Vejledning om

Generelle Betingelser for anvendelse af NemHandel

Denne vejledning omhandler Generelle Betingelser for anvendelse af NemHandel. 

 

1
Kapitel
Indledning

Betingelserne med tilhørende bilag samt nærværende Vejledning er tilgængelig på digitaliser.dk i gruppen NemHandel.

Den foreliggende udgave af Betingelserne er offentliggjort november 2018 af Erhvervsstyrelsen (herefter ERST).

Kommentarer eller spørgsmål vedrørende Betingelserne kan sendes til support@nemhandel.dk.

Vejledningen indeholder dels en beskrivelse af NemHandel (herefter Infrastrukturen) samt Betingelsernes indhold og anvendelsesområde og dels nogle specifikke kommentarer til Betingelsernes enkelte afsnit og bestemmelser.

Generelle kommentarer om infrastrukturen

Formålet med Infrastrukturen er at sikre pålidelig og sikker udveksling af Forretningsdokumenter over ét eller flere netværk, herunder Internettet. 
Infrastrukturen kan anvendes til udveksling af Forretningsdokumenter (i) mellem offentlige myndigheder (ii), mellem virksomheder og offentlige myndigheder og (iii) mellem virksomheder.

Infrastrukturen udgør et fundament for f.eks. sikker og pålidelig indberetning af data direkte fra virksomheders ERP-systemer til offentlige myndigheder samt sikker og pålidelig udveksling af e-fakturaer og e-ordrer.

Infrastrukturen er bygget op omkring 4 elementer:

•    Et NemHandelsRegister bestående af en adresseringsmekanisme, som kan benyttes af Serviceaftagere til at lokalisere Serviceudbyderens endepunkter (snitflader).
•    Interoperabilitetsprofiler, der indeholder beskrivelser af hvilke web-service-standarder, som skal benyttes i udvekslingen af forskellige Forretningsdokumenter mellem Serviceudbyder og Serviceaftager.
•    En PKI-infrastruktur baseret på OCES (Offentligt Certifikat til Elektronisk Service), som muliggør sikker udveksling af Forretningsdokumenter. 
•    Et software toolkit og en referenceimplementering, som kan anvendes af softwareleverandører og systemintegratorer m.fl. til at udvikle Web-services til udveksling af Forretningsdokumenter via Infrastrukturen.

Generelle kommentarer til betingelserne

Betingelsernes opdeling, begreber og definitioner:

Betingelserne består af et indledende afsnit (punkt 2), to hovedafsnit (punkt 4 - 17) og et afsnit III med afsluttende bestemmelser (punkt 18 – 23).

  • Det indledende afsnit (punkt 2) omhandler Betingelsernes anvendelsesområde samt Brugernes accept af Betingelserne. 
  • Hovedafsnit I (punkt 4 - 10) omhandler vilkårene for anvendelsen af Infrastrukturen, herunder en regulering af ERST’s forhold til Brugerne. 
  • Hovedafsnit II (punkt 11 – 17) fastsætter vilkårene for dataudveksling mellem Brugere af Infrastrukturen.
  • Afsnit III (punkt 18 – 23) indeholder en række fælles afsluttende bestemmelser om blandt andet fornyelse af Infrastrukturen, opsigelse mv

I Betingelserne optræder en række definitioner og tekniske begreber, der er forklaret i punkt 1 i Betingelserne. 

Begreber, som er defineret i Betingelserne, er skrevet med store begyndelsesbogstaver både i Betingelserne og i denne Vejledning.

Hvem gælder Betingelserne for?

Betingelserne gælder for de myndigheder, virksomheder m.fl., der benytter Infrastrukturen, og de Individuelle Brugere.

Betingelserne gælder dels i forhold til ERST og dels indbyrdes i forhold til de myndigheder, virksomheder m.fl., der udveksler Forretningsdokumenter via Infrastrukturen. 

Betingelserne regulerer med andre ord både vilkårene for at benytte Infrastrukturen og brugernes indbyrdes forhold i forbindelse med dataudvekslingen. I forhold til dataudvekslingen kan der være behov for at indgå supplerende aftaler mellem parterne.

Overordnet om forholdet mellem ERST og Brugerne

ERST stiller Infrastrukturen gratis til rådighed for Serviceudbydere og Serviceaftagere til udveksling af Forretningsdokumenter.

Serviceudbydere kan således i medfør af Betingelserne tilgængeliggøre Web-services via Infrastrukturen som led i datakommunikation med Serviceaftagere.

ERST er ikke part i dataudveksling mellem Brugerne og er derfor ikke en del af det aftaleforhold, der gælder mellem Brugerne. ERST har således f.eks. ikke noget ansvar for, at dataudvekslingen opfyldes.

En Serviceaftager, der mener, at der er fejl eller mangler ved en Web-service, der er udbudt via Infrastrukturen, må således rette henvendelse til den Serviceudbyder, Serviceaftageren har indgået dataudvekslingsaftale med.

Der henvises i øvrigt til Betingelsernes pkt. 8 og nedenfor.

Betingelsernes indledende afsnit – accept af Betingelserne

Infrastrukturen kan frit anvendes til udveksling af Forretningsdokumenter. Brugen af Infrastrukturen er dog betinget af, at Brugerne accepterer Betingelserne.

I forhold til alle Brugere, så anses Betingelserne for tiltrådt/accepterede i forbindelse ved registrering i NemHandelsRegistret, hvor den enkelte Bruger skal acceptere Betingelserne ved første brug. Dette kan myndigheden gøre på egen hånd, via en udbyder af et kontrolleret netværk eller anden befuldmægtiget.

 

2
Kapitel
Vilkår for anvendelse af NemHandel

Hovedafsnit I

Adgang til NemHandel – Betingelsernes pkt. 5

Adgang til brugen af Infrastrukturen opnås i overensstemmelse med anvisningerne i pkt. 5.

Brugen af Infrastrukturen forudsætter, at Brugeren opfylder Betingelserne, andre retningslinjer for brugen af Infrastrukturen samt gældende lovgivning og myndighedsforskrifter. Skønner ERST, at Brugeren ikke lever op til disse krav, kan ERST lukke for Brugerens adgang til Infrastrukturen.

Det er Brugernes eget ansvar at sikre, at deres IT-systemer er konfigureret og eventuelt tilrettet i nødvendigt omfang til at kunne anvende Infrastrukturen.

Ændringer og opdateringer – Betingelsernes pkt. 6

ERST vil løbende opdatere og videreudvikle Infrastrukturen. Oplysninger herom vil blive offentliggjort på www.digitaliser.dk under gruppen NemHandel.

Enhver version af Infrastrukturen vil som minimum være gyldig og anvendelig i 2 år fra datoen for ERSTs tilgængeliggørelse af versionen. ERST kan dog foretage opdateringer og mindre ændringer under iagttagelse af Betingelsernes pkt. 6.2. og 6.3.

Servicemål for drift og support – Betingelsernes pkt. 7

Bestemmelserne i pkt. 7 afspejler det forhold, at Infrastrukturen består af såvel det overordnede NemHandelsRegister, der stilles til rådighed af ERST, som Replikerede Registre, der stilles til rådighed af Private Udbydere.

ERST har alene ansvaret for NemHandelsRegistret, som tilstræbes tilgængeligt for registrering og replikering 24 timer i døgnet, 7 dage om ugen, alle årets dage. ERST giver dog ingen garanti for opretholdelse af bestemte driftsmål, og ERST kan lukke for adgangen til NemHandelsRegistret, hvis dette skønnes nødvendigt af ERST.

For så vidt angår de Replikerede Registre er det den enkelte Private Udbyder, der har ansvaret herfor, og ERST har intet ansvar for Replikerede Registre, som ikke drives af ERST selv.

Sikkerhed og lovkrav – Betingelsernes pkt. 8

ERST har som offentlig myndighed været underlagt at opfylde ISO 27001-standarden siden primo 2016. Standarden tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed og er en afløser for den tidligere anvendte sikkerhedsstandard DS484. For yderligere information om ISO 27001-standarden henvises til Digitaliseringsstyrelsens hjemmeside.

Ansvarsfraskrivelse – Betingelsernes pkt. 9

ERST er ikke part i dataudvekslingsaftaler mellem Brugerne, og aftaleforhold mellem Brugerne er derfor ERST uvedkommende, medmindre ERST selv optræder som Serviceudbyder eller Serviceaftager.

ERST sikrer så vidt muligt, at Infrastrukturen er fri for fejl og tilgængelig, men påtager sig dog ikke noget ansvar herfor overfor Brugerne, ligesom ERST ikke påtager sig noget ansvar for Brugernes anvendelse af Infrastrukturen, herunder for fejl, forsinkelse, konverteringsfejl eller lignende i data udvekslet ved hjælp af Infrastrukturen.

Rettigheder til NemHandel – Betingelsernes pkt. 10

Væsentlige dele af Infrastrukturen er underlagt en ophavsretlig beskyttelse, som ERST er indehaver af, og som andre, herunder Brugerne, i medfør af ophavsretsloven er forpligtet til at respektere, hvilket indebærer, at der ikke må foretages kopiering og/eller ske tilgængeliggørelse af disse dele, uden at ERST har givet samtykke hertil.

ERST giver i Betingelserne samtykke til kopiering og tilgængeliggørelse af de beskyttede dele, idet samtykket for visse dele sker på en open source licens, mens øvrige dele stilles til rådighed som en almen brugsret i henhold til Betingelserne og eventuelle særskilte vilkår.

Dette gælder såvel Serviceaftagere som Serviceudbyderes almindelige brug af Infrastrukturen som eventuel udvikling af selvstændige services og applikationer baseret på Infrastrukturen.

For den del af Infrastrukturen, der er underlagt en open source licens, må der kun ske brug, videreudvikling mv. i overensstemmelse med såvel Betingelserne som de betingelser, der fremgår af open source licensen.

Øvrige ophavsretligt beskyttede dele må kun anvendes i overensstemmelse med, hvad der må anses som sædvanlig og i forhold til Betingelsernes formålsmæssige brug
 

 

3
Kapitel
Vilkår for dataudveksling mellem brugere

Hovedafsnit II

Anvendelsesområde – Betingelsernes pkt. 11

Det fremgår af bestemmelserne i pkt. 11, at Betingelsernes afsnit II udelukkende regulerer Brugernes udveksling af Forretningsdokumenter ved hjælp af Infrastrukturen og ikke Parternes underliggende kontraktlige forpligtelser.

Er der behov for at regulere andre forhold mellem Parterne, må dette ske særskilt.

Dataudveksling – Betingelsernes pkt. 12

Efter pkt. 12 er Parterne forpligtet til at anvende og overholde de i pkt. 12.1 angivne standarder mv. ved dataudveksling med offentlige myndigheder. Dette gælder tilsvarende for dataudveksling med andre private Brugere, medmindre andet er aftalt.

Private Brugere kan frit indgå bilaterale aftaler om deres interne udveksling af data, hvis der i forbindelse med brugen af Infrastrukturen ønskes fravigelser i forhold til de anførte standarder mv.

Pkt. 12.3 fastsætter tidspunktet for, hvornår meddelelser, anmodninger og opslag via Infrastrukturen anses for at være henholdsvis afsendt og kommet frem.

Opdateringer og Nye Versioner – Betingelsernes pkt. 13

Serviceudbydere er efter pkt. 13 forpligtet til at opdatere de Web-services, som anvendes til dataudveksling med Serviceaftageren, såfremt ændringer i lovgivning eller administrativ praksis nødvendiggør dette. Tilsvarende gælder ved ændringer i standarder mv. i det omfang Serviceudbyderen i aftaleforholdet med Serviceaftageren er forpligtet til at opfylde disse standarder mv.

For så vidt angår Serviceaftagerne er det væsentligt at være opmærksom på, at Serviceudbyderen under opfyldelse af pkt. 13.4 kan ophøre med Tilgængeliggørelsen af tidligere Versioner af en Web-service efter Tilgængeliggørelsen af en Ny version.

Sikkerhed og fortrolighed – Betingelsernes pkt. 14

Pkt. 14 indeholder en regulering af Parternes forpligtelser i relation til it-sikkerhed og fortrolighed, hvilket er helt afgørende i tilknytning til Web-services.

Sikkerhedsniveauet skal fastlægges konkret ud fra arten af de omfattede data. Sker der udveksling eller anden behandling af personoplysninger, skal reglerne i databeskyttelsesforordningen (jf. Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016)  og databeskyttelsesloven (jf. lov 2018-05-23 nr. 502) overholdes.

Personoplysninger – Betingelsernes pkt. 15

Hvis der i dataudvekslingen sker behandling af personoplysninger (dvs. oplysninger om bestemte, fysiske personer), skal det sikres, at behandlingen er forenelig med reglerne i databeskyttelsesforordningen mv., jf. ovenfor.

Den Bruger, som er dataansvarlig for de personoplysninger, som udveksles via Infrastrukturen, skal sikre, at dette lovligt kan ske, og at de udveksles på korrekt vis. Den dataansvarlige bærer endvidere ansvaret for at påse, at formålet med udvekslingen af eventuelle personoplysninger er lovligt, herunder at andre Brugeres modtagelse af persondata til det specifikke formål kan finde sted.

Det følger af databeskyttelsesforordningens art. 5, stk. 1, litra b, at Brugerne, herunder når de er databehandlere, skal sikre sig, at indsamling af oplysninger sker til ”udtrykkeligt angivne og legitime formål”, og at der ikke må indsamles og behandles oplysninger, udover hvad der er relevant og tilstrækkeligt.

Det er endvidere en forudsætning, at Brugernes efterfølgende behandling af persondata er forenelig med de formål, den oprindelige indsamling af data havde.

Brugerne er ansvarlige for, at de er berettiget til at behandle persondata, der måtte være omfattet af en Web-service og/eller anden dataudveksling, og at behandlingen sker til de angivne formål, hvilket en Bruger til enhver tid skal kunne dokumentere overfor en anden Bruger, som persondataene udveksles med.

Herudover er Brugerne ansvarlige for, at databeskyttelsesforordningen samt -loven overholdes, og bør som følge heraf gøre sig bekendt med de pligter, der påhviler henholdsvis dataansvarlig, databehandler, tredjemand, modtager og den registrerede. Endvidere forudsættes Brugerne at være bekendt med og efterleve god databehandlingsskik. Brugerne er også ansvarlige for, at der foretages den fornødne anmeldelse til Datatilsynet forud for behandling af data, hvis det er påkrævet.

Det påhviler Brugerne at instruere medarbejdere, rådgivere og andre, der handler på vegne af Brugerne, om de vilkår og krav, der gælder for behandling af personoplysninger. Denne instruktionspligt gælder tilsvarende for de organisationer, der har ansatte eller lignende, som er registreret som Individuelle Brugere i Infrastrukturen.

Det påhviler i øvrigt Brugerne at sikre, at databeskyttelsesforordningen og -loven samt Datatilsynets forskrifter overholdes, herunder for så vidt angår logning af data. Samtidig påhviler det brugerne at sikre, at der iværksættes og opretholdes fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger, som udveksles via Infrastrukturen, hændeligt eller ulovligt tilintetgøres, fortabes, forringes eller kommer til uvedkommendes kundskab.

Ansvar – Betingelsernes pkt. 16

Pkt. 16 regulerer Brugernes indbyrdes ansvar i forbindelse med brugen af Infrastrukturen.

Det er i betingelserne fastlagt, at dansk rets almindelige regler finder anvendelse. Det har således ikke været meningen at give nogen af Parterne andre misligholdelsesbeføjelser, end hvad der ville gælde, hvis aftalen ikke blev indgået. Dog er det udtrykkeligt bestemt, at ingen af Parterne er ansvarlige overfor en anden Part for indirekte tab eller følgeskader ved en misligholdelse af Betingelserne.

Opbevaring af Forretningsdokumenter – Betingelsernes pkt. 17

Pkt. 17 fastsætter en bevisregel, hvorefter logfiler og udskrifter af Forretningsdokumenter, der udvekslet via Infrastrukturen, som udgangspunkt skal anses som bevis for de kendsgerninger, de vedrører, i forbindelse med en eventuel tvist mellem Parter.

Dette indebærer, at domstolene – alternativt en voldgiftsret – skal lægge oplysninger, som fremgår af eksempelvis en logfil, til grund som et faktum, medmindre en Part fører bevis for det modsatte. Viser en logfil, at et forretningsdokument er modtaget på et givent tidspunkt, vil dette således som udgangspunkt blive lagt til grund i en senere retssag.

Navnlig på denne baggrund stilles der i pkt. 17.2 og 17.3 særlige krav til Parternes håndtering af logfiler og Forretningsdokumenter. 
 

 

4
Kapitel
Afsluttende bestemmelser

Afsnit III

Opsigelse – Betingelsernes pkt. 18

ERST foretager hver nat en automatisk verifikation af alle registreringer i NemHandelsRegistret. Verifikationen gennemføres med henblik på at vurdere om det angivne certifikat er gyldigt, om det registrerede endepunkt er aktivt og kan modtage dokumenter, og at der er konsistens i de registrerede data.

Såfremt en eller flere af disse forhold ikke er i orden, sendes en mail til endepunktets tekniske kontaktperson, hvori vedkommende anmodes om at rette op, således at endepunktet igen kan modtage dokumenter.

Såfremt den teknisk kontaktperson efter gentagne henvendelser ikke reagerer, sletter ERST, med et passende varsel den pågældende registrering.

Organisationer, som gør brug af Infrastrukturen, skal i denne forbindelse være opmærksomme på, at organisationens adgang til at modtage dokumenter via Infrastrukturen i så fald vil ophøre for det pågældende endepunkt.

Virkninger af ophør – Betingelsernes pkt. 19

Pkt. 19.1 og 19.2 regulerer ERSTs adgang til at opsige Brugeres adgang til Infrastrukturen.

Organisationer, som gør brug af Infrastrukturen, skal i denne forbindelse være opmærksomme på, at ERSTs opsigelse er bindende for organisationen, når den er kommet frem til én af de Individuelle Brugere i organisationen.