Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

Transkript

1 Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in Digitaliseringsstyrelsen 2013

2 Side 2 af 31 Indhold Indhold Praktisk info Om tiltrædelse af vilkår Om gateway-leverandørers tiltrædelse af vilkår Indledning Definitioner Vilkår og underskrift heraf Hvem skal underskrive Opgaver i forbindelse med tiltræden af vilkår Ansvar Betaling Digitaliseringsstyrelsens forpligtelser Nedetid og driftsforstyrrelser Beredskab Tilslutningshjælp Tilslutningstidspunkt Vilkårsændringer Snitflader og ændringer til snitflader It-systemudbyderens rettigheder og forpligtelser Anmeldelse til Datatilsynet Support af egne it-systemer Registrering af kontaktoplysninger Test Certifikatfornyelse Ressourcer Overholdelse af føderationens politikker Sikkerhedskrav Nødprocedurer og beredskab Side 2 af 31

3 Side 3 af It-systemudbyder der benytter it-leverandør Indberetning til Digitaliseringsstyrelsen Misligholdelse og ansvarsforhold Varsling i forbindelse med misligholdelse Tavshedspligt Overdragelse Varsling Ændring i standarder og politikker Opsigelse og ophør Ansvarsfraskrivelse Afsnit II Specifikke vilkår for Single Sign-on og Brugeradministration Digitaliseringsstyrelsens forpligtelser SSO (Single Sign-On) - hvad leverer Digitaliseringsstyrelsen Ansvar iht. Persondataloven Brugeradministration - hvad leverer Digitaliseringsstyrelsen Ansvar iht. Persondataloven It-systemudbyderens rettigheder og forpligtelser Sikkerhedsniveau Adgangskontrol Vedligeholdelse af tekniske metadata, rettigheder og beskrivelser Afsnit III Specifikke vilkår for Signering Digitaliseringsstyrelsens forpligtelser Signering - Hvad leverer Digitaliseringsstyrelsen Ansvar iht. Persondataloven It-systemudbyderens rettigheder og forpligtelser Afsnit IV Specifikke vilkår for gateway-leverandører Gateway-leverandørers rettigheder og forpligtelser Signering af vilkår Anmeldelse til Datatilsynet Misligholdelse og ansvarsforhold Side 3 af 31

4 Side 4 af Erstatning Indberetning til Digitaliseringsstyrelsen Afsnit V Specifikke vilkår for Fuldmagt Digitaliseringsstyrelsens forpligtelser Fuldmagt - hvad leverer Digitaliseringsstyrelsen Ansvar iht. Persondataloven It-systemudbyderens rettigheder og forpligtelser Oversigt over It-systemudbyderens opgaver Juridisk grundlag for fuldmagtsløsninger Adgangskontrol Myndighedens ansvar hvis myndigheden registrerer papirfuldmagter til brug for egne it-systemer Vedligeholdelse af tekniske metadata, rettigheder og beskrivelser Side 4 af 31

5 Side 5 af Praktisk info Dette dokument findes elektronisk i NemLog-in s tilslutningssystem, hvorfra det kan downloades og udskrives. Dokumentets historik vil ligeledes blive lagret og være tilgængeligt via NemLog-in/Tilslutning. 0.1 Om tiltrædelse af vilkår Disse vilkår indeholder bestemmelser om It-systemudbyderes anvendelse af den fællesoffentlige brugerstyringsløsning NemLog-in, som Digitaliseringsstyrelsen har fået udviklet. Vilkårene regulerer således rettigheder og forpligtelser for henholdsvis It-systemudbyderen og Digitaliseringsstyrelsen. Vilkårene tiltrædes ved at en underskriftsbemyndiget medarbejder hos Itsystemudbyderen underskriver dem med en digital signatur via NemLogin/Tilslutning (se nedenfor). Undtagelsesvis kan vilkår underskrives på papir, hvis dette forinden er aftalt med Digitaliseringsstyrelsen. Digitaliseringsstyrelsens forpligtelser over for It-systemudbyder indtræder samtidig med It-systemudbyders underskrift på vilkårene. Vilkår tiltrædes én gang for alle komponenter i NemLogin, men It-systemudbyderen forpligtes først vedr. de enkelte komponenter i takt med at It-systemudbyderen idriftsætter et it-system, der anvender en eller flere af disse komponenter. Digitaliseringsstyrelsen er berettiget til at opdatere og ændre vilkår. Hvis det er relevant, vil It-systemudbyder modtage en anmodning om inden en nærmere angivet frist at tiltræde ændringer ved at underskrive den nye version af vilkårsdokumentet. Nærværende vilkår erstatter de hidtidige vilkår for anvendelse af tidligere fællesoffentlige brugerrettighedsløsninger (se under afsnittet 1.Indledning ). 0.2 Om gateway-leverandørers tiltrædelse af vilkår Som angivet nedenfor i afsnit IV kan gateway-leverandører anvende NemLog-in med de angivne forpligtelser og begrænsninger og skal i så fald tiltræde vilkår for gatewayleverandører. 1. Indledning Digitaliseringsstyrelsen har etableret NemLog-in, som skal erstatte de to eksisterende, fællesoffentlige løsninger: NemLog-in og Virk BRS, der er brugerrettighedsløsningen på Virk.dk. NemLog-in 2 består af 5 logiske komponenter: Side 5 af 31

6 Side 6 af 31 1) NemLog-in 2/ Single Sign-on (SSO) 2) NemLog-in 2/ Brugeradministration 3) NemLog-in 2/ Signering 4) NemLog-in 2/ Tilslutning 5) NemLog-in 2/Fuldmagt Nedenfor følger først de generelle vilkår, der er fælles for alle komponenter, hvorefter vilkårene til de enkelte komponenter beskrives: afsnit II Vilkår for NemLog-in/Single Sign On samt NemLog-in/Brugeradministration, og afsnit III Vilkår for NemLog-in/Signering. Afsnit IV vedrører vilkår for gatewayleverandører. Afsnit V vedrører vilkår for fuldmagt. 2. Definitioner Billet Bruger Dataansvarlig Databehandler En (SAML) billet indeholder informationer om en brugers identitet og rettigheder. Billetten udstedes af NemLog-in og anvendes til at logge på It-systemudbyderes løsninger. Borger, virksomhed, medarbejder hos virksomhed, herunder myndighed og medarbejder i myndighed, når myndigheden optræder som virksomhed. Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. En myndighed, der er It-systemudbyder efter definitionen i disse vilkår kan både være dataansvarlig og databehandler i persondatalovens forstand - alt efter de konkrete forhold. En gateway-leverandør er altid databehandler for en myndighed. Gatewayleverandør*) En it-leverandør eller myndighed, hvis systemmæssige tilslutning til NemLog-in anvendes til at betjene flere offentlige myndigheder. Dette kan eksempelvis være en fælleskommunal løsning, der leveres af en it-leverandør eller et antal kommuner, der indgår i et driftsfællesskab. Det er en betingelse for at optræde som gateway-leverandør, at gatewayleverandøren underskriver vilkår for gateway-leverandører i Side 6 af 31

7 Side 7 af 31 afsnit 18. Se figur nedenfor til illustration af gatewayleverandør. Føderation En føderation er et forbund af selvstændige organisationer, der anvender et fælles sæt aftaler, standarder og teknologier til overførsel af brugeres identitet og rettigheder pa tværs af organisationer. Indholdsdata It-leverandør It-systemudbyder Data, som It-systemudbyder stiller til rådighed for Brugerorganisationer eller borgere efter log-in på Itsystemudbyders it-system. En it-leverandør, der har indgået kontrakt med en offentlig myndighed om levering af et it-system, hvor myndigheden har rollen som It-systemudbyder. En myndighed der stiller et it-system til rådighed for borgere, virksomheder eller (andre) offentlige myndigheder. I disse vilkår defineres udbyderen af et it-system som den myndighed, der er ansvarlig for it-systemet herunder tilslutning til NemLog-in. Dette indebærer, at It-systemudbyderen skal underskrive nærværende vilkår og påtage sig ansvaret for, at itsystemet opfylder de stillede krav. Eksempler: For de nationale it-systemer som Borger.dk, NemKonto, Digital Post, NemRefusion mv. vil de myndigheder, der har ansvaret for systemet, være at betragte som It-systemudbydere. Sikkerhedsniveau Log-in mekanismer kan have fire forskellige niveauer af sikkerhed for brugerens identitet (niveau af autenticitetssikring eller på engelsk: assurance level). Aktuelt (2013) understøtter NemLog-in digital signatur og NemID, som har niveau 3 på skalaen 1-4, hvor 4 er højeste sikkerhedsniveau. Der er link til yderligere information om autenticitetssikring på Side 7 af 31

8 Side 8 af 31 Løsning1 NemLog-in Løsning2 GW Løsning3 Påfiguren har NemLog-in tilsluttet to almindelige løsninger og en gateway-leverandør. GWleverandøren har selv tilsluttet tre løsninger i andet led. Løsning4 Løsning5 3. Vilkår og underskrift heraf It-systemudbyder erklærer ved sin underskrift at ville efterleve vilkårene, så længe It-systemudbyder er tilsluttet NemLog-in med anvendelse af en eller flere komponenter. Vilkårene består ud over nærværende dokument af de dokumenter, der fremgår af nedenstående oversigt, og som det ligeledes er obligatorisk at efterleve: Tekniske standarder / profiler: OIOSAML Web SSO Profile OIO Basic Privilege Profile OIO Identity Token Profile OIO WS-Trust Profile Liberty Basic SOAP Binding Politikker for den fællesoffentlige føderation: Certifikatpolitik Logningspolitik Timeoutpolitik Side 8 af 31

9 Side 9 af 31 Integrationstest Drift- og supportpolitik Politik for tidssætning SLA Beredskabspolitik Dokumenterne er tilgængelige på NemLog-in/Tilslutning og Digitaliseringsstyrelsens hjemmeside, Hvem skal underskrive For offentlige myndigheder skal vilkår underskrives i henhold til en myndighedsintern bemyndigelse eller af en person, der i kraft af sin stillings indhold kan forpligte myndigheden i forhold til disse vilkår. Vilkårene skal underskrives inden et it-system kan blive tilsluttet en eller flere komponenter i NemLog-in s produktionsmiljø. For en gateway leverandør, der ikke er en offentlig myndighed, gælder følgende: Digitaliseringsstyrelsen anerkender en person som underskriftsbemyndiget for et selskab, såfremt personen optræder i Erhvervsstyrelsens register over selskabets personkreds i kategorien direktører. For andre typer virksomheder, f. eks. enkeltmandsvirksomheder anerkender Digitaliseringsstyrelsen en person som underskriftsbemyndiget, hvis personen er en fuldt ansvarlig deltager (fx ejer), der er registreret i Erhvervsstyrelsen efter reglerne herom i CVR loven. 3.2 Opgaver i forbindelse med tiltræden af vilkår I forbindelse med tiltrædelsen af vilkår skal den bemyndigede udpege en eller flere administratorer for It-systemudbyder. Der kan være personsammenfald mellem den bemyndigede og en administrator. Ved udpegningen af administrator erklærer den bemyndigede sig samtidig for indforstået med, at administratoren på Itsystemudbyders vegne varetager opgaver beskrevet i afsnit 7 Itsystemudbyderens rettigheder og forpligtelser i forbindelse med anvendelse af NemLog-in. Dette omfatter bl.a. vedligehold af It-systemudbyders stamdata samt udpegning af den teknisk ansvarlige, der forestår teknisk tilslutning (kan være Itsystemudbyders eksterne it-leverandør). Side 9 af 31

10 Side 10 af 31 Den til enhver tid bemyndigede kan via NemLog-in/Tilslutning ændre eller tilbagekalde udpegningen af administrator(er). 4. Ansvar Digitaliseringsstyrelsen og It-systemudbyder er underlagt persondataloven og regler udstedt i medfør heraf. Det fremgår under de specifikke vilkår for hver komponent nedenfor, hvem der er henholdsvis dataansvarlig og databehandler for data i NemLog-in s enkelte komponenter. Digitaliseringsstyrelsen er underlagt den til enhver gældende sikkerhedsstandard for statslige myndigheder, p.t. DS484, der således er opfyldt i NemLog-in. 5. Betaling Digitaliseringsstyrelsen afholder alle udgifter til udvikling, drift og forvaltning af NemLog-in. It-systemudbyder afholder selv alle udgifter vedr. udvikling, etablering, integration, test, drift, fejlretning m.v. af eget system med henblik på tilslutning til samt efterfølgende anvendelse af NemLog-in. It-systemudbyder skal anvende NemLog-in/Tilslutning, der er et selvbetjeningssystem, hvor alle aspekter af en tilslutning til NemLog-in s komponenter kan administreres herunder tiltræden af vilkår, administration af tekniske data, indrapportering af testresultater mv. Tilslutning af it-systemer til NemLog-in er således vederlagsfri for It-systemudbyder i det omfang Itsystemudbyder betjener sig selv. Digitaliseringsstyrelsen supporterer ikke løsning af tekniske problemer ved tilslutning, når de tekniske problemer relaterer sig til udbyderens it-system, der ønskes tilsluttet. 6. Digitaliseringsstyrelsens forpligtelser Digitaliseringsstyrelsen leverer NemLog-in, som overholder fællesoffentlige standarder indenfor brugerstyring herunder OIOSAML, OIO Basic Privilege Profile, OIO WS-Trust Profile, OIO Identity Token Profile. Digitaliseringsstyrelsens forpligtelser i øvrigt følger af punkt Dokumenter med detaljeret beskrivelse af nedenstående punkter kan hentes på Digitaliseringsstyrelsens hjemmeside, og er i øvrigt omtalt under pkt. 3. Side 10 af 31

11 Side 11 af Nedetid og driftsforstyrrelser Det er Digitaliseringsstyrelsen ansvar at omstændigheder, som kan påvirke funktionaliteten eller driften af NemLog-in, varsles til It-systemudbyderen. Politik om varslinger til It-systemudbydere om planlagt nedetid, opdateringer, driftsophør, lovændringer eller ændringer i praksis er beskrevet i dokumentet Drift- og supportpolitik. 6.2 Beredskab Digitaliseringsstyrelsen er forpligtet til at have et beredskab klar, således at eventuel nedetid kan minimeres ved forud fastlagte processer. De fastlagte beredskabsprocesser fremgår af dokumentet Beredskabspolitik. 6.3 Tilslutningshjælp Digitaliseringsstyrelsen stiller en række vejledninger og værktøjer til rådighed for It-systemudbydere med henblik på at sikre en nem tilslutning til NemLog-in. Dokumenterne er tilgængelige på NemLog-in/Tilslutnings hjemmeside samt på NemLog-in s infosite - og i øvrigt omtalt under pkt. 3. Digitaliseringsstyrelsen er forpligtet til at stille en drifts- og supportfunktion til rådighed for Itsystemudbydere. Omfanget af drift og support er beskrevet i dokumentet Driftog supportpolitik. 6.4 Tilslutningstidspunkt It-systemudbyder angiver selv, fra hvilket tidspunkt udbyders it-system ønskes lagt i hhv. test- og produktionsmiljøer i NemLog-in. NemLog-in/Tilslutning kontrollerer i den forbindelse automatisk, at It-systemudbyder har underskrevet vilkår. Digitaliseringsstyrelsen vil bestræbe sig på, at de selvangivne tidspunkter overholdes, uden at dette dog kan garanteres i alle tilfælde. 6.5 Vilkårsændringer Digitaliseringsstyrelsen kan foretage ændringer i nærværende vilkår, når væsentlige grunde taler herfor. Ændringer træder normalt i kraft med minimum 3 måneders varsel, medmindre ændringerne skyldes væsentlige forhold som f.eks. opfyldelse af ny lovgivning eller sikkerhedshændelser, der nødvendiggør kortere eller ingen varsel. It-systemudbyder vil blive orienteret. Hvis NemLog-in udvides med yderligere funktionalitet, kan der opstå behov for at udvide nærværende aftale. It-systemudbyder vil blive orienteret herom via advisering til It-systemudbyders administrator. 6.6 Snitflader og ændringer til snitflader Hvis de tekniske standarder (OIOSAML, OIO Basic Privilege Profile, OIO WS- Trust Profile eller OIO Identity Token Profile) eller føderationspolitikkerne bliver Side 11 af 31

12 Side 12 af 31 afløst af nyere versioner, vil de nye versioner automatisk være gældende. Tilsvarende gælder ændringer i NemLog-in som følge af ny leverandør. Digitaliseringsstyrelsen er forpligtet til at varsle væsentlige ændringer, som har konsekvens for It-systemudbyderen, med minimum 6 måneders varsel. Ved en væsentlig ændring forstås obligatoriske ændringer af grænseflader, der kræver ændringer i It-systemudbydernes systemer. Hvis ændringen skyldes afhjælpning af et akut sikkerhedsmæssigt problem, kan en kortere frist være nødvendig. Itsystemudbyder afholder i alle tilfælde omkostninger til tilpasning af egne systemer. Mindre justeringer, eksempelvis fornyelse af NemLog-in-virksomhedscertifikat eller indførsel af nye rettigheder, betragtes ikke som en ændring af snitfladen. 7. It-systemudbyderens rettigheder og forpligtelser Ved tiltrædelse af nærværende vilkår får It-systemudbyderen ret til at anvende NemLog-in med dertil hørende komponenter i det omfang de specifikke vilkår for hver komponent overholdes. It-systemudbyder er berettiget til at anvende den kapacitet i NemLog-in, der er aftalt ved tilslutning (eksempelvis antal brugerlog-ins per time). Ved væsentlig overskridelse af den aftalte trafikmængde kan Digitaliseringsstyrelsen teknisk begrænse It-systemudbyders ressourcetræk på NemLog-in, således at øvrige Itsystemudbydere også kan betjenes. It-systemudbyder er forpligtet til at orientere Digitaliseringsstyrelsen ved væsentlige ændringer i det udbudte it-system, herunder ved væsentlig forøgelse af brugertrafikken eller forhold, der har betydning for sikkerheden. It-systemudbyders forpligtelser følger i øvrigt af punkt De dokumenter, der henvises til i de nedenstående punkter, kan hentes på NemLog-in/Tilslutnings hjemmeside. 7.1 Anmeldelse til Datatilsynet En myndighed, der er It-systemudbyder, er dataansvarlig for evt. personoplysninger, som It-systemudbyderens systemer måtte behandle og udstille for eksterne brugere med andre ord de it-system specifikke indholdsdata. Som følge heraf er myndigheden forpligtet i forhold til Persondataloven og skal følge reglerne for anmeldelse af behandling af data til Datatilsynet. NemLog-in er på intet tidspunkt i berøring med de it-system specifikke data, hvorfor Digitaliseringsstyrelsen ikke har noget ansvar for disse data i medfør af Persondataloven. Side 12 af 31

13 Side 13 af Support af egne it-systemer It-systemudbyderen fastlægger selv omfang m.v. af support af borgere/virksomheder og/eller egne medarbejdere i forbindelse med disses brug af It-systemudbyders selvbetjeningsløsninger/it-systemer og anvendelse af NemLog-in i forbindelse hermed. Digitaliseringsstyrelsen påtager sig ikke supportopgaver i relation til borgere/virksomheder og eller i relation til It-systemudbyderens medarbejderes anvendelse af NemLog-in. For nærmere oplysning om support omfang henvises til Drifts- og support politik 7.3 Registrering af kontaktoplysninger It-systemudbyder er forpligtet til at registrere kontaktoplysninger samt sikre den løbende opdatering af kontaktoplysningerne via NemLog-in/Tilslutning. Digitaliseringsstyrelsen vil blandt andet (elektronisk) udsende varsling om funktionalitet og drift jf.6.1, hvorfor det er vigtigt at holde kontaktinformationer ajour. 7.4 Test It-systemudbyder er forpligtet til at teste integrationen mellem egne systemer og NemLog-in samt gennemføre og bestå alle obligatoriske test jf. de til enhver tid gældende testkrav i politikken Integrationstest. 7.5 Certifikatfornyelse Det e It-systemudbyderens ansvar at sørge for fornyelse af certifikater. Itsystemudbyderen afholder selv udgifter forbundet med anskaffelse samt fornyelse af It-systemudbyderens virksomhedscertifikat eller funktionscertifikat. Et certifikat skal som regel fornyes hvert andet år. Ved overgang til nyt certifikat skal It-systemudbydere opdatere sine tekniske oplysninger via NemLog-in/Tilslutning, herunder angive dato og tidspunkt for, hvornår det nye certifikat skal tages i anvendelse. 7.6 Ressourcer It-systemudbyderen forpligter sig til at stille nødvendige ressourcer og kompetencer til rådighed i forbindelse med test og tilslutning af egne it-systemer. 7.7 Overholdelse af føderationens politikker It-systemudbyderen er forpligtet til at efterleve de til enhver tid gældende politikker i føderationen, herunder timeout-, lognings- og certifikatpolitiker. Dokumenter for timeout, lognings- og certifikatpolitik findes på NemLogin/Tilslutnings hjemmeside samt på NemLog-in s infosite. Side 13 af 31

14 Side 14 af Sikkerhedskrav Det er It-systemudbyders ansvar, at it-sikkerheden i egen organisation og egne systemer er tilstrækkelig, og at de sikkerhedskrav, der er gældende for den pågældende It-systemudbyder, efterleves. Hvis Digitaliseringsstyrelsen får kendskab til, at et it-system i væsentlig grad ikke lever op til standarder og politikker for føderationen, anses dette som misligholdelse af tilslutningsvilkårene jf. punkt 8. It-systemudbyder skal i øvrigt underrette Digitaliseringsstyrelsen om sikkerhedshændelser i egne systemer, der har eller kan få betydning for NemLogin herunder brugere, der logger på it-systemet via NemLog-in. 7.9 Nødprocedurer og beredskab Det er It-systemudbyders eget valg, om man ønsker at etablere en nødprocedure eller et nødberedskab til håndtering af eventuelle nedbrud i NemLog-in. Der henvises i øvrigt til dokumentet Beredskabspolitik It-systemudbyder der benytter it-leverandør Ved it-leverandør forstås, at It-systemudbyder ved den tekniske tilslutning og/ eller løbende drift af it-systemet benytter sig af en virksomhed eller personer, der ikke er en del af It-systemudbyders formelle organisation eller indgår i et ansættelsesforhold med It-systemudbyder. It-leverandøren skal underskrive en it-leverandørerklæring, før han kan få adgang til NemLog-in/Tilslutning. It-systemudbyder erklærer sig ved sin tiltrædelse af vilkår tillige indforstået med, at it-leverandørens overtrædelse af vilkår kan have til følge, at It-systemudbyders itsystem afkobles fra NemLog-in. Digitaliseringsstyrelsen kan træffe beslutning om og kan effektuere teknisk afkobling af et it-system, såfremt it-leverandøren overtræder vilkårene for tilslutning og ikke retter for sig inden for rimelig tid. Digitaliseringsstyrelsen afgør, hvad der i den forbindelse skal anses som rimelig tid under hensyntagen til overtrædelsens karakter. Således kan alvorlige sikkerhedsbrud medføre omgående afkobling. En afkobling vil ikke finde sted uden saglig grund Indberetning til Digitaliseringsstyrelsen It-systemudbyder skal på Digitaliseringsstyrelsens anmodning afgive oplysninger om tilknyttede it-systemer. Side 14 af 31

15 Side 15 af Misligholdelse og ansvarsforhold 8.1 Varsling i forbindelse med misligholdelse Såfremt Digitaliseringsstyrelsen eller It-systemudbyder væsentligt misligholder sine forpligtelser og ikke ophører hermed senest 10 dage efter skriftligt at være anmodet herom, kan den anden part skriftligt og uden varsel hæve aftalen. It-systemudbyder erklærer sig ved sin tiltrædelse af vilkår samtidig indforstået med, at overtrædelse af vilkår kan have til følge, at udbyders it-system afkobles fra NemLog-in. Pkt gælder tilsvarende for It-systemudbyders egen overtrædelse af vilkår. 9. Tavshedspligt Alle parter skal iagttage tavshedspligt om alle forhold som en part eller dennes medarbejdere måtte have fået adgang til i medfør af aftalen, uanset om aftalen er ophørt. Parterne er underlagt forvaltningslovens, straffelovens samt persondatalovens regler om tavshedspligt, behandling og videregivelse af oplysninger. 10. Overdragelse It-systemudbyder kan efter Digitaliseringsstyrelsens forudgående godkendelse overdrage sine rettigheder og forpligtelser efter nærværende aftale til en anden myndighed, så længe vilkårene fortsat overholdes. Digitaliseringsstyrelsen kan ikke uden saglig begrundelse nægte en overdragelse. Digitaliseringsstyrelsen kan, hvis det skønnes hensigtsmæssigt, overdrage sine rettigheder og pligter til en anden offentlig myndighed, uden at dette får betydning for It-systemudbyders accept af nærværende vilkår. 11. Varsling 11.1 Ændring i standarder og politikker Ændringer i de forskellige standarder og politikker adviseres i NemLogin/Tilslutning samt på NemLog-in s infosite. Der udsendes herudover særskilt meddelelse til de It-systemudbydere, der på varslingstidspunktet er tilsluttet NemLog-in. Meddelelsen sendes pr. til It-systemudbyderen. Side 15 af 31

16 Side 16 af Opsigelse og ophør It-systemudbyder skal underrette Digitaliseringsstyrelsen, hvis It-systemudbyder ikke længere ønsker at benytte NemLog-in, herunder ønsker at ophøre med anvendelsen af en, flere eller alle komponenter. Digitaliseringsstyrelsen kan opsige aftalen skriftligt til ophør med udgangen af en måned med 12 måneders varsel. Denne frist bortfalder, såfremt der er tale om misligholdelse jf. punkt Ansvarsfraskrivelse Digitaliseringsstyrelsen fraskriver sig ethvert ansvar for tab (herunder direkte og indirekte, følgeskader, såsom driftstab, tabt fortjeneste, rentetab og mistede besparelser) som It-systemudbyder kan blive påført som følge af sin tilslutning til og anvendelse af NemLog-in. Side 16 af 31

17 Side 17 af 31 Afsnit II Specifikke vilkår for Single Sign-on og Brugeradministration Specifikke vilkår for komponenterne Single Sign-On og Brugeradministration 14. Digitaliseringsstyrelsens forpligtelser 14.1 SSO (Single Sign-On) - hvad leverer Digitaliseringsstyrelsen Digitaliseringsstyrelsen leverer funktionalitet, der gør det muligt for en bruger at logge på It-systemudbyderens it-system. Funktionaliteten består teknisk set af en såkaldt Identity Provider i henhold til OIOSAML profilen og en Security Token Service i henhold til OIO WS-Trust profilen. Førstnævnte gør det muligt for en bruger at logge på it-systemer hos tilsluttede Itsystemudbydere samt opnå single sign-on mellem disse. Sidstnævnte gør det muligt at få udstedt billetter, der giver adgang til identitetsbaserede web services for tilsluttede It-systemudbydere. NemLog-in autentificerer brugeren og foretager herunder validering af, at det anvendte digitale certifikat ikke er udløbet eller spærret. Såfremt valideringen er succesfuld, udsteder NemLog-in en SAML billet til brugeren, der returneres til brugerens browser med henblik på efterfølgende videresendelse for adgang til udbyders it-system. Den udstedte SAML billet indeholder information, som beskriver brugerens identitet ud fra felterne i det anvendte certifikat (PID, RID, CVR, CPR etc.) eller pseudonym, evt. rettigheder tildelt af en brugeradministrator samt en angivelse af sikkerhedsniveauet. Udover de nævnte informationer, som indgår i SAML billetten, logger NemLog-in endvidere, hvilke it-systemer, brugeren tilgår hos It-systemudbydere, samt tidspunktet for adgangen. Ansvar iht. Persondataloven Digitaliseringsstyrelsen er dataansvarlig for behandlingen af de personoplysninger, der behandles i forbindelse med log-in processen. Det er oplysninger om hvilke brugere, der er logget på hvilke it-systemer hos It-systemudbydere, samt tidspunktet herfor. Digitaliseringsstyrelsen informerer brugeren om hvilke typer af data, der registreres om den pågældende, hvad oplysningerne anvendes til, samt hvor længe oplysningerne opbevares i NemLog-in. Se dog nedenfor afsnit om ansvarsfordeling m.v. i forhold til opslag i PID/RID til CPR - tjeneste. Side 17 af 31

18 Side 18 af Særligt om tilvalgt anvendelse af PID/RID til CPR-tjeneste Digitaliseringsstyrelsen foretager via tilslutningen til NemLog-in opslag i tjenesten på vegne af It-systemudbyderen. Alle OCES personcertifikater og medarbejdercertifikater med CPR-tilknytning, der udstedes bliver registreret i tjenesten. Tjenesten giver mulighed for at foretage eksakt identifikation af en OCES digital signatur bruger, idet der i tjenesten er etableret en sammenhæng mellem brugerens CPR-nummer og henholdsvis det unikke PID eller unikke RID, der er indeholdt i OCES personcertifikater og OCES medarbejdercertifikater. Tjenesten giver mulighed for at få oplyst et CPR-nummer på baggrund af PID eller RID nummeret i de certifikater, som It-systemudbyder modtager. It-systemudbydere må alene benytte tjenesten som led i identifikation af brugere, der benytter OCES certifikater mod It-systemudbyderens digitale tjenester. Itsystemudbyderne må ikke videregive oplysninger fra tjenesten til tredjemand. It-systemudbyderen er ansvarlig for at foretage anmeldelse til Datatilsynet i det omfang, det er påkrævet i forhold til den påtænkte behandling af oplysninger fra tjenesten. It-systemudbyder må ikke give tredjemand adgang til tjenesten eller dele heraf eller i øvrigt medvirke til, at tredjemand får adgang til de oplysninger, tjenesten giver adgang til. It-systemudbyder er forpligtet til at sikre, at it-systemudbyderens anvendelse af tjenesten og behandling af oplysninger herfra sker i overensstemmelse med gældende lovgivning, herunder særligt bestemmelserne i lov om behandling af personoplysninger samt Dansk Standard DS om Kommunikation mellem PID-leverandør og applikationsserviceudbyder 14.2 Brugeradministration - hvad leverer Digitaliseringsstyrelsen NemLog-in/Brugeradministration er henvendt til It-systemudbydere, hvis itsystemer anvendes af organisationer (virksomheder eller myndigheder herefter benævnt Brugerorganisationer), og hvor It-systemudbyder kræver, at Brugerorganisationen tildeler rettigheder til Brugerorganisationens medarbejdere, før de kan få adgang til udbyders it-system. Med NemLog-in/Brugeradministration kan brugerorganisationerne tildele rettigheder til deres medarbejderes i de it-systemer hos It-systemudbyderen, der er tilsluttet NemLog-in/Brugeradministration. Forinden skal It-systemudbyder have oprettet de rettigheder i NemLog-in/Tilslutning, som ønskes administreret af brugerorganisationerne. It-systemudbyderen definerer altså den ramme, som Side 18 af 31

19 Side 19 af 31 brugerorganisationerne administrerer indenfor, som illustreret på figuren nedenfor: En administrator i en brugerorganisation tildeler via NemLogin/Brugeradministration rettigheder til medarbejdere i egen organisation, men kan også delegere rettigheder til andre virksomheder - herunder navngivne medarbejdere i andre virksomheder. En brugerorganisation er ansvarlig for at tildele og vedligeholde korrekte rettigheder til egne medarbejdere. En brugerorganisation skal tiltræde vilkår overfor Digitaliseringsstyrelsen, og det nævnte ansvar fremgår af disse vilkår. Digitaliseringsstyrelsen kan spærre for en brugerorganisations anvendelse af NemLog-in/Brugeradministration, såfremt brugerorganisationen væsentligt misligholder vilkår. Brugerorganisationen vil i så fald ikke have adgang til udbyders it-system via NemLog-in/Brugeradministration. Ansvar iht. Persondataloven Digitaliseringsstyrelsen er dataansvarlig for registrering, opbevaring og logning af rettighedsdata i forbindelse med behandlingen heraf ved udstedelse af SAML- Side 19 af 31

20 Side 20 af 31 billetter. Dette omfatter bl.a. oplysninger om, hvilke medarbejdere der er tildelt hvilke rettigheder, samt hvilken administrator, der har tildelt rettigheden og hvornår. Ligeledes indestår Digitaliseringsstyrelsen for den sikkerhedsmæssige behandling af rettighedsdata. Det skal understreges, at brugerorganisationerne er ansvarlige for at tildele deres medarbejdere de korrekte roller/rettigheder, som modsvarer deres jobfunktion og bemyndigelse. Digitaliseringsstyrelsen foretager logning af hvilke af It-systemudbyders medarbejdere, der har tilgået NemLog-in samt hvilke handlinger, de har foretaget i NemLog-in/Tilslutning ved administration af It-systemudbyders it-systemer. Handlinger foretaget af It-systemudbyders administratorer opbevares i en transaktionslog, som slettes ifølge logningspolitikken. Udveksling af indholdsdata (it-system specifikke data i It-systemudbyders eget itsystem) mellem en Brugerorganisation og It-systemudbyder sker på baggrund af en regulering heraf mellem Brugerorganisation og It-systemudbyder og er Digitaliseringsstyrelsen uvedkommende. Digitaliseringsstyrelsen kommer således på ingen måde i berøring med indholdsdata og har derfor ingen forpligtelser for disse i henhold til persondataloven. 15. It-systemudbyderens rettigheder og forpligtelser 15.1 Sikkerhedsniveau It-systemudbydere er forpligtede til at bestemme det nødvendige sikkerhedsniveau for tilsluttede it-systemer ud fra en risikovurdering. NemLog-in er en log-in løsning, hvor brugerne fra starten kun kan logge ind med digital signatur og NemID. Digitaliseringsstyrelsen forbeholder sig ret til senere at tilføje nye log-inmekanismer med både lavere og højere sikkerhedsniveauer. Som følge heraf forpligtes It-systemudbydere til at indrette tilsluttede it-systemer, så de afviser brugere, der anvender log-inmekanismer med for lavt sikkerhedsniveau (f. eks. niveau 2) 1. 1 Sikkerhedsniveau (også kaldet niveau af autenticitetssikring) for tilsluttede it systemer fastsættes ud fra en risikovurdering. Desuden skal It-systemudbydere afvise brugere, der har et for lavt niveau på baggrund af AssuranceLevel attributten i den medsendte SAML billet udstedt af NemLog-in. På den måde sikres, at brugere der aktuelt er logget ind med eksempelvis niveau 1 eller 2 bliver afvist af en løsning, der kræver niveau 3. Side 20 af 31