Kundeavtale for Buypass ID – smartkort, mobil og ID-nøkkel

1. Om kundeavtalen

1.1  Avtalens parter

Dette er en avtale mellom deg som mottaker av elektronisk ID og Buypass AS (org nr. 983163327), heretter referert til som henholdsvis kunde og Buypass.

1.2  Avtalens omfang

Avtalen gjelder anskaffelse og bruk av Buypass elektronisk identifikasjon (Buypass eID), enten direkte fra Buypass, hos et av våre brukersteder eller via en virksomhet. Buypass eID leveres på sikkerhetsnivå eIDAS høyt som sertifikater på smartkort og mobil eller som nøkkel på en nøkkelenhet. I smartkort og mobil leveres i tillegg kvalifiserte sertifikater for elektronisk signatur.

Generelt om Buypass eID, se punkt 7.

For anskaffelse og bruk av Buypass eID for sterk autentisering gjelder tilleggsvilkår, se punkt 8.

For anskaffelse og bruk av Buypass eID med kvalifiserte sertifikater gjelder tilleggsvilkår, se punkt 9.

1.3  Aksept av avtalen

Ved aksept av vilkårene i denne avtalen, samtykker du til at Buypass kan innhente, oppbevare og behandle dine personopplysninger og informasjon om din bruk av Buypass tjenester.

Du kan lese avtalen når du registrerer deg. Denne anses som akseptert når du undertegner eller krysser av for å ha lest og akseptert avtalen.

Du finner også Kundeavtalen på Buypass’ nettsider. 

2. Kundeforholdet

2.1  Etablering av kundeforhold

Kundeforholdet etableres når du registrerer deg. Dette gjøres enten på Buypass’ nettsider, hos et av våre brukersteder eller hos en virksomhet som opererer som registreringsautoritet (RA) for Buypass, heretter referert til som Virksomhet.

For å etablere kundeforholdet må du være fylt 13 år.

Ved registrering skal du alltid oppgi norsk identitetsnummer (fødselsnummer (FNR) eller D-nummer (DNR)). I enkelte tilfeller også navn, mobilnummer og epostadresse. Du aksepterer at Buypass og/eller Virksomhet kontrollerer opplysningene mot Folkeregisteret og kan hente fullt navn, bostedsadresse og status. Dersom du er registrert med DNR hentes ditt nasjonale identitetsgrunnlag.

Etablering og administrasjon av kundeforhold hos Buypass er underlagt Lov om behandling av personopplysninger (Personopplysningsloven).

Lov om elektroniske tillitstjenester (herunder Selvdeklarasjonsforskriften) regulerer eID nivået som gjelder for Buypass eID for sterk autentisering og Buypass kvalifiserte sertifikater (se hhv punkt 8 og 9).

Det betyr at du må du vise gyldig identitetsbevis, og vi har plikt til å kontrollere og lagre opplysningene.

Du er ansvarlig for at opplysninger du oppgir er fullstendige og korrekte. Hvis du gir uriktige opplysninger, kan det medføre anmeldelse og erstatningsansvar.

2.2  Formål med innhenting av informasjon

For å identifisere deg som kunde på en sikker måte, beskytte mot ID-svindel og sikre våre tjenester, innhenter vi personopplysninger og informasjon om din bruk av Buypass eID.

Vi kan kun bruke din kontaktinformasjon (navn, adresse, mobilnummer og/eller epost-adresse) til å gjennomføre ulike markedsaktiviteter dersom du er blitt spurt om Buypass kan sende deg informasjon og du eksplisitt har akseptert dette.

2.3  Behandling og oppbevaring av informasjon

Buypass har ansvar for sikkerheten knyttet til dine personopplysninger. Vi skal gjennom planlagt og systematisk arbeid sørge for tilfredsstillende informasjonssikkerhet (integritet, konfidensialitet og tilgjengelighet), og at dette er i henhold til gjeldende lovverk.

Vi samler inn og behandler opplysninger om deg i henhold til Personopplysningsloven så lenge avtalen gjelder. I henhold til gjeldende regelverk for bruk av våre tjenester er vi også forpliktet til å lagre opplysninger om deg i en periode etter at kundeforholdet er avsluttet. Etter dette vil vi slette informasjonen med mindre vi er lovpålagt å oppbevare denne lenger.

I vårt arbeid med å forhindre misbruk og kriminalitet overvåker vi alle transaksjoner som utføres i våre systemer. Vi har retningslinjer for når og hvilke tiltak som iverksettes. Dette inkluderer rapportering til offentlig myndighet ved mistanke om kriminell aktivitet.

Du skal melde fra til Buypass om endringer i de opplysningene som er registrert. Buypass kan på egen hånd oppdatere opplysninger når endringene stammer fra eller er bekreftet av offentlig myndighet, slik som opplysninger fra Folkeregisteret.

Når du bruker Buypass eID hos et av våre brukersteder er Buypass ikke ansvarlig for den informasjonen som innhentes, oppbevares og behandles av brukerstedene utover det som er nevnt i punkt 2.1. Dette reguleres gjennom brukerstedenes egne vilkår i henhold til gjeldende personvernregler.

2.4  Innsynsrett, retting og sletting av informasjon

Buypass er behandlingsansvarlig for de opplysninger som behandles i forbindelse med dette kundeforholdet. Informasjon knyttet til behandlingen av personopplysninger finnes på Buypass’ nettsider (Personvernerklæring), eller spørsmål kan rettes til Buypass kundeservice.

I henhold til personopplysningsloven har du rett til å be om innsyn i og eventuelt rette dine personopplysninger  . Dette kan du gjøre selv via «Min side» som er tilgjengelig via Buypass’ eller brukerstedenes nettsider eller ved å kontakte Buypass kundeservice.

Du kan uten å oppgi grunn avslutte ditt kundeforhold og få slettet all informasjon. Du må melde dette til Buypass via Buypass kundeservice. Vi vil gi deg en tilbakemelding om slettingen så raskt som mulig og innen 30 dager.

Buypass er likevel pliktig til å oppbevare informasjon om Buypass eID og bruk av denne utover dette i henhold til de lover og forskrifter som omhandler slike tjenester.

2.5  Deling av informasjon 

Buypass har taushetsplikt i forhold til opplysninger som fremkommer ved bruk av Buypass eID.

Buypass vil ikke utlevere personopplysninger til tredjeparter, med mindre slik utlevering er påkrevet i henhold til rettskraftig dom, gjeldende lovgivning, eller med mindre det er opplyst og godkjent av deg.

Vi bruker informasjonen om trafikkdata og trafikkmønster til å måle tilgjengelighet via dataanalyser som gir grunnlag for videreutvikling og å kunne yte bedre service. Data som brukes i slike analyser er anonymisert og ikke personlig identifiserbar informasjon.

Vi samarbeider med leverandører av analysetjenester, som bidrar til å forstå hvordan brukere benytter og kommuniserer med tjenestene vi tilbyr. I tilfeller hvor vi er avhengig av ekstern behandling vil vi gi dem tilgang til eller overføre slik informasjon. Disse leverandørene kan bruke informasjonskapsler og lignende teknologier for å samle inn informasjon om bruk.

All informasjon som blir sendt behandles i samsvar med vilkår i denne avtalen og databehandler-avtale inngått mellom Buypass og underleverandør. Data som brukes i slike analyser er anonymisert og ikke personlig identifiserbar informasjon.
 

3. Ansvar

3.1  Kundens ansvar

Du som kunde er ansvarlig for egen bruk av Buypass eID under denne avtalen. Det betyr at du må varsle umiddelbart når du oppdager at enheten som din Buypass eID er tilknyttet (smartkort, nøkkelbrikke, mobil) er mistet, stjålet eller du har mistanke om at andre misbruker din Buypass eID.

Ditt ansvar opphører etter at Buypass har mottatt varsel om at Buypass eID skal sperres og har bekreftet sperringen.

3.2  Ansvarsberegninger

Buypass kan ikke holdes ansvarlig for tap som følge av at våre tjenester ikke kan benyttes, enten dette skyldes tekniske feil, at en Buypass eID er sperret, eller andre forhold.

Buypass fraskriver seg erstatningsansvar for de tap du som kunde eventuelt påføres hvis du bruker Buypass eID i strid med vilkårene i denne avtalen.

Buypass’ ansvar ved din bruk av Buypass eID er uansett begrenset til tap pga. uaktsomhet fra Buypass’ side og at du selv eller andre har hatt rimelig grunn til å stole på Buypass eID. Ansvaret omfatter bare direkte tap, begrenset oppad til NOK 5 000 pr. transaksjon og NOK 10 000 pr. kunde pr. år.

Skulle det inntre en ekstraordinær situasjon utenfor partenes kontroll som etter vanlige kjøps-rettslige regler anses som Force Majeure, og som gjør det umulig for en eller begge parter å oppfylle en eller flere forpliktelser etter denne avtalen, blir de berørte forpliktelser suspendert for det tidsrommet den ekstraordinære situasjonen varer.
 

4. Endring av vilkårene i denne avtalen

Vesentlige endringer i avtalen skal godkjennes av deg som kunde.

Vi har likevel mulighet til å foreta mindre endringer i avtalen, så lenge dette ikke endrer forholdet oss imellom.

Oppdatert avtale blir lagt ut på Buypass’ nettsider minimum 15 dager før endringen(e) trer i kraft.

Dersom du ikke ønsker å akseptere de endrede vilkårene må du si opp avtalen. Ta kontakt med Buypass kundeservice.
 

5. Tvister

Dersom det oppstår uenighet mellom partene om tolkning eller rettsvirkninger av denne avtalen eller rundt tjenestene, kan partene søke å løse tvisten seg imellom.

Dersom det ikke oppnås enighet, kan partene ta tvisten videre til avgjørelse ved domstolene. Oslo Tingrett er valgt som verneting.
 

6. Varighet og oppsigelse

Kundeforholdet varer fram til en av partene sier opp avtalen, Buypass avslutter kundeforholdet når det ikke finnes aktive eID-er eller som følge av statusendring i Folkeregisteret.

Du kan når som helst si opp avtalen uten noen nærmere begrunnelse.

Dersom din Buypass eID er utstedt via Virksomhet opphører Kundeforholdet når din tilknytning til Virksomhet opphører.

Dersom du som kunde handler i strid med vilkårene i avtalen, kan Buypass si opp avtalen med umiddelbar virkning. Buypass kan eventuelt suspendere enkelte tjenester i avtaleforholdet. Identitetssvindel og dokumentfalsk eller forsøk på dette anses i denne sammenheng alltid som vesentlig mislighold, og vil kunne medføre politianmeldelse.

Ved oppsigelse av avtalen sperres Buypass eID umiddelbart.

Partenes plikter opphører ved oppsigelse av avtale, likevel slik at Buypass’ plikter i tilknytning til oppbevaring og behandling av personopplysninger, omtalt i punktene 2.3 og 2.4, gjelder slik de er fastsatt i denne avtalen og i norsk lov (Lov om elektroniske tillitstjenester).
 

7. Elektronisk identifikasjon

7.1  Om Buypass eID

Buypass eID er et identitetsbevis som bekrefter at du er den du gir deg ut for å være. Buypass eID består gjerne av noe du har, i form av ulike enheter som smartkort, nøkkelenhet eller mobiltelefon og noe du vet, som en personlig PIN-kode eller et personlig passord, eller noe du er, som biometri med bruk av fingeravtrykk (touch ID) og/eller ansiktsgjenkjenning (face ID).

7.2  Bruk og oppbevaring av Buypass eID

Buypass eID identifiserer deg som person og er derfor strengt personlig. Buypass eID som ikke lenger er under din personlige kontroll, er å betrakte som stjålet og skal straks sperres ved å melde fra til Buypass Kundeservice.

Dersom du vet, eller har mistanke om, at enheten som brukes til Buypass eID eller koden har kommet på avveie (mistet, stjålet eller kode er kjent for andre), skal du omgående endre koden, eller kontakte Buypass sperretjeneste, et brukersted eller din Virksomhet slik at Buypass eID kan sperres.

Gjør du ikke dette vil vi kunne se på det som grov uaktsomhet, ref. punkt 3.1.

Uavhengig av hvilken enhet (smartkort, nøkkelbrikke eller mobil) du disponerer, benyttes Buypass eID alltid sammen med en personlig og hemmelig kode eller biometri (PIN-kode, passord, touch ID, face ID, etc.). Koden skal aldri overlates til andre, og skal alltid oppbevares slik at den ikke kan falle andre i hende. Koden skal benyttes på en aktsom måte, slik at uvedkommende ikke kan skaffe seg kjennskap til denne.

Buypass eID omfatter:
•   Buypass eID for sterk autentisering, se tilleggsvilkår punkt 8.
•   Buypass eID med kvalifiserte sertifikater, se tilleggsvilkår punkt 9.
 

8. Tilleggsvilkår for Buypass eID for sterk autentisering

8.1  Om Buypass eID for sterk autentisering

Buypass er utsteder av Buypass eID for sterk autentisering. Dette er regulert i Selvdeklarasjonsforskriften under Lov om elektroniske tillitstjenester.

Buypass eID kan benyttes for autentisering mot virksomhetsinterne, offentlige og private tjenester i Norge på sikkerhetsnivå eIDAS høyt.

Buypass ID-nøkkel består av et nøkkelpar som genereres i en enhet/bærer (nøkkelbrikke eller smartkort). Den private nøkkelen forblir i enheten, mens den offentlige nøkkelen knyttes til din identitetskonto hos Buypass. Du kontrollerer selv tilgang til nøklene i enheten med din personlige PIN-kode.

Buypass ID på smartkort består av to sertifikater hvor tilhørende nøkkelpar enten genereres i smartkortet eller i en HSM hos Buypass og overføres til smartkortet på en sikker måte. De private nøklene oppbevares beskyttet i smartkortet mens de offentlige nøklene knyttes til din identitetskonto hos Buypass via digitale sertifikater. De to private nøklene/sertifikatene kan benyttes hhv som eID for sterk autentisering eller for signering som eID med kvalifiserte sertifikater for elektronisk signatur, ref kapittel 9.

Buypass ID i mobil består også av to sertifikater hvor tilhørende nøkkelpar genereres og sikres i HSM hos Buypass. De private nøklene forblir i HSM, mens de offentlige nøklene knyttes til din identitetskonto hos Buypass via digitale sertifikater. De to private nøklene/sertifikatene kan benyttes hhv som eID for sterk autentisering eller for signering som eID med kvalifiserte sertifikater for elektronisk signatur, ref kapittel 9. For å få tilgang til dine private nøkler må du autorisere tilgangen ved å bruke en annen eID knyttet til din personlige mobiltelefon. Du kan velge å bruke enten Buypass passord med engangskode via SMS eller Buypass ID app som installeres på mobiltelefonen og som krever bruk av PIN.

Buypass publiserer alle sertifikater i en katalog, slik at de kan hentes ut gjennom en åpen oppslagstjeneste. Ved å akseptere vilkårene, gir du ditt samtykke til slik publisering av ditt sertifikat

Noen brukersteder benytter norsk identitetsnummer som identifikasjon i sine systemer. Dersom du velger å benytte Buypass eID mot slike aktører, aksepterer du samtidig at Buypass kan oppgi ditt norske identitetsnummer til de aktørene som har nødvendig godkjenning.

8.2  Innhenting, behandling og oppbevaring av informasjon

Ved registrering og/eller bestilling av Buypass eID kreves alltid en form for identitetskontroll. Identitetskontroll skjer iht Selvdeklarasjonsforskriften.

Ved etablering kreves at du møter personlig og viser gyldig identitetsbevis. Du må akseptere at det tas fotokopi av identitetsbeviset. Dette gjøres ved utlevering på postkontoret, hos tilknyttet virksomhet, brukersted eller hos Buypass. Alternativt kan du gjennomføre sikker digital verifisering av identitet basert på maskinell lesning av identitetsdokument (MRZ) og biometrisk ansiktsgjenkjenning hvor bildedata hentes fra dokumentets chip og sammenlignes med foto som innhentes i identitetsprosessen. Du må akseptere at informasjon om identitetsdokumentet overføres elektronisk og lagres hos Buypass.

Vi aksepterer også bruk av elektronisk fremmøte, det vil si ved bruk av gyldig elektronisk identifikasjon (eID) på samme sikkerhetsnivå som den Buypass eID som utstedes. Buypass vil i så fall lagre en entydig referanse til den eID du bruker.

Kopi av identitetsdokumentet og/eller referanse til anvendt eID anses som en personopplysning og vil bli behandlet som beskrevet i punkt 2.3.

All informasjon om anskaffelse og bruk av Buypass eID oppbevares i minimum 7 år etter utløp av Buypass eID.

8.3  Sperring

Du kan selv be om å få sperret din Buypass eID ved å ta kontakt med Buypass sperretjeneste eller Virksomhet du er tilknyttet.

Dersom din Buypass eID er utstedt via Virksomhet kan Virksomhet sperre din Buypass eID på eget initiativ dersom det foreligger en gyldig grunn til sperring, f.eks. opphør av ansettelsesforhold eller annen tilknytning til Virksomhet.

Buypass kan på eget initiativ sperre din Buypass eID dersom det foreligger en gyldig grunn til sperring.
 

9. Tilleggsvilkår for Buypass kvalifiserte sertifikater

9.1  Om Buypass kvalifiserte sertifikater

Buypass er sertifikatutsteder for Buypass kvalifiserte sertifikater for elektronisk signatur som er regulert i Lov om elektroniske tillitstjenester, heretter referert til som Buypass kvalifiserte sertifikater.

De kvalifiserte sertifikatene er knyttet til en privat nøkkel som bare du har tilgang til, enten i smartkort eller for Buypass ID i mobil og ID@Work lagret sentralt hos Buypass. Du kontrollerer selv tilgang til den private nøkkelen i smartkortet med din personlige PIN-kode. Tilsvarende kontrollerer du tilgangen til sentralt lagrede private nøkler ved bruk av en annen personlig Buypass eID på tilstrekkelig sikkerhetsnivå.

Buypass kvalifiserte sertifikater har en varighet på 3 år fra utstedelsesdato.

Buypass publiserer alle sertifikater i en katalog, slik at de kan hentes ut gjennom en åpen oppslagstjeneste. Ved å akseptere vilkårene, gir du ditt samtykke til slik publisering av ditt sertifikat.

Noen brukersteder benytter norsk identitetsnummer   som identifikasjon i sine systemer. Dersom du velger å benytte sertifikater mot denne type aktører, aksepterer du samtidig at Buypass kan oppgi ditt norsk identitetsnummer til aktører som har nødvendig godkjenning.

9.2  Omfang og aksept

Disse vilkårene gjelder for anskaffelse og bruk av Buypass kvalifiserte sertifikater. Vilkårene er et tillegg til og gjelder sammen med den til enhver tid gjeldende Buypass kundeavtale, ref. punkt 1-7 i denne avtalen.

Som del av tilleggsvilkårene gjelder også dokumentet Certification Practice Statement (CPS) for Buypass Class 3 Person Qualified Certificates. En kortversjon av relevant informasjon finnes i dokumentet PKI Disclosure Statement (PDS).

Alle forpliktelser du som kunde påtar deg ved anskaffelse og bruk av Buypass kvalifiserte sertifikater er beskrevet i Subject og Subscriber Obligations i disse dokumentene.

Buypass kundeavtale, PDS og CPS er tilgjengelig på Buypass’ nettsider under fanen CA Dokumentasjon (juridisk) og Buypass kvalifiserte personsertifikater.

Tilleggsvilkårene anses som akseptert når du som kunde bekrefter å ha lest og akseptert disse ved registrering, eller ved første gangs bruk av de kvalifiserte sertifikatene.

9.3  Innhenting, behandling og oppbevaring av informasjon

Ved registrering og/eller bestilling av Buypass kvalifiserte sertifikater kreves alltid en form for identitetskontroll.  Identitetskontroll skjer iht Lov om elektroniske tillitstjenester.

Ved etablering kreves at du møter personlig og viser gyldig identitetsbevis. Du må akseptere at det tas fotokopi av identitetsbeviset. Dette gjøres ved utlevering på postkontoret, hos tilknyttet virksomhet, brukersted eller hos Buypass.

Vi kan sende ditt mobilnummer og/eller e-post til leverandør av distribusjonstjenester, slik at du kan få informasjon om forsendelse fra Buypass.

Vi aksepterer også bruk av gyldig elektronisk identifikasjon (eID) for identitetskontroll ved utstedelse av Buypass kvalifiserte sertifikater. Buypass vil i så fall lagre en entydig referanse til den eID du bruker.

Kopi av identitetsbeviset og/eller referanse til anvendt eID anses som en personopplysning og vil bli behandlet som beskrevet i punkt 2.3.

All informasjon om anskaffelse og bruk av Buypass kvalifiserte sertifikater oppbevares i minst 7 år etter at sertifikatet utløper.

9.4  Sperring av kvalifiserte sertifikater

Du kan selv be om å få sperret dine sertifikater ved å ta kontakt med Buypass sperretjeneste eller Virksomhet du er tilknyttet.

Dersom din Buypass eID med kvalifiserte sertifikater er utstedt via Virksomhet kan Virksomhet sperre din Buypass eID på eget initiativ dersom det foreligger en gyldig grunn til sperring, f.eks. opphør av ansettelsesforhold eller annen tilknytning til Virksomhet.

Buypass kan på eget initiativ sperre din Buypass eID med kvalifiserte sertifikater dersom det foreligger en gyldig grunn til sperring.

For mer informasjon om gyldig grunn til sperring og hvordan sperring skjer, henvises det til Certification Practice Statement (CPS).
 

10. Buypass kontaktinformasjon

Hvis du har spørsmål knyttet til denne avtalen eller annet du lurer på, er du velkommen til å kontakte oss på:

Buypass kundeservice, e-post: kundeservice@buypass.no

Buypass kundeservice, telefon: +47 22 70 13 00

Buypass kundeservice, nettsider:  https://www.buypass.no/selskapet/kontakt-kundeservice

Buypass sperretjeneste: https://www.buypass.no/sikkerhet/sperretjeneste