Udkast til WAYFs vilkår for NemLog-in

En Tjenesteudbyder (“TU”) er ved sin brug af NemLog-in gennem WAYF ved sin Tjeneste indforstået med følgende vilkår:

  • Tilslutning. For at få sin tjeneste tilsluttet NemLog-in gennem WAYF skal TU'en først tilslutte tjenesten til WAYF og være indforstået med vilkårene for TU'ens deltagelse i WAYF. TU'en får så adgang til identity provider'en NemLog-in ved derudover at tiltræde nærværende særlige vilkår, som i tilfælde af indbyrdes modsigelser har forrang for de netop omtalte generelle vilkår for TU'ens deltagelse i WAYF.
  • Kun for offentlige myndigheder. TU'en indestår over for WAYF for at autentifikationer som TU modtager fra NemLog-in gennem WAYF, alene benyttes af dataansvarlige hvis brug af autentifikationerne er omfattet af Bekendtgørelse om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer. Autentifikationer fra NemLog-in gennem WAYF må databeskyttelsesretligt alene modtages af offentlige dataansvarlige og må alene benyttes som led i løsning af myndighedsopgaver hos de modtagende dataansvarlige.
  • Sikringsniveauer. For hver del af sin tjeneste eller hele tjenesten skal TU'en fastsætte det minimalt nødvendige NSIS-sikringsniveau på grundlag af en risikovurdering. Vejledning og værktøj hertil findes på Digitaliseringsstyrelsens hjemmeside. TU'en er derudover indforstået med at autentifikationer fra NemLog-in gennem WAYF højst kan svare til NSIS-sikringsniveauet Betydeligt. TU'en må ikke på grundlag af en autentifikation fra NemLog-in gennem WAYF give den autentificerede nogen adgang til sin tjeneste som ifølge TU'ens risikovurdering forudsætter et højere NSIS-sikringsniveau end det som fremgår af autentifikationsbilletten. TU'en er derfor forpligtet til at kontrollere at sikringsniveauet i enhver autentifikationsbillet er tilstrækkeligt. [I virkeligheden kunne WAYF dog godt sørge for at Lav aldrig slipper igennem til SP'en hvis WAYF altid spørger NemLog-in om Betydelig (efter princippet: spørgeren tjekker niveauet, be it hubben eller sp'en). Det er blevet foreslået på erfamøde, og det er en oplagt mulighed for at skabe værdi med hubben: lave noget centralt som hver SP så slipper for at implementere. Så det skal vi lige overveje. Vi har bevidst ikke kommunikeret noget til SP'erne om det fordi vi på et tidligt tidspunkt regnede med kun at levere Betydelig og aldrig lav. ]
  • Single-sign-on. Tjenesten kun kan opnå single-sign-on med andre tjenester i NemLog-in-føderationen hvis udbyderen for tjenesten har registreret en single logout-URL; WAYFs kald heraf med en logout-forespørgsel skal medføre at brugeren mister sin session ved tjenesten, hvorpå tjenesten skal svare WAYF med et logout-svar.
  • Krypteringskrav. Tjenesten kan kun modtage autentifikationer fra NemLog-in gennem WAYF hvis dens udbyder har oplyst en offentlig krypteringsnøgle til WAYF. Her menes ikke TLS, men særskilt kryptering af autentifikationer før afsendelse til tjenesten.
  • Databeskyttelsesret. Dataansvarlig for de personhenførbare oplysninger som TU modtager i autentifikationsbilletterne fra NemLog-in gennem WAYF, er enten TU selv eller hver organisation på hvis vegne TU er tilsluttet NemLog-in gennem WAYF. Den dataansvarlige modtagers indsamling af persondata sker fra WAYF, som selv er dataansvarlig efter sin modtagelse af hver tilsvarende autentifikationsbillet fra Digitaliseringsstyrelsen. Formålet med WAYFs videregivelse af autentifikationssvarene til TU er at sikre at Slutbrugerne kan logge ind på TU's tjeneste. TU indestår over for WAYF for at hver autentifikation TU modtager fra NemLog-in gennem WAYF, ikke bruges af nogen dataansvarlig modtager på anden måde eller til andre formål end hvad der følger af lov om MitID og NemLog-in medmindre den modtagende dataansvarlige har et selvstændigt hjemmelsgrundlag for behandlingen. TU indestår også over for WAYF for at enhver dataansvarlig sletter de modtagne personoplysninger så snart de ikke længere er nødvendige for opfyldelsen af de formål hvortil de blev modtaget.
  • Formidlingsforbud. TU'en eller hver organisation på hvis vegne TU modtager autentifikationer fra NemLog-in gennem WAYF, må ikke videregive autentifikationerne til andre dataansvarlige.
  • Omfang af rådighed. WAYF kan kun kan stille NemLog-in til rådighed for TU'en i det omfang Digitaliseringsstyrelsen stiller NemLog-in til rådighed for WAYF. Eksempelvis må TU'en acceptere at NemLog-in gennem WAYF er ude af drift hvis Digitaliseringsstyrelsen har sat NemLog-in ud af drift over for WAYF. Derudover stiller WAYF kun selve autentifikationsløsningen og ikke andre elementer af NemLog-in (såsom digital signering) til rådighed for TU'en.
  • Ansvarsfraskrivelse. TU'ens brug af NemLog-in gennem WAYF sker på eget ansvar og uden muligt erstatningsansvar for WAYF. TU'en kan i relation til sin brug af NemLog-in gennem WAYF heller ikke rejse krav mod Digitaliseringsstyrelsen eller nogen af dens leverandører eller samarbejdspartnere medmindre den mulighed skulle følge af lovgivningen. TU'en hæfter for ethvert krav som måtte blive rettet mod WAYF som følge af brug i strid med nærværende vilkår af autentifikationer som TU har modtaget fra NemLog-in gennem WAYF.
  • Vilkårsændringer. Vilkårene her kan ændres uden varsel. TU'en er forpligtet til løbende at holde sig orienteret om de til enhver tid gældende vilkår som publiceret på www.wayf.dk.
  • Vederlagsfrihed. TU'ens brug af NemLog-in gennem WAYF sker vederlagsfrit. Autentifikationer til offentlige myndigheder og offentligretlige organer som udfører en myndighedsopgave fra tjenesten, er nemlig omfattet af fællesoffentlig finansiering.
  • Support. WAYF yder så vidt muligt TU'en support, ved tilslutning og løbende, som sigter på at få forbindelsen til NemLog-in til at fungere. Slutbrugerne skal TU'en selv supportere. Ved oplevede driftsforstyrrelser skal TU'en i udgangspunktet orientere sig på Digitaliseringsstyrelsens hjemmeside, kun sekundært på WAYFs.
  • Interface. WAYF tilbyder, meget fleksibelt, TU'en at modtage NemLog-in ad de samme protokoller og i de samme formater som WAYF bruger over for enhver anden tjeneste i føderationen.
  • De identificeredes alder. Autentifikationer modtaget fra NemLog-in kan svare til fysiske personer i alderen 13 år og opefter.
  • Opkrævningsforbud. TU'en må ikke opkræve gebyr fra slutbrugere for autentifikationer fra NemLog-in gennem WAYF.
  • Sikkerhedskrav. Det er TU's ansvar at sikkerheden i egen organisation og egne systemer er tilstrækkelig i forhold til egne behov. TU'en må ikke i nogen sammenhæng udsætte NemLog-in og tilknyttede løsninger, herunder MitID-løsningen, for sikkerhedsrisiko med hensyn til ægthed, integritet og fortrolighed. TU'en er forpligtet til uden ugrundet ophold at underrette slutbrugere og WAYF om eventuelle sikkerhedsbrud. I tilfælde af brud på persondatasikkerheden skal TU'en delagtiggøre WAYF i al korrespondance han måtte føre med Datatilsynet om bruddet.
  • Afledte identiteter. Hvis TU'en benytter en autentifikation fra NemLog-in gennem WAYF til at etablere en afledt identitet med egen autentifikationsmekanisme, må autentifikationer med en sådan mekanisme ikke fremstilles, omtales eller på anden måde gengives som en autentifikation fra NemLog-in eller en autentifikation fra en af identifikationsordninger som NemLog-in formidler, herunder MitID. Digitaliseringsstyrelsen eller WAYF kan på ingen måde gøres ansvarlig for sikkerhed eller andre forhold relateret til en sådan lokal autentifikation. Dét indebærer bl.a. at oplysninger om evt. spærring, suspendering af en slutbrugers identifikationsmiddel eller yderligere forhold om identiteten knyttet til NemLog-in ikke gælder for sådanne afledte identiteter hos TU'en. [TU'en skal i den sammenhæng informeres om sikkerhedsaspekterne vedrørende sådanne autentifikationer, -- sker dét bare ved at skrive det som står hér allerede? Intet specifikt at finde i brokeraftale eller tekniske vilkår for brokere] TU'en er selv ansvarlig og bærer selv risikoen for sådanne lokale autentifikationers validitet og sikkerhedsmæssige kvalitet.
  • Sessionsvarighed. TU'en skal konfigurere sit it-system sådan at evt. brugersessioner udløber efter at slutbrugeren har været inaktiv i en periode. Den samlede sessionslængde for en NemLog-in-autentifikation hos TU'en må maksimalt have en udstrækning på 8 timer, hvorefter slutbrugeren skal re-autentificeres via NemLog-in gennem WAYF. TU'en kan dog forlænge sessionen ud over de 8 timer hvis følgende krav er opfyldt:
    • Slutbrugeren er aktiv under hele sessionen, jf. krav om sessionsafslutning ved inaktivitet.
    • Der foreligger et konkret sagligt forretningsbehov for at den pågældende session skal have en sessionslængde på mere end 8 timer, herunder at formålet med slutbrugerens autentifikation og anvendelse af udbyderens tjeneste fortabes hvis sessionen ikke kan opretholdes.
    • Det er ikke muligt med rimelige midler at indrette udbyderens tjeneste sådan at forretningsbehovet fortsat kan opfyldes inden for en maksimale sessionslængde på 8 timer.
    WAYF videreformidler enhver login­forespørgsel fra TU'en til NemLog-in og har ingen sessionsdata ud over hvad der er nødvendigt for at kunne udføre single logout.
  • Kendetegn. Den visuelle identitet og de designkomponenter der stilles til rådighed for NemLog-in infrastrukturen, må alene anvendes i forbindelse med Autentifikation via NemLog-in. Det er ikke tilladt for TU'en at anvende disse til understøttelse af egne eller tredjeparts services. TU'en er forpligtiget til at overholde de gældende regler for brug af NemLog-ins og MitIDs kendetegn (herefter blot kendetegn), herunder navne, logoer og domænenavne samt øvrigt materiale med tilknytning til Digitaliseringsstyrelsens og Finans Danmarks samarbejde om MitID. Retningslinjer for UX/UI og kommunikation relateret til NemLog-in og MitID fremgår af Digitaliseringsstyrelsens Tjenesteudbydersite. TU har en brugsret til kendetegn og er forpligtet til at anvende disse kendetegn i forbindelse med at der tilbydes Autentifikation via NemLog-in-løsningen, og markedsføring heraf. Retningslinjerne kan ændres, og kendetegn kan ændres helt eller delvist. TU'en er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gældende retningslinjer. TU'en er ved ophør af brug af NemLog-in gennem WAYF forpligtet til at fjerne enhver henvisning til kendetegn og ophøre med brugen heraf medmindre anden aftale indgås med en rettighedshaver.
  • Spærring. WAYF kan spærre TU'ens adgang til at bruge NemLog-in hvis TU'en i væsentligt omfang ikke overholder nærværende vilkår, TU'ens adfærd i øvrigt udgør en sikkerhedsrisiko, eller TU'en udviser en adfærd der i væsentligt omfang påvirker eller er egnet til at påvirke Slutbrugernes opfattelse af NemLog-in og tilknyttede løsninger, herunder MitID-løsningen, negativt.