​NemID tjenesteudbyderaftalen

 

Aftale består af to dokumenter

Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID

Generelle handelsbetingelser for ydelser fra Nets DanID

 

 

Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID A/S

Januar 2018

 

1. Formål og omfang

Ved indgåelse af denne aftale og opkobling til Nets DanIDs infrastruktur opnår NemID tjenesteudbyder ret til at benytte Nets DanIDs ydelser og tjenester til identifikation og signering, som nærmere specificeret i denne aftale. For at kunne benytte Nets DanIDs ydelser i infrastrukturen, skal NemID tjenesteudbyder indgå denne NemID tjenesteudbyderaftale (Aftalen), uanset om NemID tjenesteudbyder er koblet direkte på Nets DanIDs infrastruktur eller viderestilles via en driftsleverandør, offentlig SSO-service, samhandelspartner  eller ligende.

Denne Aftale omfatter modtagelse af OCES Certifikater.

Udover denne Aftale gælder Generelle handelsbetingelser  for ydelser fra Nets DanID A/S.

 

2. Ydelserne

 
2.1 Signatur tjenester

Nets DanID driver og vedligeholder et certificeringscenter, der udsteder OCES-certifikater og gør det muligt at kontrollere OCES-certifikaters gyldighed. NemID tjenesteudbyder kan således ved hjælp af Nets DanIDs CA-system få valideret en Brugers OCES-certifikat, herunder tjekke om certifikatet er gyldigt (ikke udløbet eller spærret).

Nets DanID har udarbejdet og vedligeholder en Certificate Practice Statement (CPS), der definerer det sikkerhedsniveau, som gælder for Nets DanIDs ydelser. CPS'en fremgår af www.certifikat.dk/repository.

Nets DanID udsteder og administrerer NemID, der er en sikkerhedsløsning til log-in og digital signering. Der kan til NemID knyttes en offentlig digital signatur med et OCES-certifikat.

 

2.2 NemID tjenesteudbyderpakke

Nets DanID stiller en NemID tjenesteudbyderpakke til rådighed for at NemID tjenesteudbyder kan tilkoble sig Nets DanIDs tjenester. NemID tjenesteudbyderpakken indeholder beskrivelser af og vejledning i brug af Nets DanIDs infrastruktur, fx spærrelistekontrol, LDAP opslag, basale testfunktioner m.v.

 

2.3 PID/RID

NemID tjenesteudbyder har mulighed for at fastslå en Brugers identitet ved hjælp af den PID/RID til CPR tjeneste, som udbydes af Digitaliseringsstyrelsen. Adgang til PID/RID tjenesten forudsætter, at NemID tjenesteudbyder indgår en tilslutningsaftale med tilhørende vilkår for anvendelse af tjenesten. Tilslutningsaftalen bestilles ved at udfylde en webformular på Nets DanIDs hjemmeside. Nets DanID administrerer aftalen for Digitaliseringsstyrelsen.

 

2.4 Andre ydelser

Såfremt NemID tjenesteudbyder ønsker at tilkøbe andre ydelser end de ovenfor anførte, skal der indgås særskilt aftale herom.

 

3. Nets DanID's pligter under drift

 

3.1 Nets DanID udsteder OCES-certifikater på baggrund af:
  • OCES CP'er fra Digitaliseringsstyrelsen
  • Nets DanIDs CPS
  • CA-system indeholdende adgang til brug for opslag i databasen over Certifikatindehavere
 
3.2 CP

Nets DanID overholder de krav, der fremgår af den til enhver tid gældende og relevante CP, herunder løbende opdatering og offentliggørelse af spærrelisten med maksimalt 12 timers intervaller.

 

3.3 Tilgængelighed

Der er, ved normal drift, adgang til spærrelisten 24 timer i døgnet alle ugens 7 dage.

For tilgængelighed og Service Level (SLA) henvises generelt til www.certifikat.dk/repository.  Ændringer i tilgængeligheden vil blive varslet 3 måneder før ikrafttræden og meddelt den af NemID tjenesteudbyder udpegede kontaktperson jf. webformularen på Nets DanIDs hjemmeside.

Midlertidige manglende tilgængelighed, fx manglende mulighed for at få oplysning om certifikaters status varsles ikke, når disse er forårsaget af akutte og ikke forudsete forhold. Nets DanID vil efterfølgende oplyse om sådanne uforudsete driftsforstyrrelser via www.nemid.nu.

 

3.4 Varsel ved ændringer

Ændringer af snitflader eller tekniske specifikationer, der har betydning for NemID tjenesteudbyders løsning varsles skriftligt overfor den i webformularen på Nets DanIDs hjemmeside angivne kontaktperson minimum 3 måneder forud for gennemførelse af ændringen.

 

4. NemID tjenesteudbyders pligter under drift

NemID tjenesteudbyder forpligter sig til at drive sin virksomhed på en måde, der ikke mo-ralsk eller etisk stiller Nets DanID i et dårligt lys eller bringer Nets DanID i miskredit.

 

4.1 NemID tjenesteudbyder skal som Signaturmodtager sikre sig at:
  • et modtaget Certifikat er gyldigt, dvs. at gyldighedsperioden, der fremgår af Certifikatet, ikke er overskredet
  • et modtaget Certifikat ikke er spærret, dvs. ikke opført på Nets DanIDs spærreliste på Nets DanIDs hjemmeside. Hvis Certifikatet ikke er udløbet eller spærret kan det lægges til grund i overensstemmelse med de eventuelle begrænsninger, der fremgår af Certifikatet for anvendelse
  • det formål Certifikatet søges anvendt til, er passende i forhold til de anvendelsesbegrænsninger, der er angivet i Certifikatet, fx certifikater til unge mellem 15 år og 18 år, hvoraf det fremgår "Ung mellem 15 og 18 - kan som udgangspunkt ikke lave juridisk bindende aftaler", samt
  • anvendelsen af Certifikatet i øvrigt er passende i forhold til det sikkerhedsniveau, som er beskrevet i den relevante CP.

NemID tjenesteudbyder skal indrette sin indholdstjeneste således at ovenstående forpligtelser kan overholdes.

 

4.2 Validering af Certifikater

NemID tjenesteudbyder skal validere certifikater mod den af Nets DanID offentliggjorte spærre-liste. NemID tjenesteudbyder kan vælge én af de muligheder, som Nets DanID stiller til rådig-hed (OCSP eller opslag i CRL). NemID tjenesteudbyders applikation bør indrettes således, at kontrol af et modtaget Certifikat sker på baggrund af en spærreliste, der er opdateret efter modtagelse af de signerede data. Såfremt NemID tjenesteudbyders applikation tilsiger det, skal NemID tjenesteudbyder vælge tillægsydelsen "Online Certificate Status Protocol (OCSP)" frem for standard opsætning, som er spærrelistetjek ved opslag i CRL. 
Hvis applikationen ikke foretager kontrol af Certifikat på baggrund af en spærreliste, der er opdateret efter modtagelse af de signerede data, bør NemID tjenesteudbyder kontrollere spærrelisten manuelt på Nets DanIDs hjemmeside eller vælge at lægge Certifikatet til grund efter foretagelse af risikovurdering af datas forretningsmæssige betydning.

NemID tjenesteudbyder bærer selv risikoen ved at lægge et Certifikat til grund kontrolleret mod en spærreliste, som er opdateret før modtagelse af signeret data.

 

4.3 Ikke kvalificeret certifikat

OCES-certifikater er ikke "kvalificerede Certifikater" jf. lov om elektronisk signatur og bør ikke anvendes i forhold, hvor kvalificerede Certifikater er påkrævet.

 

4.4 Dokumentation

NemID tjenesteudbyder skal selv opbevare den dokumentation, der godtgør at et Certifikat fra Nets DanID har været anvendt i en bestemt sammenhæng. NemID tjenesteudbyder er således ansvarlig for at opbevare dokumentation indeholdende den nødvendige information om transaktionerne fx logninger, der kan påvise dato og klokkeslæt for transaktionerne.

 

4.5 NemID tjenesteudbyders markedsføring

NemID tjenesteudbyder skal i sin markedsføring eller omtale af Nets DanIDs Certifikater og NemID følge Nets DanIDs retningslinjer eller anvisninger. NemID tjenesteudbyder må ikke i sin markedsføring skabe indtryk af, at de af NemID tjenesteudbyders varer eller tjenesteydelser udbydes, sælges eller på anden måde understøttes af Nets DanID.

 

4.6 Begrænsninger i NemID tjenesteudbyders brug af Certifikater

NemID tjenesteudbyder udbyder en elektronisk service og modtager i den forbindelse Nets DanIDs Certifikater i forbindelse med Brugernes log-in og signering.

Certifikater fra Nets DanID må ikke bruges til at generere eller signere Certifikater for andre eller i øvrigt danne grundlag for identifikation overfor tredjemand.

NemID tjenesteudbyder er indforstået med, at Nets DanIDs ydelser ikke må videreføres eller benyttes til at gennemstille Bruger til anden tjenesteudbyder, hvorved denne får mulighed for at benytte den forudgående autentifikation foretaget med brug af OCES-Certifikater og NemID med mindre andet aftales. Aftale om gennemstilling forudsætter, at den anden tjenesteudbyder, der gennemstilles til også har indgået en NemID tjenesteudbyderaftale med Nets DanID, og at der afregnes transaktionsvederlag pr. Bruger. Ved en anden tjenesteudbyder forstås en virksomhed, institution, organisation med et CVR-nummer, der er forskelligt fra det, som denne Aftale vedrører.

Anvendelse af services fra tredjemand, fx "Software as a Service", "Business Proces Outsour-cing", som indlejres i egen service, betragtes ikke som gennemstilling.

NemID tjenesteudbyder må alene benytte NemID til identifikation og elektronisk signering. NemID tjenesteudbyder må ikke understøtte løsninger, fx betalingsformidlingsløsninger, der indebærer, at Bruger vidende eller uvidende omgår sikkerheden i NemID, herunder bede Bruger om at videregive sin adgangskode og nøglekort/nøgleviser koder eller på anden måde overtræde Regler for brug af NemID til netbank og offentlig digital signatur med tillæg.

 

5. Vederlag og betaling [Punktet gælder ikke for offentlige myndigheder]

Nets DanIDs priser og afregningsmodeller for private virksomheder fremgår af bilag 2. Alle priser er anført i danske kroner og eksklusive moms.

 

5.1 Særligt for modtagelsen af Ikke-OTP-baserede signaturer

I forbindelse med modtagelse af ikke-OTP-baserede OCES signaturer, hvor OpenSign-applet eller NemID CodeFile-klient anvendes, herunder Medarbejdersignaturer som nøglefil samt Person- eller Medarbejdersignaturer på hardware/crypto-tokens, er NemID tjenesteudbyder forpligtet til at indsende opgørelse over modtagelsen af disse ikke-OTP-baserede signaturer. Opgørelsen fremsendes kvartalsvis senest 10 hverdage efter et kvartalsskift til Nets DanID via vores kontaktformular.

Opgørelsen skal indeholde:

  • Virksomhedens CVR-nummer
  • En opgørelse over antal unikke brugere, der har foretaget log-in og/eller signering med ikke-OTP-baserede OCES–signaturer, hvor OpenSign-applet eller NemID CodeFile-klient er anvendt i perioden hos NemID tjenesteudbyder
  • En opgørelse over antal ikke-OTP-baserede OCES-sessioner, antal log-ins og signeringer, hvor OpenSign-applet eller NemID CodeFile-klient er anvendt i perioden hos NemID tjenesteudbyder. 

 

  
5.2 Dokumentation for opgørelse

Ved valg af afregningsmodel jf. bilag 2, baseret på NemID tjenesteudbyders egen opgørelse af sessioner henholdsvis unikke brugere er NemID tjenesteudbyder på opfordring forpligtet til at fremlægge dokumentation for afregningsgrundlaget. Såfremt Nets DanID har begrundet mistanke om, at der er sket fejl i NemID tjenesteudbyders opgørelse kan Nets DanID kræve en kontrol gennemgang af NemID tjenesteudbyders afregningsgrundlag jf. punkt 5.3.

Indledningsvist gennemgår Nets DanID selv NemID tjenesteudbyders afregningsgrundlag og kan anmode NemID tjenesteudbyder om at levere supplerende dokumentation, hvis Nets DanID skønner, der er behov herfor.

 

5.3 Ekstern revision mv.

Såfremt Nets DanID, efter indhentning af supplerende dokumentation jf. punkt 5.2, skønner det nødvendigt, kan Nets DanID forlange at afregningsgrundlag og supplerende dokumentation bliver gennemgået og godkendt af en ekstern revisor.

Såfremt gennemgangen af NemID tjenesteudbyder log og afregningsgrundlag dokumenterer, at NemID tjenesteudbyder har afregnet mere end 3 % for lidt i forhold til det reelle forbrug i perioden, sker gennemgangen for NemID tjenesteudbyders regning. NemID tjenesteudbyder skal afregne eventuelt manglende betaling på Nets DanIDs anfordring.

Nets DanID forbeholder sig ret til at foretage gennemgang af NemID tjenesteudbyders afregningsgrundlag op til 2 år bagud.

NemID tjenesteudbyder kan rekvirere detaljeret dokumentation for Nets DanIDs afregnings-grundlag i op til 2 år tilbage og på dette grundlag få rettet eventuelle fejl.

 

6. Nets DanID's misligholdelse

 
6.1 Som Nets DanIDs væsentlig misligholdelse af denne aftale anses fx:
  • manglende overholdelse af OCES CP
  • manglende overholdelse af gældende lovgivning, herunder lov om behandling af personoplysninger
  • manglende overholdelse af tavshedspligt
  • manglende opdatering af register over afmeldte og spærrede Certifikater (spærrelister eller OCSP) eller undladelse af at gøre informationen tilgængelig indenfor det i CP'en forudsatte tidsinterval.

 

7. NemID tjenesteudbyders misligholdelse

 

7.1 Som NemID tjenesteudbyders væsentlig misligholdelse af denne aftale anses fx:
  • manglende overholdelse af forhold i denne Aftale, som er omfattet af OCES CP'en
  • manglende overholdelse af gældende lovgivning, herunder lov om behandling af personoplysninger og lov om betalingstjenester
  • manglende iagttagelse af tavshedspligten
  • manglende betaling af det i bilag 2 angivne vederlag
  • misbrug eller illoyal brug af NemID, Nets DanIDs navn og varemærker
  • uetisk eller umoralsk forretningsførelse.

 

8. Ophør

Ved ophør af Aftalen - uanset årsagen hertil – spærrer Nets DanID for NemID  tjenesteudbyders mulighed for at modtage Certifikater. Bruger kan fortsat anvende OTP-enhed og Certifikat, som han har fået udstedt af Nets DanID til log-in og signering overfor andre NemID tjenesteudbydere.

 

9. Godkendelse

Ved bestilling af "NemID tjenesteudbyder" jf. webformularen på Nets DanIDs hjemmeside accepterer udbyder at være bundet af de i denne Aftale angivne vilkår og Generelle handelsbetingelser for ydelser fra Nets DanID A/S.

 

Bilag

1. BILAG 1 SERVICE LEVEL AGREEMENT (SLA) OG SUPPORT

For denne Aftale gælder den på www.certifikat.dk/repository til enhver tid angivne SLA. Ved Aftalens indgåelse gælder SLA for produktionssystemer vedr. drift af Nets DanIDs infrastruktur til OCES digital signatur..
For denne aftale gælder den på www.certifikat.dk/repository til enhver tid angivne standardsupport.

 

2. BILAG 2 PRISER OG AFREGNINGSMODELLER – PRIVATE VIRKSOMHEDER

Private virksomheder kan vælge mellem 2 afregningsmodeller i forbindelse med etablering af en NemID tjenesteudbyderaftale. For begge afregningsmodeller gælder det, at afregning baseres på brugers anvendelse af sin adgangskode (Medarbejdersignaturer som nøglefil samt Person- eller Medarbejdersignaturer på hardware/crypto-tokens) eller sin bruger-id, password og en engangsnøgle fra sit nøglekort/nøgleviser (Person- eller Medarbejdersignaturer med OTP) på NemID tjenesteudbyders hjemmeside. Anvendelse af bruger-id, password og en engangsnøgle tæller med i anvendelsesopgørelsen uanset om Bruger opnår adgang til NemID tjenesteudbyders service eller ej.

Afregningsmodellerne gælder kun for private virksomheder. Offentlige virksomheder skal ikke vælge afregningsmodel, da løsningen er frikøbt i henhold til aftale af 21. august 2008 mellem Digitaliseringsstyrelsen og Nets DanID.

 

2.1 Sessionsafregning

For hver anvendelse, log-in og/eller signering, på en eller flere af NemID tjenesteudbyderens applikationer betales 1,04 kr. Prisen indeksreguleres årligt i henhold til Nets DanIDs Generelle handelsbetingelser for ydelser fra Nets DanID A/S.

Sessionsafregning faktureres bagud hvert kvartal.

 
2.2 Årlig afregning pr. unik Bruger

Der afregnes et årligt beløb på 3,25 kr. pr. unik Bruger pr. kalenderår, som anvender Digital Signatur eller NemID på en eller flere af NemID tjenesteudbyderens applikationer. Der er ingen begrænsninger i antallet af anvendelser pr. unik Bruger ved denne afregningsmodel. Prisen indeksreguleres årligt i henhold til Nets DanIDs Generelle handelsbetingelser for ydelser fra Nets DanID A/S.

Afregning finder sted pr. kalenderår årligt bagud.

 

2.3 Ændring af afregningsmodel

Der kan med 3 måneders skriftlig varsel til den 1. i en måned skiftes fra en afregningsmodel til en anden. Nets DanID A/S krediterer ikke for meget betalt såfremt en ændring i afregningsmodel betyder at en NemID tjenesteudbyder er berettiget hertil.

 

2.4 Valg af afregningsmodel

NemID tjenesteudbyder vælger én af følgende afregningsmodeller (sæt kryds):

  • Sessionsafregning
  • Årlig afregning pr. unik bruger

 

2.5 Tilkøb af relaterede ydelser

I forbindelse med etablering af en løsning hos en NemID tjenesteudbyder til håndtering af digital signatur kan der være behov for tilkøb af andre services. Aftale herom indgås i separat aftaledokument.