Bruksvilkår: Digital post til virksomheter

Versjon

Endring

Dato

1.0

Opprinnelig versjon.

20.04.2017

 

1       Beskrivelse av tjenesten Digital post til virksomheter - DPV

Tjenesten Digital post til virksomheter er et ferdig sett meldingstjenester i Altinn-løsningen, som kan tas i bruk av avsendere uten at det må utføres tjenesteutvikling. Funksjonaliteten er nærmere beskrevet i bruksvilkårenes kapittel 3.

Det er Brønnøysundregistrene som, i kraft av sin rolle som Altinn sentralforvaltning (ASF), tilbyr tjenesten.

2       Virksomheter som kan benytte tjenesten
Digital post til virksomheter

Følgende virksomheter kan benytte seg av meldingstjenesten Digital post til virksomheter:

Offentlig virksomhet og virksomheter som utfører oppgaver på vegne av, og som helt eller delvis er finansiert av, det offentlige. Dette omfatter blant annet alle sentrale og lokale statlige organer, herunder tilsyn, ombud og direktorater, alle fylkeskommuner, kommuner og kommunale etater, samt offentlig eide selskaper som bare leverer tjenester til det offentlige (egenregi). I tillegg omfattes private virksomheter som treffer vedtak etter forvaltningsloven, og private virksomheter som yter tjenester etter avtale med og på vegne av det offentlige, men da begrenset til den delen av virksomheten som omfattes av forvaltningsloven eller utføres på vegne av det offentlige.

Det skal også være mulig å knytte til andre virksomheter eller utøvere av aktiviteter, som ikke faller direkte inn under avgrensningene ovenfor, men som likevel må anses som offentlig virksomhet. Offentlig virksomhet må i denne sammenheng avgrenses mot virksomhet som anses som ervervsvirksomhet i henhold til konkurranse- og statsstøtteregelverket. Relevante momenter i denne vurderingen vil blant annet være om virksomheten faller inn under forvaltningslovens og/eller offentlighetslovens virkeområde, om de aktuelle tjenester utøves i allmennhetens interesse, om tjenestene tilbys i konkurranse med private aktører, om det offentlige helt eller delvis finansierer tjenestene, og om det tas betalt for tjenestene fra sluttbrukerne utover det som er nødvendig for dekning av utøverens kostnader.

Det er Brønnøysundregistrene som avgjør om en virksomhet kan benytte seg av tjenesten Digital post til virksomheter.

Statsaksjeselskaper og offentlig eide virksomheter som helt eller delvis driver i konkurranse med private virksomheter, kan ikke benytte tjenesten, med mindre de treffer vedtak etter forvaltningsloven eller utfører oppgaver på vegne av, og helt eller delvis finansiert av det offentlige, men da begrenset til den delen av virksomheten som omfattes av forvaltningsloven eller utføres på vegne av det offentlige.

De virksomhetene som benytter tjenesten Digital post til virksomheter, benevnes i bruksvilkårene som kunden eller Tjenesteeier DPV.

3       Funksjonalitet

Altinn tilbyr et ferdig sett med meldingstjenester til bruk i DPV. Dette er fellestjenester som alle avsendere av DPV kan benytte uten noen form for tjenesteutvikling på forhånd. Det er foreløpig utviklet 10 ulike meldingstjenester innenfor ulike tjenesteområder, inkludert en generell kategori:

  • Post fra det offentlige innenfor administrasjon
  • Post fra det offentlige innenfor plan, bygg og geodata
  • Post fra det offentlige innenfor helse, sosial og omsorg
  • Post fra det offentlige innenfor oppvekst og utdanning
  • Post fra det offentlige innenfor kultur, idrett og fritid
  • Post fra det offentlige innenfor trafikk, reiser og samferdsel
  • Post fra det offentlige innenfor natur og miljø
  • Post fra det offentlige innenfor næringsutvikling
  • Post fra det offentlige innenfor skatter og avgifter
  • Post fra det offentlige innenfor tekniske tjenester

Alle disse meldingstjenestene er knyttet opp til en ny rolle i Altinn-løsningen ved navn «Post/Arkiv».

3.1      Funksjonalitet, overordnet

Eksisterende grunnfunksjonalitet for forsendelse av meldinger i Altinn dekker behov for forsendelse, statusoppdatering, varslinger og revarsling (varsling på nytt om en melding ikke er åpnet). I tillegg til eksisterende funksjonalitet er det for DPV lagt inn mulighet for:

  • Å sende post på vegne av annen virksomhet. En mottaker vil da kunne se hvem som er den faktiske avsender, ikke den tekniske avsender. Altinn loggfører både hvem som er teknisk og hvem som er faktisk avsender.
  • Styrt brukertilgang til post via rollen «Post/Arkiv»
  • Mulighet for å lese status på inntil 10.000 meldinger av gangen 

Avsendere må integrere seg mot Altinns webtjenester eller benytte Difis Integrasjonspunkt. Ta kontakt med Difi for å melde interesse som tidlig bruker; idporten@difi.no. Kommuner kan benytte KS sin løsning (SvarUt).

3.2      For sluttbruker

Det blir enklere for alle mottakere av post når denne er knyttet til en generell rolle uansett hvem som er avsender.  Sluttbruker vil da kun delegere tilganger til en virksomhet sin post én gang for å gi tilgang til all post fra alle avsendere.

De som skal lese post for en virksomhet må ha rollen «Post/Arkiv».  Alle som har en nøkkelrolle i en virksomhet får denne rollen automatisk. Rollen «Post/Arkiv»kan delegeres videre til:

  • Andre privatpersoner
  • Andre virksomheter
  • Virksomhetsbrukere (som benytter virksomhetssertifikat)

Det er kun de som har nøkkelrolle eller har fått delegert rollen «Tilgangsstyring» kan delegere videre.

Sluttbrukere kan integrere sine IKT-løsninger mot egen meldingsboks i Altinn, slik mange allerede har gjort siden Altinns begynnelse. Altinn tilbyr Web Services enten i form av SOAP eller REST.

3.3      For avsender

DPV er basert på dagens meldingstjenester i Altinn med noen få valgfrie endringer. Dagens tjenesteeiere kan fortsatt benytte eksisterende meldingstjenester, men bør vurdere overgang til de generelle og felles meldingstjenestene som nå er ferdig utviklet i Altinn, der Altinn står som forvalter og tjenesteutvikler.

En avsender kan sende post ved å knytte seg til Altinns Web Service grensesnitt «InsertCorrespondence», eller på Batch (SFTP).  Når en offentlig virksomhet er registrert i Altinn som tjenesteeier eller gjort avtale for bruk av DPV kan man benytte DPV og de felles meldingstjenestene direkte ved:

  • å bestille brukernavn + passord eller
  • å benytte eget virksomhetssertifikat

Dagens tjenesteeiere kan benytte eksisterende grensesnitt, det er kun gjort noen valgfrie endringer for økt funksjonalitet.

3.4      Mer informasjon


ASF vil gjøre tilgjengelig en mer teknisk Implementasjonsguide på Altinnett. Inntil videre, ta kontakt med Altinn servicedesk@altinn.no for teknisk hjelp. 

4       Altinn sentralforvaltnings (ASF) oppgaver overfor Tjenesteeier DPV

Ytelse

Tjenestenivå

Måle/­kontrollmetode

Tilgjengelighet på produksjonssatte basis tjenester som tilbys fra Altinn

-       Driftstid 00:00 – 24:00 mandag – søndag med unntak av planlagt vedlikehold som skal varsles 5 virkedager i forkant.

-       99,8 % tilgjengelig i driftstiden målt pr. kalendermåned.

Måles i avtalte bruksmønstre med leverandør. Avvik behandles i månedlig leveransemøte med drifts- og applikasjonsdriftsleverandør. Vil bli rapportert månedlig

Varsel om planlagt vedlikehold og øvrige driftsvarsler

-       Vedlikehold som kan medføre redusert ytelse eller tilgjengelighet på tjenester skal varsles minimum 5 virkedager før vedlikeholdet skjer

Varsles via kanalen for driftsmeldinger til Tjenesteeier DPV. Avvik rapporteres.

Planlagte endringer i Altinn som medfører behov for endringer hos tjenesteeiere/sluttbrukersystem-leverandører.

-       Planlagte endringer som påvirker grensesnitt eller tjenester i Altinn, der dette krever endringer hos tjenesteeiere DPV for at tjenestene skal være tilgjengelig, varsles senest 6 måneder før endring skjer.

-       ASF skal sette av tilstrekkelig med tid for test av slike endringer i forkant av produksjonssetting.

Måles ut i fra innmeldte saker til ASF.  Eventuelle avvik håndteres med den enkelte Tjenesteeier

Åpningstid på e-post Tjenesteeier DPV:

servicedesk@
altinn.no

-       Åpningstid alle virkedager 08:00 -15:45 (sommertid 08:00-15:00).

Avvik dokumenteres manuelt

 

 

5       Tjenesteeier DPVs oppgaver overfor Altinn sentralforvalnting

Ytelse

Tjenestenivå

Etablering av og informasjon om ansvarlig kontaktpunkt

Ved aksept av disse bruksvilkår, skal servicelederrollen etableres hos Tjenesteeier DPV.

Serviceleder er kontaktpunkt og ansvarlig overfor ASF tilknyttet daglig drift. Dette innebærer også informasjon- og merkantilt ansvar. Kontaktpunktet må enten ha en fast stedfortreder, eller være satt opp med en felles e-postadresse og telefonnummer som flere har tilgang til i tilfelle fravær.

Tjenesteeier DPV plikter å oversende oversikt over kontaktperson og kontaktinformasjon (navn, e-post og telefonnummer (inkludert mobil) til ASF

Brukerstøtte

Tjenesteeier DPV skal ha nødvendig brukerstøtte overfor sluttbruker for egne tjenester

 

6       Behandlingsansvar

Brønnøysundregistrene v/Altinn sentralforvaltning er behandlingsansvarlig, jf personopplysningsloven, for:

  • Utdrag fra det sentrale folkeregisteret (DSF) i henhold til tillatelse fra Skattedirektoratet
  • Personopplysninger i registerdatabasen i Altinn-løsningen
  • Personopplysninger i brukerens meldingsboks
  • Bruk av personopplysninger i autentiseringsløsningen
  • Fullmakter og rettigheter tildelt og registrert i autorisasjonsløsningen
  • Alle logger i Altinn-løsningen
  • Tiltrodd tredjeparts arkiv (TTP-arkiv)

 

ASF er databehandler for

  • Personopplysninger i brukerens arbeidsdatabase lagret på vegne av Tjenesteeier
  • Personopplysninger i servicearkivet lagret på vegne av Tjenesteeier
  • Personopplysninger som behandles ved bruk av grensesnitt i Altinn for utveksling av autorisasjonsinformasjon
  • Personopplysninger som behandles ved bruk av grensesnitt i Altinn for utveksling av logginformasjon (TTP logg)

Tjenesteeier DPV innestår for å ha rettslig grunnlag etter personopplysningsloven for bruken av disse personopplysningene, jf. personopplysningsloven §§ 8, 9 og 11, og ha oversikt over hvilke personopplysninger som overføres ved bruk av tjenesten DPV.  

Tjenesteeier DPV skal kunne godtgjøre det foreligger tillatelse fra Skattedirektoratet til å motta ønskede folkeregisteropplysninger.

Databehandlingen kan utføres av underleverandører. ASF er overfor Tjenesteeier DPV ansvarlig for at underleverandører utfører sine oppgaver i overensstemmelse med disse bruksvilkårene og personopplysningsloven.

ASF er forpliktet til å ivareta det ansvar for informasjonssikkerhet som tilligger databehandler i henhold til personopplysningslovens § 13 og personopplysningsforskriften kap. 2. Informasjonssikkerhet omfatter:

  • Sikring av konfidensialitet; beskyttelse mot at uvedkommende får innsyn i opplysningene
  • Sikring av integritet; beskyttelse mot utilsiktet endring av opplysningene
  • Sikring av tilgjengelighet; sørge for at tilstrekkelige og relevante opplysninger er til stede

ASF plikter for øvrig å etterkomme krav til databehandlingen som ellers følger av relevante lover og forskrifter. Databehandlingen vil i tillegg utføres i henhold til gjeldende systemdokumentasjon og øvrige rutinebeskrivelser for tjenesten.

Dokumentasjon på dette skal på forespørsel være tilgjengelig for Tjenesteeier DPV, Datatilsynet og Personvernnemnda.

Ved opphør av tjenesten DPV, vil ASF slette informasjon tilknyttet tjenesteeier DPV i Tjenesteeiers arkiv.

7       Avvik/sikkerhetsbrudd 

Ved hendelser som har sikkerhetsmessig konsekvens i forhold til konfidensialitet og integritet av informasjon og data, skal partene informere hverandre uten ugrunnet opphold.

Ved en sikkerhetshendelse skal partene så snart som mulig oversende den annen part en redegjørelse for hendelsen, og hvilke tiltak som er iverksatt eller skal iverksettes.

Ved konfidensialitetsbrudd, er det den behandlingsansvarlige som skal sørge for avviksmelding til Datatilsynet, jf personopplysningsforskriften § 2-6.

Ved hendelser knyttet til tjenesten Digital post til virksomheter, skal Brønnøysundregistrene håndtere informasjon overfor sluttbruker og presse, med mindre partene avtaler noe annet for det enkelte tilfellet.

8       Krise- og beredskapsplaner

Tjenesteeier DPV skal ha nødvendige krise- og beredskapsplaner.

9       Ansvar for underleverandører

Dersom en av partene engasjerer underleverandører til å utføre oppgaver som følger av disse bruksvilkår, er parten fullt ut ansvarlig for utførelsen av disse oppgavene på samme måte som om parten selv stod for utførelsen.

10   Taushetsplikt

Forvaltningslovens taushetspliktbestemmelser kommer til anvendelse for  Altinn sentralforvaltning, Tjenesteeier DPV, og eventuelle underleverandører partene benytter.

Partene, og eventuelle underleverandører, skal ta nødvendige forholdsregler for å hindre at uvedkommende får innsyn i eller kan bli kjent med taushetsbelagt materiale eller informasjon.

Om nødvendig skal det undertegnes taushetserklæring. Det skal i tilfelle angis hvilke opplysninger som omfattes av taushetsplikten, og hvordan den skal ivaretas.

Taushetsplikten gjelder også etter tjenestenes opphør. Ansatte eller andre som fratrer sin tjeneste hos en av partene eller deres underleverandører, skal pålegges å bevare taushet om forhold som er nevnt ovenfor, også etter fratredelsen.

11   Tjenesteeier DPV sine bruksrettigheter

Tjenesteeier DPV har en ikke-eksklusiv rett til å benytte tjenesten Digital post til virksomheter. Bruksretten er saklig begrenset til formålet med tjenesten, de rettigheter som følger av bruksvilkårene og underliggende avtaler, samt god forvaltningsskikk.

12   Mislighold

12.1   Reklamasjon

Bruksvilkårene misligholdes når en av partene ikke følger opp sine plikter og sitt ansvar knyttet til vilkårene. Ved mislighold skal den part som ønsker å gjøre misligholdet gjeldende, innen rimelig tid reklamere skriftlig til den andre part.

12.2   Rett og plikt til retting av mislighold

Den part som har misligholdt sine plikter etter vilkårene, har rett og plikt til å utbedre forholdet så raskt det er praktisk mulig.

Ved vesentlig mislighold fra kunden, kan Brønnøysundregistrene v/Altinn sentralforvaltning frakoble tjenesten Digital post til virksomheter inntil kunden har dokumentert at misligholdet er rettet.

12.3   Erstatning

Brønnøysundregistrene v/Altinn sentralforvaltning er ikke ansvarlig for tap som kunden lider på grunn av mislighold eller feil i Altinn-løsningen med mindre dette skyldes vesentlig mislighold, og det foreligger grov uaktsomhet eller forsett fra Brønnøysundregistrenes side.

Ansvaret er under enhver omstendighet begrenset til kundens tap og oppad begrenset til 20 000 pr skadetilfelle. Brønnøysundregistrenes ansvar for feil begått av leverandører er uansett begrenset til det beløp som Brønnøysundregistrene oppnår fra leverandør som erstatning for kundens tap i hvert enkelt tilfelle.

Det kan ikke kreves dekning for indirekte tap, med mindre det foreligger forsett.

13   Endring av bruksvilkår

Brønnøysundregistrene v/direktøren kan endre bruksvilkårene dersom det foreligger behov for dette.

Tjenesteeier DPV kan fremsette forslag om endring av bruksvilkårene skriftlig til Brønnøysundregistrene v/ASF.

Brønnøysundregistrene v/ASF skal informere om endringer i bruksvilkårene på Altinnett (https://altinnett.brreg.no). Tjenesteeier DPV forplikter seg å overholde alle krav i den til enhver tid gjeldende versjon av disse bruksvilkår.

 

14   Opphør/oppsigelse

Tjenesten «Digital post til virksomheter» kan benyttes av offentlige virksomheter for inntil 10.000 meldinger/transaksjoner pr år.

Offentlige virksomheter som har et volum på over 10.000 utsendinger til virksomheter pr år, må inngå ordinær Samarbeidsavtale med Altinn.

Kunden kan si opp sin bruk av tjenesten «Digital post til virksomheter» med en måneds skriftlig varsel.

15   Tvisteløsning

Eventuelle konflikter eller uenigheter mellom partene skal søkes løst gjennom dialog.

Dersom Tjenesteeier DPV er en statlig enhet gjelder følgende: Dersom konflikten ikke blir avklart ved dialog mellom partene innen rimelig tid, skal den avklares utenrettslig og på alminnelig forvaltningsmessig måte.

Dersom TjenesteeierDPV er en selvstendig juridisk person gjelder følgende: Dersom konflikten ikke blir avklart ved dialog mellom partene innen rimelig tid, kan søksmål reises for de alminnelige domstoler. Oslo tingrett vedtas som rett verneting.

16   Kostnader

Tjenesten koster kr 30.000,- inkl mva pr år for et transaksjonsvolum på inntil 10.000 utsendelser per år. Kostnader påløper  fra det tidspunkt disse bruksvilkårene undertegnes av tjenesteeier. For bruk av DPV bare deler av året, vil tjenesteeieren bli fakturert 1/12 av årsbeløpet for hver av de gjenstående måneder.

Fakturering skjer i februar hvert år.

Den enkelte tjenesteeier bærer selv alle kostnader i forbindelse med tilkobling. 

Publisert: 03.05.2017lba