Behandling av personopplysninger efaktura B2C koblingsenhet

Transkript

1 Behandling av personopplysninger efaktura B2C koblingsenhet Versjon mars 2012

2 Innhold Referanser - dokumentoversikt Generelt Parter, avtaler og teknisk løsning Parter Avtaler Generelt Nærmere om avtalestrukturen og innholdet i avtalene Teknisk løsning Hvilke personopplysninger behandles ved bruk av efaktura B2C Behandlingsansvar etter personopplysningsloven Bakgrunn Formelle krav Etterlevelse av kravene Krav til informasjonssikkerhet og internkontroll i efaktura koblingsenhet Krav til avtale med databehandler for efaktura koblingsenhet Varsling til Datatilsynet dersom personopplysninger i koblingsenheten er kommet på avveie Datatilsynets gjennomføring av kontroll Nets som databehandler Generelt om krav til databehandler Nets forpliktelser som databehandler i avtale med bankene Nærmere om Nets forpliktelser som databehandler Informasjon til forbruker Vedlegg 1 Utsteders roller og ansvar ved behandling av personopplysninger i efaktura koblingsenhet Vedlegg 2 - Fakturahotellets forpliktelser ved behandling av personopplysninger Notat versjon mars

3 Referanser - dokumentoversikt [1] Rundskriv fra FNO nummer 47/2011, av 15. desember 2011, Nye interbankregler for efaktura og informasjonsmail fra Nets til bankene, av 05.desember 2011 [2] Behandling av personopplysninger efaktura B2C koblingsenhet, datert 12. mars 2012, v1.0 (dette dokument). [3] Regler om bankenes samordnede e-faktura tjeneste, datert [4] Avtale mellom FNO og Nets om drift av bankenes felles efaktura koblingsenhet, datert 2. februar [5] Revidert Tjenesteavtale mellom Nets og bankene, mars 2012 [6] Del E <n> Avtalevilkår for disponering av konto ved nettbank mv - forbruker, fastsatt av FNO, ferdigstilt pr 1. januar 2012 v2. [7] Avtalevilkår for efaktura mellom fakturautsteder og banken, fastsatt av Nets, av [8] Avtaleskisse databehandleravtale etter personopplysningsloven, som anbefales benyttet mellom fakturautsteder og fakturahotell, av [9] Eksempel på informasjon som oppfyller kravene i personopplysningsloven, Vedlegg 3 til FNOs Rundskriv 47/2011, av 15. desember 2011 Siste versjon av dokument [1], [2], [6], [7], [8], [9] vil bli gjort tilgjengelig for Banken i bankportalen Nets Online. Notat versjon mars

4 1. Generelt efaktura B2C er en tjeneste som Bankene tilbyr fakturautstedere ( Utsteder ) og deres kunder ( Betaler 1 ). Ved bruk av efaktura overføres betalingskrav fra Utsteder til en koblingsenhet som gjør dette tilgjengelig for Betalerens Bank(er). Betaler kan deretter få frem en samlet oversikt over sine betalingskrav i nettbanken(e), og ved å klikke på et ikon få mulighet til å se på den underliggende fakturaspesifikasjonen, som er lagret i fakturahotell. Videre vil betaler ha mulighet til å foreta en betaling via eksisterende betalingstjenester i nettbanken. Er Betaler kunde i flere Banker, vil Betalers efakturaer være synlige i alle nettbankene han har avtale om å benytte, og vedkommende kan velge hvilken nettbank og konto han/hun ønsker å betale regningen fra. efaktura koblingsenhet er en felles funksjon for alle banker som benytter efakturatjenesten. Funksjonen er utviklet av Nets Norway AS (heretter kalt Nets 2 ) og en standard driftsløsning som tilbys til alle banker i Norge. Dette dokumentet beskriver roller og ansvar i forbindelse med denne funksjonen. 2. Parter, avtaler og teknisk løsning 2.1 Parter Betaler er i efaktura B2C en fysisk person som får en faktura fra Utsteder presentert i nettbanken. Betaler kan benytte tilgengelige betalingsløsninger i nettbanken for å betale fakturaen. Betaler er også kalt forbruker eller fakturamottaker i brukerdokumentasjon. Utsteder er en bedrift eller organisasjon (juridisk person) som gjør en faktura elektronisk tilgjengelig for Betaler. Utsteder kalles også fakturautsteder i brukerdokumentasjon. Bank inngår avtaler med Utsteder, Betaler og Nets som gjør det mulig å presentere elektronisk faktura i nettbanken og benytte tilgjengelige betalingsløsninger for betaling av fakturaen. Bankene (Utstederbanker og Mottakerbanker) har i fellesskap fastsatt felles krav til koblingsenhet for efaktura 3. Fakturahotell er en aktør som tilbyr funksjonalitet, på vegne av en eller flere Utsteder(e), for lagring og fremvisning av fakturadetaljer tilknyttet efaktura løsningen som tilbys av Bank. Finansnæringens Fellesorganisasjon (FNO) inngår avtale med driftssted for koblingsenheten som blant annet omfatter krav om etterlevelse av bankenes felles krav til koblingsenheten i henhold til Regler om bankenes samordnede e-fakturatjeneste [3], herunder personopplysningslovens krav til informasjonssikkerhet og internkontroll. Mottakerbank inngår avtale med Betaler. Nets har utviklet efaktura B2C løsningen og tilbyr en standard driftsløsning for efaktura tjenesten (herunder koblingsenheten) til alle banker i Norge. 1 Betaler er i efaktura B2C en forbruker. I efaktura B2B er Betaler som oftest en bedrift, organisasjon el. lign 2 Tidligere BBS 3 Se Regler om bankenes samordnede e-fakturatjeneste, vedtatt av Bransjestyre bank og betalingsformidling (BBB) i FNO Servicekontor [3] Notat versjon mars

5 Utstederbank inngår avtale med Utsteder. En oversikt over partene fremgår av figur 1 i punkt nedenfor Avtaler Generelt Utsteder inngår avtale med en Bank om at faktura og betalingskrav (samlet kalt Faktura ) skal formidles elektronisk fra Utstederen til Betaleren. Betaleren inngår avtale med Banken om at en faktura skal presenteres i egen nettbank. Hensikten er at efaktura skal kunne integreres med betalingstjenestene som til enhver tid tilbys i den enkelte nettbank. Utsteder må inngå avtale med et godkjent fakturahotell om lagring og fremvisning av fakturadetaljer. I bankenes nettbanker vil betaler via betalingskravet i efaktura koblingsenhet, få tilgang til sine fakturadetaljer i den eller de nettbanker Betaleren har inngått avtale med Banken(e) om å benytte. Banken(e) inngår en avtale med Nets om tilgang til efaktura tjenesten (herunder koblingsenheten) for egne nettbankkunder og krav om avtale mellom Banken og Utsteder, samt mellom Utsteder og Fakturahotell. Nets inngår i tillegg en samarbeidsavtale med aktuelle Fakturahotell om blant annet implementering og drift av efaktura- tjenesten, samt varsling ved endringer for fakturahotell som er satt i produksjon. Det er fastsatt interbankregler om bankenes samordnede e-fakturatjeneste.. Reglene gjelder for banker som er tilknyttet FNO Servicekontor (FNO) gjennom medlemskap i Finansnæringens Hovedorganisasjon eller Sparebankforeningen i Norge, samt øvrige norske banker og utenlandske kredittinstitusjoner som med samtykke fra FNO Servicekontor har sluttet seg til reglene [3]. I henhold til Regler om bankenes samordnede e-fakturatjeneste [3] forutsettes det at det inngås avtale mellom FNO og Nets om behandling av personopplysninger i efaktura koblingsenhet. Bankene i fellesskap har videre fastsatt felles mønster [6] for avtaler mellom Banken og Betaler som kan benyttes ved inngåelse av avtale om bruk av nettbank, herunder tilgjengeliggjøring av efaktura i nettbanken. Tjenesten og partenes oppgaver er for øvrig nærmere spesifisert i tekniske systemspesifikasjoner og brukerhåndbøker som er tilgjengelig på Notat versjon mars

6 2.2.2 Nærmere om avtalestrukturen og innholdet i avtalene Figur 1 Oversikt over viser skissert oppdatert avtalestrukturen i efakturab2c 1) Nettbankavtale Nettbankavtalen inngås mellom Betaler og Banken. efaktura B2C er en del av denne avtalen og bygger på felles mønster for avtaler mellom Banken og Betaler, utarbeidet av bankene i fellesskap. efaktura B2C omtales i mønsteravtalen Del E av kontoavtalen Avtalevilkår for elektronisk disponering av konto mv forbruker, fastsatt av Kontraktsutvalget i FNO, og benyttes i dag av de fleste banker. I Regler om efaktura [3] punkt 3 som stilles det krav til innholdet i avtalen mellom banken og fakturamottaker, se avtalenummer 6 i figur 1 og beskrivelsen nedenfor. I praksis benytter alle banker mønsteravtaler utarbeidet av FNO. Det er fastsatt egne avtalevilkår for betalingstjenestene som inngår i avtalepakken som signeres ved opprettelse av kundeforhold og avtale om bruk av nettbank. Krav til minimumsinformasjon til forbruker om bruk av tjenester som er tilgjengelig i nettbank, herunder efaktura B2C fremgår av Nettbankavtale punkt 7. FNO har i tillegg laget eksempel på informasjon som banken bør gjøre tilgjengelig i nettbanken som oppfyller personopplysningslovens krav [9]. 2) Tilmelding pr. Utsteder Etter at Betaleren har inngått Nettbankavtale og fått tilgang til nettbanken, må Betaleren akseptere at en Utsteder gjør sine fakturaer tilgjengelig for Betaler i nettbanken. Aksept av en Utsteder skjer vanligvis i Betalers nettbank i henhold til de vilkår som fremgår av Nettbankavtalen, samt informasjon[9] som presenteres av Banken i forbindelse med tilmelding per Utsteder. Regler om efaktura [3] punkt 4 innebærer at bankene i fellesskap er enige om minimumskrav til informasjon til forbruker, se avtalenummer 6 i figur 1 og beskrivelsen nedenfor. Notat versjon mars

7 3) efaktura B2C Tjenesteavtale Bank/Nets efaktura B2C Tjenesteavtale inngås mellom den enkelte Bank og Nets og regulerer tilgang til og bruk av tjenesten efaktura B2C. Det forutsettes at både Utsteder- og Betalerbanker har inngått Tjenesteavtale med Nets. Nets behandling av kunde og personopplysninger er regulert av en generell Hovedavtale for alle tjenester Nets tilbyr bankene og utfyllende tjenesteavtaler for den enkelte tjeneste, i dette tilfellet efaktura B2C. I Regler om efaktura [3] punkt 5.1, 7 og 8 fremgår det at det skal inngås avtale mellom FNO og Nets om drift av efaktura B2C koblingsenhet, bankenes tilgang og krav til informasjonssikkerhet og internkontroll, se avtalenummer 6 i figur 1 og beskrivelsen nedenfor. Avtalen mellom FNO og Nets tas inn som vedlegg til Tjenesteavtale med bankene. Det refereres videre til dette notatet [2], i tjenesteavtale mellom Nets og Banken og dokumentet vil være tilgjengelig i Nets Online. 4) efaktura B2C avtalen mellom Bank/Fakturautsteder Banken inngår avtale med Utsteder, eller med den Utsteder har gitt en uttrykkelig fullmakt, om tilgang til og bruk av efaktura B2C. Utsteder kan velge om han vil oppbevare og tilgjengeliggjøre elektronisk faktura selv eller sette bort oppgavene til en underleverandør (Fakturahotell). Nets har utarbeidet mønster til Avtalevilkår for efaktura mellom fakturautsteder og banken [7] som Banken i henhold til efaktura B2C Tjenesteavtale med Nets skal benytte ved inngåelse av avtale med Utsteder. Mønsteravtalen regulerer vilkår for elektronisk formidling av faktura og betalingskrav fra Utsteder til Betaler via koblingsenhet for efaktura B2C slik at faktura kan gjøres tilgjengelig i Betalerens nettbank(er). Som vedlegg til denne mønsteravtalen har Nets utarbeidet Avtaleskisse databehandleravtale etter personopplysningsloven [8] som Utsteder anbefales å benytte ved inngåelse av avtale med Fakturahotell. Avtalevilkårene med vedlegg er innarbeidet i det øvrige avtaleverk mellom Banken og Utsteder. I vedlegg til databehandleravtalen er Fakturahotellets ansvar for personopplysninger beskrevet nærmere. Liste over aktuelle Fakturahotell med løsninger som tilbys i markedet finnes på eller fås ved henvendelse til Banken. 5) Samarbeidsavtale om efaktura B2C for Fakturahotell Nets inngår Avtale om efaktura B2C for Fakturahotell med Fakturahotell ved oppstart av nytt Fakturahotell. Formålet med denne avtalen er å regulere samarbeidet mellom Fakturahotellet og Nets i forbindelse med implementering og drift av efaktura- tjenesten for å sikre samvirke mellom de tekniske løsningene. I avtalen fremgår det at Fakturahotellet må oppfylle de tjenestemessige krav som stilles til Fakturahotellets kunde (det vil si Utsteder) gjennom avtalen Utsteder inngår med sin Bank, herunder gjeldende brukerdokumentasjon på efaktura.no. Fakturahotellets ansvar for personopplysninger fremgår av Avtalevilkår for efaktura mellom fakturautsteder og banken og Samarbeidsavtalen inneholder en henvisning til relevante bestemmelser i disse avtalevilkårene 6) Regler om bankenes samordnede e-fakturatjeneste Regler om bankenes samordnede e-fakturatjeneste [3] er vedtatt av Bransjestyre bank og betalingsformidling i FNO Servicekontor Reglene binder bankene i kraft av medlemskap i Sparebankforeningen og Finansnæringens Hovedorganisasjon og tilslutning til det aktuelle regelverket. Reglene gjelder for alle banker som benytter felles efaktura koblingsenhet og setter blant annet krav til informasjonssikkerhet og internkontroll i koblingsenheten, avtaler mellom banken og henholdsvis personkunde (forbruker) og driftsoperatør (Nets), samt informasjon fra banken om bruk av løsningen til egne kunder. I tillegg har FNO laget eksempel på informasjon [9] om efaktura B2C som bankene anbefales å gjøre tilgjengelig for forbruker i nettbanken, for å oppfylle krav i personopplysningsloven og fra Datatilsynet. I Tjenesteavtale mellom Nets og banken er det videre tatt inn en anbefaling om å benytte eksemplene ved gjennomgang av informasjon i nettbankdialogen. Notat versjon mars

8 7) Avtale mellom FNO Servicekontor (FNO) og Nets Norway AS (Nets) I avtale mellom FNO og Nets 4 [4]vil det bli stilt felles krav fra bankene til tilgang til og drift av efaktura tjenesten (herunder koblingsenheten). I avtalen vil det blant annet stilles krav til håndtering av kunde og personopplysninger, herunder informasjonssikkerhet og internkontroll. 8) Avtale mellom eksternt Fakturahotell og bedrift Fakturahotellet er bedriftens ( Utsteders ) underleverandør av fakturatjenester. Det forutsettes at Utsteder pålegger Fakturahotellet å levere fakturainformasjon i henhold til avtale mellom Utsteder og Banken hvor krav fra Banken speiles i avtalen med Fakturahotellet. Det forutsettes videre at Utsteder i avtalen regulerer Fakturahotellets behandling av personopplysninger på vegne av Utsteder. Minimumskrav til avtalen mellom Utsteder og Fakturahotellet fremgår av del C i Avtalevilkår for efaktura mellom fakturautsteder og banken [7] Det anbefales videre at Utsteder benytter Nets forslag til databehandleravtale[8] ved inngåelse av avtale med Fakturahotell. 4 Avtalen er under utarbeidelse og partene antar at en endelig versjon vil foreligge innen nærmeste fremtid og senest Notat versjon mars

9 2.3. Teknisk løsning Den tekniske løsningen for efaktura B2C fremgår av figur 2 nedenfor. Signert Url SFTP Signert Url Fakturahotell SFTP Utsteder Nets Betaler SSL Webserver Sikker linje Sikkerhetskomponent fakturahotell Filmottak Sikkerhetskomponent Bank Sikkerhetskomponent Filmottak Bank OnlineServer FakturahotellServer Konsolidator Fakturahotell Konsolidatordatabase Hotelldatabase UtstederAvtale -UtstederId -UtstederNavn - BetalerAvtale -UtstederId -Personnummer -efakturareferanse Betalingskrav -UtstederId -efakturareferanse -FakturaId FakturaDetaljer -FakturaId - - Figur 2 Oversikt over teknisk løsning efaktura B2C Betaler Bank Betaler logger seg på bank via bank sin sikkerhetsløsning. Bank Koblingsenhet Bank kommuniserer med Nets over SSL5 på sikre linjer. Sikkerhetskomponenten i løsningen som Nets leverer autentiserer og godkjenner hvilke tjenester bank skal ha tilgang til. Bank utfører kall på vegne av Betaler inn mot koblingsenhet. 5 SSL er en forkortelse for Secure Socket Layer en anerkjent sikkerhetsprotokoll for elektronisk kommunikasjon via internett Notat versjon mars

10 Betaler Fakturahotell Når Betaler skal se fakturadetaljer på en efaktura, brukes en klikkbar lenke (URL) som Bank har mottatt fra koblingsenhet. Lenken fører til Fakturahotell, som sjekker at Betalers signatur er gyldig mot sikkerhetskomponenten. Utsteder Filmottak Utsteder sender sine filer til Nets via SFTP6. Filene blir overført til Fakturahotellet der de blir prosessert. Fakturahotell Filmottak Utsteder sender sine filer til Nets via SFTP. Filene blir overført til koblingsenhet der de blir prosessert. 6 SFTP er en forkortelse for Secure File Transfer Protocol en utbredt protokoll i utveksling av filer mellom datamaskiner. Notat versjon mars

11 3. Hvilke personopplysninger behandles ved bruk av efaktura B2C Nedenfor følger en oversikt over hvilke personopplysninger som behandles ved bruk av efaktura B2C fellesfunksjon og utvekslingen av informasjon mellom partene, se figur 3. efaktura B2C - utveksling av opplysninger mellom partene Forbrukeravtale (online) Utstederes id=org.nr Forbrukers: Adresse Telefon * efaktura referanse Avtalen Gjelder (kundens fritekst) * Fornavn * Etternavn Fødselsnummer alternativt organisasjonsnummer (11 siffer) Varslingskanal (ingen, SMS, E-post) * Er ikke obligatorisk Forbrukeravtale (fil) Utsteders id = org.nr Forbrukers: efaktura referanse Fornavn * Etternavn Adresse Fødselsnummer alternativt org.nr (11 siffer) dersom utsteder har tillatelse til dette etter 12 i personopplysningsloven * Er ikke obligatorisk Forbruker Bank (nettbank) Avtaleskjema Onlinekall Onlinekall Onlinekall Forbrukeravtale online Fakturainfo. Onlinekall Fakturainfo/ betalingskrav Kontonummer til kreditor Organisasjonsnummer til utsteder efaktura referanse KID (valgfritt) Beløp Forfallsdato URL til fakturadetaljer Betalingstype (efaktura, kombinasjon efaktura /AvtaleGiro) Fakturautsteders navn Utstederavtale Utsteders org.nummer Utsteders navn Utsteders adresse Utsteders valg av hotell Status på avtale Utsteders kontakt info. Informasjon om div. tekniske opsjoner Avtaleskjema Utstederavtale Filer Avtaleskjema Forbrukeravtale fil Nets Filer Fakturainfo. Utsteder Filer Fakturahotell Figur 3 efaktura B2C utveksling av opplysninger mellom partene Figuren over viser hvilke opplysninger som utveksles/tilgjengeliggjøres i de ulike steg i prosessen. Utstederavtale Denne avtalen inngås mellom Utsteder og Bank, og teknisk registreringsinformasjon sendes fra bank til Nets for innleggelse i utstederregister. Avtalen inneholder følgende minimumsinformasjon: Utsteders organisasjonsnummer Utsteders navn Utsteders adresse Utsteders valg av fakturahotell Status på avtale Utsteders kontaktinformasjon Informasjon om diverse tekniske opsjoner Forbrukeravtale Denne avtalen inngås mellom forbruker (Betaler) og dennes bank. Avtaleinformasjon som formidles fra Bank til avtaleregister for Betaler som finnes i koblingsenheten (hos Nets) er følgende: Utstederid = organisasjonsnummer (til den utsteder forbruker ønsker å inngå avtale med) Forbrukers: o Adresse o Telefon (valgfri) o efaktura referanse o Avtalen gjelder (valgfri betalers fritekst) o Fornavn o Etternavn o Fødselsnummer alt. Organisasjonsnummer o Varslingskanal (ingen, sms, e-post) Notat versjon mars

12 Avtaleinformasjon forbruker (Betaler) Informasjon som formidles til Utsteder på fil skal godkjennes av Betaler og inneholder følgende informasjon: Utstederid=organisasjonsnummer efaktura referanse Fornavn (valgfritt) Etternavn Adresse Fødselsnummer, dersom Utsteder har hjemmel etter 8,9, 11 og 12 i personopplysningsloven (kun et fåtall utsteder mottar dette) - alternativt organisasjonsnummer Utsteder godkjenner eller avslår avtaler og dette formidles til koblingsenheten. Betalingskrav Bedriften (Utsteder) sender inn sine betalingskrav på fil til koblingsenheten. Betalingskravene inneholder følgende informasjon: Kreditors kontonummer Utsteders organisasjonsnummer efaktura referanse KID (valgfritt) Beløp Forfallsdato URL til fakturadetaljer Betalingstype (efaktura eller kombinasjon efaktura eller AvtaleGiro) Utsteders navn Utsteders roller og ansvar ved behandling av personopplysninger i efaktura koblingsenhet fremgår av Vedlegg 1 til dette dokument. Vedlegg 1 kan benyttes i avtale mellom Banken og Utsteder. Personopplysninger Fakturahotell behandler på vegne av Utsteder fremgår av Vedlegg 2 til dette dokument. Vedlegg 2 kan benyttes i avtale mellom Utsteder og Fakturahotell. Notat versjon mars

13 4. Behandlingsansvar etter personopplysningsloven 4.1 Bakgrunn I sitt brev av 2. august 2011 til Nets, etter gjennomført tilsyn med behandling av personopplysninger i efaktura koblingsenhet gjennomført hos Nets og en bank, har Datatilsynet fattet følgende vedtak: 1. Nets må avklare hvem som er behandlingsansvarlig i forhold til behandling av personopplysninger i virksomheten, jf personopplysningslovens 2 og Nets sin behandling av personopplysninger for efaktura må i sin helhet bringes til opphør med mindre det er fremlagt et gyldig grunnlag, jf 15, jf 13 jf 8. En bank ble pålagt å samarbeide med de øvrige tilbydere av efaktura og Nets om å avklare hvem som er behandlingsansvarlig for personopplysninger i efaktura, samt sikre at personopplysninger som overføres til Nets før avtale mellom kunde og Fakturautsteder er godkjent, må forankres i et gyldig behandlingsgrunnlag. Kravene gjelder imidlertid tilsvarende for andre banker som benytter efaktura koblingsenhet fra Nets. I brev av 4. januar 2012 fra Datatilsynet avsluttes kontrollsaken ved at tilsynet legger Nets redegjørelse av tilpasning i avtaler mv til grunn, herunder at bankene gis en overgangsperiode frem til 1. juli 2012 blant annet for å tilpasse kundeavtaler og kundeinformasjon til de nye reglene. Datatilsynet ber om bli holdt orientert om fremdriften i implementeringsarbeidet. 4.2 Formelle krav Behandlingsansvar for personopplysninger som behandles i efaktura koblingsenhet innebærer følgende plikter/ansvar etter personopplysningsloven: a) Sørge for at vilkårene for behandling av personopplysninger etter 11, jf 8, 9 og 12 er oppfylt. b) Meldeplikt til Datatilsynet etter 31 og 32. c) Sørge for tilfredsstillende informasjonssikkerhet og internkontroll, jf 13 og 14. Datatilsynet har utarbeidet veiledere for informasjonssikkerhet og internkontroll som kan lastes ned fra tilsynets hjemmeside, se aspx og spesielt d) Sørge for at det inngås databehandleravtaler eller tilsvarende avtale med underleverandør/tredjepart som behandler opplysninger på vegne av den behandlingsansvarlige, jf 15, jf 13, jf 8 og 12. Dette kan enten gjøres i egne databehandleravtaler eller ved at tilsvarende vilkår innarbeides i øvrig avtaleverk mellom partene. Datatilsynet har utarbeidet maler for databehandleravtaler som kan lastes ned fra tilsynets hjemmeside, se: aspx e)informasjonsplikt overfor forbruker om hvilke personopplysninger som samles inn etter 19 og 20. Unntak fra informasjonsplikten fremgår av 23. Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler, jf 24. f) Informasjonsplikt overfor forbruker ved krav om innsyn etter 18. Unntak fra innsynsretten fremgår av 23. Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler, jf 24. g) Sørge for retting og/eller sletting av mangelfulle opplysninger etter 27. Notat versjon mars

14 h) Sørge for sletting av personopplysninger som det ikke er nødvendig å oppbevare for å gjennomføre formålet med behandlingen etter 28. i) Varslingsplikt til Datatilsynet, dersom personopplysninger som befinner seg i koblingsenheten er kommet på avveie, jf personopplysningsforskriften 2-6 tredje ledd. Datatilsynet har utarbeidet en veiledning har til hensikt å hjelpe private virksomheter å handle korrekt dersom personopplysninger de står ansvarlig for, har kommet på avveie, se: aspx j) Datatilsynet skal gjennomføre kontroll med at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet, jf 42. k)behandlingsansvarlig er gjenstand for straffeansvar, erstatningsplikt og gebyrer etter Etterlevelse av kravene Dette dokumentet punkt 4.3 flg. beskriver behandling av personopplysninger i forbindelse med etablering og bruk av efaktura koblingsenhet. Kravene til koblingsenheten omfatter opplysninger som befinner seg innenfor Nets (ytre) brannmur og omfatter oppgaver som Nets gjennomfører på vegne av FNO Servicekontor og Bankene. Krav til nettbank og fakturahotell faller utenfor, men omtales i dokumentet dersom det er nødvendig for å beskrive grenseoppgangen mellom ulike løsninger/parter. Krav til konsesjon og meldeplikt eller sanksjoner ved brudd på den behandlingsansvarliges plikter, se punkt 4.2 bokstav b) og k) omtales ikke. Vilkårene for etablering og bruk av efakturaløsningen etter personopplysningslovens 11, jf 8, 9 og 12 og informasjon til forbruker etter 19 og 20 fremgår av avtale mellom Banken og Betaler som inngås ved etablering av kundeforhold og avtale om bruk av nettbank. I tillegg gis det informasjon i nettbanken til Betaler ved tilmelding til ny Utsteder. Utsteder har ansvar for å informere Betaler om fakturainformasjon som gjøres tilgjengelig i nettbanken 7. I Regler om efaktura [3] punkt 4 og Del E av kontoavtalen Avtalevilkår for elektronisk disponering av konto mv forbruker [6], punkt 7 fremgår krav til avtale med og informasjon til forbruker. FNO har utarbeidet Eksempel på informasjon som oppfyller kravene i personopplysningsloven [9] som anses som minimumskrav som bør følges av Bankene ved informasjon til forbruker i blant annet nettbank Krav om innsyn, retting og sletting av opplysninger etter at efakturaløsningen er tatt i bruk av forbruker, se punkt 4.2. bokstav e-h ovenfor, er nærmere beskrevet i punkt 6 nedenfor Nærmere om behandlingsansvaret Hver Bank har et selvstendig behandlingsansvar for personopplysninger som Nets behandler i efaktura koblingsenhet på vegne av Banken. I en utredning av behov for endringer i personopplysningsloven, skrevet etter oppdrag fra Justisdepartementet og Moderniseringsdepartementet av Professor dr. juris Dag Wiese Schartum og Førsteamanuensis dr. juris Lee A. Bygrave i 2006 punkt fremgår det at behandlingsansvaret kan deles mellom flere selvstendige behandlingsansvarlige når disse [..]inngår i et forpliktende forhold som innebærer at den bestemmelsesretten som er tillagt hver av de behandlingsansvarlige utøves felles, dvs. at de gjennom felles beslutninger vedrørende formål, hjelpemidler mv disponerer på en måte som er rettslig bindende for samarbeidspartnerne. Når aktører går inn i et slikt forpliktende samarbeid, samtidig som de opprettholder egen organisasjon, innebærer det at det felles behandlingsansvaret er avgrenset. 7 Se vedlegg 1 til dette notat Notat versjon mars

15 Datatilsynet fremhever i sitt vedtaksbrev til Nets av at delt behandlingsansvar kan medføre ansvarspulverisering, men utelukker ikke at et felles solidarisk ansvar hvor samtlige banker hefter utad for løsningen er i overenstemmelse med personopplysningsloven, forutsatt at hver enkelt bank er innforstått med sitt ansvar. Ansvaret innebærer i følge tilsynet at en enkeltperson eller Datatilsynet kan holde enhver av bankene ansvarlig for ethvert forhold som ligger under ansvaret for koblingsenheten. Regler om efaktura [3]og Tjenesteavtale mellom Nets og bankene utgjør det felles forpliktende forholdet som ivaretar bankenes felles krav til behandling av personopplysningene i efaktura koblingsenhet. Nets er databehandler for personopplysninger som behandles på vegne av Bankene i koblingsenheten, jf personopplysningsloven 15. Regler om efaktura [3] håndterer i tråd med de generelle rammene for interbankregler mellom bankene, bankenes fordeling av ansvar seg i mellom i tilfeller hvor en bank utad holdes ansvarlig for handlinger en annen bank er ansvarlig for. Fordi det er Bankene som tilbyr formidling av fakturainformasjon til Utstedere og egne nettbankkunder, er det også Bankene som er behandlingsansvarlige for denne informasjonen i koblingsenheten fram til den er hentet ut i Betalers nettbank. Bankene er likevel ikke ansvarlig for selve betalingskravet fra Utstedere, herunder hvilke fakturamottaker(e) som Utsteder mener kravet kan rettes mot eller sendes til. Fra det tidspunkt informasjonen hentes ut fra koblingsenheten og gjøres tilgjengelig i Betalers nettbank, har Betalers Bank et selvstendig behandlingsansvar for disse opplysningene. Bankenes behandlingsansvar for opplysninger i efaktura koblingsenhet og Nets rolle som databehandler er nærmere beskrevet nedenfor Krav til informasjonssikkerhet og internkontroll i efaktura koblingsenhet Bankene har som nevnt i punkt et felles, solidarisk behandlingsansvar som blant annet innebærer ansvar for å fastsette krav til informasjonssikkerhet og internkontroll for personopplysninger som befinner seg innenfor Nets (ytre) brannmur og omfatter oppgaver som Nets gjennomfører på vegne av Bankene. I Regler om efaktura [3] skal FNO på vegne av bankene som benytter felles efaktura koblingsenhet i avtale med Nets sette krav til informasjonssikkerhet og internkontroll jf personopplysningslovens 13 og 14. FNO har i avtale med Nets 8 pålagt Nets å inngå avtale med bankene som ønsker å benytte felles koblingsenhet i overenstemmelse med personopplysningslovens krav, herunder sørge for at bankene gis mulighet til å kontrollere at krav fastsatt av FNO blir implementert og gjennomført. Tjenesteavtale mellom Nets og bankene er omtalt i punkt 5.2. nedenfor Krav til informasjonssikkerhet og internkontroll utenfor efaktura koblingsenhet Banken har et selvstendig ansvar for å sette krav til informasjonssikkerhet og internkontroll for opplysninger som hentes ut fra koblingsenheten og gjøres tilgjengelig i Betalers nettbank fra opplysningen forlater Nets (ytre) brannmur. Utsteder er ansvarlig for personopplysninger som behandles av Utsteder eller et Fakturahotell på vegne av Utsteder. Utsteder har et selvstendig ansvar for personopplysninger som avleveres fra Utsteder og/eller Fakturahotell frem til de mottas av Banken (det vil si ved Nets (ytre) brannmur). Utsteder har et selvstendig ansvar for å sette krav til informasjonssikkerhet og internkontroll for disse opplysningene Krav til avtale med databehandler for efaktura koblingsenhet 8 Avtalen er under utarbeidelse og partene antar at en endelig versjon vil foreligge innen nærmeste fremtid og senest Notat versjon mars

16 I Regler om efaktura [3] skal FNO inngå avtale med Nets om drift av i efaktura koblingsenhet, herunder stille krav til informasjonssikkerhet og internkontroll. Videre forutsetter reglene at Banken i avtalen med Nets gjenspeiler den behandling av personopplysninger som er beskrevet i Regler om efaktura [3]. Avtalen må oppfylle Datatilsynets krav til databehandleravtale eller tilsvarende, se punkt 4.1. litra c ovenfor. Krav til Nets som databehandler og driftsoperatør for efaktura koblingsenhet er nærmere beskrevet i punkt 5 nedenfor Varsling til Datatilsynet dersom personopplysninger i koblingsenheten er kommet på avveie Det er Bank(ene) som etter dagens modell skal varsle Datatilsynet dersom personopplysninger i Nets koblingsenhet for efaktura har kommet på avveie etter personopplysningsforskriften 2-6 tredje ledd. Nets har imidlertid i Tjenesteavtale med Bankene påtatt seg på vegne av bank en direkte varslingsplikt til Datatilsynet, se punkt 5.2. Dersom det opprettes en tilsynssak ifbm varslingen vil FNO koordinerevarsling til øvrige banker og bankenes uttalelser til Datatilsynet. Nets har en tilsvarende frivillig varslingsplikt overfor Finanstilsynet etter IKT forskriften Datatilsynets gjennomføring av kontroll Datatilsynet kontrollerer at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet, jf personopplysningslovens 42. Kontrollen kan gjennomføres hos alle banker og deres underleverandør. Før gjennomføring av kontroll hos underleverandøren vil Datatilsynet varsle de behandlingsansvarlige. Datatilsynet kan gjennomføre kontroll hos Nets etter personopplysningslovens 44, jf 42 ved å varsle FNO om dette. FNO vil sørge for at hver bank varsles og koordinerer eventuelle uttalelser fra bankene i forbindelse med gjennomføringen, se Regler om efaktura [3]. Rutiner for eventuell gjennomføring av slik kontroll vil bli utarbeidet av FNO og Nets i fellesskap. Nets forutsetter at kontrollen så vidt mulig kan ta hensyn til rapporter fra kontroller gjennomført av Finanstilsynet eller tredjepartsrevisjon som gjennomføres i forbindelse med for eksempel sertifisering etter sikkerhetsstandarden ISO Det forutsettes videre at kontrollen skal gjennomføres slik at det ikke oppstår eventuelle driftsproblemer for tjenester i produksjon. FNO vil gjøre informasjon om resultat av gjennomført kontroll fra Datatilsynet som berører Nets, for Nets. Notat versjon mars

17 5. Nets som databehandler 5.1 Generelt om krav til databehandler I henhold til personopplysningslovens 15 kan en databehandler ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av personopplysningslovens 13. I personopplysningslovens 13 står det at den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. Dette innebærer at databehandler i tillegg til eventuelle krav fra den behandlingsansvarlige har et selvstendig ansvar for å følge sikkerhetsbestemmelsene i 13, samt kapittel 2 i forskrifter til personopplysningsloven Nets forpliktelser som databehandler i avtale med bankene Personopplysninger som behandles i efaktura-faktura koblingsenhet skal behandles i henhold til Personopplysningslovens 13 og personopplysningsforskriften kapittel 2, samt bankenes felles krav til drift av efaktura koblingsenhet, som fremgår av avtale mellom FNO og Nets. Avtalen er tatt inn som vedlegg til Tjenesteavtalen med bankene. Nets kan ikke behandle andre personopplysninger eller benytte opplysningene til andre formål enn det som fremgår av avtalen mellom Nets og FNO [4], Tjenesteavtale mellom Nets og bankene [5] eller som er uttrykkelig avtalt med den enkelte bank. Personopplysninger som Nets behandler i efaktura B2C koblingsenhet på vegne av bankene fremgår av punkt 3 ovenfor. Nets skal for øvrig følge de rutiner og instrukser for behandlingen av personopplysningene som Banken fastsetter. FNO kan på vegne av bankene gjennomføre revisjon og kontroll av at bankenes felles krav til Nets overholdes. I tillegg har Banken rett til å kontrollere at personopplysningslovens krav er oppfylt. Med mindre annet er avtalt, skal FNO ha rett til innsyn i utførte kontroller. Nets skal endre tjenesten og teknisk løsning, dersom det avdekkes at tjenesten og teknisk løsning ikke oppfyller krav som stilles i personopplysningsloven med forskrifter [4][5]. Ved eventuell kontroll fra Datatilsynet hos Nets og/eller Banken etter personopplysningslovens 42, jf 44, skal FNO Servicekontor etter initiativ fra Datatilsynet forstå varslingen av øvrige banken og eventuelt samordne bankenes uttalelser [4][5]. Dersom Nets er kjent med at et avvik som har medført uautorisert utlevering av personopplysninger Nets er ansvarlig for, hvor konfidensialitet er nødvendig, skal Nets melde fra om dette til Banken, samt på vegne av Banken sende melding til Datatilsynet ihht personopplysningsforskriftens 2-6 tredje ledd [5]. Notat versjon mars

18 I Tjenesteavtalen mellom Nets og bankene [5] vises det til Eksempel på informasjon som oppfyller kravene i personopplysningsloven [9] utarbeidet av FNO. Det anbefales at disse benyttes ved informasjon om efaktura B2C til forbruker i nettbanken. Banker som benytter efaktura B2C løsningen skal videre benytte minimumsvilkår tatt inn som vedlegg til Tjenesteavtalen i avtaler med Fakturautsteder og Betaler. Bankene skal videre pålegge Utstedere å inngå en Databehandleravtale med Fakturahotell og anbefaler at mal for slik avtale utarbeidet av Nets benyttes [5] Nærmere om Nets forpliktelser som databehandler Nets forpliktelser som databehandler er begrenset til ansvar for personopplysninger som Nets har kontroll over, det vil si opplysninger som befinner seg innenfor Nets (ytre) brannmur. Nets skal i henhold til avtale med Banken sørge for at en gyldig lenke som peker til fakturainformasjonen gjøres tilgjengelig for Banken og Betaler, men er ikke ansvarlig for innholdet i lenken (det vil si fakturainformasjonen). Dersom et Fakturahotell i sin lenke viser til en annen persons faktura er Nets ikke ansvarlig for dette. Tilsvarende er Nets ansvarlig for at godkjente informasjonsfelt kobles sammen med korrekt personnummer ved utsendelse av opplysninger fra utstederregister, mottakerregister eller betalingskravsbasen. Nets har imidlertid ikke ansvar for innholdet i disse feltene. Dersom Banken eller Utsteder har rapportert inn feil opplysninger, har Banken og/eller Utsteder ansvaret for eventuelle feil som oppstår som følge av dette. I tillegg vil Nets etter avtale med Banken: fastsette generelle krav og anbefalinger til Fakturahotell og Banker i tekniske dokumenter Nets etter avtale med Banken har ansvar for å utarbeide (eksempelvis grensesnittspesifikasjoner og testdokumentasjon) koble ned/stenge tilgang til efaktura koblingsenhet, dersom Nets mottar melding om at en Bank eller et Fakturahotell har feil i sine systemer som medfører at personopplysninger kommer på avveie I tillegg til de krav som fremgår av avtale med Banken skal Nets av eget tiltak ivareta informasjonssikkerheten for personopplysninger som befinner seg innenfor Nets (ytre) brannmur. Dette innebærer blant annet at Nets må fastsette ytterligere sikkerhetstiltak for å unngå at: ansatte i Nets uberettiget får tilgang til personopplysninger som befinner seg innenfor Nets (ytre) brannmur andre enn autoriserte Banker kan sende inn eller hente ut personopplysninger fra utstederregister og mottakerregister andre enn autoriserte Fakturahotell får tilsendt definerte personopplysninger Notat versjon mars

19 6. Informasjon til forbruker Banken og Utsteder skal besvare spørsmål fra publikum som ber om innsyn i hvilke opplysninger Nets oppbevarer i koblingsenheten, jf personopplysningslovens 18. Videre har Banken og Utsteder informasjonsplikt i forbindelse med innsamling av personopplysninger fra den registrerte eller andre etter 19 og 20. Nets kan i henhold til tjenesteavtale med Banken gi generell informasjon om tjenesten, herunder hvilke generelle opplysninger som behandles i efaktura koblingsenhet til Betaler som henvender seg til Nets, jf personopplysningslovens 18. Ved krav om innsyn i hvilke opplysninger som er lagret om den enkelte, retting og sletting, jf 18, 27 og 28 må Betaler kontakte sin Bank og/eller Utsteder. Banken vil informere forbruker (Betaler) om bruk av efakturaløsningen i forbindelse med inngåelse av avtale om bruk av nettbank og ved tilmelding til Utsteder i henhold til Regler om efaktura punkt 4 [3], Del E Avtalevilkår for disponering av konto mv forbruker punkt 7 [6] og Eksempel på informasjon som oppfyller kravene i personopplysningsloven [9]. Henvendelser til Nets om tilgang til og bruk av efakturaløsningen i nettbank skal formidles til forbrukerens bankforbindelse. Banken skal besvare spørsmål fra forbruker om hvilke personopplysninger Nets behandler på vegne av Banken. FNO har i Rundskriv 47/2011 Nye interbankregler for e-faktura [1] omtalt funksjonaliteten med visning av fakturaen i alle kundens nettbanker. FNO har bl.a. understreket behovet for at bankene er tydelige med informasjon om at dersom kunden er disponent for kontoer tilhørende et lag/forening, men har registrert kontoen og nettbanken (og dermed e-fakturaavtalen) på sitt fødselsnummer, vil e-fakturaen til laget/foreningen dukke opp i alle kundens nettbanker som er registrert på kunden som fysisk person (med fødselsnummer). Utsteder vil informere forbruker om fakturainformasjon og hvor forbruker kan få informasjon om bruk av efakturaløsningen. Henvendelser til Banken eller Nets vedrørende innhold i faktura skal formidles til Utsteder som har utstedt faktura til forbruker. Informasjon om hvem som har plikt til å informere forbruker om behandling av personopplysninger i efaktura koblingsenhet skal fremgå av; og tilsvarende informasjonsside hos Banken og Utsteder. Notat versjon mars

20 Vedlegg 1 Utsteders roller og ansvar ved behandling av personopplysninger i efaktura koblingsenhet 1. Generelt efaktura B2C er en tjeneste som Bankene tilbyr fakturautstedere ( Utsteder ) og deres kunder ( Betaler ). Utsteder er en bedrift eller organisasjon (juridisk person) som gjør en faktura elektronisk tilgjengelig for Betaler. Utsteder kalles også fakturautsteder i brukerdokumentasjon for efaktura B2C tjenesten. Ved bruk av efaktura tjenesten overføres betalingskrav fra Utsteder til en koblingsenhet som gjør dette tilgjengelig for Betalerens Bank(er). Faktura skal gjøres tilgjengelig i en lenke til e-fakturaen eller ved fremsending av en datafil. Betaler kan deretter få frem en samlet oversikt over sine betalingskrav i nettbanken(e), og ved å klikke på et ikon få mulighet til å se på den underliggende fakturaspesifikasjonen, som er lagret i fakturahotell. Videre vil Betaler ha mulighet til å foreta en betaling via eksisterende betalingstjenester i nettbanken. Er Betaler kunde i flere Banker, vil Betalers efakturaer være synlige i alle nettbankene han har avtale om å benytte, og vedkommende kan velge hvilken nettbank og konto han/hun ønsker å betale regningen fra. efaktura koblingsenhet er en felles funksjon for alle banker som benytter efaktura tjenesten. Funksjonen er utviklet av Nets Norway AS (heretter kalt Nets) og en standard driftsløsning som tilbys til alle banker i Norge i henhold til avtale med Finansnæringens Fellesorganisasjon (FNO). 2. Avtaler mellom partene Utsteder inngår avtale med en Bank om at faktura og betalingskrav (samlet kalt Faktura ) skal formidles elektronisk fra Utstederen til Betaleren. Betaleren inngår avtale med Banken om at en faktura skal presenteres i egen nettbank. Hensikten er at efaktura skal kunne integreres med betalingstjenestene som til enhver tid tilbys i den enkelte nettbank. Utsteder må inngå avtale med et godkjent fakturahotell om lagring og fremvisning av fakturadetaljer. I bankenes nettbanker vil betaler via betalingskravet i efaktura koblingsenhet, få tilgang til sine fakturadetaljer i den eller de nettbanker Betaleren har inngått avtale med Banken(e) om å benytte. Banken(e) inngår en tjenesteavtale med Nets om tilgang til efaktura tjenesten (herunder koblingsenheten) for egne nettbankkunder og krav om avtale mellom Banken og Utsteder, samt mellom Utsteder og Fakturahotell. Nets inngår i tillegg en samarbeidsavtale med aktuelle Fakturahotell om blant annet implementering og drift av efaktura- tjenesten, samt varsling ved endringer for fakturahotell som er satt i produksjon. 3. Behandlingsansvar for personopplysninger Utsteder er behandlingsansvarlig for personopplysninger gjøres tilgjengelig for bankenes driftsoperatør av efaktura koblingsenhet og som gjøres tilgjengelig for bankenes kunder i nettbanken, jf personopplysningslovens 2 nummer 4. Et fakturahotell kan bare behandle personopplysninger i henhold til avtale med Utsteder av faktura i henhold til en databehandleravtale, jf personopplysningslovens 15, jf 13, Jf 8. Notat versjon mars

21 Hver bank er ansvarlig for behandlingen av opplysninger om egne fakturamottakere for fysiske personer og for riktigheten av opplysningene som banken har lagt inn i registrene i koblingsenheten. Banken er videre ansvarlig for behandling av opplysningene som banken i samsvar med reglene her har mottatt fra registrene i koblingsenheten. Banken er likevel ikke ansvarlig for riktigheten av kravet som fakturautsteder hevder å ha og som fremgår av e-fakturaen og/eller det elektroniske betalingskravet, herunder hvilke fakturamottaker som fakturautsteder mener kravet kan rettes mot eller sendes til. Når det elektroniske betalingskravet er behandlet i en banks nettbank er det denne banken som har behandlingsansvaret for informasjon tilknyttet dette betalingskravet. Nets skal i henhold til avtale med Banken sørge for at en gyldig lenke som peker til fakturainformasjonen gjøres tilgjengelig for Banken og Betaler, men er ikke ansvarlig for innholdet i lenken (det vil si fakturainformasjonen). Dersom et Fakturahotell i sin lenke viser til en annen persons faktura er Nets ikke ansvarlig for dette. Tilsvarende er Nets ansvarlig for at godkjente informasjonsfelt kobles sammen med korrekt personnummer ved utsendelse av opplysninger fra utstederregister, mottakerregister eller betalingskravsbasen. Nets har imidlertid ikke ansvar for innholdet i disse feltene. Dersom Banken eller Utsteder har rapportert inn feil opplysninger, har Banken og/eller Utsteder ansvaret for eventuelle feil som oppstår som følge av dette. 4. Opplysninger som gjøres tilgjengelig i e-faktura koblingsenhet Nedenfor følger en oversikt over hvilke personopplysninger som behandles ved bruk av efaktura B2C koblingsenhet, som driftes av Nets, og utvekslingen av informasjon mellom partene, i de ulike steg i prosessen. efaktura B2C - utveksling av opplysninger mellom partene Forbrukeravtale (online) Utstederes id=org.nr Forbrukers: Adresse Telefon * efaktura referanse Avtalen Gjelder (kundens fritekst) * Fornavn * Etternavn Fødselsnummer alternativt organisasjonsnummer (11 siffer) Varslingskanal (ingen, SMS, E-post) * Er ikke obligatorisk Forbrukeravtale (fil) Utsteders id = org.nr Forbrukers: efaktura referanse Fornavn * Etternavn Adresse Fødselsnummer alternativt org.nr (11 siffer) dersom utsteder har tillatelse til dette etter 12 i personopplysningsloven * Er ikke obligatorisk Forbruker Bank (nettbank) Avtaleskjema Onlinekall Onlinekall Onlinekall Forbrukeravtale online Fakturainfo. Onlinekall Fakturainfo/ betalingskrav Kontonummer til kreditor Organisasjonsnummer til utsteder efaktura referanse KID (valgfritt) Beløp Forfallsdato URL til fakturadetaljer Betalingstype (efaktura, kombinasjon efaktura /AvtaleGiro) Fakturautsteders navn Utstederavtale Utsteders org.nummer Utsteders navn Utsteders adresse Utsteders valg av hotell Status på avtale Utsteders kontakt info. Informasjon om div. tekniske opsjoner Avtaleskjema Utstederavtale Filer Avtaleskjema Forbrukeravtale fil Nets Filer Fakturainfo. Utsteder Filer Fakturahotell Utstederavtale Denne avtalen inngås mellom Utsteder og Bank, og teknisk registreringsinformasjon sendes fra bank til Nets for innleggelse i utstederregister. Avtalen inneholder følgende minimumsinformasjon: Utsteders organisasjonsnummer Utsteders navn Utsteders adresse Notat versjon mars

22 Utsteders valg av fakturahotell Status på avtale Utsteders kontaktinformasjon Informasjon om diverse tekniske opsjoner Forbrukeravtale Denne avtalen inngås mellom forbruker (Betaler) og dennes bank. Avtaleinformasjon som formidles fra Bank til avtaleregister for Betaler som finnes i koblingsenheten (hos Nets) er følgende: Utstederid = organisasjonsnummer (til den utsteder forbruker ønsker å inngå avtale med) Forbrukers: o Adresse o Telefon (valgfri) o efaktura referanse o Avtalen gjelder (valgfri betalers fritekst) o Fornavn o Etternavn o Fødselsnummer alt. Organisasjonsnummer o Varslingskanal (ingen, sms, e-post) Avtaleinformasjon forbruker (Betaler) Informasjon som formidles til Utsteder på fil skal godkjennes av Betaler og inneholder følgende informasjon: Utstederid=organisasjonsnummer efaktura referanse Fornavn (valgfritt) Etternavn Adresse Fødselsnummer, dersom Utsteder har hjemmel etter 8,9, 11 og 12 i personopplysningsloven (kun et fåtall utsteder mottar dette) - alternativt organisasjonsnummer Utsteder godkjenner eller avslår avtaler og dette formidles til koblingsenheten. Betalingskrav Bedriften (Utsteder) sender inn sine betalingskrav på fil til koblingsenheten. Betalingskravene inneholder følgende informasjon: Kreditors kontonummer Utsteders organisasjonsnummer efaktura referanse KID (valgfritt) Beløp Forfallsdato URL til fakturadetaljer Betalingstype (efaktura eller kombinasjon efaktura eller AvtaleGiro) Utsteders navn 5. Avvik Dersom Utsteder eller et Fakturahotell Utsteder har ansvaret for er kjent med at et avvik har medført uautorisert utlevering av personopplysninger Utsteder ansvarlig for, hvor konfidensialitet er nødvendig, skal Utsteder melde fra om dette til Datatilsynet ihht personopplysningsforskriftens 2-6 tredje ledd. Dersom avviket har konsekvenser for efaktura tjenesten, skal varsel også sendes til Banken og/eller Bankens medhjelper til de varslingspunkter banken har oppgitt. Utsteder må opplyse om varlingspunkter som banken og dennes medhjelper skal benytte ved melding om avvik. Utsteder skal i databehandleravtale med Fakturahotell sørge for at banken og/eller bankens databehandler for e-faktura fellestjenesten, Nets Norway AS (Nets) har rett til å koble ned/stenge til- Notat versjon mars