Metadata

1. Identitet

  • Domän: Juridisk och organisatorisk interoperabilitet
  • Version: 0.1
  • Status: UTKAST [Utkast / Remiss / Fastställd / Ersatt / Arkiverad]

2. Syfte och tillämpning

  • Syfte: Denna policy fastställer krav och kontroller för verifiering, dokumentation och uppföljning av organisationer som ansöker om att verka som anslutningsoperatörer inom Samordnad identitet och behörighet.
  • Målgrupp:
    • Primär: Federationsoperatör och Anslutningsoperatör
    • Sekundär: Federationsmedlem
  • Typ av normativt artefakt: Policy [Villkor / Policy / Ramverk / Krav / Profil/Specifikation / Annat]
  • Relationer till andra artefakter: Villkorsbilaga B, (Registeringspolicy för anslutningstjänst)

3. Anteckningar (materiella oklarheter)

  • [Punktlista: saker vi måste komma ihåg men där regleringsplats/ansats inte är bestämd]

4. To do (uppföljningsbara åtgärder)

IDÅtgärdOrsak/nyttaBeroendeAnsvar (roll)DeadlineStatus
TD-001

1. Syfte

Denna policy fastställer krav och kontroller för verifiering, dokumentation och uppföljning av organisationer som ansöker om att verka som anslutningsoperatörer inom Samordnad identitet och behörighet.

En anslutningsoperatör intar en kritisk roll i federationens infrastruktur. Till skillnad från en federationsmedlem som nyttjar federationens tjänster, är anslutningsoperatören en betrodd förmedlande part som på uppdrag av federationsoperatören utför verifieringar, hanterar anslutningsärenden och ansvarar för att federationsmedlemmarnas anslutningar uppfyller gällande krav. Operatörens tillförlitlighet är därmed en förutsättning för hela federationens systemtillit.

Policyn syftar till att skapa förutsättningar för att Federationsoperatören och övriga federationsmedlemmar ska kunna förlita sig på att Anslutningsoperatören:

  • uppfyller de organisatoriska och legala krav som krävs för att verka i en betrodd infrastrukturroll,
  • har kapacitet, stabilitet och mognad att utföra sitt uppdrag kontinuerligt och tillförlitligt,
  • har infört och tillämpar processer och rutiner i enlighet med federationens regelverk,
  • agerar i enlighet med federationens regelverk och kan hållas ansvarig för sin verksamhet.

2. Vad andra parter kan förutsätta

När en organisation ansluts som Anslutningsoperatör enligt denna policy kan Federationsoperatören och övriga federationsmedlemmar förutsätta att:

Verifierad organisationsidentitet. Anslutningsoperatörens organisationsidentitet har verifierats mot lämpliga och relevanta källor vid anslutning. Denna verifiering utgör en grundläggande förutsättning för att etablera och upprätthålla förtroende gentemot Anslutningsoperatören och, i förlängningen, för tilliten till federationen som helhet.

Finansiell och strukturell stabilitet. Operatörens finansiella ställning och ägarstruktur har kontrollerats och bedömts tillräckliga för att säkerställa kontinuitet i den infrastrukturroll som uppdraget innebär.

Verifierad behörighet. Den person som tecknat operatörsavtalet har ett verifierat och dokumenterat mandat att företräda organisationen vid ingående av juridiskt bindande avtal.

Dokumenterade och tillämpade processer. Operatören har infört dokumenterade processer och rutiner för tillämpning av federationens anslutningspolicy och registreringspolicyer, och dessa har verifierats vara faktiskt tillämpade i verksamheten.

Dokumenterade och spårbara verifieringsunderlag. Det finns verifieringsunderlag som är dokumenterade, arkiverade och tillgängliga vid begäran, inklusive underlag som rör operatörens egna verifieringar av federationsmedlemmar.

Löpande tillsyn och re-verifiering. Federationsoperatören genomför periodisk och händelsestyrd tillsyn av Anslutningsoperatören, inklusive fysiska revisioner, och kan uppvisa verifieringshandlingar vid begäran.

Säkerställd kontinuitet. Det finns dokumenterade planer för kontrollerad avveckling och operatörsbyte, så att anslutna federationsmedlemmars verksamhet inte störs vid eventuellt avslut av operatörskapet.

3. Omfattning och avgränsning

Denna policy gäller kontroller och processer som rör juridisk organisationsidentitet, finansiell stabilitet, ägarstruktur, organisatorisk mognad och operativ förmåga, behöriga företrädare samt tillämpning av federationens regelverk - vid anslutning av anslutningsoperatör samt vid löpande re-verifiering och kontroll.

Policyn omfattar inte:

Teknisk drift av anslutningstjänsten. Krav på anslutningstjänstens (Intermediate Entity) tekniska drift, tillgänglighet, metadata-publicering och nyckelhantering.

Åtkomst- och verksamhetsbeslut. Policyn reglerar inte beslut om åtkomst, tjänstespecifika behörigheter eller verksamhetsmässiga efterlevnadsbedömningar gentemot enskilda federationsmedlemmar. Anslutningsoperatören agerar som förmedlande och verifierande aktör, inte som beslutande part i förhållande till federationsmedlemmars åtkomst. Federationsmedlemmar ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.

5. Definitioner

Anslutande organisation: Organisation som ansöker om anslutning som anslutningsoperatör men ännu inte godkänts.

Anslutningsoperatör: är den organisation som på uppdrag av Federationsoperatören utför verifieringar och hanterar anslutningsärenden för federationsmedlemmar. Medverkar till federationsoperatörens möjlighet att tillämpa denna policy.

Avtalstecknare: den person som undertecknar operatörsavtalet för den anslutande organisationen. Avtalstecknare ska vara behörig företrädare eller inneha behörighet genom fullmakt/delegation.

Beställare: person som initierar och driver anslutningsprocessen för organisationens räkning (handläggning/processroll).

Behörig företrädare: person som har rätt att företräda organisationen vid ingående av juridiskt bindande avtal (t.ex. firmatecknare eller person med giltig fullmakt/delegation).

Federationsoperatör: ansvarar för att tillämpa denna policy vilket bl.a. omfattar anslutning, verifiering och löpande kontroll av Anslutningsoperatörer. Federationsoperatören fattar beslut om godkännande, begränsning, avstängning eller uppsägning av Anslutningsoperatörer.

Federationsmedlem: en organisation som tecknat avtal om anslutning som federationsmedlem till Samordnad identitet och behörighet, och som hanteras av en Anslutningsoperatör.

Ledningsaktör fastställer denna policy.

Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och kan identifieras entydigt genom tillförlitliga källor.

Oberoende kanalbekräftelse: bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter och kontaktpunkt.

Fysisk revision: fysisk inspektion av Anslutningsoperatörens lokaler, utrustning och processer, utförd av eller på uppdrag av Federationsoperatören.

Kontrollstruktur: ägar- och ledningsförhållanden i en organisation, inklusive verkligt huvudmannaskap.

6. Organisationsverifiering och behörighetskontroll

6.1. Verifiering av svensk organisation och säte

Syftet är att säkerställa att den anslutande organisationen är en registrerad juridisk person som kan identifieras entydigt och att det finns förutsättningar för rättslig uppföljning och ansvarsutkrävande.

Federationsoperatören ska kontrollera att den anslutande organisationen:

  • är registrerad som juridisk person, verifierat mot Bolagsverkets register eller motsvarande nationellt myndighetsregister i aktuellt EU/EES-land,

  • har ett giltigt och entydigt organisationsnummer eller motsvarande nationell identifierare,

  • har sitt registrerade säte inom EU/EES.

För det fall anslutande organisation är en utländsk organisation ska federationsoperatören dokumentera hur verifieringen gått till, vilka källor som använts och varför bedömningen anses tillförlitlig. Krav på motsvarande tillförlitlighet som för svenska organisationer gäller.

6.2. Verifiering av finansiell stabilitet och ägarstruktur

Syftet är att säkerställa att den anslutande organisationen har tillräcklig finansiell stabilitet och en transparent ägarstruktur för att långsiktigt kunna upprätthålla sin roll som Anslutningsoperatör utan risk för plötsligt avbrott i kritisk infrastruktur.

Federationsoperatören ska kontrollera och dokumentera följande:

Finansiell stabilitet

  • Organisationen ska inte vara föremål för likvidation, konkurs, utmätning, företagsrekonstruktion eller annan insolvensprocess vid tidpunkten för anslutning.
  • Organisationen ska uppvisa tillräcklig finansiell kapacitet för att fullgöra sitt uppdrag. Detta bedöms utifrån tillgängliga årsredovisningar, kreditupplysning eller annan tillförlitlig källa. Federationsoperatören fastställer i sin riskbedömning vilka kriterier som ska uppfyllas.
  • Privat organisation som bedriver näringsverksamhet i Sverige ska vara registrerad för F-skatt. Organisation registrerad i annat EU/EES-land ska uppvisa motsvarande registrering som styrker rätt att bedriva näringsverksamhet. Undantag kan medges om organisationsformen inte förutsätter sådan registrering, under förutsättning att federationsoperatören dokumenterar alternativ bedömning och motivering.

Ägarstruktur och verkligt huvudmannaskap

  • Organisation som enligt lag (2017:631) om registrering av verkliga huvudmän är skyldig att anmäla uppgifter till Bolagsverket ska ha en aktuell och korrekt registrering. Federationsoperatören ska kontrollera detta mot Bolagsverkets register. För organisation registrerad i annat EU/EES-land ska motsvarande kontroll genomföras mot tillämpligt nationellt register.
  • Organisation som är undantagen från registreringsskyldighet (t.ex. statlig myndighet, börsnoterat bolag, kommun eller region) ska på begäran kunna redogöra för sin ägar- och ledningsstruktur eller motsvarande behörighetsordning.
  • Anslutningsoperatören ska utan dröjsmål underrätta federationsoperatören om väsentliga förändringar i verkligt huvudmannaskap, ägarstruktur eller kontrollförhållanden som kan påverka förtroendet för operatörskapet.

6.3. Verifiering att avtalstecknare är behörig företrädare

Syftet är att säkerställa att operatörsavtalet är juridiskt bindande. Detta uppnås genom att styrka identitet och behörighet för den person som undertecknar avtalet.

6.3.1. Identifiera avtalstecknare

Avtalstecknare ska identifieras med stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3 (eller metod med motsvarande tillförlitlighet). I de fall legitimering sker med utländsk e-legitimation utfärdad inom EU/EES ska denna uppfylla minst Level of assurance Substantial (Väsentlig). Annan metod med motsvarande tillförlitlighet kan godtas om federationsoperatören dokumenterar bedömningen.

6.3.2. Verifiera behörig företrädare

Federationsoperatören ska verifiera och dokumentera:

  • vilken behörighetsgrund som gäller för organisationen vid avtalstecknande (t.ex. firmateckning, delegationsordning, fullmakt), samt
  • att den namngivna avtalstecknaren innehar denna behörighetsgrund vid tidpunkten för undertecknande.

Privata organisationer: Verifiera att avtalstecknaren är behörig företrädare genom att styrka firmateckningsrätt eller giltig fullmakt/delegation från behörig företrädare. Behörighet ska verifieras mot relevant nationellt myndighetsregister, t.ex. Bolagsverket firmateckningsregister.

Offentliga organisationer: Federationsoperatören ska kontrollera vilken roll som är behörig att företräda organisationen och att avtalstecknaren innehar sådan roll. Minst ett av följande alternativ ska användas:

  • Formellt beslutsdokument (protokollutdrag, delegationsbeslut) som visar att avtalstecknaren har mandat; dokumentet ska vara undertecknat enligt organisationens delegationsordning.
  • Bekräftelse från officiell e-postadress kopplad till myndighetens domän i kombination med offentlig hänvisning (t.ex. på myndighetens webbplats).
  • I avvikande fall: annan motsvarande tillförlitlig styrning av behörighet, dokumenterad och motiverad av Federationsoperatören.

6.4. Kvalificera behöriga kontaktpersoner

Syftet är att säkerställa att det finns utsedda och behöriga kontaktpersoner som kan representera Anslutningsoperatören i federationsrelaterade ärenden, med särskilt fokus på säkerhetsansvar.

Anslutningsoperatören ska utse och dokumentera följande roller:

  • Administrativ kontaktperson med ansvar för avtals- och ärendehantering gentemot Federationsoperatören.
  • Säkerhetsansvarig kontaktperson med ansvar för incidentrapportering, säkerhetsfrågor och löpande säkerhetsstyrning inom operatörens verksamhet. Denna roll ska innehas av namngiven person med tydligt definierat ansvar.
  • Teknisk kontaktperson med ansvar för tekniska frågor relaterade till operatörens infrastruktur och integration med federationen (kan sammanfalla med säkerhetsansvarig).

För varje kontaktperson ska personlig identifierare (t.ex. personnummer eller motsvarande) dokumenteras i syfte att kunna identifiera och styrka behörighet. Om kontaktperson ges rätt att utföra åtgärder i federationens system ska detta grundas på dokumenterad delegation/fullmakt med spårbarhet enligt avsnitt 8.

7. Kvalificering av organisationens mognad och operativa förmåga

Syftet med detta avsnitt är att bedöma huruvida den anslutande anslutningsoperatören har tillräcklig organisatorisk mognad, kompetens och operativ förmåga för att utföra uppdraget på ett tillförlitligt och säkert sätt, samt att dessa förmågor inte bara är dokumenterade utan faktiskt omsatta i verksamheten.

7.1 Erfarenhet och kompetens

Federationsoperatören ska kvalificera organisationens erfarenhet och kompetens genom att:

  • Organisationen ska kunna uppvisa dokumenterad erfarenhet av identitets- och behörighetshantering, eller annan relevant verksamhet av jämförbar komplexitet.
  • Organisationen ska ha namngiven personal med ansvar för säkerhetsfrågor och en dokumenterad intern rollfördelning för hantering av federationsrelaterade ärenden.

7.2 Verifiering av tillämpning av anslutningspolicy och registreringspolicyer

Syftet är att säkerställa att anslutningsoperatören inte enbart har kännedom om federationens policyer, utan att dessa faktiskt är implementerade i operatörens verksamhet i form av dokumenterade och tillämpade processer och rutiner.

Federationsoperatören ska verifiera att anslutningsoperatören har dokumenterade processer för tillämpning av:

  • Anslutningspolicy för federationsmedlemmar.
  • Registreringspolicy för tekniska komponenter.

Verifiering enligt detta avsnitt ska genomföras vid anslutning av ny anslutningsoperatör samt vid fysisk revision enligt avsnitt 10.2. Avvikelser ska dokumenteras och hanteras enligt en av federationsoperatören godkänd åtgärdsplan.

7.3 Kontinuitet

Syftet är att säkerställa att anslutningsoperatören kan upprätthålla spårbarhet, konfidentialitet och riktighet i sina verifieringar, beslut och sin dokumentation även vid störningar i den egna verksamheten. Tillgänglighet i anslutningstjänsten är en relevant men sekundär aspekt - det som bär federationens tillit är att de kontroller och det underlag operatören ansvarar för förblir korrekta och skyddade.

Organisationen ska ha en dokumenterad plan för verksamhetskontinuitet. Planen ska vara proportionell i förhållande till operatörens uppdragsomfattning och de risker som identifierats, och ska beskriva hur operatören avser att upprätthålla ovan angivna egenskaper vid störningar.

Där en störning bedöms kunna övergå i permanent oförmåga att fullgöra uppdraget ska kontinuitetsplanen ha koppling till den avvecklingsplan som krävs enligt avsnitt 12.1.

Federationsoperatören fastställer i sin riskbedömning vilka specifika kriterier och bevismedel som ska tillämpas vid bedömning av verksamhetskontinuitet (se avsnitt 10).

7.4 Krav på anslutningstjänst

Här behöver vi peka ut relevanta krav i "kravkatalogen" och beskriva HUR eller VAD som ska kontrolleras för att kunna säkerställa kravuppfyllnad. Villkorsbilaga B.

8. Spårbarhet och krav på dokumentation vid anslutningsärenden

För varje anslutning eller re-verifiering ska följande sparas:

  • Bevis som ligger till grund för verifieringen enligt avsnitt 6 och 7 (t.ex. registerutdrag, undertecknade beslut, fullmakter/delegationer, kreditupplysningar och signaturunderlag).
  • Protokoll/logg över utförda kontroller: vem som utfört kontrollen, vad som kontrollerats, när kontrollen utförts, använda källor/metoder samt resultat/beslut.
  • Om delegation används för verifiering ska delegationen vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.
  • Om oberoende kanalbekräftelse används ska Federationsoperatören dokumentera varför vald metod och kanal bedöms tillräcklig utifrån risk och tillförlitlighet.
  • Resultat och protokoll från on-site revisioner enligt avsnitt 10.2.
  • Beslut om och datum för avvisning, återkallelse eller uppdatering.

Dokumentationen ska sparas så länge organisationen är Anslutningsoperatör + 5 år (eller enligt lagstadgade krav). Den längre arkiveringstiden jämfört med federationsmedlemmar motiveras av operatörens infrastrukturroll och behovet av revisionsspårbarhet.

Dokumentation avseende avvisning ska sparas i 3 år.

9. Verifiering genom oberoende kanalbekräftelse

Med oberoende kanalbekräftelse avses nyttjandet av en pålitlig och erkänd kanal för att kontrollera äkthet i påstådd information, via en kanal som är oberoende av den kanal där anslutningsärendet initierades.

Oberoende kanalbekräftelse kan användas som metod för att uppfylla krav i avsnitt 6.1 (tillhörighetskontroll) och kan även användas som kompletterande kontroll i avsnitt 6.3 (behörighetsstyrning) när det bedöms motiverat.

Exempel på metoder för oberoende kanalbekräftelse:

  • Fysisk post (aktiveringskod eller bekräftelsebrev) till organisationens registrerade adress.
  • Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerad verifiering på organisationens webbplats.
  • Bekräftelse via annan kontrollerad organisationskanal med motsvarande tillförlitlighet.

Federationsoperatören ska, baserat på riskanalys, fastställa och dokumentera vilka metoder för oberoende kanalbekräftelse som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 12).

10. Livscykelhantering - verifiering och kontroll över tid

För att säkerställa att en Anslutningsoperatörs förutsättningar för uppdraget förblir korrekta och uppfyllda över tid ska Federationsoperatören tillämpa en kombination av periodisk re-verifiering, fysisk revision, händelsestyrd uppföljning och kontinuerlig övervakning.

Re-verifiering ska i tillämpliga delar omfatta samma verifieringsobjekt och kontrollpunkter som vid anslutning enligt avsnitt 6 och 7. Resultat ska dokumenteras enligt spårbarhetskraven i avsnitt 8.

10.1. Periodisk re-verifiering av organisationsuppgifter

Federationsoperatören ska re-verifiera Anslutningsoperatörens anslutning minst en gång per år. Re-verifieringen ska minst omfatta:

  • Kontroll av organisationsstatus mot nationellt myndighetsregister.
  • Kontroll av verkligt huvudmannaskap och eventuella ägarförändringar.
  • Kontroll av F-skatteregistrering och finansiell ställning, med hänsyn till tillgänglig information (t.ex. publicerade årsredovisningar, kreditupplysning).
  • Bekräftelse av att utsedda kontaktpersoner och säkerhetsansvarig är aktuella och nåbara.
  • Genomgång av eventuella avvikelser eller incidenter sedan senaste verifiering.

10.2. Obligatorisk on-site revision

Utöver den periodiska re-verifieringen ska Federationsoperatören genomföra fysisk revision (on-site revision) hos Anslutningsoperatören. Syftet är att verifiera att operatörens processer, styrning och förmåga i praktiken motsvarar de krav som ställs i denna policy och i tillämpliga tekniska policyer.

On-site revision ska genomföras:

  • Minst vartannat år som en del av den löpande tillsynen.
  • Vid händelsestyrd re-verifiering enligt avsnitt 10.3, om Federationsoperatören bedömer att situationen motiverar det.

On-site revisionen ska minst omfatta de delar som anges i avsnitt 7.

Federationsoperatören ska i förväg kommunicera revisionsplan och syfte till Anslutningsoperatören. Anslutningsoperatören är skyldig att medverka vid on-site revisioner och ge Federationsoperatörens revisorer tillgång till relevanta lokaler, personal och dokumentation.

Revisionen ska dokumenteras i ett revisionsprotokoll. Konstaterade avvikelser ska åtgärdas enligt en av Federationsoperatören godkänd åtgärdsplan.

10.3. Händelsestyrd re-verifiering

Omgående re-verifiering ska initieras vid incidenter eller händelser som kan påverka tillförlitligheten till Anslutningsoperatörens organisation eller uppdragsförmåga. Detta kan exempelvis vara:

  • Ändring i firmatecknare, styrelse eller ledning.
  • Företagsfusion, förvärv, namnändring eller annan registreringsändring.
  • Väsentlig förändring i ägarstruktur eller verkligt huvudmannaskap.
  • Offentlig anmälan om konkurs, likvidation, företagsrekonstruktion eller rättsliga tvister som påverkar organisationen.
  • Meddelande från organisationen själv om större omstrukturering.
  • Indikationer om falska eller förfalskade delegationshandlingar eller identitetsuppgifter.
  • Klagomål eller avvikelserapporter från federationsmedlemmar som rör operatörens hantering.
  • Avvikelser där uppgifter eller underlag som lämnats inte längre stämmer överens med betrodd källa eller tidigare verifierat underlag.

Federationsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register eller notifieringstjänster för att få signaler om relevanta ändringar. Om automatisk övervakning inte är möjlig ska Federationsoperatören säkerställa att motsvarande informationsinhämtning sker genom andra rutiner med dokumenterad riskbedömning.

10.4. Incidenthantering och åtgärdstrappor

Vid upptäckt av att en Anslutningsoperatör inte kan re-verifieras, eller att allvarliga brister konstateras, ska Federationsoperatören:

  1. Omedelbart initiera förnyad verifiering och bedöma behovet av tillfälliga begränsningar i operatörens uppdrag (t.ex. begränsat mandat eller pausad möjlighet att godkänna nya federationsmedlemmar).
  2. Informera berörda parter och federationsmedlemmar enligt avtal och sekretessregler, i den mån detta är möjligt utan att försämra möjligheterna att kontrollera efterlevnad.
  3. Säkerställa kontinuitet för anslutna federationsmedlemmar genom att vid behov aktivera plan för operatörsbyte (se avsnitt 13.2).
  4. Genomföra åtgärd (uppdatering, begränsning, återkallelse av operatörsmandat eller uppsägning) baserat på utredningens resultat.

Beslut om avstängning eller uppsägning av Anslutningsoperatör fattas av Federationsoperatören.

10.5. Ändring av behöriga kontaktpersoner

Kontaktpersoner kan endast ändras på begäran av behörig företrädare för Anslutningsoperatören. Varje ändring ska dokumenteras enligt avsnitt 8. I övrigt gäller samma regler som anges i avsnitt 6.4. Federationsoperatören ska bekräfta och arkivera varje ändring av säkerhetsansvarig kontaktperson med särskild notering.

11. Dokumentation av process och rutin för tillämpning av anslutningspolicy

Federationsoperatören ska ha skriftlig dokumentation som beskriver process och rutin för hur denna anslutningspolicy tillämpas. Dokumentationen ska inkludera:

  • Federationsoperatörens riskbedömning och motivering av valda verifieringsmetoder (inkl. oberoende kanalbekräftelse).
  • Kriterier för mognadsbedömning enligt avsnitt 7.
  • Kriterier för finansiell bedömning enligt avsnitt 6.2.
  • Kriterier för när kompletterande kontroller eller on-site revision utöver ordinarie plan krävs.
  • Rutiner för kommunikation med Anslutningsoperatörer vid re-verifiering och revision.

12. Avveckling, överlåtelse och exit-hantering

12.1. Krav på plan för kontrollerad avveckling

Anslutningsoperatören ska, som villkor för operatörsavtalet, upprätta och underhålla en dokumenterad plan för kontrollerad avveckling av sitt operatörskap. Planen ska säkerställa att anslutna federationsmedlemmars verksamhet inte störs vid ett upphörande av operatörskapet, oavsett om avslut sker planerat eller på grund av bristande efterlevnad.

Avvecklingsplanen ska minst beskriva:

  • Hur pågående anslutningsärenden hanteras vid upphörande.
  • Hur anslutna federationsmedlemmar informeras och överlämnas till annan operatör eller till Federationsoperatören.
  • Tidplan och ansvarsfördelning för avvecklingens olika faser.
  • Hur sekretess och dataskydd upprätthålls under avvecklingsprocessen.

Federationsoperatören ska godkänna avvecklingsplanen vid anslutningsoperatörens anslutning och vid varje väsentlig revidering. Planen ska hållas aktuell och uppdateras vid väsentliga förändringar i operatörens organisation eller uppdragets omfattning.

12.2. Säkerställande av medlemskontinuitet vid operatörsbyte

Federationsoperatören ansvarar för att säkerställa att anslutna federationsmedlemmars anslutning och tillgång till federationens tjänster inte avbryts vid ett operatörsbyte. Detta ska uppnås genom:

  • Att Federationsoperatören har en kontinuitetsplan som säkerställer federationsmedlemmars anslutning.
  • Att Anslutningsoperatören är skyldig att medverka aktivt i överlämningsprocessen och inte vidta åtgärder som försvårar ett ordnat operatörsbyte.

12.3. Överlåtelse av tekniska åtaganden och data

Vid avslut av operatörskap, oavsett orsak, ska Anslutningsoperatören:

  • Överlämna all dokumentation och verifieringsunderlag avseende anslutna federationsmedlemmar till Federationsoperatören, i ett strukturerat och tillgängligt format.
  • Säkerställa att data och dokumentation som inte ska överlämnas hanteras i enlighet med gällande dataskyddsregler och avtalade krav.
  • Säkerställa att inga tekniska åtkomster eller behörigheter kvarstår efter det att operatörsavtalet upphört, om inte särskild överenskommelse träffats med Federationsoperatören.

Federationsoperatören ska bekräfta mottagande av överlämnad dokumentation och kvittera att överlämningen genomförts korrekt.

12.4. Uppsägning och avslut av anslutning (i avtalet istället?)

Federationsoperatören får säga upp operatörsavtalet om Anslutningsoperatören:

  • Inte längre uppfyller de krav som ställs i denna policy efter genomförd re-verifiering eller revision.
  • Inte medverkar till förelagd re-verifiering eller on-site revision.
  • Har lämnat felaktiga eller vilseledande uppgifter vid anslutning eller re-verifiering.
  • Har genomfört väsentliga förändringar i organisation, ägarstruktur eller verksamhet utan att underrätta Federationsoperatören.
  • Brister allvarligt eller upprepat i tillämpningen av federationens regelverk.

Anslutningsoperatören ska ges möjlighet att yttra sig innan beslut om uppsägning fattas, utom i fall där omedelbar åtgärd krävs för att skydda federationsmedlemmar eller federationens integritet.

Federationsoperatören ska vid uppsägning aktivera rutiner för medlemskontinuitet enligt avsnitt 13.2 och säkerställa korrekt överlämning av dokumentation och tekniska åtaganden enligt avsnitt 13.3.

  • No labels