom att denne uppsåtligen eller av oaktsamhet brustit i sina åtaganden enligt detta avtal eller till följd av författning, ska Förlitande part ersätta denna i den mån den har ersatts av DIGG eller staten.

7. Incidentrapportering m.m.

7.1. Denna punkt redovisar de rutiner som ska gälla avseende rapportering av säkerhetsrelaterade händelser och övriga störningar samt statistik, prognoser och andra uppgifter enligt vad som framgår av Regelverket.

7.2. För att bibehålla en hög säkerhet och kvalitet äger DIGG efter samråd med Leverantör av identitetsintyg och Förlitande parter utarbeta närmare riktlinjer för rapportering av incidenter.

7.3 statistik

7.3.1. Leverantör av identitetsintyg ska rapportera in statistik till DIGG kvartalsvis till e-legitimation@digg.se.

7.3.2. Statistikrapporten för Leverantör av identitetsintyg ska avse kvartal och rapporteras senast månaden efter den aktuella periodens utgång. Av rapporten ska framgå vilket kvartal som avses för rapporterad statistik.

7.3.3. Statistikrapporten ska innehålla månadsvis uppgift om antal transaktioner avseende Identitetsintyg uppdelat per Förlitande part.

7.3.4. Rapporterat statistikunderlag får inte medge att det går att härleda enskilda transaktioner mellan Medarbetare och E-tjänst.

7.4. Incidenthantering

7.4.1. Om en Leverantör av identitetsintyg eller en Förlitande part upptäcker missbruk med anknytning till funktioner för Förbetald e-legitimering ska denne skyndsamt stänga av den aktuella funktionen eller vidta andra lämpliga åtgärder för att hindra upprepat missbruk och i övrigt i skälig omfattning medverka vid utredning av incidenter.

7.4.2. En Leverantör av identitetsintyg och en Förlitande part ska rapportera incidenter i enlighet med bilaga 6.

7.5. Övrig rapportering

7.5.1. En Leverantör av identitetsintyg ska via DIGG till Förlitande part rapportera planerade ändringar i tjänst, såsom nya eller ändrade funktioner i en tjänst eller andra ändringar som kan ha påverkan för Förlitande part.

7.5.2. En Leverantör av identitetsintyg ska till DIGG rapportera alla väsentliga förändringar i dennes utförande av sina åtaganden enligt Regelverket.

7.5.3. Rapportering av ändringar enligt punkterna 7.5.1 och 7.5.2 ska, i den utsträckning de kräver förändring av gränssnittet mellan Leverantör av identitetsintyg och Förlitande part, ske minst 6 månader före det att ändringen träder i kraft, såtillvida ändringen inte är föranledd av allvarliga säkerhetsskäl, beslut av domstol eller annan myndighet eller annat särskilt skäl. I sådant fall ska Leverantör av identitetsintyg snarast möjligt rapportera ändringen samt sakligt redogöra för de skäl som föranleder frånsteget.

7.5.4. Vid rapportering av väsentliga förändringar enligt punkt 7.5.2 ska Leverantör av identitetsintyg bifoga dokumentation till stöd för DIGG:s bedömning av fortsatt uppfyllelse av krav enligt Regelverket.

7.5.5. Övriga viktiga händelser som har eller kan ha påverkan på berörda tjänster eller Användarna ska rapporteras till Förlitande parter och till DIGG.

8. Behandling av personuppgifter

8.1. DIGG är inte personuppgiftsansvarig för den behandling av personuppgifter som sker när Medarbetare ska E-legitimera sig i enlighet med avsnitt 2. Personuppgiftsansvaret vid E-legitimering av Medarbetare åligger Parterna att utreda och hantera. DIGG är personuppgiftsansvarig för personuppgifter som hanteras i avtalsadministrationen.

8.2. En Part ansvarar i förekommande fall för att upprätta sedvanligt personuppgiftsbiträdesavtal, i enlighet med vad som följer av EU:s dataskyddsförordning, med under Avtalet anlitade underleverantörer som behandlar personuppgifter för en Parts räkning.

9. Sekretess och tystnadsplikt

9.1. Leverantör av identitetsintyg får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom funktioner för Förbetald e-legitimering och

  • är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits, eller
  • kan vara att betrakta som säkerhetskritiska eller affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Parten är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen).

9.2. Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt offentlighets- och sekretesslagen eller annan tilllämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i tillämplig lagstiftning.

9.3. DIGG:s och annan myndighets skyldighet att iaktta sekretess, inklusive tystnadsplikt, följer av offentlighets- och sekretesslagen (2009:400).

9.4. Leverantör av identitetsintyg ska säkerställa att lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, efterlevs av den som deltar i eller har deltagit i verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter.

9.5. Leverantör av identitetsintyg garanterar att denne, och de underleverantörer för vilka de svarar, inte under den tid Regelverket gäller för dem omfattas av utländsk lagstiftning som innebär att Leverantör av identitetsintyg eller annan för vilken denne svarar är eller kan komma att bli skyldig att överlämna sekretessreglerade uppgifter utan att laglig grund föreligger enligt svensk rätt eller EU-rätt.

9.6. Leverantören av identitetsintyg ska vid överträdelse av bestämmelse i punkt 9.5 vid varje tillfälle utge ett vite till DIGG utgående till en miljon (1.000.000) kronor. DIGG äger vidare rätt till ersättning för skada, som orsakats genom överträdelse av punkt 9.5, med belopp som överstiger erlagt vite.

9.7. Sekretess enligt detta avsnitt 9 ska gälla även när avtalet i övrigt har upphört att gälla. Leverantören av identitetsintyg ska omedelbart informera DIGG:s kontaktperson om det uppdagas att Leverantör av identitetsintygs anställda eller annan som denne svarar för brutit mot tystnadsplikt eller annan skyldighet enligt detta avsnitt 9.

10. Uppgiftslämnande

10.1. I den mån DIGG för fullgörande av sitt uppdrag avseende funktioner för Förbetald e-legitimering har behov av att erhålla information från en Part ska denne på DIGG:s begäran lämna information.

10.2. DIGG har rätt att på begäran granska och erhålla information som visar att en Part uppfyller avtalade krav, såsom att följa Tillitsramverket för Svensk e-legitimation, Tekniska anslutningsregler för Sweden Connect och Tekniskt ramverk för Sweden Connect. I samband med granskningen har DIGG rätt att erhålla information från Part samt genomföra platsbesök och intervjuer hos denne och göra stickprov för att verifiera kravuppfyllnad. Part ska vara behjälplig under hela granskningsprocessen och ställa upp med nödvändiga resurser samt erbjuda tillgång till sådan dokumentation och sådana lokaler som krävs för att DIGG ska kunna verifiera kravuppfyllnad. Planering av eventuella platsbesök, intervjuer och stickprov ska ske i samråd mellan DIGG och berörd Part samt förläggas på ett sådant sätt att de innebär så liten påverkan på den anslutna Partens verksamhet som möjligt.

10.3. Begäran om information ska även i övrigt vara skälig och hänsyn ska tas till Parts behov av sekretess samt att viss information kan utgöra företagshemligheter.

10.4. En Part ska se till att DIGG har rätt att utföra kontroll även hos de underleverantörer vars utförande kan påverka Partens uppfyllnad av väsentliga krav enligt Regelverket.

10.5. Om det vid kontroll enligt punkt 10.3 framkommer att en Part inte har följt Regelverket, ska denne bära kostnaderna för kontrollen i den utsträckning sådana kostnader inte är oskäliga. I annat fall bär var och en sina egna kostnader.

11. Kontroll och vite

11.1. Leverantör av identitetsintyg respektive Förlitande part ska vid överträdelse av bestämmelsen i punkt 7.4.2 vid varje tillfälle utge ett vite till DIGG om etthundratusen (100 000) kr

11.2. Leverantör av identitetsintyg ska årligen efter varje avslutad intern- eller externrevision i enlighet med bestämmelserna i Tillitsramverket för Svensk e-legitimation skicka en revisionsrapport till DIGG. Revisionsrapporten ska ha kommit in till DIGG senast en månad efter det att internrevisionen ska vara avslutad enligt fastställd revisionsplan, om inte DIGG skriftligen har medgett undantag från skyldigheten att lämna revisionsrapport eller från den tidpunkt när en revisionsrapport ska ha getts in till DIGG.

11.3. Leverantör av identitetsintyg ska vid överträdelse av bestämmelsen i punkt 11.2, för en rapport som inte levereras vid avtalad tidpunkt, betala ett vite till DIGG om tjugo-femtusen (25 000) kr.

11.4. DIGG har rätt att under giltighetstiden för ett avtal genomföra kontroll hos Leveran-tör av identitetsintyg för att tillförsäkra att kraven i Regelverket uppfylls. Sådana kontroller kan t.ex. bestå i telefonsamtal, platsbesök eller begäran om att erhålla handlingar av betydelse för kontrollen. DIGG ska vid planering och utförande av sådan kontroll i möjligaste mån samråda med den som granskas och denne ska medverka i skälig omfattning.

11.5. När Samarbetsanslutning föreligger eller en underleverantör tillhandahåller en funktion för Förbetald e-legitimering ska Leverantör av identitetsintyg se till att DIGG har rätt att utföra kontroll även hos berörd Utfärdare av Svensk e-legitimation eller annan underleverantör som kan påverka Leverantör av identitetsintygs uppfyllnad av väsentliga krav enligt Avtalet.

11.6. Om det vid en kontroll enligt punkt 11.4 eller 11.5 framkommer att Leverantör av identitetsintyg eller en underleverantör till någon av dem brustit i sin hantering, ska Leverantör av identitetsintyg bära kostnaderna för kontrollen i den utsträckning sådan kostnad inte är oskälig. I annat fall bär vardera Parten sina egna kostnader.

12. Immateriella rättigheter

Ett avtal med en Part ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.

13. Reklamation

Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt ett avtal för vilket detta Regelverk gäller inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från det att brottet upptäcktes eller borde ha upptäckts.

14. Ansvarsbegränsningar och regressrätt

14.1. En Parts skadeståndsansvar är begränsat till ansvar för direkt skada som denne vållar annan Part genom brist i lämnad garanti eller genom vårdslöshet. Denna begränsning ska dock inte gälla om uppsåt eller grov vårdslöshet föreligger.

14.2. Framställs ett krav mot DIGG eller svenska staten och kan det skäligen antas att detta krav kan komma att beröra Leverantör av identitetsintyg ska DIGG informera Leverantör av identitetsintyg om kravet. DIGG ska i skälig omfattning samråda med Leverantör av identitetsintyg vid bemötande av kravet samt vid en eventuell rättslig process. Leverantör av identitetsintyg ska på begäran av DIGG lämna information till DIGG och svenska staten samt i övrigt i skälig omfattning medverka så att DIGG:s, svenska statens och Leverantör av identitetsintygs intressen kan tas tillvara.

15. Avtalstid

15.1. Avtalstiden anges närmare i respektive anslutningsavtal.

15.2. DIGG har emellertid rätt att, med iakttagande av minst tre månaders uppsägningstid, säga upp avtal med Part till upphörande om DIGG:s funktioner för Förbetald e-legitimering ska avvecklas eller förändras i en omfattning eller på annat sätt som enligt DIGG:s bedömning inte lämpligen kan hanteras enligt punkten 3.4.

15.3. Leverantör har rätt att säga upp avtalet med iakttagandet av minst 180 dagars uppsägningstid.

16. Befrielsegrund

16.1. Om en Part visar att denne förhindras att fullgöra sina skyldigheter enligt Regelverket ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation samt befrielse från skadestånd och andra påföljder, under förutsättning att hindret består av antingen:

(a) en omständighet som en Part inte kunnat råda över och vars följder denne inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 § regeringsformen, oavsett om Parten själv är föremål för eller vidtar sådan åtgärd), eller

(b) att underleverantör till en Part förhindras fullgöra sin leverans på grund av sådan omständighet som anges i punkten ovan.

16.2. Om en Leverantör av identitetsintyg eller en Förlitande part önskar åberopa en befrielsegrund ska denne utan oskäligt dröjsmål lämna skriftligt meddelande om detta till berörda Parter.

17. Uppsägning hänförligt till avtalsbrott

17.1. Förlitande part ska ha rätt att med omedelbar verkan säga upp ett Förlitandeavtal om Leverantör av identitetsintyg

(a) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Förlitandeavtalet eller Regelverket och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom,

(b) försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses riskera att komma på obestånd,

(c) avhänder sig en väsentlig del av sina tillgångar eller ändrar inriktning på sin verksamhet, eller

(d) lämnat oriktiga uppgifter i ansökan om godkännande för anslutning till DIGG:s funktioner för Förbetald e-legitimering och dessa uppgifter har varit av icke oväsentlig betydelse vid DIGG:s godkännande av ansökan och tecknande av av-tal.

17.2. Förlitande part har rätt att, med iakttagande av minst 30 dagars uppsägningstid, säga upp ett Förlitandeavtal om den anslutna Leverantören av identitetsintyg åberopat befrielsegrund enligt punkt 16.1 för period eller perioder som sammantaget är längre än 60 dagar.

17.3. DIGG ska ha rätt att med omedelbar verkan säga upp samtliga anslutningsavtal avseende en Leverantör av identitetsintyg om denne i väsentlig mån eller vid upprepade tillfällen brister i förpliktelser enligt Regelverket (såsom uppfyllnad av Tillitsramverket för Svensk e-legitimation eller Tekniskt ramverk för Sweden Connect) och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom.

17.4. Uppsägning ska ske skriftligen för att vara gällande.

17.5. Uppsägning kan också ske på sätt anges i anslutningsavtal eller förlitandeavtal.

18. Begränsning av åtkomst till funktioner

18.1. Om Leverantör av identitetsintyg eller Förlitande part bryter mot Regelverket eller om en sådan Parts deltagande i eller agerande rörande någon av funktioner för Förbetald e-legitimering skadar eller riskerar att skada funktionerna eller förtroendet för dem har DIGG rätt att stänga av eller begränsa den Partens åtkomst till funktioner eller tjänster som tillhandahålls enligt Regelverket.

18.2. En Part som har blivit föremål för en sådan åtgärd ska snarast möjligt underrättas om avstängningen eller begränsningen samt skälen till denna.

18.3. En avstängning eller begränsning av Parts åtkomst till funktioner eller tjänster enligt Regelverket får fortgå endast så länge det är nödvändigt med hänsyn till omständigheterna.

19. Meddelanden

19.1. Meddelanden som enligt Regelverket ska tillställas DIGG ska i skriftlig form översändas till den postadress eller den e-postadress som DIGG anger på sin webbplats.

19.2. Meddelanden som enligt Regelverket ska tillställas Leverantör av identitetsintyg eller Förlitade part ska i skriftlig form översändas till den postadress eller den e-postadress som denne angett i ett anslutningsavtal, ett förlitandeavtal eller annars har meddelat.

20. Tillämplig lag och tvister

20.1. Regelverket ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.

20.2. Tvist angående tolkning eller tillämpning av Regelverket och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.

20.3. När en Leverantör av identitetsintyg eller en Förlitande part, med vilken en tvist uppkommer med DIGG, är en del av samma juridiska person som DIGG ska följande gälla istället för punkt 20.2. Uppkommer frågor mellan Parterna om fördelning av ansvar eller kostnader tillämpas punkterna 20.3.1 - 20.3.5.

20.3.1. Tvist angående tolkning eller tillämpning av Regelverket och därmed sammanhängande rättsförhållanden ska, om tvisten rör den tekniska och administrativa hanteringen lösas av de i Anslutningsavtal för Förbetald E-legitimering eller Förlitandeavtal för Förbetald E-legitimering utsedda kontaktpersonerna, i första hand av kontaktpersonerna för frågor som rör it-drift, i andra hand av kontaktperson som är behörig att hantera händelser som kan ha betydelse för eIDAS-nodens funktionalitet eller säkerhet. Kan de inte enas ska frågan lösas av de företrädare vardera Parten utser.

20.3.2. Rör tvisten istället främst de de juridiska villkoren ska den i första hand lösas av kontaktpersonerna för administrativa frågor enligt Anslutningsavtal för Förbetald E-legitimering eller Förlitandeavtal för Förbetald E-legitimering och i andra hand av de företrädare vardera Parten utser.

20.3.3. Uppkommer oenighet om en tvistefråga rör de juridiska villkoren eller den tekniska och administrativa hanteringen ska frågan anses röra de juridiska villkoren.

20.3.4. Kan enighet inte uppnås enligt punkt 20.3.1 eller 20.3.2 ska Parternas myndighetschefer eller motsvarande organ lösa frågan.

20.3.5. Myndigheterna ska lojalt samverka för att utan tidsutdräkt finna en lösning.

Senast uppdaterad: