VILKÅR FOR RA-AFTALE FOR OFFENTLIG RA

Transkript

1 VILKÅR FOR RA-AFTALE FOR OFFENTLIG RA Indholdsfortegnelse 1 RA s forpligtelser DanIDs forpligtelser Ansvar og ansvarsbegrænsning Tavshedspligt Opsigelse, ophør og ophævelse Ophavsret Forsikring Revision Overdragelse Ændring af RA-aftalen Lovvalg og værneting Juni 2012 Side 1 af 10

2 Disse vilkår fastlægger kravene til parterne, når RA legitimerer og registrerer Borgere på vegne af DanID, som på baggrund heraf udsteder offentlig digital signatur til Borgerne. 1 RA s forpligtelser 1.1 Generelt RA forestår på vegne af DanID den fysiske legitimering og registrering af Borgere med henblik på udstedelse af offentlig digital signatur RA skal overholde den til enhver tid gældende instruks for offentlig RA og tilhørende arbejdsgangsbeskrivelse. Den ved aftalens indgåelse gældende instruks og arbejdsgangsbeskrivelse fremgår af bilag 4 og RA skal etablerer procedurer, der sikrer, at en opdateret instruks og arbejdsgangsbeskrivelse fra gyldighedstidspunktet indgår som grundlag for varetagelse af RA's opgaver Ledelsen og RA's interne revision skal en gang årligt underskrive erklæring om, at den generelle drift, data og systemsikkerhed hos RA har et betryggende niveau, og at alle procedurer, der fremgår af instruks og arbejdsgangsbeskrivelser overholdes, og at dette løbende kontrolleres af RA s egen revision. Revision er beskrevet i detaljer i punkt RA skal anvende sit eksisterende it-miljø til at udføre opgaver i henhold til denne RAaftale. Den enkelte pc-arbejdsplads skal konfigureres med nødvendigt software og RA er ansvarlig for løbende opdatering af pc-arbejdspladsen, herunder opdatering af sikkerhedssoftware RA skal udnævne en eller flere administratorer med medarbejdercertifikat, der inden for RA s egen organisation giver adgang til de RA-medarbejdere med medarbejdercertifikater, der skal have mulighed for at logge på RA-portalen og medvirke ved udstedelse af offentlig digital signatur RA skal overholde legitimationskravene i bilag RA skal overholde krav til Autentifikation i forbindelse med support, jf. bilag Uddannelse af RA-medarbejdere Inden RA påbegynder udstedelse af offentlig digital signatur igennem RA-portalen, skal mindst en superbruger hos RA have deltaget i det uddannelsesprogram, som DanID tilbyder, jf. punkt RA s superbrugere skal uddanne yderligere RA medarbejdere til at varetage RA opgaven med legitimering og registrering korrekt og for at kunne supportere Borgerne, jf. bilag 4 og Ingen RA-medarbejdere må varetage RA-opgaven, før de er blevet uddannet af RA s superbrugere og har gennemgået e-learning programmet for offentlig RA. Juni 2012 Side 2 af 10

3 1.2.3 RA skal på DanIDs anmodning dokumentere, at RA s superbrugere og medarbejdere, der varetager opgaver i henhold til denne aftale, har gennemført det uddannelsesprogram, som DanID stiller til rådighed. 1.3 Behandling af personoplysninger DanID er som udsteder af NemID og offentlig digital signatur dataansvarlig for Borgers Identitetsdata. RA er i sin gennemførelse af legitimering og registrering af Borgere i DanIDs RA-portal databehandler for DanID. RA er i sin egenskab af offentlig myndighed dataansvarlig for de samme Identitetsdata i andre sammenhæng RA skal inden udstedelse af NemID udlevere Regler for NemID til Borgeren og opfordre Borgeren til at sætte sig ind i reglerne RA må alene bruge oplysninger i DanIDs RA-portal til opfyldelse af RA s forpligtelser i denne RA-aftale. RA kan således kun bruge Identitetsdata i DanIDs RA-portal, med henblik på at registrere og udstede offentlig digital signatur eller med henblik på at hjælpe Borgere med offentlig digital signatur Når RA behandler og opbevarer Identitetsdata på vegne af DanID, skal RA sikre, at disse behandles i overensstemmelse med lov om behandling af personoplysninger. RA er forpligtet til at træffe nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. 2 DanIDs forpligtelser 2.1 Tekniske løsninger DanID udvikler, vedligeholder og stiller de tekniske løsninger til rådighed, som RA skal benytte ved udførelse af opgaverne for DanID i form af en RA-portal, Identitetsdatabase og Den Centrale Hjemmeside, nemid.nu. 2.2 RA-instruks og arbejdsgangsbeskrivelse DanID udarbejder og vedligeholder en RA-instruks, som beskriver RA s forpligtelser mere detaljeret, jf. bilag DanID udarbejder og vedligeholder arbejdsgangsbeskrivelser for væsentlige arbejdsgange vedrørende udførelse af RA-opgaver, jf. bilag DanID sikrer, at RA bliver informeret om opdateringer i RA instruks og arbejdsgangsbeskrivelse, så RA kan nå at implementere ændringer i procedurer, inden disse træder i kraft. Den til enhver tid gældende instruks og de tilhørende arbejdsgangsbeskrivelser skal være tilgængelige på DanIDs hjemmeside. Juni 2012 Side 3 af 10

4 2.3 Distribuering af Nøglekort DanID distribuerer Nøglekort og udsteder offentlige digitale signaturer på baggrund af oplysninger om Borgers identitet, som RA registrerer i RA-portalen. 2.4 Uddannelse af RA-medarbejdere DanID sammensætter og tilrettelægger et uddannelsesprogram, som sætter RAmedarbejdere i stand til at udføre deres arbejdsopgaver med legitimering og registrering korrekt og sikkert, jf. punkt DanID stiller uddannelsesprogram til rådighed som e-learning via RA-portalen og som fysisk superbrugeruddannelse. 2.5 Spærring DanID modtager anmodninger om spærring af Adgangskode, Nøglekort, OCEScertifikater og NemID. DanID skal straks registrere spærring af Adgangskode, Nøglekort, OCES-certifikater og NemID med angivelse af det nøjagtige tidspunkt for spærring DanID spærrer på eget initiativ, og med angivelse af det nøjagtige tidspunkt for spærring, Nøglekort og/eller OCES-certifikat ved mistanke om kompromittering, misbrug, eller hvis en Borger ikke overholder Regler for NemID til netbank og offentlig digital signatur DanID sikrer, at et ajourført register over spærrede OCES-certifikater (spærrelister) er offentligt tilgængeligt, se nemid.nu. 2.6 Behandling af personoplysninger DanID behandler Identitetsdata i overensstemmelse med lov om behandling af personoplysninger. Det følger heraf, at DanID er forpligtet til at træffe nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger Ved overdragelse af DanIDs rettigheder og forpligtelser, jf. punkt 9, skal DanID sikre, at personoplysninger overdrages i overensstemmelse med lov om behandling af personoplysninger 27 og 41 stk Ansvar og ansvarsbegrænsning 3.1 DanIDs ansvar DanID er ansvarlig over for henholdsvis Certifikatindehavere (her Borgere), Signaturmodtagere (Borgere eller virksomheder) og IT- og Telestyrelsen i henhold til dansk rets almindelige erstatningsregler for manglende overholdelse af de procedurer og Juni 2012 Side 4 af 10

5 forholdsregler ved udstedelse, administration og ophør af OCES-certifikater, der er beskrevet i certifikatpolitik for OCES-personcertifikater (ver. 4) DanID har endvidere bevisbyrden over for Certifikatindehavere (her Borgere) og Signaturmodtagere (Borgere eller virksomheder) for, at DanID og dennes underleverandører, her RA, har overholdt de i OCES CP en nærmere angivne krav til legitimation og kontrol af Certifikatindehavers identitet, oplysningerne i OCEScertifikatet, spærring af OCES-certifikater og andre RA-forretningsgange DanID er således erstatningsansvarlig over for Certifkatindehavere og Signaturmodtagere, hvis DanID eller RA på grund af fejl eller forsømmelser opfylder aftalte forpligtelser for sent eller mangelfuldt. 3.2 RA s ansvar I det omfang DanID bliver erstatningsansvarlig over for en Borger, som Certifikatindehaver eller en Borger eller virksomhed som Signaturmodtager, jf. ovenstående, og ansvaret helt eller delvist kan henføres til RA s manglende overholdelse af de forpligtelser, der påhviler RA i henhold til denne RA-aftale, bærer RA hele eller dele af dette erstatningsansvar under iagttagelse af den af RA ansvarspådragende handling, og RA holder DanID skadesløs for rimelige omkostninger i forbindelse med dette erstatningsansvar. DanID har tegnet en professionel erhvervsansvarsforsikring, jf. punkt 7, som omfatter RA s ansvar i henhold til denne Aftale. RA er derfor alene ansvarlig, såfremt et tab ikke er dækket af den af DanID tegnede forsikringsaftale. 3.3 Begrænsning af erstatningsansvar DanID har ud fra en forretningsmæssig overvejelse begrænset sit ansvar i forhold til virksomheder, der er Certifikatindehavere eller Signaturmodtagere DanIDs ansvar kan i henhold til den gældende OCES CP ikke begrænses i forhold til Borgere. RA kan ikke begrænse sit ansvar over for DanID ved et erstatningskrav fra en Borger, såfremt RA har handlet ansvarspådragende. 3.4 Ansvar i kontrakt Parterne er over for hinanden erstatningsansvarlige i henhold til dansk rets almindelige regler. Det indbyrdes ansvar i henhold til denne RA-aftale omfatter dog ikke driftstab, tabt avance eller andet indirekte tab, når tabet ikke stammer fra krav rejst af en Borger eller Signaturmodtager, der handler som privatperson Såfremt RA s manglende overholdelse af RA-aftalen påfører DanID urimelige og dokumenterbare ekstra omkostninger, betragtes disse omkostninger som DanIDs direkte tab. Juni 2012 Side 5 af 10

6 3.5 Ansvar efter ophør RA s ansvar gælder for så vidt angår allerede udstedte offentlige digitale signaturer også efter RA-aftalens ophør, uanset om RA-aftalen er ophævet, opsagt eller på anden vis bortfaldet. 4 Tavshedspligt 4.1 Generelt Parterne, herunder medarbejdere, underleverandører, konsulenter med flere, skal iagttage ubetinget tavshed med hensyn til den anden parts forretningshemmeligheder, -koncepter, -relationer og andre fortrolige oplysninger, som parterne får kendskab til i forbindelse med forberedelsen, indgåelsen og opfyldelsen af RA-aftalen. 4.2 Omfang Tavshedspligten omfatter ikke (i) oplysninger, som må videregives på baggrund af skriftlig tilladelse fra den pågældende part, og (ii) videregivelse af oplysninger på grundlag af krav fra myndigheder i medfør af gældende lovgivning. Parterne må kun behandle, herunder opbevare og anvende oplysninger fra den anden part i forbindelse med opfyldelse af RA-aftalen. Den part, der modtager oplysninger, skal behandle oplysningerne på en sikker måde og med minimum samme omhu, som parten behandler egne oplysninger. Hvis der er tale om personoplysninger, må behandling og videregivelse kun ske under iagttagelse af bestemmelserne i lov om behandling af personoplysninger og Forvaltningslovens kapitel 8 om Tavshedspligt. 4.3 Eksterne rådgivere Parterne kan til enhver tid inddrage en ekstern rådgiver i forbindelse med samarbejdet og eventuelt ophør heraf. En sådan tredjemand har adgang til møder, oplysninger og dokumenter. Dog skal eksterne rådgivere være underlagt tilsvarende vilkår om tavshedspligt enten i medfør af lovgivning eller i medfør af aftale med den part, der anvender rådgiveren. 4.4 Tavshedspligt efter ophør Tavshedspligten gælder også efter RA-aftalens ophør, uanset om RA-aftalen er ophævet, opsagt eller på anden vis bortfaldet. 4.5 Offentliggørelse Offentliggørelse af indhold i RA-aftalen kan kun ske efter skriftlig aftale mellem parterne Ved indgåelse af denne RA-aftale offentliggør DanID på sin hjemmeside, at parterne har indgået aftale om, at udstedelse af NemID med offentlig digital signatur kan finde sted hos RA (fx X Kommune har indgået aftale med DanID om udstedelse af NemID). Juni 2012 Side 6 af 10

7 5 Opsigelse, ophør og ophævelse 5.1 Opsigelse og ophør Denne RA-aftale kan opsiges af begge parter med tre måneders varsel. 5.2 Ophævelse Hver af parterne kan skriftligt ophæve denne RA-aftale uden varsel, såfremt: den anden part væsentligt misligholder RA-aftalen og ikke inden for rimelig tid, trods skriftligt påkrav, har afhjulpet den påberåbte misligholdelse den anden part gentagne gange misligholder RA-aftalen, og ikke afhjælper misligholdelsen inden for den frist, som er angivet i et skriftligt påkrav, som ikke må være på under 30 dage den anden part bliver erklæret konkurs, indgiver konkursbegæring, indgiver begæring om betalingsstandsning, tvangsakkord, moratorium eller lignende insolvensinstitut som udtryk for anticiperet misligholdelse, medmindre boet efter konkurslovens regler har ret til at indtræde i RA-aftalen og ønsker at gøre dette Før en part kan ophæve RA-aftalen, skal det pågældende forhold, der giver anledning til ønske om ophævelse af RA-aftalen dog være drøftet på højt niveau i parternes ledelser med relevant beslutningskompetence. 6 Ophavsret 6.1 DanIDs ophavs- og ejendomsret Alle ophavs- og ejendomsrettigheder vedrørende de tekniske løsninger/systemer til udstedelse af offentlige digitale signaturer, registrering af Certifikatindehaveres (Borgeres) henvendelser, RA-portalen m.v., som DanID stiller til rådighed i forbindelse med denne RA-aftale, tilhører DanID eller DanIDs underleverandører. 6.2 Brugsret RA får ved indgåelse af denne RA-aftale en ikke-eksklusiv ret til at benytte de grænseflader og systemer, der indgår i udstedelsen af offentlige digitale signaturer m.v., til understøttelse af RA s opgaver i henhold til RA-aftalen, så længe RA-aftalen er i kraft Muligheden for at benytte DanIDs tekniske løsninger/systemer i andre sammenhænge, herunder til at identificere Borgere og vilkårene herfor, kan aftales ved indgåelse af en særskilt aftale med DanID (en tjenesteudbyderaftale) RA har ophavsretten til egne back-end systemer. Juni 2012 Side 7 af 10

8 7 Forsikring 7.1 Meddækning af RA ansvar I tillæg til DanIDs egen professionelle erhvervsansvarsforsikring tegner DanID forsikring, der dækker RA s erstatningsansvar i forbindelse med RA s legitimering af Borgere. Tillægsdækningen betyder, at RA s ansvar som selvstændig underleverandør til DanID dækkes af DanIDs forsikringsselskab uden regresmulighed mod RA, jf. dog punkt Dækningssum og selvrisiko Forsikringen tegnes med en dækningssum på p.t. 30 mio. kr. pr. skade og i alt 60 mio. kr. pr. år og en selvrisiko på kr. pr. skade med mulighed for reinstatement. Reinstatement betyder, at forsikringssummen - 30 mio. kr. pr. skade og i alt 60 mio. kr. pr. år genindsættes én gang i forsikringsperioden, hvis forsikringssummen bliver opbrugt på grund af en eller flere skader i perioden. 7.3 Ikke-dækkede tab Tab, der ikke dækkes af forsikringen, herunder selvrisiko og forsætlige forhold, bæres af RA, hvis RA er ansvarlig for skadesbegivenheden. 8 Revision 8.1 DanIDs godkendelse DanID er godkendt af IT- og Telestyrelsen som udsteder af offentlig digital signatur og er underlagt krav om løbende revision, jf. certifikatpolitik for OCES-personcertifikater (ver. 4) OCES-standardaftale indgået med IT- og Telestyrelsen. 8.2 Årlig revisionserklæring RA skal i forlængelse af indgåelse af denne RA-aftale og én gang årligt til brug for DanIDs rapportering til IT- og Telestyrelsen, levere en erklæring fra egen systemrevisor om, hvorvidt RA s forretningsgange og RA's samlede data-, system- og driftssikkerhed, for så vidt angår de systemer, som anvendes i forbindelse med RAfunktionen, efter systemrevisors opfattelse må anses for betryggende DanIDs eksterne systemrevisor kan undtagelsesvis ud fra en konkret vurdering af den interne systemrevision, beslutte, at DanIDs systemrevision ikke kan baseres på erklæring fra RA's interne revisor alene. DanID kan herefter anmode RA om supplerende dokumentation Såfremt tiltag efter punkt ikke giver den fornødne sikkerhed for, at opgaven varetages korrekt, kan DanIDs eksterne systemrevisor udføre egenkontrol hos RA efter bestemmelserne i punkt RA skal medvirke til opfyldelse af revisionsmæssige krav og gennemførelse af revisionsmæssige handlinger vedrørende RA s forretningsgange og egne systemer, Juni 2012 Side 8 af 10

9 som indgår i eller føder data ind i DanIDs systemer til udstedelse af offentlige digitale signaturer og opbevaring af dokumentation herfor. RA vil loyalt samarbejde om implementering af ændringstiltag som følge af anmærkninger og anbefalinger fra egen eller DanIDs systemrevisor. 8.3 Egen kontrol DanIDs eksterne systemrevisor er endvidere berettiget til at foretage inspektion og stikprøvekontroller hos RA med henblik på at kontrollere, om RA overholder kravene i RA-aftalen og dens bilag, herunder Legitimationskrav ved udstedelse af offentlig digital signatur (bilag 3), RA-instruks (bilag 4) og Arbejdsgangsbeskrivelser (bilag 5). 8.4 Omkostninger Hver part afholder omkostninger til egne medarbejderes og egen systemrevisors medvirken til gennemførelse af systemrevision i forhold til DanID. 9 Overdragelse 9.1 Fusion eller sammenlægning Parterne kan overdrage RA-aftalen, herunder rettigheder og forpligtelser til en anden tilsvarende virksomhed, fx fra en kommune til en anden kommune, jf. dog punkt og punkt 2.6.2, hvis dette sker som led i en sammenlægning eller fusion, eller som led i omstrukturering af selskaberne inden for samme koncern. Den virksomhed, til hvem der overdrages, indtræder i samtlige rettigheder og forpligtelser i henhold til RAaftalen. 9.2 Anden overdragelse Andre tilfælde af overdragelse kræver den anden parts skriftlige samtykke. Samtykke kan ikke afslås uden rimelig og relevant begrundelse. RA er opmærksom på, at der kan være begrænsninger i muligheden for at overdrage i relation til tredjemands rettigheder. 9.3 Salg af DanID Helt eller delvist frasalg af DanID, frasalg af væsentlige af DanIDs aktiviteter til tredjemand eller DanIDs fusion kræver ikke samtykke, men skal godkendes i Nets bestyrelse (DanID er et selskab i Nets-koncernen). I så tilfælde vil aftalekomplekset fortsætte uændret med den nye ejer som aftalepart. 10 Ændring af RA-aftalen Ændringer i denne RA-aftale, som DanID finder nødvendige for at: (i) opfylde de krævede specifikationer i certifikatpolitikken, ændrede sikkerhedskrav eller love og regler; (ii) forbedre procedurer og arbejdsgange på anden måde; kan implementeres til enhver tid af DanID uden forudgående varsel eller samtykke fra RA. DanID skal før ikrafttræden underrette RA om ændringer af RA-aftalen og meddele sådanne Juni 2012 Side 9 af 10

10 ændringer på DanIDs hjemmeside. Øvrige ændringer kan ske ved skriftlige tillæg, som dateres, nummereres og underskrives af hver part. 11 Lovvalg og værneting 11.1 Dansk ret RA-aftalen og parternes rettigheder i henhold hertil er undergivet dansk ret Forhandling Hvis der opstår tvist mellem parterne, skal parterne først forsøge at løse uoverensstemmelsen ved gensidige loyale og imødekommende forligsforhandlinger Voldgift Kan parterne ikke løse tvisten ved forhandling, skal tvisten afgøres efter regler for behandling af sager ved Det Danske Voldgiftsinstitut (Danish Arbitration), med mindre begge parter frafalder dette krav Hver part udpeger en voldgiftsmand, mens voldgiftsrettens formand udnævnes af Det Danske Voldgiftsinstitut. Såfremt en part ikke inden 30 dage efter at have indgivet eller modtaget underretning om begæring om voldgift har udpeget en voldgiftsmand, udnævnes også denne af Det Danske Voldgiftsinstitut i overensstemmelse med ovennævnte regler Voldgiftsretten fastsætter sagens omkostninger og bestemmer, hvordan disse skal fordeles Voldgiftsrettens kendelser, der er underlagt tavshedspligt, jf. punkt 4, er endelige og bindende for parterne, og kan ikke indbringes for domstolene. Afgørelsen kan tvangsfuldbyrdes efter retsplejelovens Parterne må ikke offentliggøre voldgiftsrettens kendelser. Juni 2012 Side 10 af 10