Bruksvilkår for leverandører
Digitaliseringsdirektoratet (Digdir) har utarbeidet bruksvilkår for leverandører som på vegne av sine kunder integrerer seg mot en eller flere av Digdirs fellesløsninger. Før leverandører på vegne av kunden kan integrere mot fellesløsningene fra Digdir, skal en bemyndiget representant for leverandøren akseptere bruksvilkår for leverandører. Versjon 1.2 gjelder fra 24.04.2020.
Signer bruksvilkår for leverandører
1. Fellesløsninger fra Digdir
Digdir forvalter flere nasjonale fellesløsninger som offentlige virksomheter skal eller kan benytte for å tilby bedre tjenester og effektivisere driften. Disse bruksvilkårene regulerer vilkår for leverandører som på vegne av en eller flere offentlige virksomheter integrerer seg mot Digdirs fellesløsninger.
Digdir forvalter fellesløsningene ID-porten, kontakt- og reservasjonsregisteret, digital postkasse til innbyggere, eSignering, eFormidling, eInnsyn og maskinporten.
Hvilke virksomheter som kan benytte seg av fellesløsningene, følger av bruksvilkår for Digdirs digitale fellesløsninger. Det vises også til samarbeidsportalen for informasjon. Virksomheter som benytter en eller flere fellesløsninger benevnes som «kunde».
For bruk av Maskinporten må det foreligge avtale eller annet rettsgrunnlag mellom API-leverandør og API-konsument. Med API-konsument menes virksomhet som har rett til å få tilgang til et API, enten den er offentlig eller privat. Det samme gjelder for underleverandør til API-tilbydere som er pålagt å tilby API av offentlig myndighet.
2. Partsforhold
Kunder som har engasjert leverandør til å utføre oppgaver knyttet til bruken av Digdirs digitale fellesløsninger, er fullt ut ansvarlig for utførelsen av disse oppgavene på samme måte som om kunden selv stod for utførelsen, se bruksvilkår for Digdirs fellesløsninger kapittel 1.6. Overfor Digdir er denne leverandøren å se på som kundens underleverandør.
Leverandører som aksepterer disse bruksvilkår, er leverandør til en eller flere kunder. Før leverandøren kan integrere mot fellesløsninger fra Digdir, skal bemyndiget representant for leverandøren akseptere disse vilkår. For leverandører som opptrer "påvegne av" er det tilstrekkelig at leverandør har godtatt bruksvilkår.
Integrasjon mot Digdirs fellesløsninger skal bare gjøres på vegne av kunder som har akseptert Digdirs bruksvilkår. Leverandøren kan klargjøre integrasjon mot sine produkter og tjenester i forkant av kundeforholdet, men ikke produksjonssette løsningen før kunden har akseptert både bruksvilkår for Digdirs digitale fellesløsninger.
Integrasjon av API- konsumenter mot maskinporten skal bare gjøres på vegne av kunder som har avtale med en API-tilbyder, eller på annet grunnlag skal ha tilgang til et API.
3. Forholdet til bruksvilkår for Digdirs kunder
Bruksvilkår for Digdirs digitale fellesløsninger gjelder for leverandøren så langt de er relevante. Leverandøren må godta innholdet i disse.
Leverandøren får tilgang til Samarbeidsportalen når bruksvilkår for leverandører er akseptert.
4. Integrasjon og vedlikehold
4.1 Integrasjon
Før leverandøren kan integrere seg mot fellesløsningen(e) skal det ved behov avholdes møte mellom Digdir og leverandøren.
Integrasjonsprosessen og krav til testing er regulert i bruksvilkår for Digdirs digitale fellesløsninger.
4.2 Planlagt vedlikehold – vedlikeholdsvindu
Vedlikeholdsvindu er avtalt tid der tjenesten kan være utilgjengelig, og benyttes til vedlikehold av maskinvare, oppgraderinger, service med mer.
Digdirs vedlikeholdsvindu er natt til tirsdag. For nærmere informasjon om tidspunkt og antall, se kapittel for den enkelte fellesløsning.
Digdir skal så langt som mulig ikke benytte vedlikeholdsvinduet i kritiske perioder for kundene.
4.2.1 Varsling av planlagt vedlikehold
Digdir skal minimum 5 virkedager på forhånd varsle om bruk av vedlikeholdsvindu. Varsling skjer på Samarbeidsportalen.
Mindre endringer produksjonsettes fortløpende uten varsling.
4.3 Integrasjons- og sikkerhetsforum
Digdirs integrasjons- og sikkerhetsforum skal bidra til å holde integrasjons- og sikkerhetsansvarlig hos kundene oppdatert på tekniske forhold ved fellesløsningene. Leverandører som har akseptert disse vilkårene, kan møte i integrasjons- og sikkerhetsforumet. Mandat for integrasjons- og sikkerhetsforumet for Digdirs fellesløsninger er tilgjengelig på Samarbeidsportalen.
5. Kontaktpunkt
Leverandøren har ansvar for å holde listen over kontaktpunkter i egen virksomhet oppdatert i Samarbeidsportalen.
5.1 Varsling
Leverandøren må være oppmerksom på at kunden, så raskt som praktisk mulig, skal informere Digdir om hendelser i tilknytning til fellesløsningene eller sine tjenester som kan ha betydning for fellesløsningene. Digdirs kontaktpunkt for slike meldinger fremgår på Samarbeidsportalen.
Leverandøren og kunden må avtale hvem som skal være kontakt for varslinger fra Digdir, og sørge for at rett varslingspunkt for den aktuelle integrasjonen er oppgitt i Samarbeidsportalen.
Dersom det oppstår en kritisk eller alvorlig hendelse i kundens tjeneste, eller hos leverandøren, kan Digdir koble tjenesten fra fellesløsningene inntil henholdsvis kunden eller leverandøren har dokumentert overfor Digdir at hendelsen er utbedret, eller relevante tiltak er iverksatt.
5.2 Informasjonsmateriell
For å ivareta brukervennlighet og universell utforming for brukerne av Digdirs fellesløsninger, er det viktig at den visuelle presentasjonen og grensesnittet skaper tillit. Digdir utarbeider og oppdaterer brukerrettet informasjon om fellesløsningene som kunder og leverandører skal benytte under implementasjon av Digdirs fellesløsninger. Oppdatert informasjonsmateriell er tilgjengelig på Samarbeidsportalen.
6. Behandling av personopplysninger
Hvis leverandøren behandler personopplysninger på vegne av en eller flere kunder, skal det inngås databehandleravtale mellom partene.
Når leverandøren som databehandler utfører oppgaver på vegne av behandlingsansvarlig, skal leverandør føre logg over hvem de opptrer på vegne av.
7. Taushetsplikt
Forvaltningslovens taushetspliktbestemmelser kommer til anvendelse for Digdir, kunden, leverandøren og dennes underleverandører.
Det skal tas nødvendige forholdsregler for å hindre at uvedkommende får innsyn i eller kan bli kjent med taushetsbelagte opplysninger og informasjon.
Om nødvendig skal det undertegnes taushetserklæring. Det skal i tilfelle angis hvilke opplysninger som omfattes av taushetsplikten, og hvordan den skal ivaretas.
Taushetsplikten gjelder også etter tjenestenes opphør. Ansatte eller andre som fratrer sin tjeneste skal pålegges å bevare taushet om forhold som er nevnt ovenfor, også etter fratredelsen.
8. Innsyn og revisjon
Digdir skal på forespørsel få tilgang til logger som er relevante for integrasjonen mot fellesløsningene.
Digdir har rett til å foreta revisjon og verifikasjon av at leverandøren overholder bruksvilkårene. Revisjonen skal ta utgangspunkt i tilsynsrapporter fra offentlige tilsynsmyndigheter og revisjon utført av organisasjonen selv eller ved hjelp av tredjepart, samt gjennomførte sertifiseringer. Revisjonen skal gjennomføres på en slik måte at den i minst mulig grad forstyrrer alminnelig drift og tjenesteleveranser.
Revisjonen skal være egnet til å bekrefte eller avkrefte overfor Digdir og/eller kunder som benytter tjenesten om bruksvilkårene overholdes. Dersom revisjonen avdekker at bruksvilkårene ikke overholdes, plikter leverandøren å endre tjenesten på en slik måte at vilkårene oppfylles. Leverandøren plikter i et slikt tilfelle å refundere Digdirs kostnader til gjennomføring av revisjonen.
9. Vederlag
Leverandør må selv dekke egne kostnader forbundet med integrasjon mot fellesløsningene. Integrasjonen innebærer ingen tilkoblingskostnader til Digdir.
Vederlag for bruk av fellesløsningene er regulert i spesielle bruksvilkår for den enkelte fellesløsning og vil normalt dekkes av, og faktureres direkte til kunden.
Kundens økonomiske forpliktelser overfor leverandøren følger av avtalen mellom kunden og leverandøren, og Digdir er ikke part i disse avtaler.
10. Mislighold
Utover det som er oppgitt i bruksvilkår for Digdirs digitale fellesløsninger gjelder følgende:
10.1 Vesentlig mislighold
Ved vesentlig mislighold, kan Digdir koble leverandøren eller den aktuelle tjenesten fra fellesløsningene. Vesentlig mislighold omfatter, men er ikke begrenset til:
- misbruk av fellesløsninger,
- misbruk av informasjon som er tilgjengelig i /via fellesløsningene eller på Samarbeidsportalen,
- tilrettelegging eller gjennomføring av sikkerhetsbrudd, eller
- mangelfull oppfølging av sikkerhetsbrudd.
10.2 Erstatning
10.2.1 Leverandørens erstatningsansvar
Hvis leverandør gjør seg skyldig i vesentlig mislighold og det foreligger forsett eller grov uaktsomhet fra leverandørens side, er leverandøren erstatningsansvarlig for eventuelle tap Digdir måtte lide grunnet misligholdet. Digdir har også rett til å søke regress hos leverandør hvis Digdir mottar krav som følge av slikt mislighold.
10.2.2 Digdirs erstatningsansvar
Digdir er ikke ansvarlig for tap som kunden lider på grunn av mislighold eller feil i fellesløsningene med mindre dette skyldes vesentlig mislighold, og det foreligger grov uaktsomhet eller forsett fra Digdirs side. Ansvaret er under enhver omstendighet begrenset til kundens direkte tap og oppad begrenset til kr 20 000 per skadetilfelle. Digdirs ansvar for feil begått av leverandører er uansett begrenset til det beløp som Digdir oppnår fra leverandøren som erstatning for kundens tap i hvert enkelt tilfelle.
10.2.3 Tap som følge av mislighold eller feil hos Digitaliseringsdirektoratets leverandører
Kundens tap som skyldes mislighold eller feil hos en leverandør som Digdir har avtale med, vil i henhold til avtale mellom Digdir og leverandøren kunne regnes som direkte tap som utløser krav på erstatning fra leverandøren. Leverandørens erstatningsansvar må vurderes konkret i hvert enkelt tilfelle. Kunden må fremsette sitt krav for Digdir, som vurderer om det er grunnlag for å fremme krav mot leverandøren.
10.2.4 Avgrensing mot indirekte tap
Det kan ikke kreves dekning for indirekte tap, med mindre det foreligger forsett.
10.3 Sanksjoner
Ved vesentlig mislighold av vilkårene kan Digdir koble fra leverandøren og nekte integrasjon mot fellesløsningene for kortere eller lengre tid. Det er Digdir som avgjør lengde på denne utestengelsen.
Ved slike tilfeller har leverandør plikt til, for egen regning, å avhjelpe sin(e) kunde(r) i forhold til eventuelle ulemper frakoblingen måtte medføre.
11. Endring av bruksvilkår
Digdirkan endre bruksvilkårene med en måneds varsel. Varsling skjer gjennom Samarbeidsportalen.
12. Oppsigelse
Leverandøren kan si opp disse vilkårene med 3 måneders skriftlig varsel.