Bruksvilkår for Difis fellesløsninger

Difi har samlet sine bruksvilkår for fellesløsningene i et og samme dokument. Det vil si at virksomhetene bare signerer et dokument for å ta i bruk fellesløsningene. Bruksvilkåret er strukturert slik at det først kommer en overordnet del for fellesløsningene, mens hver fellesløsning har hvert sitt kapittel. Kapittelet er ikke gjeldende for virksomheten før fellesløsningen er tatt i bruk. Versjon 1.0 gjeldende fra 20.08.2018.

 

1. Generelle bruksvilkår for Difis fellesløsninger

Difi forvalter flere nasjonale fellesløsninger som offentlige virksomheter (heretter benevnt som «Kunde») skal[1] eller kan benytte for å tilby bedre tjenester og effektivisere driften.

Disse bruksvilkårene for Difis fellesløsninger gjelder for alle fellesløsningene.  Vilkårene er bygget opp med ett kapittel som gjelder alle løsninger og deretter ett kapittel per løsning.  Difi er forpliktet til å levere i samsvar med bruksvilkårene når bemyndiget person hos kunden har signert avtaledokumentet. Kapittel som gjelder de enkelte løsningene trer i kraft når kunden tar de enkelte løsningene i bruk.

  1. 1.1 Virksomheter som kan benytte fellesløsningene

Følgende virksomheter kan benytte seg av fellesløsningene:

Offentlig virksomhet og virksomheter som utfører oppgaver på vegne av, og som helt eller delvis er finansiert av, det offentlige. Dette omfatter blant annet alle sentrale og lokale statlige organer, herunder tilsyn, ombud og direktorater, alle fylkeskommuner, kommuner og kommunale etater, samt offentlig eide selskaper som bare leverer tjenester til det offentlige (egenregi). I tillegg omfattes private virksomheter som treffer vedtak etter forvaltningsloven, og private virksomheter som yter tjenester etter avtale med og på vegne av det offentlige, men da begrenset til den delen av virksomheten som omfattes av forvaltningsloven eller utføres på vegne av det offentlige.

Det skal også være mulig å knytte til andre virksomheter eller utøvere av aktiviteter, som ikke faller direkte inn under avgrensningene ovenfor, men som likevel må anses som offentlig virksomhet. Offentlig virksomhet må i denne sammenheng avgrenses mot virksomhet som anses som ervervsvirksomhet i henhold til konkurranse- og statsstøtteregelverket. Relevante momenter i denne vurderingen vil blant annet være om virksomheten faller inn under forvaltningslovens og/eller offentlighetslovens virkeområde, om de aktuelle tjenester utøves i allmennhetens interesse, om tjenestene tilbys i konkurranse med private aktører, om det offentlige helt eller delvis finansierer tjenestene, og om det tas betalt for tjenestene fra sluttbrukerne utover det som er nødvendig for dekning av utøverens kostnader.

Det er Difi som avgjør om en virksomhet kan benytte fellesløsningene.

Statsaksjeselskaper og offentlig eide virksomheter som helt eller delvis driver i konkurranse med private virksomheter, kan ikke benytte fellesløsningene, med mindre de treffer vedtak etter forvaltningsloven eller utfører oppgaver på vegne av, og helt eller delvis finansiert av det offentlige, men da begrenset til den delen av virksomheten som omfattes av forvaltningsloven eller utføres på vegne av det offentlige.

  1. 1.2 Finansiering

Videreutvikling, finansiering og drift av fellesløsningene sentralfinansieres gjennom Difi.

Det kan påløpe brukskostnader på fellesløsningene. Dette skjer i samsvar med den til enhver tid gjeldende prisliste for fellesløsninger fra Difi som finnes på samarbeidsportalen (*lenke).

Kunden faktureres for bruk av fellesløsningene per kvartal. Kunden faktureres i EHF-formatet. Kunden skal oppgi ett fakturamottak.

Kunden betaler selv for tilleggstjenester som bestilles i samsvar med gjeldende prisliste.

Kundens kostnader med integrasjon mot fellesløsningene dekkes av kunden selv. Dette gjelder også bistand fra Difis underleverandører når dette er bestilt som tilleggstjeneste.

        1.3 Samarbeid

Det er opprettet flere samarbeidsorganer for å gi kundene mulighet til å delta i den videre utvikling av fellesløsningene.

1.3.1  Samarbeidsportal

Samarbeidsportalen er den primære informasjons- og varslingskanalen fra Difi om fellesløsningene. Difi forvalter og drifter samarbeidsportalen.

Samarbeidsportalen inneholder blant annet oppdatert teknisk dokumentasjon, kontaktinformasjon, driftsinformasjon, møteinnkallinger og -referater og relevante rapporter og statistikker.

Kunden får tilgang til samarbeidsportalen når bruksvilkårene er godtatt.

Kunden har ansvar for å holde listen over kontaktpunkter i egen virksomhet og annen påkrevd informasjon om egne tjenester oppdatert i samarbeidsportalen. Spesielt viktig er varslingspunkt for kundens tjenester, da dette varslingspunktet vil motta varsler fra Difi ved kritiske og alvorlige hendelser.

1.3.2 Styringsråd

Styringsrådet er et rådgivende organ for Difi og skal særlig behandle viktige saker vedrørende fellesløsningene. Mandat for styringsrådet for Difis fellesløsninger er tilgjengelig på samarbeidsportalen.  

1.3.3  Brukerråd

Brukerrådet skal diskutere status, endringsønsker og videreutviklingsprosjekter for fellesløsningene, samt annet av relevans for kundenes bruk av fellesløsningene. Mandat for brukerrådet for Difis fellesløsninger er tilgjengelig på samarbeidsportalen.

1.3.4  Integrasjons- og sikkerhetsforum

Integrasjons- og sikkerhetsforumet skal bidra til å holde integrasjons- og sikkerhetsansvarlig hos kundene oppdatert på tekniske forhold ved fellesløsningene. Mandat for integrasjons- og sikkerhetsforumet for Difis fellesløsninger er tilgjengelig på samarbeidsportalen.

1.3.5  Brukerstøtteforum

Brukerstøtteforum skal bidra til å effektivisere og koordinere brukerstøtten overfor sluttbruker og er et forum for informasjons- og erfaringsutveksling mellom Difis og kundenes brukerstøttefunksjoner. Mandat for brukerstøtteforumet for Difis fellesløsninger er tilgjengelig på samarbeidsportalen.

  1. 1.4 Difis oppgaver

  2. 1.4.1  Difis overordnede oppgaver

Difi har ansvaret for forvaltning, drift og videreutvikling av fellesløsningene.

Difi skal ivareta kundenes interesser på en god måte og skal i drift og videreutvikling av fellesløsningene søke å ivareta kundenes samlede og omforente behov.

1.4.2 Difis oppgaver i ordinær drift

Planer og rapporter

Difi skal sørge for at kunden får god informasjon om aktuelle saker, tema og aktiviteter knyttet til fellesløsningene. Informasjon presenteres på samarbeidsportalen. I tillegg vil det bli gitt informasjon ved møter i de fora som er beskrevet i kapittel 1.3.

Difi vil utarbeide følgende planer og rapporter:

Årsplan

På bakgrunn av innspill fra kundene, se punkt 1.5.2, skal Difi utarbeide og holde oppdatert en årsplan. I årsplanen skal høyvolumperioder, kritiske perioder og andre aktiviteter som krever særskilt oppmerksomhet i forvaltningen av fellesløsningene, inngå. Årsplanen er tilgjengelig på samarbeidsportalen.

Leveranseplan

Difi skal utarbeide en leveranseplan som gir en oversikt over leveransene som er planlagt for fellesløsningene. Leveranseplanen viser planlagte nye versjoner og planlagt ny funksjonalitet for fellesløsningene. Leveranseplanen er tilgjengelig på samarbeidsportalen.

Månedsrapport

Difi skal månedlig utarbeide en statusrapport for fellesløsningene. Rapporten skal blant annet inneholde statistikk for bruk av fellesløsningene, tilgjengelighet og responstider, og gi en oversikt over registrerte hendelser i perioden.

Rapporten gjøres tilgjengelig på samarbeidsportalen innen den 20. i påfølgende måned.

Årsrapport

Difi skal utarbeide en årsrapport for fellesløsningene. Rapporten skal blant annet inneholde statistikk for bruk, tilgjengelighet og responstider, og gi en oversikt over registrerte hendelser gjennom året.

Årsrapporten skal publiseres på samarbeidsportalen innen 30. januar påfølgende år.

Informasjon til sluttbruker

Difi skal utarbeide og fortløpende oppdatere brukerrettet informasjon om fellesløsningene som kunden skal benytte i sin kontakt med sluttbrukerne. Informasjonen kan gjøres tilgjengelig på kundens nettside og/eller i eget informasjonsmateriell (brosjyrer, brukerveiledninger med mer). Oppdatert informasjonsmateriell er tilgjengelig på samarbeidsportalen.

Brukerstøtte

Difi drifter en sluttbrukerorientert brukerstøtte for fellesløsningene. Brukerstøtten besvarer spørsmål fra sluttbruker vedrørende bruk av fellesløsningene og videreformidler og håndterer innrapporterte hendelser.

Åpningstidene for brukerstøtten er ordinære virkedager kl. 08.00-15.30. Onsdag før skjærtorsdag, julaften og nyttårsaften er åpningstiden kl. 08.00-12.00. I romjulen er åpningstiden kl. 09.00-15.00.

Ved henvendelser til brukerstøtte på telefon skal sluttbruker normalt få kontakt med en operatør innen 50 sekunder. Ved henvendelser på e-post skal sluttbrukeren normalt få svar innen en virkedag.

Planlagte endringer

Difi kan endre tjenestene som inngår som en del av fellesløsningene. Slike endringer kan typisk være forbedring av funksjonalitet, endring i grensesnittet mot kunde, oppgradering av programvare og maskinvare og mindre endringer i tjenestenivå.

Gjennomføring av endringer skal være planlagt. I forbindelse med planlagte endringer skal det utarbeides risiko- og konsekvensanalyse av endringen, testprosedyrer for endringen samt en detaljert aktivitets- og tidsplan, med mindre dette vil være urimelig i forhold til endringens omfang og kompleksitet.

Difi skal sørge for at kunden får informasjon om endringer som kan ha betydning for kunden. Dersom endringen påvirker kundene, skal det så langt som mulig tas hensyn til kritiske perioder for berørte kunder. Informasjon om planlagte endringer legges ut på samarbeidsportalen.

Hasteendringer

Dersom det inntreffer en hendelse som medfører at tjenestene som inngår som en del av fellesløsningene ikke kan driftes tilfredsstillende og i tråd med vilkårene, har Difi rett og plikt til å gjennomføre hasteendringer for å gjenopprette ordinær drift.

Hvis hasteendring igangsettes uten risiko- og konsekvensvurdering, skal Difi gjøre slik vurdering i ettertid. Resultater av risiko- og konsekvensvurderinger av hastendringer skal gjøres tilgjengelig på samarbeidsportalen.

Hvis det avdekkes risiko for at det kan inntreffe hendelser som følge av hasteendringen, skal det gjennomføres tester for å avdekke dette, og relevante tiltak skal iverksettes.

  1. 1.4.3 Difis oppgaver ved videreutvikling av fellesløsninger (større funksjonelle endringer)

Difi har ansvar for å styre og koordinere videreutvikling av fellesløsningene.

Difi skal under planlegging av ny større funksjonalitet i fellesløsningene involvere brukerrådet. Ved behov kan det opprettes en referansegruppe, hvor styringsrådets medlemmer og eventuelt andre kunder inviteres til å delta.

Styringsrådet skal behandle konkrete forslag for utvikling av ny større funksjonalitet med tilhørende finansieringsplan før et utviklingsprosjekt besluttes iverksatt.

  1. 1.4.4 Hendelseshåndtering

Prioritering av hendelser etter alvorlighetsgrad

En hendelse er et ikke planlagt avbrudd eller reduksjon i kvalitet i en tjeneste i en fellesløsning.

Alle hendelser skal registreres i Difis saksflytverktøy og prioriteres etter alvorlighetsgrad, i forhold til risiko for redusert kvalitet på tjenesten i en fellesløsning og mulige følger av hendelsen.

Difi benytter følgende kategorier, dvs. alvorlighetsgrader, ved hendelseshåndtering:

Kategori

Beskrivelse

A - Kritisk

 

En hendelse skal kategoriseres som kritisk dersom hele eller vesentlige deler av en fellesløsning er utilgjengelig, og det ikke finnes en midlertidig løsning på hendelsen. En hendelse skal alltid kategoriseres som kritisk dersom sikkerheten i løsningen er betydelig svekket, eller dersom det er et sikkerhetsbrudd som er omdømmekritisk for en av partene.

B - Alvorlig

En hendelse skal kategoriseres som alvorlig dersom hendelsen medfører redusert tilgjengelighet og/eller sikkerhet som gjør arbeidet vanskeligere for sluttbrukeren av fellesløsningen og/eller kunden. Det kan finnes en midlertidig løsning på den alvorlige hendelsen.

C - Mindre alvorlig

 

En hendelse skal kategoriseres som mindre alvorlig dersom hendelsen har liten betydning for sluttbrukeren av fellesløsningen og/eller kunden, og hendelsen kan løses innen gitte frister. Det finnes en midlertidig løsning, og partene kan akseptere hendelsen i en kortere periode.

Tilgjengelighet og responstid

Difi har beredskap for å håndtere kritiske og alvorlige hendelser 24 timer/7 dager i uken/365 dager i året.

Varsling ved hendelser

Etter at Difi har identifisert og kategorisert en hendelse, blir den varslet på samarbeidsportalen.

Varsling til kundene for øvrig skjer i henhold til gjeldende rutiner etter hendelsens kategori. Ved kritiske og alvorlige hendelser får kundens varslingspunkt for tjenesten varsel om hendelsen. Difi informerer kundene om videre håndtering.

Fortløpende informasjon om hendelser gis på samarbeidsportalen, som er hovedkanalen for varsling og kommunikasjon mot kundene.

Dersom hendelsen involverer kunden, plikter kunden å være tilgjengelig for Difi for best mulig håndtering av hendelsen.

Håndtering av informasjon ved hendelser

Ved hendelser knyttet til fellesløsningene skal Difi håndtere informasjon overfor sluttbruker og presse med mindre partene avtaler noe annet for det enkelte tilfellet.

  1. 1.4.5 Krise- og beredskapsplaner

Difi skal påse at det foreligger krise- og beredskapsplaner for drift av fellesløsningene og at slike planer også er etablerte og oppdaterte hos Difis leverandører.

  1. 1.4.6 Tilleggstjenester

Kunden kan bestille tilleggstjenester etter behov. Kunden betaler selv for de tilleggstjenester som bestilles. Beskrivelse, priser og betingelser for alle tilleggstjenester fremgår av vedlegget Tilleggstjenester.

  1. 1.5 Kundens oppgaver

    1.5.1 Kundens oppgaver ved integrasjon

Kunden skal følge integrasjonskrav og etablerte standarder som fastsatt av Difi, se nærmere beskrivelse i spesielle bruksvilkår for den enkelte fellesløsningen. Kunden skal stille med nødvendig kompetanse og dekke egne kostnader for å gjennomføre eget arbeid i forbindelse med integrasjonen mot fellesløsningene.

Kunden er ansvarlig for sikkerheten i egne tjenester. Kunden skal gjennomføre risikovurdering for hver tjeneste som ønskes tilknyttet fellesløsningene. Risikovurderingene skal på forespørsel fremlegges for Difi.

Før tjenestene kan gå i produksjon, skal kunden ha testet integrasjonen mot fellesløsningene i henhold til integrasjonskravene i de relevante spesielle bruksvilkår.

  1. 1.5.2 Planer og informasjon


Informasjon og markedsføring

Kunden er ansvarlig for informasjon om og markedsføring av egne tjenester som er tilknyttet fellesløsningene. Kunden skal benytte brukerrettet informasjon utarbeidet av Difi som beskrevet i punkt 1.4.2. Difi skal varsles ved planlagte kampanjer eller utsending av informasjon som Difi blir involvert i eller berørt av.

Kundens tjenester

Kunden skal til enhver tid sørge for at Difi har oversikt over kundens tjenester som er tilknyttet fellesløsningene.

Alle tjenestene skal tidfestes og kort beskrives. Kundegruppe, estimert bruksvolum og kundens angivelse av eventuell periode hvor det er kritisk for tjenesten å ha høy tilgjengelighet, skal oppgis.

  1. 1.5.3 Nye eller endrede tjenester

Kunden skal fortløpende informere Difi om eventuelle endringer knyttet til kundens tjenester, herunder vesentlige endringer i estimert bruksvolum.

  1. 1.5.4 Andre endringer hos kunden

Dersom kunden planlegger endringer i egne systemer som vil påvirke integrasjonen mot fellesløsningene, skal kunden varsle Difi i god tid. Partene skal i fellesskap planlegge hvordan endringene skal implementeres med sikte på minst mulig belastning og forstyrrelser for fellesløsningene.

Kunden må stille med nødvendig kompetanse for å gjennomføre eget arbeid i forbindelse med integrasjonen mot fellesløsningene. Kunden dekker selv alle kostnader ved integrasjon og gjennomføring av endringer i egne systemer.

  1. 1.5.5 Brukerstøtte

Kunden skal ha nødvendig brukerstøtte overfor sluttbruker for egne tjenester.

  1. 1.5.6 Varsling

Kunden skal så raskt som praktisk mulig informere Difi om hendelser i tilknytning til fellesløsningene eller i egne tjenester som kan ha betydning for fellesløsningene. Difis kontaktpunkt for slike meldinger fremgår på samarbeidsportalen.

Dersom det oppstår en kritisk eller alvorlig hendelse hos kunden, kan Difi koble tjenesten fra fellesløsningene inntil kunden har dokumentert overfor Difi at hendelsen er utbedret, eller relevante tiltak er iverksatt.

  1. 1.5.7 Krise- og beredskapsplaner

Kunden skal ha nødvendige krise- og beredskapsplaner.

  1. 1.6 Innsyn og revisjon

Difi skal gjennom revisjon og verifikasjon sikre at tilknyttede leverandører overholder avtalte forpliktelser.

Difi skal på forespørsel fremlegge dokumentasjon fra gjennomførte revisjoner av fellesløsningene dersom kunden ved kvalitetsrevisjon eller sertifisering av egne tjenester, eller i forbindelse med etterlevelse av rettslige forpliktelser, etterspør dette. Kunden kan også be om ytterligere informasjon og bistand i henhold til de avtaler Difi har med sine leverandører.

I samråd med styringsrådet kan det opprettes en revisjonskomité bestående av utvalgte kunder. Revisjonskomitéens mandat fastsettes ved opprettelse.

  1. 1.7 Ansvar for underleverandører

Dersom en av partene engasjerer underleverandører til å utføre oppgaver som følger av disse bruksvilkår for Difis fellesløsninger eller spesielle bruksvilkår for den enkelte fellesløsning, er parten fullt ut ansvarlig for utførelsen av disse oppgavene på samme måte som om parten selv stod for utførelsen.

  1. 1.8 Informasjonssikkerhet

Difis fellesløsninger og programvare skal ivareta grunnleggende krav til informasjonssikkerhet, jf forskrift om informasjonssikkerhet § 5-1. Kunden har selv ansvar for sikkerheten i egne systemer, herunder den installerte programvaren.

Difi skal gjennom risikovurderinger, revisjoner og godkjenningsordninger sikre at fellesløsninger og programvare har sikkerhet som står i samsvar med risikoen. Sikkerhet i programvare blir ivaretatt med kryptering av data, sikring av konfidensialitet, integritet og tilgjengelighet i systemer, rutiner for testing og evaluering av tekniske og organisatoriske tiltak for å opprettholde sikkerheten.

Difi følger ISO 27001. Kunden skal på forespørsel få innsyn i Difis dokumentasjon.

 

2. ID-porten

ID-porten er et samlebegrep for offentlig sektors fellesløsninger for identitetshåndtering og bruk av e-ID. Bak de funksjonelle løsningene i ID-porten ligger det flere tekniske løsninger, og ID-porten må ikke oppfattes som betegnelsen på en bestemt teknisk løsning. ID-porten omfatter også avtaler som er inngått av Difi for levering av felles e-ID-løsninger til det offentlige, herunder tjenester som kan integreres direkte med den enkelte kunde.

2.1  Leverandører

Drift av ID-porten leveres av EVRY Norge AS.

2.2  e-ID-er tilknyttet ID-porten

Offentlige e-ID-er og de e-ID-er Difi til enhver tid har avtale med, kan benyttes til elektronisk identitetshåndtering gjennom ID-porten.

Difi er avtalepart overfor eksterne e-ID-leverandører, og gjennom avtalen med Difi kan kunden benytte leverandørenes e-ID-er i ID-porten.

Følgende e-ID-er kan benyttes i ID-porten:

  • MinID – offentlig e-ID på mellomhøyt sikkerhetsnivå, nivå 3
  • BankID – e-ID på høyt sikkerhetsnivå, nivå 4, levert av BankID Norge AS
  • BankID på mobil - e-ID på høyt sikkerhetsnivå, nivå 4, levert av BankID Norge AS
  • Buypass og Buypass ID i mobil – e-ID på høyt sikkerhetsnivå, nivå 4, utstedt av Buypass AS
  • Commfides – e-ID på høyt sikkerhetsnivå, nivå 4, utstedt av Commfides Norge AS.

 

2.3 Prinsipper for bruk av e-ID i ID-porten

Bruk av e-ID via ID-porten skal bygge på to hovedprinsipper, brukervennlighet og likebehandling.

Brukervennlighet for sluttbrukeren ivaretas ved at:

  • Bruk av tilknyttede e-ID-er i ID-porten er i utgangspunktet gratis for sluttbruker. Sluttbruker skal fritt kunne velge blant tilknyttede e-ID-er som tilfredsstiller kravene til sikkerhetsnivå for den aktuelle tjenesten.
  • e-ID-er på et sikkerhetsnivå skal også kunne benyttes for tilgang til tjenester som krever et lavere sikkerhetsnivå.
  • ID-porten skal tilby ett brukergrensesnitt for valg av tilknyttede e-ID-er.

For å sikre en effektiv tjenesteproduksjon med høy kvalitet på tjenestene overfor sluttbruker, er det av avgjørende betydning at de tilknyttede e-ID-er behandles likt. Likebehandling ivaretas ved at:

 

2.4 Tjenester som tilbys gjennom ID-porten

2.4.1  Autentisering av sluttbrukere

Beskrivelse av funksjonalitet

ID-porten skal ved autentisering av sluttbruker tilby kunden en enhetlig autentisering som er uavhengig av hvilken e-ID sluttbruker foretrekker, forutsatt at valgt e-ID tilfredsstiller sikkerhetsnivået som er påkrevd for tilgang til den aktuelle tjenesten.

ID-porten er et selvstendig tillitsanker i den forstand at ID-porten tar et selvstendig ansvar for den påstanden (fødselsnummer) som fremsettes overfor kunden. Kunden baserer innloggingen til sin tjeneste på opplysningene fra ID-porten og ikke på noen bestemt e-ID-leverandør.

e-ID-leverandøren er ikke involvert i kommunikasjonen mellom ID-porten og kunden. Ved behov vil ID-porten kunne initiere en ny autentisering ved bruk av en valgt e-ID. e-ID-leverandøren holder ikke statusinformasjon om eksisterende pålogginger, slik at e-ID-leverandøren vil håndtere dette som om sluttbrukeren tidligere ikke var autentisert.

Både kundens tjenester og ID-porten vil ha påloggingsinformasjon knyttet til autentiseringen. På bakgrunn av dette kan det tilbys verdiøkende tjenester som engangspålogging (single sign-on) på tvers av offentlige tjenester når dette er sikkerhetsmessig akseptabelt, samt policymessig styring av behov for ny autentisering, for eksempel dersom det har gått for lang tid siden autentisering ble foretatt.

Behandling av personopplysninger ved autentisering av sluttbrukere

Difi er behandlingsansvarlig for behandling av personopplysninger i ID-porten i forbindelse med autentisering.

Ved autentisering lagrer og videreformidler Difi sluttbrukers fødselsnummer, sikkerhetsnivå for gjennomført autentisering, sluttbrukers språkvalg og hvilken e-ID som ble benyttet for autentiseringen. Difi lagrer opplysningene om autentisering i ett år.

Kunden er behandlingsansvarlig for opplysninger om autentiseringsoperasjoner som utleveres fra ID-porten i forbindelse med autentisering av sluttbrukere.

Kunden må ha lovlig grunnlag for å behandle fødselsnummer i henhold til personopplysningsloven § 12.

Kunden skal påse at det bare er ansatte med tjenstlige behov som har tilgang til de personopplysninger som utleveres fra ID-porten.

2.4.2  Single sign-on

Der det ut fra en sikkerhetsmessig vurdering er akseptabelt, vil ID-porten tilby engangspålogging (single sign-on), slik at sluttbruker får tilgang til tjenester på tvers av kundene gjennom én pålogging til ID-porten.

For den enkelte kunde vil grensesnittet mot ID-porten være det samme enten sluttbruker autentiseres på nytt mot ID-porten eller single sign-on funksjonaliteten brukes. Kunder som ikke ønsker single sign-on for enkelte av sine tjenester, kan reservere den enkelte tjeneste mot å inngå i denne funksjonaliteten. Reservasjonen må ha saklig grunn.

Anonymisert pålogging

I noen tjenester kan det være behov for å sikre autentisering av innbygger, men at innbygger likevel ikke skal identifiseres av tjenesten. ID-porten tilbyr anonym innlogging.

API-sikring

ID-porten kan også la sluttbrukere også autorisere en tjeneste til å opptre på vegne av sluttbrukeren opp mot APIer.  APIene kan være tilbudt av kunden selv, eller andre kunder av ID-porten.  Autorisasjonen skjer vanligvis implisitt ved autentisering, såkalt "autentiseringsnær autorisasjon", men også eksplisitte samtykker, eller maskin-til-maskin-autorisasjoner kan støttes.

Kunder som tilbyr nett-tjenester som bruker tredjeparts APIer må inkludere informasjon til sluttbruker om hvilke API-er blir brukt og inngå eventuell avtale med API-eier om bruk. Også databehandleravtale kan være nødvendig.

Kunder som tilbyr APIer («API-eiere») må beskrive tekstlig hvilke rettigheter som kan delegeres, beslutte om autorisasjonen skal være eksplisitt eller implisitt, samt fortløpende godkjenne hvilke tjenester som kan få tilgang til APIet.

Utvidet logging og overlevering av logger ved oppsigelse

Kunden kan bestille utvidet logging av autentiseringer mot sin egen tjeneste som en tilleggstjeneste. Kunden kan be om å få utlevert opplysninger som Difi på opphørstidspunktet har lagret i ID-porten på vegne av kunden.

2.5  Kundens aktiviteter for integrasjon mot ID-porten 

2.5.1 Planlegging

Difi og kunden skal i samarbeid planlegge kundens integrasjon mot ID-porten. Difi bistår kunden med teknisk rådgivning i integrasjonsperioden. Kunden skal følge krav som er fastsatt av Difi, se «integrasjonsguide for ID-porten». Oppdatert teknisk dokumentasjon er tilgjengelig på samarbeidsportalen.

Kunden er selv ansvarlig for å fastsette sikkerhetsnivå for egne tjenester, og kunden må selv gjennomføre en risikovurdering for hver enkelt tjeneste som ønskes tilknyttet ID-porten.

Kunden skal før tjenesten settes i produksjon, fremlegge beskrivelse av tjenesten, informasjon om estimert bruksvolum og kort om hvem som er sluttbrukere. Eventuelle kritiske perioder og høyvolumsperioder skal oppgis.

Ved innføring av nye tjenester eller ved planlagt endring av tjenester som er tilgjengelige gjennom ID-porten, skal kunden informere Difi minimum 1 måned før det er planlagt oppstart/endring av tjenesten.

2.5.2 Test

Kunden skal gjennomføre integrasjonstest for ID-porten. Retningslinjer for og krav til integrasjon og testing, samt en beskrivelse av Difis testmiljø, er tilgjengelig på samarbeidsportalen.

Kunden eller dennes leverandør må ha et testmiljø som kan knyttes opp mot ID-portens verifikasjonsmiljø.

Difi skal godkjenne testbrukere som kan benyttes til testing mellom e-ID-leverandørene, ID-porten og kundens tjenester. Det er et krav at det benyttes fiktive testbrukere.

Kunden skal kunne fremlegge dokumentasjon på hvordan integrasjonen er testet.

Dersom kunden har behov for å gjennomføre sikkerhets-/penetrasjonstest og/eller driftstester (ytelse, stabilitet) som inkluderer ID-porten, må testperiode og hvilke(t) miljø som kan benyttes, avtales nærmere med Difi.

2.5.3 Produksjonssetting

Når kunden har utført testing i henhold til retningslinjene, skal Difi og kunden fastsette en dato for når kunden skal integreres mot produksjonsmiljøet til ID-porten.

Kunden må verifisere at tjenesten fungerer tilfredsstillende i produksjon.

2.6 Bruk av underleverandører

Kunden kan benytte underleverandører til å utføre oppgaver i forbindelse med integrasjon mot ID-porten, se kapittel 1.7 Ansvar for underleverandører. Kunden må forsikre seg om at underleverandøren har akseptert «bruksvilkår for leverandører».

2.7 Tjenestenivå

Alle krav som er spesifisert i disse spesielle bruksvilkår for ID-porten, skal følges opp slik at tjenester og ytelser blir levert med avtalt og tilfredsstillende kvalitetsnivå.

Difi skal følge opp at e-ID tjenester levert gjennom ID-porten holder det tjenestenivå som fremgår av de til enhver tid gjeldende avtaler Difi har med eksterne e-ID leverandører om levering av sertifikattjenester til offentlig sektor.

Måleperiode for alle tjenester og ytelser er månedlig (per kalendermåned).

2.8 Tilgjengelighet og responstid

Driftsperioden for ID-porten er 24 timer/7 dager i uken/365 dager i året.

Beskrivelse

Krav

Tilgjengelighet til ID-porten (sluttbrukerløsningen)

99,90 %

Responstid

Mindre enn 3 sekunder for 90 % av forespørslene i gjennomsnitt

Ytelse

300 000 innlogginger i timen


 Beskrivelse av måling og beregning er tilgjengelig på samarbeidsportalen.

Difi har følgende krav til tilgjengelighet overfor sin driftsleverandør og de tilknyttede e-ID-leverandørene:

  • Driftsleverandør      –             99,90 %
  • Buypass                   –             99,50 %
  • Commfides              –             99,50 %
  • BankID                    –             99,50 %
  • BankID på mobil     –             99,50 %
     
    Beskrivelse av måling og beregning er tilgjengelig på samarbeidsportalen.

2.9 Andre reguleringer

2.9.1 Katastrofeberedskap

Produksjonsmiljøet for ID-porten er duplisert til to datahaller som til enhver tid vil være synkronisert og dimensjonert slik at de hver for seg håndterer forventet trafikkvolum. Ved bortfall av en datahall vil gjenstående miljø i andre datahall fortsette å fungere som produksjonsmiljø.

2.9.2  Planlagt vedlikehold – vedlikeholdsvindu

Vedlikeholdsvindu er avtalt tid der tjenesten kan være utilgjengelig, og benyttes til vedlikehold av hardware, oppgraderinger, service med mer.

Difis vedlikeholdsvindu for ID-porten og MinID er natt til tirsdag mellom kl. 00.30 og kl. 05.00.

Difi kan maksimalt benytte vedlikeholdsvindu for ID-porten og MinID 10 ganger per kalenderår og skal så langt som mulig ikke benytte vedlikeholdsvinduet i kritiske perioder for kundene.

Vedlikeholdsvindu holdes utenfor ved beregning av tilgjengelighet.

Kunden kan registrere planlagte vedlikeholdsvinduer for sine tjenester. Dette registreres og holdes oppdatert på samarbeidsportalen.

2.9.3  Varsling av planlagt vedlikehold

Difi skal minimum 5 virkedager på forhånd varsle kunden om bruk av vedlikeholdsvindu. Varsling skjer på samarbeidsportalen.

2.9.4 Ekstraordinært vedlikehold

I forbindelse med forebyggende vedlikehold som ikke kan vente til vedlikeholdsvindu og kritisk feilretting skal Difi varsle om vedlikehold utenfor vedlikeholdsvinduene. Varslingen skal skje på samarbeidsportalen.

 

3. Kontakt- og reservasjonsregisteret

Register over digital kontaktinformasjon og reservasjon er en fellesløsning. Disse spesielle bruksvilkårene regulerer bruken av register over digital kontaktinformasjon og reservasjon, her omtalt som kontakt- og reservasjonsregisteret eller bare registeret.

 

3.1 eForvaltningsforskriften

I eForvaltningsforskriften (FOR-2004-06-25-988) kapittel 7 reguleres register over digital kontaktinformasjon og reservasjon med tilhørende infrastruktur. Registeret kan inneholde nærmere definerte opplysninger om innbyggere (privatpersoner og enheter som ikke er registrert i Enhetsregisteret), se § 31. Difi er behandlingsansvarlig for registeret.

Etter eForvaltningsforskriften § 8 kan et forvaltningsorgan benytte elektronisk kommunikasjon når det henvender seg til andre. Etter § 9 kan innbyggere reservere seg mot å motta følgende meddelelser elektronisk fra forvaltningen:

  • enkeltvedtak
  • forhåndsvarsel etter forvaltningsloven § 16
  • andre meldinger som har betydning for vedkommendes rettsstilling eller for behandlingen av saken
  • meldinger som det av andre grunner er av særlig betydning å sikre at vedkommende mottar

Reservasjonen skal registreres i register over digital kontaktinformasjon og reservasjon.

Etter eForvaltningsforskriften § 37 skal alle forvaltningsorganer benytte den kontaktinformasjonen som er registrert i register over digital kontaktinformasjon og reservasjon til å sende varsel om enkeltvedtak mv. etter forskriftens § 8, senest fra 1. januar 2016.

Så snart forvaltningsorganet er koblet til registeret, kan det kommunisere elektronisk med innbyggere uten å innhente samtykke. Kontaktinformasjonen i registeret skal fra samme tid benyttes til å sende varsel etter § 8.

3.2 Formål med registeret

Hensikten med et felles register for digital kontaktinformasjon er at innbyggerne skal ha ett sted å oppdatere sin kontaktinformasjon.

Forvaltningen bør forholde seg til kontakt- og reservasjonsregisteret på samme måte som til det sentrale folkeregisteret, et register hvor man får tilgang til oppdatert informasjon på utvalgte områder. Offentlige virksomheter skal hente oppdatert informasjon fra kontakt- og reservasjonsregisteret, og ikke ha egne registre med den samme informasjonen.

Registeret kan benyttes i forbindelse med saksbehandling og utføring av forvaltningsoppgaver for øvrig og skal benyttes til varsling, se kapittel 3.1. 

3.3 Funksjonalitet

3.3.1 Registrert informasjon

Følgende informasjon om innbygger er registrert og utleveres ved oppslag i registeret:

  • fødselsnummer
  • e-postadresse
  • mobilnummer
  • reservasjonsstatus
  • adresse til digital postkasse valgt for mottak av digital post fra offentlig sektor
  • krypteringssertifikat
  • status
  • sist verifisert og sist oppdatert
  • varslingsstatus.

3.3.2 Standard funksjonalitet og tilleggstjenester

Etter integrasjon mot registeret, se kapittel 3.4, kan kunden gjøre oppslag på en eller flere innbyggere, og få utlevert informasjonen som er listet opp i punkt 3.3.1.

Det er innbygger selv som oppdaterer sin digitale kontaktinformasjon. Kunden bør lenke til Difis tjeneste for å oppdatere digital kontaktinformasjon slik at alle oppdateringer skjer ett sted. Kunden skal ikke tilby egne løsninger der innbygger kan oppdatere sin digitale kontaktinformasjon («lokalt vedlikehold»).

Innbygger har rett til å reservere seg mot å få vedtak og andre viktige brev digitalt, etter eForvaltningsforskriften § 9. Kunden kan i sin portalløsning lenke til Difis tjeneste for reservasjon mot kommunikasjon på nett.

Funksjonalitet

Teknisk grensesnitt

Oppslag av en eller flere innbyggere

Webservice

Oppdatering av digital kontaktinformasjon

Lenketjeneste

Reservasjon mot kommunikasjon på nett

Lenketjeneste

Valg av digital postkasse for innbyggere

Lenketjeneste


Teknisk grensesnitt for denne tilleggstjenesten er SFTP og/eller webservice.

Det finnes også en relatert tjeneste til registeret, utlevering av digital kontaktinformasjon via ID-porten. Dette er en tilleggstjeneste til ID-porten.

3.3.3 Bruk av digital kontaktinformasjon

Kontakt- og reservasjonsregisteret kan benyttes i forbindelse med saksbehandling og utføring av forvaltningsoppgaver for øvrig og skal benyttes til varsling etter eForvaltningsforskriften § 8. Dette omfatter blant annet:

  • Registeret skal benyttes til å varsle innbygger om at enkeltvedtak er fattet, og om hvor og hvordan vedkommende kan skaffe seg kunnskap om innholdet. Det samme gjelder for:
    • forhåndsvarsel etter forvaltningsloven § 16
    • andre meldinger som har betydning for vedkommendes rettsstilling eller for behandlingen av saken
    • meldinger som det av andre grunner er av særlig betydning å sikre at vedkommende mottar
  • Registeret kan benyttes til varsling av innbyggere om øvrige elektroniske meddelelser fra forvaltningen
  • Registeret kan benyttes til generell informasjon til innbyggere knyttet til kundens forvaltningsoppgaver
  • Registeret kan benyttes til andre henvendelser fra kunden til innbyggere relatert til saksbehandlingen, som f.eks. påminnelse om avtaler og servicemeldinger

Ved hver utsendelse skal kunden gjøre oppslag i registeret.

Informasjonen fra registeret skal ikke importeres til lokale kontaktregistre hos kunden.

3.3.4 Identifisering med fødselsnummer

For å hente ut informasjon fra kontakt- og reservasjonsregisteret, må kunden kjenne fødselsnummeret til mottaker av brevet. Skattedirektoratet har bestemt at «Offentlige myndigheter kan […] få online tilgang med treffliste til Det sentrale folkeregister for å sikre entydig identitet på borgeren i forbindelse med elektronisk kommunikasjon.», se også vedlagte vilkår fra skattedirektoratet.

Kunden må selv vurdere behandlingsgrunnlag etter personopplysningsloven § 11 jf § 8 og § 12. Kunden er ansvarlig for å sende og vedlikeholde melding til datatilsynet etter personopplysningsloven § 31, og bekrefter at dette er gjort. Dersom kunden har fått fritak fra meldeplikt, ber vi om at dette stadfestes med henvisning til relevant bestemmelse, jf personopplysningsloven § 31, fjerde ledd og personopplysningsforskriften kap. 7.

Når Difis skjema er sendt inn og bruksvilkår akseptert, sender Difi melding til Evry for å få opprettet online tilgang.

3.4 Kundens integrasjon

3.4.1 Oppslagstjenesten

Oppslagstjenesten er kundens grensesnitt mot kontakt- og reservasjonsregisteret. Det kan bli aktuelt at flere registre knyttes til oppslagstjenesten.

3.4.2 Bruk av underleverandører

Kunden kan benytte underleverandører til å utføre oppgaver i forbindelse med integrasjon mot registeret, eventuelt som tjenesteleverandør for bruk av registeret, se kapittel 1.7. Kunden må forsikre seg om at underleverandøren har akseptert «bruksvilkår for leverandører».

3.5 Aktiviteter ved integrasjon

3.5.1 Planlegging

Kunden skal ta kontakt med Difi minimum 1 måned før registeret ønskes å tas i bruk. Difi og kunden skal i samarbeid planlegge integrasjonen. Difi bistår kunden med teknisk rådgivning i integrasjonsperioden. Kunden skal følge krav som er fastsatt av Difi, se «integrasjonsguide for oppslagstjenesten». Oppdatert teknisk dokumentasjon er tilgjengelig på samarbeidsportalen.

Kunden skal oppgi til hvilke formål registeret skal brukes, hvilket bruksmønster som forventes, og estimat over forventet antall oppslag. Eventuelle kritiske perioder og høyvolumperioder skal oppgis.

Ved endringer på kundens side som har betydning for integrasjonen mot registeret, skal kunden informere Difi om dette minimum 1 måned før planlagt endring. Det samme gjelder ved forventede endringer av eventuelle kritiske perioder og høyvolumperioder.

3.5.2 Test

Kunden skal gjennomføre integrasjonstest mot registeret. Retningslinjer for og krav til integrasjon og testing, samt en beskrivelse av Difis testmiljø, er tilgjengelig på samarbeidsportalen.

Kunden eller dennes leverandør må ha et testmiljø som kan knyttes opp mot registerets verifikasjonsmiljø.

Bruk av testbrukere for testing av integrasjonen avtales nærmere med Difi. Det er et krav at det benyttes fiktive testbrukere.

Kunden skal kunne fremlegge dokumentasjon på hvordan integrasjonen er testet.

Dersom kunden har behov for å gjennomføre sikkerhets-/penetrasjonstest og/eller driftstester (ytelse, stabilitet) som inkluderer registeret, må testperiode og hvilke(t) miljø som kan benyttes, avtales nærmere med Difi.

3.5.3 Produksjonssetting

Når kunden har utført testing i henhold til retningslinjene, skal Difi og kunden fastsette en dato for når kunden skal integreres mot produksjonsmiljøet til kontakt- og reservasjonsregisteret.

Kunden må verifisere at integrasjonen fungerer tilfredsstillende i produksjon.

3.6 Tjenestenivå

3.6.1 Innledning

Alle krav som er spesifisert i disse spesielle bruksvilkår for kontakt- og reservasjonsregisteret, skal følges opp slik at tjenester og ytelser blir levert med avtalt og tilfredsstillende kvalitetsnivå.

Måleperiode for alle tjenester og ytelser er månedlig (per kalendermåned).

3.6.2 Tilgjengelighet og responstid

Driftsperioden for kontakt- og reservasjonsregisteret er 24 timer/7 dager i uken/365 dager i året.

Beskrivelse

Krav

Tilgjengelighet til kontakt- og reservasjonsregisteret

99,90 %

Responstid for oppslag av én innbygger

Mindre enn 3 sekunder for 90 % av forespørslene i gjennomsnitt

Responstid for samtidig oppslag av opptil tusen innbyggere

Mindre enn 6 sekunder for 90 % av forespørslene i gjennomsnitt

Beskrivelse av måling og beregning er tilgjengelig på samarbeidsportalen3.7

3.7 Andre reguleringer  

3.7.1 Katastrofeberedskap

Produksjonsmiljøet for registeret er duplisert til to datahaller som til enhver tid vil være synkronisert og dimensjonert slik at de hver for seg håndterer forventet trafikkvolum. Ved bortfall av en datahall vil gjenstående miljø i andre datahall fortsette å fungere som produksjonsmiljø.

3.7.2 Planlagt vedlikehold – vedlikeholdsvindu

Vedlikeholdsvindu er avtalt tid der tjenestene kan være utilgjengelige, og benyttes til vedlikehold av hardware, oppgraderinger, service med mer.

Difis vedlikeholdsvindu for tjenestene er natt til tirsdag mellom kl. 00.30 og kl. 05.00.

Difi kan maksimalt benytte vedlikeholdsvinduet 10 ganger per kalenderår og skal så langt som mulig ikke benytte vedlikeholdsvinduet i kritiske perioder for kundene.

Vedlikeholdsvindu holdes utenfor ved beregning av tilgjengelighet.

3.7.3 Varsling av planlagt vedlikehold

Difi skal minimum 5 virkedager på forhånd varsle kunden om bruk av vedlikeholdsvindu. Varsling skjer på samarbeidsportalen.

3.7.4 Ekstraordinært vedlikehold

I forbindelse med forebyggende vedlikehold som ikke kan vente til vedlikeholdsvindu og kritisk feilretting skal Difi varsle om vedlikehold utenfor vedlikeholdsvinduene. Varslingen skal skje på samarbeidsportalen.

3.8 Behandling av personopplysninger

Difi er behandlingsansvarlig for kontakt- og reservasjonsregisteret og utleveringen av opplysninger til kunde. Behandlingen er hjemlet i eForvaltningsforskriften § 30.

Kunden er behandlingsansvarlig for bruk av opplysningene som utleveres fra registeret.

Kunden skal logge behandling av registerinformasjon i overenstemmelse med de krav som følger av personopplysningsloven og personopplysningsforskriften.

Difi logger kundens oppslag mot registeret. Loggene oppbevares i 1 år.

 

4. Digital postkasse til innbyggere

4.1  Om digital postkasse til innbyggere

Digital postkasse til innbyggere er en fellesløsning offentlige virksomheter kan benytte for å sende post digitalt til innbyggere. Den enkelte innbygger velger selv en digital postkasse for å motta post fra offentlig sektor, blant leverandører som har avtale med Difi. Innbygger må inngå avtale med postkasseleverandøren.

Tjenesten omfatter flere tekniske løsninger; en meldingsformidlertjeneste, flere postkasser innbygger kan velge mellom, og en tjeneste for utskrift og forsendelse av post på papir, se kapittel 4.4. Digital postkasse må ikke oppfattes som betegnelsen på en bestemt teknisk løsning.

Bruk av digital postkasse forutsetter at kunden kan gjøre oppslag i kontakt- og reservasjonsregisteret. Kunden må akseptere spesielle bruksvilkår for kontakt- og reservasjonsregisteret og integreres mot oppslagstjenesten, senest samtidig med at kunden tar i bruk digital postkasse.

4.2 Komponenter i digital postkasse til innbyggere

Difi er sentralforvalter for digital postkasse. Difi er avtalepart overfor eksterne leverandører av digital postkasse:

  • Posten Norge AS leverer meldingsformidlertjenesten som er kundens integrasjonspunkt.
  • Posten Norge AS leverer tilleggstjenesten for utskrift og forsendelse som integrert del av meldingsformidlertjenesten.
  • e-Boks A/S leverer en av de to postkassene innbygger kan velge.
  • Posten Norge AS leverer en av de to postkassene innbygger kan velge.

4.3 Prinsipper for bruk av digital postkasse til innbyggere

Bruk av digital postkasse skal bygge på prinsipper om brukervennlighet, trygghet og valgfrihet.

  • Innbygger kan fritt velge blant tilknyttede postkasser. Mottak og lagring av digital post fra offentlig sektor er gratis for innbygger.
  • Pålogging til post fra offentlig sektor skjer ved bruk av ID-porten, som er gratis for innbygger.
  • Kunden skal i sin portalløsning [fra sin egen nettjeneste] lenke til kontakt- og reservasjonsregisteret, slik at innbygger kan oppdatere sin digitale kontaktinformasjon i det felles registeret.
  • Innbygger har rett til å reservere seg mot å få vedtak og andre viktige brev digitalt, etter eForvaltningsforskriften § 9. Kunden skal i sin portalløsning lenke til Difis tjeneste for reservasjon mot kommunikasjon på nett.
  • Kunden skal sørge for at meldingene som sendes er i tråd med regelverket for universell utforming, jf. «Forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)-løsninger».
  • Alle postkasseleverandører som er tilknyttet løsningen skal tilby sikker lagring av meldinger mottatt fra det offentlige, så lenge innbygger ønsker.
  • Kunden kan ikke reservere sine tjenester mot noen av postkasseleverandørene.

4.4 Funksjonalitet

Digital postkasse omfatter flere komponenter:

4.4.1 Meldingsformidler

Meldingsformidlerens hovedoppgaver er å motta meldinger fra offentlige avsendere, videreformidle disse meldingene til angitt postkasseleverandør og formidle leveringsstatus tilbake til kunden. Kunden skal integreres mot meldingsformidler. Difi tilbyr klientbibliotek for forenklet integrasjon og manuelt batchgrensesnitt som tilleggstjeneste.

4.4.2  Kontakt- og reservasjonsregisteret

Kontakt- og reservasjonsregisteret er et register over innbyggerens digitale kontaktinformasjon og reservasjonsstatus. Registeret er regulert i eForvaltningsforskriften (FOR-2004-06-25-988) kapittel 7 og kan inneholde nærmere definerte opplysninger om innbyggere.

Kontakt- og reservasjonsregisteret er en fellesløsning som må benyttes sammen med digital postkasse til innbyggere, se spesielle bruksvilkår for kontakt- og reservasjonsregisteret. Difi er behandlingsansvarlig for kontakt- og reservasjonsregisteret, jf. eForvaltningsforskriften § 30.

4.4.3 Postkasse

Postkasseleverandørens hovedoppgaver er å motta meldinger fra meldingsformidler, levere dem i innbyggers digitale postkasse, varsle innbygger om ny post hvis innstillingene tilsier det, tilby innbygger enkel tilgang via web og apps og lagre posten på en sikker måte så lenge innbygger selv ønsker. Kunden skal ikke ha direkte integrasjon mot postkasseleverandør. Innbygger kan selv flytte mottatt post dersom han ønsker å bytte postkasse.

4.4.4 Sending av meldinger

Digital postkasse er en felles løsning for offentlige virksomheter for å sende brev digitalt til innbyggere. Tjenesten leverer post til innbyggers valgte digitale postkasse. Varsling til innbygger om at posten er tilgjengelig i postkassen, formidles av postkasseleverandøren i henhold til innstillinger. Kunden får kvitteringer for at meldingen er levert til postkassen.

Kunden må selv fastsette sikkerhetsnivå på posten, om innbygger må varsles etter bestemmelsene i eForvaltningsforskriften eller om varsling er ønskelig. Kunden kan sette et tilgjengeliggjøringstidspunkt frem i tid, normalt opptil fem dager.

Faktura til innbygger kan sendes i EHF-format. For innbygger sin del kan fakturaen både åpnes som vanlig faktura, samt at informasjonen i fakturaen kan sendes til nettbank, alt etter postkasseleverandør. Sending av EHF koster ikke noe ekstra, men avsender må betale for eventuelle tjenester som innbygger benytter seg av. Se prislisten for mer informasjon

4.4.5 Meldingstyper

Tjenesten er tilrettelagt for å sende enkeltmeldinger med god gjennomstrømningshastighet.

I tilfeller hvor innbygger har særskilt behov for umiddelbar tilbakemelding, for eksempel som ledd i en pågående telefonsamtale mellom saksbehandler hos kunden og innbygger, kan meldingen sendes som en prioritert enkeltmelding. Meldingen vil da prioriteres i meldingskøen. Dersom muligheten for å sende prioriterte enkeltmeldinger misbrukes, vil denne funksjonaliteten fjernes. Det er således kundenes felles ansvar at denne begrensningen følges opp.

4.4.6 Utskrifts- og forsendelsestjeneste

Tjenesten gjør det mulig for kunden å sende alle brev gjennom løsningen, uavhengig av om innbyggeren har en digital postkasse eller ikke.

Kunden betaler for tilpasning av egne systemer for å ta i bruk utskrifts- og forsendelsestjenesten. I tillegg betaler kunden per brev som går til utskrift.

4.4.7 Varsling av innbygger

Varslingsplikten etter eForvaltningsforskriften § 8 påligger kunden.

Kunden kan ved sending av meldinger bestemme at innbygger skal varsles per SMS eller e-post om at det er levert/tilgjengeliggjort post i hans postkasse. Kunden kan selv fastsette ordlyden i varslingsteksten. Som standardtekst vil innbygger varsles om at brev fra kunden er tilgjengelig i hans digitale postkasse.

Varsling av innbygger per e-post er kostnadsfritt, SMS er priset særskilt, se prislisten.

4.4.8 Kvitteringer

Kunden vil få en kvittering på at meldingen er mottatt av postkasseleverandøren og vil bli gjort tilgjengelig i innbyggers digitale postkasse. Denne kvitteringen vil bli levert innen 1 time. Dersom kvittering ikke blir levert, skal kunden kontakte Difi.

Det blir sendt feilmelding dersom varsling har feilet.

Kunden kan ved sending av meldinger be om åpningskvittering. Postkassen kan bare sende åpningskvittering hvis innbygger gir samtykke til dette. Åpningskvittering er priset særskilt.

Kvitteringsmeldingene er ytterligere beskrevet på samarbeidsportalen

4.5 Kundens integrasjon mot digital postkasse til innbyggere

4.5.1 Meldingsformidler

Meldingsformidler er kundens integrasjonspunkt for digital postkasse. Kunden skal aldri integreres direkte mot postkasseleverandør.

4.5.2 Kontakt- og reservasjonsregisteret

Oppslagstjenesten er kundens grensesnitt mot kontakt- og reservasjonsregisteret. Det kan bli aktuelt at flere registre knyttes til oppslagstjenesten.

4.5.3 Identifisering av mottaker

For å hente ut informasjon fra kontakt- og reservasjonsregisteret, må kunden kjenne fødselsnummeret til mottaker av brevet. Skattedirektoratet har bestemt at «Offentlige myndigheter kan […] få online tilgang med treffliste til Det sentrale folkeregister for å sikre entydig identitet på borgeren i forbindelse med elektronisk kommunikasjon.», se vedlagte vilkår.

Kunden må selv vurdere behandlingsgrunnlag etter personopplysningsloven § 11 jf § 8. Kunden er ansvarlig for å sende og vedlikeholde melding til datatilsynet etter personopplysningsloven § 31. Difi sender deretter melding til Evry for å få opprettet online tilgang.

4.6 Bruk av underleverandører

Kunden kan benytte underleverandører til å utføre oppgaver i forbindelse med integrasjon mot meldingsformidler, eventuelt som tjenesteleverandør i prosessen med å formidle post fra kunde til meldingsformidler, se bruksvilkår for Difis fellesløsninger kapittel 1.7. Kunden må forsikre seg om at underleverandøren har akseptert Difis bruksvilkår for leverandører.

4.7 Aktiviteter ved integrasjon

4.7.1 Planlegging

Kunden skal kontakte Difi vedrørende integrasjonen senest tre måneder før digital postkasse planlegges tatt i bruk.

Difi og kunden skal i samarbeid planlegge kundens integrasjon mot digital postkasse. Difi bistår kunden med teknisk rådgivning i integrasjonsperioden. Kunden skal følge krav som er fastsatt av Difi, se «integrasjonsguide for digital postkasse til innbyggere». Oppdatert teknisk dokumentasjon er tilgjengelig på samarbeidsportalen.

Kunden er selv ansvarlig for risikovurdering av egen bruk av digital postkasse. Relevante deler av Difis ROS-analyse samt retningslinjer og malverk for risikovurdering vil gjøres tilgjengelig for kunden.

Kunden skal før integrasjon oppgi estimert bruksvolum og bruksmønster og hvem som er målgruppen for bruk av tjenesten. Eventuelle kritiske perioder og høyvolumperioder skal oppgis. Med høyvolum menes sending av mer enn 50 meldinger per sekund over en periode på mer enn 10 timer, og sending av mer enn 2 millioner meldinger i løpet av et døgn.

4.7.2 Test

Kunden skal gjennomføre integrasjonstest for digital postkasse. Retningslinjer for og krav til integrasjon og testing, samt en beskrivelse av testmiljøet, er tilgjengelig på samarbeidsportalen.

Tilgang til testbrukere for testing av integrasjonen avtales nærmere med Difi. Det er et krav at det benyttes fiktive testbrukere og testdata.

4.7.3 Produksjonssetting

Når kunden har utført testing i henhold til retningslinjene, skal Difi og kunden fastsette en dato for når kunden skal integreres mot produksjonsmiljøet til digital postkasse.

Kunden og Difi skal i fellesskap verifisere at integrasjonene fungerer tilfredsstillende i produksjonsmiljøet.

4.8 Kundens informasjonsplikt

Kunden plikter å holde Difi informert om perioder med vesentlig økt bruk av tjenesten i forhold til tidligere fastsatte planer. Dersom det skal skje en masseutsending på et tidspunkt som ikke er angitt som høyvolumperiode, bør Difi informeres en måned på forhånd. Med masseutsendelse menes mer enn 2 millioner brev i løpet av et døgn.

4.9 Tjenestenivå

4.9.1 Innledning

Alle krav som er spesifisert i disse spesielle bruksvilkår for digital postkasse, skal følges opp slik at tjenester og ytelser blir levert med avtalt og tilfredsstillende kvalitetsnivå.

Difi skal følge opp at tjenester til digital postkasse levert av eksterne leverandører holder det tjenestenivå som fremgår av de til enhver tid gjeldene avtaler Difi har med disse leverandørene.

Måleperiode for alle tjenester og ytelser er månedlig (per kalendermåned).

4.9.2 Tilgjengelighet

Driftsperioden for digital postkasse er 24 timer/7 dager i uken/365 dager i året.

Tjenesten er dimensjonert med tanke på at det offentlige skal kunne sende 1 melding på 100kb til hver av landets innbyggere i løpet av 24 timer.

Innenfor disse rammer har løsningen en tilgjengelighet på 99,50 %.

4.9.3 Planlagt vedlikehold – vedlikeholdsvindu

Vedlikeholdsvindu er avtalt tid der tjenesten kan være utilgjengelig, og benyttes til vedlikehold av hardware, oppgraderinger, service med mer.

Difis vedlikeholdsvindu for digital postkasse er natt til tirsdag mellom kl.00.00 - kl. 06.00.

Difi kan maksimalt benytte vedlikeholdsvindu for digital postkasse 18 ganger per kalenderår og skal så langt som mulig ikke benytte vedlikeholdsvinduet i kritiske perioder for kundene.

Vedlikeholdsvindu holdes utenfor ved beregning av tilgjengelighet.

4.9.4 Varsling av planlagt vedlikehold

Difi skal minimum 5 virkedager på forhånd varsle kunden om bruk av vedlikeholdsvindu. Varsling skal skje på samarbeidsportalen.

4.9.5 Ekstraordinært vedlikehold

I forbindelse med forebyggende vedlikehold som ikke kan vente til vedlikeholdsvindu og kritisk feilretting skal Difi varsle om vedlikehold utenfor vedlikeholdsvinduene. Varslingen skal skje på samarbeidsportalen.

4.9.6 Behandling av personopplysninger (databehandleravtale)

Kunden er behandlingsansvarlig for personopplysninger i brev som kunden sender til digital postkasse frem til disse er gjort tilgjengelig for innbygger. Det er kunden selv som bestemmer hvilke personopplysninger brevene inneholder. Logger hos Difi og underleverandører inneholder innbyggers digitale postkasseadresse, meldingsID og avsender. I tillegg kommer lagring av personopplysninger i samsvar med de til enhver tid gjeldende bruksvilkår mellom postkasseleverandør og innbygger, der postkasseleverandør er behandlingsansvarlig.

Difi opptrer som databehandler for kunden når Difi, i henhold til disse bruksvilkårene, formidler tilgang til tjenester fra meldingsformidler og postkasseleverandører og følger opp disse i henhold til avtaler mellom Difi og leverandørene. Posten Norge AS og e-Boks A/S er i denne sammenheng underleverandører til Difi. Difi kan engasjere andre underleverandører på tilsvarende vilkår som gjelder for Posten Norge AS og e-Boks A/S.

Difi kan ikke behandle personopplysningene på annen måte enn det som er nødvendig for å utføre sine oppgaver i henhold til disse bruksvilkårene, herunder å følge opp at digital post som sendes fra kunden formidles i henhold til avtale med underleverandørene.

Det skal føres logg over opplysninger om digital post som sendes på vegne av kunden. Loggen kan inneholde de opplysninger som er nødvendig for å avklare eventuelle feilsituasjoner og når posten ble mottatt av henholdsvis meldingsformidler og postkasseleverandøren. Innholdet i loggene er nærmere beskrevet i avtalene med underleverandørene. Loggen skal oppbevares i maksimalt 24 måneder etter at posten er levert til postkasseleverandøren eller feilmelding er sendt til kunden.

Difi skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, se kapittel 9. Sikkerhetsdokumentasjon kan gjøres tilgjengelig for kunden på forespørsel.

Difi har taushetsplikt om alle forhold de får kjennskap til gjennom behandling av personopplysninger i henhold til denne avtalen.

Kunden kan når som helst pålegge Difi å stanse behandlingen av personopplysninger på vegne av kunden. Med mindre annet fremgår av pålegget fra kunden, skal Difi gjennomføre sending av digital post som er påbegynt før pålegget ble mottatt. Med mindre kunden pålegger Difi å slette opplysningene om sending av post som er lagret i underleverandørenes logger på vegne av kunden, skal loggene oppbevares frem til det tidspunkt de ville blitt slettet dersom databehandleroppdraget ikke var blitt avsluttet, jf. fjerde avsnitt ovenfor.

 

5. eSignering

Felles signeringstjeneste for offentlige virksomheter eSignering, er en frittstående tjeneste for elektronisk personsignatur. Posten Norge AS utvikler og drifter tjenesten. Difi er sentralforvalter.

5.1 Prinsipper for bruk av eSignering

eSignering skal dekke offentlige virksomheter felles behov for signerings- og valideringstjenester. Tjenesten skal tilby god brukervennlighet, sikkerhet og være skalerbar med tanke på fremtidige behov og bruksvolum.

 

Pålogging og signering i eSignering skjer ved bruk av eID i ID-porten, som er gratis for innbygger.

Difi er ansvarlig for at eSignering oppfyller lovmessige krav, regelverk og forskrifter. Kunden er ansvarlig for innholdet i dokument som skal signeres, og for utformingen av alt tekstlig i forbindelse med oppretting og utsending av signeringsoppdrag gjennom eSignering.

Kunden er ansvarlig for at ferdig signerte oppdrag hentes ut og arkiveres i henhold til lover og krav for arkivering av dokument.

5.2 Funksjonalitet

Tjenesten gjør det mulig for innbyggere å signere dokument fra det offentlige digitalt ved påføring av elektronisk personsignatur. En kopi av ferdig signerte oppdrag sendes via eSignering til innbyggerens digitale postkasse dersom innbygger har dette.  Videresendingsfunksjonen kan overstyres dersom mottakeren av signeringsoppdrag ikke signerer som en innbygger. Tjenesten har også varslingsfunksjonalitet for varsling av signatar om dokument som skal signeres. Innbygger blir da varslet pr mail eller sms. Kontaktinformasjon som benyttes til varsling blir hentet via eSignering fra kontakt og reservasjonsregisteret. Varslingsinformasjon kan overstyres i de tilfellene der signatar ikke er en innbygger.

eSignering støtter de mest brukte formatene for digital signatur. Gyldige format er dokumentert på samarbeidsportalen. eSignering lar kunder opprette signeringsoppdrag via en integrasjonsløsning eller via et web-basert administrasjonsgrensesnitt.

5.3 Varsling av innbygger

Varslingsplikten etter eForvaltningsforskriften § 8 ligger hos kunden.

Kunden kan ved oppretting av signeringsoppdrag bestemme at innbygger skal varsles per SMS eller e-post om at det er foreligger dokument til signering.

5.4 Kundens integrasjon mot signeringstjenesten

Dokumentasjon av API og signeringsportal, samt egen integrasjonsguide og annen relevant dokumentasjon, er tilgjengelig i samarbeidsportalen.

5.4.1 API

eSignering tilbyr maskin-til-maskin-integrasjon for synkrone og asynkrone signeringsoppdrag.

5.4.2 Signeringsportal

eSignering tilbyr manuell håndtering av signeringsoppdrag, uten integrasjon, gjennom en signeringsportal.

5.4.3 Bruk av underleverandører

Kunden kan benytte underleverandører til å utføre oppgaver i forbindelse med integrasjon mot signeringstjenesten. Kunden må forsikre seg om at underleverandøren har akseptert Difis bruksvilkår for leverandører.

5.5 Aktivteter ved integrasjon

5.5.1 Planlegging

Kunden skal kontakte Difi vedrørende integrasjonen senest en måned før eSignering planlegges tatt i bruk.

Difi og kunden skal i samarbeid planlegge kundens integrasjon mot eSignering. Difi bistår kunden med teknisk rådgivning i integrasjonsperioden. Kunden skal følge krav som er fastsatt av Difi i egen integrasjonsguide for signeringstjenesten i samarbeidsportalen.

Kunden er selv ansvarlig for risikovurdering av egen bruk av eSignering. Relevante deler av Difis ROS-analyse samt retningslinjer og malverk for risikovurdering er tilgjengelig for kunden i samarbeidsportalen.

For å sikre god og stabil drift av tjenesten skal kunden før integrasjon oppgi estimert bruksvolum og bruksmønster, og hvem som er målgruppen for bruk av tjenesten. Eventuelle kritiske perioder og høyvolumperioder skal oppgis. Med kritisk perioder menes perioder som er spesielt viktig for kunden. Med høyvolum menes perioder hvor kunden har store mengder signeringsoppdrag konsentrert innenfor et tidsintervall.

5.5.2 Test

Kunden skal gjennomføre integrasjonstest for eSignering. I samarbeidsportalen finnes krav og retningslinjer for integrasjon og testing, samt beskrivelse av testmiljøet.

Tilgang til testbrukere for testing av integrasjonen avtales nærmere med Difi. Det er et krav at det benyttes fiktive testbrukere.

5.5.3 Produksjonssetting

Når kunden har utført testing i henhold til retningslinjene skal Difi og kunden fastsette en dato for når kunden skal integreres mot produksjonsmiljøet til eSignering.

Kunden og Difi skal i fellesskap verifisere at integrasjonen fungerer tilfredsstillende i produksjonsmiljøet.

5.6 Kundens informasjonsplikt

Kunden plikter å informere Difi om vesentlig økt bruk av tjenesten i forhold til innmeldt bruksvolum, og ved vesentlig endring i bruksmønster som får innvirkning på kritiske perioder eller høyvolumperioder. Varsel om forventet endring skal sendes Difi en måned i forkant av endringer.

5.7 Tjenestenivå

5.7.1 Innledning

Alle krav som er spesifisert i spesielle bruksvilkår for eSignering skal følges opp slik at tjenester og ytelser blir levert med avtalt og tilfredsstillende kvalitetsnivå.

Difi skal følge opp at tjenester til eSignering levert av eksterne leverandører holder det tjenestenivå som fremgår av de til enhver tid gjeldene avtaler Difi har med disse leverandørene.

Måleperiode for alle tjenester og ytelser er månedlig (per kalendermåned).

5.7.2 Tilgjengelighet

Driftsperioden for eSignering er 24 timer/7 dager i uken/365 dager i året.

Løsningen har en tilgjengelighet på 99,50 %.

Beskrivelse av måling og beregning er tilgjengelig på samarbeidsportalen.

5.7.3 Planlagt vedlikehold – vedlikeholdsvindu

Vedlikeholdsvindu er avtalt tid der tjenesten kan være utilgjengelig, og benyttes til vedlikehold av hardware, oppgraderinger, service med mer.

Vedlikeholdsvindu for signeringstjenesten er natt til tirsdag mellom kl.00.30 - kl. 05.00.

Difi skal så langt som mulig ikke benytte vedlikeholdsvinduet i kritiske perioder for kundene.

Vedlikeholdsvindu holdes utenfor ved beregning av tilgjengelighet.

5.7.4 Varsling av planlagt vedlikehold

Difi skal minimum 5 virkedager på forhånd varsle kunden om bruk av vedlikeholdsvindu. Varsling skal skje i samarbeidsportalen.

5.7.5 Ekstraordinært vedlikehold

Ved forebyggende vedlikehold som ikke kan vente til vedlikeholdsvindu, samt ved kritisk feilretting, skal Difi varsle i samarbeidsportalen.

5.7.6 Behandling av personopplysninger (databehandleravtale)

Kunden er behandlingsansvarlig for personopplysninger som kunden overfører til signeringstjenesten. Kunden er ikke behandlingsansvarlig for kopi av signert dokument som sendes til sluttbrukers digitale postkasse.

Difi opptrer som databehandler for kunden når Difi, i henhold til disse bruksvilkårene, administrerer tilgang til signeringstjenesten og følger opp tjenesten i henhold til avtaler mellom Difi og Posten Norge AS. Posten Norge AS er i denne sammenheng underleverandør til Difi. Difi kan engasjere andre underleverandører enn Posten Norge AS på samme vilkår.

Det føres logg over signeringsoppdrag som behandles på vegne av kunden. Loggene beskriver hva som er gjort, hvordan og når det er gjort, samt hvem som har gjort det. Loggene inneholder de opplysninger som er nødvendige for å sikre konfidensialitet, integritet og uavviselighet, og for å avklare eventuelle feilsituasjoner. Loggene er beskrevet i dokumentasjon i samarbeidsportalen.

Difi skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger (se kapittel 10). Sikkerhetsdokumentasjon kan gjøres tilgjengelig for kunden på forespørsel.

Difi har taushetsplikt om alle forhold de får kjennskap til gjennom behandling av personopplysninger i henhold til denne avtalen.

Difi kan ikke behandle personopplysningene på annen måte enn det som er nødvendig for å utføre sine oppgaver i henhold til disse bruksvilkårene.

Kunden kan når som helst pålegge Difi å stanse behandlingen av personopplysninger på vegne av kunden. Med mindre kunden pålegger Difi å slette opplysningene om signering som er lagret i underleverandørens logger på vegne av kunden, skal loggene oppbevares frem til det tidspunkt de ville blitt slettet dersom databehandleroppdraget ikke var blitt avsluttet, jf. tredje avsnitt ovenfor.

 

6. eFormidling

Integrasjonspunkt for eFormidling (heretter Integrasjonspunktet) er en infrastrukturkomponent for sikker utveksling av dokumenter og meldinger med strukturert informasjon mellom offentlige etater, innbyggere og private virksomheter.

6.1 Overordnet beskrivelse

Integrasjonspunktet for meldingsutveksling tilbyr et standardisert programmeringsgrensesnitt som kundens saksbehandlings- og fagsystem(er) kan benytte til å sende og motta meldinger.

Integrasjonspunktet er skjæringspunktet mellom kundens indre nettverk og systemer utenfor kundens nettverk. Integrasjonspunktets lokale del har følgende oppgaver:

  • Kryptere sending
  • Validere adresseinformasjon ved oppslag mot autoritative register
  • Sende via mottaker sin valgte transportinfrastruktur(er)
  • Oppdaterer trafikkloggen i sentral fellestjeneste (pakkesporingstjenesten)

6.2 Komponenter

Programvarekomponenten integrasjonspunktet installeres lokalt hos kunden. Denne tilbyr et standardisert programmeringsgrensesnitt (API) for integrasjon mellom kundens fagsystemer og meldingsorienterte fellestjenester, for eksempel digitale postkasser. Programvarekomponenten integrasjonspunktet har ansvar for at meldinger er syntaktisk korrekt utformet, og at overføringen skjer på en måte som sikrer meldingens integritet og konfidensialitet. Komponenten vil medføre at kundens løsninger vil kunne fungere med høy tilgjengelighet, men meldingens endelige tilgjengelighet (tiden før den blir levert til mottaker) er avhengig av kanalen den blir formidlet via.

Løsningen består av flere sentrale fellestjenester som understøtter forvaltning, logging og sporing av integrasjonspunktet og meldingene som blir formidlet gjennom dette.

6.3 Meldingstyper

Integrasjonspunktet er tilrettelagt som en infrastruktur for å sende meldinger.  Gyldig innhold i meldingene vil variere avhengig av hva mottakende tjeneste eller virksomhet godtar. Integrasjonspunktet tilbyr tjenester for å kunne validere strukturerte meldingstyper (for eksempel xml) og filtrere gyldige formater på ustrukturerte filer (for eksempel pdf, docx).

6.4 Adressering

Integrasjonspunktet bruker informasjon fra flere offentlige autoritative kilder til validering av adresser. Kildene er kontakt- og reservasjonsregisteret, ELMA, Enhetsregisteret i Brønnøysund. Ansvar for kvaliteten på innholdet i disse registrene reguleres av egne regler og er utenfor denne avtalen.

6.5 Ansvarsfordeling

6.5.1 Difi sitt ansvar

Difi er sentralforvalter for programvarekomponenten integrasjonspunktet og de fellestjenestene som integrasjonspunktet er avhengig av for å formidle meldinger, samt tilleggstjenester. Dette er ytterligere spesifisert i installasjonsveiledningen. Difi har ansvar for utvikling av programvaren og at siste versjon er tilgjengelig for kunde. Integrasjonspunktet er lokalt installert og forvaltet av kunde. Det er en forutsetning for Difi sitt ansvar at kunden oppfyller sitt ansvar som angitt i disse bruksvilkårene.

Difi har ansvar for de sentrale fellestjenestene som gjennomfører logging og gir grunnlaget for sporing og feilhåndtering. Kunden får tilgang til loggene i samsvar med installasjonsveiledningen. Difi har ansvar for å overvåke innholdet i de sentrale fellestjenestene og varsle kunden ved hendelser, slik som meldinger som ikke lar seg levere.

Difi gjør tilgjengelig nye versjoner av programvarekomponenten gjennom en distribusjonssentral. Dette er en sentral enhet som brukes for installasjon, oppdatering og sentralstyrt konfigurasjon av kundens instans av integrasjonspunktet.

Programmeringsgrensesnittene som integrasjonspunktet tilbyr for integrasjon er versjonert etter prinsippene for semantisk versjonering (http://semver.org). Endringer av hovedversjon kan bare gjøres med ett års overgangsfase der begge hovedversjoner virker.

6.5.2 Kunden sitt ansvar

Kunden er selv ansvarlig for drift av sitt eget integrasjonspunkt. Kunden må tilrettelegge for automatisk oppdatering av integrasjonspunktet, eller selv ta ansvar for at dette til enhver tid er oppdatert.

Kunden har ansvar for innhold i meldinger og at meldinger er riktig adressert.

Kunden er ansvarlig for å følge opp hendelser varslet fra Difi.

Kunden er selv ansvarlig for risikovurdering av egen bruk av løsningen.

6.5.3 Fellestjenester og formidling

Difi har ansvar for at det finnes standarder for formidling som formidlere i markedet skal følge. Difi har ikke ansvar for at formidlere og fellestjenester fungerer eller driftstiden til disse.

Enkelte fellestjenester vil kreve at kunden inngår egne avtaler eller aksepterer bruksvilkår:

  • Ved sending av post til private virksomheter må kunden bruke eksisterende avtale med Altinn eller akseptere Altinns bruksvilkår for digital post til virksomheter.
  • Ved sending og mottak av meldinger fra kommuner og fylkeskommuner som er tilknyttet KS/FIKS må kunden bruke eksisterende avtale med KS eller inngå ny avtale med KS.

6.6 Kundens etablering

6.6.1 Bruk av underleverandører

Kunden kan benytte underleverandører til å utføre oppgaver i forbindelse med installasjon av integrasjonspunktet. Herunder også drift av integrasjonspunktet.

6.7 Aktiviteter ved integrasjon 

6.7.1 Planlegging

Kunden skal kontakte Difi på idporten@difi.no vedrørende installasjonen senest to måneder før integrasjonspunktet planlegges tatt i bruk.

6.7.2 Test

Kunden skal gjennomføre test for integrasjonspunktet. Retningslinjer for og krav til installasjon og testing, samt en beskrivelse av testmiljøet, er tilgjengelig på samarbeidsportalen.

Testing av installasjonen avtales nærmere med Difi. Det er et krav at det benyttes fiktive testbrukere og testdata.

6.7.3 Produksjonssetting

Når kunden har utført testing i henhold til retningslinjene, skal Difi og kunden fastsette en dato for når kunden skal kobles mot produksjonsmiljøet til integrasjonspunktet.

6.8 Tjenestenivå

6.8.1 Innledning

Alle krav som er spesifisert i disse spesielle bruksvilkår for integrasjonspunktet, skal følges opp slik at tjenester og ytelser blir levert med avtalt og tilfredsstillende kvalitetsnivå. Difi tilbyr integrasjonspunktet som programkode, støttetjenester til integrasjonspunktet gjennom API og support til integrasjonspunktet.

Måleperiode for alle tjenester og ytelser er månedlig (per kalendermåned).

6.8.2 Tilgjengelighet sentrale tjenester

Tjenesteperioden for integrasjonspunktets sentraldel er arbeidsdager kl. 8-16. Det er i denne perioden Difi garanterer overvåking og hendelseshåndtering. Innenfor disse rammer har løsningen en tilgjengelighet på 99 %.

Med mindre det oppstår feil i tjenesten, vil den være tilgjengelig døgnet rundt. Hendelseshåndtering er regulert i generelle bruksvilkår.

Den lokale delen av tjenesten følger kundens tjenestenivå for de systemer den er integrert med. Oppdateringer til det lokale integrasjonspunktet vil være tilgjengelig på samme måte som sentraldelen.

6.8.3 Programkoden

Programkode og sentralstyrte innstillinger er tilgjengelige på samme måte som i punktet ovenfor.

6.8.4 Support

Difi tilbyr støtte fra teknisk og merkantil forvaltning for tjenestene arbeidsdager kl. 8-15:30.

[1] Jfr. Digitaliseringsrundskrivet H-/2017.

 

Publisert: 24. Apr 2018, Sist endret: 17. sep 2018

Deldette

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

* Påkrevd

Hjelp oss å bli bedre
*