Fara beint í efnið
Stafrænt Ísland Forsíða
Stafrænt Ísland Forsíða

Stafrænt Ísland

Þjónustuskilmálar umsóknarkerfis Stafræns Íslands

Almennt
Stafrænt Ísland f.h. Fjármála- og efnahagsráðuneytisins (“Þjónustuveitandi”) er rekstraraðili umsóknarkerfis Ísland.is (“þjónustan”). Ríkisstofnanir, ráðuneyti og aðrir opinberir aðilar (“þjónustuþegi”) hafa aðgang að umsóknarkerfi Ísland.is til þess að færa beiðnir eins og umsóknir- og eyðublöð á stafrænt form inni á Ísland.is. Slíkar beiðnir geta t.d. verið afgreiðsla vottorða, leyfisumsóknir, breytingar á skráningu, móttaka erinda og svo framvegis. Umsóknarkerfi þjónustuveitanda er tvíþætt:
- Umsóknir settar upp með umsóknarsmið sem nýtir forsniðnar einingar til að setja upp einföld þjónustuferli sem svo skila sér í mála- eða starfakerfi þjónustuþega.
- Sérsniðnar umsóknir sem taka til flókinna þjónustuferla sem geta ekki notað forsniðnar einingar til að veita þjónustuna.
Skilmálar þessir ramma inn samband þjónustuþega og þjónustuveitanda vegna umsóknarkerfis. Skilmálunum er ætlað að skilgreina ábyrgðarsvið aðila þegar kemur að rekstri, viðhaldi og öðrum þáttum vegna umsóknarkerfis.

1. Skilgreiningar

Í skilmálum þessum, þar sem samhengi texta leyfir, skulu eftirfarandi hugtök skilgreind með þeim hætti sem hér segir:

Aðilar: Þjónustuveitandi og Þjónustuþegi.

Beiðni: Beiðni notanda um opinbera þjónustu sem miðlað er með umsókn.

Einföld umsókn: Umsókn sem smíðuð er með verkfæri sem fulltrúi þjónustuþega fær aðgang að. Slíkum umsóknum er stillt upp með forsniðnum einingum umsóknarkerfis og krefst ekki sérsniðinna eininga.

Notandi: Einstaklingur eða fulltrúi lögaðila sem sendir beiðni með umsókn.

Umsókn: Stafrænt umsóknarferli sem tekur á móti og miðlar beiðnum notanda til viðeigandi aðila.

Umsóknarkerfi: Kerfi þjónustuveitanda sem veitir notanda aðgang að umhverfi til að senda inn beiðnir um opinbera þjónustu til þjónustuþega.

Sérsniðin umsókn: Umsókn sem fellur utan forsniðinna eininga og krefst greiningar og séraðlögunar sem unnin er af teymi þjónustuveitanda.

Verkefnaviðauki: Sérstakur viðauki við skilmálanna í þeim tilfellum þar sem sérstakrar greiningar, hönnunar og uppsetningu nýrra eininga er þörf þar sem umsókn er lýst, kostnaðarskipting er ákveðin og sérstök ákvæði sem kunna að gilda um hverja og eina umsókn koma fram, s.s. líftími beiðna og greiðslur notanda.

Þjónustan: Rekstur þjónustuveitanda á umsóknarkerfi og aðstoð við kennslu á umsóknarsmið.

Þjónustuveitandi: Stafrænt Ísland f.h. fjármála- og efnahagsráðuneytis.

Þjónustuþegi: Lögaðili sem notar umsókn til að taka á móti beiðni.

2. Ósk um þjónustu

Þjónustuveitandi tekur við ósk þjónustuþega um veitingu þjónustunnar og aðgang að umsóknarkerfi og tilgreinir helstu umsóknir sem flytja á inn í umsóknarkerfi þjónustuveitanda. Í kjölfarið býður þjónustuveitandi upp á námskeið í smíði einfaldra umsókna, greiningu þjónustuferla og kynningu á verkfærinu.

Leiði greining umsóknar í ljós þörf á sérsniðnum einingum við smíði umsóknarinnar getur þjónustuþegi óskað eftir því við þjónustuveitanda að umsóknin verði skoðuð með það til hliðsjónar. Þjónustuveitandi tekur ávallt ákvörðun um hvort farið sé í slíkt verkefni og getur óskað eftir frekari gögnum þeirri ákvörðun til stuðnings. Ef niðurstaðan verður sérsniðin umsókn er stofnað til sérstaks verkefnis og verkefnaviðauki gerður um það verkefni.

Þjónustuveitanda er heimilt að synja ósk um veitingu þjónustunnar ef þjónustuveitandi telur t.d. að eðli hinnar opinberu þjónustu samræmist ekki umsóknarferli, uppfyllir ekki stefnu Stafræns Íslands um opinbera stafræna þjónustu eða ef þjónustuþegi hefur ekki fullnægjandi tæknilega innviði til að notast við umsóknarkerfi.

3. Verkefnaviðauki

Aðilar skulu gera sérstakan verkefnaviðauka vegna sérsniðinna umsókna, þar sem ábyrgðaskipting verkþátta er tilgreind og útlistuð.

Þjónustuþegi skal, áður en verkefnaviðauki er gerður, staðreyna hvort lagaleg atriði hamli stafrænni vinnslu umsókna.

4. Hlutverk aðila

Þjónustuveitandi ber ábyrgð á grunnrekstri þjónustunnar. Undir grunnrekstur fellur regluleg uppfærsla á hugbúnaði, lítilsháttar útlitsbreyting, almennar öryggisúttektir og bilanavakt á umsóknarkerfi.

Þjónustuþegi annast og ber ábyrgð á allri upplýsingagjöf og samskiptum við notendur. Þjónustuþegi ber ábyrgð á almennri fræðslu um virkni, notkun og áreiðanleika kerfanna sem og þeim upplýsingum sem koma fram á eigin vef og á vef þjónustuveitanda vegna umsóknar.

Þjónustuþegi skal kynna sér efnisstefnu þjónustuveitanda og gæta þess að umsóknir fylgi henni, eins og kostur er.

Prófanir á stöðluðum umsóknum eru framkvæmdar af þjónustuþega. Prófanir á sérsniðnum umsóknum eru framkvæmdar af báðum aðilum. Að fengnu samþykki þjónustuþega og að undangengnum prófunum gefur þjónustuveitandi út umsóknir.

5. Öryggismál

Þjónustuveitandi ber ábyrgð á að viðhafa viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi þjónustunnar. Öryggisráðstafanir skulu taka mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi, tilgangi vinnslu og áhættu á öryggisbresti.   

Við gagnaflutning er notað almennt gagnaflutningsnet. Við auðkenningu notanda fyrir þjónustuna er notast við innskráningar- og umboðsþjónustu þjónustuveitanda. 

Öll gagnasamskipti þjónustuþega og þjónustuveitanda fara fram um dulkóðaða rás. Öryggisráðstafanir miðast við að upplýsingar séu ólæsilegar í flutningi, jafnvel þótt óviðkomandi aðili komist inn í netsamskipti eða ef bilun verður í tækjabúnaði.  

Öryggisráðstafanir þjónustuþega skulu taka mið af nýjustu tækni og fullnægja þeim kröfum sem þjónustuveitandi setur fram á hverjum tíma. Þjónustuveitanda er heimilt að óska þess að þriðji aðili framkvæmi reglulegar sjálfvirkar öryggisúttektir á uppsetningu þjónustuþega. Ef niðurstaða öryggisúttektar sýnir fram á að ráðstafanir þjónustuveitanda uppfylla ekki öryggiskröfur þjónustuveitanda eins og þær eru á hverjum tíma, eða aðra alvarlega veikleika sem hafa áhrif á öryggi, skal þjónustuþega tilkynnt, með sannanlegum hætti, og veittur 10 daga frestur, sem hefst þegar tilkynningin er send, til að gera fullnægjandi úrbætur. Ef niðurstaða öryggisúttektar er að fyrrgreindur veikleiki er minniháttar skal þjónustuþega veittur 30 daga frestur. Er þjónustuþega tilkynnt skriflega um slíkt. Hafi viðkomandi veikleiki ekki verið lagfærður að liðnum tilkynntum fresti er þjónustuveitanda heimilt að rjúfa aðgang þjónustuþega að þjónustunni án frekari tilkynninga, þar til bætt hefur verið úr ágallanum. 

Verði þjónustuþegi uppvís að því að brjóta gegn skilmálum þessum eða umsóknir á annan hátt, eða ljóst þykir að hann getur hvorki né ætlar að uppfylla ákvæði þessara skilmála er þjónustuveitanda  hvenær sem er, og án fyrirvara, heimilt að loka á aðgang viðkomandi þjónustuþega að þjónustunni þar til þjónustuþegi hefur á sannanlegan hátt bætt úr ágallanum. Í slíku tilviki skal þjónustuveitandi  senda viðkomandi þjónustuþega tilkynningu þess efnis með sannanlegum hætti.

6. Ábyrgð

Þjónustuveitandi ber ekki ábyrgð á tjóni vegna notkunar á þjónustunni sem hlýst af vanþekkingu, misskilningi eða misnotkun þjónustuþega eða umsækjanda. Þá ber Þjónustuveitandi ekki ábyrgð á tjóni sem stafar af því að búnaður þjónustuþega eða umsækjanda virkar ekki sem skyldi. 

Þjónustuveitandi ber ekki ábyrgð á tjóni vegna óleyfilegrar notkunar, t.d. ef óviðkomandi aðili hefur komist yfir aðgang þjónustuþega að þjónustunni, eða ef þjónustuþega hefur ekki tekist að tilkynna Þjónustuveitanda um misnotkun á þjónustunni, eða grun um slíkt. 

Þjónustuveitandi ber hvorki beint né óbeint ábyrgð á tjóni sem orsakast af fyrirvaralausri lokun þjónustunnar, t.d. vegna bilana sem rekja má til sambandsleysi, rofs á fjarskiptum eða annarra truflana sem kunna að verða á rekstri vefþjónustunnar og eru ófyrirsjáanlegar eða óhjákvæmilegar vegna óviðráðanlegra aðstæðna (force majeure). Verði einhver mistök, truflanir eða tafir á þjónustunni, sem rekja má til framangreindra aðstæðna, skal ábyrgð þjónustuveitanda takmarkast við að lagfæra slík mistök, truflanir eða tafir, svo fljótt sem auðið er. 

Þjónustuveitandi ber eingöngu ábyrgð á tjóni þjónustuþega ef það má rekja til stórkostlegs gáleysis eða ásetnings starfsmanna þjónustuveitanda. Ábyrgð Þjónustuveitanda nær í slíku tilviki eingöngu til beins tjóns en aldrei til afleidds tjóns sem verða kann af þessum sökum, s.s. rekstrarstöðvunar, tapaðra viðskipta eða álitshnekkis. 

Þjónustuþegi skal halda Þjónustuveitanda skaðlausum af hvers konar tjóni, kröfum, frá umsækjanda, aðgerðum, skaða, ábyrgðum, sektum, refsingum og kostnaði (þ.m.t. lögfræðikostnaði) sem þjónustuveitandi kann að verða fyrir vegna eða í tengslum við aðgerðir eða aðgerðarleysi þjónustuþega, hvort sem það stafar af vanrækslu, ásetningi eða gáleysi þjónustuþega í tengslum við notkun á stafrænu pósthólfi eða sem leiðir af broti gegn samkomulagi aðila. Skaðleysisábyrgð þessi takmarkar ekki með neinum hætti önnur samningsbundin eða lögbundin réttindi sem Þjónustuveitandi kann að njóta gagnvart þjónustuþega og hugsanlegar bætur eða skaðleysisgreiðslur réttlæta ekki brot á skyldum og skuldbindingum þjónustuþega.   

Um tjón vegna brota gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga fer samkvæmt 51. gr. laganna og 82. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 

7. Kostnaður

Þjónustuveitandi stendur straum af grunnkostnaði vegna þjónustunnar.

Ef, af einhverjum ástæðum, umsókn krefst meiri vinnu og/eða þjónustuþegi gerir strangari öryggiskröfur en þjónustuveitandi veitir almennt, skal semja sérstaklega um slíkt í verkefnaviðauka. Þjónustuþegi skal bera allan viðbótarkostnað sem kann að hljótast af slíku.

Þjónustuveitandi áskilur sér rétt til að endurskoða skiptingu kostnaðar vegna grunnkostnaðar, sbr. 10. gr. skilmála þessa.

8. Persónuvernd og vinnsla persónuupplýsinga

Í samræmi við lög um persónuvernd nr. 90/2018 sem og 28. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 er þjónustuþegi ábyrgðaraðili og þjónustuveitandi vinnsluaðili á persónugreinanlegum gögnum sem verða til og eru meðhöndlaðar í umsóknum.

Ábyrgðaraðili ákveður tilgang og aðferðir við vinnslu persónuupplýsinga og ábyrgist að hann hafi heimild til vinnslu þeirra persónuupplýsinga sem hann felur vinnsluaðila að vinna með í tengslum við þjónustuna. Vinnsluaðili vinnur með persónuupplýsingar f.h. ábyrgðaraðila, þær persónuupplýsingar sem eru honum nauðsynlegar til að veita þjónustu samkvæmt samningi þessum. Ábyrgðaraðili ber m.a. ábyrgð á að vinnsla persónuupplýsinga sé lögmæt og eigi sér stoð í 9. gr. og eftir atvikum 11. gr. laganna og að vinnsla persónuupplýsinga sé í samræmi við meginreglur laganna, sbr. 8. gr. laganna.

9. Rekstraröryggi

Aðilar skuldbinda sig til að stuðla að öruggum rekstri þjónustunnar og vinna jafnframt sameiginlega að viðgerðum ef rekstrartruflanir verða.   

Aðila ber að tilkynna gagnaðila án tafar ef grunur leikur á óviljandi, óheimilli eða ólöglegri vinnslu upplýsinga eða ef grunur er uppi um hvers konar öryggisbrest við meðferð á upplýsingum sem fengnar eru úr þjónustunni. Tilkynninguna skal senda á almennt netfang viðkomandi aðila. Í slíkri tilkynningu skal viðkomandi aðili lýsa eðli brestsins, þ. á m. áætluðum fjölda skráðra einstaklinga sem það varðar og notkun upplýsinganna. Þá skal viðkomandi aðili lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugað að gera vegna öryggisbrestsins. 

Þjónustuveitandi  mun tilkynna þjónustuþega ef bilanir eða nauðsynlegar uppfærslur sem varða þjónustuna koma upp. Komi til þess að þjónustuna liggi niðri af óviðráðanlegum ástæðum mun þjónustuveitandi  jafnframt tilkynna þjónustuþega um slíkt. Þjónusta þjónustuveitanda  fer almennt fram á skrifstofutíma en verði rof á tengingu þjónustuna skal þjónustuveitandi bregðast við tilkynningu þess efnis eins fljótt og auðið er. 

Þjónustuveitandi getur rofið aðgang þjónustuþega að þjónustunni tímabundið án viðvörunar ef rökstuddur grunur vaknar um óheimila vinnslu upplýsinga, öryggisbrest eða ef þjónustuveitandi telur ljóst að búnaður þjónustuþega standist ekki kröfur þjónustuveitanda um notkun þjónustunnar. 

Verði rekstrarrof þess valdandi að ekki sé unnt að miðla umsókn skal þjónustuveitandi benda umsækjanda á að leita til þjónustuþega. 

Ef þjónustuveitandi eða þjónustuþegi verður fyrir einhverjum hindrunum við að uppfylla samkomulagið gagnvart gagnaðila af ástæðum sem honum eru óviðráðanlegar, þá frestast viðkomandi skyldur til þess tíma er slíkar hindranir eru afstaðnar og aðilar samkomulagsins geta uppfyllt umsamdar skyldur sínar

10. Breytingar á skilmálum

Þjónustuveitandi áskilur sér rétt til að gera breytingar á skilmálum þessum og skulu þær tilkynntar þjónustuþega í rafrænni tilkynningu sem send er á uppgefið netfang þjónustuþega eða með öðrum sannanlegum hætti a.m.k. hálfum mánuði áður en ný eða breytt ákvæði taka gildi. Á www.island.is er jafnframt tilkynnt um nýja og/eða uppfærða skilmála áður en þeir taka gildi.

Þjónustuveitanda er heimilt að gera breytingar á skilmálum með skemmri fyrirvara ef slíkar breytingar á skilmálum eru nauðsynlegar samkvæmt lögum. Í slíkum tilvikum þar sem fyrirvarinn kann að vera skemmri skal þjónustuveitandi leitast við að tilkynna slíkar breytingar eins fljótt og mögulegt er.

Skilmálar þessir voru síðast uppfærðir: 02.05.2023.