Bruksvilkår for leverandører

Difi har utarbeidet bruksvilkår for leverandører som på vegne av sine kunder integrerer seg mot en eller flere av Difis fellesløsninger. Før leverandører på vegne av kunden kan integrere mot fellesløsningene fra Difi, skal en bemyndiget representant for leverandøren akseptere bruksvilkår for leverandører. Versjon 1.2 gjelder fra 04. 10. 2019.

Publisert: 09. Mai 2018, Sist endret: 03. sep 2019

1. Fellesløsninger fra Difi

Difi forvalter flere nasjonale fellesløsninger som offentlige virksomheter skal eller kan benytte for å tilby bedre tjenester og effektivisere driften. Disse bruksvilkårene regulerer vilkår for leverandører som på vegne av en eller flere offentlige virksomheter integrerer seg mot Difis fellesløsninger.  

Difi forvalter fellesløsningene ID-porten, kontakt- og reservasjonsregisteret, digital postkasse til innbyggere, eSignering, eFormidling og Maskinporten.

Hvilke virksomheter som kan benytte seg av fellesløsningene, følger av bruksvilkår for Difis fellesløsninger. Det vises også til samarbeidsportalen for informasjon.  Virksomheter som benytter en eller flere fellesløsninger benevnes som «kunde».

For bruk av Maskinporten må det foreligge avtale eller annet rettsgrunnlag mellom API-leverandør og API-konsument. Med API-konsument menes virksomhet som har rett til å få tilgang et API, enten den er offentlig eller privat.  Det samme gjelder for underleverandør til API-tilbydere som er pålagt å tilby API av offentlig myndighet.

2. Partsforhold

Kunder som har engasjert leverandør til å utføre oppgaver knyttet til bruken av Difis fellesløsninger, er fullt ut ansvarlig for utførelsen av disse oppgavene på samme måte som om kunden selv stod for utførelsen, se bruksvilkår for Difis fellesløsninger kapittel 1.6. Overfor Difi er denne leverandøren å se på som kundens underleverandør.

Leverandører som aksepterer disse bruksvilkår, er leverandør til en eller flere kunder. Før leverandøren kan integrere mot fellesløsninger fra Difi, skal bemyndiget representant for leverandøren akseptere disse vilkår.

Integrasjon mot Difis fellesløsninger skal bare gjøres på vegne av kunder som har akseptert Difis bruksvilkår. Leverandøren kan klargjøre integrasjon mot sine produkter og tjenester i forkant av kundeforholdet, men ikke produksjonssette løsningen før kunden har akseptert både bruksvilkår for Difis fellesløsninger og spesielle bruksvilkår for felleskomponenten(e) det skal integreres mot.

Integrasjon av API- konsumenter mot Maskinporten skal bare gjøres på vegne av kunder som har avtale med en API-tilbyder, eller på annet grunnlag skal ha tilgang til et API. [API-konsumenten skal delegere ansvar for integrasjon til underleverandør gjennom en autorativ kilde. Delegering kan for eksempel gjøres i Altinn. ] (planlagt funksjonalitet)

3. Forholdet til bruksvilkår for Difis kunder

Bruksvilkår for Difis fellesløsninger og spesielle bruksvilkår for den enkelte fellesløsning gjelder for leverandøren så langt de er relevante. Leverandøren må godta innholdet i disse.

Leverandøren får tilgang til Samarbeidsportalen når bruksvilkår for leverandører er akseptert.

4. Integrasjon og vedlikehold

4.1 Integrasjon

Før leverandøren kan integrere seg mot fellesløsningen(e) skal det ved behov avholdes møte mellom Difi og leverandøren.

Integrasjonsprosessen og krav til testing er regulert i bruksvilkår for Difis fellesløsninger og spesielle bruksvilkår for den enkelte fellesløsning.  

4.2 Planlagt vedlikehold – vedlikeholdsvindu

Vedlikeholdsvindu er avtalt tid der tjenesten kan være utilgjengelig, og benyttes til vedlikehold av maskinvare, oppgraderinger, service med mer.

Difis vedlikeholdsvindu er natt til tirsdag. For nærmere informasjon om tidspunkt og antall, se spesielle bruksvilkår for den enkelte felleskomponent.  

Difi skal så langt som mulig ikke benytte vedlikeholdsvinduet i kritiske perioder for kundene.

4.2.1 Varsling av planlagt vedlikehold

Difi skal minimum 5 virkedager på forhånd varsle om bruk av vedlikeholdsvindu. Varsling skjer på Samarbeidsportalen.

Mindre endringer produksjonsettes fortløpende uten varsling.

4.3 Integrasjons- og sikkerhetsforum

Difis integrasjons- og sikkerhetsforum skal bidra til å holde integrasjons- og sikkerhetsansvarlig hos kundene oppdatert på tekniske forhold ved fellesløsningene. Leverandører som har akseptert disse vilkårene, kan møte i integrasjons- og sikkerhetsforumet. Mandat for integrasjons- og sikkerhetsforumet for Difis fellesløsninger er tilgjengelig på Samarbeidsportalen.

5. Kontaktpunkt

Leverandøren har ansvar for å holde listen over kontaktpunkter i egen virksomhet oppdatert i Samarbeidsportalen.

5.1 Varsling

Leverandøren må være oppmerksom på at kunden, så raskt som praktisk mulig, skal informere Difi om hendelser i tilknytning til fellesløsningene eller sine tjenester som kan ha betydning for fellesløsningene. Difis kontaktpunkt for slike meldinger fremgår på Samarbeidsportalen.

Leverandøren og kunden må avtale hvem som skal være kontakt for varslinger fra Difi, og sørge for at rett varslingspunkt for den aktuelle integrasjonen er oppgitt i Samarbeidsportalen.

Dersom det oppstår en kritisk eller alvorlig hendelse i kundens tjeneste, eller hos leverandøren, kan Difi koble tjenesten fra fellesløsningene inntil henholdsvis kunden eller leverandøren har dokumentert overfor Difi at hendelsen er utbedret, eller relevante tiltak er iverksatt.

5.2 Informasjonsmateriell

For å ivareta brukervennlighet og universell utforming for brukerne av Difis fellesløsninger, er det viktig at den visuelle presentasjonen og grensesnittet skaper tillit. Difi utarbeider og oppdaterer brukerrettet informasjon om fellesløsningene som kunder og leverandører skal benytte under implementasjon av Difis fellesløsninger. Oppdatert informasjonsmateriell er tilgjengelig på Samarbeidsportalen.

6. Behandling av personopplysninger

Hvis leverandøren behandler personopplysninger på vegne av en eller flere kunder, skal det inngås databehandleravtale mellom partene.

Når leverandøren som databehandler utfører oppgaver på vegne av behandlingsansvarlig, skal leverandør føre logg over hvem de opptrer på vegne av.

7. Taushetsplikt

Forvaltningslovens taushetspliktbestemmelser kommer til anvendelse for Difi, kunden, leverandøren og dennes underleverandører.

Det skal tas nødvendige forholdsregler for å hindre at uvedkommende får innsyn i eller kan bli kjent med taushetsbelagte opplysninger og informasjon.

Om nødvendig skal det undertegnes taushetserklæring. Det skal i tilfelle angis hvilke opplysninger som omfattes av taushetsplikten, og hvordan den skal ivaretas.

Taushetsplikten gjelder også etter tjenestenes opphør. Ansatte eller andre som fratrer sin tjeneste skal pålegges å bevare taushet om forhold som er nevnt ovenfor, også etter fratredelsen.

8. Innsyn og revisjon

Difi skal på forespørsel få tilgang til logger som er relevante for integrasjonen mot fellesløsningene.

Difi har rett til å foreta revisjon og verifikasjon av at leverandøren overholder bruksvilkårene. Revisjonen skal ta utgangspunkt i tilsynsrapporter fra offentlige tilsynsmyndigheter og revisjon utført av organisasjonen selv eller ved hjelp av tredjepart, samt gjennomførte sertifiseringer. Revisjonen skal gjennomføres på en slik måte at den i minst mulig grad forstyrrer alminnelig drift og tjenesteleveranser.

Revisjonen skal være egnet til å bekrefte eller avkrefte overfor Difi og/eller kunder som benytter tjenesten om bruksvilkårene overholdes. Dersom revisjonen avdekker at bruksvilkårene ikke overholdes, plikter leverandøren å endre tjenesten på en slik måte at vilkårene oppfylles. Leverandøren plikter i et slikt tilfelle å refundere Difis kostnader til gjennomføring av revisjonen.

9. Vederlag

Leverandør må selv dekke egne kostnader forbundet med integrasjon mot fellesløsningene. Integrasjonen innebærer ingen tilkoblingskostnader til Difi.

Vederlag for bruk av fellesløsningene er regulert i spesielle bruksvilkår for den enkelte fellesløsning og vil normalt dekkes av, og faktureres direkte til kunden.

Kundens økonomiske forpliktelser overfor leverandøren følger av avtalen mellom kunden og leverandøren, og Difi er ikke part i disse avtaler.

10. Mislighold

Utover det som er oppgitt i bruksvilkår for Difis felleskomponenter kapittel 10 gjelder følgende.

10.1 Vesentlig mislighold

Ved vesentlig mislighold, kan Difi koble leverandøren eller den aktuelle tjenesten fra fellesløsningene. Vesentlig mislighold omfatter, men er ikke begrenset til:

  • misbruk av fellesløsninger,
  • misbruk av informasjon som er tilgjengelig i /via fellesløsningene eller på Samarbeidsportalen,
  • tilrettelegging eller gjennomføring av sikkerhetsbrudd, eller
  • mangelfull oppfølging av sikkerhetsbrudd.

10.2 Erstatning

10.2.1 Leverandørens erstatningsansvar

Hvis leverandør gjør seg skyldig i vesentlig mislighold og det foreligger forsett eller grov uaktsomhet fra leverandørens side, er leverandøren erstatningsansvarlig for eventuelle tap Difi måtte lide grunnet misligholdet. Difi har også rett til å søke regress hos leverandør hvis Difi mottar krav som følge av slikt mislighold.

10.2.2 Difis erstatningsansvar

Difi er ikke ansvarlig for tap som kunden lider på grunn av mislighold eller feil i fellesløsningene med mindre dette skyldes vesentlig mislighold, og det foreligger grov uaktsomhet eller forsett fra Difis side. Ansvaret er under enhver omstendighet begrenset til kundens direkte tap og oppad begrenset til kr 20 000 per skadetilfelle. Difis ansvar for feil begått av leverandører er uansett begrenset til det beløp som Difi oppnår fra leverandøren som erstatning for kundens tap i hvert enkelt tilfelle.

10.2.3 Tap som følge av mislighold eller feil hos Difis leverandører

Kundens tap som skyldes mislighold eller feil hos en leverandør som Difi har avtale med, vil i henhold til avtale mellom Difi og leverandøren kunne regnes som direkte tap som utløser krav på erstatning fra leverandøren. Leverandørens erstatningsansvar må vurderes konkret i hvert enkelt tilfelle. Kunden må fremsette sitt krav for Difi, som vurderer om det er grunnlag for å fremme krav mot leverandøren.

10.2.4 Avgrensing mot indirekte tap

Det kan ikke kreves dekning for indirekte tap, med mindre det foreligger forsett.

10.3 Sanksjoner

Ved vesentlig mislighold av vilkårene kan Difi koble fra leverandøren og nekte integrasjon mot fellesløsningene for kortere eller lengre tid. Det er Difi som avgjør lengde på denne utestengelsen.   

Ved slike tilfeller har leverandør plikt til, for egen regning, å avhjelpe sin(e) kunde(r) i forhold til eventuelle ulemper frakoblingen måtte medføre.  

11. Endring av bruksvilkår

Difi kan endre bruksvilkårene med en måneds varsel. Varsling skjer gjennom Samarbeidsportalen.

12. Oppsigelse

Leverandøren kan si opp disse vilkårene med 3 måneders skriftlig varsel.