Bruksvilkår for tilgang til Skatteetatens tjenester - Leverandør av sluttbrukersystem
Leverandører av sluttbrukersystemer må sette seg inn i bruksvilkårene for å integrere seg mot Skatteetatens tjenester.
Formål med Bruksvilkår for leverandør av sluttbrukersystem
Denne siden beskriver hvilke eksterne tjenester (APIer) som tilgjengeliggjøres, krav til kvalitet og tilgjengelighet, rutiner for endringer, feilhåndtering og administrasjon for både tjenester for innrapportering av opplysninger og deling av opplysninger gjennom sluttbrukersystem.
Endringer i vilkårene vil bli varslet i henhold til rutiner beskrevet under. Leverandøren kan velge å terminere integrasjon mot Skatteetatens tjenester for sluttbrukersystem hvis endringer i vilkårene ikke aksepteres.
Det forutsettes at Leverandøren har gyldige avtaler og databehandleravtaler med sine kunder for å kunne innrapportere og innhente opplysninger gjennom Skatteetatens APIer for deling.
Tjenestene og kategorier av opplysninger
Alle tjenestene/API-ene som leveres under disse vilkårene er angitt her:
Bruksvilkårene gjelder APIer for innrapportering av opplysninger som Leverandøren integrerer seg mot.
Bruksvilkårene gjelder i tillegg APIer for deling av opplysninger.
Leverandøren kan kun få tilgang til APIer for deling dersom den er integrert mot minimum ett API for innrapportering av opplysninger, og kunden har innrapportert opplysninger minst én gang gjennom sluttbrukersystemet. Leverandøren kan ikke benytte opplysningene til andre formål enn å tilrettelegge opplysningene for kundens bruk gjennom sluttbrukersystemet.
Bruksvilkårene gjelder sammen med Tjenestebeskrivelse for deling av opplysninger. Bruksvilkårene må leses i sammenheng med Tjenestebeskrivelsene for den enkelte tjeneste. I tilfeller hvor opplysninger utleveres via et API og bruksvilkårene regulerer samme tema som Tjenestebeskrivelsen, er det den mer spesialiserte reguleringen i Tjenestebeskrivelsen som har forrang.
Tjenestenivå
Skatteetaten vil tilstrebe å levere stabile og driftssikre tjenester. Tjenestenivået utgjør ingen garantier som kan utløse økonomiske sanksjoner eller andre former for reaksjoner mellom partene. Tjenestenivået er satt ut fra at dette er en ikke-kommersiell samarbeidsmodell hvor hver av partene bærer egne kostnader og henter ut egne gevinster som følge av en effektivisering av distribusjon av informasjon. API-ene kan tas ut av drift som følge av hendelser utenfor Skatteetatens kontroll. Leverandøren vil bli varslet, så langt det er mulig.
Driftsvarsler på Skatteetatens statusside
Skatteetaten varsler om feil, retting, status og andre driftsvarsler i tjenestene her:
Leverandøren plikter å abonnere på driftsvarsler på Skatteetatens statusside og vurdere relevans for Leverandørens bruk av Skatteetatens tjenester. Dersom kanal for varsling blir endret vil Leverandøren bli informert.
Feil mv. i Skatteetatens tjenester kan også skyldes forhold som gjelder fellesfunksjoner som forvaltes av Digitaliseringsdirektoratet. Leverandøren anbefales derfor også å abonnere på driftsvarsler fra Digitaliseringsdirektoratet.
|
Tilgjengelighet |
Tjenestene er normalt tilgjengelig hele døgnet alle virkedager i året med unntak av kortere stopp for nødvendig teknisk vedlikehold. |
|
Tilgjengelighetskrav til tjenestene |
99,8% (ikke medregnet planlagt og varslet teknisk vedlikehold) Måleperiode er månedlig (per kalendermåned). |
|
Driftsperiode |
Alle virkedager:
Driftstjenester er tilgjengelig alle virkedager. Jul-, nyttårsaften, romjula og onsdag før skjærtorsdag er det begrenset åpningstid. |
|
Responstid for tilbakemelding |
Responstid funksjon for innrapportering: Tilbakemelding på innsendte data blir gitt fortløpende. Responstiden kan variere fra tjeneste til tjeneste og mellom synkrone og asynkrone løsninger. Mer informasjon om responstid for den enkelte tjeneste. Responstid funksjon for deling: Maks 4 sekunder for 99,8% av tjenestekall målt på Skatteetatens side av tjenesten for API-grensesnittet. Følgende forutsetninger om last gjelder:
Responstid forutsetter også at Leverandøren tar i bruk hendelsesliste. Dette for å unngå unødvendig last. Dersom det viser seg å være nødvendig/hensiktsmessig kan Skatteetaten begrense/regulere forespørsler og kall per Leverandøren. |
|
Tilgjengelighet |
Tjenestene er normalt tilgjengelig hele døgnet alle virkedager i året med unntak av kortere stopp for nødvendig teknisk vedlikehold. |
|
Driftsperiode |
Alle virkedager:
Driftstjenester er tilgjengelig alle virkedager. Jul-, nyttårsaften, romjula og onsdag før skjærtorsdag er det begrenset åpningstid. |
|
Testdata |
I testmiljøet skal syntetiske testdata være tilgjengelig for integrasjonstesting. Det er forventet at spesifikke egenskaper som gjelder den enkelte Leverandøren tilrettelegges for test på Leverandørens side. |
|
Komponentversjoner |
Versjoner av komponenter i testmiljøet skal normalt være samme versjon som i produksjonsmiljøet. |
|
Akseptabel nedetid ved feilsituasjon |
Skatteetaten etterstreber at testmiljøet skal være tilgjengelig, men det kan forekomme at produksjonsmiljøet får forrang ved hendelser. |
Hendelser (incidents) og varsling
Hendelser skal meldes
Dersom Skatteetaten avdekker feil og mangler skal Leverandøren informeres om feilen eller mangelen og hvilke tiltak som er iverksatt for å gjenopprette tjenesten.
Dersom Leverandøren opplever tjenesten som ustabil, utilgjengelig eller feiler, skal Leverandøren melde dette til Skatteetaten.
Før feil meldes til Skatteetaten skal Leverandøren, så langt det er mulig, sikre at årsaken ikke ligger i egne systemer. Leverandøren plikter derfor å håndtere hendelsen innenfor egne kvalitetsprosesser (rutiner for incident management).
Skatteetaten skal sikre at innmeldte hendelser løses i henhold til avtalt tjenestenivå. Dersom ingen frister er avtalt vil feil eller mangel blir rettet innen rimelig tid, vurdert etter feilens eller mangelens alvorlighet og mulige konsekvenser for Leverandøren. Dette følger av prinsippet om den ikke-kommersielle samarbeidsmodellen hvor en ikke har absolutte garantier for retting av feil eller andre hendelser. Ved behov vil Skatteetaten kunne eskalere saker i henhold til etatens interne avviksrutiner. Det er Skatteetaten som vil avgjøre hvilke saker som eskaleres og hvordan hendelser følges opp.
Leverandøren melder om hendelser (incidents) ved å benytte:
- For deling brukes «Brukerstøtteverktøy»
- For innrapportering brukes kontaktinformasjon som er oppgitt på informasjonssiden for sluttbrukersystemer
- Hendelser som gjelder fellesfunksjoner meldes direkte til Digitaliseringsdirektoratet
Dersom Leverandøren har mistanke om brudd, risiko eller hendelser relatert til alle typer sikkerhet eller personvernavvik i form av brudd på konfidensialitet, integritet og/eller tilgjengelighet, skal nødvendige tiltak iverksettes. Skatteetaten skal varsles dersom avviket er eller kan være omfattet av etatens behandlingsansvar. Skatteetaten varsles om slike kritiske sikkerhetshendelser på telefonnummer: 23 62 27 60.
Dersom Leverandøren har meldt et personvernavvik til Datatilsynet, og avviket er eller kan være omfattet av Skatteetatens behandlingsansvar, skal personvernombudet i Skatteetaten informeres per e-post til [email protected] og kopi av melding til Datatilsynet vedlegges. Slik informasjonsplikt gjelder ikke hvor Datatilsynet har unntatt avviksmeldingen fra offentlighet.
Det er Skatteetaten som kategoriserer hendelser, herunder feil, som meldes inn.
Skatteetaten garanterer ikke et bestemt tjenestenivå for hendelseshåndtering, men tilstreber å håndtere hendelser iht. det som er beskrevet under. Varsling og retting vil gjelde fra Skatteetaten er gjort oppmerksom på hendelsen/feilen. Omfang, alvorlighetsgrad og kompleksitet er avgjørende for behandlingstid.
|
Prioritet |
Beskrivelse |
Varsel og reaksjonstid, fra feil og kritikalitet er kjent |
| A-Kritisk |
Kritisk feil. Det finnes ingen midlertidig løsning. Feilen vil ha en kritisk påvirkning på bruk av tjenesten. En tjeneste har en alvorlig funksjonsfeil i en kritisk periode. Hendelser som gjør at tjenesten er utilgjengelig eller tilnærmet utilgjengelig pga. treghet i en kritisk periode, og slik utilgjengelighet:
|
Første varsel: 15 min Reaksjonstid: 2 arbeidstimer |
| B-Alvorlig |
Hendelser som gjør at brukere ikke får benyttet tjenesten. En tjeneste er utilgjengelig eller har alvorlig funksjonsfeil, men i en ikke-kritisk periode. |
Første varsel: 1 time Reaksjonstid: 8 arbeidstimer |
| C-Mindre alvorlig |
Feil som ikke påvirker løsningens funksjonalitet eller stabilitet. Hendelser hvor brukeren likevel får utført sine hovedoppgaver. Feil som reduserer løsningens bruksverdi, men hvor oppgavene likevel kan utføres på en, etter forholdene, tilfredsstillende måte. |
Første varsel: 1 arbeidsdag Reaksjonstid: 5 virkedager |
Forklaring til tabellen:
Første varsel: Bekreftelse på mottatt hendelse. Dette er eksempelvis teknisk kvittering, eventuelt en direkte bekreftelse fra mottaker i Skatteetaten.
Reaksjonstid: Skatteetaten har satt i gang relevante prosesser på hvilke tiltak som er aktuelle og dialog opprettet med Leverandøren.
Endringshåndtering og varsling
Planlegging av endringer
Med endring menes alle typer endringer som påvirker tjenestene.
Endringer skal som hovedregel være planlagt og varslet på forhånd. Alle endringer skal så langt det er mulig/hensiktsmessig være gjenstand for testing.
Både Skatteetaten og Leverandøren kan initiere endring/endringsbehov. Skatteetaten er ansvarlig for å prioritere og beslutte hvilke endringer som skal gjennomføres.
Det må sikres at endringer som kan påvirke stabilitet og tilgjengelighet på tjenestene gjennomføres på en koordinert og sikker måte.
Endring av dokumentasjon
Skatteetaten publiserer dokumentasjon av tjenestene og er ansvarlig for å oppdatere dokumentasjon uten ugrunnet opphold etter at endringene i tjenesten er implementert.
Oppdatert dokumentasjon for Skatteetatens delingstjenester
Kanal for varsling av endringer og nyheter
Skatteetaten informerer om planlagte endringer i tjenestene. Leverandøren plikter å abonnere på Skatteetatens nyhetstjeneste og vurdere relevans for sin bruk av tjenester. Dersom kanal for varsling blir endret vil Skatteetaten informere Leverandøren om dette.
Endringer klassifiseres i følgende kategorier, med tilhørende saksgang og varsling.
|
Kategori |
Beskrivelse og eksempler |
Gjennomføring/ saksgang |
Varsling |
|
Standard endring |
Veldokumentert endring med minimal risiko for forstyrrelser i tjenesten Eksempler:
|
Hvis eksisterende tjeneste endres så vil gammel versjon erstattes av ny i produksjon. Leverandøren må kunne håndtere dette uten endring på sin side. Leverandøren er selv ansvarlig for å varsle Skatteetaten dersom en standardendring gir problemer for Leverandøren. |
Endringen varsles kun som nyhet på nyhetstjenesten etter endringen er gjennomført For årsrevisjoner vil det bli varslet så snart endringen er kjent, og fortrinnsvis via andre relevante kanaler (skatteetaten.no, særskilt møte)
|
|
Normal endring |
Planlagte endringer som ikke er standardendringer, dvs. endringer som medfører brudd på eksisterende tjeneste. Slike tekniske endringer vil kreve tekniske endringer hos Leverandøren for at oppslag mot tjenesten fortsatt skal fungere.
|
Ved ny versjon av tjenesten, vil gammel versjon som hovedregel være tilgjengelig i 4 måneder etter at ny versjon er introdusert. Leverandøren må i slike tilfeller ta i bruk ny versjon i løpet av perioden. |
Normale endringer varsles gjennom nyhetstjenesten senest 4 måneder før gammel tjeneste ikke lenger er tilgjengelig |
|
Hasteendring (Emergency Change) |
Endringer som pga. ytre forhold ikke kan følge normale frister. Typiske eksempler er endringer som følge av statsbudsjett, sikkerhetsavvik eller håndtering av kritiske produksjonsfeil.
|
Konkret vurdering i den enkelte endring
|
Varsles på nyhetstjenesten snarest etter at Skatteetaten er kjent med endringen |
Krise og beredskapsplaner
Skatteetaten skal sørge for at det foreligger oppdaterte og tilgjengelige krise- og beredskapsplaner for drift av tjenestene. Leverandøren skal ha nødvendige krise- og beredskapsplaner for egne tjenester. I en beredskapssituasjon, eller annen ekstraordinær situasjon utenfor partenes kontroll, forutsettes det at Skatteetaten og Leverandøren samarbeider om å etablere alternative elektroniske og/eller manuelle rutiner for utveksling av opplysninger, så fremt situasjonen gjør dette mulig.
Endrede behov i kritiske perioder og under ekstraordinære situasjoner
Dersom Leverandøren har ytelsesbehov utover det som er angitt som grenseverdier for antall kall må dette meldes inn som et endringsønske.
Leverandøren plikter å informere Skatteetaten dersom tjenestene skal benyttes i ekstraordinære situasjoner eller i en kritisk periode, definert av Leverandøren. Dette gjelder også hvis det er planlagt større arbeid utenfor definert tid for tilgjengelighet. Skatteetaten vil i slike tilfeller vurdere om det er mulig å øke beredskap, basert på tilgjengelig kapasitet.
Skatteetaten informeres så snart Leverandøren er kjent med kommende endringer eller har planlagt aktiviteter knyttet til tjenesten.
Leverandør av sluttbrukersystem sine plikter
Tilgang til tjenestene
Tilgang til tjenestene (API) er avhengig av tillatelse fra Skatteetaten og gis etter søknad fra Leverandøren. Leverandøren er selv ansvarlig for å administrere slik søknad. Når Leverandøren har akseptert bruksvilkår for leverandør av sluttbrukersystem og eventuell Tjenestebeskrivelse, gjennomført test og koblet seg til tjenesten i produksjon, har Leverandøren tilgang til tjenesten.
Leverandørens tilgang til delingstjenester forutsetter at sluttbrukersystemet har funksjonalitet for innrapportering av rapporteringspliktige opplysninger til Skatteetaten, se nærmere vilkår for delingstjenestene i Tjenestebeskrivelse for deling.
Leverandøren som aksepterer disse vilkårene, handler på vegne av sine kunder (sluttbruker) når de er integrert mot Skatteetatens tjenester. Leverandøren skal ha nødvendige avtaler med sine kunder som ivaretar disse bruksvilkårene, Tjenestebeskrivelsene, og som er i tråd med relevant regelverk. Leverandøren er ansvarlig for tilgangsstyring i eget system. Leverandøren er videre ansvarlig for at både egne handlinger og kundens bruk er i henhold til disse bruksvilkårene.
Leverandøren er databehandler for sluttbrukers behandling av personopplysninger som behandles gjennom tjenestene omfattet av disse bruksvilkårene. Leverandøren er således ansvarlig for at personopplysningene blir behandlet i henhold til den avtale som foreligger med sluttbruker og gjeldende regelverk om personvern. Leverandøren kan ikke benytte tilgangen til tjenestene for egne formål.
Leverandøren plikter å melde fra til Skatteetaten dersom eierskap til sluttbrukersystemet overdras til andre. Leverandørens tilgang gjelder de aktuelle tjenestene slik de er til enhver tid og det er Leverandørens plikt å revidere tilganger på fast basis. Leverandøren plikter videre å melde fra om feil i egne løsninger som kan ha betydning for Skatteetatens tjenester.
Leverandøren forplikter seg til å sette seg godt inn i tekniske og funksjonelle grensesnitt samt følge tekniske krav og funksjonelle rutiner spesifisert i dokumentasjonen for tjenestene. Leverandøren skal følge de spesifikasjoner og krav som gjelder for den enkelte tjeneste.
Leverandøren forplikter seg til å benytte Skatteetatens tjenester på en effektiv og bærekraftig måte. Dette innebærer å minimere antall API-kall for å sikre effektiv bruk av systemressurser. Ved funksjon for deling skal fortrinnsvis benyttes hendelsesdrevet integrasjon for å redusere antall API-kall ved å lytte på hendelser og oppdateringer, fremfor å gjøre hyppige kall (polling). Leverandører som ikke følger disse anbefalingene, vil kunne begrenses (throttles) og i ytterste fall stenges ute.
Hvis bruker ikke lenger oppfyller vilkårene eller at vilkårene ikke respekteres av bruker, kan tilgangen termineres.
Leverandøren skal gjennomføre integrasjonstest mot tjenestene. De til enhver tid gjeldende retningslinjer for og krav til integrasjon, spesifikasjon og testing er tilgjengelige på GitHub.
Leverandøren får tilgang til et felles eksternt testmiljø. Dette testmiljøet benyttes for testing ved feil og avvik, endringer og videreutvikling av tjenestene.
Skatteetaten benytter utelukkende syntetisk genererte testdata, og det vil ikke tilbys test med produksjonsdata. Les mer om Tenor testdata.
Leverandøren må ha et testmiljø som kan knyttes opp mot Skatteetatens testmiljø. Leverandøren skal på Skatteetatens forespørsel fremlegge dokumentasjon på hvordan integrasjonen er testet.
Leverandøren skal behandle personopplysninger i henhold til avtale med sluttbruker, og for øvrig de kravene som følger av personopplysningsloven og personvernforordningen.
Leverandøren skal sikre at sluttbrukersystemet og integrasjonen mot Skatteetatens tjenester oppfyller gjeldende krav til informasjonssikkerhet og personvern. Dette omfatter blant annet plikt til å sikre konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, i samsvar med gjeldende lover og forskrifter.
Leverandøren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Leverandøren skal dessuten etablere, dokumentere og holde vedlike planlagte og systematiske internkontrolltiltak for sikre at personopplysninger håndteres lovlig, sikkert og forsvarlig.
Leverandøren skal ha nødvendig brukerstøtte overfor sine sluttbrukere. Spørsmål om sluttbrukers personopplysninger skal ikke meldes inn som feil for den tekniske løsningen.
Personopplysninger som antas å være feil eller feilregistrert skal ikke meldes som en hendelse. Hvis sluttbrukerne har spørsmål knyttet til egne personopplysninger, eller ønsker å korrigere personopplysninger som Skatteetaten har registrert skal disse henvises til Skatteetaten.
Tips om mulige overtredelser som kan ha betydning for Skatteetatens virksomhet sendes inn på et eget skjema.
Finansiering og kostnader
Skatteetaten tilbyr tjenestene via et grensesnitt uten noe form for vederlag. Leverandøren dekker egne kostnader for tilpasning og tilrettelegging av egne systemer, samt drift og videreutvikling av disse.
Mislighold og sanksjoner
Vesentlig mislighold
Mislighold må forstås som ethvert avvik fra de forpliktelser som følger av disse bruksvilkårene og Tjenestebeskrivelsen.
Vesentlig mislighold omfatter, men er ikke begrenset til:
- Misbruk av Skatteetatens tjenester, herunder Leverandørens plikt til å benytte Skatteetatens tjenester effektiv og bærekraftig
- Skjermskraping
- Misbruk av opplysninger som er tilgjengelig gjennom Skatteetatens tjenester
- Tilrettelegging eller gjennomføring av sikkerhetsbrudd
- Mangelfull oppfølging av sikkerhetsbrudd
- Mangelfull etterlevelse av krav til personvern og informasjonssikkerhet
Sanksjoner
Skatteetaten kan iverksette nødvendige tiltak dersom Leverandøren misligholder de gjeldende bruksvilkårene eller på annen måte bryter de tekniske, sikkerhetsmessige eller lovpålagte kravene for integrasjon mot Skatteetatens tjenester.
Før slike tiltak iverksettes, vil Skatteetaten, dersom det er mulig, varsle Leverandøren og gi mulighet for å rette opp i forholdene. Dersom misligholdet er alvorlig eller ikke kan rettes opp innen en rimelig tidsfrist, forbeholder Skatteetaten seg retten til å stenge integrasjonen og fjerne leverandørens tilgang til Skatteetatens tjenester uten videre varsel.
Ved vesentlig mislighold forbeholder Skatteetaten seg retten til å stenge integrasjonen og fjerne Leverandørens tilgang til Skatteetatens tjenester. I slike tilfeller skal Skatteetaten uten ugrunnet opphold gi leverandøren skriftlig varsel om dette.
Risiko og erstatningsplikt
Skatteetaten kan ikke holdes ansvarlig for konsekvenser av eventuelle feil, forsinkelser eller andre forhold knyttet til opplysninger eller tjenester omfattet av disse vilkår. Dette gjelder tilsvarende for etterfølgende bruk og følger for tredjepart. Skatteetaten kan heller ikke holdes ansvarlig for tap eller indirekte tap knyttet til tjenesten. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste av enhver art, tapte besparelser og krav fra tredjeparter.
Opplysningene som tilgjengeliggjøres i Skatteetatens delingstjenester kan være gjenstand for feil både fra Skatteetatens side og fra tredjeparter. Skatteetaten kan ikke garantere opplysningenes korrekthet, og Leverandørens kunde må selv vurdere om det er behov for ytterligere verifisering av opplysningene før de tas i bruk.
Endringer i vilkårene
Skatteetaten kan endre disse bruksvilkårene. Krav om endring som følger av endringer i lover og forskrifter skal gjennomføres innen de tidsfrister som følger av lov eller forskrift. Det samme gjelder krav som følger av pålegg eller instrukser fra regjeringen eller departementene samt endrede krav til sikkerhet.
Varsel om endring i vilkårene skal skje skriftlig via informasjonssiden for sluttbrukersystemer.