Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Transkript

1 Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015)

2 Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE KOMMENTARER OM INFRASTRUKTUREN... 4 GENERELLE KOMMENTARER TIL BETINGELSERNE... 5 Betingelsernes opdeling, begreber og definitioner... 5 Hvem gælder Betingelserne for?... 5 Overordnet om forholdet mellem Digst og Brugerne... 6 Betingelsernes indledende afsnit accept af Betingelserne... 6 Vilkår for anvendelse af NemHandel... 6 Adgang til NemHandel Betingelsernes pkt Ændringer og opdateringer Betingelsernes pkt Servicemål for drift og support Betingelsernes pkt Ansvarsfraskrivelse Betingelsernes pkt Rettigheder til NemHandel Betingelsernes pkt Vilkår for dataudvekslingen mellem Brugerne Afsnit II... 8 Anvendelsesområde Betingelsernes pkt Dataudveksling Betingelsernes pkt Opdateringer og Nye Versioner Betingelsernes pkt Sikkerhed og fortrolighed Betingelsernes pkt Personoplysninger Betingelsernes pkt Ansvar Betingelsernes pkt

3 Side 3 af 12 Opbevaring af Forretningsdokumenter Betingelsernes pkt Afsluttende bestemmelser afsnit III Opsigelse Betingelsernes pkt Virkninger af ophør Betingelsernes pkt

4 Side 4 af 12 INDLEDNING Denne vejledning (herefter Vejledningen) omhandler Generelle Betingelser for anvendelse af NemHandel (herefter Betingelserne). Betingelserne med tilhørende bilag samt nærværende Vejledning er tilgængelig på Digitaliseringsstyrelsens hjemmeside. Den foreliggende udgave af Betingelserne er offentliggjort februar 2015 af Digitaliseringsstyrelsen (herefter Digst). Kommentarer eller spørgsmål vedrørende Betingelserne kan sendes til support@nemhandel.dk. Vejledningen indeholder dels en beskrivelse af NemHandel (herefter Infrastrukturen) samt Betingelsernes indhold og anvendelsesområde (Afsnit 0) og dels nogle specifikke kommentarer til Betingelsernes enkelte afsnit og bestemmelser. GENERELLE KOMMENTARER OM INFRASTRUKTUREN Formålet med Infrastrukturen er at sikre pålidelig og sikker udveksling af Forretningsdokumenter over ét eller flere netværk, herunder Internettet. Infrastrukturen kan anvendes til udveksling af Forretningsdokumenter (i) mellem offentlige myndigheder (ii), mellem virksomheder og offentlige myndigheder og (iii) mellem virksomheder. Infrastrukturen udgør et fundament for f.eks. sikker og pålidelig indberetning af data direkte fra virksomheders ERP-systemer til offentlige myndigheder samt sikker og pålidelig udveksling af e-fakturaer og e- ordrer. Infrastrukturen er bygget op omkring 4 elementer: Et NemHandelsRegister bestående af en adresseringsmekanisme, som kan benyttes af Serviceaftagere til at lokalisere Serviceudbyderens endepunkter (snitflader). Interoperabilitetsprofiler, der indeholder beskrivelser af hvilke webservice standarder, som skal benyttes i udvekslingen af forskellige Forretningsdokumenter mellem Serviceudbyder og Serviceaftager. En PKI-infrastruktur baseret på OCES (Offentligt Certifikat til Elektronisk Service), som muliggør sikker udveksling af Forretningsdokumenter.

5 Side 5 af 12 Et software toolkit og en referenceimplementering, som kan anvendes af softwareleverandører og systemintegratorer m.fl. til at udvikle Web-services til udveksling af Forretningsdokumenter via Infrastrukturen. GENERELLE KOMMENTARER TIL BETINGELSERNE Betingelsernes opdeling, begreber og definitioner Betingelserne består af et indledende afsnit (punkt 1), to hovedafsnit (punkt 3-16 og et afsnit III med afsluttende bestemmelser (punkt 17 23). Det indledende afsnit (punkt 1) omhandler Betingelsernes anvendelsesområde samt Brugernes accept af Betingelserne. Hovedafsnit I (punkt 3-9) omhandler vilkårene for anvendelsen af Infrastrukturen, herunder en regulering af Digst s forhold til Brugerne. Hovedafsnit II (punkt 10 16) fastsætter vilkårene for dataudveksling mellem Brugere af Infrastrukturen. Afsnit III (punkt 17 23) indeholder en række fælles afsluttende bestemmelser om blandt andet fornyelse af Infrastrukturen, opsigelse mv. I Betingelserne optræder en række definitioner og tekniske begreber, der er forklaret i punkt 23 i Betingelserne. Begreber, som er defineret i Betingelserne, er skrevet med store begyndelsesbogstaver både i Betingelserne og i denne Vejledning. Hvem gælder Betingelserne for? Betingelserne gælder for de myndigheder, virksomheder m.fl., der benytter Infrastrukturen, og de Individuelle Brugere. Betingelserne gælder dels i forhold til Digst og dels indbyrdes i forhold til de myndigheder, virksomheder m.fl., der udveksler Forretningsdokumenter via Infrastrukturen. Betingelserne regulerer med andre ord både vilkårene for at benytte Infrastrukturen og brugernes indbyrdes forhold i forbindelse med dataudvekslingen. I forhold til dataudvekslingen kan der være behov for at indgå supplerende aftaler mellem parterne.

6 Side 6 af 12 Overordnet om forholdet mellem Digst og Brugerne Digst stiller Infrastrukturen gratis til rådighed for Serviceudbydere og Serviceaftagere til udveksling af Forretningsdokumenter. Serviceudbydere kan således i medfør af Betingelserne Tilgængelliggøre Web-services via Infrastrukturen som led i datakommunikation med Serviceaftagere. Digst er ikke part i dataudvekslingsaftalerne mellem Brugerne og er derfor ikke en del af det aftaleforhold, der gælder mellem Brugerne. Digst har således f.eks. ikke noget ansvar for, at en dataudvekslingsaftale opfyldes. En Serviceaftager, der mener, at der er fejl eller mangler ved en Webservice, der er udbudt via Infrastrukturen, må således rette henvendelse til den Serviceudbyder, Serviceaftageren har indgået dataudvekslingsaftale med. Der henvises i øvrigt til Betingelsernes pkt. 8 og nedenfor under pkt Betingelsernes indledende afsnit accept af Betingelserne Infrastrukturen kan frit anvendes til udveksling af Forretningsdokumenter. Brugen af Infrastrukturen er dog betinget af, at Brugerne accepterer Betingelserne. I forhold til alle Brugere, så anses Betingelserne for tiltrådt/accepterede i forbindelse ved registrering i NemHandelsRegisteret, hvor den enkelte Bruger skal accept af Betingelserne ved første brug. Dette kan myndigheden gøre på egen hånd, via en udbyder af et kontrolleret netværk eller anden befuldmægtiget. Vilkår for anvendelse af NemHandel Adgang til NemHandel Betingelsernes pkt. 4 Adgang til brugen af Infrastrukturen opnås i overensstemmelse med anvisningerne i pkt. 4. Brugen af Infrastrukturen forudsætter, at Brugeren opfylder Betingelserne, andre retningslinjer for brugen af Infrastrukturen samt gældende lovgivning og myndighedsforskrifter. Skønner Digst, at Brugeren ikke lever op til disse krav, kan Digst lukke for Brugerens adgang til Infrastrukturen.

7 Side 7 af 12 Det er Brugernes eget ansvar at sikre, at deres IT-systemer er konfigureret og eventuelt tilrettet i nødvendigt omfang til at kunne anvende Infrastrukturen. Ændringer og opdateringer Betingelsernes pkt. 5 Digst vil løbende opdatere og videreudvikle Infrastrukturen. Oplysninger herom vil blive offentliggjort på under gruppen NemHandel. Enhver version af Infrastrukturen vil som minimum være gyldig og anvendelig i 2 år fra datoen for Digst tilgængeliggørelse af versionen. Digst kan dog foretage opdateringer og mindre ændringer under iagttagelse af Betingelsernes pkt og 5.3. Servicemål for drift og support Betingelsernes pkt. 6 Bestemmelserne i pkt. 6 afspejler det forhold, at Infrastrukturen består af såvel det overordnede NemHandelsRegister, der stilles til rådighed af Digst, som Replikerede Registre, der stilles til rådighed af Private Udbydere. Digst har alene ansvaret for NemHandelsRegisteret, som tilstræbes tilgængeligt for registrering og replikering 24 timer i døgnet, 7 dage om ugen, alle årets dage. Digst giver dog ingen garanti for opretholdelse af bestemte driftsmål, og Digst kan lukke for adgangen til NemHandelsRegisteret, hvis dette skønnes nødvendigt af Digst. For så vidt angår de Replikerede Registre er det den enkelte Private Udbyder, der har ansvaret herfor, og Digst har intet ansvar for Replikerede Registre, som ikke drives af Digst selv. Ansvarsfraskrivelse Betingelsernes pkt. 8 Digst er ikke part i dataudvekslingsaftaler mellem Brugerne, og aftaleforhold mellem Brugerne er derfor Digst uvedkommende, medmindre Digst selv optræder som Serviceudbyder eller Serviceaftager. Digst sikrer så vidt muligt, at Infrastrukturen er fri for fejl og tilgængelig, men påtager sig dog ikke noget ansvar herfor overfor Brugerne, ligesom Digst ikke påtager sig noget ansvar for Brugernes anvendelse af Infrastrukturen, herunder for fejl, forsinkelse, konverteringsfejl eller lignende i data udvekslet ved hjælp af Infrastrukturen. Rettigheder til NemHandel Betingelsernes pkt. 9

8 Side 8 af 12 Væsentlige dele af Infrastrukturen er underlagt en ophavsretlig beskyttelse, som Digst er indehaver af, og som andre, herunder Brugerne, i medfør af ophavsretsloven er forpligtet til at respektere, hvilket indebærer, at der ikke må foretages kopiering og/eller ske tilgængeliggørelse af disse dele, uden at Digst har givet samtykke hertil. Digst giver i Betingelserne samtykke til kopiering og tilgængeliggørelse af de beskyttede dele, idet samtykket for visse dele sker på en open source licens, mens øvrige dele stilles til rådighed som en almen brugsret i henhold til Betingelserne og eventuelle særskilte vilkår. Dette gælder såvel Serviceaftagere som Serviceudbyderes almindelige brug af Infrastrukturen som eventuel udvikling af selvstændige services og applikationer baseret på Infrastrukturen. For den del af Infrastrukturen, der er underlagt en open source licens, må der kun ske brug, videreudvikling mv. i overensstemmelse med såvel Betingelserne som de betingelser, der fremgår af open source licensen. Øvrige ophavsretligt beskyttede dele må kun anvendes i overensstemmelse med, hvad der må anses som sædvanlig og i forhold til Betingelserne formålsmæssig brug. Vilkår for dataudvekslingen mellem Brugerne Afsnit II Anvendelsesområde Betingelsernes pkt. 10 Det fremgår af bestemmelserne i pkt. 10, at Betingelsernes afsnit II udelukkende regulerer Brugernes udveksling af Forretningsdokumenter ved hjælp af Infrastrukturen og ikke Parternes underliggende kontraktlige forpligtelser. Er der behov for at regulere andre forhold mellem Parterne, må dette ske særskilt. Dataudveksling Betingelsernes pkt. 11 Efter pkt. 11 er Parterne forpligtet til at anvende og overholde de i pkt angivne standarder mv. ved dataudveksling med offentlige myndigheder. Dette gælder tilsvarende for dataudveksling med andre private Brugere, medmindre andet er aftalt. Private Brugere kan frit indgå særskilte aftaler om deres interne dataudveksling, hvis der i forbindelse med brugen af Infrastrukturen ønskes fravigelser i forhold til de anførte standarder mv.

9 Side 9 af 12 Pkt fastsætter tidspunktet for, hvornår meddelelser, anmodninger og opslag via Infrastrukturen anses for at være henholdsvis afsendt og kommet frem. Opdateringer og Nye Versioner Betingelsernes pkt. 12 Serviceudbydere er efter pkt. 12 forpligtet til at opdatere de Web-services, som anvendes til dataudveksling med Serviceaftageren, såfremt ændringer i lovgivning eller administrativ praksis nødvendiggør dette. Tilsvarende gælder ved ændringer i standarder mv. i det omfang Serviceudbyderen i aftaleforholdet med Serviceaftageren er forpligtet til at opfylde disse standarder mv. For så vidt angår Serviceaftagerne er det væsentligt at være opmærksom på, at Serviceudbyderen under opfyldelse af pkt kan ophøre med Tilgængeliggørelsen af tidligere Versioner af en Web-service efter Tilgængeliggørelsen af en Ny version. Sikkerhed og fortrolighed Betingelsernes pkt. 13 Pkt. 13 indeholder en regulering af Parternes forpligtelser i relation til itsikkerhed og fortrolighed, hvilket er helt afgørende i tilknytning til Webservices. Sikkerhedsniveauet skal fastlægges konkret ud fra arten af de omfattede data. Sker der udveksling eller anden behandling af personoplysninger, skal reglerne i Persondataloven overholdes. Persondatalovens samt Datatilsynets bekendtgørelse nr. 528 af 15. juni 2000 med efterfølgende ændringer om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen) indeholder specifikke krav vedrørende it- og datasikkerhed. Nærmere information findes på For så vidt angår staten skal standarden DS 484 følges. DS 484 indeholder de krav, som skal overholdes for at en organisation med rimelighed kan hævde at have en forsvarlig it-sikkerhedshåndtering. Derudover indeholder DS 484 skærpede krav, der finder anvendelse, når det er nødvendigt at stille særlige krav til it-sikkerheden. Information herom findes på Personoplysninger Betingelsernes pkt. 14 Hvis der i dataudvekslingen sker behandling af personoplysninger (dvs. oplysninger om bestemte, fysiske personer), skal det sikres, at

10 Side 10 af 12 behandlingen er forenelig med reglerne i lov om behandling af personoplysninger (nr. 429 af 31. maj 2000) med senere ændringer. Den Bruger, som er dataansvarlig for de personoplysninger, som udveksles via Infrastrukturen, skal sikre, at dette lovligt kan ske, og at de udveksles på korrekt vis. Den dataansvarlige bærer endvidere ansvaret for at påse, at formålet med udvekslingen af eventuelle personoplysninger er lovligt, herunder at andre Brugeres modtagelse af persondata til det specifikke formål kan finde sted. Det følger af lov om behandling af personoplysninger, 5, stk. 2 og 3, at Brugerne, når de er databehandlere, skal sikre sig, at indsamling af oplysninger sker til udtrykkeligt angivne og saglige formål, og at der ikke må indsamles og behandles oplysninger, udover hvad der er relevant og tilstrækkeligt. Det er endvidere en forudsætning, at Brugernes efterfølgende behandling af persondata er forenelig med de formål, den oprindelige indsamling af data havde. Brugerne er ansvarlige for, at de er berettiget til at behandle persondata, der måtte være omfattet af en Web-service og/eller anden dataudveksling, og at behandlingen sker til de angivne formål, hvilket en Bruger til enhver tid skal kunne dokumentere overfor en anden Bruger, som persondataene udveksles med. Herudover er Brugerne ansvarlige for, at Personoplysningsloven overholdes, og bør som følge heraf gøre sig bekendt med de pligter, der påhviler de aktører, som loven benævner henholdsvis dataansvarlig, databehandler, tredjemand, modtager og den registrerede. Endvidere forudsættes Brugerne at være bekendt med og efterleve god databehandlingsskik. Brugerne er også ansvarlige for, at der foretages den fornødne anmeldelse til Datatilsynet forud for behandling af data, hvis det er påkrævet. Det påhviler Brugerne at instruere medarbejdere, rådgivere og andre, der handler på vegne af Brugerne, om de vilkår og krav, der gælder for behandling af personoplysninger. Denne instruktionspligt gælder tilsvarende for de organisationer, der har ansatte eller lignende, som er registreret som Individuelle Brugere i Infrastrukturen. Det påhviler i øvrigt Brugerne at sikre, at lov om behandling af personoplysninger samt Datatilsynets forskrifter overholdes, herunder for så vidt angår logning af data, samt at der iværksættes og opretholdes fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger, som udveksles via Infrastrukturen, hændeligt eller

11 Side 11 af 12 ulovligt tilintetgøres, fortabes, forringes eller kommer til uvedkommendes kundskab. Ansvar Betingelsernes pkt. 15 Pkt. 15 regulerer Brugernes indbyrdes ansvar i forbindelse med brugen af Infrastrukturen. Det er i betingelserne fastlagt, at dansk rets almindelige regler finder anvendelse. Det har således ikke været meningen at give nogen af Parterne andre misligholdelsesbeføjelser, end hvad der ville gælde, hvis aftalen ikke blev indgået. Dog er der udtrykkeligt bestemt, at ingen af Parterne er ansvarlige overfor en anden Part for indirekte tab eller følgeskader ved en misligholdelse af Betingelserne. Opbevaring af Forretningsdokumenter Betingelsernes pkt. 16 Pkt. 16 fastsætter en bevisregel, hvorefter logfiler og udskrifter af Forretningsdokumenter, der udvekslet via Infrastrukturen, som udgangspunkt skal anses som bevis for de kendsgerninger, de vedrører, i forbindelse med en eventuel tvist mellem Parter. Dette indebærer, at domstolene alternativt en voldgiftsret skal lægge oplysninger, som fremgår af eksempelvis en logfil, til grund som et faktum, medmindre en Part fører bevis for det modsatte. Viser en logfil, at en e- mail er modtaget på et givent tidspunkt, vil dette således som udgangspunkt blive lagt til grund i en senere retssag. Navnlig på denne baggrund stilles der i pkt og 16.3 særlige krav til Parternes håndtering af logfiler og Forretningsdokumenter. Afsluttende bestemmelser afsnit III Opsigelse Betingelsernes pkt. 17 Digst foretager hver nat en automatisk verifikation af alle registreringer i NemHandelsRegistret. Verifikationen gennemføres med henblik på at vurdere om det angivne certifikat er gyldigt, om det registrerede endepunkt er aktivt og kan modtage dokumenter, og at der er konsistens i de registrerede data Såfremt en eller flere af disse forhold ikke er i orden, sendes en mail til endepunktets tekniske kontaktperson, hvori vedkommende anmodes om at rette op, således at endepunktet igen kan modtage dokumenter.

12 Side 12 af 12 Såfremt den teknisk kontaktperson efter gentagne henvendelser ikke reagerer, sletter Digitaliseringsstyrelsen, med et passende varsel den pågældende registrering. Organisationer, som gør brug af Infrastrukturen, skal i denne forbindelse være opmærksomme på, at organisationens adgang til at modtage dokumenter via Infrastrukturen i så fald vil ophøre for det pågældende endepunkt. Virkninger af ophør Betingelsernes pkt. 18 Pkt og 18.2 regulerer Digst adgang til at opsige Brugeres adgang til Infrastrukturen. Organisationer, som gør brug af Infrastrukturen, skal i denne forbindelse være opmærksomme på, at Digst opsigelse er bindende for organisationen, hvis blot den er kommet frem til én af de Individuelle Brugere i organisationen. Pkt. 18.3, 18.4 og 18.5 regulerer Brugernes, herunder Digst adgang til at opsige indbyrdes aftaler om dataudveksling.