Anslutningsavtal till Sweden Connect – offentlig aktör

Avtal med förlitande part beträffande funktioner för elektronisk identifiering Sweden Connect:

1. Parter

Detta avtal om anslutning till Sweden Connect (”Avtalet”) har träffats mellan:

Myndigheten för digital förvaltning (”Digg”), org.nr 202100-6883, och

(”Förlitande part”) Namn och org.nr

(var och en ”Part” och gemensamt ”Parterna”).

2. Inledning

2.1 Enligt 3 § 1 p. förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning (”Instruktionen”) ska Digg ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift. Digg ska vidare enligt 3 § 3 p. Instruk¬tionen ansvara för de svenska förbindelsepunkterna (noderna) för gränsöverskridande elektronisk identifiering i enlighet med Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (”eIDAS-förordningen”).

2.2 Digg tillhandahåller därför funktioner för elektronisk identifie¬ring (”Sweden Connect”). Syftet med dessa funktioner är bland annat att

(a) en nod (”eIDAS-noden”) ska etableras enligt 3 § 3 p. Instruk¬tionen,

(b) ett register över tjänster som är anslutna till Sweden Connect (”Metadataregistret”) ska införas för säker och effektiv kommunikation, och

(c) elektronisk identifiering som levereras av utfärdare i andra länder inom EU och EES (”e-legitimationer från andra länder”) ska kunna användas i digitala tjänster som tillhandahålls av svenska myndigheter.

2.3 Genom att publicera information om dessa funktioner och att bedriva ett systematiskt arbete för informationssäkerhet vid elektronisk identifie¬ring och underskrift kan en allmän tillit etable¬ras till Sweden Connect, såväl nationellt som vid kommunikation mellan Sverige och andra länder inom EU och EES.

2.4 Förlitande part som är myndighet under regeringen utgör en del av samma juridiska person som Digg. Även överenskommelser om sådana myndigheters användning av Sweden Connect ska dock regleras av bestämmelserna i Avtalet, varvid även sådan Förlitande part betecknas som Part och ansluter sig till Sweden Connect genom det förfarande som regleras i punkt 9.1 – 9.4.

3. Funktioner som omfattas av Avtalet och hantering av ändringar

3.1 Genom Avtalet tillhandahåller Digg åt Förlitande part

(a) Metadataregistret och tillhörande administrativa kontrollfunktioner, så att elektronisk identifiering kan ske säkert och effektivt, nationellt och internationellt, i enlighet med Diggs tekniska ramverk för elektronisk identifiering (”Tekniskt ramverk för Sweden Connect”), bilaga 1,

(b) eIDAS-noden, så att identitetskontroll kan utföras med e-legitimationer från andra länder, och

(c) den svenska incidentrapporteringsfunktionen för elektronisk identifiering, så att Digg kan uppfylla sina skyldigheter enligt Avtalet och artikel 4 kommissionens genomförande¬beslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete.

3.2 Förlitande part får använda funktioner enligt punkt 3.1 endast i enlighet med de villkor och begränsningar som följer av Avtalet.

3.3 Funktionerna ingår i Sweden Connect, som är under utveckling i enlighet med närmare specifikationer som finns tillgängliga på Diggs webbplats för Sweden Connect. Nya funktioner kan komma att införas genom ändringar av Avtalet enligt det förfarande för ändringar och tillägg som följer av punkt 8.1 och 8.2.

4. Diggs åtaganden

4.1 Digg administrerar och förvaltar Sweden Connect bland annat genom att hantera anslutning av förlitande parter.

4.2 Digg tillhandahåller funktioner enligt punkt 3.1 åt Förlitande part för att användare av e-legitimationer från andra länder ska kunna legitimera sig – för tillträde eller för underskrift – i digitala tjänster som tillhandahålls av Förlitande part och för att elektronisk identifiering ska ske säkert och effektivt såväl nationellt som internationellt.

4.3 Digg ska, i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av punkt 3.1 och Tekniskt ramverk för Sweden Connect, bilaga 1, kontrollera Förlitande parts identitet och skydda kommunikationen mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i den nämnda bilagan.

4.4 Digg ska vägleda Förlitande part vid anslutning till Sweden Connect så att Förlitande part

(a) utformar det tekniska och administrativa förfarandet så att det blir effektivt och säkert, nationellt och internationellt, och

(b) tillhandahåller en användardialog som är utformad så att den inte riskerar att missförstås av användare av e-legitimationer.

4.5 Digg tillhandahåller användarstöd där Förlitande part via e-post och/eller annan lämplig kontaktväg kan ställa frågor rörande Sweden Connect. På sin webbplats ska Digg publicera kontaktuppgifter för sådant stöd och lämna grundläggande information. Digg sänder också viss information till de funktionsbrevlådor som Förlitande part meddelat Digg.

4.6 Digg får bestämma att ytterligare tillitsnivåer får förekomma än de som följer av punkt 5.5.

5. Förlitande parts åtaganden

5.1 Förlitande part ska för registrering i Metadataregistret anmäla till Digg de metadata och de förändringar i metadata som krävs enligt det Tekniska ramverket, bilaga 1.

5.2 Förlitande part ska hämta och därefter hantera Metadataregistret så att elektronisk identifiering kan ske på ett effektivt och säkert sätt, nationellt och internationellt.

5.3 Förlitande part ska, i enlighet med den standard för säker kommunikation och i de sammanhang som framgår av punkt 3.1 och bilaga 1, kontrollera identiteter och skydda sin kommunikation mot manipulationer och förfalskningar genom de tekniska och administrativa åtgärder som anges i den nämnda bilagan.

5.4 Förlitande part ska i skälig omfattning, från tid till annan i enlighet med instruktioner från Digg, medverka till tester av Förlitande parts anslutning och andra funktioner.

5.5 Vid anmälan av metadata och användning av e-legitimationer från andra länder gäller de tillitsnivåer som följer av eIDAS-förordningen. Vid användning av svenska e-legitimationer gäller de tillitsnivåer som följer av Tillitsramverket för Svensk e-legitimation, bilaga 2. Har Digg enligt punkt 4.6 beslutat om ytterligare tillitsnivåer kan Förlitande part också tillämpa en sådan tillitsnivå för svenska e-legitimationer.

5.6 Förlitande part ska utforma sitt tekniska och administrativa förfarande så att det blir effektivt och säkert, nationellt och internationellt, och tillhandahålla en användardialog som är utformad så att den inte riskerar att missförstås av användare. För det alternativ som innebär val av en e-legitimation från ett annat land ska Förlitande part i sin användardialog bruka uttrycket ”Foreign eID”.

5.7 Förlitande part får använda Metadataregistret också för nationell trafik vid elektronisk identifiering om tjänsten är förenlig med Tekniskt ramverk för Sweden Connect, bilaga 1.

5.8 Förlitande part ska rapportera och ta emot incidentrapporter i enlighet med punkt 12.1 – 12.3.

6. Avtalsdokument

6.1 Avtalet består av detta huvudavtal och nedan angivna bilagor, i från tid till annan gällande lydelse, enligt vad som framgår av Diggs webbplats.

Bilaga 1, Tekniskt ramverk för Sweden Connect

Bilaga 2, Tillitsramverket för Svensk e-legitimation

Bilaga 3, Behandling av personuppgifter

6.2 Det ankommer på Förlitande part att hålla sig uppdaterad om förändringar i bilagorna efter meddelande från Digg till de av Förlitande part angivna kontaktuppgifterna.

7. Gällande regler och tolkningsordning

7.1 Av eIDAS-förordningen följer att länderna inom EU och EES ömsesidigt ska erkänna vissa e-legitimationer för gränsöverskridande identitetskontroll (artikel 6), ska ha interoperabla nationella system för gränsöverskridande identitetskontroller (artikel 12), ska rapportera säkerhetsincidenter i dessa nationella system (artikel 10) och ska hantera detta baserat på interoperabilitetsramverk som uppfyller vissa specifika kriterier (artikel 12.3). Europeiska kommissionen har vidare antagit genomförande¬förord¬ningar, bl.a. den ovan i punkt 2.1 nämnda genomförandeförordningen.

7.2 Skulle någon bestämmelse i Avtalet strida mot eIDAS-förordningen, en genomförande¬förord¬ning som Europeiska kommissionen har antagit eller någon regel i svensk lag eller författning, har eIDAS-regleringen respektive svenska lagar, förordningar eller myndighetsföreskrifter, i från tid till annan gällande lydelse, företräde framför Avtalet.

7.3 Om bestämmelser i Avtalet är motstridiga ska

(a) en bestämmelse gå före en annan om så uttryckligen anges eller omständigheterna annars uppenbarligen så föranleder,

(b) en bestämmelse i denna huvudtext gå före en bestämmelse i någon av bilagorna,

(c) en bestämmelse i en i punkt 6.1 tidigare nämnd bilaga gå före en bestämmelse i en senare nämnd bilaga

(d) en bestämmelse i ett yngre dokument gå före en bestämmelse i ett äldre, och

(e) en specifik bestämmelse gå före en allmän bestämmelse.

7.4 Dessa tolkningsregler ska tillämpas så att en tidigare, i a–e, nämnd regel går före en senare nämnd regel.

8. Ändringar och tillägg

8.1 Digg ska fortlöpande hålla Förlitande part underrättad om hur Sweden Connect utvecklas och vilka ändringar och tillägg som planeras, dels med avseende på funktioner, dels beträffande de regler som ska gälla för Parterna.

8.2 Regelverket förvaltas på det sätt som föreskrivs i Diggs senast beslutade interna föreskrifter. Ändring av och tillägg till Avtalet ska ske enligt Diggs interna föreskrifter i den mån och utsträckning dessa föreskrifter avser Sweden Connect.

9. Hur avtal sluts

9.1 Förlitande part ska fylla i det ansökningsformulär som tillhandahålls via Diggs webbplats. Efter godkänd ansökan ska Förlitande part ge in två exemplar av Avtalet, undertecknade av behörig företrädare, till Digg.

9.2 Förlitande part ska därefter genom tidigare meddelad kontaktperson, som är behörig att anmäla uppgifter till Metadataregistret, lämna Förlitande parts metadata till Digg.

9.3 Digg ska genom behörig företrädare underteckna båda exemplaren och återsända det ena till Förlitande part. Avtal ingås då avtalsformuläret undertecknats av Parterna.

9.4 Förlitande part äger inte rätt att använda Funktionerna för elektronisk identifiering för identitetskontroll med e-legitimationer från andra länder förrän Digg har registrerat förlitande parts metadata i Metadataregistret samt gjort det faktiskt möjligt för de som använder Förlitande parts digitala tjänster att legitimera sig med e-legitimationer från andra länder.

10. Ersättning och fakturering

10.1 Förlitande part äger inte rätt till ersättning från Digg för åtaganden enligt avtalet.

10.2 Om Förlitande part omfattas av anslutningsskyldigheten till den svenska eIDAS-noden enligt 1a § lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, utgår ingen ersättning och inga avgifter för Parternas åtaganden under Avtalet. Förlitande part är emellertid medveten om att regelverket kan komma att ändras enligt punkt 8.2 för den händelse att finansieringen upphör eller begränsas eller förutsättningar annars inte finns för att tillhandahålla funktionerna utan ersättning.

10.3 Digg har rätt att ta ut en avgift av andra Förlitande parter än de som avses i 10.2. Avgiftens storlek framgår av information på Diggs webbplats. Fakturering av Förlitande part sker via Peppol-nätverket.

11. Fackmannamässighet

Parterna ska utföra sina åtaganden på ett fackmannamässigt sätt och i enlighet med gällande EU-förordningar, svenska författningar, myndighetsbeslut, bestämmelserna i detta Avtal och inom relevant område förekommande god sed.

12. Incidenthantering, rapportering och åtgärder

12.1 Om Part upptäcker missbruk av funktioner med anknytning till Sweden Connect ska Parten skyndsamt stänga av den aktuella funktionen eller vidta andra lämpliga åtgärder för att hindra upprepat missbruk.

12.2 Parten ska lämna information till den andra Parten om inträffade säkerhetsincidenter och i övrigt i nödvändig omfattning medverka vid utredning av säkerhetsincidenter. Rapport om säker¬hetsincidenter lämnas utan otillbörligt dröjsmål av Förlitande part i enlighet med de rutiner som Digg närmare anger på webbplatsen för Sweden Connect.

12.3 För att bibehålla en hög säkerhet och kvalitet vid hantering av Sweden Connect äger Digg rätt att utarbeta närmare regler för rapportering av säkerhetsrelaterade händelser och övriga störningar. För införande av sådana regler gäller 8.1 och 8.2.

13. Behandling av personuppgifter

13.1 Respektive Part ansvarar själv som personuppgiftsansvarig för den behandling av personuppgifter som Parten genomför i anslutning till Sweden Connect. Personuppgiftsansvaret för Parternas behandling av personuppgifter beskrivs översiktligt i bilaga 3, Behandling av personuppgifter.

13.2 Part ansvarar i förekommande fall för att upprätta sedvanligt personuppgiftsbiträdesavtal, i enlighet med vad som följer av dataskyddsförordningen (GDPR), med under Avtalet anlitade underleverantörer som behandlar personuppgifter för Parts räkning.

14. Sekretess och tystnadsplikt

14.1 Part får inte utan berörd annan Parts medgivande till tredje man lämna uppgifter (oavsett om de är muntliga eller skriftliga, i elektronisk eller annan form) som blivit kända genom Sweden Connect och (i) är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400) eller annan tillämplig lagstiftning hos Part från vilka uppgifterna erhållits eller (ii) kan vara att betrakta som säkerhetskritiska eller affärs- eller yrkeshemligheter, såvida inte Parten enligt lag, annan författning eller myndighetsbeslut är skyldig att lämna ut uppgifter (exempelvis när Parten är skyldig att lämna ut handlingar och uppgifter enligt den s.k. offentlighetsprincipen).

14.2 Sekretesskyldigheten för erhållna uppgifter gäller i 5 år efter att uppgifterna erhållits eller, i den mån uppgifterna enligt offentlighets- och sekretesslagen eller annan tillämplig lagstiftning ska vara sekretessbelagda under längre tid hos Part från vilka uppgifterna erhållits, till den tidpunkt som anges i tillämplig lagstiftning.

14.3 Myndighets skyldighet att iaktta sekretess, inklusive tystnadsplikt, följer av offentlighets- och sekretesslagen (2009:400).

15. Kontroll

15.1 Digg har rätt att under Avtalets giltighetstid genomföra kontroll hos Förlitande part för att tillförsäkra att kraven i Avtalet uppfylls. Sådana kontroller kan t.ex. bestå i telefonsamtal, platsbesök eller begäran om att erhålla handlingar av betydelse för kontrollen. Digg ska vid planering och utförande av sådan kontroll i möjligaste mån samråda med Förlitande part, som ska medverka i skälig omfattning.

15.2 Förlitande part ska tillse att Digg har rätt att utföra kontroll även hos de underleverantörer vars utförande kan påverka Förlitande part uppfyllnad av väsentliga krav enligt Avtalet. Är Förlitande part enligt ett vid Avtalets ikraftträdande gällande avtal med en underleverantör förhindrad att genomföra sådan kontroll, ska en rätt till sådan kontroll gälla från den första tidpunkt som ett sådant krav är möjligt att införa.

15.3 Om det vid kontroll enligt punkt 15.1 framkommer att Förlitande part inte följt Avtalet, ska Förlitande part bära kostnaderna för kontrollen i den utsträckning sådana kostnader inte är oskäliga. I annat fall bär vardera Parten sina egna kostnader.

16. Immateriella rättigheter

Avtalet ska inte anses medföra att någon immateriell rättighet överlåts, överförs eller upplåts från en Part till en annan.

17. Reklamation

Såvida inte uppsåt eller grov oaktsamhet föreligger får brott mot åtaganden enligt Avtalet inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts.

18. Ansvarsbegränsningar

18.1 Parts skadeståndsansvar är begränsat till ansvar för direkt skada som Parten vållar annan Part genom vårdslöshet.

18.2 Parts skadeståndsansvar per skadetillfälle (i förhållande till samtliga Parter) är begränsat till ansvar för skada uppgående till ett sammanlagt belopp som motsvarar 35 prisbasbelopp enligt socialförsäkringsbalken (2010:110). Skadeståndet ska fördelas i proportion till de skadelidande Parternas skada.

18.3 Begränsningarna som anges i denna punkt ska inte gälla om uppsåt eller grov vårdslöshet föreligger.

19. Befrielsegrund

19.1 Om Part visar att denne förhindras att fullgöra sina skyldigheter enligt Avtalet ska detta utgöra befrielsegrund som medför framflyttning av tidpunkt för prestation samt befrielse från skadestånd och andra påföljder, under förutsättning att hindret består av antingen:

a) en omständighet som Parten inte kunnat råda över och vars följder Parten inte heller skäligen kunde ha undvikit eller övervunnit (inklusive sådana stridsåtgärder på arbetsmarknaden som avses i 2 kap. 14 § regeringsformen, oavsett om Parten själv är föremål för eller vidtar sådan åtgärd), eller

b) att underleverantör till Part förhindras fullgöra sin leverans på grund av sådan omständighet som anges i a).

19.2 Om en Part önskar åberopa en befrielsegrund ska Parten utan oskäligt dröjsmål lämna skriftligt meddelande om detta till den andra Parten.

20. Begränsning av åtkomst till funktioner

20.1 Om Förlitande part bryter mot Avtalet eller om Förlitande parts deltagande i eller agerande rörande Sweden Connect skadar eller riskerar att skada Sweden Connect eller förtroendet för Sweden Connect har Digg rätt att stänga av eller begränsa Förlitande parts åtkomst till funktioner som tillhandahålls enligt Avtalet. Förlitande part ska snarast möjligt underrättas om avstängningen eller begränsningen samt skälen till denna.

20.2 En avstängning eller begränsning av Förlitande parts åtkomst till funktioner enligt Avtalet får fortgå endast så länge det är nödvändigt med hänsyn till omständigheterna.

21. Avtalstid och Uppsägning av Avtalet

21.1 Detta Avtal gäller tills vidare.

21.2 Digg har rätt att, med iakttagande av minst tre månaders uppsägningstid, säga upp Avtalet till upphörande om en funktion ska avvecklas eller förändras i en omfattning eller på ett sätt som enligt Diggs bedömning inte lämpligen kan hanteras enligt punkt 8.1 och 8.2.

21.3 Förlitande part har rätt att, med iakttagande av minst 30 dagars uppsägningstid, när som helst säga upp Avtalet.

21.4 Digg har rätt att med omedelbar verkan säga upp Avtalet om Förlitande part

a) i väsentlig mån eller vid upprepade tillfällen brister i förpliktelse enligt Avtalet och inte vidtar rättelse inom 30 dagar efter skriftlig anmodan därom, eller

b) lämnat oriktiga uppgifter vid anslutning till Sweden Connect och dessa uppgifter har varit av icke oväsentlig betydelse för att Avtalet slutits.

21.5 Part äger rätt att säga upp Avtalet om fullgörandet blir oförenligt med en ändring i författning eller annan orsak som ligger utanför Parts kontroll.

21.6 Uppsägning ska ske skriftligen för att vara gällande.

22. Meddelanden

22.1 Meddelanden som ska tillställas Digg ska i skriftlig form översändas till den postadress eller den e-postadress som Digg anger på sin webbplats.

22.2 Meddelanden som ska tillställas Förlitande part ska i skriftlig form översändas till den postadress eller den e-postadress som Förlitande part meddelat till Digg.

23. Underleverantör

23.1 Part får anlita underleverantör för fullgörande av sina åtaganden enligt Avtalet och ansvarar då för underleverantörens åtgärder som om Parten utfört åtgärderna själv.

23.2 Förlitande part får anlita underleverantör endast om underleverantören,

a) enligt skriftligt avtal med Förlitande part, är förpliktad att ingå i Aktörs-registret,

b) vid sin hantering uppfyller samma krav som om Förlitande part hanterat denna funktion själv, och

c) hanterar leveranser i enlighet med Tekniskt ramverk för Sweden Connect, bilaga 1.

Är Förlitande part enligt gällande avtal med en underleverantör förhindrad att uppfylla något av dessa villkor ska villkoret tillämpas från den första tidpunkt som ett sådant krav är möjligt att införa.

23.3 Förlitande part får anmäla befattningshavare hos underleverantören som kontaktperson som är behörig att anmäla uppgifter till Metadataregistret eller att hantera säkerhetsincidenter.

24. Tillämplig lag och tvister

24.1 Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Svenska lagvalsregler ska dock inte vara tillämpliga.

24.2 Tvist angående tolkning eller tillämpning av Avtalet och därmed sammanhängande rättsförhållanden ska avgöras av allmän domstol med Stockholms tingsrätt som första instans.

24.3 När Förlitande part omfattas av punkt 2.4 ska följande gälla istället för punkt 24.2 ovan. Tvist angående tolkning eller tillämpning av Avtalet och därmed sammanhängande rättsförhållanden ska i första hand lösas av de utsedda kontaktpersonerna för Parterna och i sista hand av myndighetscheferna. Myndigheterna ska därvid lojalt samverka för att utan tidsutdräkt finna en gemensam lösning.

Underskrift

Observera att avtalet inte signeras här.