Bruksvilkår for eIDAS-sandkassen

Opprettet: 20. oktober 2025

    1. Om sandkassen

    Digitaliseringsdirektoratet tilbyr en nasjonal «sandkasse» for digital lommebok der alle som ønsker kan utforske muligheter og eksperimentere i et isolert og trygt testmiljø. All bruk av sandkassen skal være i tråd med sandkassens overordnede formål slik dette er beskrevet på Digdir docs og samarbeidsportalen.

    2. Avtaleparter

    Digdir og Brønnøysundregistrene er ansvarlige for sandkassen.

    Denne avtalen er begrenset til brukersteder (offentlige og private) som skal ta i mot en innlogging med digital lommebok, et bevis med digital lommebok og/eller få noe signert med digital lommebok. For andre funksjoner i sandkassen vil andre avtaler gjøre seg gjeldende.

    3. Digdirs ansvar

    Digdir har ansvaret for forvaltning, drift og videreutvikling av sandkassen i samsvar med dokumentasjonen tilgjengelig for sandkassen på docs.digdir.no. Digdir tilbyr ikke noe spesifikt tjenestenivå på løsningene som hører til sandkassen.

    3.1 Endringer

    Digitaliseringsdirektoratet kan endre tjenestene som inngår som en del av sandkassen. Slike endringer kan typisk være forbedring av funksjonalitet, endring i grensesnittet mot kunde, oppgradering av programvare og maskinvare og mindre endringer i tjenestenivå.

    3.2 Hendelseshåndtering

    En hendelse er et ikke planlagt avbrudd eller reduksjon i kvalitet i en tjeneste eller sandkassen. Digdir kan håndtere hendelser innenfor rammene av ordinær arbeidstid i staten.

    Digdir skal varsle brukerstedene om hendelser i sandkasseløsningene.

    4. Brukerstedenes ansvar

    Brukerstedet må stille med nødvendig kompetanse for å gjennomføre eget arbeid i forbindelse med integrasjonen mot sandkassetjenestene. Brukerstedet dekker selv alle kostnader ved integrasjon og gjennomføring av endringer i egne systemer og er ansvarlig for sikkerhet i egne tjenester, og sørger for tilgangsstyring og internkontroll

    Brukerstedet skal til enhver tid sørge for at Digdir har oversikt over kundens tjenester som er tilknyttet sandkassen.

    Brukerstedet skal så raskt som praktisk mulig informere Digdir om hendelser i tilknytning til sandkasseløsningene eller i egne tjenester som kan ha betydning for sandkasseløsningene.

    Brukerstedet skal ved behov og på sikt stille med ekte brukere. For bruk av ekte personopplysninger i testsammenheng vil det utarbeides et eget rammeverk med databehandleravtale når sandkassen er klar for slik bruk.

    Brukerstedet må være villig til å kaste løsninger og komponenter, utarbeidet på bakgrunn av Digdirs/BRs digitale infrastruktur.

    5. Databehandleravtale

    Digdir behandler på vegne av brukersted personopplysninger på ulike måter og i ulik grad i de forskjellige sandkasseløsningene. I noen tilfeller er det Digitaliseringsdirektoratet som er databehandler og i noen tilfeller benytter Digitaliseringsdirektoratet databehandler for å behandle personopplysninger på vegne av brukerstedet. Bruksvilkårene og tilknyttede dokumenter er Digdirs garanti for at behandlingen oppfyller kravene i personvernforordningen.

    Behandlingsansvarlig og databehandler er definert i gjeldende dokumentasjon for sandkasseløsningene, der dette er relevant. Oppdatert dokumentasjon finnes på Digdir docs og samarbeidsportalen.

    Med henvisning til personvernforordningen art. 28, punkt 3, jf. personopplysningsloven § 1 angis følgende:

    1. Digdir behandler personopplysninger i henhold til bruksvilkårene.
    2. Digdir og alle personer som er autorisert til å behandle personopplysninger er underlagt taushetsplikt om alle forhold de får innsyn i ved å behandle personopplysninger i henhold til bruksvilkårene
    3. Digdir treffer tiltak etter forordningen art 32.
    4. I de tilfeller Digdir engasjerer databehandlere er dette beskrevet i dokumentasjonen. Kunden gir generell tillatelse til at Digitaliseringsdirektoratet kan endre databehandlere.
    5. Digdir har rutiner for å oppfylle den registrertes rettigheter etter forordningen kap. III.
    6. Digdir bistår med oppfylling av plikter etter forordningen artikkel 32-36.
    7. Sletting og tilbakelevering er regulert i den enkelte fellesløsnings kapittel.

    6. Taushetsplikt

    Forvaltningslovens taushetspliktbestemmelser kommer til anvendelse for Digdir/BR, brukerstedet og eventuelle underleverandører partene benytter.

    Partene, og eventuelle underleverandører, skal ta nødvendige forholdsregler for å hindre at uvedkommende får innsyn i eller kan bli kjent med taushetsbelagt materiale eller informasjon.

    Om nødvendig skal det undertegnes taushetserklæring. Det skal i tilfelle angis hvilke opplysninger som omfattes av taushetsplikten, og hvordan den skal ivaretas.

    Taushetsplikten gjelder også etter tjenestenes opphør. Ansatte eller andre som fratrer sin tjeneste hos en av partene eller deres underleverandører, skal pålegges å bevare taushet om forhold som er nevnt ovenfor, også etter fratredelsen.

    7. Mislighold

    7.1 Reklamasjon

    Hvis et brukersted ikke følger opp plikter og ansvar som følger av bruksvilkårene anses dette som mislighold.

    Den part som mener det foreligger mislighold, skal dersom man ønsker å gjøre misligholdet gjeldende, reklamere skriftlig til den annen part uten ugrunnet opphold.

    7.2 Rett og plikt til retting av mislighold

    Den part som har misligholdt sine plikter etter vilkårene, har rett og plikt til å utbedre forholdet så raskt som praktisk mulig.

    Ved vesentlig mislighold fra brukerstedet kan Digdir koble tjenesten fra sandkassen inntil brukerstedet har dokumentert overfor Digdir at misligholdet er rettet.

    8. Erstatning

    8.1 Digdirs erstatningsansvar

    Digdir er ikke ansvarlig for tap som brukerstedet lider på grunn av mislighold eller feil i fellesløsningene med mindre dette skyldes vesentlig mislighold, og det foreligger grov uaktsomhet eller forsett fra Digdirs side.

    Ansvaret er under enhver omstendighet begrenset til brukerstedets direkte tap og oppad begrenset til kr 20 000 per skadetilfelle. Digdirs ansvar for feil begått av leverandører er uansett begrenset til det beløp som Digdir oppnår fra leverandøren som erstatning for brukerstedets tap i hvert enkelt tilfelle.

    8.2 Tap som følge av mislighold eller feil hos Digdirs leverandører

    Brukerstedets tap som skyldes mislighold eller feil hos en leverandør som Digdir har avtale med, vil i henhold til avtale mellom Digdir og leverandøren kunne regnes som direkte tap som utløser krav på erstatning fra leverandøren.

    Leverandørens erstatningsansvar må vurderes konkret i hvert enkelt tilfelle. Brukerstedet må fremsette sitt krav for Digdir, som vurderer om det er grunnlag for å fremme krav mot leverandøren.

    8.3 Avgrensning mot indirekte tap

    Det kan ikke kreves dekning for indirekte tap, med mindre det foreligger forsett.

    9. Endring av bruksvilkårene

    Digdir kan endre bruksvilkårene og skal varsle brukerstedene om endringer.

    10. Oppsigelse og avvikling

    Utprøvingsperioden i sandkassen vil være tidsavgrenset. Sandkassen vil bli lansert 21.10.2025 og skal være åpen for utprøving/pilotering ut kalenderåret 2027.

    Digdir kan likevel avvikle sandkasseløsningene uten at det foreligger instruks fra et overordnet organ om avvikling av eller overdragelse av forvaltningsansvaret for den aktuelle sandkasseløsning. Avvikling/overdragelse skal i slike tilfeller skje med skriftlig varsel.

    Avvikling kan skje for den enkelte sandkasseløsning eller alle samlet. Opplysninger som på opphørstidspunktet er lagret i sandkasseløsningene på vegne av den enkelte kunde, behandles som fastsatt i bruksvilkår for Digdirs sandkasse.

    Brukerstedet kan si opp sin bruk av sandkasseløsningen(e) med èn måneds skriftlig varsel.

    Brukersteder som ønsker å avslutte sitt bidrag til sandkassen skal, på samme måte, si opp sin bruk av sandkasse løsningen(e) med én måneds skriftlig varsel. Dersom Digdir ikke mottar slik oppsigelse vil de bli automatisk fjernet.

    11. Tvisteløsning

    Eventuelle konflikter eller uenigheter mellom partene knyttet til samarbeidet skal søkes løst gjennom dialog mellom partene.

    Dersom situasjonen ikke blir avklart ved dialog mellom partene innen rimelig tid og kunden er en statlig enhet, skal situasjonen avklares utenrettslig og på alminnelig forvaltningsmessig måte.

    Dersom situasjonen ikke blir avklart ved dialog mellom partene innen rimelig tid og kunden er en selvstendig juridisk person, kan søksmål reises for de alminnelige domstoler. Sogn og Fjordane tingrett vedtas som rett verneting.