Tilslutningsinstruks



Relaterede dokumenter
Bilag 1 - Tilslutningsinstruks

Introduktion til Digital Post. Februar 2016

Persondataloven hvad er nyt?

3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR.

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Borgerrådgiverens hovedopgave er først og fremmest dialog med borgerne i konkrete sager en mediatorrolle, hvor det handler om at:

DATABEHANDLERAFTALE. Om behandling af personoplysninger og lokalforeningsoplysninger i FDF. Indgås mellem

Tilslutning til digital post og NemSMS

Vejledning om dybe links i Digital Post. Februar 2016

DanID A/S Lautrupbjerg 10 Postboks Ballerup

5. Persondataloven 5.1. Indsamling, behandling, behandlingssikkerhed, videregivelse og oplysningspligt Indsamling Behandling

Forberedelser forud for EU s databeskyttelsesforordning. 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

Bekendtgørelse af lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v.

DATAT I LSYN ET 02 FEB Hedensted Kommune Niels Espes Vej Hedensted. Hedensted Kommui

Vejledning om mulighederne for genoptagelse efter såvel lovbestemte som ulovbestemte regler. 10. april 2013

Digital post Snitflader Bilag A2 - REST Register Version 6.3

1. Send Digitalt knappen anvendes til at afsende meddelelsen til de valgte modtagere. (Alt- S)

Brugerstyring i digital post

Vejledning til ledelsestilsyn

Brugerstyring i Digital Post

UANMODEDE HENVENDELSER (SPAM)

Arbejdsmiljøgruppens problemløsning

Vejledning i at oprette afsendersystemer i Digital Post. Februar 2016

Artikel til digst.dk om offentlige myndigheders særlige vejledningspligt ifm. kanalskifte til Digital Post

Digital post Snitflader Bilag F Sikkerhed Version 6.2

Beskatning af fri telefon den systemmæssige understøttelse

ADGANG TIL EGEN SAG ADGANG TIL EGEN SAG. Integration til Borger.dk baseret på fælleskommunal infrastruktur

Løsningsbeskrivelse og visuelle guidelines Dokumentet er en del af NemID tjenesteudbyderpakken.

Notat om håndtering af aktualitet i matrikulære sager

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

EPOS REKRUTTERING BRUGERVEJLEDNING TIL JOBAGENT

hos statslige myndigheder

Ministertale ved åbent samråd om L 160 om offentlig digital post tirsdag den 15. maj 2012 kl

Statsforvaltningens brev til en journalist. Att.: XXXX. Henvendelse vedrørende afslag på aktindsigt

Bilag 1b Vejledning til udfyldelse af ESPD

Bliv klar til Dokumentboks / NemSMS

Betalingstjenestelovens

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Indhold. Digital post. Digital Post

Ankestyrelsens principafgørelse om hjemmehjælp - kvalitetsstandard - indkøbsordning - rehabiliteringsforløb

Afgørelseskompetencen i sager om samvær med anbragte børn

Kommissorium for Revisionsudvalget. Juni 2016

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder

Fællesregional Informationssikkerhedspolitik

Statsforvaltningens brev til en Journalist. Henvendelse vedrørende Aarhus Kommunes afgørelse om aktindsigt

Login til den digitale ansøgningsportal

BRUGERBETINGELSER FOR GENVEJ HERUNDER NEMPOST

Statsforvaltningens brev til en borger Henvendelse vedrørende Københavns Kommunes afgørelse om aktindsigt

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Om Fødevarestyrelsen, Fødevareregionerne og Dataloven. Fødevarestyrelsens og Fødevareregionernes håndtering af personoplysninger efter Dataloven

NOTAT. Juridiske retningslinjer for indsamling af patientdata til brug i opgaver og projekter

Abonnementsvilkår for Mofibo hos YouSee. Maj 2014

Orientering om tilmeldtes pligt til at bekræfte jobsøgning fra Jobnet mindst en gang om ugen, nr. 3

Vejledning til rapport om udbud af spil 1/5

Aktindsigt Relevante lovregler

Tilbud til aktionærerne om tilbagekøb af B-aktier

Konstatering af overtrædelser

Digital post. AMU-nr

I af 12. december 2013 har I klaget over Kommunens overkørselstilladelse af 18. november 2013 til ejendommen O vej 36A.

Kanalstrategi en strategi for henvendelseskanaler til og fra kommunen [Udkast] Juni Natur og Udvikling

Afgørelse - klage over udgiftsfordeling til vedligeholdelse af Teglværksvej jeres j.nr

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Bilag A Databehandleraftale pr

Betingelser for Alka Tank&Tjen.

politik for FOA Nordsjælland

Indstilling. Århus Kommune Magistratsafdelingen for Sociale Forhold og Beskæftigelse

Tønder Kommunale Dagpleje. Handleplan ved bekymring for børns udvikling og trivsel

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Udfyldelsen af eespd som ansøger eller tilbudsgiver

FORTROLIGHEDSAFTALE

Transkript:

Tilslutningsinstruks Denne instruks udstikker de overordnede elementer og retningslinjer for tilslutning til digital post og NemSMS. Version: 2.0 Udarbejdet: november 2011 Udarbejdet af: Digitaliseringsstyrelsen Vejledningen og andre med samme relevans ligger på http://www.oes.dk/digitaliseringsstyrelsen/digital-post- NemSMS-og-fjernprint/Teknisk-dokumentation-ogvejledninger.

Indholdsfortegnelse 1. Introduktion til vejledningen... 2 2. Et kort overblik over løsningen... 3 3. Introduktion til Tilslutning til digital post og NemSMS... 4 4. Regler for Myndighedens anvendelse af løsningen... 5 4.1. Tilmelding og opdatering af stamdata for servicebeskedmodtagere og slutbrugere... 5 4.2. Udstilling af digital post... 8 4.2.1. Generisk betegnelse skal anvendes af portaler/myndighedshjemmesider... 8 4.2.2. Fuld portalvisning via iframe... 8 4.2.3. Udstilling af digital post funktionalitet på myndighedens portal via REST... 9 4.2.4. Indhold af SMS beskeder... 9 4.2.5. Afgørelser skal sendes i pdf... 10 4.2.6. Anvendelse af tilmeldingslister, herunder sletning... 10 4.2.7. Adgang til registeroplysning vedrørende mobiltelefonnummer11 5. e-boks Databehandlerinstruks... 12

1. Introduktion til vejledningen Denne instruks er henvendt til offentlige myndigheder, der vil anvende digital post og NemSMS til at kommunikere digitalt med borgere og virksomheder. Det er formålet, at denne instruks udstikker de overordnede elementer og retningslinjer for tilslutning til løsningen, mens der henvises til vejledningen: Tilslutning til digital post og NemSMS - for nærmere begrebsafklaring, roller og de konkrete processer for tilslutning af myndigheden. http://www.oes.dk/digitaliseringsstyrelsen/digital-post-nemsms-ogfjernprint/teknisk-dokumentation-og-vejledninger Dette er anden version af instruks til tilslutning til digital post og NemSMS. Første version blev udarbejdet af e-boks, og det er input fra denne vejledning der udgør størstedelen af denne vejledning. Imidlertid er instruksen blevet begrebsmæssigt og indholdsmæssigt ført up to date, ligesom der henvises til andre vejledninger, hvor dette er hensigtsmæssigt. Denne instruks indeholder således alene: Et kort overblik over løsningen. Introduktion til Tilslutning til digital post og NemSMS. Regler for myndighedens anvendelse af løsningen. e-boks databehandlerinstruks. Sikkerheden i løsningen. S i d e 2

2. Et kort overblik over løsningen Digital post/nemsms er en samlet kommunikationsløsning, hvor borger og virksomheder, via brugergrænseflader, som eksempelvis borger.dk og virk.dk, sikkert kan kommunikere digitalt med offentlige myndigheder og hvor myndigheden, får adgang til en administrationsportal, hvor de kan opsættes deres løsning. Dette er illustreret nedenfor: Figur 1. Digital post/nemsms giver mulighed for, at myndigheden kan integrere deres systemer til digital post løsningen via de snitflader, løsningen stiller til rådighed og dermed sende digital post til borgere eller virksomheder, så borgeren/virksomheden modtager sin post ét samlet sted. For yderligere information og inspiration til ibrugtagning af løsningen og om løsningen henvises generelt til Digitaliseringsstyrelsens hjemmeside: Se: http://www.oes.dk/digitaliseringsstyrelsen/digital-post-nemsms-og-fjernprint/ Her henvises særligt til menupunkterne: Til myndigheder. Teknisk dokumentation og vejledninger. S i d e 3

3. Introduktion til Tilslutning til digital post og NemSMS De konkrete processer for anmodning om tilslutning til løsningen, samt tilslutning og opsætning af løsningen er beskrevet i Tilslutning til digital post og NemSMS. Heri er også anført muligheden for at bestille konsulentydelser, samt processen for at få teknisk bistand og generel hjælp fra e-boks. Den senest opdaterede og gældende Tilslutning til digital post og NemSMS vil til enhver tid kunne findes og downloades på: http://www.oes.dk/digitaliseringsstyrelsen/digital-post-nemsms-og-fjernprint/ S i d e 4

4. Regler for myndighedens anvendelse af løsningen 4.1. Tilmelding og opdatering af stamdata for servicebeskedmodtagere og slutbrugere Myndigheden kan på borgerens/virksomhedens vegne og med borgens/virksomhedens samtykke - tilmelde og opdatere servicebeskedmodtagere og slutbrugere således: 1. Tilmelding af borger/virksomhed som servicebeskedmodtager. 2. Foreløbig tilmelding af borger/virksomhed som slutbruger af digital post. 3. Opdatering af stamdata for servicebeskedmodtager og slutbruger. 4. Opdatering af tilmeldinger for servicebeskedmodtager. Myndighedens tilmelding af en borger/virksomhed til at blive servicebeskedmodtager, myndighedens foreløbige tilmelding af en borger/virksomhed til at blive slutbruger, eller myndighedens opdatering af stamdata og tilmeldinger for slutbrugere eller servicebeskedmodtagere kan kun ske med samtykke fra den pågældende borger/virksomhed. Samtykket skal opfylde kravene til samtykke, som angivet i persondataloven. Dvs., det skal være viljesbestemt, specifikt, frivilligt og informeret. Heri ligger bl.a. at servicebeskedmodtageren skal tage stilling til, om tilmeldingen omfatter tilmelding til modtagelse af servicebeskeder fra alle myndigheder, der tilbyder dette og altså ikke alene fra jeres myndighed. På samme vis skal en slutbruger tage stilling til om den foreløbige tilmelding omfatter alle myndigheder eller alene jeres myndighed. Myndigheden er ansvarlig for at indhente samtykket. Der gælder ikke formkrav til et samtykke efter persondataloven, men I skal kunne dokumentere, at slutbruger har givet samtykke. Dokumentation af samtykke er nødvendigt som dokumentation ved behandling af en senere indsigelse. Ved indhentelse af samtykket skal myndigheden sikre sig, at det er den rigtige person, som afgiver oplysninger og samtykke. Dette kan f.eks. ske ved forevisning af billedlegitimation med CPR-nummer i forbindelse med personligt fremmøde. For virksomheders vedkommende skal der endvidere fremvises dokumentation for tegningsberettigelse. Ved indsamling af de oplysninger, der kræves for at blive tilmeldt som servicebeskedmodtager eller foreløbig tilmeldt som slutbruger, sker myndighedens indsamling på e- Boks vegne, idet e- Boks er dataansvarlig for stamdata og tilmeldingsprofiler. S i d e 5

Myndigheden indsamler stamdata, i henhold til instruks fra e-boks, på e-boks vegne. I myndighedens ansvar ligger krav til opfyldelse af oplysningspligten efter persondatalovens 28. I skal derfor sikre jer at de oplysninger der fremgår i bestemmelsen også bliver givet. Det betyder konkret, at borgeren /virksomheden skal have flg. oplysninger: Hvem er dataansvarlig? Hvad er formålet med indsamlingen? Til hvem videregives oplysningerne? Slutbruger har altid ret til indsigt i egne oplysninger. Slutbruger har krav på at få berigtiget forkerte oplysninger. Hvordan kan oplysninger om stamdata opdateres? Oplysningerne kan f.eks. gives ved at udlevere pjece A målrettet servicebeskedmodtagere og pjece B målrettet slutbrugere. Pjecerne kan hentes på Administrationsportalen (http://ekstranet.e-boks.dk). De kan frit kopieres. Myndigheden må ikke foretage en opdatering uden anmodning eller samtykke fra den pågældende servicebeskedmodtager/slutbruger. Samtykke skal i denne forbindelse forstås som en klar tilkendegivelse fra den pågældende om, at myndigheden foretager opdatering. Ved opdateringer via system-til-system-integration vil myndigheden få oplyst de sidste fire cifre i det mobilnummer, der er indeholdt i digital post/nemsms. Ved opdatering af e-mail-adresse i digital post/nemsms får myndigheden oplyst navn foran domænenavn. Hensigten med disse delvise oplysninger er, at myndigheden kan afklare med servicebeskedmodtageren eller slutbrugeren, om der er behov for opdatering eller om registreringen i digital post/nemsms i forvejen svarer til det, servicebeskedmodtageren eller slutbrugeren ønskede. A: Oversigt over procedure ved tilmelding af servicebesked modtager: Forudsætning Systemanvendelse Samtykke Hvornår er tilmelding effektiv Eget fagsystem via real-time Kræves Med det samme opdatering Medarbejder logget på Digital post/nemsmsbrugergrænseflade Kræves Med det samme tilmeldingsbrugergrænseflader med til decentral tilmelding medarbejdersignatur B: Oversigt over procedure ved foreløbig tilmelding af slutbruger: S i d e 6

Forudsætning Systemanvendelse Samtykke Hvornår er tilmelding effektiv Eget fagsystem via real-time opdatering Kræves Når slutbruger har logget på løsning med digital signatur og givet samtykke Medarbejder logget på tilmeldingsbrugergrænseflader Digital post/nemsms Kræves Når slutbru- med brugergrænseflade ger har logget medarbejdersignatur til decentral tilmelding på løsning med digital signatur og givet samtykke C: Oversigt over procedure ved opdatering af stamdata for servicebesked modtager og slutbruger: Forudsætning Systemanvendelse Samtykke Hvornår er Hvornår er opdatering opdatering af af e mail adresse mobilnummer effektiv effektiv Eget fagsystem via Kræves Ved ændring Ved ændring realtime af af slutbrugers slutbrugers SMS nummer e-mail adresse adviseres brugeren om ændringen, adviseres brugeren om ændringen, som brugeren skal bekræfte. som brugeren skal bekræfte. Medarbejder logget på tilmeldingsbrugergrænsefladen Digital Kræves Ved æn- Ved ændring med post/nemsms dring af af slutbrugers medarbejdersignatur brugergrænseflade slutbrugers SMS nummer S i d e 7

til decentral tilmelding e-mailadresse adviseres brugeren om ændringen, som brugeren skal bekræfte. adviseres brugeren om ændringen, som brugeren skal bekræfte. D) Oversigt over procedure ved opdatering af tilmeldinger for servicebeskedmodtager: Forudsætning Systemanvendelse Samtykke Hvornår er tilmelding effektiv Eget fagsystem via realtime Kræves Med det samme Medarbejder logget på Digital post/nemsms Kræves Med det samme tilmeldingsbrugergrænseflader med decentral tilmelding brugergrænseflade til medarbejdersignatur 4.2. Udstilling af digital post Myndigheden kan, jf. snitfladerne, udstille digital post på egen hjemmeside via fuld visning via iframe og/eller via udstilling af udvalgt digital post funktionalitet via RESTsnitfladen. Den udvalgte funktionalitet er fast defineret og fremgår af snitfladen. Blandt mulighederne er 10 seneste dokumenter og antal ulæste. 4.2.1. Generisk betegnelse skal anvendes af portaler/myndighedshjemmesider Digital post/nemsms skal navngives med det generiske navn Post. Hvis myndigheden ønsker at udstille servicen under andet generisk navn, skal e-boks godkendelse heraf indhentes på forhånd. Myndigheden skal tillige alene anvende denne betegnelse i kommunikationen overfor borgere og virksomheder. 4.2.2. Fuld portalvisning via iframe Myndighederne (gælder Virk.dk, Borger.dk og myndigheders hjemmesider) kan på egen hjemmeside iframe en fuld visning af digital post-løsningen. Hvis slutbruger har valgt at få vist dokumenter fra private afsendere i løsningen, ville disse også være indeholdt i den iframede løsning. Der henvises til snitfladebeskrivelserne for en nærmere teknisk fremgangsmåde for udstilling via iframe. For designguide henvises også til snitfladebeskrivelsen, der kan downloades på administrationsportalen. S i d e 8

4.2.3. Udstilling af digital post funktionalitet på myndighedens portal via REST Ved udstilling via portal får myndigheden adgang til følgende funktionalitet: Hente egne tilmeldinger for en slutbruger. Til- og afmelde egne tilmeldinger for en slutbruger. Se liste over seneste egne meddelelser for en slutbruger. Se antal ulæste egne meddelelser for en slutbruger. Myndigheden kan ved REST-integration vælge fx at tilbyde, at slutbruger får vist enten de 10 senest modtagne dokumenter fra alle offentlige afsendere eller de 10 seneste dokumenter afsendt fra jeres myndighed. Bemærk, at oplysninger om evt. dokumenter fra private afsender ikke kan trækkes via REST_snitfladen. Oplysninger om dokumenter og links til disse hentes fra slutbrugers digitale postkasse og links. Dokumenterne kan af sikkerhedsmæssige årsager ikke hentes via RESTsnitfladen, men skal altid vises i den iframede løsning. Da dokumenter og øvrigt indhold i slutbrugers digitale postkasse tilhører slutbruger, er det en forudsætning for visning af udsnit af dokumenter, at myndigheden indhenter slutbrugers samtykke til at hente dokumenterne i slutbrugers boks. Dette kan fx gøres ved, at jeres hjemmeside/snitflade/ indeholder en acceptformular, som kan accepteres af slutbruger ved afkrydsning/flueben. Visningen er således en aftale mellem jer og slutbruger, hvor slutbruger giver sit samtykke til, at I henter et udsnit af dokumenter i slutbrugers digitale postkasse. Myndigheden skal til enhver tid kunne dokumentere, at samtykke er indhentet. 4.2.4. Indhold af SMS beskeder Myndigheden er ansvarlig for indholdet af en SMS besked, ligesom myndigheden må vurdere om fremsendelse af påmindelse pr. SMS er den relevante påmindelsesform. En SMS-besked er ikke krypteret og modtager skal ikke bruge en nøgle eller anden identifikation for at tilgå meddelelsen. Dette medfører, at indholdet af en SMS er omfattet af begrænsninger. Du kan læse her hvilke regler Datatilsynet kræver, skal være opfyldt ved SMSkommunikation her: http://www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/offentligemyndigheders-kommunikation-med-borgerne-via-sms/ S i d e 9

Myndigheden skal påse, at kommunikation kan sendes digitalt. Når en borger/virksomhed har tilmeldt sig at kommunikere digitalt med myndigheden, er udgangspunktet, at myndigheden kan kommunikere digitalt med borgeren/virksomheden. Myndigheden er dog ansvarlig for at identificere områder, hvor særlige lovgivningskrav medfører, at en given kommunikation ikke kan ske digitalt men skal ske i papirform. 4.2.5. Afgørelser skal sendes i pdf Ombudsmanden har den 21. oktober 2009 udtalt, at forvaltningsafgørelser ikke må sendes i word-format. I stedet skal afgørelser sendes i uredigerbart pdf- format eller i tiff format. Ombudsmanden har ikke herved taget stilling til, om disse formater i alle tilfælde er tilstrækkelige eller i nogle tilfælde er ekstrasikringer. Ombudsmandens udtalelse er tilgængelig i sin fulde ordlyd på Ombudsmandens hjemmeside. Opmærksomheden henledes endvidere på konklusionspapir af 29. januar 2010, som et flertal af folketingets partier har udstedt som opfølgning på folketingsbeslutning B 103: Ikke-redigerbare dokumenter Alle offentlige myndigheder vil med virkning fra 2010 være forpligtede til at afsende dokumenter til borgere og virksomheder, der skal læses, men ikke redigeres, i PDF/A- 1. Det samme gælder, når myndigheder publicerer dokumenter, der skal læses og ikke redigeres, på myndighedernes hjemmesider. Konklusionspapiret omfatter efter sin ordlyd alle dokumenter, der ikke skal kunne redigeres, skal sendes i pdf. Dette gælder således også ikke-afgørelsesdokumenter. 4.2.6. Anvendelse af tilmeldingslister, herunder sletning I forbindelse med myndighedernes anvendelse af tilmeldingslister med tilmeldte slutbrugere, som modtages fra e-boks ift., at myndigheden kan styre sine forsendelser, er der en række krav til myndighedernes behandling af disse lister. Myndigheden skal leve op til god databehandlingsskik og således sikre at kun de relevante medarbejdere, der forestår afvikling af forsendelser, har adgang til tilmeldingslisten. Hvis myndigheden har modtaget et udtræk af tilmeldingslisten indeholdende de konkret relevante CPR-numre/CVR-numre, er det et vilkår, at myndigheden efter an- S i d e 1 0

vendelsen sletter tilmeldingslisten. Hvis myndigheden modtager såkaldte deltalister, er det et vilkår, at myndigheden rekvirerer sådanne forud for hver udsendelse. 4.2.7. Adgang til registeroplysning vedrørende mobiltelefonnummer Myndigheden har mulighed for mod betaling, jf. bilag 3, at tegne registerabonnement ift. at myndighederne via såvel enkelte REST-kald og tilmeldingslister kan få oplyst slutbrugers fulde mobil-telefonnummer med henblik på, at myndigheden selv formidler servicebesked til slutbruger. Der er en række regler for anvendelse af disse telefonnumre: myndigheden skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Myndigheden skal herunder påse, at de indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål hvortil oplysningerne behandles. Dette vil være yderligere præciseret i særskilt databehandlingsaftale mellem myndigheden og e-boks om anvendelse af registerabonnement. Der henvises til Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001 om foranstaltninger til beskyttelse af personoplysninger. Hvis e-boks konstaterer problemer med et mobilnummer eller at et mobilnummer ikke længere er aktivt, gøres mobilnummeret inaktivt i digital post/nemsms. Myndigheden skal endvidere være opmærksom på, at mobilnumre ikke kan garanteres at være ajourførte. Myndigheden skal være opmærksom på, at mobilnumre udelukkende må bruges til afsendelse af servicebeskeder med de indholdstyper, der fremgår af myndighedens opsætning i digital post/nemsms og som slutbrugeren, har givet samtykke til at modtage. Ved at abonnere på registret opnår myndigheden således muligheden for selv af forestå udsendelse af SMS-beskeder, men stadigvæk med fast definerede indholdstype. Myndighedens anvendelse af registerabonnement kræver, at der indgås særskilt databehandlings-aftale med e-boks. S i d e 1 1

5. e-boks Databehandlerinstruks A) Instruks fra Myndigheden til e-boks vedrørende behandling af indholdsdata (dokumenter/indhold) e-boks handler som databehandler og myndigheden som dataansvarlig i henhold til lov om behandling af personoplysninger 42, når e-boks behandler indholdsdata i forbindelse med myndighedens forsendelser til digital post og indtil data er leveret til en slutbruger, som har accepteret slutbrugervilkår. Ved underskrift på tilslutningsaftalen anerkender myndigheden, at personoplysninger i form af dokumenter og indhold fra myndighedssystemer, til digital post, der leveres til e-boks i forbindelse med denne tilslutningsaftale (herefter benævnt indholdsdata) kan behandles: (i) af e-boks i overensstemmelse med lov om behandling af personoplysninger, og (ii) af e-boks' under-leverandører i forbindelse med levering, installation, drift, support og vedligeholdelse af digital post. Reglerne i 41, stk. 3-5 i lov om behandling af personoplysninger skal tillige være gældende for e-boks. e-boks behandling af indholdsdata må i øvrigt alene ske efter instruks fra den dataansvarlige, jf. 42, stk. 2 i lov om behandling af personoplysninger. Som led i denne instruks skal: e-boks træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Der henvises til Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001 om foranstaltninger til beskyttelse af personoplysninger. e-boks A/S må på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, jf. punkt 7 i Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001. Bestemmelserne i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 tillige med de ændringer hertil, der senere måtte blive vedtaget) om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen), ligeledes være gældende for e-boks. Der henvises i øvrigt til tilslutningsaftalens pkt. 18. S i d e 1 2

B ) Instruks fra e-boks til Myndigheden vedrørende indsamling og behandling af stam-data (CPR-numre, tilmeldinger i POST, mobiltelefonnumre og e-mail-adresser etc.) I forbindelse med indsamling og behandling af stamdata i digital post/nemsms registret, over personnumre, mobiltelefonnumre, e-mail-adresser samt tilmeldingspræferencer m.v., er e-boks dataansvarlig for alle data i systemet. e-boks indsamler stamdata direkte fra slutbrugeren ved dennes oprettelse af digital post/nemsms i henhold til brugervilkårene. Løsningen implementerer ligeledes en efterfølgende proces, hvorved en borger kan møde op hos myndigheden og efter identifikation få opdateret stamdata i digital post/nemsms. Borger kan dog ikke oprette sig som slutbruger af digital post direkte hos myndigheden, men skal bekræfte sin tilmelding ved at logge ind på digital post på borger.dk Myndigheden kan initialt indsamle stamdata fra en slutbruger, der alene ønsker at blive oprettet som servicebeskedmodtager. Ved oprettelse af en servicebeskedmodtager, skal myndigheden sikre tilstrækkelig identifikation af slutbrugeren samt indhente samtykke i overensstemmelse med reglerne i Persondataloven. Ændringer til stamdata kan enten foretages i myndighedssystemer, som anvender Dokument-boks system-til-system snitflader eller i en brugergrænseflade, som stilles til rådighed af e-boks og hvor myndighedsmedarbejderen identificeres ved hjælp af medarbejdercertifikat. Det er myndighedens ansvar at sikre identiteten af og administrere de medarbejdere, som gives adgang til myndighedssystemer eller tildeles rettigheder til at tilgå brugergrænsefladen til redigering af stamdata. Myndigheden optræder i forbindelse med nærværende løsning i enhver henseende som databehandler, og skal handle i overensstemmelse med denne instruks. Myndigheden optræder i forbindelse med nærværende løsning i enhver henseende som databehandler, og skal handle i overensstemmelse med denne instruks. Ved overtrædelser af denne instruks finder reglerne i afsnit 9 i Tilslutningsaftalen anvendelse. S i d e 1 3

Myndigheden skal til enhver tid kunne dokumentere, at tilstrækkelig identifikation af slutbruger er foretaget i forbindelse med opdatering af stamdata i digital post/nemsms. Myndigheden skal til enhver tid, og uden vederlag, lade e-boks revision gennemgå myndighedens procedurer, der er knyttet til løsningen. Ved opdatering af stamdatadata skal myndigheden tilsikre, at opdatering sker på slutbrugerens foranledning og at slutbrugeren informeres tilstrækkeligt om konsekvenserne af opdateringen. Når ny stamdata indsamles, eller eksisterende stamdata revideres, indestår myndigheden for at informere slutbruger om behandlingen af stamdata og/eller sikre, at slutbruger har givet deres samtykke til behandling i overensstemmelse med gældende lovgivning om databeskyttelse. Myndigheden bekræfter ved den tegningsberettigedes underskrift på tilslutningsaftalen, at myndigheden efterlever og lever op til reglerne i 41, stk. 3-5 i lov om behandling af personoplysninger i forbindelse med indsamling og overladelse til e-boks af indsamlet stamdata. Myndigheden skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Der henvises til Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001 om foranstaltninger til beskyttelse af personoplysninger. Myndigheden skal på den dataansvarliges anmodning give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, jf. punkt 7 i Datatilsynets sikkerhedsvejledning nr. 37 af 2. april 2001. Sikkerheden i løsningen Denne instruks om tilslutning tjener også som sikkerhedsinstruks for myndighedens anvendelse af digital post/nemsms. Sikkerheden i løsning er baseret på anvendelsen af OCES, hvor vedligeholdelsen af gyldige certifikater og tilknytning af myndighedens medarbejdere til digital post/nemsms roller påhviler myndigheden. Myndigheden har ansvaret for, at certifikat, der er anført på et afsendersystem, er ægte og gyldigt. Det er således myndighedens ansvar at sikre at anføre et andet certifikat, hvis certifikat af en eller anden grund bliver ugyldigt. Kryptoudstyr i digital post/nemsms er afgrænset til brugen af protokoller i sikker e-post (S/MIME protokol) og SMS notifikation (GSM), samt lukkede linjer mellem myndighed og digital S i d e 1 4

post/nemsms. SMS er underlagt svag kryptering, og brugen af SMS bør derfor være afstemt herefter og ikke indeholde følsomme eller fortrolige oplysninger. Herudover indgår der ikke kryptering af fysiske netværk eller hardware i digital post/nemsms. Myndighedens tilslutning giver ikke ret til at anvende digital post/nemsms til kommunikation af informationer, som er omfattet af bestemmelserne i Statsministeriets sikkerhedscirkulære af 7. december 2001. S i d e 1 5

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback