Bruksvilkår for eInnsyn
Digitaliseringsdirektoratet (Digdir) har et eget bruksvilkår for eInnsyn som alle kunder må signere før løsningen kan tas i bruk. Versjon 1.3 er gjeldende fra 20.03.2023.
Signer bruksvilkår for eInnsyn
Signeringsdokument
1. Om eInnsyn
eInnsyn er en fellesløsning for innsyn og åpenhet, og formålet med løsningen er å gjøre offentlig forvaltning åpen og lettere tilgjengelig. eInnsyn forvaltes av Digitaliseringsdirektoratet (Digdir).
eInnsyn er en publiseringstjeneste for offentlige postjournaler, møter og utvalg. Statlige, fylkeskommunale og kommunale virksomheter publiserer postjournaler og møte- og utvalgsdata på eInnsyn, der innbyggeren får tilgang til å søke og bestille innsyn i dokumenter. Offentlige virksomheter kan legge ved lenke til fulltekstpubliserte dokument i journalposten eller møte som dokumentet tilhører.
Virksomheter som tar i bruk eInnsyn benevnes i bruksvilkårene som «kunde».
1.1 Leverandør
eInnsyn blir driftet av Tietoevry Norway AS.
2. Bruksvilkår
Virksomheter som skal benytte eInnsyn blir kunde av Digdir og må akseptere Digdirs bruksvilkår for eInnsyn.
For levering av data til eInnsyn benyttes Integrasjonspunktet for eFormidling. Denne bruken inngår som en del av Bruksvilkår for eInnsyn, der bruken av eFormidling blir omtalt i et eget kapittel.
3. Finansiering
Kostnadsmodell for eInnsyn er tilgjengelig på Samarbeidsportalen.
Tjenesten faktureres forskuddsvis for et år av gangen. Første fakturering skjer ved oppkobling til løsningen. Kundene faktureres i EHF-format, og skal ved etablering oppgi fakturamottak og fakturareferanse.
Kundens kostnader med integrasjon mot eInnsyn dekkes av kunden selv.
4. Samarbeid
4.1 Samarbeidsportalen
Samarbeidsportalen er den primære informasjons- og varslingskanalen fra Digitaliseringsdirektoratet om fellesløsningene. Digdir forvalter og drifter Samarbeidsportalen. Kunden finner løsningsinformasjon, teknisk dokumentasjon og stegvis guide for hvordan ta i bruk de ulike fellesløsningene, statistikk for bruk og drift av fellesløsningene, status og driftsmeldinger, utviklingsplaner osv.
Kunder som godtar bruksvilkår, får tilgang til Min profil som gir tilgang til selvbetjening og vedlikehold av virksomhetsinformasjon i våre systemer.
Kunden har selv ansvar for å holde listen over kontaktpunkter i egen virksomhet og annen nødvendig informasjon om egne tjenester oppdatert i Min profil. Spesielt viktig er varslingspunkt for kundens tjenester, da dette varslingspunktet vil motta varsler fra Digitaliseringsdirektoratet ved kritiske og alvorlige hendelser.
4.2 eInnsyn Styringsråd
Styringsrådet for eInnsyn er et rådgivende organ og skal særlig behandle viktige saker som gjelder eInnsyn. Mandat for eInnsyn Styringsråd er tilgjengelig på Samarbeidsportalen.
4.3 Produktråd
Ved behov kan Styringsrådet og Digdir opprette produktråd for Digdirs produkter eller grupper av produkter. Produktrådene kan være permanente eller for en periode, og rapportere til Styringsrådet. Mandat for Produktrådet er tilgjengelig på Samarbeidsportalen.
4.4 Brukerråd
Brukerrådet skal diskutere status, endringsønsker og videreutviklingsprosjekter for fellesløsningene, samt annet av relevans for kundenes bruk av fellesløsningene. Mandat for Brukerrådet er tilgjengelig på Samarbeidsportalen.
5. Kundens ansvar
5.1 Publisering av offentlig elektronisk postjournal
Kunden skal levere postjournaler på formatet som er bestemt for eInnsyn.
Kunden er ansvarlig for å sikre at postjournalene er korrekt ført, jf. kravene som fremgår av offentlegforskrifta § 6 tredje og fjerde ledd. Kunden har ansvar for at egen journal inneholder de opplysninger som ovennevnte bestemmelser krever.
Personnavn i filene skal være merket i henhold offentlegforskrifta § 6 femte ledd tredje punktum, slik at de ikke er søkbare etter 12 måneder.
Kunden skal kontrollere at postjournalene er korrekt ført før de importeres til eInnsyn.
5.2 Mottak og behandling av innsynskrav
Kunden skal ha rutiner for mottak av og behandling av innsynskrav fra eInnsyn.
Kunden skal oppnevne kontaktpunkt for den enkelte sak, jf. offentlegforskrifta § 6 tredje ledd andre punktum.
5.3 Publisering av dokument
Kunden kan publisere dokument ved å overføre lenke (URL) til det aktuelle dokumentet til eInnsyn. Lenken til dokumentet inkluderes i journalposten som skal overføres til eInnsyn. Ansvaret for at lenken er rett og varig, ligger hos kunden.
Kunder som publiserer dokument i fulltekst skal angi kriteriene for utvalget av dokument som blir publisert, jf. offentlegforskrifta § 7 tredje ledd. Kunden skal i administrasjonsgrensesnittet for eInnsyn legge inn lenke (URL) til nettstedet der kriteriene er tilgjengeliggjort til eInnsyn.
5.4 Publisering av informasjon til møter og utvalg
Kunden kan publisere dokument og informasjon om møter og utvalg på formatet som er bestemt for eInnsyn.
Kunden er ansvarlig for at informasjon som publiseres er korrekt.
5.5 Ansvar for innhold
Kunden er ansvarlig for at egen informasjon som regnes som sensitiv eller taushetsbelagt ikke skal gjøres tilgjengelig for offentligheten, jf. offentlegforskrifta § 7 andre ledd. Det samme gjelder annen informasjon som etter nevnte bestemmelse ikke skal gjøres tilgjengelig for allmennheten på Internett.
5.6 eFormidling
For levering av data til eInnsyn benyttes Integrasjonspunktet for eFormidling. Kunden plikter å gjøre seg kjent med beskrivelser, funksjonaliteter og prinsipper for bruk av eFormidling som står beskrevet i kapittelet om eFormidling i Bruksvilkår for offentlige kunder. Bruken av Integrasjonspunktet for levering av data til eInnsyn inngår som en del av Bruksvilkåret for eInnsyn.
5.7 Rutiner og kvalitetssikring
Kunden skal etablere, vedlikeholde og dokumentere planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene til behandling av personopplysninger og kravene i offentlegforskrifta §§ 6 og 7.
5.8 Planer og informasjon
Kunden er ansvarlig for eventuell informasjon til innbyggere om, og eventuell markedsføring av, eget innhold som gjøres tilgjengelig i eInnsyn.
Kunden skal ivareta kontakt med sluttbruker i forbindelse med eventuelle saks- eller dokumentspesifikke spørsmål, innsynskrav og informasjon om regelverksanvendelse eller rettighetsinformasjon for de ulike innsynskravene. Kunden plikter å sikre at kontaktinformasjonen som er tilgjengelig for sluttbruker på eInnsyn sitt nettsted er oppdatert og korrekt.
Kunden er ansvarlig for å informere Digdir om eventuell periode hvor det er kritisk med høy tilgjengelighet på eInnsyn.
5.9 Kundens handtering ved endringer eller avvik
Kunden skal i god tid informere om planlagte endringer som har betydning for driften av eInnsyn, herunder endringer i og bytte av saks- og arkivsystem. Partene skal i fellesskap planlegge hvordan endringene skal implementeres med sikte på minst mulig belastning og forstyrrelser for eInnsyn. Kunden dekker selv alle kostnader ved gjennomføring av endringer i egne systemer.
Kunden skal så raskt som praktisk mulig informere om hendelser, feil eller avvik som kan ha konsekvenser for eInnsyn. Digdirs kontaktpunkt for slike meldinger fremgår på Samarbeidsportalen.
Dersom det oppstår en kritisk eller alvorlig hendelse hos kunden, kan Digdir koble løsningen fra eInnsyn inntil kunden har dokumentert overfor Digdir at hendelsen er utbedret, eller relevante tiltak er iverksatt.
5.10 Avvikshandtering
Feilretting av allerede innsendte journalposter skal kunden utføre, ved å rette enkeltposter og gjennomføre en overføring til eInnsyn eller slette feilsendte journalposter, uten at personell fra Digdir involveres. Feilretting skjer i den enkelte kundes arkivsystem med etterfølgende eksport til eInnsyn. Systemet skal føre logg over alle kjøringer for hver kunde, med dato, klokkeslett og overføring/tilbakekalling. Sletting av journalposter kan gjennomføres i administrasjonsgrensesnittet.
5.11 Krise- og beredskapsplaner
Kunden skal ha nødvendige krise- og beredskapsplaner.
6. Digdirs ansvar
6.1 Digdirs overordnede oppgaver
Digdir har ansvar for drift og forvaltning av eInnsyn. Videreutvikling av eInnsyn koordineres og styres av Digdir.
Data fra kunden skal gjengis korrekt og uttømmende.
6.2 Tjenestenivå
Måleperiode for alle tjenestenivå er månedlig (per kalendermåned).
Driftsperioden for eInnsyn er 24 timer/7 dager i uken/365 dager i året.
Beskrivelse | Krav |
Tilgjengelighet til eInnsyn | 99,90 |
Digitaliseringsdirektoratet krever 99,90% oppetid fra sin driftsleverandør
6.2 Administrasjonsgrensesnitt
Digdir er ansvarlige for at kunden har tilgjengelig et administrasjonsgrensesnitt for egen systemkonfigurasjon i eInnsyn. Digdir er ansvarlige for å styre alle innstillinger som gjelder flere eller alle kunder. Dette gjelder alle relevante driftsparametere. For kundens pålogging til administrasjonsgrensesnittet benyttes ID-porten.
6.3 Servicedesk
Digdir skal gi teknisk brukerstøtte til kunden for bruk av eInnsyn. Støtten er begrenset til å gjelde komponenter som er del av løsningen, herunder infrastruktur, prosedyrer for implementering og sikkerhet. Digdir skal ikke utøve støtte for prosesser i kundens egne fagsystem, herunder saks- og arkivsystem. Digdir skal ikke gi råd i forbindelse med regelanvendelse i forhold til bruk av løsningen.
6.4 Brukerstøtte
Digdir utøver brukerstøtte til sluttbrukeren, herunder hjelp i bruk av eInnsyn, hverdager i tidsrommet mellom klokken 08.00 og 15.30. Henvendelser besvares via e-post og telefon.
Brukerstøtten er begrenset til å omfatte nettstedet for eInnsyn, herunder søke- og bestillingsapplikasjonene. Digdir har ikke ansvar for å rettlede sluttbrukeren i å finne spesifikke dokumenter hos den enkelte kunde, eller å gi informasjon om saker eller dokumenter i eInnsyn.
Digdir er ansvarlig for å holde brukerveiledninger, spørsmål og svar, regelverksinformasjon m.m. oppdatert og tilgjengelig for sluttbruker på nettstedet for eInnsyn.
6.5 Planer og rapporter
Digdir skal sørge for at kunden får god informasjon om aktuelle saker, tema og aktiviteter knyttet til eInnsyn. Informasjon presenteres på samarbeidsportalen. I tillegg vil det bli gitt informasjon ved møter i de fora som er beskrevet i pkt. 4.2., 4.3 og 4.4.
Digdir vil utarbeide følgende planer og rapporter:
6.5.1 Leveranseplan
Digdir skal utarbeide en leveranseplan som gir en oversikt over leveransene som er planlagt for eInnsyn. Leveranseplanen viser planlagte nye versjoner og planlagt ny funksjonalitet for eInnsyn. Leveranseplanen er tilgjengelig på Samarbeidsportalen.
6.5.2 Statistikk
Digitaliseringsdirektoratet skal månedlig utarbeide statistikk for fellesløsningene. Denne statistikken skal blant annet inneholde oversikt for bruk av fellesløsningene og tilgjengelighet og responstider i løsningene. Statistikken gjøres tilgjengelig på Samarbeidsportalen senest innen den 20. i påfølgende måned.
På statistikksidene på eInnsyn.no kan kunden kunne ta ut statistikker over aktiviteter i eInnsyn både for sin egen del og alle andre kunder.
6.6 Endringer
Digdir kan endre tjenestene som inngår som en del av eInnsyn. Slike endringer kan typisk være forbedring av funksjonalitet, endring i grensesnittet mot kunde, oppgradering av programvare og maskinvare og mindre endringer i tjenestenivå.
6.6.1 Planlagte endringer
Gjennomføring av endringer skal være planlagt. I forbindelse med planlagte endringer skal det utarbeides risiko- og konsekvensanalyse av endringen, testprosedyrer for endringen samt en detaljert aktivitets- og tidsplan, med mindre dette vil være urimelig i forhold til endringens omfang og kompleksitet.
Digdir skal sørge for at kunden får informasjon om endringer som kan ha betydning for kunden. Dersom endringen påvirker kundene, skal det så langt som mulig tas hensyn til kritiske perioder for berørte kunder. Informasjon om planlagte endringer legges ut på samarbeidsportalen.
6.6.2 Hasteendringer
Dersom det inntreffer en hendelse som medfører at eInnsyn ikke kan driftes tilfredsstillende og i tråd med vilkårene, har Digdir rett og plikt til å gjennomføre hasteendringer for å gjenopprette ordinær drift.
Hvis hasteendring igangsettes uten risiko- og konsekvensvurdering, skal Digdir gjøre slik vurdering i ettertid. Resultater av risiko- og konsekvensvurderinger av hastendringer skal gjøres tilgjengelig på samarbeidsportalen.
Hvis det avdekkes risiko for at det kan inntreffe hendelser som følge av hasteendringen, skal det gjennomføres tester for å avdekke dette, og relevante tiltak skal iverksettes.
6.6.3 Test av endringer
Kunden skal etter forespørsel fra Digdir stille med nødvendige ressurser for å teste eventuelle endringer i eInnsyn.
6.7 Vedlikehold og produksjonssettinger
6.7.1 Planlagt vedlikehold
Vedlikeholdsvindu er avtalt tid der tjenesten kan være utilgjengelig. Vedlikeholdsvindu for eInnsyn er natt til tirsdag mellom kl. 00.30 og kl. 05.00
Digdir kan maksimalt benytte vedlikeholdsvindu 10 ganger per kalenderår og skal så langt som mulig ikke benytte vedlikeholdsvinduet i kritiske perioder for kundene.
6.7.2 Ekstraordinært vedlikehold
I forbindelse med forebyggende vedlikehold og kritisk feilretting, som ikke kan vente til vedlikeholdsvindu, skal Digdir varsle om vedlikehold utenfor vedlikeholdsvinduene. Varslingen skal skje på Samarbeidsportalen.
6.7.3 Produksjonssettinger
Det gjennomføres hyppige leveranser i fellesløsningene som produksjonsettes utenfor vedlikeholdsvinduene. Dette er produksjonssettinger som ikke ventes å medføre nedetid. Varsling skjer på Samarbeidsportalen.
6.8 Hendelseshåndtering
6.8.1 Prioritering av hendelser etter alvorlighetsgrad
En hendelse er et ikke planlagt avbrudd eller reduksjon i kvalitet i eInnsyn.
Alle hendelser skal registreres hos Digdir og prioriteres etter følgende kategorier:
Kategori | Beskrivelse |
---|---|
A- Kritisk |
En hendelse skal kategoriseres som kritisk dersom hele eller vesentlige deler av eInnsyn er utilgjengelig, og det ikke finnes en midlertidig løsning på hendelsen. En hendelse skal alltid kategoriseres som kritisk dersom sikkerheten i løsningen er betydelig svekket, eller dersom det er et sikkerhetsbrudd som er omdømmekritisk for en av partene. |
B- Alvorlig |
En hendelse skal kategoriseres som alvorlig dersom hendelsen medfører redusert tilgjengelighet og/eller sikkerhet som gjør arbeidet vanskeligere for sluttbrukeren av eInnsyn og/eller kunden. Det kan finnes en midlertidig løsning på den alvorlige hendelsen. |
C- Mindre alvorlig |
En hendelse skal kategoriseres som mindre alvorlig dersom hendelsen har liten betydning for sluttbrukeren av fellesløsningen og/eller kunden, og hendelsen kan løses innen gitte frister. Det finnes en midlertidig løsning, og partene kan akseptere hendelsen i en kortere periode. |
6.8.2 Tilgjengelighet og respons
Digitaliseringsdirektoratet har beredskap for å håndtere kritiske og alvorlige hendelser 24 timer/7 dager i uken/365 dager i året.
6.8.3 Varsling ved hendelser
Etter at Digdir har identifisert og kategorisert en hendelse, blir den varslet på Status Digdir som du når via Samarbeidsportalen.
Varsling til kundene skjer i henhold til gjeldende rutiner etter hendelsens kategori. Ved kritiske og alvorlige hendelser får kundens varslingspunkt for tjenesten varsel om hendelsen. Digdir informerer kundene om videre håndtering.
Fortløpende informasjon om hendelser gis på Status Digdir, som er hovedkanalen for varsling av hendelser.
Dersom hendelsen involverer kunden, plikter kunden å være tilgjengelig for Digdir for best mulig håndtering av hendelsen.
6.8.4 Håndtering av informasjon ved hendelser
Ved hendelser knyttet til eInnsyn skal Digdir håndtere informasjon overfor sluttbruker og mediehåndtering med mindre partene avtaler noe annet for det enkelte tilfellet.
Digitaliseringsdirektoratet skal ved brudd på personopplysningssikkerheten, som behandlingsansvarlig sende melding til Datatilsynet i samsvar med personopplysningsloven artikkel 33, jf. § 1.
Digitaliseringsdirektoratet skal ved brudd på personopplysningssikkerheten, som databehandler underrette den behandlingsansvarlige og bistå denne med å sende melding til Datatilsynet i samsvar med personopplysningsloven.
6.8.5 Krise- og beredskapsplaner
Digdir skal påse at det foreligger krise- og beredskapsplaner for drift av eInnsyn og at slike planer også er etablerte og oppdaterte hos Digdirs leverandører.
6.8.6 Håndtering av rettstridig publisert materiale
Kunden er kontaktpunkt mot sluttbruker dersom sluttbruker oppdager data som en mener ikke skal være publisert på Internett, eller informasjon som er uriktig.
Kunden er ansvarlig for å rette opp slike data via kunden sitt område i eInnsyn. Dersom kunden ikke har tilgang til dette området, eller dersom funksjonalitet for å slette eller tilbakekalle data ikke fungerer, har kunden anledning til å kontakte Digdirs vakttelefon. Digdir kan i slike tilfeller skjerme for søk i kundens egen postjournal eventuelt alle postjournaler, eller dersom situasjonen krever det, fjerne eInnsyn-løsningen fra Internett.
Dersom Digdir av tredjepart blir gjort oppmerksom på data som ikke skal være publisert i eInnsyn, plikter Digdir snarest varsle kunden om dette. Det er kundens ansvar å vurdere om data skal fjernes eller redigeres i løsningen. Dersom kunden er utilgjengelig, og det er publisert data som åpenbart er rettstridig å publisere, har Digdir rett til å skjerme for søk i kundens postjournal eventuelt alle postjournaler, eller dersom situasjonen krever det, fjerne løsningen fra Internett. Digdir plikter i disse tilfellene samtidig å varsle kunden.
7. Innsyn og revisjon
Digdir skal gjennom revisjon og verifikasjon sikre at tilknyttede leverandører overholder avtalte forpliktelser.
Digdir skal på forespørsel fremlegge dokumentasjon fra gjennomførte revisjoner av eInnsyn dersom kunden ved kvalitetsrevisjon eller sertifisering av egne systemer, eller i forbindelse med etterlevelse av rettslige forpliktelser, etterspør dette. Kunden kan også be om ytterligere informasjon og bistand i henhold til de avtaler Digdir har med sine leverandører.
I samråd med styringsrådet for eInnsyn kan det opprettes en revisjonskomité bestående av utvalgte kunder. Revisjonskomitéens mandat fastsettes ved opprettelse.
8. Behandling av personopplysninger
Kunden er behandlingsansvarlig for personopplysninger som kommer frem i kundens postjournal som publiseres til Internett gjennom eInnsyn, samt eventuelle personopplysninger som kommer frem av lenken til et dokument. Hvilke opplysninger postjournalen skal inneholde kommer frem av forskrift om offentlige arkiv § 10. Offentlegforskrifta § 6 tredje og fjerde ledd gir i tillegg ytterligere presiseringer for innholdet i postjournaler som skal publiseres på Internett.
Digdir opptrer som databehandler for kunden når postjournaler publisert til Internett gjennom eInnsyn inneholder personopplysninger, samt når lenker til dokument publisert til internett gjennom eInnsyn inneholder personopplysninger.
Digdir har ansvar for at de leverte postjournalene, eventuelt inkludert lenker til dokument, gjengis korrekt og uttømmende i eInnsyn. Digitaliseringsdirektoratet kan ikke råde over personopplysningene som kommer frem i postjournalene, eller i lenker til dokument, på annen måte enn det som er beskrevet i avtalen.
Digdir skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Sikkerhetsdokumentasjon kan gjøres tilgjengelig for kunden på forespørsel.
Leverandør av løsningen er forpliktet til å overholde personopplysningslovens § 1.. Leverandøren har også taushetsplikt om informasjon de blir gjort kjent med i forbindelse med gjennomføringen av avtalen med Digdir.
9. Ansvar for underleverandører
Dersom en av partene engasjerer underleverandører til å utføre oppgaver som følger av disse bruksvilkår for Digdirs eInnsyn, er parten fullt ut ansvarlig for utførelsen av disse oppgavene på samme måte som om parten selv stod for utførelsen.
[2] Noen statlige virksomheter er unntatt plikten til tilgjengeliggjøring av offentlig elektronisk postjournal, se. offentlegforskrifta § 6.