Lovudkast, fra ministeren for offentlig innovation

Fremsat den 22. februar 2018 af ministeren for offentlig innovation (Sophie Løhde)
Forslag
til
Lov om udstedelse af NemID med offentlig digital signatur til fysiske personer
og til medarbejdere i juridiske enheder
§ 1. Ministeren for offentlig innovation udpeger en privat
virksomhed, der administrerer og træffer afgørelser om ud‐
stedelse af NemID med offentlig digital signatur til fysiske
personer og til medarbejdere i juridiske enheder.
Stk. 2. Ministeren for offentlig innovation fastsætter reg‐
ler om administration af NemID, herunder regler om udste‐
delse og spærring samt om håndtering af NemID.
§ 2. Ministeren for offentlig innovation kan udpege juridi‐
ske enheder til at varetage opgaven med som registrerings‐
enhed at træffe afgørelser om udstedelse af NemID til fysi‐
ske personer, der anmoder om at få udstedt NemID med of‐
fentlig digital signatur til fysiske personer.
§ 3. Forvaltningsloven finder anvendelse på afgørelser,
som træffes af den private virksomhed, der er udpeget i
medfør af § 1, stk. 1, og af registreringsenheder, jf. § 2.
§ 4. Fysiske personer, der er fyldt 15 år og har et person‐
nummer, kan anmode om at få udstedt NemID med offentlig
digital signatur til fysiske personer efter de regler, der fast‐
sættes i medfør af § 1, stk. 2.
Stk. 2. Juridiske enheder, der har et CVR-nummer, kan
anmode om at få udstedt NemID til medarbejdere i juridiske
enheder efter de regler, der fastsættes i medfør af § 1, stk. 2.
§ 5. Klage over en afgørelse truffet af den private virk‐
somhed, der er udpeget i medfør af § 1, stk. 1, eller af en re‐
gistreringsenhed, jf. § 2, efter regler fastsat i medfør af § 1,
stk. 2, kan indbringes for Digitaliseringsstyrelsen.
Stk. 2. Digitaliseringsstyrelsen kan af den private virk‐
somhed, der er udpeget i medfør af § 1, stk. 1, og af registre‐
ringsenheder, jf. § 2, kræve enhver oplysning, der er af be‐
tydning for klagebehandlingen.
Stk. 3. Digitaliseringsstyrelsens afgørelser efter stk. 1 kan
ikke påklages til anden administrativ myndighed.
§ 6. Loven træder i kraft den 1. juli 2018.
§ 7. Loven gælder ikke for Grønland og Færøerne, men
kan ved kongelig anordning helt eller delvist sættes i kraft
for Grønland med de ændringer, som de grønlandske for‐
hold tilsiger.
Lovforslag nr. L 00 Folketinget 2017-18
Digitaliseringsstyrelsen, j.nr. 2017-2469
AE002525
Social-, Indenrigs- og Børneudvalget 2017-18
L 150 Bilag 2
Offentligt
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Lovforslagets formål og baggrund
2. Lovforslagets hovedindhold
2.1. Administration og udstedelse af NemID samt mulighed for at klage
2.1.1. Gældende ret
2.1.2. Finansministeriets overvejelser og lovforslagets indhold
3. Økonomiske og administrative konsekvenser for det offentlige
4. Økonomiske og administrative konsekvenser for erhvervslivet mv.
5. Administrative konsekvenser for borgerne
6. Miljømæssige konsekvenser
7. Forholdet til EU-retten
8. Hørte myndigheder og organisationer mv.
9. Sammenfattende skema
1. Lovforslagets formål og baggrund
NemID med offentlig digital signatur til fysiske personer
samt NemID til medarbejdere i juridiske enheder (NemID)
er blevet udbredt til det meste af befolkningen og til stort set
alle virksomheder, offentlige myndigheder, frivillige for‐
eninger mv. med et CVR-nummer. NemID har med tiden få‐
et en mere betydelig og central rolle, end det var tilfældet,
da der i 2008 blev indgået kontrakt med Nets DanID A/S
om administration og udstedelse af NemID. På mange of‐
fentlige digitale serviceområder forudsættes det nu, at bor‐
gerne, virksomheder, offentlige myndigheder, frivillige for‐
eninger mv. har og anvender NemID. Dette gælder blandt
andet, når en borger eller virksomhed skal have adgang til at
læse Digital Post fra offentlige afsendere, og når en borger
eller virksomhed skal anvende offentlige digitale selvbetje‐
ningsløsninger.
Den øgede digitalisering af den offentlige forvaltning og
den centrale rolle, som NemID spiller i den forbindelse, har
medført et stigende behov for at sikre klare juridiske ram‐
mer for borgernes og virksomhedernes pligter og rettigheder
i forhold til NemID. Folketingets Ombudsmand har ligele‐
des givet udtryk for, at lovgrundlaget for forvaltningen af
NemID og for borgernes mulighed for at klage over afslag
på at få udstedt NemID, bør være klart med henblik på at
sikre borgernes retsstilling.
På baggrund af ovenstående er det vurderingen, at tiden er
inde til at sikre en klar lovgivningsmæssig ramme for pligter
og rettigheder i forbindelse med administration og udstedel‐
se af NemID. Dette skal styrke retssikkerheden på området
og særligt sikre, at borgere og virksomheder har en tydelig
adgang til at klage, hvis de ikke kan få udstedt NemID, hvis
NemID bliver spærret og lignende tilfælde. Formålet med
loven er derfor at tydeliggøre borgernes og virksomhedernes
retsstilling, herunder klagemuligheder, samt at fastslå ved
lov, at det er en myndighedsopgave og et myndighedsansvar
at sikre udstedelse af NemID.
Der etableres lovhjemmel til, at ministeren for offentlig
innovation udpeger en privat virksomhed som udsteder af
NemID. Ministeren for offentlig innovation delegerer der‐
med opgaven med at administrere og træffe afgørelse om
udstedelse af NemID til en privat virksomhed, der som ud‐
steder kan træffe afgørelse om udstedelse af NemID og om
afslag på udstedelse eller genåbning af NemID. Det tydelig‐
gøres med loven, at udstederen af NemID er udpeget af mi‐
nisteren for offentlig innovation til at varetage opgaven på
statens vegne.
Det fastsættes, at ministeren for offentlig innovation kan
udpege juridiske enheder til som registreringsenheder at va‐
retage opgaven med at træffe afgørelse om at udstede Nem‐
ID, hvorved registreringsenhederne kan træffe forvaltnings‐
afgørelser på vegne af ministeren for offentlig innovation.
Der indføres lovhjemmel til, at ministeren for offentlig in‐
novation kan fastsætte de regler, som borgere, virksomhe‐
der, offentlige myndigheder, frivillige foreninger mv. samt
disses medarbejdere skal opfylde for at få udstedt NemID.
Samtidig fastsættes det ved lov, at borgere og virksomheder,
offentlige myndigheder, frivillige foreninger mv., der ek‐
sempelvis har fået afslag på at få udstedt eller genåbnet
NemID eller har fået spærret NemID, vil kunne klage over
denne afgørelse til Digitaliseringsstyrelsen.
Det er hensigten at videreføre hvad, der allerede gælder i
dag i medfør af den kontrakt, som er indgået med Nets Dan‐
ID A/S, og som efter aftale med Digitaliseringsstyrelsen i ja‐
nuar 2018 er forlænget til 2021. Kontrakten om administra‐
tion og udstedelse af NemID er udformet og fastsat af Digi‐
taliseringsstyrelsen i de såkaldte OCES-certifikatpolitikker
for henholdsvis person- og medarbejdercertifikater. Lovfor‐
slaget har ikke til hensigt at ændre på dette.
Lovforslaget omfatter NemID med offentlig digital signa‐
tur til fysiske personer, som er det NemID, som privatperso‐
ner, også benævnt borgere, kan få udstedt online på hjem‐
mesiden nemid.nu, hos en registreringsenhed i et pengeinsti‐
tut eller ved personligt fremmøde hos en registreringsenhed
i en kommunes borgerservicecenter. Der er tale om en of‐
fentlig digital signatur baseret på et OCES-personcertifikat.
2
En fysisk person kan få stillet én NemID til fysiske personer
gratis til rådighed.
Lovforsalget omfatter desuden NemID med offentlig digi‐
tal signatur til medarbejdere i juridiske enheder, også be‐
nævnt NemID medarbejdersignatur, som er det NemID, som
en juridisk enhed med et CVR-nummer, herunder en virk‐
somhed, en offentlig myndighed, en frivillig forening m.fl.
kan få udstedt til konkrete medarbejdere til at legitimere sig
på den juridiske enheds vegne. Et sådan NemID kan alene
udstedes online på hjemmesiden medarbejdersignatur.dk.
Der er tale om en offentlig digital signatur baseret på et
OCES-medarbejdercertifikat. En juridisk enhed kan få stillet
tre NemID til medarbejdere i juridiske enheder gratis til rå‐
dighed.
Der eksisterer pt. ikke andre udstedere af OCES-person‐
certifikater til borgere og OCES-medarbejdercertifikater til
medarbejdere end Nets DanID A/S. Det er heller ikke hen‐
sigten, at der skal udpeges andre udstedere, der omfattes af
loven. Derfor omfatter lovforslaget alene NemID til fysiske
personer og til medarbejdere i juridiske enheder, og den al‐
lerede udpegede udsteder heraf.
Pengeinstitutter udsteder tillige NemID til netbank til fysi‐
ske personer, der adskiller sig fra NemID med offentlig digi‐
tal signatur til fysiske personer. NemID til netbank udstedes
til bankkunder og er alene til brug i netbank. NemID til net‐
bank indeholder ikke offentlig digital signatur og giver der‐
for ikke adgang til offentlige tjenester. NemID til netbank
og udstedelse heraf er ikke omfattet af lovforslaget. Penge‐
institutternes registreringsenheder vil dog være omfattet af
lovforslaget, i det omfang de foretager registrering med hen‐
blik på udstedelse af NemID med offentlig digital signatur
til fysiske personer i lighed med registreringsenhederne i
kommunerne.
Lovforslaget udelukker ikke, at andre udvikler og udsteder
andre eID- eller signaturløsninger på markedsvilkår. Loven
udelukker desuden ikke, at andre EU-landes anmeldte eID
efter eIDAS-forordningen (Europa-Parlamentets og Rådets
forordning (EU) nr. 910/2014 af 23. juli 2014 om elektro‐
nisk identifikation og tillidstjenester til brug for elektroniske
transaktioner på det indre marked og om ophævelse af di‐
rektiv 1999/93/EF) kan anvendes til at tilgå offentlige myn‐
digheders hjemmesider og selvbetjeningsløsninger i Dan‐
mark.
Staten ejer og har tillige udviklet øvrige certifikatpolitik‐
ker for henholdsvis virksomheds- og funktionscertifikater.
Disse certifikater adskiller sig fra NemID med offentlig di‐
gital signatur til fysiske personer og til medarbejdere i juri‐
diske enheder og er ikke omfattet af lovforslaget.
2. Lovforslagets hovedindhold
2.1. Administration og udstedelse af NemID samt mulighed
for at klage
2.1.1. Gældende ret
En digital signatur er en elektronisk underskrift, som
blandt andet kan bruges, når det er væsentligt at vide, hvem
man kommunikerer med elektronisk. NemID med offentlig
digital signatur til fysiske personer og NemID til medarbej‐
dere i juridiske enheder (NemID) er ikke lovreguleret.
Udvikling og udstedelse af NemID er en opgave, som stat,
kommuner og regioner har finansieret for at fremme digitali‐
sering af den offentlige forvaltning.
Administration og udstedelse af NemID, betingelserne for
at få udstedt NemID samt borgerens og virksomhedernes
mulighed for at klage ved afslag på at få udstedt eller genåb‐
net NemID følger i dag af certifikatpolitik for OCES-per‐
soncertifikater og af certifikatpolitik for OCES-medarbej‐
dercertifikater, og aftaler indgået mellem Nets DanID A/S
og registreringsenhederne henholdsvis mellem Nets DanID
A/S og den enkelte borger eller virksomhed, der har fået ud‐
stedt NemID.
På en lang række områder stiller offentlige myndigheder
krav om, at borgere og virksomheder anvender NemID, når
de skal tilgå offentlige digitale løsninger.
I lov om Digital Post fra offentlige afsendere, jf. lovbe‐
kendtgørelse nr. 801 af 13. juni 2016, er det fastsat, at fysi‐
ske personer, der er 15 år eller derover, og som har bopæl
eller fast ophold i Danmark, obligatorisk skal tilsluttes Digi‐
tal Post. Det er endvidere fastsat, at også juridiske enheder
med CVR-nummer skal tilsluttes Digital Post. En forudsæt‐
ning for at kunne tilsluttes og tilgå Digital Post er, at borge‐
ren har NemID med offentlig digital signatur til fysiske per‐
soner, og at den juridiske enhed har NemID til medarbejdere
i juridiske enheder til mindst en medarbejdere.
Der er indført obligatorisk digital selvbetjening på en lang
række offentlige serviceområder. Der er overvejende taget
udgangspunkt i det bølgelovs-koncept, som blev indført som
led i udmøntning af den fællesoffentlige digitaliseringsstra‐
tegi (2011-2015) ved de fire samlelove om overgang til obli‐
gatorisk digital selvbetjening; lov nr. 558 af 18. juni 2012
(bølge 1), lov nr. 622 af 12. juni 2013 (bølge 2), lov nr. 552
af 2. juni 2014 (bølge 3) og lov nr. 742 af 1. juni 2015 (bøl‐
ge 4). De fire samlelove indføjer i de fagspecifikke love
stort set enslydende bestemmelser om, at de borgere, der
kan, skal anvende digital selvbetjening, når borgeren skal
ansøge, anmelde eller anmode mv. om det konkrete forhold,
som loven på det pågældende område omhandler. Når en
borger skal tilgå en offentlig myndigheds digitale selvbetje‐
ningsløsning, vil det oftest forudsætte anvendelse af NemID.
Tilsvarende er der på en lang række områder indført obliga‐
torisk digital selvbetjening for virksomheder. Dette gælder
eksempelvis på Erhvervsministeriets område, hvor blandt
andet portalen Virk.dk skal tilgås med NemID til medarbej‐
dere i juridiske enheder.
3
Det daværende IT- og Telestyrelsen, nu Digitaliserings‐
styrelsen, har udarbejdet fire OCES-certifikatpolitikker for
henholdsvis person-, medarbejder-, virksomheds- og funkti‐
onscertifikater. OCES er betegnelsen for Offentlige Certifi‐
kater til Elektronisk Service. OCES-certifikatpolitikkerne
administreres af Digitaliseringsstyrelsen. Certifikatpolitik‐
ken for OCES-personcertifikater og OCES-medarbejdercer‐
tifikater udgør i dag grundlaget for udstedelse af NemID til
borgere og medarbejdere og er senest opdateret til version 5
for OCES-personcertifikat og til version 6 for OCES-medar‐
bejdercertifikat af den 2. marts 2017. OCES-certifikatpoli‐
tikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis
medarbejdersignatur.dk.
Elektroniske signaturer er reguleret af Europa-Parlamen‐
tets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014
om elektronisk identifikation og tillidstjenester til brug for
elektroniske transaktioner på det indre marked og om ophæ‐
velse af direktiv 1999/93/EF (eIDAS-forordningen) samt lov
nr. 617 af 8. juni 2016 om supplerende bestemmelser til for‐
ordning om elektronisk identifikation og tillidstjenester til
brug for elektroniske transaktioner på det indre marked.
Nets DanID A/S blev i 2008 udpeget af den daværende
minister for videnskab, teknologi og udvikling, som udste‐
der af NemID på baggrund af et EU-udbud. Daværende IT-
og Telestyrelsen, nu Digitaliseringsstyrelsen, har indgået en
kontrakt med Nets DanID A/S i form af en OCES-standard‐
aftale, hvori Nets DanID A/S blandt andet forpligter sig til
at opfylde kravene i certifikatpolitikken for OCES-person‐
certifikater og for OCES-medarbejdercertifikater herunder
at være underlagt Digitaliseringsstyrelsens tilsyn baseret på
ekstern statsautoriseret revision. Certifikatpolitikken for
OCES-personcertifikater og OCES-medarbejdercertifikater
stiller krav til, hvordan og under hvilke vilkår Nets DanID
A/S, som udsteder, skal udføre opgaven med administration
og udstedelse af NemID på vegne af staten.
Digitaliseringsstyrelsen har registreret sin eneret til at be‐
nytte betegnelserne OCES og OCES-OID til brug for udste‐
delse af certifikater til offentlig digital signatur. Nets DanID
A/S har via udpegningen ret til at benytte betegnelserne
OCES og OCES-OID for de udstedte certifikater, der benyt‐
tes i NemID med offentlig digital signatur. Dette er et bevis
over for offentligheden på, at NemID, som Nets Dan ID A/S
udsteder, opfylder en række krav, som Digitaliseringsstyrel‐
sen har opstillet og fører tilsyn med. Dette med henblik på
sikker brug og administration af digitale signaturer.
Den udpegede private virksomhed bliver i den eksisteren‐
de aftalebaserede tilgang betragtet som dataansvarlig i data‐
beskyttelsesretlig forstand i forhold til administration af
NemID-løsningen, og skal således blandt andet leve op til en
række forpligtelser over for den registrerede, der følger af
den til enhver tid gældende databeskyttelsesretlige regule‐
ring.
Administration, registrering og udstedelse af NemID kan
ifølge certifikatpolitikken for OCES-personcertifikater vare‐
tages af Nets DanID A/S selv eller af en selvstændig regi‐
streringsenhed ved delegation. Nets DanID A/S har det
praktiske og forretningsmæssige ansvar for udstedelsespro‐
cessen, herunder validering af borgerens identitet. For at bli‐
ve registreringsenhed indgås en aftale med Nets DanID A/S.
Nets DanID A/S har indgået bilaterale aftaler med de en‐
kelte kommuner om at udstede NemID til borgere ved fysisk
fremmøde. Dette er led i den fællesoffentlige aftale om ud‐
bredelse og anvendelse af NemID (eDag 1-3). Derfor er en
række af kommunernes borgerservicecentre udpeget som
selvstændige registreringsenheder, hvor betroede registre‐
ringsmedarbejdere udsteder NemID til borgere, der møder
fysisk frem. Dette gælder eksempelvis borgere, der hverken
har kørekort eller pas, og som derfor ikke kan anmode om
NemID digitalt. Der foreligger således dels en aftale mellem
Digitaliseringsstyrelsen og KL, dels bilaterale aftaler mel‐
lem Nets DanID A/S og hver enkelt kommune, der udsteder
NemID.
Ud over kommunerne har en række pengeinstitutter i Dan‐
mark indgået lignende bilaterale aftaler med Nets DanID
A/S om, som registreringsenheder, at udstede NemID med
offentlig digital signatur til fysiske personer. Hertil kommer
Kriminalforsorgen, der kan agere registreringsenhed i for‐
hold til indsatte i fængslerne og lignende.
Aftalerne med registreringsenhederne indeholder kommu‐
nernes og pengeinstitutternes accept af, at de i deres egen‐
skab af registreringsenhed for Nets DanID A/S skal overhol‐
de de betingelser og udstedelsesprocesser, som er udstukket
af Nets DanID A/S, og at de er underlagt revision fra Nets
DanID A/S.
Registreringsenhedernes administration og udstedelse af
NemID er nøje beskrevet i bilaterale standardiserede aftaler
mellem den enkelte kommune og Nets DanID A/S. Aftaler‐
ne indeholder tillige instrukser, arbejdsgangsbeskrivelser
mv., kriterier for, hvornår der kan udstedes NemID til en
borger, en udførlig og detaljeret beskrivelse af rammerne for
udstedelsesproceduren og arbejdsgange for udstedelse af
NemID. Disse instrukser støtter medarbejderne i deres kon‐
krete vurdering af, hvorvidt en borger opfylder betingelserne
for at få udstedt NemID.
Aftalerne med registreringsenhederne indeholder bestem‐
melser for revision, uddannelse og teknisk understøttelse.
Nets DanID A/S stiller derefter deres registrering- og ud‐
stedelsesmodul til rådighed og uddanner medarbejderne fra
registreringsenheden til at kunne udstede NemID.
Certifikatpolitikken for OCES-medarbejdercertifikater in‐
deholder ikke tilsvarende mulighed for udstedelse af NemID
hos en registreringsenhed. En juridisk enhed, der har et
CVR-nummer, vil altid skulle indgå en aftale om udstedelse
med Nets DanID A/S og udpege en administrator, der på
vegne af den juridiske enhed anmoder om udstedelse af
NemID til medarbejdere i juridiske enheder digitalt på hjem‐
mesiden medarbejdersignatur.dk.
Rammerne for udstedelse af NemID er fastsat i certifikat‐
politik for OCES-personcertifikater og for OCES-medarbej‐
dercertifikater. NemID udstedes til en fysisk person, når en
fysisk person er blevet identificeret og registreret hos Nets
DanID A/S. NemID udstedes til en juridisk enhed, når den
juridiske enhed har indgået en aftale med Nets DanID A/S,
4
angivet sit CVR-nummer og udpeget en administrator. Ram‐
merne for udstedelse har særligt fokus på sikkerheden om‐
kring udstedelse og anvendelse af NemID-løsningen med
henblik på at skabe troværdighed og tillid omkring løsnin‐
gen og registreringsenhedernes udstedelse af NemID. En fy‐
sisk person, der er fyldt 15 år, har et personnummer og kan
legitimere sig fyldestgørende, kan anmode om at få udstedt
NemID online på hjemmesiden nemid.nu, hos en registre‐
ringsenhed i et pengeinstitut eller ved personligt fremmøde
hos en registreringsenhed i kommunernes borgerservicecen‐
tre. Derudover kan en person, der opfylder ovenstående krav
også få udstedt NemID hos en registreringsenhed i Grøn‐
land. En borger med et administrativt personnummer kan
alene få udstedt NemID ved personligt fremmøde hos en re‐
gistreringsenhed.
I forbindelse med udstedelse af NemID fremgår det af cer‐
tifikatpolitikken, at borgeren henholdsvis den juridiske en‐
hed og hver medarbejder, der skal have NemID, skal accep‐
tere de vilkår, der gælder for NemID, som er udformet af
Nets DanID A/S og godkendt af Digitaliseringsstyrelsen.
Vilkårene for NemID fastslår, hvordan borgeren henholds‐
vis den juridiske enhed og medarbejdere skal håndtere Nem‐
ID. Vilkårene for NemID er udarbejdet på baggrund af kra‐
vene i certifikatpolitik for OCES-personcertifikater og certi‐
fikatpolitik for OCES-medarbejdercertifikater og betegnes
som »NemID-regler«. Vilkårene bliver løbende revideret af
Digitaliseringsstyrelsen efter høring af Nets DanID A/S for
at sikre en tilstrækkelig høj sikkerhed og troværdighed for
løsningen. Det er afgørende for sikkerheden, troværdighe‐
den og tilliden omkring NemID, at der ikke udstedes NemID
til borgere, som kognitivt ikke er i stand til at forstå de fast‐
satte vilkår og at håndtere nøglekort og NemID korrekt. Ved
borgerens fysiske fremmøde i borgerservice foretager bor‐
gerservicemedarbejderen i sin egenskab af registreringsen‐
hed en vurdering af, om en borger kan opfylde kravene til
udstedelse af NemID. På denne baggrund træffer registre‐
ringsenheden afgørelse om at udstede NemID eller at afslå
at udstede NemID til borgeren. For juridiske enheder udpe‐
ges der en administrator, som anviser de medarbejdere, der
skal udstedes NemID til. Administratoren står inde for, at de
anviste medarbejdere er tilknyttet den juridiske enhed.
Digitaliseringsstyrelsen har ansvaret for kontrakten med
Nets DanID A/S, for certifikatpolitikken for OCES-person‐
certifikater, for certifikatpolitikken for OCES-medarbejder‐
certifikater og for tilsynet med Nets DanID A/S. Tilsynet
med Nets DanID A/S består ifølge certifikatpolitikken for
OCES-personcertifikater og for OCES-medarbejdercertifi‐
kater af en årlig rapport, som skal udfærdiges af Nets DanID
A/S og godkendes af Digitaliseringsstyrelsen. Rapporten
skal blandt andet indeholde beskrivelse af certificerin‐
gspraksis, revisionsprotokol for systemrevisionen, en erklæ‐
ring om, hvorvidt den samlede data-, system- og driftssik‐
kerhed må anses for betryggende, en erklæring fra systemre‐
visor om, hvorvidt den samlede data-, system- og driftssik‐
kerhed efter systemrevisors opfattelse må anses for betryg‐
gende, samt af at certificeringspraksis opfyldes og doku‐
mentation for ansvarsforsikring, der dækker Nets DanID
A/S’ ansvar.
Systemrevisionen skal gennemføres af en ekstern statsau‐
toriseret revisor. Systemrevisionen indeholder revision af
generelle it-kontroller, it-baserede brugersystemer mv. til
generering af nøgler og nøglekomponenter samt registre‐
ring, udstedelse, verificering, opbevaring og spærring af cer‐
tifikater og it-systemer til udveksling af data med andre
samt en sårbarhedsvurdering af logningsprocedure. Når en
registreringsenhed træffer afgørelse om at give afslag på at
udstede NemID til en borger, sker det på baggrund af den
aftale, som registreringsenheden har indgået med Nets Dan‐
ID A/S, om at sikre overholdelse af krav til udstedelse af
NemID.
En borger skal i forbindelse med et afslag på at få udstedt
eller genåbnet NemID oplyses om grunden til afslaget og
muligheden for at klage. Et afslag gives typisk mundtligt.
Ved afslag på udstedelse af NemID har borgeren på et sene‐
re tidspunkt mulighed for at indgive en ny anmodning om
udstedelse af NemID eksempelvis med de rigtige legitimati‐
onsdokumenter eller et eventuelt vitterlighedsvidne. Endvi‐
dere er der mulighed for, at borgeren kan benytte en tolk.
Såvel en borger som en juridisk enhed, der digitalt anmo‐
der om NemID, skal vejledes om reglerne.
Digitaliseringsstyrelsen har som ressortansvarlig myndig‐
hed aftalt med Nets DanID A/S, at klager over afgørelser
truffet af Nets DanID A/S og registreringsenhederne kan vi‐
deresendes til Digitaliseringsstyrelsen. Digitaliseringsstyrel‐
sen behandler således i dag, som ansvarlig for certifikatpoli‐
tikken for OCES-personcertifikater og certifikatpolitikken
for OCES-medarbejdercertifikater og kontrakten med Nets
DanID A/S, klager i relation til NemID, herunder blandt an‐
det klager over spærring og afslag på at få udstedt eller gen‐
åbnet NemID.
Digitaliseringsstyrelsen kan i konkrete sager rette henven‐
delse til en registreringsenhed eller Nets DanID A/S med
henblik på at få klarlagt fakta i en klagesag.
Når Digitaliseringsstyrelsen har behandlet en klage fra en
borger eller en juridisk enhed, får klageren et skriftligt svar
på henvendelsen.
2.1.2. Finansministeriets overvejelser og lovforslagets
indhold
På baggrund af den øgede digitalisering og den meget
centrale rolle, som NemID med offentlig digital signatur til
fysiske personer og til medarbejdere i juridiske enheder
(NemID) spiller i den forbindelse, har Finansministeriet lø‐
bende overvejet, hvorvidt der bør lovgives om administra‐
tion og udstedelse af NemID til borgere og juridiske enhe‐
der, herunder om borgerens og virksomhedernes rettigheder
og klageadgang.
Udbredelsen og anvendelsen af NemID har blandt andet
med krav om tilslutning til Digital Post fra offentlige afsen‐
dere og krav om anvendelse af offentlige myndigheders di‐
gitale selvbetjeningsløsninger bevæget sig mod en mere be‐
tydelig og central rolle, end det oprindelige udgangspunkt,
5
da Nets DanID A/S blev udpeget i 2008. NemID udgør nu
en væsentlig infrastrukturkomponent. Det er således nød‐
vendigt at have NemID for at kunne tilgå Digital Post og for
at kunne betjene sig selv på de mange offentlige digitale
selvbetjeningsløsninger, herunder borger.dk og Virk.dk.
Den hastige udvikling i den offentlige digitalisering har be‐
tydet, at udbredelsen og anvendelsen af NemID har et sådan
omfang og betydning, at NemID er væsentlig for borgeres
og virksomheders adgang til den offentlige forvaltning og
for mulighed for at være borger henholdsvis virksomhed i
det digitale Danmark.
Folketingets Ombudsmand har i sin redegørelse 2017-19
af 15. juni 2017 »Forvaltningen af NemID gav anledning til
spørgsmål om tilstrækkelig lovhjemmel m.v.« blandt andet
udtalt, at NemID fra at være et frivilligt tilbud til borgere,
der ønskede at tilmelde sig ordningen, og som fra starten
kun indgik i forholdsvis få offentlige digitale løsninger, er
blevet en integreret del af en lang række obligatoriske of‐
fentlige digitale løsninger. Det fremgår videre, at NemID så‐
ledes er gået fra at være et tilbud om, at borgere, som ønske‐
de det, i visse tilfælde kunne betjene sig af digitale løsnin‐
ger, til at være praktisk talt afgørende for, at borgerne kan
opnå en tidssvarende betjening i forhold til store dele af det
offentlige. Dette gælder både for offentlig servicevirksom‐
hed (faktisk forvaltningsvirksomhed) og for offentlig afgø‐
relsesvirksomhed. Folketingets Ombudsmand har peget på
behovet for at tydeliggøre, hvorvidt den opgavevaretagelse,
som Nets DanID A/S henholdsvis registreringsenhederne
varetager, er afgørelsesvirksomhed eller anden form for
myndighedsudøvelse. Der skal tillige sikres hjemmel til at
delegere opgaven til Nets DanID A/S henholdsvis registre‐
ringsenhederne.
Det er på denne baggrund Finansministeriets vurdering, at
der bør være klarhed omkring myndighedsansvar og borge‐
rens retsstilling i forbindelse med udstedelse af NemID. Til‐
svarende gør sig gældende for juridiske enheders mulighed
for at få udstedt NemID medarbejdersignatur.
Formålet med loven er derfor at tydeliggøre borgernes og
virksomhedernes retsstilling, herunder klagemuligheder,
samt at fastslå ved lov, at det er en myndighedsopgave og et
myndighedsansvar at sikre udstedelse af NemID.
Det er Finansministeriets vurdering, at det bør tydeliggø‐
res, at en udpeget udsteder, som i dag er den private virk‐
somhed Nets DanID A/S, og registreringsenhederne, vareta‐
ger en myndighedsopgave og træffer en forvaltningsretlig
afgørelse, når de udsteder NemID til en borger eller en med‐
arbejder i en juridisk enhed, giver afslag på at udstede eller
genåbne NemID, og når de spærrer NemID. Det har den be‐
tydning, at de almindelige forvaltningsretlige regler, herun‐
der forvaltningsloven, og forvaltningsretlige grundsætninger
vil finde anvendelse i sådanne afgørelsessager.
Med lovforslaget er det hensigten at fastslå, at ministeren
for offentlig innovation (i praksis Digitaliseringsstyrelsen)
har ansvaret for at udpege en udsteder, der skal udføre opga‐
ven med at administrere og udstede NemID til borgere og
medarbejdere i juridiske enheder. Nets DanID A/S er allere‐
de udpeget og vil derfor agere udsteder i perioden frem til
den gældende kontrakt udløber eventuelt efter forlængelse,
hvor overgangen til den kommende nationale eID- og auten‐
tifikationsløsning, MitID, forventes gennemført.
Det tydeliggøres med loven, at udstederen af NemID er
udpeget af ministeren for offentlig innovation til at varetage
opgaven på statens vegne. Dermed er opgaven med at admi‐
nistrere og udstede NemID delegeret til en privat udsteder,
der kan træffe afgørelse om udstedelse af NemID og give af‐
slag på udstedelse og genåbning af NemID. Der henvises til
lovforslagets § 1, stk. 1.
For at imødekomme tvivl indsættes en særskilt bestem‐
melse i loven om, at forvaltningsloven, jf. lovbekendtgørelse
nr. 433 af 22. april 2014, gælder, når udsteder henholdsvis
registreringsenhederne træffer afgørelse.
Herved tydeliggøres det, at administration og udstedelse
af NemID skal ske efter forvaltningsretlige regler og prin‐
cipper. En borger eller en virksomhed, der eksempelvis får
afslag på at få udstedt NemID, skal derfor blandt andet have
en begrundelse og en klagevejledning samt eventuelt en
skriftlig afgørelse. Der henvises til lovforslagets § 3.
Det følger af § 5 i lov nr. 606 af 12. juni 2013 om offent‐
lighed i forvaltningen, at offentlighedsloven finder anven‐
delse på eksempelvis private virksomheder og juridiske en‐
heder, der ved lov har fået tillagt beføjelse til at træffe afgø‐
relser på statens vegne.
Der indføres hjemmel til, at ministeren for offentlig inno‐
vation kan fastsætte de regler og vilkår, som en borger hen‐
holdsvis en juridisk enhed skal opfylde for at få udstedt
NemID, og som borgeren og den juridisk enheds medarbej‐
der løbende skal overholde for at have adgang til at anvende
NemID. Det er hensigten, at der fastsættes regler, der vide‐
refører den gældende tilgang i forbindelse med udstedelse,
spærring og håndtering af NemID.
Den gældende tilgang fremgår blandt andet af punkt 6.2 i
certifikatpolitik for OCES-personcertifikater og for OCES-
medarbejdercertifikater.
Det forudsættes i forbindelse med udstedelsen af regler
med hjemmel i lovforslagets § 1, stk. 2, at de krav, der fast‐
sættes, og som borgere samt juridiske enheder og deres
medarbejdere skal opfylde for at få udstedt NemID, følger
de til enhver tid gældende krav, som fremgår af certifikatpo‐
litik for OCES-personcertifikater og af OCES-certifikatpoli‐
tik for medarbejdercertifikater.
Med fastsættelse af regler skal det blive klart for borgerne
og juridiske enheder, i hvilke tilfælde de kan forvente at
kunne få NemID, og hvad der skal til for, at de løbende har
adgang til at anvende NemID.
Det er ikke hensigten at ændre på de gældende krav og
vilkår, som en borger henholdsvis en juridisk enhed og dens
medarbejdere skal opfylde for at få udstedt eller anvende
NemID, da det er hensigten at videreføre den eksisterende
praksis. Der henvises til lovforslagets § 1, stk. 2.
Med lovforslaget slås det fast, at den udpegede udsteder,
det vil i dag sige Nets DanID A/S, henholdsvis registrerings‐
enhederne på vegne af ministeren for offentlig innovation
6
skal administrere og udstede NemID efter de regler, som
fastsættes i medfør af § 1, stk. 2. Den udpegede udsteder
henholdsvis registreringsenhederne vil herudover skulle ad‐
ministrere inden for øvrige relevante regler, herunder for‐
valtningsloven og den til enhver tid gældende databeskyttel‐
sesretlige regulering.
Det fastsættes, at ministeren for offentlig innovation kan
overlade opgaven med at træffe afgørelse om at udstede
NemID til juridiske enheder (såkaldte registreringsenheder),
hvorved disse kan træffe forvaltningsafgørelser. Begrebet
»juridisk enhed« skal forstås i overensstemmelse med an‐
vendelsen af begrebet i lov om Det Centrale Virksomhedsre‐
gister, jf. lovbekendtgørelse nr. 653 af 15. juni 2006 med se‐
nere ændringer, hvoraf det fremgår af § 3, at en juridisk en‐
hed kan være 1) en fysisk person i dennes egenskab af ar‐
bejdsgiver eller selvstændigt erhvervsdrivende, 2) en jurid‐
isk person eller filial af en udenlandsk juridisk person, 3) en
statslig administrativ enhed, 4) en region, 5) en kommune
eller 6) et kommunalt fællesskab. Det sikres samtidig, at lo‐
ven anvender samme begreb, som anvendes i OCES-person‐
certifikatpolitikken. Der henvises til lovforslagets § 2.
Det fastsættes direkte i loven, at en fysisk person, der er
fyldt 15 år og har et personnummer, kan anmode om at få
udstedt NemID. Udsteder henholdsvis registreringsenheden
skal forinden sikre, at borgeren legitimerer sig fyldestgøren‐
de. Det fastsættes endvidere direkte i loven, at en juridisk
enhed med CVR-nummer, eksempelvis en virksomhed en
offentlig myndighed, en frivillig forening mv., der har ind‐
gået aftale med Nets DanID A/S og har udpeget en admini‐
strator, kan anmode om at få udstedt NemID til en eller flere
medarbejdere. De nærmere betingelser for at få udstedt
NemID vil blive fastsat i medfør af § 1, stk. 2.
For at sikre, at borgere og juridiske enheder, der får afslag
på at få udstedt NemID, har mulighed for at klage over det‐
te, fastsættes det i loven, at et afslag på at få udstedt NemID
kan påklages til Digitaliseringsstyrelsen. Denne klagead‐
gang gælder uanset, om afgørelsen er truffet af den udpege‐
de udsteder eller af en registreringsenhed, som er udpeget i
henhold til lovforslagets § 2. Det understreges samtidig, at
administrationen er henlagt under Digitaliseringsstyrelsen
som ansvarlig myndighed på området. Det vil endvidere væ‐
re muligt at indbringe klager over afgørelser om afslag på
genåbning af NemID samt afgørelse om spærring af NemID,
manglende mulighed for fornyelse og lignende, hvor eksem‐
pelvis en registreringsenhed, som led i behandlingen af en
anmodning om at få udstedt NemID, træffer en konkret for‐
valtningsretlig afgørelse i forhold til en borger. Der henvises
til lovforslagets § 5, stk. 1.
Digitaliseringsstyrelsen vil som hidtil føre tilsyn med
NemID gennem de bestemmelser, der fremgår af OCES-cer‐
tifikatpolitikkerne. Med lovforslaget er det ikke hensigten at
ændre på den tilsynsopgave, som Digitaliseringsstyrelsen al‐
lerede har med Nets DanID A/S som udsteder af NemID, jf.
beskrivelsen oven for i afsnit 2.1.1.
Lovforslaget finder ikke anvendelse på forhold omfattet af
lov nr. 617 af 8. juni 2016 om supplerende bestemmelser til
forordning om elektronisk identifikation og tillidstjenester
til brug for elektroniske transaktioner på det indre marked.
Digitaliseringsstyrelsen er udpeget som tilsynsorgan, og fi‐
nansministeren (nu ministeren for offentlig innovation) er
bemyndiget til at fastsætte nærmere regler om tilsynet. Til‐
syn med national autentifikation er ikke reguleret i eIDAS-
forordningen (Europa-Parlamentets og Rådets forordning
(EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifi‐
kation og tillidstjenester til brug for elektroniske transaktio‐
ner på det indre marked og om ophævelse af direktiv
1999/93/EF). Det forudsættes imidlertid i forordningen, at
der er et nationalt tilsyn, idet det følger af forordningen, at
en medlemsstat skal redegøre for det tilsyn, der føres med
en autentifikationsløsning, såfremt den anmeldes til Kom‐
missionen. NemID-løsningen integrerer autentifikation og
signering i den samme løsning, hvorved det etablerede tilsyn
fører tilsyn med såvel signeringsdelen som autentifikations‐
delen. Lovforslaget vedrører alene det eksisterende NemID
til fysiske personer og til juridiske enheder og deres medar‐
bejdere.
Nets DanID A/S’ ret til at udstede NemID udløber forven‐
teligt i 2021. Digitaliseringsstyrelsen forbereder et EU-ud‐
bud af den kommende nationale eID- og autentifikationsløs‐
ning; MitID. Digitaliseringsstyrelsen har indgået et samar‐
bejde med pengeinstitutterne repræsenteret ved Finans Dan‐
mark via selskabet FR1 af 16. september 2015 A/S om dette
EU-udbud. Det kommende MitID vil ikke være omfattet af
lovforslaget, hvorfor det er hensigten at ophæve loven, når
Nets DanID A/S’ ret til at udstede NemID udløber. Digitali‐
seringsstyrelsen igangsætter forud for ibrugtagelsen af Mit‐
ID et arbejde med at undersøge behovet for en mere generel
regulering af nationale eID-løsninger, herunder MitID, og
visse andre offentlige digitale infrastrukturløsninger mv.
3. Økonomiske og administrative konsekvenser for det
offentlige
Det vurderes, at lovforslaget ikke har økonomiske konse‐
kvenser for det offentlige. Lovforslaget har alene mindre ad‐
ministrative konsekvenser for det offentlige.
Der er tale om en videreførelse af det, der allerede følger
af gældende OCES-certifikatpolitikker, som Digitaliserings‐
styrelsen har udarbejdet, og som Nets DanID A/S udsteder
NemID med offentlig digital signatur til fysiske personer og
til medarbejdere i juridiske enheder (NemID) efter. Der er
tillige tale om en videreførelse af en administration, der alle‐
rede er etableret ved privat aftaleindgåelse dels mellem Di‐
gitaliseringsstyrelsen og Nets DanID A/S og dels mellem
Digitaliseringsstyrelsen og KL samt Nets DanID A/S og re‐
gistreringsenhederne i de enkelte kommuner og pengeinsti‐
tutter, hvor registreringsenhederne udsteder NemID til bor‐
gere, der opfylder, de fastsatte vilkår.
Med lovforslaget fastslås det, at borgere og juridiske en‐
heder kan klage til Digitaliseringsstyrelsen. Digitaliserings‐
styrelsen vil med lovforslaget skulle behandle klager og
træffe afgørelse, hvis en borger klager over, at NemID er
blevet spærret eller at have fået afslag på at få udstedt eller
åbnet for et spærret NemID. Nets DanID A/S har overfor
Digitaliseringsstyrelsen oplyst, at de erfaringsmæssigt mod‐
7
tager mellem 20-25 klager om året med relation til udstedel‐
se, spærring og genåbning af NemID. Hovedparten af disse
håndteres ved simpel information samt oplysning om, at der
kan klages til Digitaliseringsstyrelsen. Digitaliseringsstyrel‐
sen modtager cirka 10 klager om året. Det er vurderingen, at
bestemmelsen om klageadgang til Digitaliseringsstyrelsen
ikke medfører mere administration i form af flere klager,
hverken i den enkelte registreringsenhed eller i Digitalise‐
ringsstyrelsen. Det er vurderingen, at antallet af klager vil
være på niveau med det nuværende, og at det vil kunne af‐
holdes indenfor Digitaliseringsstyrelsens eksisterende ram‐
me.
Det vurderes, at ændringer i eksisterende aftaler mellem
Nets DanID A/S og registreringsenhederne samt ændring af
vilkår i forhold til borgere og virksomheder har visse økono‐
miske konsekvenser. Det vurderes, at der er tale om ikke
væsentlige økonomiske konsekvenser.
4. Økonomiske og administrative konsekvenser for er‐
hvervslivet mv.
Lovforslaget har ingen økonomiske eller administrative
konsekvenser for erhvervslivet.
Et udkast til lovforslaget har været forelagt Erhvervssty‐
relsens Team Effektiv Regulering (TER), der vurderer, at lo‐
ven ikke medfører administrative konsekvenser for er‐
hvervslivet.
Det vurderes, at lovforslaget giver virksomhederne en me‐
re klar retsstilling og sikrer, at virksomheder kan klage til
Digitaliseringsstyrelsen over afslag på at få udstedt NemID
mv. Det er fastsat, at Digitaliseringsstyrelsens afgørelser ik‐
ke kan indbringes for anden administrativ myndighed, hvil‐
ket kan anses som en vis begrænsning i virksomhedernes
administrative muligheder.
5. Administrative konsekvenser for borgerne
Det vurderes, at lovforslaget giver borgerne en mere klar
retsstilling og sikrer, at borgerne kan klage til Digitalise‐
ringsstyrelsen over afslag på at få udstedt NemID mv. Det er
fastsat, at Digitaliseringsstyrelsens afgørelser ikke kan ind‐
bringes for anden administrativ myndighed, hvilket kan an‐
ses som en vis begrænsning i borgernes administrative mu‐
ligheder.
6. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
7. Forholdet til EU-retten
Lovforslaget indeholder ingen EU-retlige aspekter.
Lovforslaget omfatter ikke anerkendelse af elektroniske
identifikationsmidler for fysiske og juridiske personer, der
er omfattet af en anmeldt elektronisk identifikationsordning
i en anden EU-medlemsstat, jf. Europa-Parlamentets og Rå‐
dets forordning (EU) nr. 910/2014 af 23. juli 2014 om elek‐
tronisk identifikation og tillidstjenester til brug for elektroni‐
ske transaktioner på det indre marked og om ophævelse af
direktiv 1999/93/EF (eIDAS-forordningen). eIDAS-forord‐
ningen regulerer tilsyn med tillidstjenester, hvorunder signe‐
ring henhører. Der fremgår blandt andet, at der skal udpeges
et nationalt tilsyn, og at hensigten er, at Kommissionen ud‐
arbejder supplerende retsakter.
8. Hørte myndigheder og organisationer mv.
Et tidligere udkast til lovforslaget har i perioden fra den 1.
december 2017 til den 4. januar 2018 været sendt i offentlig
høring hos nedenstående myndigheder og organisationer
mv. På baggrund af justeringer, hvor blandt andet NemID til
medarbejdere i juridiske enheder omfattes af lovforslaget,
har et nyt udkast til lovforslag i perioden fra den 8. til den
16. februar 2018 været i sendt i offentlig høring hos samme
myndigheder og organisationer mv.:
Advokatsamfundet/Advokatrådet, Arbejderbevægelsens
Erhvervsråd, Danmarks Statistik, Dansk Blindesamfund,
Dansk Energi, Dansk Erhverv, Dansk Handikap Forbund,
Dansk IT, Danske Advokater, Danske Handicaporganisatio‐
ner, Danske Regioner, Datatilsynet, Den Danske Dommer‐
forening, Det Centrale Handicapråd, DI/ITEK, DIDI-ITEK,
DKCERT, Dysleksiforeningen i Danmark, Døves Landsfor‐
bund, FDIH - Foreningen for Dansk Internethandel, Finans
Danmark, Finansrådet, Finanstilsynet, Folketingets Om‐
budsmand, Forbrugerrådet, Forsikring og Pension, Institut
for Menneskerettigheder, IT-branchen, IT-Politisk Forening,
KL, Landsforeningen SIND, LO, Muskelsvindsfonden, Par‐
kinsonforeningen, Patientforeningen, PROSA, Psykiatrifon‐
den, Rigsombudsmanden i Grønland, Rigsombudsmanden
på Færøerne, Rådet for digital sikkerhed, Rådet for Socialt
Udsatte, Scleroseforeningen, Statens Serum Institut, Tele‐
kommunikationsindustrien i Danmark, Ældremobiliseringen
og Ældresagen.
8
9. Sammenfattende skema
Positive konsekvenser/ mindreudgifter
(hvis ja, angiv omfang/Hvis nej, anfør »In‐
gen«)
Negative konsekvenser/ merudgifter
(hvis ja, angiv omfang/Hvis nej, an‐
før »Ingen«)
Økonomiske konsekvenser for stat,
kommuner og regioner
Ingen Det vurderes, at lovforslaget ikke har
økonomiske eller administrative kon‐
sekvenser for det offentlige, da der er
tale om en videreførelse af det, der
allerede følger af den gældende certi‐
fikatpolitik for OCES-personcertifi‐
kater, som Digitaliseringsstyrelsen
har udarbejdet, og som Nets DanID
A/S udsteder NemID efter. Der er til‐
lige tale om en videreførelse af en ad‐
ministration, der allerede er etableret
ved privat aftaleindgåelse.
Det er vurderingen, at antallet af kla‐
ger vil være på niveau med det nuvæ‐
rende, og at det vil kunne afholdes in‐
denfor Digitaliseringsstyrelsens eksi‐
sterende ramme.
Det vurderes, at ændringer i eksister‐
ende aftaler mellem Nets DanID A/S
og registreringsenhederne samt æn‐
dring af vilkår i forhold til borgere og
virksomheder har visse økonomiske
konsekvenser. Det vurderes, at der er
tale om ikke væsentlige økonomiske
konsekvenser.
Administrative konsekvenser for
stat, kommuner og regioner
Ingen Ingen af betydning.
Økonomiske konsekvenser for er‐
hvervslivet
Ingen Ingen
Administrative konsekvenser for er‐
hvervslivet
Det vurderes, at lovforslaget giver virk‐
somhederne en mere klar retsstilling og
sikrer, at virksomhederne kan klage til Di‐
gitaliseringsstyrelsen over afslag på at få
udstedt NemID mv.
Det er fastsat, at Digitaliseringssty‐
relsens afgørelser ikke kan indbringes
for anden administrativ myndighed,
hvilket kan anses som en vis be‐
grænsning i virksomhedernes admini‐
strative muligheder.
Administrative konsekvenser for
borgerne
Det vurderes, at lovforslaget giver borger‐
ne en mere klar retsstilling og sikrer, at
borgerne kan klage til Digitaliseringssty‐
relsen over afslag på at få udstedt NemID
mv.
Det er fastsat, at Digitaliseringssty‐
relsens afgørelser ikke kan indbringes
for anden administrativ myndighed,
hvilket kan anses som en vis be‐
grænsning i borgernes administrative
muligheder.
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Lovforslaget indeholder ingen EU-retlige aspekter
Er i strid med de fem principper for
implementering af erhvervsrettet
EU-regulering/Går videre end mini‐
mumskrav i EU-regulering (sæt X)
Ja Nej
X
9
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Formålet med den foreslåede bestemmelse i § 1, stk. 1, er
at sikre tydelig hjemmel til, at ministeren for offentlig inno‐
vation udpeger en privat virksomhed til at være udsteder og
dermed til at varetage opgaven med at administrere og træf‐
fe afgørelse om at udstede NemID med offentlig digital sig‐
natur til fysiske personer og til medarbejdere i juridiske en‐
heder (NemID).
Det foreslås fastsat, at den udpegede udsteder, er en privat
virksomhed. Bestemmelsen giver således udtrykkelig lov‐
hjemmel til, at denne myndighedsopgave kan delegeres til
en privat virksomhed.
Ministerens bemyndigelse forventes i praksis at ville blive
udøvet af Digitaliseringsstyrelsen.
Det slås dermed fast, at NemID udstedes på statens vegne,
og at det er ministeren for offentlig innovation, der har myn‐
dighedsansvaret og sikrer, at der udpeges en udsteder af
NemID til fysiske personer og til medarbejdere i juridiske
enheder. En udsteder skal forstås i overensstemmelse med
det, der i OCES-certifikatpolitikkerne betegnes som et certi‐
ficeringscenter. OCES-certifikatpolitikkerne kan tilgås på
hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk.
Nets DanID A/S er allerede godkendt og udpeget til at va‐
retage opgaven som udsteder af NemID. Udpegning af Nets
DanID A/S, som udsteder, skete på baggrund af et EU-ud‐
bud gennemført i 2008. Kontrakten løber pt. til 2021, hvor
den nye MitID-løsning forventes idriftsat. Det er hensigten,
at Nets DanID A/S - der allerede i dag er udpeget som ud‐
steder - fortsætter med at varetage opgaven med at admini‐
strere og udstede NemID på de vilkår, som er fastsat i den til
enhver tid gældende certifikatpolitik for OCES-personcerti‐
fikater og certifikatpolitik for OCES-medarbejdercertifikater
i perioden frem til den gældende kontrakt udløber. OCES-
certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu
henholdsvis medarbejdersignatur.dk..
Bestemmelsen omfatter NemID, som udstedes til fysiske
personer, som også benævnes privatpersoner eller borgere
og NemID, som udstedes til medarbejdere i juridiske enhe‐
der, også benævnt NemID medarbejdersignatur. NemID til
fysiske personer og til medarbejdere i juridiske enheder ad‐
skiller sig eksempelvis fra virksomheds- og funktions-certi‐
fikater samt fra pengeinstitutternes NemID til netbank, som
ikke er omfattet af lovforslaget.
Den udpegede udsteder (i dag Nets DanID A/S) skal
blandt andet administrere og træffe afgørelse om at udstede
NemID til borgere og til medarbejdere i juridiske enheder,
og forventes i sin administration, afgørelses- og udstedelses‐
virksomhed at agere i henhold til gældende ret. Udstederen
skal blandt andet sikre, at borgeren henholdsvis den juridi‐
ske enhed og dens medarbejdere opfylder de betingelser, der
fremgår af § 4, og de regler, der i medfør af § 1, stk. 2, fast‐
sættes for løbende at kunne anvende NemID. Udstederen fo‐
retager en vurdering af, om borgeren henholdsvis den juridi‐
ske enhed opfylder betingelserne i § 4, og om borgeren hen‐
holdsvis medarbejderen kan legitimeres fyldestgørende, og
træffer herefter ved udstedelse af NemID en afgørelse i for‐
valtningslovens forstand.
Som det fremgår af den foreslåede § 3, skal udstederen så‐
ledes efterleve de almindelige forvaltningsretlige regler og
principper, når udstederen administrerer reglerne om udste‐
delse af NemID. Hvis udstederen træffer en afgørelse om at
give borgeren afslag på at få udstedt eller genåbnet NemID,
eller om at spærre NemID, skal borgeren henholdsvis den
juridiske enhed blandt andet have en begrundelse og en kla‐
gevejledning eventuelt skriftligt, jf. forvaltningslovens kapi‐
tel 6 og 7. Endvidere gælder partshøringsreglerne i forvalt‐
ningslovens § 19, ligesom det skal sikres, at borgere og juri‐
diske enheder bliver tilstrækkeligt vejledt om, hvilke regler
de henholdsvis medarbejderne løbende skal leve op til ved
anvendelse af NemID. Udsteder henholdsvis registrerings‐
enhederne skal i forbindelse med behandling af en anmod‐
ning om at få udstedt NemID og den afgørelse, som træffes,
sikre, at borgeren henholdsvis den juridiske enhed vejledes
tilstrækkeligt om reglerne for at få udstedt NemID og om
reglerne for løbende at kunne anvende NemID, herunder om
konsekvenserne ved ikke at overholde disse, jf. forvaltnings‐
lovens § 7. Vejledningen kan efter omstændighederne i det
konkrete tilfælde tillige omfatte, hvilke muligheder borgeren
har for at blive betjent af den offentlige forvaltning uden et
NemID, samt hvilke muligheder borgeren har for på ny at
anmode om at få udstedt NemID.
Det foreslås med formuleringen af § 1, stk. 2, at give mini‐
steren for offentlig innovation hjemmel til at fastsætte regler
om administrationen af NemID, herunder om udstedelse og
spærring samt genåbning af NemID. Der vil tillige kunne
fastsættes regler, der omhandler de krav, der stilles til borge‐
rens og den juridiske enheds medarbejderes løbende håndte‐
ring af NemID.
De regler, der fastsættes, skal sikre, at der i medfør af lo‐
ven etableres en proces og klare regler for, hvordan en bor‐
ger henholdsvis en medarbejdere i juridiske enheder kan få
udstedt NemID. Det er hensigten, at der fastsættes regler
om, hvilke betingelser udover dem, der fremgår af § 4, en
borger henholdsvis en medarbejder skal opfylde for at kunne
få udstedt NemID, samt hvilke betingelser borgeren hen‐
holdsvis den juridiske enhed og medarbejderen løbende skal
opfylde for at have og anvende NemID. Det er hensigten i
medfør af bestemmelsen at fastsætte, hvornår der kan gives
afslag på udstedelse, regler om spærring, ny-udstedelse,
genåbning og lignende.
Regler om håndtering af NemID fastsættes af hensyn til
den samlede sikkerhed i NemID-løsningen. Reglerne skal
være med til også at sikre borgerne og de juridiske enheder
mod konkret misbrug og skal samtidig bidrage til at opret‐
holde den samlede sikkerhed ved NemID. Der kan blandt
andet fastsættes regler om, at borgeren skal hemmeligholde
nøglekortet og koder, at borgeren kognitivt skal have evnen
til at forstå og følge reglerne, herunder beskytte det udstedte
NemID og sine koder mod andres brug og misbrug. Tilsva‐
rende kan der fastsættes regler om, at juridiske enheder skal
indgå aftale og udpege en administrator til at anvise medar‐
10
bejdere, som har tilknytning til den juridiske enhed og skal
have udstedt NemID medarbejder-signatur. Det kan blandt
andet fastsættes, at borgere og medarbejdere i juridiske en‐
heder skal tage rimelige forholdsregler for at beskytte de
sikkerhedsmekanismer, der sikrer NemID mod kompromit‐
tering, ændring, tab og uautoriseret brug, og at adgangsko‐
den skal hemmeligholdes, så andre ikke får kendskab til
denne. Det vil tillige kunne fastsættes, hvilke konsekvenser
det har, hvis borgeren eller medarbejderen ikke overholder
disse krav, efter NemID er udstedt. Det vil eksempelvis kun‐
ne fastsættes, at NemID spærres ved mistanke om misbrug
eller tilsvarende brud på sikkerheden.
Det forventes, at det fastsættes, at en fysisk person og juri‐
diske enheder kan anmode om at få udstedt NemID online
på henholdsvis hjemmesiderne nemid.nu og medarbejdersig‐
natur.dk. Det forventes tillige, at det bliver fastsat, at borge‐
re kan få udstedt NemID hos en registreringsenhed i et pen‐
geinstitut og ved personligt fremmøde hos en registrerings‐
enhed i kommunernes borgerservicecentre.
De vilkår og krav, som gælder i dag, følger af certifikatpo‐
litik for OCES-personcertifikater punkt 6.2, 7.3.1 og 7.3.2,
og udgør grundlaget for vilkårene for udstedelse af NemID
(de såkaldte NemID-regler). For virksomheder følger vilkår
og krav af certifikatpolitik for OCES-medarbejdercertifika‐
ter punkt 6.2, 7.3.1 og 7.3.2. Hensigten er i bekendtgørelsen
at fastsætte regler tilsvarende de allerede gældende vilkår
rettet mod borgere og juridiske enheder og deres medarbej‐
dere, så det tydeligt fremgår af bekendtgørelsen, hvornår en
borger henholdsvis en medarbejder kan få udstedt NemID,
og hvilke vilkår de skal opfylde henholdsvis løbende over‐
holde. OCES-certifikatpolitikkerne kan tilgås på hjemmesi‐
den nemid.nu henholdsvis medarbejdersignatur.dk.
Det fremgår blandt andet af certifikatpolitikken for
OCES-personcertifikater punkt 6.2, at Nets DanID A/S ved
aftale skal forpligte certifikatindehaveren, den fysiske per‐
son, til at opfylde en række betingelser. Betingelserne er
fastsat som vilkår for NemID, som er de vilkår, som den en‐
kelte borger (certifikatindehaveren) skal acceptere i forbin‐
delse med udstedelse af NemID. Det forventes, at der i lig‐
hed med hvad der følger af certifikatpolitikken for OCES-
personcertifikater, blandt andet vil blive fastsat regler om, at
borgeren skal give fyldestgørende og korrekte svar på alle
anmodninger fra den udpegede udsteder (Nets DanID A/S)
og registreringsenheder, om information i ansøgningspro‐
cessen, at en borger alene må benytte NemID i henhold til
certifikatpolitikkens bestemmelser, at en borger skal tage ri‐
melige forholdsregler for at beskytte de sikkerhedsmekanis‐
mer, der sikrer NemID mod kompromittering, ændring, tab
og uautoriseret brug, at en borger skal hemmeligholde ad‐
gangskoden, så andre ikke får kendskab til denne, at en bor‐
ger ved modtagelse af NemID skal sikre sig at indholdet
heraf er i overensstemmelse med de faktiske forhold, at en
borger omgående skal anmode om spærring og eventuel for‐
nyelse af NemID, hvis indholdet heraf ikke er i overens‐
stemmelse med de faktiske forhold, at en borger omgående
skal ændre sin adgangskode eller spærre NemID, hvis der
opstår mistanke om, at adgangskoden er kompromitteret, og
at en borger omgående skal ophøre med at anvende NemID,
hvis borgeren opnår kendskab til, at Nets DanID A/S er ble‐
vet kompromitteret.
Det fremgår af certifikatpolitikken for OCES-medarbej‐
dercertifikater punkt 6.2, at Nets DanID A/S ved aftale skal
forpligte certifikatindehaveren, medarbejderen, til at opfylde
en række betingelser, samt at certifikatindehaverens organi‐
sation, virksomheden, og procedurer understøtter opfyldel‐
sen heraf. Betingelserne er fastsat som vilkår for NemID,
som er de vilkår, som den enkelte medarbejder (certifikatin‐
dehaveren) skal acceptere i forbindelse med udstedelse af
NemID til medarbejdere. Det forventes, at der i lighed med,
hvad der følger af certifikatpolitikken for OCES-medarbej‐
dercertifikater, blandt andet vil blive fastsat regler om, at
medarbejdere skal give fyldestgørende og korrekte svar på
alle anmodninger fra den udpegede udsteder (Nets DanID
A/S), om information i ansøgningsprocessen, at en medar‐
bejder alene må benytte NemID i henhold til certifikatpoli‐
tikkens bestemmelser, at en medarbejder skal tage rimelige
forholdsregler for at beskytte de sikkerhedsmekanismer, der
sikrer NemID mod kompromittering, ændring, tab og uauto‐
riseret brug, at en medarbejder skal hemmeligholde ad‐
gangskoden, så andre ikke får kendskab til denne, at en
medarbejder ved modtagelse af NemID skal sikre sig at ind‐
holdet heraf er i overensstemmelse med de faktiske forhold,
at en medarbejder omgående skal anmode om spærring og
eventuel fornyelse af NemID, hvis indholdet heraf ikke er i
overensstemmelse med de faktiske forhold, at en medarbej‐
der omgående skal ændre sin adgangskode eller spærre
NemID, hvis der opstår mistanke om, at adgangskoden er
kompromitteret, og at en medarbejder omgående skal ophø‐
re med at anvende NemID, hvis medarbejderen opnår kend‐
skab til, at Nets DanID A/S er blevet kompromitteret.
Herudover indgår den juridiske enhed (administratoren)
aftale med Nets DanID A/S om at anvise medarbejdere, der
skal have udstedt NemID til medarbejdere. Den juridiske
enhed forpligter sig også til at instruere medarbejdere i kor‐
rekt anvendelse af NemID, herunder overholdelse af certifi‐
katpolitikken for OCES-medarbejdercertifikater.
I medfør af bestemmelsen vil det ligeledes blive fastsat, at
Nets DanID A/S skal sikre, at borgeren henholdsvis den ju‐
ridiske enhed opfylder de betingelser, der fastsættes for at
kunne få udstedt NemID.
Der vil samtidig kunne fastsættes regler om, at der kan gi‐
ves afslag på at få udstedt NemID, hvis udsteder vurderer, at
borgeren eller den juridiske enhed ikke opfylder en eller fle‐
re af de fastsatte betingelser. Det kan eksempelvis være,
hvis der er tvivl om, hvorvidt borgeren eller medarbejderen
kan administrere og anvende NemID korrekt eksempelvis af
sproglige eller forståelsesmæssige årsager. Et andet eksem‐
pel er, hvis der er tvivl om validiteten af legitimationsdoku‐
mentationen. For virksomheder vil det være administrator,
der indestår for, at de medarbejdere, der udpeges til at få
NemID til medarbejdere, er identificeret korrekt i overens‐
stemmelse med aftalen og reglerne herfor.
Der henvises i øvrigt til de almindelige bemærkninger af‐
snit 2.1.2. ovenfor.
11
Til § 2
Efter den foreslåede § 2 slås det fast i loven, at ministeren
for offentlig innovation kan overlade opgaven med at træffe
afgørelse om at udstede NemID med offentlig digital signa‐
tur til fysiske personer (NemID) til en juridisk enhed. Begre‐
bet »juridisk enhed« skal forstås i overensstemmelse med
anvendelsen af begrebet i lov om Det Centrale Virksom‐
hedsregister, jf. de almindelige bemærkninger afsnit 2.1.2.
ovenfor.
Ministeren for offentlig innovation kan udpege konkrete
juridiske enheder til at varetage opgaven med som registre‐
ringsenhed at træffe afgørelser om udstedelse af NemID til
fysiske personer, der anmoder om at få udstedt NemID med
offentlig digital signatur til fysiske personer hos en registre‐
ringsenhed.
Det er hensigten, at ministeren udpeger, hvilke konkrete
registreringsenheder der kan træffe afgørelse om at udstede
NemID til borgere, der eksempelvis møder fysisk frem i re‐
gistreringsenheden og anmoder om at få udstedt NemID.
Grundlaget for registreringsenhederne forventes at lægge sig
op ad indholdet i de konkrete aftaler herom, som gælder i
dag.
Nets DanID A/S har på nuværende tidspunkt delegeret op‐
gaven med at udstede NemID til borgere, der fysisk møder
op, til en lang række kommuner på baggrund af bilaterale
aftaler indgået med de enkelte kommuner. Opgaven vareta‐
ges og administreres typisk af borgerservicecentrene i kom‐
munerne, jf. de almindelige bemærkninger afsnit 2.1.1 oven‐
for. Endvidere har også en række pengeinstitutter indgået af‐
tale om at varetage opgaven som registreringsenhed. Det er
hensigten, at ministeren ved udpegning af registreringsenhe‐
der sikrer, at indholdet i disse aftale i videst mulige omfang
opretholdes eventuelt ved en henvisning til de allerede ind‐
gåede aftaler.
Registreringsenhederne er ansvarlige for identifikation og
autentifikation af en kommende certifikatindehaver og for at
udstede NemID til borgere. Det er derfor også registrerings‐
enhederne, der påser og vurderer, om en fremmødt borger
lever op til de fastsatte regler for at kunne få NemID, og det
er registreringsenhederne, der træffer afgørelse om at give
en borger afslag, hvis borgeren ikke lever op til de krav, der
er fastsat for at kunne få NemID. Der er tale om en opgave,
der i medfør af § 2 er delegeret fra ministeren for offentlig
innovation til registreringsenhederne. Afgørelserne som re‐
gistreringsenhederne træffer om udstedelse af NemID skal
leve op til forvaltningsretten og de forvaltningsretlige prin‐
cipper, jf. den foreslåede § 3. Registreringsenhederne vil
blandt andet skulle vejlede og vurdere, om borgeren forven‐
tes at forstå og løbende kunne leve op til de regler og vilkår,
der er fastsat. Nets DanID A/S har ansvaret for hele udsted‐
elsesprocessen, herunder validering af borgerens identitet,
samt for de afgørelser, der træffes.
Der henvises i øvrigt til de almindelige bemærkninger af‐
snit 2.1.2. ovenfor.
Til 3
Det er almindeligt antaget, at delegation medfører, at den
opgave, der delegeres til en anden, også er omfattet af de
regler, der gælder, herunder forvaltningsloven, og skal over‐
holde disse. For at undgå fortolkningstvivl fastsættes det di‐
rekte i loven, at Nets DanID A/S og registreringsenhederne
er omfattet af forvaltningsloven i forbindelse med de afgø‐
relser, der træffes om udstedelse af NemID, spærring, afslag
på udstedelse og afslag på genåbning mv. Dette medfører
blandt andet, at visse afgørelser skal ledsages af en begrun‐
delse og en klagevejledning, at partshøringsreglerne i rele‐
vant omfang skal iagttages, og at borgere og virksomheder
skal vejledes tilstrækkeligt om deres rettigheder mv. En af‐
gørelse om at spærre et NemID træffes for at sikre mod mis‐
brug og tilsvarende, hvorfor spærring kan foretages uden
forudgående kontakt til den registrerede.
Nets DanID A/S og registreringsenhederne vil således ved
anmodning om at få udstedt NemID blandt andet skulle vej‐
lede borgeren om reglerne for at få udstedt NemID og sær‐
ligt reglerne for løbende at kunne anvende NemID, herunder
om konsekvenserne ved ikke at overholde disse, jf. forvalt‐
ningslovens § 7. Vejledningen kan i de konkrete tilfælde til‐
lige omfatte, hvilke muligheder borgeren har for at blive be‐
tjent af den offentlige forvaltning uden et NemID, samt hvil‐
ke muligheder borgeren henholdsvis juridiske enheder har
for på ny at anmode om at få udstedt NemID.
Til § 4
Den foreslåede § 4, stk. 1, fastslår, at en fysisk person har
ret til at anmode om at få udstedt NemID med offentlig digi‐
tal signatur til fysiske personer (NemID), hvis borgeren er
fyldt 15 år og har et personnummer. Borgeren vil i den for‐
bindelse skulle kunne legitimere sig fyldestgørende overfor
udstederen henholdsvis registreringsenheden. En borger, der
i øvrigt opfylder de regler og vilkår, der fastsættes i medfør
af § 1, stk. 2, og som vurderes løbende at kunne overholde
disse kan herefter få udstedt NemID.
Bestemmelsen omfatter NemID, som udstedes til fysiske
personer. Fysiske personer er privatpersoner også betegnet
som borgere. Også fysiske personer, der ikke er danske
statsborgere, kan anmode om at få udstedt NemID. Eksem‐
pelvis vil udlændinge, der får et personnummer i forbindelse
med, at de kommer til landet for at arbejde, kunne anmode
om at få udstedt NemID. En borger med et administrativt
personnummer kan alene få udstedt NemID ved personligt
fremmøde hos en registreringsenhed.
Det forudsættes, at de regler, der fastsættes i medfør af §
1, stk. 2, indeholder betingelserne for at få udstedt NemID,
samt regler, som løbende skal overholdes ved anvendelse af
NemID. Det forudsættes tillige, at de regler, der fastsættes,
følger de regler, der allerede i dag gælder i medfør af certifi‐
katpolitikken for OCES-personcertifikater, og som er gengi‐
vet i vilkårene for NemID.
Borgere skal følge den procedure, der fastsættes, for at an‐
mode om at få udstedt NemID.
12
Det er forventningen, at borgeren som hidtil vil kunne an‐
mode om at få udstedt NemID online på hjemmesiden nem‐
id.nu, hos en registreringsenhed i et pengeinstitut eller ved
personligt fremmøde hos en registreringsenhed i en kommu‐
nes borgerservicecenter.
Det foreslås med formuleringen af § 4, stk. 2, at juridiske
enheder har ret til at anmode om at få udstedt NemID til
medarbejdere i juridiske enheder.
Begrebet »juridisk enhed« skal ligesom i § 2 forstås i
overensstemmelse med anvendelsen af begrebet i lov om
Det Centrale Virksomhedsregister, jf. lovbekendtgørelse nr.
653 af 15. juni 2006 med senere ændringer, hvoraf det frem‐
går af § 3, at en juridisk enhed kan være 1) en fysisk person
i dennes egenskab af arbejdsgiver eller selvstændigt er‐
hvervsdrivende, 2) en juridisk person eller filial af en uden‐
landsk juridisk person, 3) en statslig administrativ enhed, 4)
en region, 5) en kommune eller 6) et kommunalt fællesskab.
Det sikres samtidig, at loven anvender samme begreb, som
anvendes i OCES-personcertifikatpolitikken. Der henvises
til lovforslagets § 2.
En juridisk enhed skal således have et CVR-nummer og
have indgået en aftale med Nets DanID A/S, hvor der udpe‐
ges en administrator til på vegne af den juridiske enhed at
anvise personer med tilknytning til den juridiske enhed, der
skal have udstedt NemID medarbejdersignatur.
Bestemmelsen omfatter NemID, som udstedes til medar‐
bejdere i juridiske enheder. En virksomhed, der i øvrigt op‐
fylder de regler, der fastsættes i medfør af § 1, stk. 2, kan
herefter få udstedt NemID til sine medarbejdere.
Det forudsættes, at de regler, der fastsættes i medfør af §
1, stk. 2, indeholder betingelserne for at få udstedt NemID,
samt regler, som løbende skal overholdes ved anvendelse af
NemID. Det forudsættes tillige, at de regler, der fastsættes,
følger de regler, der allerede i dag gælder i medfør af
OCES-certifikatpolitikken for medarbejdercertifikater, og
som er gengivet i aftale om udpegning af administrator hen‐
holdsvis vilkårene for NemID.
Juridiske enheder skal følge den procedure, der fastsættes,
for at anmode om at få udstedt NemID.
Det er forventningen, at juridiske enheder som hidtil vil
kunne anmode om at få udstedt NemID online på hjemmesi‐
den medarbejdersignatur.dk. Det vil fortsat ikke være muligt
for juridiske enheder at anmode om at få udstedt NemID
medarbejdersignatur hos en registreringsenhed.
Der henvises i øvrigt til de almindelige bemærkninger af‐
snit 2.1.2. ovenfor.
Til § 5
Det foreslås med § 5, stk. 1, at fastslå, at klage over en af‐
gørelse kan indbringes for Digitaliseringsstyrelsen.
Den afgørelse, der påklages, vil være truffet af den private
udsteder eller af en registreringsenhed, der udsteder NemID
med offentlig digital signatur til fysiske personer og til med‐
arbejdere i juridiske enheder (NemID) i kommunerne eller i
pengeinstitutterne. De afgørelser, der kan påklages, er afgø‐
relser, der er truffet efter de regler, der vil blive udstedt i
medfør af § 1, stk. 2.
Der kan eksempelvis være tale om klage over en afgørelse
om afslag på udstedelse af NemID, afslag på genåbning af
NemID, klage over en afgørelse om spærring af et NemID
og lignende efter regler fastsat i medfør af § 1, stk. 2.
Digitaliseringsstyrelsen vil foretage en klagesagsbehand‐
ling på baggrund af sagens oplysninger, de fastsatte regler,
og efter de regler, der følger af forvaltningsloven og de for‐
valtningsretlige principper mv.
Registreringsenhederne og udstederen (i dag Nets DanID
A/S) skal, når de træffer afgørelse, sikre, at borgere og virk‐
somheder får en klagevejledning om, at deres afgørelser kan
indbringes for Digitaliseringsstyrelsen.
Registreringsenhederne og udstederen (i dag Nets DanID
A/S) skal, hvis klagen indgives direkte til dem videresende
klagen til Digitaliseringsstyrelsen med henblik på behand‐
ling af klagen.
Det foreslås med § 5, stk. 2, at det fastsættes direkte i lo‐
ven, at Digitaliseringsstyrelsen kan kræve enhver oplysning
af betydning for klagebehandlingen, af den private virksom‐
hed, der er udpeget i medfør af § 1, stk. 1, og af registre‐
ringsenheder, jf. § 2.
Digitaliseringsstyrelsen kan i konkrete klagesager rette
henvendelse til den relevante registreringsenhed eller Nets
DanID A/S i forbindelse med behandling af klagen med
henblik på at få oplyst sagen tilstrækkeligt mv. Digitalise‐
ringsstyrelsen kan herunder kræve at få relevante oplysnin‐
ger og dokumenter til brug for behandling af sagen.
Med den foreslåede bestemmelse i § 5, stk. 3, slås det fast,
at Digitaliseringsstyrelsens afgørelser ikke kan indbringes
for anden administrativ myndighed. Afgørelserne vil dog
kunne indbringes for domstolene i medfør af grundlovens §
63.
Der henvises i øvrigt til de almindelige bemærkninger af‐
snit 2.1.2. ovenfor.
Til § 6
Det foreslås, at loven træder i kraft den 1. juli 2018.
Det er hensigten at ophæve loven i forbindelse med, at
Nets DanID A/S’ ret til at udstede NemID udløber.
Til § 7
Det foreslås, at loven gælder ikke for Grønland og Færø‐
erne.
For Grønland er der tale om et sagsområde, der ikke er
hjemtaget, hvorfor loven ikke skal gælde i Grønland, men
loven vil helt eller delvist kunne sættes i kraft i Grønland
ved kongelig anordning.
Den hidtidige aftalebaserede tilgang for udstedelse af
NemID med offentlig digital signatur til fysiske personer
(NemID) i Grønland baseret på OCES-personcertifikatpoli‐
tikken vil fortsat være gældende.
13
For Færøerne er der tale om et sagsområde, der ikke hører
til fællesanliggender, som varetages af rigsmyndighederne.
Sagsområdet anses derfor som ovegået til Færøerne, hvorfor
loven ikke skal gælde på Færøerne.
Udstedelse af NemID til færinger baseret på OCES-per‐
soncertifikatpolitikken vil foregå på samme måde som i dag.
Hvis en færing har et administrativt personnummer, kan
NemID alene blive udstedt ved personligt fremmøde hos en
registreringsenhed.
14


Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K · T 33 92 33 33 · E fm@fm.dk · www.fm.dk
Social-, Indenrigs- og Børneudvalget 22. februar 2018
Vi er blevet bekendt med, at udvalget i forbindelse med at et udkast til lovforsla-
get (L150) blev sendt i offentlig høring ikke fik tilsendt høringsmaterialet. Det
beklager vi naturligvis. Vedhæftet fremsendes lovforslaget i endelig version.
Med venlig hilsen
Sophie Løhde
Minister for offentlig innovation
Social-, Indenrigs- og Børneudvalget 2017-18
L 150 Bilag 2
Offentligt


Digitaliseringsstyrelsen · Landgreven 4 · Postboks 2193 · 1017 København K · 3392 5200 · www.digst.dk
Digitaliseringsstyrelsen · Landgreven 4 · Postboks 2193 · 1017 København K
Til:
Se høringsliste
9. februar 2018
CIU/
Ny høring over forslag til lov om udstedelse af NemID med
offentlig digital signatur til fysiske personer og til virksomheders
medarbejdere
Lovforslaget har været i høring i fra den 1. december 2017 til den 4. januar 2018 i
en tidligere version. Lovforslaget sendes i ny høring, da høringen og det videre
arbejde har givet anledning til en række mere indholdsmæssige ændringer:
 Lovforslaget omfatter nu også udstedelse af NemID til virksomheders medar-
bejdere, jf. § 1, stk. 1 og § 4, stk. 2. Det betyder, at retstillingen også for virk-
somheder fastslås.
 Bestemmelsen i § 2 justeres, så det fastslås, at kompetencen til at træffe afgø-
relse om at udstede NemID kan delegeres til juridiske enheder (registrerings-
enheder).
 Der er indføjet en bestemmelse (§ 3), der fastslår, at forvaltningsloven og of-
fentlighedsloven finder anvendelse på afgørelser truffet af den udpegede priva-
te virksomhed og af registreringsenhederne.
 Det er indsat (§ 7), at loven ikke er gældende for Grønland og Færøerne, men
at den ved kongelig anordning helt eller delvist kan sættes i kraft for Grønland.
Formålet med lovforslaget er at tydeliggøre retsstillingen for borgerne og virk-
somhedernes medarbejdere og fastslå ved lov, at det er en myndighedsopgave og
et myndighedsansvar at sikre udstedelse af NemID. Det er hensigten at videreføre
det, der allerede gælder i dag i medfør af de regler, som Digitaliseringsstyrelsen har
udformet og fastsat i den såkaldte certifikatpolitik for OCES-personcertifikater og
OCES-medarbejdercertifikater og den kontrakt, som Digitaliseringsstyrelsen har
indgået med Nets DanID A/S. Lovforslaget har ikke til hensigt at ændre på dette.
Eventuelle bemærkninger modtages senest tirsdag den 20. februar 2018 klok-
ken 12 og sendes til Julie Preuthun, CIU@digst.dk og cc jucap@digst.dk.
Med venlig hilsen
Charlotte Jacoby
Kontorchef
Social-, Indenrigs- og Børneudvalget 2017-18
L 150 Bilag 2
Offentligt


Notat
Høringsliste til lov om NemID
Organ Mail
Advokatsamfundet/Advokatrådet samfund@advokatsamfundet.dk
ATP mle@atp.dk
nbm@atp.dk
BL – Danmarks almene boliger bl@bl.dk
Danmarks Statistik dst@dst.dk
Danmarks Nationalbank kommunikation@nationalbanken.dk
Dansk IT dit@dit.dk
Dansk Erhverv hoeringssager@danskerhverv.dk
Dansk IT dit@dit.dk
Dansk Standard, Forum for digital sikkerhed dansk.standard@ds.dk
Danske advokater mail@danskeadvokater.dk
Danske Handicaporganisationer dh@handicap.dk
Danske Regioner regioner@regioner.dk
Datatilsynet dt@datatilsynet.dk
Den Danske Dommerforening dommerforeningen@gmail.com
Det Centrale Handicapråd dch@dch.dk
DI Digital digital@di.dk
DKCERT sekretariat@deic.dk
FDIH - Foreningen for Dansk Internethandel kontakt@fdih.dk
Finans Danmark mail@finansdanmark.dk
lfj@fida.dk
Finanstilsynet finanstilsynet@ftnet.dk
Forbrugerrådet hoeringer@fbr.dk
Social-, Indenrigs- og Børneudvalget 2017-18
L 150 Bilag 2
Offentligt
Side 2 af 2
Foreningen for Dansk Internet Handel kontakt@fdih.dk
Forsikring og Pension fp@forsikringogpension.dk
Institut for menneskerettigheder info@humanrights.dk
IT-Branchen itb@itb.dk
IT-Politisk Forening bestyrelsen@itpol.dk
KL kl@kl.dk
KOMBIT kombit@kombit.dk
LOS – De private sociale tilbud los@los.dk
Nets DanID A/S jochr@nets.eu
alram@nets.eu
Ombudsmanden post@ombudsmanden.dk
Prosa prosa@prosa.dk
Psykiatrifonden pf@psykiatrifonden.dk
Rigsombudsmanden i Grønland ro@gl.stm.dk
Rigsombudsmanden på Færøerne ro@fo.stm.dk
Rådet for digital sikkerhed info@digitalsikkerhed.dk
Rådet for Socialt Udsatte post@udsatte.dk
Telekommunikationsindustrien i Danmark post@teleindu.dk
Ældre Sagen aeldresagen@aeldresagen.dk