Regelverk Valfrihetssystem 2017 E-legitimering

1. Bakgrund och syfte

1.1 Myndigheter tillhandahåller e-tjänster åt användare och för åtkomst till dessa tjänster fordras att användaren kan legitimera sig elektroniskt.

1.2 Enligt förarbetena till lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering (prop. 2012/13:123) syftar valfrihetssystem till att underlätta för nuvarande tillhandahållare av e-legitimationer att ansluta sig men också att ge nya tillhandahållare av e-legitimationer möjlighet att etablera sig.

1.3 Enligt förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning ska myndigheten tillhandahålla och administrera valfrihetssystem enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering.

1.4 Myndigheten för digital förvaltning har nu tagit fram ett nytt valfrihetssystem som avses ge såväl etablerade som nya aktörer möjlighet att tillhandahålla tjänster så att användare kan legitimera sig och få tillgång till den offentliga förvaltningens e-tjänster, Valfrihetssystem 2017 E-legitimering (Valfrihetssystem 2017).

1.5 I Valfrihetssystem 2017 finns det en tydlig koppling mellan en utfärdad e-legitimation och identitetsintyg. Den som tillhandahåller e-legitimationer svarar i förhållande till part som litar på dem för att e-legitimationerna har utfärdats enligt för Valfrihetssystem 2017 tillämpliga bestämmelser, däribland att de har en viss tillitsnivå, samt att det tillhandahålls en legitimeringsfunktion. Det är dock användaren som väljer e-legitimation. Leverantören ska till förlitande part tillhandahålla en identifierings- och intygsfunktion samt leverera identitetsintyg försett med elektronisk stämpel.

1.6 Regelverket för Valfrihetssystem 2017 (Regelverket) reglerar förhållandet mellan nedanstående parter:

(a) parter inom den offentliga sektorn (Förlitande part) som tillhandahåller tjänster där det krävs elektronisk identifiering av fysiska personer som använder e-legitimationer (Användare),

(b) parter (Leverantör) som dels utfärdar e-legitimationer och tillhandahåller en legitimeringsfunktion åt Användare, dels tillhandahåller funktioner åt Förlitande part för att identifiera Användare samt utfärda och tillhandahålla intyg i elektronisk form till Förlitande part med uppgifter om Användares identitet och attribut,

(c) en part (Myndigheten för digital förvaltning) som handlägger och administrerar Valfrihetssystem 2017,

1.7 Valfrihetssystem 2017 har utformats så att Leverantör ska;

(a) anges som utfärdare i berörda e-legitimationer,

(b) tillhandahålla funktioner där

• Användaren legitimerar sig för tillträde, uppgiftslämnande eller indirekt underskrift (Legitimeringsfunktion), samt
• Användaren identifieras och intyg utfärdas om vem som har legitimerat sig (Identifierings- och intygsfunktion),

(c) förse intygen (Identitetsintyg) med uppgifter om Användarens identitet och attribut samt Leverantörens elektroniska stämpel,

(d) leverera Identitetsintyg direkt till den Förlitande part som beställt intyget, med användning av uppgifter som är registrerade i Aktörsregistret. Regelverket är tillämpligt mellan parter som ansluts till Valfrihetssystem 2017 genom skriftligt avtal.

1.9 Avsikten är att endast Part ska kunna förlita sig på Identitetsintyg och annan information som används.

1.10 Valfrihetssystem 2017 är ett slutet system enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS).

1.11 Definitioner och terminologi i Valfrihetssystem 2017 har anpassats till den juridiska vägledning för införande av e-legitimering och e-underskrifter som tagits fram av eSam i samarbete med E-legitimationsnämnden och Myndigheten för samhällsskydd och beredskap. Vägledningen finns att tillgå på Myndigheten för digital förvaltnings webbplats, https://www.digg.se.

1.12 Ändring av och tillägg till Regelverket ska ske på sätt som anges i Regelverket och enligt Myndigheten för digital förvaltnings interna föreskrifter, i den mån och ut-sträckning dessa föreskrifter avser Valfrihetssystem 2017.

2. Definitioner

I regelverket betyder

1. Anslutningsavtal: ett avtal om anslutning av en Leverantör till
   Valfrihetssystem 2017,
2. Användare: en fysisk person som innehar en e-legitimation utfärdad av en Leverantör och som vid användning av e-legitimationen identifieras genom en Identifierings- och intygsfunktion,
3. Avtal för Förlitande part: ett avtal om anslutning av Förlitande part till Valfrihetssystem 2017,
4. Direkt leverans: Leverantör som utfärdat använd e-legitimation ska efter identifiering sända ett Identitetsintyg direkt till Förlitande part från Leverantörens Identifierings- och intygsfunktion,
5. Förlitande part: en part som beställer Identitetsintyg för att hantera frågor om identitet, attribut eller underskrift,
6. Identifiering: en automatiserad kontroll av vem som har legitimerat sig,
7. Identifierings- och intygsfunktion: en tjänst där Leverantör genomför automatiserade kontroller, ställer ut Identitetsintyg samt sänder Identitetsintyget till den Förlitande part som beställt det.
8. Identitetsintyg: stämplat intyg i elektronisk form med uppgift om Användares identitet och attribut,
9. Legitimering: en Användare aktiverar sin e-legitimation,
10. Legitimeringsfunktion: teknisk funktion där Användaren legitimerar sig för tillträde, uppgiftslämnande eller indirekt underskrift,
11. Leverantör: en part som enligt tillämpligt Anslutningsavtal utfärdar e-legitimation med viss tillitsnivå, tillhandahåller Legitimeringsfunktion samt tillhandahåller Identifierings- och intygsfunktion för Identifiering av Användare som brukar dessa e-legitimationer,
12. Part: var och en av Myndigheten för digital förvaltning, Leverantör och Förlitande part,
13. Regelverket: detta regelverk som avser Valfrihetssystem 2017,
14. Tekniska krav: de tekniska specifikationer som Myndigheten för digital förvaltning från tid till annan föreskriver för Valfrihetssystem 2017. De Tekniska kraven, för närvarande benämnda Tekniska krav för Valfrihetssystem 2017 E-legitimering, finns att tillgå på Myndigheten för digital förvaltnings webbplats, https://www.digg.se.
15. Tillitskrav: de tillitskrav som Myndigheten för digital förvaltning från tid till annan föreskriver för Valfrihetssystem 2017, för närvarande benämnda Tillitskrav för Valfri-hetssystem 2017 E-legitimering, tillitskraven finns att tillgå på Myndigheten för digital förvaltnings webbplats, https://www.digg.se.
16. Valfrihetssystem 2017: Valfrihetssystem 2017 E-legitimering
17. Aktörsregistret: ett register över tjänster som är anslutna till funktioner som Myndigheten för digital förvaltning etablerat för säker och effektiv kommunikation vid elektronisk identifiering.

3. Regelverket

3.1 Allmänt

Reglering av Parts åtaganden med mera enligt Valfrihetssystem 2017 sker genom Regelverket, Anslutningsavtal samt Avtal för Förlitande part, i den utsträckning tvingande lag eller annan tvingande författning inte föreskriver avvikande bestämmelser. Prioriteringsordningen mellan Anslutningsavtal/Avtal för Förlitande part och Regelverk regleras i Anslutningsavtalen respektive Avtalen för Förlitande part.

3.2 Regelverkets delar

Regelverket består av denna huvudtext och följande två delar

1. Tillitskrav
2. Tekniska krav

Tillitskrav och Tekniska krav finns tillgängliga på Myndigheten för digital förvaltnings webbplats, https://www.digg.se.

Det ankommer på Leverantör att löpande hålla sig uppdaterad om eventuella förändringar i Tillitskrav samt Tekniska krav.

3.3 Tolkningsordning

Om bestämmelser i Regelverket är motstridiga ska

(a) en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,

(b) en bestämmelse i denna huvudtext gå före en bestämmelse i någon av de delar som anges i punkt 3.2,

(c) en bestämmelse i Tillitskraven gå före en bestämmelse i de Tekniska kraven,

(d) en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre dokument, och

(e) en specifik bestämmelse gå före en allmän bestämmelse.

Dessa tolkningsregler ska tillämpas så att en tidigare i (a) – (c) nämnd regel går före en senare nämnd regel.

3.4 Ändring och tillägg

3.4.1 Regelverket förvaltas på det sätt som föreskrivs i Myndigheten för digital förvaltnings senast beslutade interna föreskrifter.

3.4.2 Part äger påkalla förändring av Anslutningsavtalet, Avtal för Förlitande part eller Regelverket, varvid Myndigheten för digital förvaltning ska uppta samråd med parterna. Ändringar och tillägg ska ske först efter det att samtliga parter samtyckt till ändringen eller tillägget.

3.4.3 Myndigheten för digital förvaltning äger dock, efter information och samråd med parterna i Anslutningsavtalen respektive Avtal för Förlitande part, företa ändring eller tillägg i Regelverket om Myndigheten för digital förvaltning bedömer att så erfordras på grund av lag, förordning eller annan föreskrift.

3.4.4 Myndigheten för digital förvaltning äger också företa ändringar och tillägg i Tillitskraven och de Tekniska kraven utan att iaktta ovanstående reglering men ska i skälig tid före sådana tillägg eller ändringar träder i kraft informera Part.

4. Valfrihetssystem 2017

4.1 Roller

4.1.1 Myndigheten för digital förvaltning handlägger och administrerar Anslutningsavtal samt ingår som ombud för Förlitande part avtal (Anslutningsavtal) med Leverantör.

4.1.2 Leverantör utfärdar e-legitimationer med viss tillitsnivå till Användare och tillhandahåller Legitimeringsfunktion åt Användare. Leverantör tillhandahåller vidare Identifierings- och intygsfunktion åt Förlitande part och intygar utförd identifiering av Användare genom att tillhandahålla Identitetsintyg till Förlitande part. Leverantör kan tillhandahålla tilläggstjänster.

4.1.3 Förlitande part tillhandahåller e-tjänster åt Användare, som använder av Leverantören utfärdade e-legitimationer, och beställer Identitetsintyg av Leverantören för identifiering av Användaren.

4.2 Anslutning av Leverantör till Valfrihetssystem 2017

4.2.1 Anslutning av en Leverantör sker efter ansökan hos Myndigheten för digital förvaltning, varefter avtal om anslutning (Anslutningsavtal) träffas mellan Myndigheten för digital förvaltning, för egen del och som ombud för Förlitande parter, och Leverantören.

4.2.2 Om det tillkommer en Förlitande part efter det att Anslutningsavtal träffats mellan Myndigheten för digital förvaltning och Leverantör blir sådan tillkommande Förlitande part automatiskt Part i Anslutningsavtalet genom att Myndigheten för digital förvaltning meddelat Leverantören.

4.2.3 Om Leverantören är ansluten även till tidigare valfrihetssystem som administreras av Myndigheten för digital förvaltning och Förlitande part är ansluten till både det tidigare valfrihetssystemet och Valfrihetssystem 2017 ska endast reglerna för Valfrihetssystem 2017 tillämpas för Leverantören i förhållande till sådan Förlitande part.

4.3 Avtal med förlitande part

En Förlitande part får tillgång till Identifierings- och intygsfunktionen och Identitetsintyg efter anmälan hos Myndigheten för digital förvaltning och efter det att avtal träffats mellan Förlitande part och Myndigheten för digital förvaltning (Avtal med Förlitande part).

4.4 Ersättning och fakturering

4.4.1 Förlitande part ska till Leverantör erlägga följande ersättning för leverans av Identitetsintyg:

17 öre per Identitetsintyg.

Ovanstående ersättning är exklusive mervärdesskatt.

Annan ersättningsskyldighet föreligger inte för Förlitande part.

4.4.2 Leverantör ska, senast 15 dagar efter utgången av varje kalendermånad, fakturera Förlitande part den ersättning som Leverantören enligt punkt 4.4.1 är berättigad till för de Identitetsintyg som levererats under kalendermånaden. I den mån ersättningen understiger 1 000 kr äger dock Leverantören fakturera vid senare tillfälle, dock senast 90 dagar efter den kalendermånad då leverans skedde.

4.4.3 På begäran av Förlitande part ska fakturering ske elektroniskt. I annat fall ska fakturering ske genom sedvanlig faktura.

4.4.4 Förlitande part ska, senast 30 dagar efter mottagen faktura, erlägga angivet fakturabelopp.

4.4.5 Vid försenad betalning utgår dröjsmålsränta från förfallodagen till dess att betalning är mottagen i enlighet med bestämmelserna i räntelagen (1975:635).

4.5 Samarbetsformer

4.5.1 Samarbetet mellan Parterna i Valfrihetssystem 2017 ska inte anses medföra att något agentförhållande, enkelt bolag eller handelsbolag eller någon annan liknande sammanslutning anses föreligga. Part får inte företräda annan Part utan den sistnämnda Partens skriftliga medgivande såvida inte annat följer av Regelverket, Anslutningsavtal eller Avtal för Förlitande part.

4.5.2 Part svarar själv för sina åtaganden enligt Regelverket, Anslutningsavtal respektive Avtal för Förlitande part om inte annat uttryckligen anges. Solidariskt ansvar föreligger således inte och Myndigheten för digital förvaltning svarar exempelvis inte för Leverantörens tillhandahållande av Identitetsintyg eller Leverantörs rätta fullgörande av sina åtaganden i övrigt. Avtalsbrott enligt Regelverket, Anslutningsavtal respektive Anslutningsavtal för Förlitande part får vidare göras gällande endast av berörd Part samt av Myndigheten för digital förvaltning.

4.5.3 Part får inte helt eller delvis överlåta sina rättigheter eller skyldigheter enligt Regelverket, Anslutningsavtalet respektive Avtal för Förlitande part.

4.5.4 Leverantör får efter skriftligt godkännande av Myndigheten för digital förvaltning anlita underleverantör för fullgörande av vissa av sina åtaganden enligt Anslutningsavtal, men svarar då för underleverantörens åtgärder som om Parten hade utfört åtgärderna själv. Leverantören ska dock i eget namn utfärda e-legitimationer, tillhandahålla Legitimeringsfunktion och förse Identitetsintyg med elektronisk stämpel. Om leverantören vill anlita en underleverantör för utförande av andra åtaganden ska Leverantören skriftligen underrätta Myndigheten för digital förvaltning och ange vilken underleverantör som avses anlitas och vilka tjänster underleverantören ska utföra. Har Leverantören i ansökan om anslutning till Valfrihetssystem 2017 angivit att underleverantör ska utföra vissa åtaganden och har sådan ansökan godkänts behöver Leverantören inte lämna någon underrättelse eller inhämta nytt godkännande för sådan i ansökan angiven underleverantör.

4.5.5 Part ska medverka, samarbeta och samråda med övriga Parter i Valfrihetssystem 2017 och i skälig omfattning informera dessa Parter om de omständigheter som kan antas påverka vad som regleras i Regelverket. Förlitande part ska bland annat i god tid informera Leverantör om period då någon av Förlitande parts anslutna e-tjänster förväntas vara utsatt för extra hög eller tidskritisk belastning eller Förlitande part annars kan komma att behöva extra stöd.

5. Regler för Myndigheten för digital förvaltning

5.1 Förvaltning

Myndigheten för digital förvaltning ska handlägga och administrera Anslutningsavtal och Avtal för Förlitande part i enlighet med Regelverket.

5.2 Ansvarsbegränsningar

5.2.1 Myndigheten för digital förvaltnings skadeståndsansvar är begränsat till ansvar för direkt skada som Myndigheten för digital förvaltning vållar annan Part genom vårdslöshet.

5.2.2 Myndigheten för digital förvaltning skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar 35 prisbasbelopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proportion till de skadelidande Parternas skada.

5.2.3 Begränsningarna som anges i denna punkt 5.2 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

6. Regler för Leverantör

6.1 Utfärdande av E-legitimationer med mera

6.1.1 Leverantören ska utfärda e-legitimation till Användare och tillhandahålla Legitimeringsfunktion. Leverantören ska anges som utfärdare av e-legitimationen.

6.1.2 E-legitimationerna och tillhandahållandet av Legitimeringsfunktionen ska följa Tillitskraven och de Tekniska kraven. Leverantör svarar för att;

a) e-legitimationer som omfattas av Anslutningsavtalet uppfyller Tillitskraven, och

b) Användargränssnitt i Legitimeringsfunktionen är utformat så att det tydligt framgår när legitimering sker för underskrift.

6.2 Identifierings- och intygsfunktion samt Identitetsintyg

6.2.1 Leverantör ska, från och med den startdag som anges i tillämpligt Anslutningsavtal, tillhandahålla en Identifierings- och intygsfunktion som avser Identifiering vid brukande av en e-legitimation som omfattas av Leverantörens åtagande. Leverantören svarar för att Identitetsintyg och de e-legitimationer som ligger till grund för intygen har vederbörligen stämplats och utfärdats i enlighet med Tekniska krav och Anslutningsavtalet. Utfärdade Identitetsintyg ska levereras Förlitande part genom Direkt leverans.

6.2.2 Identifierings- och intygsfunktionen ska vara ändamålsenlig och lämplig för att utföra Identifiering efter Legitimering med en e-legitimation som omfattas av Anslutningsavtalet.

6.3 Kundtjänst

Leverantör ska tillhandahålla kundtjänst med god tillgänglighet där Användare, Myndigheten för digital förvaltning och Förlitande part via telefon, e-post eller annan lämplig kontaktväg kan ställa frågor rörande Leverantörens tjänster. Kontaktuppgifter för sådan kundtjänst ska av Leverantör uppges till Myndigheten för digital förvaltning för publicering på Myndigheten för digital förvaltnings webbplats.

6.4 Fackmannamässighet

Leverantör ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med Regelverket, Anslutningsavtal, gällande lagar och andra författningar, myndighetsbeslut samt inom relevant område förekommande god branschpraxis.

6.5 Servicenivåer och ansvar för fel

De servicenivåer Leverantör ska uppfylla anges i Anslutningsavtalet.

6.6 Ansvarsbegränsningar

6.6.1 Skadeståndsansvaret för Leverantör är begränsat till ansvar för direkt skada som Leverantör vållar Myndigheten för digital förvaltning eller Förlitande part genom vårdslöshet.

6.6.2 Skadeståndsansvaret för Leverantör gentemot respektive Förlitande part är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 30 % av den totala ersättning som Leverantören erhållit från aktuell Förlitande part enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället.

6.6.3 Skadeståndsansvaret för Leverantör gentemot Myndigheten för digital förvaltning är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som Leverantören erhållit (från samtliga Förlitande parter) enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället.

6.6.4 För undvikande av oklarhet omfattar Leverantörens skadeståndsansvar gentemot Myndigheten för digital förvaltning och Förlitande part även skador som orsakas av Leverantörens brister i fullgörandet av sina förpliktelser avseende utfärdande av E-legitimationer med mera, trots att dessa utfärdats till Användare och inte till Myndigheten för digital förvaltning eller Förlitande part.

6.6.5 Begränsningarna som anges i denna punkt 6.6 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

6.7 Särskild befrielsegrund

Om Leverantör visar att viss avvikelse från Leverantörens skyldigheter enligt Regelverket är nödvändig för att Leverantören ska kunna förhindra, motverka eller åtgärda allvarlig säkerhetsrisk ska detta utgöra befrielsegrund som medför befrielse från skadestånd och andra påföljder såvitt avser avvikelsen. Om Leverantören önskar åberopa sådan befrielsegrund ska Leverantören utan oskäligt dröjsmål lämna Myndigheten för digital förvaltning och Förlitande part skriftligt meddelande om detta samt, om befrielsegrund åberopas för period som är längre än 7 dagar, bjuda in Myndigheten för digital förvaltning till samråd om hur den aktuella säkerhetsrisken ska hanteras.

7. Regler för Förlitande part

7.1 Användning av Identitetsintyg

7.1.1 Förlitande part har rätt att beställa Identitetsintyg från Leverantören när Användare behöver legitimera sig för tillträde, uppgiftslämnande eller indirekt underskrift.

7.1.2 Förlitande part får använda Identitetsintyg för att hantera frågor om identitet i anslutning till Förlitande parts tjänst samt, för att under viss kortare tid därefter, identifiera Användaren avseende annan tjänst som tillhandahålls av den Förlitande parten. All användning av Identitetsintyget ska ske i enlighet med gällande lagar, andra författningar och myndighetsbeslut.

7.2 Ansvarsbegränsningar

7.2.1 Skadeståndsansvaret för Förlitande part är begränsat till ansvar för direkt skada som Förlitande part vållar Myndigheten för digital förvaltning eller Leverantören genom vårdslöshet.

7.2.2 Skadeståndsansvaret för Förlitande part gentemot respektive Leverantör är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 30 % av den totala ersättning som Förlitande part är skyldig att betala till Leverantören enligt Regelverket för utförande av tjänster under de 12 månader som föregick skadetillfället.

7.2.3 Skadeståndsansvaret för Förlitande part gentemot Myndigheten för digital förvaltning är per skadetillfälle begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar det högsta av (i) 20 prisbasbelopp enligt socialförsäkringsbalken och (ii) 10 % av den totala ersättning som Förlitande part är skyldig att betala enligt Regelverket (till samtliga aktuella Parter) för utförande av tjänster under de 12 månader som föregick skadetillfället.

7.2.4 Begränsningarna som anges i denna punkt 7.2 ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

8. Incidentrapportering med mera

8.1 Allmänt

8.1.1 Denna punkt redovisar de rutiner som ska gälla avseende rapportering av säkerhetsrelaterade händelser och övriga störningar samt statistik, prognoser och andra uppgifter enligt vad som framgår av Regelverket.

8.1.2 För att bibehålla en hög säkerhet och kvalitet äger Myndigheten för digital förvaltning efter samråd med Leverantör samt Förlitande part utarbeta närmare riktlinjer för rapportering av incidenter.

8.2 Statistik

8.2.1 Leverantör ska rapportera in statistik till Myndigheten för digital förvaltning kvartalsvis till e-legitimation@digg.se.

8.2.2 Statistikrapporten för Leverantören ska avse kvartal och rapporteras senast månaden efter den aktuella periodens utgång. Av rapporten ska framgå vilket kvartal som avses för rapporterad statistik.

8.2.3 Statistikrapporten ska innehålla månadsvis uppgift om antal transaktioner avseende Identitetsintyg uppdelat per Förlitande part.

8.2.4 Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst.

8.3 Incidentrapportering

Om en Leverantör eller Förlitande part upptäcker missbruk av dess tjänster ska parten skyndsamt stänga av den aktuella tjänsten eller vidta andra lämpliga åtgärder för att förhindra upprepat missbruk. Parten ska lämna information till Myndigheten för digital förvaltning om inträffade incidenter och i övrigt i skälig omfattning medverka vid utredning av incidenter.

8.4 Övrig rapportering

8.4.1 Leverantör ska till Förlitande part rapportera planerade ändringar i tjänst, såsom nya eller ändrade funktioner i tjänst eller andra ändringar som kan ha påverkan för Förlitande part.

8.4.2 Leverantör ska till Myndigheten för digital förvaltning rapportera alla väsentliga förändringar i Leverantörens utförande av sina åtaganden enligt Regelverket.

8.4.3 Rapportering av ändringar enligt punkterna 8.4.1 och 8.4.2 ska, i den utsträckning de kräver förändring av gränssnittet mellan Leverantör och Förlitande part, ske minst 6 månader före det att ändringen träder i kraft, såtillvida ändringen inte är föranledd av allvarliga säkerhetsskäl, beslut av domstol eller annan myndighet eller annat särskilt skäl. I sådant fall ska Leverantör snarast möjligt rapportera ändringen samt sakligt redogöra för de skäl som föranleder frånsteget.

8.4.4 Vid rapportering av väsentliga förändringar enligt punkt 8.4.2 ska Leverantör bifoga dokumentation till stöd för Myndigheten för digital förvaltnings bedömning av fortsatt uppfyllelse av krav enligt Regelverket.

8.4.5 Övriga viktiga händelser som har eller kan ha påverkan på tjänsten eller Användarna ska rapporteras till Förlitande parter och till Myndigheten för digital förvaltning.

9. Personuppgiftsansvar

9.1 Allmänt

I denna punkt 9 redovisas den huvudsakliga behandling av personuppgifter som förekommer i anslutning till Identifierings- och intygsfunktionen samt Parternas uppfattning om hur ansvaret för behandling av personuppgifter ska vara fördelat. Part ansvarar emellertid själv för att tillämpliga regler följs.

Part ansvarar i förekommande fall för att upprätta biträdesavtal med underleverantörer som inom ramen för Identifierings- och intygsfunktionen behandlar personuppgifter för Partens räkning.

9.2 Utfärdande och kontroll av e-legitimationer

Personuppgiftsansvaret för de behandlingar som en utfärdare av e-legitimation utför i samband med utfärdande och kontroll av e-legitimationer (registrering, utfärdande och utlämnande samt spärrfunktion och spärrsvar) vilar på Leverantören.

9.3 Legitimering av Användare, Identifiering och utfärdande av Identitetsintyg

Leverantör är personuppgiftsansvarig för de behandlingar som Leverantören utför i samband med Legitimering, Identifiering spärrkontroll, kryptografiska kontroller etc. samt utställande och översändande av Identitetsintyg.

9.4 Inloggning i en e-tjänst

Förlitande part är personuppgiftsansvarig för sina egna kontroller efter att ha mottagit ett Identitetsintyg (bland annat för äkthetskontroll av intyget samt jämförelser mellan uppgifter i intyget och uppgifter som lämnats om vem som loggar in).

9.5 Personuppgiftsbiträde

I samband med utförandet av åtaganden enligt Regelverket kan Part såsom personuppgiftsbiträde komma att behandla personuppgifter för en annan Parts räkning. Sker detta ska berörda Parter upprätta ett sedvanligt personuppgiftsbiträdesavtal. Sådant avtal ska bland annat innefatta följande:

(i) att personuppgiftsbiträdet får behandla personuppgifterna endast i den utsträckning som krävs för att fullgöra åtaganden gentemot den personuppgiftsansvarige och endast i enlighet med den personuppgiftsansvariges instruktioner,

(ii) att personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, och

(iii) att personuppgiftsbiträdet i förekommande fall ska bistå den personuppgiftsansvarige om någon begär att få ta del av information som finns registrerad om honom eller henne till följd av Identifierings-och intygsfunktionen eller begär rättelse av sådan information.

10. Sekretess

Part får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom samarbetet och (i) är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits eller (ii) kan vara att betrakta som affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Parten är skyldig att lämna ut handlingar och uppgifter enligt den så kallade offentlighetsprincipen). Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt offentlighets- och sekretesslagen eller annan tillämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i tillämplig lagstiftning.

11. Uppgiftslämnande

11.1 Myndigheten för digital förvaltning har ett övergripande översynsansvar för Valfrihetssystem 2017.

11.2 I den mån Myndigheten för digital förvaltning för fullgörande av sitt uppdrag avseende Valfrihetssystem 2017 har behov av att erhålla information från Leverantör eller Förlitande part ska sådan part på Myndigheten för digital förvaltnings begäran lämna information.

11.3 Myndigheten för digital förvaltning har rätt att på begäran granska och erhålla information som visar att Leverantör uppfyller Regelverket och Anslutningsavtal, såsom avseende uppfyllnad av Tillitskraven och de Tekniska kraven. I samband med granskningen har Myndigheten för digital förvaltning rätt att erhålla information från Leverantör samt genomföra platsbesök och intervjuer hos denne samt göra stickprov för att verifiera kravuppfyllnad. Leverantör ska vara behjälplig under hela granskningsprocessen och ställa upp med nödvändiga resurser samt erbjuda tillgång till sådan dokumentation och sådana lokaler som krävs för att Myndigheten för digital förvaltning ska kunna verifiera kravuppfyllnad. Planering av eventuella platsbesök, intervjuer och stickprov ska ske i samråd mellan Leverantör och Myndigheten för digital förvaltning och förläggas på ett sådant sätt att de innebär så liten påverkan på Leverantörens verksamhet som möjligt.

11.4 Begäran om information ska även i övrigt vara skälig och hänsyn ska tas till parts behov av sekretess samt att viss information kan utgöra företagshemligheter.

12. Immateriella rättigheter

Parternas avtal ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.

13. Reklamation

Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Anslutningsavtal, Avtal för Förlitande part eller Regelverket inte åberopas om det inte påtalas inom skälig tid, och senast inom 1 år, från den tidpunkt då brottet upptäcktes eller borde ha upptäckts.

14. Befrielsegrund

14.1 Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Anslutningsavtal, Avtal för Förlitande part eller Regelverket ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation samt befrielse från skadestånd och andra påföljder, under förutsättning att hindret består av antingen:

(a) en omständighet som Parten inte kunnat råda över och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 § regeringsformen, oavsett om Parten själv är föremål för eller vidtar sådan åtgärd), eller

(b) att underleverantör till Leverantör förhindras fullgöra sin leverans på grund av sådan omständighet som anges i punkten ovan.

14.2 Om en Leverantör önskar åberopa en befrielsegrund ska Leverantören utan oskäligt dröjsmål lämna skriftligt meddelande om detta till Förlitande parter.

15. Uppsägning av Anslutningsavtal hänförligt till avtalsbrott

15.1 Förlitande part ska ha rätt att med omedelbar verkan säga upp ett Anslutningsavtal om Leverantör:

(a) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Anslutningsavtalet eller Regelverket och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom,

(b) försätts i konkurs, inleder ackordsförhandlingar, inställer sina betalningar, ansöker om företagsrekonstruktion eller annars kan anses riskera att komma på obestånd,

(c) avhänder sig en väsentlig del av sina tillgångar eller ändrar inriktning på sin verksamhet, eller

(d) lämnat oriktiga uppgifter i ansökan om godkännande för anslutning till Valfrihetssystem 2017 och dessa uppgifter har varit av icke oväsentlig betydelse vid Myndigheten för digital förvaltnings godkännande av ansökan.

15.2 Förlitande part har rätt att, med iakttagande av minst 30 dagars uppsägningstid, säga upp ett Anslutningsavtal om den anslutna Leverantören åberopat befrielsegrund enligt punkt 6.7 för period eller perioder som sammantaget är längre än 60 dagar.

15.3 Myndigheten för digital förvaltning ska ha rätt att med omedelbar verkan säga upp samtliga Anslutningsavtal avseende en Leverantör om denne i väsentlig mån eller vid upprepade tillfällen brister i förpliktelser enligt Regelverket (såsom uppfyllnad av Tillitskraven och de Tekniska kraven) och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom.

15.4 Uppsägning ska ske skriftligen för att vara gällande.

15.5 Uppsägning kan också ske på sätt anges i Anslutningsavtal och Avtal för Förlitande part.

16. Meddelanden

Meddelanden som enligt Regelverket ska tillställas Part ska i skriftlig form översändas till den postadress eller den e-postadress som mottagaren angivit i Anslutningsavtal respektive Avtal för anslutning av Förlitande part eller meddelat till Myndigheten för digital förvaltning. Myndigheten för digital förvaltning ska på begäran av Leverantör eller Förlitande part tillhandahålla angiven Parts senast meddelade postadress eller e-postadress.

17. Tillämplig lag och tvister

17.1 Regelverket ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.

17.2 Tvister angående tolkning eller tillämpning av Regelverket och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.