Lovudkast, fra ministeren for offentlig innovation
Tilhører sager:
Aktører:
Lovforslag - lov om NemID - AE002525
https://www.ft.dk/samling/20171/lovforslag/L150/bilag/2/1859134.pdf
Fremsat den 22. februar 2018 af ministeren for offentlig innovation (Sophie Løhde) Forslag til Lov om udstedelse af NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder § 1. Ministeren for offentlig innovation udpeger en privat virksomhed, der administrerer og træffer afgørelser om ud‐ stedelse af NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder. Stk. 2. Ministeren for offentlig innovation fastsætter reg‐ ler om administration af NemID, herunder regler om udste‐ delse og spærring samt om håndtering af NemID. § 2. Ministeren for offentlig innovation kan udpege juridi‐ ske enheder til at varetage opgaven med som registrerings‐ enhed at træffe afgørelser om udstedelse af NemID til fysi‐ ske personer, der anmoder om at få udstedt NemID med of‐ fentlig digital signatur til fysiske personer. § 3. Forvaltningsloven finder anvendelse på afgørelser, som træffes af den private virksomhed, der er udpeget i medfør af § 1, stk. 1, og af registreringsenheder, jf. § 2. § 4. Fysiske personer, der er fyldt 15 år og har et person‐ nummer, kan anmode om at få udstedt NemID med offentlig digital signatur til fysiske personer efter de regler, der fast‐ sættes i medfør af § 1, stk. 2. Stk. 2. Juridiske enheder, der har et CVR-nummer, kan anmode om at få udstedt NemID til medarbejdere i juridiske enheder efter de regler, der fastsættes i medfør af § 1, stk. 2. § 5. Klage over en afgørelse truffet af den private virk‐ somhed, der er udpeget i medfør af § 1, stk. 1, eller af en re‐ gistreringsenhed, jf. § 2, efter regler fastsat i medfør af § 1, stk. 2, kan indbringes for Digitaliseringsstyrelsen. Stk. 2. Digitaliseringsstyrelsen kan af den private virk‐ somhed, der er udpeget i medfør af § 1, stk. 1, og af registre‐ ringsenheder, jf. § 2, kræve enhver oplysning, der er af be‐ tydning for klagebehandlingen. Stk. 3. Digitaliseringsstyrelsens afgørelser efter stk. 1 kan ikke påklages til anden administrativ myndighed. § 6. Loven træder i kraft den 1. juli 2018. § 7. Loven gælder ikke for Grønland og Færøerne, men kan ved kongelig anordning helt eller delvist sættes i kraft for Grønland med de ændringer, som de grønlandske for‐ hold tilsiger. Lovforslag nr. L 00 Folketinget 2017-18 Digitaliseringsstyrelsen, j.nr. 2017-2469 AE002525 Social-, Indenrigs- og Børneudvalget 2017-18 L 150 Bilag 2 Offentligt Bemærkninger til lovforslaget Almindelige bemærkninger Indholdsfortegnelse 1. Lovforslagets formål og baggrund 2. Lovforslagets hovedindhold 2.1. Administration og udstedelse af NemID samt mulighed for at klage 2.1.1. Gældende ret 2.1.2. Finansministeriets overvejelser og lovforslagets indhold 3. Økonomiske og administrative konsekvenser for det offentlige 4. Økonomiske og administrative konsekvenser for erhvervslivet mv. 5. Administrative konsekvenser for borgerne 6. Miljømæssige konsekvenser 7. Forholdet til EU-retten 8. Hørte myndigheder og organisationer mv. 9. Sammenfattende skema 1. Lovforslagets formål og baggrund NemID med offentlig digital signatur til fysiske personer samt NemID til medarbejdere i juridiske enheder (NemID) er blevet udbredt til det meste af befolkningen og til stort set alle virksomheder, offentlige myndigheder, frivillige for‐ eninger mv. med et CVR-nummer. NemID har med tiden få‐ et en mere betydelig og central rolle, end det var tilfældet, da der i 2008 blev indgået kontrakt med Nets DanID A/S om administration og udstedelse af NemID. På mange of‐ fentlige digitale serviceområder forudsættes det nu, at bor‐ gerne, virksomheder, offentlige myndigheder, frivillige for‐ eninger mv. har og anvender NemID. Dette gælder blandt andet, når en borger eller virksomhed skal have adgang til at læse Digital Post fra offentlige afsendere, og når en borger eller virksomhed skal anvende offentlige digitale selvbetje‐ ningsløsninger. Den øgede digitalisering af den offentlige forvaltning og den centrale rolle, som NemID spiller i den forbindelse, har medført et stigende behov for at sikre klare juridiske ram‐ mer for borgernes og virksomhedernes pligter og rettigheder i forhold til NemID. Folketingets Ombudsmand har ligele‐ des givet udtryk for, at lovgrundlaget for forvaltningen af NemID og for borgernes mulighed for at klage over afslag på at få udstedt NemID, bør være klart med henblik på at sikre borgernes retsstilling. På baggrund af ovenstående er det vurderingen, at tiden er inde til at sikre en klar lovgivningsmæssig ramme for pligter og rettigheder i forbindelse med administration og udstedel‐ se af NemID. Dette skal styrke retssikkerheden på området og særligt sikre, at borgere og virksomheder har en tydelig adgang til at klage, hvis de ikke kan få udstedt NemID, hvis NemID bliver spærret og lignende tilfælde. Formålet med loven er derfor at tydeliggøre borgernes og virksomhedernes retsstilling, herunder klagemuligheder, samt at fastslå ved lov, at det er en myndighedsopgave og et myndighedsansvar at sikre udstedelse af NemID. Der etableres lovhjemmel til, at ministeren for offentlig innovation udpeger en privat virksomhed som udsteder af NemID. Ministeren for offentlig innovation delegerer der‐ med opgaven med at administrere og træffe afgørelse om udstedelse af NemID til en privat virksomhed, der som ud‐ steder kan træffe afgørelse om udstedelse af NemID og om afslag på udstedelse eller genåbning af NemID. Det tydelig‐ gøres med loven, at udstederen af NemID er udpeget af mi‐ nisteren for offentlig innovation til at varetage opgaven på statens vegne. Det fastsættes, at ministeren for offentlig innovation kan udpege juridiske enheder til som registreringsenheder at va‐ retage opgaven med at træffe afgørelse om at udstede Nem‐ ID, hvorved registreringsenhederne kan træffe forvaltnings‐ afgørelser på vegne af ministeren for offentlig innovation. Der indføres lovhjemmel til, at ministeren for offentlig in‐ novation kan fastsætte de regler, som borgere, virksomhe‐ der, offentlige myndigheder, frivillige foreninger mv. samt disses medarbejdere skal opfylde for at få udstedt NemID. Samtidig fastsættes det ved lov, at borgere og virksomheder, offentlige myndigheder, frivillige foreninger mv., der ek‐ sempelvis har fået afslag på at få udstedt eller genåbnet NemID eller har fået spærret NemID, vil kunne klage over denne afgørelse til Digitaliseringsstyrelsen. Det er hensigten at videreføre hvad, der allerede gælder i dag i medfør af den kontrakt, som er indgået med Nets Dan‐ ID A/S, og som efter aftale med Digitaliseringsstyrelsen i ja‐ nuar 2018 er forlænget til 2021. Kontrakten om administra‐ tion og udstedelse af NemID er udformet og fastsat af Digi‐ taliseringsstyrelsen i de såkaldte OCES-certifikatpolitikker for henholdsvis person- og medarbejdercertifikater. Lovfor‐ slaget har ikke til hensigt at ændre på dette. Lovforslaget omfatter NemID med offentlig digital signa‐ tur til fysiske personer, som er det NemID, som privatperso‐ ner, også benævnt borgere, kan få udstedt online på hjem‐ mesiden nemid.nu, hos en registreringsenhed i et pengeinsti‐ tut eller ved personligt fremmøde hos en registreringsenhed i en kommunes borgerservicecenter. Der er tale om en of‐ fentlig digital signatur baseret på et OCES-personcertifikat. 2 En fysisk person kan få stillet én NemID til fysiske personer gratis til rådighed. Lovforsalget omfatter desuden NemID med offentlig digi‐ tal signatur til medarbejdere i juridiske enheder, også be‐ nævnt NemID medarbejdersignatur, som er det NemID, som en juridisk enhed med et CVR-nummer, herunder en virk‐ somhed, en offentlig myndighed, en frivillig forening m.fl. kan få udstedt til konkrete medarbejdere til at legitimere sig på den juridiske enheds vegne. Et sådan NemID kan alene udstedes online på hjemmesiden medarbejdersignatur.dk. Der er tale om en offentlig digital signatur baseret på et OCES-medarbejdercertifikat. En juridisk enhed kan få stillet tre NemID til medarbejdere i juridiske enheder gratis til rå‐ dighed. Der eksisterer pt. ikke andre udstedere af OCES-person‐ certifikater til borgere og OCES-medarbejdercertifikater til medarbejdere end Nets DanID A/S. Det er heller ikke hen‐ sigten, at der skal udpeges andre udstedere, der omfattes af loven. Derfor omfatter lovforslaget alene NemID til fysiske personer og til medarbejdere i juridiske enheder, og den al‐ lerede udpegede udsteder heraf. Pengeinstitutter udsteder tillige NemID til netbank til fysi‐ ske personer, der adskiller sig fra NemID med offentlig digi‐ tal signatur til fysiske personer. NemID til netbank udstedes til bankkunder og er alene til brug i netbank. NemID til net‐ bank indeholder ikke offentlig digital signatur og giver der‐ for ikke adgang til offentlige tjenester. NemID til netbank og udstedelse heraf er ikke omfattet af lovforslaget. Penge‐ institutternes registreringsenheder vil dog være omfattet af lovforslaget, i det omfang de foretager registrering med hen‐ blik på udstedelse af NemID med offentlig digital signatur til fysiske personer i lighed med registreringsenhederne i kommunerne. Lovforslaget udelukker ikke, at andre udvikler og udsteder andre eID- eller signaturløsninger på markedsvilkår. Loven udelukker desuden ikke, at andre EU-landes anmeldte eID efter eIDAS-forordningen (Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektro‐ nisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af di‐ rektiv 1999/93/EF) kan anvendes til at tilgå offentlige myn‐ digheders hjemmesider og selvbetjeningsløsninger i Dan‐ mark. Staten ejer og har tillige udviklet øvrige certifikatpolitik‐ ker for henholdsvis virksomheds- og funktionscertifikater. Disse certifikater adskiller sig fra NemID med offentlig di‐ gital signatur til fysiske personer og til medarbejdere i juri‐ diske enheder og er ikke omfattet af lovforslaget. 2. Lovforslagets hovedindhold 2.1. Administration og udstedelse af NemID samt mulighed for at klage 2.1.1. Gældende ret En digital signatur er en elektronisk underskrift, som blandt andet kan bruges, når det er væsentligt at vide, hvem man kommunikerer med elektronisk. NemID med offentlig digital signatur til fysiske personer og NemID til medarbej‐ dere i juridiske enheder (NemID) er ikke lovreguleret. Udvikling og udstedelse af NemID er en opgave, som stat, kommuner og regioner har finansieret for at fremme digitali‐ sering af den offentlige forvaltning. Administration og udstedelse af NemID, betingelserne for at få udstedt NemID samt borgerens og virksomhedernes mulighed for at klage ved afslag på at få udstedt eller genåb‐ net NemID følger i dag af certifikatpolitik for OCES-per‐ soncertifikater og af certifikatpolitik for OCES-medarbej‐ dercertifikater, og aftaler indgået mellem Nets DanID A/S og registreringsenhederne henholdsvis mellem Nets DanID A/S og den enkelte borger eller virksomhed, der har fået ud‐ stedt NemID. På en lang række områder stiller offentlige myndigheder krav om, at borgere og virksomheder anvender NemID, når de skal tilgå offentlige digitale løsninger. I lov om Digital Post fra offentlige afsendere, jf. lovbe‐ kendtgørelse nr. 801 af 13. juni 2016, er det fastsat, at fysi‐ ske personer, der er 15 år eller derover, og som har bopæl eller fast ophold i Danmark, obligatorisk skal tilsluttes Digi‐ tal Post. Det er endvidere fastsat, at også juridiske enheder med CVR-nummer skal tilsluttes Digital Post. En forudsæt‐ ning for at kunne tilsluttes og tilgå Digital Post er, at borge‐ ren har NemID med offentlig digital signatur til fysiske per‐ soner, og at den juridiske enhed har NemID til medarbejdere i juridiske enheder til mindst en medarbejdere. Der er indført obligatorisk digital selvbetjening på en lang række offentlige serviceområder. Der er overvejende taget udgangspunkt i det bølgelovs-koncept, som blev indført som led i udmøntning af den fællesoffentlige digitaliseringsstra‐ tegi (2011-2015) ved de fire samlelove om overgang til obli‐ gatorisk digital selvbetjening; lov nr. 558 af 18. juni 2012 (bølge 1), lov nr. 622 af 12. juni 2013 (bølge 2), lov nr. 552 af 2. juni 2014 (bølge 3) og lov nr. 742 af 1. juni 2015 (bøl‐ ge 4). De fire samlelove indføjer i de fagspecifikke love stort set enslydende bestemmelser om, at de borgere, der kan, skal anvende digital selvbetjening, når borgeren skal ansøge, anmelde eller anmode mv. om det konkrete forhold, som loven på det pågældende område omhandler. Når en borger skal tilgå en offentlig myndigheds digitale selvbetje‐ ningsløsning, vil det oftest forudsætte anvendelse af NemID. Tilsvarende er der på en lang række områder indført obliga‐ torisk digital selvbetjening for virksomheder. Dette gælder eksempelvis på Erhvervsministeriets område, hvor blandt andet portalen Virk.dk skal tilgås med NemID til medarbej‐ dere i juridiske enheder. 3 Det daværende IT- og Telestyrelsen, nu Digitaliserings‐ styrelsen, har udarbejdet fire OCES-certifikatpolitikker for henholdsvis person-, medarbejder-, virksomheds- og funkti‐ onscertifikater. OCES er betegnelsen for Offentlige Certifi‐ kater til Elektronisk Service. OCES-certifikatpolitikkerne administreres af Digitaliseringsstyrelsen. Certifikatpolitik‐ ken for OCES-personcertifikater og OCES-medarbejdercer‐ tifikater udgør i dag grundlaget for udstedelse af NemID til borgere og medarbejdere og er senest opdateret til version 5 for OCES-personcertifikat og til version 6 for OCES-medar‐ bejdercertifikat af den 2. marts 2017. OCES-certifikatpoli‐ tikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk. Elektroniske signaturer er reguleret af Europa-Parlamen‐ tets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophæ‐ velse af direktiv 1999/93/EF (eIDAS-forordningen) samt lov nr. 617 af 8. juni 2016 om supplerende bestemmelser til for‐ ordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked. Nets DanID A/S blev i 2008 udpeget af den daværende minister for videnskab, teknologi og udvikling, som udste‐ der af NemID på baggrund af et EU-udbud. Daværende IT- og Telestyrelsen, nu Digitaliseringsstyrelsen, har indgået en kontrakt med Nets DanID A/S i form af en OCES-standard‐ aftale, hvori Nets DanID A/S blandt andet forpligter sig til at opfylde kravene i certifikatpolitikken for OCES-person‐ certifikater og for OCES-medarbejdercertifikater herunder at være underlagt Digitaliseringsstyrelsens tilsyn baseret på ekstern statsautoriseret revision. Certifikatpolitikken for OCES-personcertifikater og OCES-medarbejdercertifikater stiller krav til, hvordan og under hvilke vilkår Nets DanID A/S, som udsteder, skal udføre opgaven med administration og udstedelse af NemID på vegne af staten. Digitaliseringsstyrelsen har registreret sin eneret til at be‐ nytte betegnelserne OCES og OCES-OID til brug for udste‐ delse af certifikater til offentlig digital signatur. Nets DanID A/S har via udpegningen ret til at benytte betegnelserne OCES og OCES-OID for de udstedte certifikater, der benyt‐ tes i NemID med offentlig digital signatur. Dette er et bevis over for offentligheden på, at NemID, som Nets Dan ID A/S udsteder, opfylder en række krav, som Digitaliseringsstyrel‐ sen har opstillet og fører tilsyn med. Dette med henblik på sikker brug og administration af digitale signaturer. Den udpegede private virksomhed bliver i den eksisteren‐ de aftalebaserede tilgang betragtet som dataansvarlig i data‐ beskyttelsesretlig forstand i forhold til administration af NemID-løsningen, og skal således blandt andet leve op til en række forpligtelser over for den registrerede, der følger af den til enhver tid gældende databeskyttelsesretlige regule‐ ring. Administration, registrering og udstedelse af NemID kan ifølge certifikatpolitikken for OCES-personcertifikater vare‐ tages af Nets DanID A/S selv eller af en selvstændig regi‐ streringsenhed ved delegation. Nets DanID A/S har det praktiske og forretningsmæssige ansvar for udstedelsespro‐ cessen, herunder validering af borgerens identitet. For at bli‐ ve registreringsenhed indgås en aftale med Nets DanID A/S. Nets DanID A/S har indgået bilaterale aftaler med de en‐ kelte kommuner om at udstede NemID til borgere ved fysisk fremmøde. Dette er led i den fællesoffentlige aftale om ud‐ bredelse og anvendelse af NemID (eDag 1-3). Derfor er en række af kommunernes borgerservicecentre udpeget som selvstændige registreringsenheder, hvor betroede registre‐ ringsmedarbejdere udsteder NemID til borgere, der møder fysisk frem. Dette gælder eksempelvis borgere, der hverken har kørekort eller pas, og som derfor ikke kan anmode om NemID digitalt. Der foreligger således dels en aftale mellem Digitaliseringsstyrelsen og KL, dels bilaterale aftaler mel‐ lem Nets DanID A/S og hver enkelt kommune, der udsteder NemID. Ud over kommunerne har en række pengeinstitutter i Dan‐ mark indgået lignende bilaterale aftaler med Nets DanID A/S om, som registreringsenheder, at udstede NemID med offentlig digital signatur til fysiske personer. Hertil kommer Kriminalforsorgen, der kan agere registreringsenhed i for‐ hold til indsatte i fængslerne og lignende. Aftalerne med registreringsenhederne indeholder kommu‐ nernes og pengeinstitutternes accept af, at de i deres egen‐ skab af registreringsenhed for Nets DanID A/S skal overhol‐ de de betingelser og udstedelsesprocesser, som er udstukket af Nets DanID A/S, og at de er underlagt revision fra Nets DanID A/S. Registreringsenhedernes administration og udstedelse af NemID er nøje beskrevet i bilaterale standardiserede aftaler mellem den enkelte kommune og Nets DanID A/S. Aftaler‐ ne indeholder tillige instrukser, arbejdsgangsbeskrivelser mv., kriterier for, hvornår der kan udstedes NemID til en borger, en udførlig og detaljeret beskrivelse af rammerne for udstedelsesproceduren og arbejdsgange for udstedelse af NemID. Disse instrukser støtter medarbejderne i deres kon‐ krete vurdering af, hvorvidt en borger opfylder betingelserne for at få udstedt NemID. Aftalerne med registreringsenhederne indeholder bestem‐ melser for revision, uddannelse og teknisk understøttelse. Nets DanID A/S stiller derefter deres registrering- og ud‐ stedelsesmodul til rådighed og uddanner medarbejderne fra registreringsenheden til at kunne udstede NemID. Certifikatpolitikken for OCES-medarbejdercertifikater in‐ deholder ikke tilsvarende mulighed for udstedelse af NemID hos en registreringsenhed. En juridisk enhed, der har et CVR-nummer, vil altid skulle indgå en aftale om udstedelse med Nets DanID A/S og udpege en administrator, der på vegne af den juridiske enhed anmoder om udstedelse af NemID til medarbejdere i juridiske enheder digitalt på hjem‐ mesiden medarbejdersignatur.dk. Rammerne for udstedelse af NemID er fastsat i certifikat‐ politik for OCES-personcertifikater og for OCES-medarbej‐ dercertifikater. NemID udstedes til en fysisk person, når en fysisk person er blevet identificeret og registreret hos Nets DanID A/S. NemID udstedes til en juridisk enhed, når den juridiske enhed har indgået en aftale med Nets DanID A/S, 4 angivet sit CVR-nummer og udpeget en administrator. Ram‐ merne for udstedelse har særligt fokus på sikkerheden om‐ kring udstedelse og anvendelse af NemID-løsningen med henblik på at skabe troværdighed og tillid omkring løsnin‐ gen og registreringsenhedernes udstedelse af NemID. En fy‐ sisk person, der er fyldt 15 år, har et personnummer og kan legitimere sig fyldestgørende, kan anmode om at få udstedt NemID online på hjemmesiden nemid.nu, hos en registre‐ ringsenhed i et pengeinstitut eller ved personligt fremmøde hos en registreringsenhed i kommunernes borgerservicecen‐ tre. Derudover kan en person, der opfylder ovenstående krav også få udstedt NemID hos en registreringsenhed i Grøn‐ land. En borger med et administrativt personnummer kan alene få udstedt NemID ved personligt fremmøde hos en re‐ gistreringsenhed. I forbindelse med udstedelse af NemID fremgår det af cer‐ tifikatpolitikken, at borgeren henholdsvis den juridiske en‐ hed og hver medarbejder, der skal have NemID, skal accep‐ tere de vilkår, der gælder for NemID, som er udformet af Nets DanID A/S og godkendt af Digitaliseringsstyrelsen. Vilkårene for NemID fastslår, hvordan borgeren henholds‐ vis den juridiske enhed og medarbejdere skal håndtere Nem‐ ID. Vilkårene for NemID er udarbejdet på baggrund af kra‐ vene i certifikatpolitik for OCES-personcertifikater og certi‐ fikatpolitik for OCES-medarbejdercertifikater og betegnes som »NemID-regler«. Vilkårene bliver løbende revideret af Digitaliseringsstyrelsen efter høring af Nets DanID A/S for at sikre en tilstrækkelig høj sikkerhed og troværdighed for løsningen. Det er afgørende for sikkerheden, troværdighe‐ den og tilliden omkring NemID, at der ikke udstedes NemID til borgere, som kognitivt ikke er i stand til at forstå de fast‐ satte vilkår og at håndtere nøglekort og NemID korrekt. Ved borgerens fysiske fremmøde i borgerservice foretager bor‐ gerservicemedarbejderen i sin egenskab af registreringsen‐ hed en vurdering af, om en borger kan opfylde kravene til udstedelse af NemID. På denne baggrund træffer registre‐ ringsenheden afgørelse om at udstede NemID eller at afslå at udstede NemID til borgeren. For juridiske enheder udpe‐ ges der en administrator, som anviser de medarbejdere, der skal udstedes NemID til. Administratoren står inde for, at de anviste medarbejdere er tilknyttet den juridiske enhed. Digitaliseringsstyrelsen har ansvaret for kontrakten med Nets DanID A/S, for certifikatpolitikken for OCES-person‐ certifikater, for certifikatpolitikken for OCES-medarbejder‐ certifikater og for tilsynet med Nets DanID A/S. Tilsynet med Nets DanID A/S består ifølge certifikatpolitikken for OCES-personcertifikater og for OCES-medarbejdercertifi‐ kater af en årlig rapport, som skal udfærdiges af Nets DanID A/S og godkendes af Digitaliseringsstyrelsen. Rapporten skal blandt andet indeholde beskrivelse af certificerin‐ gspraksis, revisionsprotokol for systemrevisionen, en erklæ‐ ring om, hvorvidt den samlede data-, system- og driftssik‐ kerhed må anses for betryggende, en erklæring fra systemre‐ visor om, hvorvidt den samlede data-, system- og driftssik‐ kerhed efter systemrevisors opfattelse må anses for betryg‐ gende, samt af at certificeringspraksis opfyldes og doku‐ mentation for ansvarsforsikring, der dækker Nets DanID A/S’ ansvar. Systemrevisionen skal gennemføres af en ekstern statsau‐ toriseret revisor. Systemrevisionen indeholder revision af generelle it-kontroller, it-baserede brugersystemer mv. til generering af nøgler og nøglekomponenter samt registre‐ ring, udstedelse, verificering, opbevaring og spærring af cer‐ tifikater og it-systemer til udveksling af data med andre samt en sårbarhedsvurdering af logningsprocedure. Når en registreringsenhed træffer afgørelse om at give afslag på at udstede NemID til en borger, sker det på baggrund af den aftale, som registreringsenheden har indgået med Nets Dan‐ ID A/S, om at sikre overholdelse af krav til udstedelse af NemID. En borger skal i forbindelse med et afslag på at få udstedt eller genåbnet NemID oplyses om grunden til afslaget og muligheden for at klage. Et afslag gives typisk mundtligt. Ved afslag på udstedelse af NemID har borgeren på et sene‐ re tidspunkt mulighed for at indgive en ny anmodning om udstedelse af NemID eksempelvis med de rigtige legitimati‐ onsdokumenter eller et eventuelt vitterlighedsvidne. Endvi‐ dere er der mulighed for, at borgeren kan benytte en tolk. Såvel en borger som en juridisk enhed, der digitalt anmo‐ der om NemID, skal vejledes om reglerne. Digitaliseringsstyrelsen har som ressortansvarlig myndig‐ hed aftalt med Nets DanID A/S, at klager over afgørelser truffet af Nets DanID A/S og registreringsenhederne kan vi‐ deresendes til Digitaliseringsstyrelsen. Digitaliseringsstyrel‐ sen behandler således i dag, som ansvarlig for certifikatpoli‐ tikken for OCES-personcertifikater og certifikatpolitikken for OCES-medarbejdercertifikater og kontrakten med Nets DanID A/S, klager i relation til NemID, herunder blandt an‐ det klager over spærring og afslag på at få udstedt eller gen‐ åbnet NemID. Digitaliseringsstyrelsen kan i konkrete sager rette henven‐ delse til en registreringsenhed eller Nets DanID A/S med henblik på at få klarlagt fakta i en klagesag. Når Digitaliseringsstyrelsen har behandlet en klage fra en borger eller en juridisk enhed, får klageren et skriftligt svar på henvendelsen. 2.1.2. Finansministeriets overvejelser og lovforslagets indhold På baggrund af den øgede digitalisering og den meget centrale rolle, som NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder (NemID) spiller i den forbindelse, har Finansministeriet lø‐ bende overvejet, hvorvidt der bør lovgives om administra‐ tion og udstedelse af NemID til borgere og juridiske enhe‐ der, herunder om borgerens og virksomhedernes rettigheder og klageadgang. Udbredelsen og anvendelsen af NemID har blandt andet med krav om tilslutning til Digital Post fra offentlige afsen‐ dere og krav om anvendelse af offentlige myndigheders di‐ gitale selvbetjeningsløsninger bevæget sig mod en mere be‐ tydelig og central rolle, end det oprindelige udgangspunkt, 5 da Nets DanID A/S blev udpeget i 2008. NemID udgør nu en væsentlig infrastrukturkomponent. Det er således nød‐ vendigt at have NemID for at kunne tilgå Digital Post og for at kunne betjene sig selv på de mange offentlige digitale selvbetjeningsløsninger, herunder borger.dk og Virk.dk. Den hastige udvikling i den offentlige digitalisering har be‐ tydet, at udbredelsen og anvendelsen af NemID har et sådan omfang og betydning, at NemID er væsentlig for borgeres og virksomheders adgang til den offentlige forvaltning og for mulighed for at være borger henholdsvis virksomhed i det digitale Danmark. Folketingets Ombudsmand har i sin redegørelse 2017-19 af 15. juni 2017 »Forvaltningen af NemID gav anledning til spørgsmål om tilstrækkelig lovhjemmel m.v.« blandt andet udtalt, at NemID fra at være et frivilligt tilbud til borgere, der ønskede at tilmelde sig ordningen, og som fra starten kun indgik i forholdsvis få offentlige digitale løsninger, er blevet en integreret del af en lang række obligatoriske of‐ fentlige digitale løsninger. Det fremgår videre, at NemID så‐ ledes er gået fra at være et tilbud om, at borgere, som ønske‐ de det, i visse tilfælde kunne betjene sig af digitale løsnin‐ ger, til at være praktisk talt afgørende for, at borgerne kan opnå en tidssvarende betjening i forhold til store dele af det offentlige. Dette gælder både for offentlig servicevirksom‐ hed (faktisk forvaltningsvirksomhed) og for offentlig afgø‐ relsesvirksomhed. Folketingets Ombudsmand har peget på behovet for at tydeliggøre, hvorvidt den opgavevaretagelse, som Nets DanID A/S henholdsvis registreringsenhederne varetager, er afgørelsesvirksomhed eller anden form for myndighedsudøvelse. Der skal tillige sikres hjemmel til at delegere opgaven til Nets DanID A/S henholdsvis registre‐ ringsenhederne. Det er på denne baggrund Finansministeriets vurdering, at der bør være klarhed omkring myndighedsansvar og borge‐ rens retsstilling i forbindelse med udstedelse af NemID. Til‐ svarende gør sig gældende for juridiske enheders mulighed for at få udstedt NemID medarbejdersignatur. Formålet med loven er derfor at tydeliggøre borgernes og virksomhedernes retsstilling, herunder klagemuligheder, samt at fastslå ved lov, at det er en myndighedsopgave og et myndighedsansvar at sikre udstedelse af NemID. Det er Finansministeriets vurdering, at det bør tydeliggø‐ res, at en udpeget udsteder, som i dag er den private virk‐ somhed Nets DanID A/S, og registreringsenhederne, vareta‐ ger en myndighedsopgave og træffer en forvaltningsretlig afgørelse, når de udsteder NemID til en borger eller en med‐ arbejder i en juridisk enhed, giver afslag på at udstede eller genåbne NemID, og når de spærrer NemID. Det har den be‐ tydning, at de almindelige forvaltningsretlige regler, herun‐ der forvaltningsloven, og forvaltningsretlige grundsætninger vil finde anvendelse i sådanne afgørelsessager. Med lovforslaget er det hensigten at fastslå, at ministeren for offentlig innovation (i praksis Digitaliseringsstyrelsen) har ansvaret for at udpege en udsteder, der skal udføre opga‐ ven med at administrere og udstede NemID til borgere og medarbejdere i juridiske enheder. Nets DanID A/S er allere‐ de udpeget og vil derfor agere udsteder i perioden frem til den gældende kontrakt udløber eventuelt efter forlængelse, hvor overgangen til den kommende nationale eID- og auten‐ tifikationsløsning, MitID, forventes gennemført. Det tydeliggøres med loven, at udstederen af NemID er udpeget af ministeren for offentlig innovation til at varetage opgaven på statens vegne. Dermed er opgaven med at admi‐ nistrere og udstede NemID delegeret til en privat udsteder, der kan træffe afgørelse om udstedelse af NemID og give af‐ slag på udstedelse og genåbning af NemID. Der henvises til lovforslagets § 1, stk. 1. For at imødekomme tvivl indsættes en særskilt bestem‐ melse i loven om, at forvaltningsloven, jf. lovbekendtgørelse nr. 433 af 22. april 2014, gælder, når udsteder henholdsvis registreringsenhederne træffer afgørelse. Herved tydeliggøres det, at administration og udstedelse af NemID skal ske efter forvaltningsretlige regler og prin‐ cipper. En borger eller en virksomhed, der eksempelvis får afslag på at få udstedt NemID, skal derfor blandt andet have en begrundelse og en klagevejledning samt eventuelt en skriftlig afgørelse. Der henvises til lovforslagets § 3. Det følger af § 5 i lov nr. 606 af 12. juni 2013 om offent‐ lighed i forvaltningen, at offentlighedsloven finder anven‐ delse på eksempelvis private virksomheder og juridiske en‐ heder, der ved lov har fået tillagt beføjelse til at træffe afgø‐ relser på statens vegne. Der indføres hjemmel til, at ministeren for offentlig inno‐ vation kan fastsætte de regler og vilkår, som en borger hen‐ holdsvis en juridisk enhed skal opfylde for at få udstedt NemID, og som borgeren og den juridisk enheds medarbej‐ der løbende skal overholde for at have adgang til at anvende NemID. Det er hensigten, at der fastsættes regler, der vide‐ refører den gældende tilgang i forbindelse med udstedelse, spærring og håndtering af NemID. Den gældende tilgang fremgår blandt andet af punkt 6.2 i certifikatpolitik for OCES-personcertifikater og for OCES- medarbejdercertifikater. Det forudsættes i forbindelse med udstedelsen af regler med hjemmel i lovforslagets § 1, stk. 2, at de krav, der fast‐ sættes, og som borgere samt juridiske enheder og deres medarbejdere skal opfylde for at få udstedt NemID, følger de til enhver tid gældende krav, som fremgår af certifikatpo‐ litik for OCES-personcertifikater og af OCES-certifikatpoli‐ tik for medarbejdercertifikater. Med fastsættelse af regler skal det blive klart for borgerne og juridiske enheder, i hvilke tilfælde de kan forvente at kunne få NemID, og hvad der skal til for, at de løbende har adgang til at anvende NemID. Det er ikke hensigten at ændre på de gældende krav og vilkår, som en borger henholdsvis en juridisk enhed og dens medarbejdere skal opfylde for at få udstedt eller anvende NemID, da det er hensigten at videreføre den eksisterende praksis. Der henvises til lovforslagets § 1, stk. 2. Med lovforslaget slås det fast, at den udpegede udsteder, det vil i dag sige Nets DanID A/S, henholdsvis registrerings‐ enhederne på vegne af ministeren for offentlig innovation 6 skal administrere og udstede NemID efter de regler, som fastsættes i medfør af § 1, stk. 2. Den udpegede udsteder henholdsvis registreringsenhederne vil herudover skulle ad‐ ministrere inden for øvrige relevante regler, herunder for‐ valtningsloven og den til enhver tid gældende databeskyttel‐ sesretlige regulering. Det fastsættes, at ministeren for offentlig innovation kan overlade opgaven med at træffe afgørelse om at udstede NemID til juridiske enheder (såkaldte registreringsenheder), hvorved disse kan træffe forvaltningsafgørelser. Begrebet »juridisk enhed« skal forstås i overensstemmelse med an‐ vendelsen af begrebet i lov om Det Centrale Virksomhedsre‐ gister, jf. lovbekendtgørelse nr. 653 af 15. juni 2006 med se‐ nere ændringer, hvoraf det fremgår af § 3, at en juridisk en‐ hed kan være 1) en fysisk person i dennes egenskab af ar‐ bejdsgiver eller selvstændigt erhvervsdrivende, 2) en jurid‐ isk person eller filial af en udenlandsk juridisk person, 3) en statslig administrativ enhed, 4) en region, 5) en kommune eller 6) et kommunalt fællesskab. Det sikres samtidig, at lo‐ ven anvender samme begreb, som anvendes i OCES-person‐ certifikatpolitikken. Der henvises til lovforslagets § 2. Det fastsættes direkte i loven, at en fysisk person, der er fyldt 15 år og har et personnummer, kan anmode om at få udstedt NemID. Udsteder henholdsvis registreringsenheden skal forinden sikre, at borgeren legitimerer sig fyldestgøren‐ de. Det fastsættes endvidere direkte i loven, at en juridisk enhed med CVR-nummer, eksempelvis en virksomhed en offentlig myndighed, en frivillig forening mv., der har ind‐ gået aftale med Nets DanID A/S og har udpeget en admini‐ strator, kan anmode om at få udstedt NemID til en eller flere medarbejdere. De nærmere betingelser for at få udstedt NemID vil blive fastsat i medfør af § 1, stk. 2. For at sikre, at borgere og juridiske enheder, der får afslag på at få udstedt NemID, har mulighed for at klage over det‐ te, fastsættes det i loven, at et afslag på at få udstedt NemID kan påklages til Digitaliseringsstyrelsen. Denne klagead‐ gang gælder uanset, om afgørelsen er truffet af den udpege‐ de udsteder eller af en registreringsenhed, som er udpeget i henhold til lovforslagets § 2. Det understreges samtidig, at administrationen er henlagt under Digitaliseringsstyrelsen som ansvarlig myndighed på området. Det vil endvidere væ‐ re muligt at indbringe klager over afgørelser om afslag på genåbning af NemID samt afgørelse om spærring af NemID, manglende mulighed for fornyelse og lignende, hvor eksem‐ pelvis en registreringsenhed, som led i behandlingen af en anmodning om at få udstedt NemID, træffer en konkret for‐ valtningsretlig afgørelse i forhold til en borger. Der henvises til lovforslagets § 5, stk. 1. Digitaliseringsstyrelsen vil som hidtil føre tilsyn med NemID gennem de bestemmelser, der fremgår af OCES-cer‐ tifikatpolitikkerne. Med lovforslaget er det ikke hensigten at ændre på den tilsynsopgave, som Digitaliseringsstyrelsen al‐ lerede har med Nets DanID A/S som udsteder af NemID, jf. beskrivelsen oven for i afsnit 2.1.1. Lovforslaget finder ikke anvendelse på forhold omfattet af lov nr. 617 af 8. juni 2016 om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked. Digitaliseringsstyrelsen er udpeget som tilsynsorgan, og fi‐ nansministeren (nu ministeren for offentlig innovation) er bemyndiget til at fastsætte nærmere regler om tilsynet. Til‐ syn med national autentifikation er ikke reguleret i eIDAS- forordningen (Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifi‐ kation og tillidstjenester til brug for elektroniske transaktio‐ ner på det indre marked og om ophævelse af direktiv 1999/93/EF). Det forudsættes imidlertid i forordningen, at der er et nationalt tilsyn, idet det følger af forordningen, at en medlemsstat skal redegøre for det tilsyn, der føres med en autentifikationsløsning, såfremt den anmeldes til Kom‐ missionen. NemID-løsningen integrerer autentifikation og signering i den samme løsning, hvorved det etablerede tilsyn fører tilsyn med såvel signeringsdelen som autentifikations‐ delen. Lovforslaget vedrører alene det eksisterende NemID til fysiske personer og til juridiske enheder og deres medar‐ bejdere. Nets DanID A/S’ ret til at udstede NemID udløber forven‐ teligt i 2021. Digitaliseringsstyrelsen forbereder et EU-ud‐ bud af den kommende nationale eID- og autentifikationsløs‐ ning; MitID. Digitaliseringsstyrelsen har indgået et samar‐ bejde med pengeinstitutterne repræsenteret ved Finans Dan‐ mark via selskabet FR1 af 16. september 2015 A/S om dette EU-udbud. Det kommende MitID vil ikke være omfattet af lovforslaget, hvorfor det er hensigten at ophæve loven, når Nets DanID A/S’ ret til at udstede NemID udløber. Digitali‐ seringsstyrelsen igangsætter forud for ibrugtagelsen af Mit‐ ID et arbejde med at undersøge behovet for en mere generel regulering af nationale eID-løsninger, herunder MitID, og visse andre offentlige digitale infrastrukturløsninger mv. 3. Økonomiske og administrative konsekvenser for det offentlige Det vurderes, at lovforslaget ikke har økonomiske konse‐ kvenser for det offentlige. Lovforslaget har alene mindre ad‐ ministrative konsekvenser for det offentlige. Der er tale om en videreførelse af det, der allerede følger af gældende OCES-certifikatpolitikker, som Digitaliserings‐ styrelsen har udarbejdet, og som Nets DanID A/S udsteder NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder (NemID) efter. Der er tillige tale om en videreførelse af en administration, der alle‐ rede er etableret ved privat aftaleindgåelse dels mellem Di‐ gitaliseringsstyrelsen og Nets DanID A/S og dels mellem Digitaliseringsstyrelsen og KL samt Nets DanID A/S og re‐ gistreringsenhederne i de enkelte kommuner og pengeinsti‐ tutter, hvor registreringsenhederne udsteder NemID til bor‐ gere, der opfylder, de fastsatte vilkår. Med lovforslaget fastslås det, at borgere og juridiske en‐ heder kan klage til Digitaliseringsstyrelsen. Digitaliserings‐ styrelsen vil med lovforslaget skulle behandle klager og træffe afgørelse, hvis en borger klager over, at NemID er blevet spærret eller at have fået afslag på at få udstedt eller åbnet for et spærret NemID. Nets DanID A/S har overfor Digitaliseringsstyrelsen oplyst, at de erfaringsmæssigt mod‐ 7 tager mellem 20-25 klager om året med relation til udstedel‐ se, spærring og genåbning af NemID. Hovedparten af disse håndteres ved simpel information samt oplysning om, at der kan klages til Digitaliseringsstyrelsen. Digitaliseringsstyrel‐ sen modtager cirka 10 klager om året. Det er vurderingen, at bestemmelsen om klageadgang til Digitaliseringsstyrelsen ikke medfører mere administration i form af flere klager, hverken i den enkelte registreringsenhed eller i Digitalise‐ ringsstyrelsen. Det er vurderingen, at antallet af klager vil være på niveau med det nuværende, og at det vil kunne af‐ holdes indenfor Digitaliseringsstyrelsens eksisterende ram‐ me. Det vurderes, at ændringer i eksisterende aftaler mellem Nets DanID A/S og registreringsenhederne samt ændring af vilkår i forhold til borgere og virksomheder har visse økono‐ miske konsekvenser. Det vurderes, at der er tale om ikke væsentlige økonomiske konsekvenser. 4. Økonomiske og administrative konsekvenser for er‐ hvervslivet mv. Lovforslaget har ingen økonomiske eller administrative konsekvenser for erhvervslivet. Et udkast til lovforslaget har været forelagt Erhvervssty‐ relsens Team Effektiv Regulering (TER), der vurderer, at lo‐ ven ikke medfører administrative konsekvenser for er‐ hvervslivet. Det vurderes, at lovforslaget giver virksomhederne en me‐ re klar retsstilling og sikrer, at virksomheder kan klage til Digitaliseringsstyrelsen over afslag på at få udstedt NemID mv. Det er fastsat, at Digitaliseringsstyrelsens afgørelser ik‐ ke kan indbringes for anden administrativ myndighed, hvil‐ ket kan anses som en vis begrænsning i virksomhedernes administrative muligheder. 5. Administrative konsekvenser for borgerne Det vurderes, at lovforslaget giver borgerne en mere klar retsstilling og sikrer, at borgerne kan klage til Digitalise‐ ringsstyrelsen over afslag på at få udstedt NemID mv. Det er fastsat, at Digitaliseringsstyrelsens afgørelser ikke kan ind‐ bringes for anden administrativ myndighed, hvilket kan an‐ ses som en vis begrænsning i borgernes administrative mu‐ ligheder. 6. Miljømæssige konsekvenser Lovforslaget har ingen miljømæssige konsekvenser. 7. Forholdet til EU-retten Lovforslaget indeholder ingen EU-retlige aspekter. Lovforslaget omfatter ikke anerkendelse af elektroniske identifikationsmidler for fysiske og juridiske personer, der er omfattet af en anmeldt elektronisk identifikationsordning i en anden EU-medlemsstat, jf. Europa-Parlamentets og Rå‐ dets forordning (EU) nr. 910/2014 af 23. juli 2014 om elek‐ tronisk identifikation og tillidstjenester til brug for elektroni‐ ske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (eIDAS-forordningen). eIDAS-forord‐ ningen regulerer tilsyn med tillidstjenester, hvorunder signe‐ ring henhører. Der fremgår blandt andet, at der skal udpeges et nationalt tilsyn, og at hensigten er, at Kommissionen ud‐ arbejder supplerende retsakter. 8. Hørte myndigheder og organisationer mv. Et tidligere udkast til lovforslaget har i perioden fra den 1. december 2017 til den 4. januar 2018 været sendt i offentlig høring hos nedenstående myndigheder og organisationer mv. På baggrund af justeringer, hvor blandt andet NemID til medarbejdere i juridiske enheder omfattes af lovforslaget, har et nyt udkast til lovforslag i perioden fra den 8. til den 16. februar 2018 været i sendt i offentlig høring hos samme myndigheder og organisationer mv.: Advokatsamfundet/Advokatrådet, Arbejderbevægelsens Erhvervsråd, Danmarks Statistik, Dansk Blindesamfund, Dansk Energi, Dansk Erhverv, Dansk Handikap Forbund, Dansk IT, Danske Advokater, Danske Handicaporganisatio‐ ner, Danske Regioner, Datatilsynet, Den Danske Dommer‐ forening, Det Centrale Handicapråd, DI/ITEK, DIDI-ITEK, DKCERT, Dysleksiforeningen i Danmark, Døves Landsfor‐ bund, FDIH - Foreningen for Dansk Internethandel, Finans Danmark, Finansrådet, Finanstilsynet, Folketingets Om‐ budsmand, Forbrugerrådet, Forsikring og Pension, Institut for Menneskerettigheder, IT-branchen, IT-Politisk Forening, KL, Landsforeningen SIND, LO, Muskelsvindsfonden, Par‐ kinsonforeningen, Patientforeningen, PROSA, Psykiatrifon‐ den, Rigsombudsmanden i Grønland, Rigsombudsmanden på Færøerne, Rådet for digital sikkerhed, Rådet for Socialt Udsatte, Scleroseforeningen, Statens Serum Institut, Tele‐ kommunikationsindustrien i Danmark, Ældremobiliseringen og Ældresagen. 8 9. Sammenfattende skema Positive konsekvenser/ mindreudgifter (hvis ja, angiv omfang/Hvis nej, anfør »In‐ gen«) Negative konsekvenser/ merudgifter (hvis ja, angiv omfang/Hvis nej, an‐ før »Ingen«) Økonomiske konsekvenser for stat, kommuner og regioner Ingen Det vurderes, at lovforslaget ikke har økonomiske eller administrative kon‐ sekvenser for det offentlige, da der er tale om en videreførelse af det, der allerede følger af den gældende certi‐ fikatpolitik for OCES-personcertifi‐ kater, som Digitaliseringsstyrelsen har udarbejdet, og som Nets DanID A/S udsteder NemID efter. Der er til‐ lige tale om en videreførelse af en ad‐ ministration, der allerede er etableret ved privat aftaleindgåelse. Det er vurderingen, at antallet af kla‐ ger vil være på niveau med det nuvæ‐ rende, og at det vil kunne afholdes in‐ denfor Digitaliseringsstyrelsens eksi‐ sterende ramme. Det vurderes, at ændringer i eksister‐ ende aftaler mellem Nets DanID A/S og registreringsenhederne samt æn‐ dring af vilkår i forhold til borgere og virksomheder har visse økonomiske konsekvenser. Det vurderes, at der er tale om ikke væsentlige økonomiske konsekvenser. Administrative konsekvenser for stat, kommuner og regioner Ingen Ingen af betydning. Økonomiske konsekvenser for er‐ hvervslivet Ingen Ingen Administrative konsekvenser for er‐ hvervslivet Det vurderes, at lovforslaget giver virk‐ somhederne en mere klar retsstilling og sikrer, at virksomhederne kan klage til Di‐ gitaliseringsstyrelsen over afslag på at få udstedt NemID mv. Det er fastsat, at Digitaliseringssty‐ relsens afgørelser ikke kan indbringes for anden administrativ myndighed, hvilket kan anses som en vis be‐ grænsning i virksomhedernes admini‐ strative muligheder. Administrative konsekvenser for borgerne Det vurderes, at lovforslaget giver borger‐ ne en mere klar retsstilling og sikrer, at borgerne kan klage til Digitaliseringssty‐ relsen over afslag på at få udstedt NemID mv. Det er fastsat, at Digitaliseringssty‐ relsens afgørelser ikke kan indbringes for anden administrativ myndighed, hvilket kan anses som en vis be‐ grænsning i borgernes administrative muligheder. Miljømæssige konsekvenser Ingen Ingen Forholdet til EU-retten Lovforslaget indeholder ingen EU-retlige aspekter Er i strid med de fem principper for implementering af erhvervsrettet EU-regulering/Går videre end mini‐ mumskrav i EU-regulering (sæt X) Ja Nej X 9 Bemærkninger til lovforslagets enkelte bestemmelser Til § 1 Formålet med den foreslåede bestemmelse i § 1, stk. 1, er at sikre tydelig hjemmel til, at ministeren for offentlig inno‐ vation udpeger en privat virksomhed til at være udsteder og dermed til at varetage opgaven med at administrere og træf‐ fe afgørelse om at udstede NemID med offentlig digital sig‐ natur til fysiske personer og til medarbejdere i juridiske en‐ heder (NemID). Det foreslås fastsat, at den udpegede udsteder, er en privat virksomhed. Bestemmelsen giver således udtrykkelig lov‐ hjemmel til, at denne myndighedsopgave kan delegeres til en privat virksomhed. Ministerens bemyndigelse forventes i praksis at ville blive udøvet af Digitaliseringsstyrelsen. Det slås dermed fast, at NemID udstedes på statens vegne, og at det er ministeren for offentlig innovation, der har myn‐ dighedsansvaret og sikrer, at der udpeges en udsteder af NemID til fysiske personer og til medarbejdere i juridiske enheder. En udsteder skal forstås i overensstemmelse med det, der i OCES-certifikatpolitikkerne betegnes som et certi‐ ficeringscenter. OCES-certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk. Nets DanID A/S er allerede godkendt og udpeget til at va‐ retage opgaven som udsteder af NemID. Udpegning af Nets DanID A/S, som udsteder, skete på baggrund af et EU-ud‐ bud gennemført i 2008. Kontrakten løber pt. til 2021, hvor den nye MitID-løsning forventes idriftsat. Det er hensigten, at Nets DanID A/S - der allerede i dag er udpeget som ud‐ steder - fortsætter med at varetage opgaven med at admini‐ strere og udstede NemID på de vilkår, som er fastsat i den til enhver tid gældende certifikatpolitik for OCES-personcerti‐ fikater og certifikatpolitik for OCES-medarbejdercertifikater i perioden frem til den gældende kontrakt udløber. OCES- certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk.. Bestemmelsen omfatter NemID, som udstedes til fysiske personer, som også benævnes privatpersoner eller borgere og NemID, som udstedes til medarbejdere i juridiske enhe‐ der, også benævnt NemID medarbejdersignatur. NemID til fysiske personer og til medarbejdere i juridiske enheder ad‐ skiller sig eksempelvis fra virksomheds- og funktions-certi‐ fikater samt fra pengeinstitutternes NemID til netbank, som ikke er omfattet af lovforslaget. Den udpegede udsteder (i dag Nets DanID A/S) skal blandt andet administrere og træffe afgørelse om at udstede NemID til borgere og til medarbejdere i juridiske enheder, og forventes i sin administration, afgørelses- og udstedelses‐ virksomhed at agere i henhold til gældende ret. Udstederen skal blandt andet sikre, at borgeren henholdsvis den juridi‐ ske enhed og dens medarbejdere opfylder de betingelser, der fremgår af § 4, og de regler, der i medfør af § 1, stk. 2, fast‐ sættes for løbende at kunne anvende NemID. Udstederen fo‐ retager en vurdering af, om borgeren henholdsvis den juridi‐ ske enhed opfylder betingelserne i § 4, og om borgeren hen‐ holdsvis medarbejderen kan legitimeres fyldestgørende, og træffer herefter ved udstedelse af NemID en afgørelse i for‐ valtningslovens forstand. Som det fremgår af den foreslåede § 3, skal udstederen så‐ ledes efterleve de almindelige forvaltningsretlige regler og principper, når udstederen administrerer reglerne om udste‐ delse af NemID. Hvis udstederen træffer en afgørelse om at give borgeren afslag på at få udstedt eller genåbnet NemID, eller om at spærre NemID, skal borgeren henholdsvis den juridiske enhed blandt andet have en begrundelse og en kla‐ gevejledning eventuelt skriftligt, jf. forvaltningslovens kapi‐ tel 6 og 7. Endvidere gælder partshøringsreglerne i forvalt‐ ningslovens § 19, ligesom det skal sikres, at borgere og juri‐ diske enheder bliver tilstrækkeligt vejledt om, hvilke regler de henholdsvis medarbejderne løbende skal leve op til ved anvendelse af NemID. Udsteder henholdsvis registrerings‐ enhederne skal i forbindelse med behandling af en anmod‐ ning om at få udstedt NemID og den afgørelse, som træffes, sikre, at borgeren henholdsvis den juridiske enhed vejledes tilstrækkeligt om reglerne for at få udstedt NemID og om reglerne for løbende at kunne anvende NemID, herunder om konsekvenserne ved ikke at overholde disse, jf. forvaltnings‐ lovens § 7. Vejledningen kan efter omstændighederne i det konkrete tilfælde tillige omfatte, hvilke muligheder borgeren har for at blive betjent af den offentlige forvaltning uden et NemID, samt hvilke muligheder borgeren har for på ny at anmode om at få udstedt NemID. Det foreslås med formuleringen af § 1, stk. 2, at give mini‐ steren for offentlig innovation hjemmel til at fastsætte regler om administrationen af NemID, herunder om udstedelse og spærring samt genåbning af NemID. Der vil tillige kunne fastsættes regler, der omhandler de krav, der stilles til borge‐ rens og den juridiske enheds medarbejderes løbende håndte‐ ring af NemID. De regler, der fastsættes, skal sikre, at der i medfør af lo‐ ven etableres en proces og klare regler for, hvordan en bor‐ ger henholdsvis en medarbejdere i juridiske enheder kan få udstedt NemID. Det er hensigten, at der fastsættes regler om, hvilke betingelser udover dem, der fremgår af § 4, en borger henholdsvis en medarbejder skal opfylde for at kunne få udstedt NemID, samt hvilke betingelser borgeren hen‐ holdsvis den juridiske enhed og medarbejderen løbende skal opfylde for at have og anvende NemID. Det er hensigten i medfør af bestemmelsen at fastsætte, hvornår der kan gives afslag på udstedelse, regler om spærring, ny-udstedelse, genåbning og lignende. Regler om håndtering af NemID fastsættes af hensyn til den samlede sikkerhed i NemID-løsningen. Reglerne skal være med til også at sikre borgerne og de juridiske enheder mod konkret misbrug og skal samtidig bidrage til at opret‐ holde den samlede sikkerhed ved NemID. Der kan blandt andet fastsættes regler om, at borgeren skal hemmeligholde nøglekortet og koder, at borgeren kognitivt skal have evnen til at forstå og følge reglerne, herunder beskytte det udstedte NemID og sine koder mod andres brug og misbrug. Tilsva‐ rende kan der fastsættes regler om, at juridiske enheder skal indgå aftale og udpege en administrator til at anvise medar‐ 10 bejdere, som har tilknytning til den juridiske enhed og skal have udstedt NemID medarbejder-signatur. Det kan blandt andet fastsættes, at borgere og medarbejdere i juridiske en‐ heder skal tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer NemID mod kompromit‐ tering, ændring, tab og uautoriseret brug, og at adgangsko‐ den skal hemmeligholdes, så andre ikke får kendskab til denne. Det vil tillige kunne fastsættes, hvilke konsekvenser det har, hvis borgeren eller medarbejderen ikke overholder disse krav, efter NemID er udstedt. Det vil eksempelvis kun‐ ne fastsættes, at NemID spærres ved mistanke om misbrug eller tilsvarende brud på sikkerheden. Det forventes, at det fastsættes, at en fysisk person og juri‐ diske enheder kan anmode om at få udstedt NemID online på henholdsvis hjemmesiderne nemid.nu og medarbejdersig‐ natur.dk. Det forventes tillige, at det bliver fastsat, at borge‐ re kan få udstedt NemID hos en registreringsenhed i et pen‐ geinstitut og ved personligt fremmøde hos en registrerings‐ enhed i kommunernes borgerservicecentre. De vilkår og krav, som gælder i dag, følger af certifikatpo‐ litik for OCES-personcertifikater punkt 6.2, 7.3.1 og 7.3.2, og udgør grundlaget for vilkårene for udstedelse af NemID (de såkaldte NemID-regler). For virksomheder følger vilkår og krav af certifikatpolitik for OCES-medarbejdercertifika‐ ter punkt 6.2, 7.3.1 og 7.3.2. Hensigten er i bekendtgørelsen at fastsætte regler tilsvarende de allerede gældende vilkår rettet mod borgere og juridiske enheder og deres medarbej‐ dere, så det tydeligt fremgår af bekendtgørelsen, hvornår en borger henholdsvis en medarbejder kan få udstedt NemID, og hvilke vilkår de skal opfylde henholdsvis løbende over‐ holde. OCES-certifikatpolitikkerne kan tilgås på hjemmesi‐ den nemid.nu henholdsvis medarbejdersignatur.dk. Det fremgår blandt andet af certifikatpolitikken for OCES-personcertifikater punkt 6.2, at Nets DanID A/S ved aftale skal forpligte certifikatindehaveren, den fysiske per‐ son, til at opfylde en række betingelser. Betingelserne er fastsat som vilkår for NemID, som er de vilkår, som den en‐ kelte borger (certifikatindehaveren) skal acceptere i forbin‐ delse med udstedelse af NemID. Det forventes, at der i lig‐ hed med hvad der følger af certifikatpolitikken for OCES- personcertifikater, blandt andet vil blive fastsat regler om, at borgeren skal give fyldestgørende og korrekte svar på alle anmodninger fra den udpegede udsteder (Nets DanID A/S) og registreringsenheder, om information i ansøgningspro‐ cessen, at en borger alene må benytte NemID i henhold til certifikatpolitikkens bestemmelser, at en borger skal tage ri‐ melige forholdsregler for at beskytte de sikkerhedsmekanis‐ mer, der sikrer NemID mod kompromittering, ændring, tab og uautoriseret brug, at en borger skal hemmeligholde ad‐ gangskoden, så andre ikke får kendskab til denne, at en bor‐ ger ved modtagelse af NemID skal sikre sig at indholdet heraf er i overensstemmelse med de faktiske forhold, at en borger omgående skal anmode om spærring og eventuel for‐ nyelse af NemID, hvis indholdet heraf ikke er i overens‐ stemmelse med de faktiske forhold, at en borger omgående skal ændre sin adgangskode eller spærre NemID, hvis der opstår mistanke om, at adgangskoden er kompromitteret, og at en borger omgående skal ophøre med at anvende NemID, hvis borgeren opnår kendskab til, at Nets DanID A/S er ble‐ vet kompromitteret. Det fremgår af certifikatpolitikken for OCES-medarbej‐ dercertifikater punkt 6.2, at Nets DanID A/S ved aftale skal forpligte certifikatindehaveren, medarbejderen, til at opfylde en række betingelser, samt at certifikatindehaverens organi‐ sation, virksomheden, og procedurer understøtter opfyldel‐ sen heraf. Betingelserne er fastsat som vilkår for NemID, som er de vilkår, som den enkelte medarbejder (certifikatin‐ dehaveren) skal acceptere i forbindelse med udstedelse af NemID til medarbejdere. Det forventes, at der i lighed med, hvad der følger af certifikatpolitikken for OCES-medarbej‐ dercertifikater, blandt andet vil blive fastsat regler om, at medarbejdere skal give fyldestgørende og korrekte svar på alle anmodninger fra den udpegede udsteder (Nets DanID A/S), om information i ansøgningsprocessen, at en medar‐ bejder alene må benytte NemID i henhold til certifikatpoli‐ tikkens bestemmelser, at en medarbejder skal tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer NemID mod kompromittering, ændring, tab og uauto‐ riseret brug, at en medarbejder skal hemmeligholde ad‐ gangskoden, så andre ikke får kendskab til denne, at en medarbejder ved modtagelse af NemID skal sikre sig at ind‐ holdet heraf er i overensstemmelse med de faktiske forhold, at en medarbejder omgående skal anmode om spærring og eventuel fornyelse af NemID, hvis indholdet heraf ikke er i overensstemmelse med de faktiske forhold, at en medarbej‐ der omgående skal ændre sin adgangskode eller spærre NemID, hvis der opstår mistanke om, at adgangskoden er kompromitteret, og at en medarbejder omgående skal ophø‐ re med at anvende NemID, hvis medarbejderen opnår kend‐ skab til, at Nets DanID A/S er blevet kompromitteret. Herudover indgår den juridiske enhed (administratoren) aftale med Nets DanID A/S om at anvise medarbejdere, der skal have udstedt NemID til medarbejdere. Den juridiske enhed forpligter sig også til at instruere medarbejdere i kor‐ rekt anvendelse af NemID, herunder overholdelse af certifi‐ katpolitikken for OCES-medarbejdercertifikater. I medfør af bestemmelsen vil det ligeledes blive fastsat, at Nets DanID A/S skal sikre, at borgeren henholdsvis den ju‐ ridiske enhed opfylder de betingelser, der fastsættes for at kunne få udstedt NemID. Der vil samtidig kunne fastsættes regler om, at der kan gi‐ ves afslag på at få udstedt NemID, hvis udsteder vurderer, at borgeren eller den juridiske enhed ikke opfylder en eller fle‐ re af de fastsatte betingelser. Det kan eksempelvis være, hvis der er tvivl om, hvorvidt borgeren eller medarbejderen kan administrere og anvende NemID korrekt eksempelvis af sproglige eller forståelsesmæssige årsager. Et andet eksem‐ pel er, hvis der er tvivl om validiteten af legitimationsdoku‐ mentationen. For virksomheder vil det være administrator, der indestår for, at de medarbejdere, der udpeges til at få NemID til medarbejdere, er identificeret korrekt i overens‐ stemmelse med aftalen og reglerne herfor. Der henvises i øvrigt til de almindelige bemærkninger af‐ snit 2.1.2. ovenfor. 11 Til § 2 Efter den foreslåede § 2 slås det fast i loven, at ministeren for offentlig innovation kan overlade opgaven med at træffe afgørelse om at udstede NemID med offentlig digital signa‐ tur til fysiske personer (NemID) til en juridisk enhed. Begre‐ bet »juridisk enhed« skal forstås i overensstemmelse med anvendelsen af begrebet i lov om Det Centrale Virksom‐ hedsregister, jf. de almindelige bemærkninger afsnit 2.1.2. ovenfor. Ministeren for offentlig innovation kan udpege konkrete juridiske enheder til at varetage opgaven med som registre‐ ringsenhed at træffe afgørelser om udstedelse af NemID til fysiske personer, der anmoder om at få udstedt NemID med offentlig digital signatur til fysiske personer hos en registre‐ ringsenhed. Det er hensigten, at ministeren udpeger, hvilke konkrete registreringsenheder der kan træffe afgørelse om at udstede NemID til borgere, der eksempelvis møder fysisk frem i re‐ gistreringsenheden og anmoder om at få udstedt NemID. Grundlaget for registreringsenhederne forventes at lægge sig op ad indholdet i de konkrete aftaler herom, som gælder i dag. Nets DanID A/S har på nuværende tidspunkt delegeret op‐ gaven med at udstede NemID til borgere, der fysisk møder op, til en lang række kommuner på baggrund af bilaterale aftaler indgået med de enkelte kommuner. Opgaven vareta‐ ges og administreres typisk af borgerservicecentrene i kom‐ munerne, jf. de almindelige bemærkninger afsnit 2.1.1 oven‐ for. Endvidere har også en række pengeinstitutter indgået af‐ tale om at varetage opgaven som registreringsenhed. Det er hensigten, at ministeren ved udpegning af registreringsenhe‐ der sikrer, at indholdet i disse aftale i videst mulige omfang opretholdes eventuelt ved en henvisning til de allerede ind‐ gåede aftaler. Registreringsenhederne er ansvarlige for identifikation og autentifikation af en kommende certifikatindehaver og for at udstede NemID til borgere. Det er derfor også registrerings‐ enhederne, der påser og vurderer, om en fremmødt borger lever op til de fastsatte regler for at kunne få NemID, og det er registreringsenhederne, der træffer afgørelse om at give en borger afslag, hvis borgeren ikke lever op til de krav, der er fastsat for at kunne få NemID. Der er tale om en opgave, der i medfør af § 2 er delegeret fra ministeren for offentlig innovation til registreringsenhederne. Afgørelserne som re‐ gistreringsenhederne træffer om udstedelse af NemID skal leve op til forvaltningsretten og de forvaltningsretlige prin‐ cipper, jf. den foreslåede § 3. Registreringsenhederne vil blandt andet skulle vejlede og vurdere, om borgeren forven‐ tes at forstå og løbende kunne leve op til de regler og vilkår, der er fastsat. Nets DanID A/S har ansvaret for hele udsted‐ elsesprocessen, herunder validering af borgerens identitet, samt for de afgørelser, der træffes. Der henvises i øvrigt til de almindelige bemærkninger af‐ snit 2.1.2. ovenfor. Til 3 Det er almindeligt antaget, at delegation medfører, at den opgave, der delegeres til en anden, også er omfattet af de regler, der gælder, herunder forvaltningsloven, og skal over‐ holde disse. For at undgå fortolkningstvivl fastsættes det di‐ rekte i loven, at Nets DanID A/S og registreringsenhederne er omfattet af forvaltningsloven i forbindelse med de afgø‐ relser, der træffes om udstedelse af NemID, spærring, afslag på udstedelse og afslag på genåbning mv. Dette medfører blandt andet, at visse afgørelser skal ledsages af en begrun‐ delse og en klagevejledning, at partshøringsreglerne i rele‐ vant omfang skal iagttages, og at borgere og virksomheder skal vejledes tilstrækkeligt om deres rettigheder mv. En af‐ gørelse om at spærre et NemID træffes for at sikre mod mis‐ brug og tilsvarende, hvorfor spærring kan foretages uden forudgående kontakt til den registrerede. Nets DanID A/S og registreringsenhederne vil således ved anmodning om at få udstedt NemID blandt andet skulle vej‐ lede borgeren om reglerne for at få udstedt NemID og sær‐ ligt reglerne for løbende at kunne anvende NemID, herunder om konsekvenserne ved ikke at overholde disse, jf. forvalt‐ ningslovens § 7. Vejledningen kan i de konkrete tilfælde til‐ lige omfatte, hvilke muligheder borgeren har for at blive be‐ tjent af den offentlige forvaltning uden et NemID, samt hvil‐ ke muligheder borgeren henholdsvis juridiske enheder har for på ny at anmode om at få udstedt NemID. Til § 4 Den foreslåede § 4, stk. 1, fastslår, at en fysisk person har ret til at anmode om at få udstedt NemID med offentlig digi‐ tal signatur til fysiske personer (NemID), hvis borgeren er fyldt 15 år og har et personnummer. Borgeren vil i den for‐ bindelse skulle kunne legitimere sig fyldestgørende overfor udstederen henholdsvis registreringsenheden. En borger, der i øvrigt opfylder de regler og vilkår, der fastsættes i medfør af § 1, stk. 2, og som vurderes løbende at kunne overholde disse kan herefter få udstedt NemID. Bestemmelsen omfatter NemID, som udstedes til fysiske personer. Fysiske personer er privatpersoner også betegnet som borgere. Også fysiske personer, der ikke er danske statsborgere, kan anmode om at få udstedt NemID. Eksem‐ pelvis vil udlændinge, der får et personnummer i forbindelse med, at de kommer til landet for at arbejde, kunne anmode om at få udstedt NemID. En borger med et administrativt personnummer kan alene få udstedt NemID ved personligt fremmøde hos en registreringsenhed. Det forudsættes, at de regler, der fastsættes i medfør af § 1, stk. 2, indeholder betingelserne for at få udstedt NemID, samt regler, som løbende skal overholdes ved anvendelse af NemID. Det forudsættes tillige, at de regler, der fastsættes, følger de regler, der allerede i dag gælder i medfør af certifi‐ katpolitikken for OCES-personcertifikater, og som er gengi‐ vet i vilkårene for NemID. Borgere skal følge den procedure, der fastsættes, for at an‐ mode om at få udstedt NemID. 12 Det er forventningen, at borgeren som hidtil vil kunne an‐ mode om at få udstedt NemID online på hjemmesiden nem‐ id.nu, hos en registreringsenhed i et pengeinstitut eller ved personligt fremmøde hos en registreringsenhed i en kommu‐ nes borgerservicecenter. Det foreslås med formuleringen af § 4, stk. 2, at juridiske enheder har ret til at anmode om at få udstedt NemID til medarbejdere i juridiske enheder. Begrebet »juridisk enhed« skal ligesom i § 2 forstås i overensstemmelse med anvendelsen af begrebet i lov om Det Centrale Virksomhedsregister, jf. lovbekendtgørelse nr. 653 af 15. juni 2006 med senere ændringer, hvoraf det frem‐ går af § 3, at en juridisk enhed kan være 1) en fysisk person i dennes egenskab af arbejdsgiver eller selvstændigt er‐ hvervsdrivende, 2) en juridisk person eller filial af en uden‐ landsk juridisk person, 3) en statslig administrativ enhed, 4) en region, 5) en kommune eller 6) et kommunalt fællesskab. Det sikres samtidig, at loven anvender samme begreb, som anvendes i OCES-personcertifikatpolitikken. Der henvises til lovforslagets § 2. En juridisk enhed skal således have et CVR-nummer og have indgået en aftale med Nets DanID A/S, hvor der udpe‐ ges en administrator til på vegne af den juridiske enhed at anvise personer med tilknytning til den juridiske enhed, der skal have udstedt NemID medarbejdersignatur. Bestemmelsen omfatter NemID, som udstedes til medar‐ bejdere i juridiske enheder. En virksomhed, der i øvrigt op‐ fylder de regler, der fastsættes i medfør af § 1, stk. 2, kan herefter få udstedt NemID til sine medarbejdere. Det forudsættes, at de regler, der fastsættes i medfør af § 1, stk. 2, indeholder betingelserne for at få udstedt NemID, samt regler, som løbende skal overholdes ved anvendelse af NemID. Det forudsættes tillige, at de regler, der fastsættes, følger de regler, der allerede i dag gælder i medfør af OCES-certifikatpolitikken for medarbejdercertifikater, og som er gengivet i aftale om udpegning af administrator hen‐ holdsvis vilkårene for NemID. Juridiske enheder skal følge den procedure, der fastsættes, for at anmode om at få udstedt NemID. Det er forventningen, at juridiske enheder som hidtil vil kunne anmode om at få udstedt NemID online på hjemmesi‐ den medarbejdersignatur.dk. Det vil fortsat ikke være muligt for juridiske enheder at anmode om at få udstedt NemID medarbejdersignatur hos en registreringsenhed. Der henvises i øvrigt til de almindelige bemærkninger af‐ snit 2.1.2. ovenfor. Til § 5 Det foreslås med § 5, stk. 1, at fastslå, at klage over en af‐ gørelse kan indbringes for Digitaliseringsstyrelsen. Den afgørelse, der påklages, vil være truffet af den private udsteder eller af en registreringsenhed, der udsteder NemID med offentlig digital signatur til fysiske personer og til med‐ arbejdere i juridiske enheder (NemID) i kommunerne eller i pengeinstitutterne. De afgørelser, der kan påklages, er afgø‐ relser, der er truffet efter de regler, der vil blive udstedt i medfør af § 1, stk. 2. Der kan eksempelvis være tale om klage over en afgørelse om afslag på udstedelse af NemID, afslag på genåbning af NemID, klage over en afgørelse om spærring af et NemID og lignende efter regler fastsat i medfør af § 1, stk. 2. Digitaliseringsstyrelsen vil foretage en klagesagsbehand‐ ling på baggrund af sagens oplysninger, de fastsatte regler, og efter de regler, der følger af forvaltningsloven og de for‐ valtningsretlige principper mv. Registreringsenhederne og udstederen (i dag Nets DanID A/S) skal, når de træffer afgørelse, sikre, at borgere og virk‐ somheder får en klagevejledning om, at deres afgørelser kan indbringes for Digitaliseringsstyrelsen. Registreringsenhederne og udstederen (i dag Nets DanID A/S) skal, hvis klagen indgives direkte til dem videresende klagen til Digitaliseringsstyrelsen med henblik på behand‐ ling af klagen. Det foreslås med § 5, stk. 2, at det fastsættes direkte i lo‐ ven, at Digitaliseringsstyrelsen kan kræve enhver oplysning af betydning for klagebehandlingen, af den private virksom‐ hed, der er udpeget i medfør af § 1, stk. 1, og af registre‐ ringsenheder, jf. § 2. Digitaliseringsstyrelsen kan i konkrete klagesager rette henvendelse til den relevante registreringsenhed eller Nets DanID A/S i forbindelse med behandling af klagen med henblik på at få oplyst sagen tilstrækkeligt mv. Digitalise‐ ringsstyrelsen kan herunder kræve at få relevante oplysnin‐ ger og dokumenter til brug for behandling af sagen. Med den foreslåede bestemmelse i § 5, stk. 3, slås det fast, at Digitaliseringsstyrelsens afgørelser ikke kan indbringes for anden administrativ myndighed. Afgørelserne vil dog kunne indbringes for domstolene i medfør af grundlovens § 63. Der henvises i øvrigt til de almindelige bemærkninger af‐ snit 2.1.2. ovenfor. Til § 6 Det foreslås, at loven træder i kraft den 1. juli 2018. Det er hensigten at ophæve loven i forbindelse med, at Nets DanID A/S’ ret til at udstede NemID udløber. Til § 7 Det foreslås, at loven gælder ikke for Grønland og Færø‐ erne. For Grønland er der tale om et sagsområde, der ikke er hjemtaget, hvorfor loven ikke skal gælde i Grønland, men loven vil helt eller delvist kunne sættes i kraft i Grønland ved kongelig anordning. Den hidtidige aftalebaserede tilgang for udstedelse af NemID med offentlig digital signatur til fysiske personer (NemID) i Grønland baseret på OCES-personcertifikatpoli‐ tikken vil fortsat være gældende. 13 For Færøerne er der tale om et sagsområde, der ikke hører til fællesanliggender, som varetages af rigsmyndighederne. Sagsområdet anses derfor som ovegået til Færøerne, hvorfor loven ikke skal gælde på Færøerne. Udstedelse af NemID til færinger baseret på OCES-per‐ soncertifikatpolitikken vil foregå på samme måde som i dag. Hvis en færing har et administrativt personnummer, kan NemID alene blive udstedt ved personligt fremmøde hos en registreringsenhed. 14
Brev til SOU
https://www.ft.dk/samling/20171/lovforslag/L150/bilag/2/1859131.pdf
Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K · T 33 92 33 33 · E fm@fm.dk · www.fm.dk Social-, Indenrigs- og Børneudvalget 22. februar 2018 Vi er blevet bekendt med, at udvalget i forbindelse med at et udkast til lovforsla- get (L150) blev sendt i offentlig høring ikke fik tilsendt høringsmaterialet. Det beklager vi naturligvis. Vedhæftet fremsendes lovforslaget i endelig version. Med venlig hilsen Sophie Løhde Minister for offentlig innovation Social-, Indenrigs- og Børneudvalget 2017-18 L 150 Bilag 2 Offentligt
Høringsbrev.docx
https://www.ft.dk/samling/20171/lovforslag/L150/bilag/2/1859132.pdf
Digitaliseringsstyrelsen · Landgreven 4 · Postboks 2193 · 1017 København K · 3392 5200 · www.digst.dk Digitaliseringsstyrelsen · Landgreven 4 · Postboks 2193 · 1017 København K Til: Se høringsliste 9. februar 2018 CIU/ Ny høring over forslag til lov om udstedelse af NemID med offentlig digital signatur til fysiske personer og til virksomheders medarbejdere Lovforslaget har været i høring i fra den 1. december 2017 til den 4. januar 2018 i en tidligere version. Lovforslaget sendes i ny høring, da høringen og det videre arbejde har givet anledning til en række mere indholdsmæssige ændringer: Lovforslaget omfatter nu også udstedelse af NemID til virksomheders medar- bejdere, jf. § 1, stk. 1 og § 4, stk. 2. Det betyder, at retstillingen også for virk- somheder fastslås. Bestemmelsen i § 2 justeres, så det fastslås, at kompetencen til at træffe afgø- relse om at udstede NemID kan delegeres til juridiske enheder (registrerings- enheder). Der er indføjet en bestemmelse (§ 3), der fastslår, at forvaltningsloven og of- fentlighedsloven finder anvendelse på afgørelser truffet af den udpegede priva- te virksomhed og af registreringsenhederne. Det er indsat (§ 7), at loven ikke er gældende for Grønland og Færøerne, men at den ved kongelig anordning helt eller delvist kan sættes i kraft for Grønland. Formålet med lovforslaget er at tydeliggøre retsstillingen for borgerne og virk- somhedernes medarbejdere og fastslå ved lov, at det er en myndighedsopgave og et myndighedsansvar at sikre udstedelse af NemID. Det er hensigten at videreføre det, der allerede gælder i dag i medfør af de regler, som Digitaliseringsstyrelsen har udformet og fastsat i den såkaldte certifikatpolitik for OCES-personcertifikater og OCES-medarbejdercertifikater og den kontrakt, som Digitaliseringsstyrelsen har indgået med Nets DanID A/S. Lovforslaget har ikke til hensigt at ændre på dette. Eventuelle bemærkninger modtages senest tirsdag den 20. februar 2018 klok- ken 12 og sendes til Julie Preuthun, CIU@digst.dk og cc jucap@digst.dk. Med venlig hilsen Charlotte Jacoby Kontorchef Social-, Indenrigs- og Børneudvalget 2017-18 L 150 Bilag 2 Offentligt
Høringsliste
https://www.ft.dk/samling/20171/lovforslag/L150/bilag/2/1859133.pdf
Notat Høringsliste til lov om NemID Organ Mail Advokatsamfundet/Advokatrådet samfund@advokatsamfundet.dk ATP mle@atp.dk nbm@atp.dk BL – Danmarks almene boliger bl@bl.dk Danmarks Statistik dst@dst.dk Danmarks Nationalbank kommunikation@nationalbanken.dk Dansk IT dit@dit.dk Dansk Erhverv hoeringssager@danskerhverv.dk Dansk IT dit@dit.dk Dansk Standard, Forum for digital sikkerhed dansk.standard@ds.dk Danske advokater mail@danskeadvokater.dk Danske Handicaporganisationer dh@handicap.dk Danske Regioner regioner@regioner.dk Datatilsynet dt@datatilsynet.dk Den Danske Dommerforening dommerforeningen@gmail.com Det Centrale Handicapråd dch@dch.dk DI Digital digital@di.dk DKCERT sekretariat@deic.dk FDIH - Foreningen for Dansk Internethandel kontakt@fdih.dk Finans Danmark mail@finansdanmark.dk lfj@fida.dk Finanstilsynet finanstilsynet@ftnet.dk Forbrugerrådet hoeringer@fbr.dk Social-, Indenrigs- og Børneudvalget 2017-18 L 150 Bilag 2 Offentligt Side 2 af 2 Foreningen for Dansk Internet Handel kontakt@fdih.dk Forsikring og Pension fp@forsikringogpension.dk Institut for menneskerettigheder info@humanrights.dk IT-Branchen itb@itb.dk IT-Politisk Forening bestyrelsen@itpol.dk KL kl@kl.dk KOMBIT kombit@kombit.dk LOS – De private sociale tilbud los@los.dk Nets DanID A/S jochr@nets.eu alram@nets.eu Ombudsmanden post@ombudsmanden.dk Prosa prosa@prosa.dk Psykiatrifonden pf@psykiatrifonden.dk Rigsombudsmanden i Grønland ro@gl.stm.dk Rigsombudsmanden på Færøerne ro@fo.stm.dk Rådet for digital sikkerhed info@digitalsikkerhed.dk Rådet for Socialt Udsatte post@udsatte.dk Telekommunikationsindustrien i Danmark post@teleindu.dk Ældre Sagen aeldresagen@aeldresagen.dk