Fara beint í efnið

Ísland.is appið

Með ríkið í vasanum

Stafrænt Ísland Forsíða
Stafrænt Ísland Forsíða

Stafrænt Ísland

Þjónustuskilmálar þjónustukerfis

Almennt

Stafrænt Ísland er rekstraraðili þjónustukerfisins fyrir hönd fjármála- og efnahagsráðuneytisins (þjónustuveitandi). Ríkisstofnanir, ráðuneyti og aðrir opinberir aðilar geta nýtt kerfið (þjónustuþegar).

Tilgangur þjónustukerfisins er að auðvelda opinberum aðilum að halda utan um samskipti þeirra við almenning með miðlægu þjónustubeiðnakerfi. Kerfið getur tekið á móti mörgum tegundum fyrirspurna, s.s. úr tölvupóstum, símtölum, netspjalli, fyrirspurnarformum, samfélagsmiðlum og umsóknum úr Umsóknarkerfi Ísland.is.

Skilmálar þessir mynda samkomulag þjónustuveitanda (Stafrænt Ísland) og þjónustuþega (stofnun/opinber aðili) um þjónustuna. Skilmálunum er ætlað að skilgreina ábyrgðarsvið aðila þegar kemur að rekstri þjónustukerfisins.

Með því að nota þjónustuna samþykkir þjónustuþegi skilmála þessa.

1. Skilgreiningar

Þjónustuþegi: Stofnun eða opinber aðili sem notar þjónustuna.
Þjónustuveitandi: Stafrænt Ísland í umboði fjármála- og efnahagsráðuneytis.
Þjónustukerfi: Stafrænt Ísland rekur þjónustukerfið, slík kerfi eru kölluð mörgum nöfnum, t.d. „ticketkerfi“, beiðnakerfi, CRM kerfi o.fl. Kerfið sjálft er frá Zendesk.
Undirvinnsluaðili: Zendesk Inc. er undirvinnsluaðili Ísland.is á grundvelli vinnslusamnings.
Málshefjandi: Sá einstaklingur sem sendir inn erindi eða beiðni um þjónustu.

2. Skyldur aðila

Þjónustuveitandi er samningsaðili við Zendesk og ber ábyrgð á tæknilegri uppsetningu og grunnstillingu kerfisins. Þjónustuveitandi er vinnsluaðili gagnvart þjónustuþega að því marki sem hann vinnur persónuupplýsingar fyrir hans hönd.

Þjónustuveitandi skuldbindur sig til eftirfarandi:

  • Annast umsýslu notenda innan kerfisins. Starfsmenn þjónustuþega sækja um aðgang að kerfinu í gegnum miðlæga SSO-innskráningargátt Stafræns Íslands.

  • Veita þjónustuþega að stoð við innleiðingu þjónustukerfisins.

  • Útvega fræðslu og kennsluefni fyrir notendur kerfisins.

  • Aðstoða við tengingu milli þjónustukerfisins og málaskráningarkerfa þjónustuþega.

  • Sjá um tæknilega uppsetningu á þeim samskiptaleiðum innan kerfisins (þar á meðal tölvupósti, netspjalli, símtölum, samfélagsmiðlum og umsóknarkerfum) sem þjónustuþegi ætlar að nýta sér.

  • Hafa umsjón með almennri kerfisstillingu og virkni kerfisins.

  • Úthluta API-lykla (e. API tokens) eftir þörfum.

  • Annast uppsetningu samtenginga s.s. vefþjónusta og webhooks innan kerfisins.

  • Setja inn samþykkt öpp (forrit) sem tengjast kerfinu.

  • Sjá um skráningu og uppsetningu á OAuth Clients.

  • Halda þjónustuþega upplýstum um breytingar og nýjungar sem varða virkni eða þjónustuframboð innan kerfisins.

Þjónustuþegi, sem fær aðgang að kerfinu, gegnir hlutverki ábyrgðaraðila varðandi vinnslu persónuupplýsinga sem fer fram í tengslum við eigin notkun kerfisins, t.d. í tengslum við samskipti við málshefjendur og notendur sína.
Þjónustuþegi skuldbindur sig til að:

  • Meta og afgreiða aðgangsbeiðnir starfsmanna sinna að kerfinu.

  • Annast kerfisumsjón og tryggja viðhald og öryggi þeirra kerfishluta sem undir hann heyra.

  • Sjá um frekari aðlögun og stillingar eigin hluta kerfisins að lokinni formlegri innleiðingu.

  • Sjá um fræðslu og þjálfun starfsmanna sinna eftir að innleiðingarferli lýkur.

  • Hafa umsjón með og tryggja rétta áframsendingu netfanga í kerfinu, þar á meðal að SPF- og DNS-skrár séu rétt skráðar í samræmi við tæknilegar leiðbeiningar.

  • Vinna einungis með persónuupplýsingar í samræmi við gildandi lög og reglugerðir um persónuvernd og trúnaðarskyldu.

  • Gera ráðstafanir til að tryggja að notendur kerfisins innan eigin starfsemi séu upplýstir um og fari eftir kröfum og stefnu stofnunarinnar um öryggi, trúnað og vernd persónuupplýsinga.

Að öðru leyti gilda persónuverndarskilmálar Stafræns Íslands um vinnslu persónuupplýsinga í þjónustukerfinu, þar á meðal um skiptingu ábyrgðar, nema samið sé sérstaklega um annað.

Á grundvelli samkomulags aðila er þjónustuþega veittur aðgangur að þjónustunni. Með notkun á þjónustunni skuldbindur þjónustuþegi sig til að fylgja í einu og öllu þeim reglum og skilmálum sem um þjónustuna gilda.

2.1. Almennt um skyldur aðila

Þjónustuþegi ber ábyrgð á að upplýsingarnar komist ekki í hendur óviðkomandi aðila og að starfsfólk þjónustuþega sem aðgang hefur að atvikaskrám tryggi öryggi þeirra upplýsinga sem í þeim felast.

Ef þjónustuþegi útvistar kerfum sínum eða umsjón þeirra til þriðja aðila er slík vinna ávallt unnin á ábyrgð þjónustuþega.

3. Rekstur og þjónusta

Þjónustuveitandi ber ábyrgð á grunnrekstri kerfisins. Undir grunnrekstur fellur almennt utanumhald rekstrar, öflun hugbúnaðarins og viðskiptasamband við undirvinnsluaðila auk almennra öryggisstillinga í kerfinu. Þjónustuveitandi sér um almenna kennslu á kerfið og stýrir notendaumsjón, þ.m.t. stofnun nýrra notenda. Innskráning notenda í þjónustukerfið fer fram í miðlægum innskráningarportal (SSO) Stafræns Íslands.

4. Öryggismál

Þjónustuveitandi ber ábyrgð á að viðhafa viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi þjónustunnar. Öryggisráðstafanir skulu taka mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi, tilgangi vinnslu og áhættu á öryggisbresti.

Þjónustukerfi Stafræns Íslands (Zendesk) er SaaS kerfi sem er hýst í gagnaverum AWS innan EES. Gagnaverin hafa margvíslega öryggisvottanir, þ.m.t. ISO 27001, PCI DSS og SOC-2. Zendesk framkvæmir reglulega öryggisúttektir og vottanir á lausninni.

Högun kerfisins byggist á marglaga öryggi þar sem mismunandi einingar eru verndaðar samkvæmt bestu aðferðum um netöryggi. Stöðugt er fylgst með að netumferð sé með eðlilegum hætti auk þess sem veikleika kannanir eru framkvæmdar reglulega. Rekstraraðili (Zendesk) safnar gögnum um netumferð í miðlægt kerfi (SIEM) sem lætur öryggisvöktun vita af allri óeðlilegri umferð eða aðgerðum.

Fylgst er með tilraunum til árása allan sólarhringinn og eins með mögulegum áhættum á hverjum tíma. Zendesk viðhefur varnir við þjónustu-rofsárásum (DDoS) og vinnur með Cloudflare til að verjast mögulegum árásum á netjaðrinum (e. network edge defenses).

Öll netsamskipti við þjónustukerfið eru dulkóðuð með HTTPS/TLS. Tölvupóstsamskipti við þjónustukerfið eru dulkóðuð með TLS. Gögn sem geymd eru í kerfinu eru dulkóðuð með AES-256 lyklum.

Þjónustukerfið uppfyllir tæknilegar og skipulagslegar kröfur almennu persónuverndarreglugerðinnar ESB 2016/679 (GDPR) og íslenskra laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Gögnin eru vistuð innan EES samkvæmt samningi.

Þjónustuþega og þjónustuveitanda ber að tilkynna gagnaðila sem fyrst ef grunur leikur á óviljandi, óheimilli eða ólöglegri vinnslu upplýsinga eða ef grunur er uppi um hvers konar öryggisbrest við meðferð á upplýsingum sem fengnar eru úr þjónustunni. Tilkynninguna skal senda á almennt netfang viðkomandi aðila (í tilviki þjónustuþega, island@island.is). Í slíkri tilkynningu skal viðkomandi aðili lýsa eðli brestsins, þ.á.m. áætluðum fjölda skráðra einstaklinga sem hann varðar og notkun upplýsinganna. Þá skal viðkomandi aðili lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugað að gera vegna öryggisbrestsins. Þjónustuþegi ber ábyrgð á að tilkynna öryggisbrestinn til Persónuverndar innan 72 klst sé það krafa samkvæmt persónuverndarlöggjöfinni.

5. Ábyrgð

Þjónustuþegi skal halda þjónustuveitanda skaðlausum af hvers konar tjóni, kröfum, aðgerðum, skaða, ábyrgðum, sektum, refsingum og kostnaði (þ.m.t. lögfræðikostnaði) sem þjónustuveitandi kann að verða fyrir vegna eða í tengslum við aðgerðir eða aðgerðarleysi þjónustuþega, hvort sem það stafar af vanrækslu, ásetningi eða gáleysi þjónustuþega eða notenda í tengslum við notkun á innskráningarþjónustu þjónustuveitanda eða sem leiðir af broti gegn samkomulagi aðila. Skaðleysisábyrgð þessi takmarkar ekki með neinum hætti önnur samningsbundin eða lögbundin réttindi sem þjónustuveitandi kann að njóta gagnvart þjónustuþega og hugsanlegar bætur eða skaðleysisgreiðslur réttlæta ekki brot á skyldum og skuldbindingum þjónustuþega.

Þjónustuþegi ber ábyrgð á öllu tjóni sem hlýst af notkun hans eða notenda á þeim upplýsingum sem fara milli þjónustuveitanda og þjónustuþega.

Þjónustuveitandi ber ekki ábyrgð á tjóni vegna notkunar þjónustunnar sem hlýst af vanþekkingu, misskilningi eða misnotkun þjónustuþega eða notenda. Þjónustuveitandi ber ekki ábyrgð á tjóni sem stafar af því að búnaður þjónustuþega virkar ekki sem skyldi.

Þjónustuveitandi ber hvorki beint né óbeint ábyrgð á tjóni sem orsakast af fyrirvaralausri lokun þjónustunnar t.d. vegna bilana í hug- eða vélbúnaði þjónustuveitanda eða tengdum hug- eða vélbúnaði í eigu þriðja aðila eða af öðrum orsökum. Verði einhver mistök, truflanir eða tafir á þjónustu þjónustuveitanda skal ábyrgð hans takmarkast við að lagfæra slík mistök, truflanir eða tafir, svo fljótt sem auðið er.

Þjónustuveitandi ber eingöngu ábyrgð á tjóni þjónustuþega ef það má rekja til stórkostlegs gáleysis eða ásetnings starfsmanna þjónustuveitanda. Ábyrgð þjónustuveitanda nær í slíku tilviki eingöngu til beins tjóns en aldrei til afleidds tjóns sem verða kann af þessum sökum, s.s. rekstrarstöðvunar, tapaðra viðskipta eða álitshnekkis.

Um tjón vegna brota gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga fer samkvæmt 51. gr. laganna og 82. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679.

6. Greiðslur

Hvert leyfi kostar 7.000 kr. á mánuði og sendir þjónustuveitandi reikning vegna þeirra með reglubundnum hætti. Aðeins er greitt fyrir leyfi sem eru í notkun og tekur þjónustuveitandi út fjölda þeirra mánaðarlega. Þjónustuþegi getur sagt upp leyfum á milli mánaða og er því ekki skuldbundinn til þess að nýta þjónustuna.

7. Rekstraröryggi

Aðilar skuldbinda sig til að stuðla að öruggum rekstri þjónustunnar og vinna jafnframt sameiginlega að viðgerðum ef rekstrartruflanir verða.

Verði þjónustuþegi þess áskynja að þjónustan sé að einhverju leyti í ólagi ber honum að tilkynna þjónustuveitanda um það án tafar. Þjónustuþega er í slíkum tilvikum að jafnaði óheimilt að nota þjónustuna þar til þjónustuveitandi hefur lokið athugun sinni.

Ef nauðsynlegt reynist að loka þjónustunni tímabundið vegna viðhalds á kerfum, uppfærslu skráa, og/eða annarra tæknilegra aðgerða, vegna reksturs þjónustunnar, skal þjónustuveitandi tilkynna þjónustuþega um slíkt eins fljótt og kostur er en þó með a.m.k. sólahrings fyrirvara.

Þjónustuveitanda er heimilt að rjúfa aðgang þjónustuþega að þjónustunni án viðvörunar ef slíkt reynist nauðsynlegt vegna gruns um öryggisbrest hjá þjónustuþega eða ef þjónustuveitandi telur ljóst að búnaður þjónustuþega standist ekki kröfur þjónustuveitanda fyrir notkun þjónustunnar.

Ef þjónustuþegi eða þjónustuveitandi verður fyrir einhverjum hindrunum við að uppfylla samkomulagið gagnvart gagnaðila af ástæðum sem honum eru óviðráðanlegar, þá frestast viðkomandi skyldur til þess tíma er slíkar hindranir eru afstaðnar og aðilar samkomulagsins geta uppfyllt umsamdar skyldur sínar.

8. Uppsögn

Stofnun greiðir aðeins fyrir þau leyfi sem eru í notkun á hverjum tíma. Stofnun er heimilt, við hver mánaðarmót, óskað eftir uppsögn á hluta af leyfum eða öllum. Sé óskað eftir lokun á öllum leyfum jafngildir það uppsögn.

9. Trúnaðarskylda

Þjónustuveitandi skal gæta trúnaðar gagnvart þjónustuþega um upplýsingar sem leynt eiga að fara. Þjónustuveitandi skal gæta þess að starfsfólk og verktakar á sínum vegum riti undir trúnaðaryfirlýsingar eða séu bundnir þagnarskyldu samkvæmt lögum.

Þjónustuþegi skal í hvívetna gæta trúnaðar gagnvart notendum. Þjónustuþega er óheimilt að óska eftir eða nota upplýsingar sem honum hefur áskotnast í gegnum þjónustuna í öðrum tilgangi en til að auðkenna notanda á vefsvæði sínu, beinni auðkenningu eða samkvæmt umboði.

10. Persónuvernd

Í samræmi við lög um persónuvernd nr. 90/2018 sem og 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 er þjónustuþegi ábyrgðaraðili og þjónustuveitandi vinnsluaðili á persónugreinanlegum gögnum sem verða til og eru meðhöndlaðar í þjónustukerfinu.

Ábyrgðaraðili ákveður tilgang og aðferðir við vinnslu persónuupplýsinga og ábyrgist að hann hafi heimild til vinnslu þeirra persónuupplýsinga sem hann felur vinnsluaðila að vinna með í tengslum við þjónustuna. Vinnsluaðili vinnur með persónuupplýsingar f.h. ábyrgðaraðila, þær persónuupplýsingar sem eru honum nauðsynlegar til að veita þjónustu samkvæmt samningi þessum. Ábyrgðaraðili ber m.a. ábyrgð á að vinnsla persónuupplýsinga sé lögmæt og eigi sér stoð í 9. gr. og eftir atvikum 11. gr. laganna og að vinnsla persónuupplýsinga sé í samræmi við meginreglur laganna, sbr. 8. gr. laganna.

11. Breytingar á skilmálum

Þjónustuveitandi áskilur sér rétt til að gera breytingar á skilmálum þessum og skulu þær tilkynntar þjónustuþega í rafrænni tilkynningu sem send er á uppgefið netfang þjónustuþega eða með öðrum sannanlegum hætti a.m.k. hálfum mánuði áður en ný eða breytt ákvæði taka gildi. Á Ísland.is er jafnframt tilkynnt um nýja og/eða uppfærða skilmála áður en þeir taka gildi.

Þjónustuveitanda er heimilt að gera breytingar á skilmálum með skemmri fyrirvara ef slíkar breytingar á skilmálum eru nauðsynlegar samkvæmt lögum. Í slíkum tilvikum þar sem fyrirvarinn kann að vera skemmri skal þjónustuveitandi leitast við að tilkynna slíkar breytingar eins fljótt og mögulegt er.

Skilmálar þessir voru birtir: 1.9.2025.

Samstarf við Stafrænt Ísland
Stafræn vegferð í tölum
Vefir stofnana á Ísland.is