Fremsat den 10. februar 2021 af finansministeren (Nicolai Wammen)

Fremsat den 10. februar 2021 af finansministeren (Nicolai Wammen)
Forslag
til
Lov om MitID og NemLog-in
Afsnit I
Generelle bestemmelser
Kapitel 1
Lovens anvendelsesområde
§ 1. Loven finder anvendelse på følgende infrastruktur-
løsninger samt nationale digitale identiteter og elektroniske
identifikationsmidler udstedt i medfør heraf:
1) Den danske nationale elektroniske identifikationsord-
ning (MitID-løsningen).
2) Den fællesoffentlige digitale infrastrukturløsning
(NemLog-in).
Kapitel 2
Definitioner
§ 2. I denne lov forstås ved:
1) MitID-løsningen: Den danske nationale elektroniske
identifikationsordning.
2) MitID: Den nationale digitale identitet af en privatper-
son og tilhørende elektroniske identifikationsmidler,
som kan tilknyttes privatpersoners og erhvervsbruge-
res digitale identiteter. MitID er den nationale identi-
tetsgarant for privatpersoner.
3) Autentifikation: En proces som genkender og verifice-
rer en digital identitet gennem anvendelse af et elek-
tronisk identifikationsmiddel.
4) Sikringsniveau: Sikringsniveauet definerer graden af
sikkerhed for autentifikation. Der sondres mellem tre
forskellige sikringsniveauer for autentifikation, hen-
holdsvis niveau lav, betydelig og høj.
5) Sikker autentifikation: Autentifikation på sikringsni-
veau betydelig eller høj.
6) NemLog-in: Den fællesoffentlige digitale infrastruk-
turløsning, som sætter privatpersoner og erhvervsbru-
gere med digitale identiteter i stand til at interagere
med digitale selvbetjeningsløsninger. NemLog-in er
endvidere den nationale identitetsgarant for erhvervsi-
dentiteter. NemLog-in indeholder de serviceområder,
som angives i § 8, stk. 2 og 3.
7) Privatperson: Fysisk person, der udelukkende agerer
på vegne af sig selv uden forbindelse til en juridisk
enhed, og som ikke er en erhvervsbruger.
8) Erhvervsbruger: Fysisk person, der er associeret med
en offentlig myndighed, et offentligretligt organ eller
en juridisk enhed, som er oprettet med én eller flere
erhvervsidentiteter i serviceområdet Erhvervsadmini-
stration i NemLog-in.
9) Juridisk enhed: Juridisk enhed med et cvr-nummer, jf.
lov om Det Centrale Virksomhedsregister, der hver-
ken er en offentlig myndighed eller et offentligretligt
organ.
10) Offentlig myndighed: Statslige, regionale og kommu-
nale myndigheder.
11) Offentligretligt organ: Organer,
a) der er oprettet specielt med henblik på at imøde-
komme almenhedens behov, dog ikke behov af
industriel eller kommerciel karakter,
b) der er juridiske personer, og
c) som for mere end halvdelens vedkommende fi-
nansieres af staten, regionale eller kommunale
myndigheder eller af andre offentligretlige orga-
ner eller er underlagt ledelsesmæssig kontrol af
disse myndigheder eller organer eller har en be-
styrelse eller direktion eller et tilsynsråd, hvor
mere end halvdelen af medlemmerne udpeges af
staten, regionale eller kommunale myndigheder
eller andre offentligretlige organer.
12) Digital selvbetjeningsløsning: Et it-system, hvor pri-
vatpersoner eller erhvervsbrugere med digitale identi-
teter kan tilgå digital selvbetjening efter at være blevet
autentificeret.
13) Digital identitet: En samling af data, der unikt identi-
ficerer en privatperson eller en erhvervsbruger.
14) Elektronisk identifikationsmiddel: En materiel enhed,
en immateriel enhed eller en kombination af disse, der
Lovforslag nr. L 159 Folketinget 2020-21
Finansmin.,
Digitaliseringsstyrelsen, j.nr. 2018-489
AE002862
indeholder personidentifikationsdata, og som bruges
til autentifikation i digitale selvbetjeningsløsninger. Et
elektronisk identifikationsmiddel består af ét eller fle-
re elementer, der hver især er et elektronisk identifika-
tionsmiddel.
15) Tjenesteudbyder: En offentlig myndighed, et offent-
ligretligt organ eller en juridisk enhed, der er ansvarlig
for én eller flere digitale selvbetjeningsløsninger.
16) Brugerorganisation: En offentlig myndighed, et of-
fentligretligt organ eller en juridisk enhed, der er
tilsluttet og anvender serviceområdet Erhvervsadmini-
stration i NemLog-in til deres erhvervsbrugere.
17) Broker: En offentlig myndighed, et offentligretligt or-
gan eller en juridisk enhed, der videreformidler auten-
tifikation af digitale identiteter.
Afsnit II
MitID-løsningen
Kapitel 3
Tilrådighedsstillelse af MitID-løsningen og MitID
§ 3. Digitaliseringsstyrelsen stiller MitID-løsningen til rå-
dighed for offentlige myndigheder, offentligretlige organer
og juridiske enheder. Digitaliseringsstyrelsen sikrer udvik-
ling, drift og vedligeholdelse af løsningen.
Stk. 2. Digitaliseringsstyrelsen stiller MitID til rådighed
for privatpersoner og erhvervsbrugere, hvis disse opfylder
betingelserne for udstedelse af MitID fastsat i medfør af § 4,
stk. 2.
Kapitel 4
Forvaltning af MitID-løsningen og MitID
§ 4. Digitaliseringsstyrelsen sikrer følgende forvaltnings-
opgaver:
a) Identitetssikring af privatpersoner, registrering af iden-
titeter, udstedelse, suspension, spærring og genåbning
af MitID til privatpersoner efter reglerne fastsat i med-
før af stk. 2.
b) Udstedelse, spærring, suspension og genåbning af iden-
tifikationsmidler til erhvervsbrugere efter reglerne fast-
sat i medfør af stk. 2.
Stk. 2. Finansministeren fastsætter regler om forvaltning
af MitID-løsningen og MitID, herunder regler om identitets-
sikring af privatpersoner, registrering af identiteter, udste-
delse, spærring, suspension og genåbning af MitID til pri-
vatpersoner og erhvervsbrugere samt om adgang til at klage
til Digitaliseringsstyrelsen over afgørelser truffet i medfør af
disse regler.
§ 5. Digitaliseringsstyrelsen kan udpege offentlige myn-
digheder, offentligretlige organer eller juridiske enheder til
på vegne af Digitaliseringsstyrelsen at varetage opgaver i
medfør af § 3, stk. 1, 2. pkt., samt opgaver i medfør af § 4,
stk. 1.
Stk. 2. Kommunalbestyrelsen skal på vegne af Digitalise-
ringsstyrelsen varetage opgaver i medfør af § 4, stk. 1.
Kapitel 5
Anvendelse af MitID-løsningen og MitID
§ 6. Når offentlige myndigheder og offentligretlige orga-
ner anvender digitale selvbetjeningsløsninger til at udføre
en myndighedsopgave, skal de sikre, at privatpersoner og
erhvervsbrugere med MitID gives adgang til selvbetjenings-
løsningen, hvis adgangen kræver sikker autentifikation. Mi-
tID-løsningen skal i dette tilfælde anskaffes fra Digitalise-
ringsstyrelsen.
Stk. 2. Når offentlige myndigheders og offentligretlige or-
ganers digitale selvbetjeningsløsninger ikke anvendes til at
udføre en myndighedsopgave, eller hvis adgangen til løsnin-
gerne ikke kræver sikker autentifikation, kan de offentlige
myndigheder og offentligretlige organer give privatpersoner
og erhvervsbrugere adgang til løsningerne med MitID. Mi-
tID-løsningen kan i dette tilfælde anskaffes fra Digitalise-
ringsstyrelsen.
§ 7. Juridiske enheder kan i rollen som tjenesteudbydere
anvende MitID-løsningen.
Afsnit III
NemLog-in
Kapitel 6
Tilrådighedsstillelse af NemLog-in
§ 8. Digitaliseringsstyrelsen stiller NemLog-in til rådig-
hed for offentlige myndigheder, offentligretlige organer og
juridiske enheder. Digitaliseringsstyrelsen sikrer udvikling,
drift og vedligeholdelse af NemLog-in.
Stk. 2. NemLog-in indeholder følgende serviceområder til
tjenesteudbydere:
1) Login og autentifikation, som sikrer den service, at pri-
vatpersoner og erhvervsbrugere kan tilgå digitale selv-
betjeningsløsninger.
2) Digital repræsentation, som sikrer følgende services:
a) Digital repræsentation af en privatperson, således at
privatpersonen ved anvendelse af en digital selvbe-
tjeningsløsning kan lade sig repræsentere digitalt af
en anden privatperson, af en erhvervsbruger eller af
en juridisk enhed over for en offentlig myndighed
eller et offentligretligt organ, som udbyder en digi-
tal selvbetjeningsløsning.
b) Digital repræsentation af en juridisk enhed, såle-
des at en erhvervsbruger, der selvstændigt kan re-
præsentere en juridisk enhed, kan repræsentere en-
heden ved anvendelse af en digital selvbetjenings-
løsning over for en offentlig myndighed eller et
offentligretligt organ, som udbyder en digital selv-
betjeningsløsning.
3) Digital signering, som sikrer følgende services:
a) At offentlige myndigheder, offentligretlige organer
og juridiske enheder kan udstille digital signering
af dokumenter i digitale selvbetjeningsløsninger.
b) At privatpersoner og erhvervsbrugere kan signere
digitale dokumenter og validere signerede doku-
menters digitale signatur og integritet.
2
Stk. 3. NemLog-in indeholder serviceområdet Erhvervs-
administration til brugerorganisationer, som sikrer følgende
services:
a) At offentlige myndigheder, offentligretlige organer og
juridiske enheder kan oprette, administrere og anvende
digitale erhvervsidentiteter samt tildele og administre-
re elektroniske identifikationsmidler, hvis de opfylder
betingelserne for identitetssikring ved oprettelse som
brugerorganisation, som nærmere fastsat i medfør af §
9, stk. 4.
b) At offentlige myndigheder, offentligretlige organer og
juridiske enheder kan tildele og administrere rettighe-
der og certifikater til erhvervsidentiteter.
Kapitel 7
Forvaltning af NemLog-in
§ 9. Digitaliseringsstyrelsen sikrer, at der sker forvaltning
af NemLog-in, herunder identitetssikring af offentlige myn-
digheder, offentligretlige organer og juridiske enheder, når
de oprettes som brugerorganisationer i serviceområdet Er-
hvervsadministration i NemLog-in. Digitaliseringsstyrelsen
sikrer, at brugerorganisationers adgang til serviceområdet
Erhvervsadministration i NemLog-in samt erhvervsbrugeres
digitale identiteter kan spærres og genåbnes efter reglerne
fastsat i medfør af stk. 4.
Stk. 2. En privatperson, der skal registreres som erhvervs-
bruger i serviceområdet Erhvervsadministration, kan anven-
de sit MitID udstedt til privatbrug, til identitetssikring ved
registreringen.
Stk. 3. En erhvervsbruger kan få tilknyttet sit elektroni-
ske identifikationsmiddel, som er tilknyttet privatpersonens
MitID-identitet, til sin erhvervsidentitet, således at erhvervs-
brugeren kan anvende førnævnte identifikationsmiddel til at
autentificere en eller flere erhvervsidentiteter. Tilknytningen
er frivillig for erhvervsbrugeren og frivillig for brugerorga-
nisationen, som erhvervsbrugeren er tilknyttet.
Stk. 4. Finansministeren fastsætter regler om forvaltning
af NemLog-in, herunder regler for identitetssikring af bru-
gerorganisationer, spærring og genåbning af erhvervsbruge-
res digitale identiteter og om adgang til at klage til Digita-
liseringsstyrelsen over afgørelser truffet i medfør af disse
regler.
§ 10. Digitaliseringsstyrelsen kan udpege offentlige myn-
digheder, offentligretlige organer eller juridiske enheder til
på vegne af Digitaliseringsstyrelsen at varetage opgaver i
medfør af § 8, stk. 1, 2. pkt., samt opgaver i medfør af § 9,
stk. 1.
Kapitel 8
Anvendelse af NemLog-in
§ 11. Offentlige myndigheder og offentligretlige organer,
som anvender en digital selvbetjeningsløsning til at udføre
en myndighedsopgave, skal i rollen som tjenesteudbydere
anvende følgende serviceområder:
1) Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis
adgangen til den digitale selvbetjeningsløsning kræver
sikker autentifikation.
2) Digital repræsentation, jf. § 8, stk. 2, nr. 2.
Stk. 2. Offentlige myndigheder og offentligretlige organer
kan i rollen som tjenesteudbydere anvende følgende service-
områder:
1) Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis ad-
gangen til den digitale selvbetjeningsløsning ikke kræ-
ver sikker autentifikation eller hvis der ikke udføres en
myndighedsopgave.
2) Digital signering, jf. § 8, stk. 2, nr. 3.
Stk. 3. Offentlige myndigheder og offentligretlige organer
kan i rollen som brugerorganisationer anvende serviceområ-
det Erhvervsadministration, jf. § 8, stk. 3.
Stk. 4. Offentlige myndigheder og offentligretlige organer
skal i de i stk. 1 anførte tilfælde anskaffe serviceområderne
fra Digitaliseringsstyrelsen. Offentlige myndigheder og of-
fentligretlige organer kan i de i stk. 2 og 3 anførte tilfælde
anskaffe serviceområderne fra Digitaliseringsstyrelsen.
§ 12. Juridiske enheder kan indgå aftale med Digitalise-
ringsstyrelsen om anvendelse af serviceområderne nævnt i §
8, stk. 2, nr. 1 og nr. 3, samt stk. 3.
Afsnit IV
Behandling af personoplysninger
Kapitel 9
Behandling af personoplysninger og videregivelse af
risikodata
§ 13. Ved en privatpersons anvendelse af MitID eller en
erhvervsbrugers anvendelse af det elektroniske identifikati-
onsmiddel i MitID til login og autentifikation kan Digitalise-
ringsstyrelsen videregive autentifikationssvar, herunder risi-
kodata vedrørende den konkrete og enkelte transaktion, til
en broker, der er tilsluttet MitID-løsningen eller NemLog-in.
Stk. 2. En broker kan foretage automatiske afgørelser om
log-in på baggrund af risikodata videregivet efter stk. 1.
Stk. 3. En broker, der i medfør af stk. 1 har modtaget au-
tentifikationssvar, kan videregive det modtagne og behand-
lede autentifikationssvar til en tjenesteudbyder, der modta-
ger autentifikationer fra MitID-løsningen.
Stk. 4. Ved en erhvervsbrugers anvendelse af et elektro-
nisk identifikationsmiddel fra en lokal identitetsgarant til-
sluttet NemLog-in kan Digitaliseringsstyrelsen videregive
autentifikationssvar vedrørende den konkrete og enkelte
transaktion til en broker, der er tilsluttet NemLog-in.
Stk. 5. . En broker, der i medfør af stk. 4 har modtaget au-
tentifikationssvar, kan videregive det modtagne og behand-
lede autentifikationssvar til en tjenesteudbyder, der gennem
en broker modtager autentifikationer fra NemLog-in.
§ 14. Digitaliseringsstyrelsen kan kortvarigt og i et sikret
teknisk miljø behandle følsomme personoplysninger, i for-
bindelse med validering af digitale signaturer i validerings-
tjenesten i serviceområdet Digital signering.
3
Afsnit V
Øvrige bestemmelser
Kapitel 10
Opkrævning af gebyr og vederlag
§ 15. Digitaliseringsstyrelsen indgår aftale med juridiske
enheder om vederlag for tilslutning til og anvendelse af
MitID-løsningen og NemLog-in.
Stk. 2. Offentlige myndigheder og offentligretlige organer
betaler for MitID-løsningen og NemLog-in gennem fælles-
offentlig finansiering eller ved betaling af vederlag fastsat af
finansministeren.
Stk. 3. Finansministeren kan fastsætte regler om opkræv-
ning af gebyr hos privatpersoner for registrering og udste-
delse af MitID.
Kapitel 11
Regler om tilrådighedsstillelse og anvendelse for offentlige
myndigheder og offentligretlige organer
§ 16. Finansministeren fastsætter regler om tilrådigheds-
stillelse for offentlige myndigheder og offentligretlige orga-
ner, jf. §§ 3 og 8, og om offentlige myndigheder og offent-
ligretlige organers tilslutning til og anvendelse af MitID-løs-
ningen og NemLog-in.
Kapitel 12
Påbud
§ 17. Digitaliseringsstyrelsen kan meddele offentlige
myndigheder og offentligretlige organer påbud om at opfyl-
de forpligtelser i henhold til § 6, stk. 1, og § 11, stk. 1.
Kapitel 13
Tilsyn
§ 18. Digitaliseringsstyrelsen fører tilsyn med drift, ved-
ligeholdelse og forvaltning af MitID-løsningen og NemLog-
in, herunder at løsningerne overholder nationale standarder
for eID-ordninger.
Stk. 2. Finansministeren kan fastsætte nærmere regler om
Digitaliseringsstyrelsens tilsyn efter stk. 1, herunder om Di-
gitaliseringsstyrelsens samarbejde med andre tilsynsmyndig-
heder efter aftale med vedkommende minister.
Kapitel 14
Tavshedspligt
§ 19. Offentlige myndigheders medarbejdere og enhver,
der i øvrigt udøver bistand til offentlige myndigheder, er
under ansvar efter straffelovens §§ 152-152 f forpligtet til at
iagttage tavshed over for uvedkommende med hensyn til op-
lysninger om den tekniske og sikkerhedsmæssige indretning
samt processer for opretholdelse, vedligeholdelse og drift af
sikkerhed i MitID-løsningen og NemLog-in.
Kapitel 15
Forvaltningslovens anvendelse
§ 20. Forvaltningsloven finder anvendelse på afgørelser
om udstedelse, spærring og genåbning af MitID, jf. § 4, stk.
2, som træffes af juridiske enheder, der er udpeget i medfør
af § 5, stk. 1.
Stk. 2. Forvaltningsloven finder anvendelse på afgørelser
om identitetssikring af juridiske enheder, spærring af bru-
gerorganisationers adgang til Erhvervsadministration i Nem-
Log-in, samt spærring af digitale identiteter, jf. § 9, stk. 2,
som træffes af juridiske enheder, der er udpeget i medfør af
§ 10.
Kapitel 16
Erstatningsansvar
§ 21. Digitaliseringsstyrelsen er erstatningsansvarlig over
for privatpersoner, offentlig myndigheder, offentligretlige
organer eller juridiske enheder, som følge af fejl i forbin-
delse med registrering, udstedelse og håndtering af MitID,
anvendelse og autentifikation af en privatperson eller en
erhvervsbruger, medmindre at Digitaliseringsstyrelsen kan
godtgøre, at Digitaliseringsstyrelsen ikke har handlet forsæt-
ligt eller uagtsomt.
Kapitel 17
Delegation
§ 22. Finansministeren kan efter aftale med
vedkommende minister bemyndige en anden statslig myn-
dighed til at udøve de beføjelser, der i denne lov er tillagt
Digitaliseringsstyrelsen.
Kapitel 18
Tilvejebringelse af fremtidige elektroniske
identifikationsordninger
§ 23. Digitaliseringsstyrelsen kan samarbejde med offent-
lige myndigheder, offentligretlige organer og juridiske enhe-
der om at tilvejebringe fremtidige elektroniske identifikati-
onsordninger svarende til MitID-løsningen eller andre løs-
ninger, der måtte træde i stedet herfor.
Afsnit VI
Ikrafttræden m.v.
Kapitel 19
Ikrafttræden og overgangsregler
§ 24. Finansministeren fastsætter tidspunktet for lovens
ikrafttræden og kan bestemme, at forskellige dele af loven
træder i kraft på forskellige tidspunkter.
§ 25. Finansministeren kan fastsætte regler om ophævelse
af lov nr. 439 af 8. maj 2018, om udstedelse af NemID med
offentlig digital signatur til fysiske personer og til medarbej-
dere i juridiske enheder.
4
Kapitel 20
Færøerne og Grønland
§ 26. Loven gælder ikke for Færøerne og Grønland, men
kan ved kongelig anordning helt eller delvis sættes i kraft
for Færøerne og Grønland med de ændringer, som henholds-
vis de færøske og grønlandske forhold tilsiger.
5
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Lovforslagets hovedpunkter
2.1. MitID og MitID-løsningen
2.1.1. Gældende ret
2.1.2. Finansministeriets overvejelser og den foreslåede ordning
2.1.2.1. Tilrådighedsstillelse af MitID og MitID-løsningen
2.1.2.2. Forvaltning
2.2. NemLog-in
2.2.1. Gældende ret
2.2.2. Finansministeriets overvejelser og den foreslåede ordning
2.2.2.1. Tilrådighedsstillelse af NemLog-in
2.2.2.2. Forvaltning
2.3. Behandling af personoplysninger
2.3.1. Gældende ret
2.3.2. Finansministeriets overvejelser og den foreslåede ordning
2.3.2.1. Behandling af personoplysninger og videregivelse af risikodata
2.3.2.1.1. MitID og MitID-løsningen
2.3.2.1.2. NemLog-in
2.3.2.2. Dataansvar
3. Forholdet til databeskyttelsesforordningen og databeskyttelsesretten
4. De økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
5. De økonomiske og administrative konsekvenser for erhvervslivet m.v.
6. De administrative konsekvenser for borgerne
7. De klima- og miljømæssige konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer m.v.
10. Sammenfattende skema
1. Indledning
Danmark er langt fremme inden for offentlig digitalise-
ring, og har over de seneste år udviklet en unik offentlig
digital infrastruktur med en meget høj udbredelse og anven-
delse. I takt hermed får den offentlige nationale it-infrastruk-
tur en stadig større rolle i dagligdagen for danskerne, idet
den bidrager til at skabe en effektiv offentlig og privat sek-
tor med værdi for privatpersoner og virksomheder. Centrale
dele af den offentlige nationale infrastruktur udgøres af de
fællesoffentlige it-systemer NemID og NemLog-in, der sam-
men udgør rammen for adgang til offentlige digitale selvbe-
tjeningsløsninger. Lovens formål er at skabe rammen for de
næste generationer af disse digitale infrastrukturløsninger,
hvor NemID bliver til MitID og NemLog-in bliver udviklet i
en ny version. Det sker da kontrakterne med de eksisterende
leverandører af NemID-løsningen og nuværende NemLog-
in udløber i 2021/2022. MitID og NemLog-in vil ligesom
NemID-løsningen og den nuværende NemLog-in være kri-
tisk it-infrastruktur.
De digitale selvbetjeningsløsninger erstatter i dag en lang
række opgaver, som f.eks. indgivelse af ansøgninger, ind-
sendelse af dokumentation via sikker kommunikation med
det offentlige, underskrivelse af aftaler mv., som tidligere
kun kunne håndteres ved manuel sagsbehandling og ved pri-
vatpersonens eller virksomhedens fysiske fremmøde hos den
relevante offentlige myndighed. Derfor er det af afgørende
betydning for den offentlige og private sektor samt det dan-
ske samfund som helhed, at der eksisterer sikre identifikati-
ons- og autentifikationsløsninger, som er en forudsætning
for den digitale forvaltning.
Det er en statslig myndighedsopgave at sikre åben og
lige adgang for alle til den næste generation af de kritiske
it-infrastrukturløsninger MitID og NemLog-in, og at sikre
effektiv og sikker drift af disse centrale løsninger. MitID-
løsningen og NemLog-in danner ramme for den offentlige
digitale it-infrastruktur og sikrer opretholdelse af vitale sam-
fundsmæssige funktioner, menneskers sikkerhed samt øko-
nomiske- og sociale velfærd.
MitID vil ligesom NemID give privatpersoner, virksom-
heder, offentlige myndigheder, frivillige foreninger mv. ad-
gang til at læse Digital Post fra offentlige afsendere samt
give dem adgang til at anvende offentlige digitale selv-
betjeningsløsninger. MitID-løsningen indebærer en central
ændring i forhold til NemID-løsningen, fordi MitID-løs-
ningen fremadrettet alene vil udgøre en autentifikationsløs-
ning. NemID-løsningen indeholdt ud over autentificeringen
6
også en digital signatur. Digital signering vil fremadrettet
ske ved anvendelsen af serviceområdet Digital signering i
NemLog-in-infrastrukturen.
Den nye version af NemLog-in vil styrke samspillet mel-
lem digitale selvbetjeningsløsninger på tværs af den offent-
lige sektor og muliggøre sikker login og autentifikation,
administration af erhvervsidentiteter, digital signering samt
digital repræsentation. I den nye version af NemLog-in vil
der blandt andet blive tilføjet den nye erhvervsidentitetsløs-
ning MitID Erhverv, som erstatning for NemID til erhvervs-
og medarbejdersignatur. Herudover vil der blive udviklet en
ny samlet signeringsløsning baseret på nye signeringsstan-
darder samt givet adgang til, at private, der tilbyder digitale
selvbetjeningsløsninger, fremover kan anvende dele af Nem-
Log-in. NemLog-in vil efterleve kravene i National Stan-
dard for Identiteters Sikringsniveau (herefter NSIS). Stan-
darden er i overensstemmelse med krav fra eIDAS-forord-
ningen og definerer en national ramme for tilliden til digita-
le identiteter.
Formålet med lovforslaget er at fremtidssikre organiserin-
gen af den myndighedsopgave, som udvikling og tilrådig-
hedsstillelse af disse centrale og kritiske offentlige digitale
infrastrukturløsninger udgør. Med et samlet statsligt ejer-
skab til og dataansvar for MitID-løsningen og NemLog-in,
vil disse centrale løsninger løbende og effektivt kunne opda-
teres i takt med den teknologiske udvikling samt det skiften-
de digitale trusselsbillede i form af it-nedbrud og -angreb
mv.
MitID-løsningen og NemLog-in er desuden omfattet af
lokationskravet i lov nr. 502 af 23. maj 2018 om suppleren-
de bestemmelser til forordning om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger
og om fri udveksling af sådanne oplysninger (herefter data-
beskyttelsesloven) § 3, stk. 9, og bestemmelser udstedt i
medfør heraf, at personoplysninger, der behandles i nærmere
bestemte it-systemer, og som føres for den offentlige forvalt-
ning, helt eller delvis alene må opbevares her i landet. Det
fremgår af bekendtgørelse nr. 1104 af 30. juni 2020 om helt
eller delvis opbevaring her i landet af personoplysninger, der
behandles i nærmere bestemte it-systemer, og som føres for
den offentlige forvaltning af bilag 1 liste over it-systemer,
der skal føres her i landet som med MitID som nr. 2 og
NemLog-in3 som nr. 4.
Det er vurderet, at der vil ske behandling af personoplys-
ninger, som på grund af deres karakter eller omfang inde-
bærer en risiko for statens sikkerhed, og it-systemerne skal
derfor opbevares i Danmark.
Med lovforslaget foreslås det, at Digitaliseringsstyrelsen
pålægges denne myndighedsopgave at tilrådighedsstille Mi-
tID-løsningen og NemLog-in. Placeringen af denne opgave
hos Digitaliseringsstyrelsen ligger inden for medlemsstater-
nes ret til at organisere deres forvaltning i medfør af Europa-
Parlamentets og Rådets Forordning (EU) nr. 910/2014 af 23.
juli 2014 om elektronisk identifikation og tillidstjenester til
brug for elektroniske transaktioner på det indre marked og
om ophævelse af direktiv 1999/93/EF (herefter eIDAS-for-
ordningen).
Det foreslås, at offentlige myndigheder og offentligretlige
organer forpligtes til at anvende MitID-løsningen og de cen-
trale dele af NemLog-in, når de udbyder digitale selvbetje-
ningsløsninger vedrørende deres myndighedsopgaver, som
kræver sikker autentifikation.
Formålet med lovforslaget er tillige at sikre det juridi-
ske grundlag for offentlige myndigheders og offentligretlige
organers generelle anvendelse af MitID-løsningen og Nem-
Log-in, med henblik på at give en samlet og ensartet bruger-
rejse på tværs af den digitale offentlige sektor. Med lovfor-
slaget foreslås det, at når offentlige myndigheder tilbyder
selvbetjeningsløsninger, som ikke vedrører myndighedsop-
gaver eller kun kræver autentifikation på sikringsniveau lav,
skal de have ret til at få leveret MitID-løsningen og Nem-
Log-in af Digitaliseringsstyrelsen, hvis de følger de givne
regler om tilslutning, der fastsættes i medfør af loven. Det
foreslås endvidere, at juridiske enheder kan indgå aftale med
Digitaliseringsstyrelsen om at anvende MitID-løsningen og
NemLog-in, og at Digitaliseringsstyrelsen også i disse til-
fælde er forpligtet til at stille ydelserne til rådighed. Dette
giver bl.a. banker og andre virksomheder mulighed for at
anvende MitID som autentifikation af brugere på samme
måde, som NemID anvendes i dag til netbanker og andre
selvbetjeningsløsninger.
Lovforslaget indeholder endvidere hjemmel til at styrke
privatpersoners og virksomheders retsstilling gennem et
klart retligt grundlag for forvaltningen af centrale løsninger
til den fællesoffentlige digitale infrastruktur. Med lovforsla-
get fremsættes således forslag om, at finansministeren fast-
sætter nærmere regler om udstedelse, spærring og genåbning
af MitID og erhvervsidentiteter i NemLog-in. Derved skabes
en gennemsigtig retsstilling for privatpersoner og erhvervs-
brugere, herunder om de betingelser, som skal overholdes
for at benytte løsningerne.
Desuden indeholder lovforslaget bemyndigelsesbestem-
melser, hvorefter finansministeren kan fastsætte nærmere
regler om tilslutning til MitID-løsningen samt NemLog-in
og dets enkelte serviceområder, opkrævning af gebyrer og
tilsyn. Endvidere fremsættes der med lovforslaget klare ram-
mer for dataansvaret.
2. Lovforslagets hovedpunkter
Finansministeriet vil med lovforslaget introducere en ræk-
ke tekniske ændringer til de gældende løsninger NemID og
NemLog-in.
Der etableres for det første en ny ordning for erhvervsi-
dentiteter. Hvor MitID er den nationale identitetsgarant for
digitale privatidentiteter, etableres NemLog-in parallelt som
den nationale identitetsgarant for digitale erhvervsidentite-
ter. Det betyder, at erhvervsidentiteter fremadrettet findes og
oprettes i NemLog-in.
Hvor MitID er den nationale identitetsgarant for digitale
identiteter til privatpersoner, etableres NemLog-in parallelt
som den nationale identitetsgarant for digitale identiteter til
erhvervsbrugere. Det betyder, at erhvervsbrugeres digitale
identiteter fremadrettet registreres og oprettes i NemLog-in i
7
serviceområdet Erhvervsadministration. Det er i serviceom-
rådet Erhvervsadministration, at brugerorganisationer kan
oprette og tildele erhvervsidentiteter til deres erhvervsbruge-
re. Brugerorganisationer kan både være offentlige myndig-
heder, offentligretlige organer eller juridiske enheder, som
anvender digitale selvbetjeningsløsninger i erhvervsøjemed.
NemLog-in skal løbende kunne udvikles og tilpasses nye
teknologier, ændringer i trusselsbilledet, skiftende slutbru-
gerbehov og potentielt nye lovgivningsmæssige krav. Det er
Finansministeriets vurdering, at loven samt de kontrakter,
der er indgået med leverandører af løsningerne, tager hånd
om dette.
I modsætning til i dag, hvor det alene er muligt at knytte
én identitet til ét specifikt elektronisk identifikationsmiddel,
vil det for det andet fremadrettet være teknisk muligt at
have en løs kobling mellem identiteter og elektroniske iden-
tifikationsmidler. Dette betyder, at det vil være muligt at
anvende et MitID-identifikationsmiddel udstedt til en privat-
person i sammenhæng med én eller flere erhvervsidentite-
ter. Herudover vil det være muligt at få udstedt et dedikeret
elektronisk identifikationsmiddel til én eller flere erhvervsi-
dentiteter. Det vil også være muligt at have en kombination
af ovenstående, hvor der anvendes et MitID-identifikations-
middel udstedt til en privatperson til én eller flere af perso-
nens erhvervsidentiteter samtidig med, at personen har ét
eller flere dedikerede elektroniske identifikationsmidler til
specifikke erhvervsidentiteter.
I modsætning til i dag, hvor der sker direkte henvendelse
til leverandøren af NemID-løsningen for at blive tilsluttet,
vil der for det tredje ske den ændring, at udbydere af di-
gitale selvbetjeningsløsninger i fremtiden skal anvende en
broker. Brokeren fungerer som bindeled mellem tjenesteud-
byderen og MitID-løsningen. NemLog-in er Digitaliserings-
styrelsens brokerydelse for MitID.
Ved brokermodellen skal tjenesteudbyderen ikke forholde
sig til den tekniske integration til den bagvedliggende iden-
titetsgarant (fx NemID eller MitID). I stedet skal tjenesteud-
byderen koble op mod en simplere snitflade hos den valgte
broker.
Det forventes, at der overordnet vil være tre kategorier
af brokere, der vil betjene tjenesteudbydere i forskellige
sektorer; 1) Den offentlige identitetsbroker NemLog-in, 2)
brokere til pengeinstitutter og 3) kommercielle brokere til
tjenesteudbydere fra andre dele af den private sektor.
2.1. MitID og MitID-løsningen
2.1.1. Gældende ret
NemID er reguleret i lov nr. 439 af 8. maj 2018 om ud-
stedelse af NemID med offentlig digital signatur til fysiske
personer og til medarbejdere i juridiske enheder (herefter
NemID-loven).
NemID er borgeres og virksomheders sikre log-in til
både offentlige og private selvbetjeningsløsninger. NemID
blev lanceret den 1. juli 2010 til både privatpersoner og
til erhvervsdrivende. Med NemID bruges det samme bru-
ger-id og den samme adgangskode til både netbank, offent-
lige hjemmesider og en lang række private tjenester på net-
tet. Det forbedrer servicen i den offentlige sektor samtidig
med, at effektiviteten øges.
NemID med offentlig digital signatur til fysiske personer
samt NemID til medarbejdere i juridiske enheder (NemID)
er blevet udbredt til det meste af befolkningen og til stort
set alle virksomheder, offentlige myndigheder, frivillige for-
eninger mv. med et cvr-nummer. På mange offentlige digita-
le selvbetjeningsløsninger forudsættes det nu, at borgerne,
virksomheder, offentlige myndigheder, frivillige foreninger
mv. har og anvender NemID. Dette gælder blandt andet,
når en borger eller virksomhed skal have adgang til at læse
Digital Post fra offentlige afsendere, og når en borger eller
virksomhed skal anvende offentlige digitale selvbetjenings-
løsninger.
Loven regulerer administration og udstedelse af NemID
samt betingelserne for at få udstedt NemID. Endvidere regu-
leres fysiske personers og medarbejdere i juridiske enheders
adgang til at klage over afslag på udstedelse af NemID
eller ved spærring af NemID. Loven indeholder desuden
en hjemmel til, at ministeren for offentlig innovation, nu
finansministeren, udpeger en privat virksomhed, der admini-
strerer og træffer afgørelse om udstedelse af NemID med
offentlig digital signatur til fysiske personer og til medarbej-
dere i juridiske enheder. Loven fastslår endvidere, at fysiske
personer, der er fyldt 15 år og har et cpr-nummer, kan an-
mode om at få udstedt NemID til fysiske personer, og at
juridiske enheder, der har et cvr-nummer, kan anmode om at
få udstedt NemID til medarbejdere i juridiske enheder. Lo-
ven sikrer dermed en klar lovgivningsmæssig ramme for
pligter og rettigheder i forbindelse med administration og
udstedelse af NemID.
Loven indeholder desuden en bemyndigelse til at fastsæt-
te nærmere regler om administration af NemID, herunder
regler om udstedelse og spærring og om håndtering af Nem-
ID. På baggrund af denne bemyndigelse fastsætter bekendt-
gørelse nr. 899 af 21. juni 2018 om udstedelse og spærring
af NemID med offentlig digital signatur (herefter bekendt-
gørelse om NemID) de nærmere betingelser for udstedelse
og spærring af NemID med offentlig digital signatur for
henholdsvis fysiske personer, medarbejdere og juridiske en-
heder.
Derudover reguleres NemID i dag af en certifikatpoli-
tik for OCES-personcertifikater og en certifikatpolitik for
OCES-medarbejdercertifikater. OCES er betegnelsen for Of-
fentlige Certifikater til Elektronisk Service. OCES-certifika-
tpolitikkerne administreres af Digitaliseringsstyrelsen. Certi-
fikatpolitikken for OCES-personcertifikater og OCES-med-
arbejdercertifikater udgør i dag grundlaget for udstedelse af
NemID til privatpersoner og erhvervsbrugere.
NemID reguleres også af aftaler mellem Nets DanID A/S
og registreringsenheder. Registreringsenhederne varetager
opgaven med udstedelse af NemID, fx fungerer borgerser-
vicecentre og banker som registreringsenheder og er således
beføjet til at udstede NemID. NemID reguleres desuden
af aftaler mellem Nets DanID A/S og den enkelte fysiske
8
person eller medarbejder, der har fået udstedt NemID. I
disse aftaler reguleres blandt andet, hvordan håndteringen af
NemID skal foregå for at hindre snyd og misbrug af NemID.
På en lang række områder er det et krav, at privatpersoner
og erhvervsbrugere anvender NemID, når de skal tilgå of-
fentlige digitale selvbetjeningsløsninger. I lovbekendtgørel-
se nr. 801 af 13. juni 2016 om Digital Post fra offentlige
afsendere med senere ændringer, er det fastsat, at fysiske
personer, der er 15 år eller derover, og som har bopæl eller
fast ophold i Danmark, obligatorisk skal tilsluttes Digital
Post. Det er endvidere fastsat, at juridiske enheder med cvr-
nummer skal tilsluttes Digital Post. En forudsætning for at
kunne tilsluttes og tilgå Digital Post er, at den fysiske person
har NemID med offentlig digital signatur til fysiske person-
er, og at den juridiske enhed har NemID til medarbejdere i
juridiske enheder til mindst en medarbejder.
Der er indført obligatorisk digital selvbetjening (de så-
kaldte bølgelove) på en lang række offentlige områder som
led i udmøntning af den fælles offentlige digitaliseringsstra-
tegi (2011-2015) ved de fire samlelove om overgang til obli-
gatorisk digital selvbetjening; lov nr. 558 af 18. juni 2012
(bølge 1), lov nr. 622 af 12. juni 2013 (bølge 2), lov nr.
552 af 2. juni 2014 (bølge 3) og lov nr. 742 af 1. juni 2015
(bølge 4).
De fire samlelove indfører i de fagspecifikke love stort
set enslydende bestemmelser om, at de privatpersoner, der
kan, skal anvende digital selvbetjening, når privatpersonen
skal ansøge, anmelde eller anmode mv. om det konkrete for-
hold, som loven på det pågældende område omhandler. Når
en privatperson skal tilgå en offentlig myndigheds digitale
selvbetjeningsløsning, vil det oftest forudsætte anvendelse
af NemID. Tilsvarende er der på en lang række områder ind-
ført obligatorisk digital selvbetjening for virksomheder. Det
gælder eksempelvis på Erhvervsministeriets område, hvor
blandt andet portalen Virk skal tilgås med NemID til medar-
bejdere i juridiske enheder.
Elektroniske signaturer, som også foreslås reguleret med
lovforslaget, er reguleret af eIDAS-forordningen samt lov
nr. 617 af 8. juni 2016 om supplerende bestemmelser til
forordning om elektronisk identifikation og tillidstjenester
til brug for elektroniske transaktioner på det indre marked
(herefter supplerende lov om eIDAS). Forordningen er nær-
mere beskrevet i afsnit 8.1.
2.1.2. Finansministeriets overvejelser og den foreslåede ord-
ning
Kontrakten med Nets DanID A/S om NemID udløber, og
det har således været nødvendigt for Finansministeriet at
overveje videreførelsen af den digitale infrastruktur forbun-
det med NemID-løsningen.
Overvejelserne har ført til, at der igennem en udbudslig-
nende proces blev oprettet et partnerskab mellem Digita-
liseringsstyrelsen på vegne af staten, de danske regioner
og kommuner, og FR I af 16. september 2015 A/S, et sel-
skab under Finans Danmark, der er interesseorganisation
for bank, realkredit, kapitalforvaltning, værdipapirhandel og
investeringsfonde i Danmark. Partnerskabet har samarbejdet
om, igennem et EU-udbud, at anskaffe og i fællesskab finan-
siere en for samfundet kritisk national identitets- og autenti-
fikationsløsning. Partnerskabet har på den baggrund indgået
kontrakt med den private virksomhed Nets DanID A/S, som
leverandør af udvikling, drift, vedligeholdelse, support og
videreudvikling af MitID-løsningen og MitID. Det fremgår
af udbudsmaterialet, at den udbudte løsning etableres som
en national eID-ordning, som alle offentlige myndigheder
og offentligretlige organer kan forpligtes til at anvende ved
lov.
Med de nye løsninger ændres infrastrukturen på nogle
områder. Den del af NemID, som tidligere var rettet mod
privatpersoner, bliver afløst af MitID. Den del af NemID,
som tidligere var rettet mod erhvervsbrugere, udvikles som
en del af den nye infrastruktur i NemLog-in. Etablering af
den erhvervsrettede del i NemLog-in sker af hensyn til at
opnå en smidigere og mere sammenhængende og fremtids-
sikret erhvervsløsning, der kan forbedre brugeroplevelsen
særligt på erhvervsområdet. Den del af løsningen, som er
rettet mod privatpersoner, fornys ligeledes med MitID.
MitID bliver den danske nationale eID-løsning og vil leve
op til kravene i eIDAS-forordningen. Herudover vil MitID-
løsningen fremadrettet alene udgøre en autentifikationsløs-
ning, hvor NemID-løsningen ud over autentifikation blandt
andet også indeholdt digital signatur.
Digital signatur vil med den nye digitale infrastruktur
fremadrettet ske ved anvendelsen af serviceområdet Digital
signering i NemLog-in. Dette medfører, at hvor der tidligere
var lighed mellem NemID og digital signatur, vil der frem-
adrettet skulle anvendes serviceområdet Digital signering
til den digitale underskrift baseret på autentifikation med
MitID. NemLog-in indeholder serviceområderne Autentifi-
kation og log-in, Digital repræsentation, Digital signering og
Erhvervsadministration. Serviceområder er således en beteg-
nelse for en service som Digitaliseringsstyrelsen i NemLog-
in kan tilrådighedsstille for offentlige myndigheder, offent-
ligretlige organer og juridiske enheder.
Med introduktionen af de nye løsninger bliver det muligt
at fortsætte udviklingen i retning af en mere fleksibel og
fremtidssikret modulær arkitektur i den fællesoffentlige in-
frastruktur for digitale identiteter. Derudover er løsningerne
baseret på fleksibilitet mellem identitet og tilkobling af iden-
tifikationsmidler, som særligt for erhvervsbrugere vil ople-
ves som mere fleksibelt. En erhvervsbruger kan fx anvende
et identifikationsmiddel til både erhvervsbrug og privatbrug,
hvis identifikationsmidlet er koblet til både den private iden-
titet og erhvervsidentiteten. I NemID er det påkrævet, at
man skal have særskilte identifikationsmidler til hver identi-
tet.
Med NemID-løsningen kan en tjenesteudbyder henvende
sig til leverandøren af NemID-løsningen og blive tilslut-
tet løsningen. Tilslutningen muliggør implementering af
NemID-løsningen til tjenesteudbyderens egen digitale løs-
ning. MitID-løsningen vil fungere anderledes på dette punkt,
idet en tjenesteudbyder i stedet skal anvende en broker, der
fungerer som bindeled mellem tjenesteudbyderen og MitID-
9
løsningen. I NSIS defineres det som en identitetsbroker, som
formidler en autentificeret digital identitet til tredjeparter på
baggrund af en autentifikation, der er verificeret af brokeren
selv eller eventuelt af en anden tredjepart. MitID-løsningen
vil således være baseret på et brokerkoncept, som indebæ-
rer, at tjenesteudbydere i stedet for at tilgå MitID-løsningen
direkte, tilgår løsningen gennem en broker. NemLog-in vil
fungere som den fællesoffentlige broker for MitID og vil
således være MitID-identitetsbroker.
Ud over den fællesoffentlige identitetsbroker, som omtalt
ovenfor, vil der kunne være andre identitetsbrokere koblet
til NemLog-in. En identitetsbroker koblet til NemLog-in
skal være NSIS-anmeldt. En identitetsbroker koblet til Nem-
Log-in vil kunne interagere med MitID-løsningen gennem
NemLog-in og gennem tilkobling til NemLog-in formidle
autentificerede identiteter. En MitID-identitetsbroker kan li-
geledes formidle digitale identiteter fra en lokal identitets-
garant. En lokal identitetsgarant er en betroet udsteder af
lokale elektroniske identiteter, der er associeret med en el-
ler flere brugerorganisationer oprettet i serviceområdet Er-
hvervsadministration i NemLog-in. En lokal identitetsgarant
muliggør blandt andet, at en juridisk enhed kan anvende
egne lokale identiteter og identifikationsmidler sammen med
erhvervsidentiteter i serviceområdet Erhvervsadministration
i NemLog-in. I praksis vil etablering og drift som lokal
identitetsgarant medføre, at den juridiske enhed selv kan
håndtere følgende processer for deres egne erhvervsbrugere
nemlig identitetssikring, udstedelse af lokale identiteter og
identifikationsmidler samt autentifikation til lokale it-syste-
mer.
Der eksisterer ikke i dag et marked af brokere, men der
gives med loven mulighed for, at et sådant marked vil kunne
opstå. Offentlige myndigheder, offentligretlige organer og
juridiske enheder vil i henhold til loven således kunne indgå
aftale med Digitaliseringsstyrelsen om anvendelse af MitID-
løsningen både som tjenesteudbydere og som brokere.
Ved brokermodellen skal tjenesteudbyderen ikke forhol-
de sig til den tekniske integration til den bagvedliggende
identitetsgarant. I MitID infrastrukturen vil det dermed ikke
længere være muligt for tjenesteudbydere at tilslutte sig Mi-
tID-løsningen direkte. I stedet vil de skulle have adgang
igennem tilslutning til en certificeret MitID-identitetsbroker,
der håndterer selve den tekniske integration til løsningen
samt autentifikationsprocessen af slutbrugeren.
Finansministeren har med organiseringen af tilrådigheds-
stillelse af den kritiske fællesoffentlige digitale infrastruktur
blandt andet lagt vægt på, at det i Danmark i overensstem-
melse med eIDAS-forordningen er valgt at MitID skal væ-
re den nationale eID-ordning. Endvidere har sikkerheden,
herunder forsyningssikkerheden i disse digitale infrastruk-
turløsninger, hvoraf MitID-løsningen og NemLog-in udgør
kernen, haft betydning i overvejelserne om organiseringen
af tilrådighedsstillelse af den kritiske fællesoffentlige digita-
le infrastruktur. Det har også været et hensyn, at tilliden
til anvendelsen af offentlige digitale selvbetjeningsløsnin-
ger i forbindelse med myndighedsopgaver ikke kompromit-
teres. Det er ud fra disse overvejelser og betragtninger en
myndighedsopgave, at stille MitID-løsningen til rådighed
for offentlige myndigheder og at sikre, at løsningen udvik-
les, vedligeholdes, driftes og forvaltes af Digitaliseringssty-
relsen. Af de samme grunde er det en myndighedsopgave
for Digitaliseringsstyrelsen at stille MitID til rådighed for
privatpersoner og erhvervsbrugere.
På den baggrund er det Finansministeriets vurdering, at
loven skal forpligte offentlige myndigheder og offentligretli-
ge organer til at anvende MitID-løsningen, når de giver pri-
vatpersoner og erhvervsbrugere adgang til digitale selvbetje-
ningsløsninger, som – når de udfører myndighedsopgaver –
kræver sikker autentifikation.
Offentlige myndigheder og offentligretlige organer kan
således vælge andre leverandører af digitale identiteter
og identifikationsmidler til digitale selvbetjeningsløsninger,
hvorfra der ikke udføres myndighedsopgaver, eller som ale-
ne kræver autentifikation på sikringsniveau lav. Offentlige
myndigheder og offentligretlige organer kan anvende andre
brokere end NemLog-in til at få adgang til MitID-løsningen
i de tilfælde, hvor de ikke har pligt til at anskaffe løsningen
fra Digitaliseringsstyrelsen.
Det er Finansministeriets vurdering, at det er i samfundets
interesse, at markedet for digitale identiteter og elektroniske
identifikationsmidler ikke lukkes for private leverandører
i større omfang end nødvendigt. Derudover vil offentlige
myndigheder og offentligretlige organer frit kunne vælge at
anvende lokale identifikationsmidler. Tilslutningen til Nem-
Log-in giver den lokale identitetsgarant mulighed for at
knytte lokale identifikationsmidler til erhvervsidentiteterne
i NemLog-in. En virksomhed vil således kunne tilknytte lo-
kale identifikationsmider til virksomhedens ansatte. Derved
kan et lokalt identifikationsmiddel anvendes til autentifika-
tion internt hos den lokale identitetsgarant fx internt i en
virksomhed og til autentifikation over for tjenesteudbydere
tilsluttet en broker i NemLog-in.
MitID-løsningen skal løbende kunne udvikles og tilpasses
nye teknologier, autentifikationsmetoder, ændringer i trus-
selsbilledet, skiftende slutbrugerbehov og potentielt nye lov-
givningsmæssige krav. Det er Finansministeriets vurdering,
at loven samt de kontrakter, der er indgået med leverandører
til løsningerne, tager hånd om dette.
2.1.2.1. Tilrådighedsstillelse af MitID og MitID-løsningen
Med introduktion af MitID-løsningen og NemLog-in er
det fra offentlig side hensigten at fortsætte udviklingen i
retning af en mere fleksibel og fremtidssikret modulær arki-
tektur i den fællesoffentlige kritiske infrastruktur for digitale
identiteter, signering og brugerrettighedsstyring.
For at varetage dette hensyn og for at opnå de øvrige
formål, der ligger til grund for lovforslaget, foreslås det,
at Digitaliseringsstyrelsen pålægges som myndighedsopga-
ve at stille MitID-løsningen til rådighed for offentlige myn-
digheder og offentligretlige organer. Digitaliseringsstyrelsen
pålægges tilsvarende at stille MitID til rådighed for privat-
personer og erhvervsbrugere.
Digitaliseringsstyrelsen har ansvaret for at implementere
10
regeringens planer om øget digitalisering i den offentlige
sektor. En fortsat og løbende modernisering af den fælles-
offentlige digitale infrastruktur er med til at sikre, at den
offentlige sektor kan levere en sikker og tidssvarende ser-
vice, der lever op til privatpersoners, erhvervsbrugeres, of-
fentlige myndigheders, offentligretlige organers og juridiske
enheders forventninger om effektiv og sammenhængende
offentlig digital service. Sikre digitale identiteter og dertil
relaterede services er en forudsætning for, at den digitale
offentlige forvaltning, derfor pålægges Digitaliseringsstyrel-
sen, herunder at loven medfører som myndighedsopgave at
stille MitID-løsningen til rådighed på vegne af den danske
stat for alle offentlige myndigheder og offentligretlige orga-
ner for at kunne realisere den fortsatte digitalisering af det
danske samfund.
Digitaliseringsstyrelsen har derfor en særlig status som in-
strument og teknisk tjeneste for hele den offentlige sektor og
skal imødekomme alle offentlige myndigheders og offent-
ligretlige organers anmodning om tilslutning i overensstem-
melse med denne lovs bestemmelser. Den udbudsretlige re-
lation mellem Digitaliseringsstyrelsen og de offentlige myn-
digheder og offentligretlige organer er i denne henseende
af intern karakter, kendetegnet ved Digitaliseringsstyrelsens
underordning og afhængighed af de offentlige myndigheder
og offentligretlige organer, når de afgiver deres anmodning
om tilslutning i medfør af loven.
Når tilrådighedsstillelsen af ovenstående løsninger sker
centralt som led i en myndighedsopgave, sikres grundla-
get for en fællesoffentlig it-infrastruktur. Tilrådighedsstillel-
sen forudsætter, at Digitaliseringsstyrelsen sikrer udvikling,
drift, vedligeholdelse og forvaltning af løsningerne. Forsy-
ningen af de centrale it-infrastrukturløsninger er en forud-
sætning for, at den danske forvaltning følger med den tek-
nologiske udvikling og kan møde privatpersoners og virk-
somheders behov for sikker digital identifikation og kom-
munikation med den offentlige sektor. For privatpersoner og
erhvervsbrugere betyder dette, at de i mødet med de offent-
lige digitale selvbetjeningsløsninger vil opleve en ensartet,
sikker og genkendelig brugerrejse på tværs af det offentlige
digitale landskab.
Det er hensigten, at infrastrukturløsningerne skal være
med til at effektivisere den offentlige sektor og sikre bespa-
relser, da løsningerne giver privatpersoner og erhvervsbru-
gere mulighed for at betjene sig selv, i de tilfælde hvor
sagsbehandling med fysisk fremmøde kan erstattes af digital
sagsbehandling.
Offentlige myndigheders og offentligretlige organers an-
skaffelse af MitID-løsningen og NemLog-in fra Digitalise-
ringsstyrelsen foretages i medfør af loven og uden, at det for
offentlige myndigheder og offentligretlige organer er muligt
at forhandle om vilkår for løsningernes anvendelse og ve-
derlag. Økonomien for løsningerne bygger på en model,
som indebærer, at opkrævning af betaling for anvendelse af
løsningerne altid reguleres efter de faktiske omkostninger
ved løsningerne.
Offentlige myndigheder og offentligretlige organer, som
udfører en myndighedsopgave, har en pligt til at anskaffe
MitID-løsningen og serviceområderne Login og autentifika-
tion og Digital repræsentation i NemLog-in fra Digitalise-
ringsstyrelsen, i det omfang deres digitale selvbetjenings-
løsninger kræver sikker autentifikation. Anskaffelsespligten
giver Digitaliseringsstyrelsen en eksklusiv rettighed og har
til formål at sikre, at den offentlige orden og sikkerhed,
herunder hensynet til de samfundsøkonomiske overvejelser
om fælles anskaffelse af it-løsninger i staten. Offentlige
myndigheders og offentligretlige organers pligt til at anskaf-
fe MitID-løsningen og NemLog-in fra Digitaliseringsstyrel-
sen udbreder anvendelsen af MitID som elektronisk identifi-
kationsløsning, hvilket sikrer kendskab til løsningen i det
danske samfund. Kendskab til løsningerne er afgørende for
brugen, sikkerheden og tilliden til den offentlige digitale
selvbetjening, hvilket er en forudsætning for den offentli-
ge orden. Hensynet til den offentlige sikkerhed varetages
ligeledes gennem denne pligt, idet samlet statslig kontrol
med samfundskritisk it-infrastruktur sikres. Herved vil Mi-
tID-løsningen og NemLog-in løbende og effektivt kunne
opdateres i takt med den teknologiske udvikling samt et
skiftende digitalt trusselsbillede. Større sikkerhed opnås så-
ledes, når myndighederne forpligtes til at anvende disse it-
infrastrukturløsninger.
Pligten til at anvende løsningerne er desuden med til at
sikre en ensartet brugerrejse for privatpersoner og erhvervs-
brugere, når privatpersoner og erhvervsbrugere skal foretage
login og autentifikation i mange offentlige myndigheders
digitale selvbetjeningsløsninger. På den måde vil privatper-
soner og erhvervsbrugere opleve en genkendelighed, når de
færdes på de forskellige digitale selvbetjeningsløsninger hos
offentlige myndigheder.
For digitale selvbetjeningsløsninger, som enten ikke kræ-
ver sikker autentifikation eller ikke vedrører myndighedsop-
gaver, skaber loven en ret til, at offentlige myndigheder og
offentligretlige organer kan anvende MitID-løsningen. Når
offentlige myndigheder og offentligretlige organer har en
ret til at anskaffe disse dele af MitID-løsningen fra Digita-
liseringsstyrelsen, tilstræbes stor anvendelse af og udbredel-
se af eksisterende fællesoffentlig infrastruktur på tværs af
offentlige digitale selvbetjeningsløsninger i stedet for, at en-
keltmyndigheder anskaffer og anvender individuelle løsnin-
ger. Ligeledes er det i principperne for digitaliseringsklar
lovgivning fastsat, at offentlige myndigheder i det omfang,
det er muligt og hensigtsmæssigt, bør genbruge digital in-
frastruktur for derigennem at skabe sammenhæng for privat-
personer og virksomheder på tværs af den offentlige forvalt-
ning.
Den foreslåede løsning indebærer således, at Digitalise-
ringsstyrelsen gives en eksklusiv rettighed, som omhandlet i
§ 17 i udbudsloven, lov nr. 1564 af 15. december 2015 (her-
efter udbudsloven), til at levere MitID-løsningen til offentli-
ge myndigheder og offentligretlige organer, som pålægges
pligt til at anvende løsningerne.
I de tilfælde hvor offentlige myndigheder og offentligretli-
ge organer alene har ret til at aftage løsningerne af Digitali-
seringsstyrelsen, er Digitaliseringsstyrelsen et instrument og
en teknisk tjeneste for myndighederne. Digitaliseringsstyrel-
11
sen har således ikke frihed til at bestemme hvilke opgaver,
den vil udføre eller til hvilken takst. Loven med tilhøren-
de bekendtgørelser udgør i denne sammenhæng en ensidig
administrativ retsakt, der alene opstiller betingelser for Digi-
taliseringsstyrelsen. Eftersom alle regler om tilrådighedsstil-
lelse og anvendelse følger af loven, vil der ikke være tale
om en gensidigt bebyrdende kontrakt, jf. udbudslovens § 24,
nr. 24, og myndighederne kan således anskaffe løsningerne
fra Digitaliseringsstyrelsen i medfør af loven, uden at skulle
gennemføre et udbud, jf. også præambel betragtning nr. 5 og
nr. 34 i Europa Parlamentets og Rådets direktiv nr. 2014/24
af 26. februar 2014 om offentlige udbud og om ophævelse af
direktiv 2004/18/EF (herefter udbudsdirektivet). Der henvi-
ses i øvrigt til afsnit 2.1. og 2.2. nedenfor om de udbud, som
Digitaliseringsstyrelsen har gennemført på vegne af hele den
offentlige forvaltning ved løsningernes anskaffelse.
Det foreslås også, at Digitaliseringsstyrelsen pålægges
at stille MitID-løsningen til rådighed for juridiske enhe-
der. Lovforslaget giver således juridiske enheder en ret til, at
disse efter aftale med Digitaliseringsstyrelsen kan anvende
MitID-løsningen under overholdelse af de regler om tilrå-
dighedsstillelse og anvendelse, som fastsættes af Digitalise-
ringsstyrelsen.
Ordningen kan for MitID-løsningen i oversigtsform illu-
streres som følger:
Sikringsniveauer Offentlige myndigheder og offentlig-
retlige organer, når de udfører en
myndighedsopgave
Offentlige myndigheder og offentlig-
retlige organer, når de ikke udfører
en myndighedsopgave
Høj eller betydelig (sikker autentifika-
tion)
Pligt Ret
Lav Ret Ret
2.1.2.2. Forvaltning
Med den foreslåede § 4 sikrer Digitaliseringsstyrelsen at
der sker identitetssikring af privatpersoner, registrering af
identiteter, udstedelse, spærring og genåbning af MitID til
privatpersoner efter reglerne fastsat i medfør af bestemmel-
sens stk. 2. Digitaliseringsstyrelsen sikrer endvidere udste-
delse, spærring af identifikationsmidler til erhvervsbrugere
efter reglerne fastsat i medfør af stk. 2.
Det foreslås i § 4, stk. 2, at der indføres hjemmel til
at finansministeren fastsætter regler om forvaltningen af
MitID-løsningen og MitID, herunder regler om udstedelse,
suspension, spærring og genåbning af MitID og regler for
indbringelse af klage over en afgørelse om udstedelse, su-
spension og spærring af MitID. Det forventes, at en klage
over en afgørelse kan indbringes for Digitaliseringsstyrelsen
efter genvurdering hos den registreringsenhed, der har truf-
fet afgørelsen.
Finansministeren vil tillige kunne fastsætte regler med
krav, der stilles til privatpersoner og erhvervsbrugere ved
løbende håndtering af MitID.
Med en omstilling fra NemID til MitID vil der være en
omstilling til en ny eID-løsning, som ikke længere indehol-
der det analoge identifikationsmiddel, nøglekortet. Med ud-
fasning af nøglekortet følger der en tilvænning til en ny
løsning, som af nogle privatpersoner vil opleves som mere
digital. Privatpersoner, som ikke ønsker at anvende MitID-
appen som identifikationsmiddel, vil dog fortsat kunne væl-
ge fysiske elektroniske identifikationsmidler, som afløser for
nøglekortet.
Endvidere vil der være en høj grad af genkendelighed
fra de eksisterende løsninger, hvilket forventeligt på sigt vil
bringe antallet af klager fra privatpersoner på niveau med
det nuværende antal klager. I den nye løsning reduceres
risikoen for snyd med de fysiske og kopierbare nøglekort,
hvilket ligeledes forventes at kunne nedbringe antallet af
klager. Det vurderes, at lovforslaget indeholder et hjemmels-
grundlag, som sikrer mulighed for at fastsætte klare regler
for privatpersoners retsstilling, og hvori det fastslås, at pri-
vatpersoner kan klage til Digitaliseringsstyrelsen over afslag
på at få udstedt MitID mv.
MitID-løsningen er en ny løsning, og er derfor ikke lov-
reguleret i dag. Det forventes, at der videreføres regler fra
lov om NemID med offentlige digital signatur, om udpeg-
ning af offentlige myndigheder, offentligretlige organer eller
juridiske enheder til på vegne af Digitaliseringsstyrelsen at
varetage opgaven med udvikling, drift, vedligeholdelse og
forvaltning af MitID-løsningen.
Det fastslås i § 5 at Digitaliseringsstyrelsen kan udpege of-
fentlige myndigheder, offentligretlige organer eller juridiske
enheder til på vegne af Digitaliseringsstyrelsen at varetage
opgaver efter § 3, stk. 1, 1. pkt., samt opgaver i medfør af §
4, stk. 1.
Det følger endvidere af bestemmelsens stk. 2, at kommu-
nalbestyrelsen skal varetage opgaver på vegne af Digitalise-
ringsstyrelsen. Dette betyder, at kommunerne forpligtes til at
varetage opgaverne med registrering af identiteter, udstedel-
se, spærring og genåbning af MitID til privatpersoner. Disse
opgaver varetages i dag i registreringsenheder, som findes
i de fleste kommuner. Registreringsenheder findes i dag pri-
mært i forbindelse med kommunale borgerservicecentre.
12
Kommunerne skal sikre, at det fortsat er let tilgængeligt
for privatpersoner at få hjælp til oprettelsen af MitID, fx ved
at opgaverne placeres i kommunale borgerservicecentre eller
lignende steder i kommunen.
2.2. NemLog-in
2.2.1. Gældende ret
NemLog-in er ikke lovreguleret i dag. Området er deri-
mod reguleret kontraktuelt mellem Digitaliseringsstyrelsen
og den private virksomhed NNIT A/S. I dag varetages opga-
ven med drift af NemLog-in af NNIT A/S.
NemLog-in varetager en central rolle i den nationale di-
gitale infrastruktur, idet NemLog-in gør det muligt for pri-
vatpersoner og erhvervsbrugere at varetage opgaver i de
offentlige digitale selvbetjeningsløsninger på en let måde,
hvor der tidligere krævedes fysisk fremmøde hos fx kom-
munen. NemLog-in anvendes til at skabe sikker adgang til
offentlige digitale selvbetjeningsløsninger.
Det fremgår af tekstanmærkning nr. 124, stk. 1 ad
07.12.02 til § 7 på finansloven fra 2020, at ministeren for
offentlig innovation, nu finansministeren, bemyndiges til at
indføre de myndigheder mv., der fremgår af bilag 1a, 1b
og bilag 1c i bekendtgørelse nr. 1078 af 3. oktober 2014
om offentlige afsendere i Offentlig Digital Post og desuden
domstolene, KL, Danske Regioner, Metroselskabet I/S, Ud-
viklingsselskabet By Havn I/S, Odense Letbane P/S og Aar-
hus Letbane I/S som parter i Digitaliseringsstyrelsens aftale
med leverandøren af NemLog-in. Derudover fremgår det af
tekstanmærkning nr. 124, stk. 2, at de offentlige myndighe-
der, selvejende institutioner mv. kan vælge at gøre brug af
aftalen.
NemLog-in udgør således den løsning, som en privatper-
son eller en erhvervsbruger i dag mødes af, når de vil foreta-
ge et login på en offentlig digital selvbetjeningsløsning, som
kræver autentifikation af privatpersonens eller erhvervsbru-
gerens digitale identitet. Her anvendes NemLog-in til at sik-
re autentifikation af privatpersonen eller erhvervsbrugeren,
førend pågældende lukkes ind i den selvbetjeningsløsning,
der ønskes adgang til. Samtidig muliggør NemLog-in, at
privatpersoner og nogle erhvervsbrugere kan anvende den
digitale repræsentationsløsning, såfremt de skal repræsente-
re andre digitalt eller lade sig repræsentere digitalt. Visse
væsentlige funktioner i NemLog-in er alene tilgængelige for
den offentlige sektor. En af disse er funktionen Single sign-
on, som sikrer en ubrudt og sammenhængende brugerrejse
på tværs af de offentlige løsninger, således at en privatper-
son eller en erhvervsbruger alene afkræves et enkelt login
ved adgangen til flere tilsluttede offentlige selvbetjenings-
løsninger.
2.2.2. Finansministeriets overvejelser og den foreslåede ord-
ning
Kontrakten med NNIT A/S om NemLog-in udløber, og
det har således været nødvendigt for Finansministeriet at
overveje, hvordan den del af den digitale infrastruktur, som
NemLog-in udgør, skal videreføres.
Overordnet har overvejelserne ført til, at NemLog-in vide-
reføres i sin nuværende form, men der tilføjes ny funktiona-
litet samt sker tilpasninger til den eksisterende funktionali-
tet.
Digitaliseringsstyrelsen har på baggrund af et EU-udbud
indgået kontrakt med den private virksomhed Nets DanID
A/S som leverandør af udvikling og forvaltning af NemLog-
in. Det fremgik af udbudsmaterialet, at den udbudte løsning
fremover ville blive anvendt af de offentlige myndigheder,
der var anført på vedlagte bilagslister, og alle øvrige myn-
digheder, som senere ved lov ville blive forpligtet til at
anvende løsningen.
Derudover har Digitaliseringsstyrelsen på baggrund af et
EU-udbud indgået kontrakt med NNIT A/S om driften af
NemLog-in.
I forhold til ny funktionalitet, bliver de væsentligste tilfø-
jelser, at der oprettes en ny erhvervsløsning i serviceområdet
Erhvervsadministration, som er introduceret i afsnit 2 og
som uddybes nedenfor i afsnit 2.2.2.1., i NemLog-in, som
også vil blive kaldt MitID Erhverv. Dele af erhvervsløsnin-
gen har hidtil været en del af NemID-løsningen. Der vil
hertil ske en opgradering af signeringsløsningen, som vil
blive moderniseret i henhold til nye signeringsstandarder
m.v., ligesom NemLog-in i fremtiden vil være certificerings-
center (CA), og varetage udstedelse af OCES-certifikater og
kvalificerede certifikater på vegne af den danske stat. Nets
DanID A/S varetager i dag opgaven som certificeringscen-
ter. OCES-certifikater får en mere begrænset anvendelse,
idet de tidligere certifikater for personer (POCES) og for
systemer (FOCES) ikke vil fortsætte. Af hensyn til forsy-
ningssikkerheden for private tjenesteudbydere vil der blive
åbnet op for, at private tjenesteudbydere kan benytte dele af
NemLog-in infrastrukturen, herunder serviceområdet Login
og autentifikation i NemLog-in.
NemLog-in udgør et centralt element i den fællesoffentli-
ge digitale infrastruktur og sikrer den fællesoffentlige bru-
gerstyring, når privatpersoner og erhvervsbrugere skal ha-
ve adgang til offentlige digitale selvbetjeningsløsninger. Fi-
nansministeren har i forbindelse med organiseringen af
tilrådighedsstillelsen af den offentlige digitale kritiske in-
frastruktur haft overvejelser om sikkerheden, herunder for-
syningssikkerheden i disse digitale løsninger, hvoraf MitID-
løsningen og NemLog-in udgør kernen. Det er her væsent-
ligt, at tilliden til anvendelsen af offentlige digitale selv-
betjeningsløsninger i forbindelse med myndighedsopgaver
ikke kompromitteres. Det er ud fra disse overvejelser og
betragtninger en myndighedsopgave at stille NemLog-in til
rådighed for offentlige myndigheder, offentligretlige organer
og juridiske enheder samt at sikre udvikling, vedligeholdel-
se, drift og forvaltning af løsningen.
På den baggrund er det Finansministeriets vurdering, at
loven skal forpligte offentlige myndigheder og offentligret-
lige organer til at anskaffe serviceområdet Login og auten-
tifikation i NemLog-in fra Digitaliseringsstyrelsen, når de
skal give privatpersoner og erhvervsbrugere adgang til di-
gitale selvbetjeningsløsninger, der vedrører myndighedsop-
gaver og kræver sikker autentifikation. Endvidere er det
13
Finansministerens vurdering, at det er i samfundets interes-
se, at markedet for autentifikation ikke lukkes for private
leverandører i større omfang end nødvendigt. Således kan
offentlige myndigheder og offentligretlige organer vælge an-
dre leverandører af autentifikationsydelser til digitale selv-
betjeningsløsninger, der ikke vedrører myndighedsopgaver,
eller alene kræver autentifikation på sikringsniveau lav.
NemLog-in skal på sigt tillige kunne anvendes af private
tjenesteudbydere, som skal kunne vælge at anvende Nem-
Log-in, når de har en digital selvbetjeningsløsning, som
kræver login.
NemLog-in vil således fremadrettet være den offentlige
identitetsbroker for MitID. Det medfører, at offentlige tjene-
steudbydere, som har behov for at kunne autentificere en
fysisk persons digitale identitet eller en erhvervsbrugers di-
gitale identitet, som udgangspunkt skal anvende NemLog-in
som broker for MitID til deres digitale selvbetjeningsløsnin-
ger. NemLog-in vil også kunne anvendes af private tjeneste-
udbydere, som ønsker at tilgå sikker autentifikation gennem
NemLog-in og ikke har en anden privat broker. Ved private
tjenesteudbyderes brug af NemLog-in vil disse skulle indgå
en aftale med Digitaliseringsstyrelsen herom og betale et ve-
derlag for anvendelsen, der dækker Digitaliseringsstyrelsens
omkostninger. Prisen vil være ikke-diskriminerende og skal
sikre, at der ikke sker konkurrencefordrejning.
Serviceområdet Login og autentifikation er reguleret i §
8, stk. 2, nr. 1. Det håndterer NemLog-in autentifikation af
brugeren over for fx MitID-løsningen, når brugeren vil log-
ge på en digital selvbetjeningsløsning. Det betyder i praksis,
at når en fysisk person eller en erhvervsbruger, som har
fået udstedt en elektronisk identitet og et eller flere elektro-
niske identifikationsmidler, logger ind på en digital selvbe-
tjeningsløsning, sender NemLog-in en digital autentifikati-
onsanmodning til MitID-løsningen. MitID-løsningen sender
herefter svar tilbage til NemLog-in, som videresender auten-
tifikationssvaret til selvbetjeningsløsningen.
Hvor MitID er den nationale identitetsgarant for digitale
identiteter til fysiske personer, etableres NemLog-in paral-
lelt som den nationale identitetsgarant for digitale identiteter
til erhvervsbrugere. Det betyder, at erhvervsbrugeres digitale
identiteter fremadrettet findes og oprettes i NemLog-in i
serviceområdet Erhvervsadministration. Det er i serviceom-
rådet Erhvervsadministration, at brugerorganisationer kan
oprette og tildele erhvervsidentiteter til deres erhvervsbruge-
re. Brugerorganisationer kan både være offentlige myndig-
heder, offentligretlige organer eller juridiske enheder, som
anvender digitale selvbetjeningsløsninger i erhvervsøjemed.
NemLog-in skal løbende kunne udvikles og tilpasses nye
teknologier, ændringer i trusselsbilledet, skiftende slutbru-
gerbehov og potentielt nye lovgivningsmæssige krav. Det er
Finansministeriets vurdering, at loven samt de kontrakter,
der er indgået med leverandører af løsningerne, tager hånd
om dette.
2.2.2.1. Tilrådighedsstillelse af NemLog-in
Med introduktion af NemLog-in er det fra offentlig si-
de hensigten at fortsætte udviklingen i retning af en mere
fleksibel og fremtidssikret modulær arkitektur i den fælles-
offentlige kritiske infrastruktur for digitale identiteter, signe-
ring og brugerrettighedsstyring.
For at varetage dette hensyn og for at opnå de øvrige
formål, der ligger til grund for lovforslaget, foreslås det, at
Digitaliseringsstyrelsen pålægges som myndighedsopgave at
stille NemLog-in til rådighed for offentlige myndigheder og
offentligretlige organer. Digitaliseringsstyrelsen pålægges
tilsvarende at stille MitID til rådighed for privatpersoner og
erhvervsbrugere, se desuden afsnittet herom ovenfor afsnit
2.1.2.1.
Digitaliseringsstyrelsen pålægges med loven som myndig-
hedsopgave at stille NemLog-in til rådighed på vegne af
den danske stat for alle offentlige myndigheder og offentlig-
retlige organer for at kunne realisere digitaliseringen af det
danske samfund. Digitaliseringsstyrelsen har i denne sam-
menhæng en særlig status som instrument og teknisk tjenes-
te for hele den offentlige sektor og skal imødekomme alle
offentlige myndigheders og offentligretlige organers bestil-
linger i overensstemmelse med lovens bestemmelser. Den
udbudsretlige relation mellem Digitaliseringsstyrelsen og de
offentlige myndigheder og offentligretlige organer er i den-
ne henseende af intern karakter, kendetegnet ved Digitalise-
ringsstyrelsens underordning og afhængighed af de offentli-
ge myndigheder og offentligretlige organer, når de afgiver
deres bestillinger i medfør af loven.
Når tilrådighedsstillelsen af NemLog-in sker centralt som
led i en myndighedsopgave, sikres grundlaget for en fælles-
offentlig it-infrastruktur. Tilrådighedsstillelsen forudsætter,
at Digitaliseringsstyrelsen sikrer udvikling, drift, vedligehol-
delse og forvaltning af løsningerne. Forsyningen af de cen-
trale it-infrastrukturløsninger er en forudsætning for, at den
danske forvaltning følger med den teknologiske udvikling
og kan møde privatpersoners og virksomheders behov for
sikker digital identifikation og kommunikation med den of-
fentlige sektor. For privatpersoner og erhvervsbrugere bety-
der dette, at de i mødet med de offentlige digitale selvbetje-
ningsløsninger vil opleve en ensartet, sikker og genkendelig
brugerrejse på tværs af det offentlige digitale landskab.
Det er hensigten, at infrastrukturløsningerne skal være
med til at effektivisere den offentlige sektor og sikre bespa-
relser, da løsningerne giver privatpersoner og erhvervsbru-
gere mulighed for at betjene sig selv, i de tilfælde hvor
sagsbehandling med fysisk fremmøde kan erstattes af digital
sagsbehandling.
Offentlige myndigheders og offentligretlige organers an-
skaffelse NemLog-in fra Digitaliseringsstyrelsen foretages i
medfør af loven og uden, at det for offentlige myndigheder
og offentligretlige organer er muligt at forhandle om vilkår
for løsningernes anvendelse og vederlag. Økonomien for
løsningerne bygger på en model, som indebærer, at opkræv-
ning af betaling for anvendelse af løsningerne altid reguleres
efter de faktiske omkostninger ved løsningerne.
Offentlige myndigheder og offentligretlige organer, som
udfører en myndighedsopgave, har en pligt til at anskaf-
14
fe serviceområderne Login og autentifikation og Digital
repræsentation i NemLog-in fra Digitaliseringsstyrelsen, i
det omfang deres digitale selvbetjeningsløsninger kræver
sikker autentifikation. Anskaffelsespligten giver Digitalise-
ringsstyrelsen en eksklusiv rettighed og har til formål at
sikre den offentlige orden og sikkerhed, herunder hensynet
til de samfundsøkonomiske overvejelser om fælles anskaf-
felse af it-løsninger i staten. Offentlige myndigheders og
offentligretlige organers pligt til at anskaffe NemLog-in fra
Digitaliseringsstyrelsen udbreder anvendelsen af MitID som
elektronisk identifikationsløsning, hvilket sikrer kendskab til
løsningen i det danske samfund. Kendskab til løsningerne
er afgørende for brugen, sikkerheden og tilliden til den of-
fentlige digitale selvbetjening, hvilket er en forudsætning for
den offentlige orden. Hensynet til den offentlige sikkerhed
varetages ligeledes gennem denne pligt, idet samlet statslig
kontrol med samfundskritisk it-infrastruktur sikres. Herved
vil MitID-løsningen og NemLog-in vil løbende og effektivt
kunne opdateres i takt med den teknologiske udvikling samt
et skiftende digitalt trusselsbillede. Større sikkerhed opnås
således, når myndighederne forpligtes til at anvende denne
it-infrastrukturløsning.
Pligten til at anvende løsningerne er desuden med til
at sikre en ensartet brugerrejse for private personer og er-
hvervsbrugere, når private personer og erhvervsbrugere skal
foretage login og autentifikation i mange offentlige myndig-
heders digitale selvbetjeningsløsninger. På den måde vil pri-
vate personer og erhvervsbrugere opleve en genkendelighed,
når de færdes på de forskellige digitale selvbetjeningsløsnin-
ger hos offentlige myndigheder.
For digitale selvbetjeningsløsninger, som enten ikke kræ-
ver sikker autentifikation eller ikke vedrører myndighedsop-
gaver, skaber loven en ret til, at offentlige myndigheder
og offentligretlige organer kan anvende NemLog-in. Når
offentlige myndigheder og offentligretlige organer har en
ret til at anskaffe disse dele af NemLog-in fra Digitalise-
ringsstyrelsen, tilstræbes stor anvendelse af og udbredelse
af eksisterende fællesoffentlig infrastruktur på tværs af of-
fentlige digitale selvbetjeningsløsninger i stedet for, at en-
keltmyndigheder anskaffer og anvender individuelle løsnin-
ger. Ligeledes er det i principperne for digitaliseringsklar
lovgivning fastsat, at offentlige myndigheder i det omfang,
det er muligt og hensigtsmæssigt, bør genbruge infrastruktur
for derigennem at skabe sammenhæng for privatpersoner og
virksomheder på tværs af den offentlige forvaltning.
Da NemLog-in indeholder flere forskellige serviceområ-
der, er der en differentieret forpligtelse til at aftage de enkel-
te serviceområder fra Digitaliseringsstyrelsen.
For offentlige myndigheder og offentligretlige organer
gælder der en pligt til at anvende serviceområdet Login
og autentifikation, når de udfører en myndighedsopgave
og deres selvbetjeningsløsning kræver sikker autentifikati-
on. Kræver den pågældende selvbetjeningsløsning ikke sik-
ker autentifikation eller anvendes den ikke til at udføre
myndighedsopgaver, gælder der alene en ret for offentlige
myndigheder og offentligretlige organer til at anvende ser-
viceområdet Login og autentifikation. En offentlig myndig-
hed eller et offentligretlig organ agerer i rollen som tjeneste-
udbyder, når de anvender serviceområdet Login og autentifi-
kation i NemLog-in. I praksis betyder det, at den offentlige
myndighed eller det offentligretlige organ tilbyder brugerne
en adgang til deres digitale selvbetjeningsløsninger, hvor
brugerne benytter sig af serviceområdet Login og autentifi-
kation for at kunne tilgå selvbetjeningsløsningen.
For serviceområdet Digital repræsentation gælder der for
offentlige myndigheder og offentligretlige organer en pligt
til anvendelse, når de udfører myndighedsopgaver. Service-
området kan alene tilgås ved autentifikation på sikringsni-
veau betydelig eller høj. Når en offentlig myndighed eller et
offentligretligt organ vil anvende serviceområdet Digital re-
præsentation, agerer de i rollen som tjenesteudbyder. Det in-
debærer i praksis, at en offentlig myndighed eller et offent-
ligretligt organ skal tilbyde brugere af deres digitale selvbe-
tjeningsløsninger at anvende Digital repræsentation. Digital
repræsentation kan kun anvendes, hvor myndigheden eller
det offentligretlige organ udfører en myndighedsopgave.
For serviceområdet Digital signering gælder der for of-
fentlige myndigheder og offentligretlige organer en ret til
anvendelsen. Serviceområdet kan alene tilgås ved sikker au-
tentifikation. Det blev ved lovforslagets udarbejdelse over-
vejet at indføre en pligt for offentlige myndigheder og of-
fentligretlige organer til at anvende serviceområdet Digital
signering, når de udfører en myndighedsopgave. Da der
imidlertid eksisterer et velfungerende marked for digitale
signeringsløsninger, der efterlever gældende sikkerhedsstan-
darder, forslås det ud fra et proportionalitetshensyn alene at
indføre en ret. Når en offentlig myndighed eller et offentlig-
retligt organ vil anvende serviceområdet Digital signering,
agerer de i rollen som tjenesteudbyder. Det indebærer i prak-
sis, at en offentlig myndighed eller et offentligretligt organ
kan tilbyde brugere af deres digitale selvbetjeningsløsninger
at anvende Digital signering.
I forhold til serviceområdet Erhvervsadministration har
offentlige myndigheder og offentligretlige organer en ret til
at anvende dette serviceområde. Til forskel fra de andre
serviceområder i NemLog-in agerer de som brugerorgani-
sationer, når de anvender serviceområdet Erhvervsadmini-
stration. Offentlige myndigheder og offentligretlige organer
udfører ikke myndighedsopgaver i rollen som brugerorgani-
sation.
Den foreslåede løsning indebærer således, at Digitalise-
ringsstyrelsen gives en eksklusiv rettighed, som omhandlet
i § 17 i udbudsloven, til at levere NemLog-in til offentlige
myndigheder og offentligretlige organer, som pålægges pligt
til at anvende løsningen.
I de tilfælde hvor offentlige myndigheder og offentligretli-
ge organer alene har ret til at aftage løsningerne af Digitali-
seringsstyrelsen, er Digitaliseringsstyrelsen et instrument og
en teknisk tjeneste for myndighederne. Digitaliseringsstyrel-
sen har således ikke frihed til at bestemme, hvilke opgaver,
den vil udføre eller til hvilken takst. Loven med tilhøren-
de bekendtgørelser udgør i denne sammenhæng en ensidig
administrativ retsakt, der alene opstiller betingelser for Digi-
taliseringsstyrelsen. Eftersom alle regler om tilrådighedsstil-
15
lelse og anvendelse følger af loven, vil der ikke være tale
om en gensidigt bebyrdende kontrakt, jf. udbudslovens § 24,
nr. 24, og myndighederne kan således anskaffe løsningerne
fra Digitaliseringsstyrelsen i medfør af loven, uden at skulle
gennemføre et udbud, jf. også præambel betragtning nr. 5
og nr. 34 i udbudsdirektivet. Der henvises i øvrigt til afsnit
2.1.2. og 2.2.2. ovenfor om de udbud, som Digitaliserings-
styrelsen har gennemført på vegne af hele den offentlige
forvaltning ved løsningernes anskaffelse.
Det foreslås også, at Digitaliseringsstyrelsen pålægges at
stille NemLog-in til rådighed for juridiske enheder. Lovfor-
slaget giver således juridiske enheder en ret til, at disse efter
aftale med Digitaliseringsstyrelsen kan anvende NemLog-in
under overholdelse af de regler om tilrådighedsstillelse og
anvendelse, som fastsættes af Digitaliseringsstyrelsen.
Juridiske enheder har ingen forpligtelse i forhold til at
anvende serviceområderne i NemLog-in, og omvendt har de
heller ikke et retskrav på anvendelsen.
Ordningen kan i oversigtsform for NemLog-in for tjene-
steudbydere illustreres som følger:
Serviceområder Sikringsniveauer Offentlige myndighe-
der og offentligretlige
organer, når de udfø-
rer en myndighedsop-
gave
Offentlige myndigheder
og offentligretlige orga-
ner, når de ikke udfører
en myndighedsopgave
Login + autentifikati-
on
Høj eller betydelig (sikker autentifi-
kation)
Pligt Ret
Lav Ret Ret
Digital repræsentation Høj eller betydelig (sikker autentifi-
kation)
Pligt N/a
Digital Signering Høj eller betydelig (sikker autentifi-
kation)
Ret Ret
NemLog-in for brugerorganisationer:
Serviceområder Sikringsniveauer Offentlige myndigheder
og offentligretlige orga-
ner
Erhvervs-
administration
Høj eller betydelig (sikker autentifi-
kation)
Ret
2.2.2.2. Forvaltning
Med den foreslåede § 9, stk. 1, 1. pkt., sikrer Digitalise-
ringsstyrelsen, at der sker forvaltning af NemLog-in, herun-
der identitetssikring af offentlige myndigheder, offentligret-
lige organer og juridiske enheder, når de oprettes som bru-
gerorganisationer i serviceområdet Erhvervsadministration i
NemLog-in.
Når der oprettes en brugerorganisation i serviceområdet
Erhvervsadministration sker der en registrering af, hvordan
denne har identificeret sig og efter identitetssikring kan den
oprettes som brugerorganisation i Erhvervsadministration.
Når offentlige myndigheder, offentligretlige organer og
juridiske enheder er oprettet som brugerorganisation kan
de efterfølgende benytte de funktioner, som er indeholdt i
serviceområdet Erhvervsadministration.
16
Det indebærer, at den offentlige myndighed, det offent-
ligretlige organ eller den juridiske enhed blandt andet kan
tildele digitale identiteter til deres erhvervsbrugere, typisk
medarbejdere, men også andre erhvervsbrugere, der har en
tilknytning til den offentlige myndighed, det offentligretlige
organ eller den juridiske enhed, jf. den foreslåede § 8, stk. 3.
Offentlige myndigheder, offentligretlige organer og juridi-
ske enheder har ligeledes mulighed for at udstede og spærre
erhvervsidentiteter til erhvervsbrugere tilknyttet til dem.
Digitaliseringsstyrelsen sikrer endvidere i medfør af § 9,
stk. 1, 2. pkt., at brugerorganisationers adgang til serviceom-
rådet Erhvervsadministration i NemLog-in samt erhvervs-
brugeres digitale identiteter kan spærres og genåbnes efter
reglerne fastsat i medfør af stk. 4.
Det er Digitaliseringsstyrelsens opgave at sikre, at bru-
gerorganisationers adgang til Erhvervsadministration i Nem-
Log-in samt erhvervsbrugeres digitale identiteter kan spær-
res og genåbnes.
De nærmere regler for identitetssikring af offentlige myn-
digheder, offentligretlige organer og juridiske enheder, når
disse oprettes som brugerorganisationer i serviceområdet
Erhvervsadministration og regler for spærring af erhvervs-
brugeres digitale identiteter vil blive fastsat i regler med
hjemmel i § 9, stk. 4.
I medfør af § 9, stk. 2. kan en privatperson, der skal regi-
streres som erhvervsbruger i serviceområdet Erhvervsadmi-
nistration, anvende sit MitID, der er udstedt til privatbrug, til
identitetssikring ved registreringen.
En erhvervsbruger kan således anvende sit MitID-identifi-
kationsmiddel udstedt til privatbrug, til identitetssikring ved
registreringen af en erhvervsidentitet. Herved sikres, at der
kan ske en digital identitetssikring af privatpersonen i for-
bindelse med oprettelse af erhvervsidentiteten, inden denne
kan agere som erhvervsbruger.
Identitetssikring af en erhvervsidentitet ved brug af et
MitID-identifikationsmiddel udstedt til privatbrug, vil være
muligt for både erhvervsbrugere i offentlige myndigheder,
offentligretlige organer og juridiske enheder. Det vil endvi-
dere være muligt for erhvervsbrugeren at anvende brugeror-
ganisationens udstyr, eget udstyr eller en kombination af
dette til at foretage identitetssikring af erhvervsidentiteten
med MitID-identifikationsmidlet udstedt til privatbrug. Det-
te medfører, at identitetssikring fx kan ske fra vedkommen-
des egen mobil, computer eller tablet.
Derudover kan en lokal identitetsgarant, som er oprettet
som brugerorganisation i NemLog-in, selv foretage identi-
tetssikring. En lokal identitetsgarant fastsætter selv, hvordan
der skal foretages identitetssikring i overensstemmelse med
NSIS.
Bestemmelsen styrker en fælles høj tillid og sikkerhed
på tværs af den offentlige og private sektor, ved at skabe
fælles grundlag for sikker elektronisk interaktion mellem
privatpersoner, juridiske enheder og offentlige myndigheder
og derved øge effektiviteten i de offentlige og private digita-
le selvbetjeningsløsninger.
Med den foreslåede § 9, stk. 3, 1. pkt. kan en erhvervs-
bruger få tilknyttet sit elektroniske identifikationsmiddel,
som er tilknyttet privatpersonens MitID-identitet, til sin er-
hvervsidentitet, således at erhvervsbrugeren kan anvende
førnævnte identifikationsmiddel til at autentificere en eller
flere erhvervsidentiteter.
Med bestemmelsen gøres det muligt for erhvervsbrugere,
at anvende deres MitID-identifikationsmiddel udstedt til pri-
vatbrug, til at autentificere en eller flere erhvervsidentiteter.
Hvor bestemmelsens stk. 2, gør det muligt at identitetssik-
re en erhvervsidentitet med et MitID-identifikationsmiddel
udsted til privatbrug, i forbindelse med registreringen, sikrer
stk. 3, at en erhvervsbruger løbende kan anvendelse deres
private MitID-identifikationsmiddel til login og autentifika-
tion af en erhvervsidentitet i forbindelse med login i selvbe-
tjeningsløsninger.
§ 9, stk. 3, 2. pkt. indebærer, at tilknytningen af en er-
hvervsbrugers elektroniske identifikationsmiddel, som er til-
knyttet privatpersonens MitID-identitet grundlæggende hvi-
ler på et princip om frivillighed. Det er således frivilligt for
erhvervsbrugeren, om erhvervsbrugeren vil foretage en til-
knytning af erhvervsbrugerens elektroniske identifikations-
middel, som er tildelt denne i regi af privatperson. En
arbejdsgiver kan således ikke påtvinge sine medarbejdere
denne tilknytning.
Ligeledes er tilknytningen også frivillig for brugerorga-
nisationen. Dette indebærer, at en arbejderstager ikke kan
påtvinge sin arbejdsgiver, at der skal ske en tilknytning af
arbejdstagerens MitID-identitet, som er tildelt i privat regi.
I medfør af den foreslåede stk. 4 kan finansministeren
fastsætter regler om forvaltning af NemLog-in, herunder
regler for identitetssikring af brugerorganisationer, spærring
og genåbning af erhvervsbrugeres digitale identiteter og om
adgang til at klage til Digitaliseringsstyrelsen over afgørel-
ser truffet i medfør af disse regler.
2.3. Behandling af personoplysninger
2.3.1. Gældende ret
Det følger af den nugældende lov, at Nets DanID A/S er
udpeget som udsteder af NemID på baggrund af et EU-ud-
bud. Nets DanID A/S anses for dataansvarlig i forhold til
administration af NemID-løsningen.
Digitaliseringsstyrelsen er for NemID kun dataansvarlig
for personnummeret og PID/RID-nummeret. Nets er dataan-
svarlig for alle andre personoplysninger i NemID-løsningen.
17
Digitaliseringsstyrelsen er dataansvarlig for alle personop-
lysninger i NemLog-in-løsningen.
2.3.2. Finansministeriets overvejelser og den foreslåede ord-
ning
2.3.2.1. Behandling af personoplysninger og videregivelse
af risikodata
2.3.2.1.1. MitID og MitID-løsningen
For så vidt angår MitID-løsningen sker der behandling
af personoplysninger i forbindelse med migrering fra Nem-
ID-løsningen til MitID-løsningen, ved nyudstedelse af Mi-
tID samt ved den løbende drift og forvaltning. Der sker
ligeledes behandling af personoplysninger ved den enkelte
fysiske persons anvendelse af sit MitID. Som en del af be-
handlingen indgår indhentning af oplysninger fra centrale
offentlige registre som eksempelvis pas/kørekort registret,
cpr-registret og Danmarks adresseregister. For en udførlig
liste over legitimationsdokumenter, henvises der til regler
fastsat i medfør af denne lovs § 4, stk. 2. Migrering, nyud-
stedelse og anvendelse af MitID sker på privatpersonens og
erhvervsbrugerens eget initiativ.
Oplysninger om e-mailadresse og mobilnummer er ikke
nødvendige for, at MitID kan udstedes, dog er mobilnum-
mer en forudsætning for at kunne anvende MitID-app᾽en. E-
mailadresse og mobilnummer er også en forudsætning for,
at MitID-løsningen hurtigt kan udsende advisering til den
pågældende indehaver af et MitID, hvis der indtræffer en
hændelse, som det er vigtigt, at den pågældende hurtigt
får besked om. Det kan for eksempel dreje sig om, at den
pågældendes elektroniske identifikationsmiddel er blevet
spærret. Den fysiske person vil derfor blive anmodet om
at angive e-mailadresse og mobilnummer i forbindelse med
udstedelse af MitID. I de følgende afsnit vil en fysisk person
både omfatte en privatperson og en erhvervsbruger, der har
fået udstedt et MitID.
Personoplysningerne i MitID-løsningen kan grupperes
således: Identitetsdata, kontaktdata, registreringsdata, iden-
titetsdokumentation, identifikationsmiddeldata, identifika-
tionsmiddelhemmeligheder, identifikationsmiddelverifikati-
onsdata, midlertidige autentifikationsdata, midlertidige regi-
streringsdata, risikodata, logdata, faktureringsdata for trans-
aktioner, faktureringsdata for elektroniske identifikations-
midler og betalingsdata.
De ovenfor anførte personoplysninger udgør tilsammen de
personoplysninger, der er nødvendige for at skabe sikkerhe-
den for, at en person er registreret og indrulleret korrekt,
samt at denne korrekthed kan efterprøves ved personens
efterfølgende anvendelse af sit MitID for at hindre misbrug.
Overgangen fra NemID-løsningen til MitID-løsningen vil
i mange tilfælde basere sig på den privatpersons login med
NemID. Det vil i disse tilfælde betyde, at en privatperson,
der logger ind i sin netbank eller i mobilbank, eller på Mi-
tID.dk, med NemID, vil blive ledt igennem et flow, der fører
til, at pågældende på baggrund af en validering med NemID
bliver registreret i MitID-løsningen og får det dertilhørende
MitID, som privatpersonen herefter kan anvende ved auten-
tifikation. For at sikre at privatpersoner på den mest smidige
måde bliver oprettet korrekt i MitID-løsningen, og med det
rette sikringsniveau, anvendes NemID-løsningen til at vali-
dere identiteten på den pågældende privatperson.
Der indgår ikke behandling af biometriske data i MitID-
løsningen. En fysisk persons anvendelse af ansigtsgenken-
delse, fingeraftryk og lignende på egne fysiske enheder,
herunder smartphones som led i autentifikationen med Mi-
tID-app᾽en, lagres ikke i MitID-løsningen og kræves ikke
for at få udstedt MitID.
Dog vil hensynet til løbende at bevare løsningens høje
sikkerhed kunne bevirke, at indsamling af biometriske data
på et senere tidspunkt bliver relevant for at imødegå sik-
kerhedsmæssige trusler. Dette kunne for eksempel være ind-
samling af tastemønstre, når personen anvender MitID med
henblik på at kunne afvise forsøg på misbrug. Sådanne data
vil i givet fald være en del af de risikodata, der indsamles
om den enkelte person.
Biometriske data udgør følsomme personoplysninger, og
omfattes af behandlingsforbuddet i databeskyttelsesforord-
ningens art. 9, stk. 1, medmindre betingelserne for behand-
ling efter artikel 9, stk. 2 litra a, c, d, e eller f er opfyldt.
Det er Finansministeriets vurdering, at den eventuelle
behandling af biometriske oplysninger ikke kan henføres
under disse hjemmelsbestemmelser, men vil skulle henføres
under forordningens art. 9, stk. 2, litra b, g og h. Artikel
9, stk. 2, litra b, g og h giver under nærmere betingelser
mulighed for behandling af følsomme personoplysninger,
herunder biometriske data. Såfremt, man vurderer at betin-
gelser i litra b, g eller h er til stede, vil en hjemmel kunne
tilvejebringes ved lovhjemmel eller ved databeskyttelseslo-
vens § 7, stk. 5. Bestemmelsen indebærer, at finansmini-
steren efter forhandling med justitsministeren og inden for
databeskyttelsesforordningens rammer kan fastsætte nærme-
re regler om behandling af personoplysninger omfattet af
databeskyttelsesforordningens artikel 9, stk. 1 uden for de
i § 7, stk. 1-4 nævnte tilfælde. Der foreligger imidlertid
ikke på nuværende tidspunkt et behov for indsamling af bi-
ometriske data. Såfremt behovet måtte opstå for at imødegå
sikkerhedsrisici eller sikkerhedstrusler, kan der være behov
for enten en lovændring af denne lov eller udstedelse af en
bekendtgørelse i medfør af databeskyttelseslovens § 7, stk.
5.
Dog vurderer Finansministeriet, at indsamlingen af biom-
etriske oplysninger også vil kunne ske med den eksisterende
hjemmel i databeskyttelseslovens § 7, stk. 5. Det fremgår af
bemærkningerne til bestemmelsen i databeskyttelsesloven,
at bemyndigelsesbestemmelsen er tænkt anvendt i situatio-
ner, hvor det kan være vanskeligt på forhånd fuldstændigt
at forudse behovet for at kunne behandle personoplysnin-
ger omfattet af databeskyttelsesforordningens artikel 9, stk.
1. Det fremtidige trusselsbillede er uforudsigeligt og beho-
vet for indsamling af biometriske data kan ikke forudses på
nuværende tidspunkt, men det kan blive relevant at indhen-
te biometriske data både ved udstedelse af MitID og ved
løbende anvendelse heraf af hensyn til løsningens generelle
18
sikkerhed, samt af hensyn til den enkelte MitID brugers
sikkerhed mod misbrug af vedkommendes digitale identitet.
For til stadighed at opretholde løsningens sikkerhed, her-
under at sikre mod misbrug af MitID, vil der i forbindelse
med anvendelse af MitID blive indsamlet såkaldte risikodata
til brug for vurdering af risikoen ved hver enkelt transaktion,
der skal gennemføres. Det drejer sig blandt andet om følgen-
de oplysninger: Lokation – GeoIP koordinater, Netværk – IP
nummer, Device – Information om den anvendte mobiltele-
fon eller browser og Identitet – Information om identiteten
og sidste anvendelse. Risikodata indsamles ved hvert enkelt
login og videregives sammen med tidligere observerede ri-
sikodata fra et antal logins i autentifikationssvaret til den
broker, der formidler autentifikation til en given selvbetje-
ningsløsning i forbindelse med login. Formålet er at give
brokeren, der modtager risikodata, mulighed for at vurdere
og afgøre om risikodataene af sikkerhedsmæssige årsager
skal umuliggøre login på den pågældende tjeneste. Hensynet
til sikkerheden i MitID-løsningen kan tilsige, at nye typer af
risikodata skal indsamles.
Digitaliseringsstyrelsen videregiver autentifikationssvar,
herunder risikodata, til en broker. Brokeren behandler sva-
ret og har mulighed for at berige dette med egne data. Ef-
ter nærmere aftale med en given tjenesteudbyder, videre-
formidler brokeren det behandlede autentifikationssvar til
denne. Formålet med videregivelsen er, at risikoen for
den enkelte og konkrete transaktion kan vurderes. Digitali-
seringsstyrelsens videregivelse og brokernes formidling er
de helt centrale elementer i, at MitID-løsningen fungerer
efter sit formål. Det er derfor Finansministeriets vurdering,
at videregivelse og behandling af autentifikationssvar lig-
ger inden for rammerne af Digitaliseringsstyrelsens myndig-
hedsudøvelse, jf. databeskyttelsesforordningens art. 6, stk. 1,
litra e). Der henvises til de specielle bemærkninger til § 14.
Finansministeriet har i forbindelse med overvejelserne om
videregivelse af risikodata overvejet om videregivelse af
data er i overensstemmelse med dataminimeringsprincippet i
databeskyttelsesforordningens art. 5, stk. 1, litra c) herunder
om videregivelse i form af en risikoscore ville opfylde for-
målet med videregivelsen.
Det er Finansministeriets vurdering, at formålet med vide-
regivelsen ikke kan opfyldes med en videregivelse af en
risikoscore, idet et enkelt risikoelement ville kunne påvirke
en score på en uhensigtsmæssig måde.
2.3.2.1.2. NemLog-in
Rollen som central fællesoffentlig infrastrukturløsning,
herunder fællesoffentlig broker, betyder, at NemLog-in be-
handler en række formålsbestemte personoplysninger.
Digitaliseringsstyrelsen har indgået kontrakt med hen-
holdsvis Nets DanID A/S om udvikling, vedligeholdelse,
support og videreudvikling af MitID og NNIT A/S om drift
og support af NemLog-in. Nets DanID A/S og NNIT A/S
agerer som databehandlere på vegne af Digitaliseringsstyrel-
sen og forestår den konkrete behandling af personoplysnin-
ger i NemLog-in.
Med udgangspunkt i specifikke serviceområder leverer
NemLog-in en række services til privatpersoner og er-
hvervsbrugere, der sikrer, at tilsluttede digitale selvbetje-
ningsløsninger kan anvendes, og at sikker elektronisk kom-
munikation med MitID og udvalgte øvrige identifikations-
midler understøttes. Der henvises til bemærkningerne til
denne lovs § 8 for en detaljeret gennemgang af serviceområ-
derne i NemLog-in. Hvilke personoplysninger, som behand-
les i NemLog-in, afhænger af det enkelte serviceområde.
Ved levering af autentifikationssvaret i serviceområdet
Login og autentifikation, behandler NemLog-in navn, maila-
dresse, eventuelt personnummer og identifikationsnummer
på den elektroniske identitet (UUID). Hvis MitID anvendes
sker behandling af slutbrugerens MitID-nummer samt risi-
kodata relateret til autentifikationssvaret.
Af hensyn til løbende at kunne opretholde en høj grad
af sikkerhed i NemLog-in og sikre mod misbrug kan Nem-
Log-in ud over den behandling af risikodata, der foretages
i tilknytning til MitID-løsningen, ligeledes foretage en sær-
skilt behandling heraf med henblik på vurdering af risici ved
handlinger i relation til den generelle brug af serviceområ-
derne.
Ved autentifikation af erhvervsbrugere vil der herudover
ske behandling af erhvervsidentiteten, herunder navnet på
den juridiske enhed, som erhvervsbrugeren er associeret
med, og eventuelt registrerede brugerrettigheder. Endelig
behandles data om hvilken digital selvbetjeningsløsning,
som den fysiske person eller erhvervsbrugeren autentificerer
sig overfor.
I serviceområdet Erhvervsadministration behandles navn,
personnummer, e-mailadresse, telefonnummer, virksom-
hedsnavn og tilknyttede rettigheder. Rettigheder omfatter
både de interne systemrettigheder i serviceområdet Er-
hvervsadministration, rettigheder til anvendelse af specifik-
ke digitale selvbetjeningsløsninger hos tjenesteudbydere og
rettigheder til at repræsentere andre erhvervsbrugere. Der
behandles ligeledes oplysninger om hvilke identifikations-
midler, der er udstedt til den pågældende erhvervsbruger,
samt oplysninger om hvorvidt der er tilknyttet identifikati-
onsmidler fra en lokal identitetsgarant.
I forbindelse med udstedelse af certifikater i serviceområ-
det Erhvervsadministration og serviceområdet Digital signe-
ring behandles oplysninger om hvilken privatperson eller er-
hvervsbruger, der har fået udstedt et bestemt certifikat. Op-
lysningerne omfatter blandt andet navn, e-mailadresse, per-
sonnummer, og hvis certifikatet udstedes til en erhvervsbru-
ger, oplysninger om hvilken juridisk enhed, offentlig myn-
dighed eller offentligretligt organ, som erhvervsbrugeren er
associeret med.
Ved en privatperson eller en erhvervsbrugers afgivelse
af en digital signatur i serviceområdet Digital signering
behandles tillige oplysninger om hvilken tjenesteudbyder
og digital selvbetjeningsløsning, der er afgivet en signatur
til. Der behandles ingen oplysninger om indhold af de data,
der signeres. I forbindelse med en efterfølgende validering
af en digital signatur i serviceområdets valideringstjeneste,
19
foretages der en kortvarig automatisk behandling i et sikret
miljø af de data, der er underskrevet. Behandlingen sker
med henblik på at kontrollere integriteten af de pågældende
data ved at sammenligne disse i klartekst med den check-
sum/hash-værdi, der blev genereret på underskriftstidspunk-
tet, og som er koblet til den digitale signatur. Alle data slet-
tes, når den pågældende session er afsluttet ved meddelelse
om resultatet af valideringen. Behandling af data i forbindel-
se med validering er særskilt reguleret i dette lovforslags §
14. Der henvises til de specielle bemærkninger hertil.
I serviceområdet Digital repræsentation behandles oplys-
ninger om navn, personnummer og e-mailadresse på fuld-
magtsgiver og fuldmagtstager. Det registreres ligeledes hvil-
ke digitale selvbetjeningsløsninger, der er afgivet fuldmagt
til. Et værgemål kan, som beskrevet i de specielle bemærk-
ninger til § 8, stk. 2, danne grundlag for digital repræsenta-
tion. Der foretages dog i NemLog-in alene en registrering
af, at den pågældende fuldmagt foreligger, samt eventuel
dokumentation for fuldmagten, der måtte være indsendt af
fuldmagtstager eller fuldmagtsgiver.
I det omfang juridiske enheder, offentlige myndigheder og
offentligretlige organer benytter services med vederlag eller
gebyr i NemLog-in, behandles ligeledes fakturerings- og
betalingsdata med henblik på at sikre korrekt afregning. Der
henvises til de specielle bemærkninger til § 15, stk. 2 og
3, for en nærmere beskrivelse af hvilke services, der er
underlagt betaling.
Ligesom i MitID-løsningen indgår der ikke behandling
af biometriske data. Dog vil hensynet til løsningens høje
sikkerhed kunne medføre, at behandling af biometriske data
på et senere tidspunkt bliver relevant for at imødegå sikker-
hedsmæssige trusler. Der henvises til beskrivelsen af biom-
etriske oplysninger ovenfor.
I forbindelse med overgangen fra den eksisterende er-
hvervsløsning og tilknyttede tjenester hos Nets DanID
A/S til den NemLog-in løsning, som lovforslaget vedrø-
rer, sker der behandling af erhvervsbrugeres personoplys-
ninger, herunder ved indhentning af oplysninger fra Nets
DanID A/S. Dette omfatter navn, mailadresse, stilling, virk-
somhedsnavn og tilknyttede rettigheder, jf. nærmere oven-
for under beskrivelse af Erhvervsadministration i afsnit
2.2.2.1. Som en del af behandlingen indgår indhentning og
validering af oplysninger fra cvr-registret og cpr-registret
for at sikre, at erhvervsbrugerne oprettes med korrekte da-
ta. 2.3.2.2. Dataansvar
Med dette lovforslag bliver Digitaliseringsstyrelsen data-
ansvarlig for infrastrukturløsningerne MitID-løsningen og
NemLog-in, idet Digitaliseringsstyrelsen bestemmer formål
og afgør med hvilke hjælpemidler, der må foretages behand-
ling af personoplysninger i begge infrastrukturløsninger. Det
gælder i forbindelse med tilrådighedsstillelse af løsningerne
for offentlige myndigheder, offentligretlige organer og juri-
diske enheder, jf. § 3 og § 8, herunder når Digitaliseringssty-
relsen sikrer udvikling, drift, vedligeholdelse og forvaltning
af løsningerne i medfør af § 4, § 5, stk. 2, § 9 og § 10.
Dataansvaret er omfattet af reglerne i den til enhver
tid gældende databeskyttelseslovgivning i Danmark, databe-
skyttelsesforordningen og databeskyttelsesloven.
Begrebet dataansvarlig skal forstås i overensstemmelsen
med databeskyttelsesforordningens artikel 4, nr. 7, der er
defineret som en, ”(…) der alene eller sammen med andre
afgør, til hvilke formål og med hvilke hjælpemidler der må
foretages behandling af personoplysninger”.
Det fremgår af databeskyttelsesforordningens artikel 24,
stk. 1, at den dataansvarliges ansvar indebærer en ”(…)
hensyntagen til den pågældende behandlings karakter, om-
fang, sammenhæng og formål samt risiciene af varierende
sandsynlighed og alvor for fysiske personers rettigheder
og frihedsrettigheder [som] gennemfører den dataansvarlige
passende tekniske og organisatoriske foranstaltninger for at
sikre og for at være i stand til at påvise, at behandling er i
overensstemmelse med denne forordning. ”
Som følge af Digitaliseringsstyrelsens pligt til at tilrå-
dighedsstille infrastrukturløsningerne MitID-løsningen og
NemLog-in, er det således Digitaliseringsstyrelsen, der ale-
ne afgør til hvilket formål og med hvilke hjælpemidler
der må foretages behandling af personoplysninger. Digita-
liseringsstyrelsen bliver derfor i medfør af databeskyttelses-
forordningen art. 4, nr. 7 anses som dataansvarlig for infra-
strukturløsningerne.
Digitaliseringsstyrelsen får således ansvaret for at sikre,
at infrastrukturløsningerne lever op til de sikkerhedskrav,
der i databeskyttelsesforordningen stilles til behandling af
personoplysninger samt de øvrige forpligtelser, der efter da-
tabeskyttelsesforordningen påhviler den dataansvarlige, her-
under oplysningspligt over for de registrerede privatpersoner
og erhvervsbrugere, om hvilke oplysninger, der behandles.
De personoplysninger, der indsamles i forbindelse med
oprettelse af MitID og senere, når MitID anvendes, er al-
mindelige personoplysninger, som fx navn, adresse, person-
nummer, eller lignende. De almindelige personoplysninger
er nødvendige for at sikre identiteten af en privatperson eller
erhvervsbruger både ved oprettelse og senere anvendelse af
deres MitID.
Digitaliseringsstyrelsen vil behandle personoplysninger i
form af navn, adresse, personnumre, cvr-numre eller lignen-
de i forbindelse med tilrådighedsstillelse af løsningerne for
offentlige myndigheder, offentligretlige organer og juridiske
enheder, jf. § 3 og § 8, herunder når Digitaliseringsstyrelsen
sikrer udvikling, drift, vedligeholdelse og forvaltning af løs-
ningerne i medfør af § 4, § 5, stk. 2, § 9 og § 10.
Det er nødvendigt for Digitaliseringsstyrelsen og i over-
ensstemmelse med formålet, at behandle personoplysnin-
gerne, for at sikre infrastrukturløsningernes sikkerhed og
integriteten af de udstedte elektroniske identifikationsmid-
ler til privatpersoner MitID og erhvervsbrugere MitID Er-
hverv. Herunder for at kunne sikre, at en privatpersons iden-
titet registreres og valideres korrekt, er det nødvendigt at
behandle personoplysninger om vedkommende.
Digitaliseringsstyrelsen foretager identitetssikring af de
privatpersoner og erhvervsbrugere, der bliver registreret i
MitID-løsningen.
20
Digitaliseringsstyrelsens behandlingshjemmel til behand-
ling af navn, adresse og cvr-nummer eller lignende er data-
beskyttelsesforordningens artikel 6, stk. 1, litra e, og for per-
sonnummer er behandlingshjemlen databeskyttelseslovens §
11, stk. 1. Behandlingshjemlen for at behandle følsomme
personoplysninger i medfør af § 15 er artikel 9, stk. 2, litra
g.
For så vidt angår MitID-løsningen sker anskaffelse af
løsningen sammen med de danske pengeinstitutter, jf. de
almindelige bemærkninger afsnit 2.1.2. Henset til, at MitID-
løsningen er den danske nationale eID-ordning, der skal an-
meldes til EU-kommissionen, og idet der med loven pålæg-
ges Digitaliseringsstyrelsen et myndighedsansvar for MitID-
løsningen, påhviler dataansvaret for MitID-løsningen alene
Digitaliseringsstyrelsen.
Der er indgået kontrakt med Nets DanID A/S om ud-
vikling, drift, vedligehold og forvaltning af MitID-løsnin-
gen. Den behandling af personoplysninger, der finder sted
hos Nets DanID A/S, udføres således af Nets DanID A/S,
som databehandler for Digitaliseringsstyrelsen.
Når en privatperson og en erhvervsbruger ønsker at få
udstedt et MitID, indsamler og registrerer registreringsen-
hederne personoplysninger om den privatpersonen og er-
hvervsbrugeren. For erhvervsbrugere sker indsamlingen i
regi af NemLog-in. De oplysninger som en virksomhed ind-
fører om sine ansatte vil dermed fremgå af NemLog-in.
Denne indsamling sker på vegne af Digitaliseringsstyrel-
sen som dataansvarlig. Registreringsenheder og supporten-
heder indgår en aftale om varetagelsen af registreringsopga-
ven hhv. supportopgaver med Nets DanID A/S på vegne
af Digitaliseringsstyrelsen. Aftalen fastlægger blandt andet
krav til overholdelse af sikkerhed, uddannelse samt krav om
revision og afgivelse af årlig revisionserklæring. Den del
af aftalen, som vedrører behandling af personoplysninger,
er særskilt reguleret i en underdatabehandleraftale. Registre-
ringsenhederne og supportenhederne anses derfor som un-
derdatabehandlere til Nets DanID A/S, der er databehandler
for Digitaliseringsstyrelsen i MitID-løsningen.
En certificeret broker i MitID-løsningen skal indgå en
aftale med Nets DanID A/S på vegne af Digitaliserings-
styrelsen, for at blive tilsluttet MitID-løsningen. Aftalen
fastlægger blandt andet krav til overholdelse af sikkerhed,
certificering samt krav om revision og afgivelse af årlig
revisionserklæring. Hvis en broker ikke overholder aftalen,
kan brokerens adgang til MitID-løsningen i særligt alvorlige
tilfælde lukkes.
En broker i MitID-løsningen, som tilsluttes løsningen, har
en rolle som formidler af adgang til MitID-løsningen, såle-
des at en fysisk person kan autentificere sig over for en
tjenesteudbyder. I den forbindelse indsamler MitID-løsnin-
gen autentifikationsdata på vegne af Digitaliseringsstyrelsen
om den privatperson, der autentificerer sig. Som led i sik-
kerheden for, at det er den rigtige privatperson, der anven-
der sit MitID, indsamles desuden risikodata fra brokeren til
MitID-løsningen. I disse tilfælde er det af tekniske årsager
brokeren, der indsamler risikodata og autentifikationsdata
på vegne af Digitaliseringsstyrelsen til MitID-løsningen. I
denne sammenhæng er brokeren underdatabehandler efter
indgåelse af en databehandleraftale med for Nets DanID
A/S, der er databehandler for Digitaliseringsstyrelsen.
Når brokeren derimod modtager oplysninger fra MitID-
løsningen bliver denne selvstændigt dataansvarlig for vide-
rebehandlingen af disse personoplysninger.
Digitaliseringsstyrelsen er dataansvarlig for personoplys-
ninger der behandles i serviceområdet Erhvervsadministra-
tion, herunder for registrering af erhvervsbrugere og admi-
nistratorer samt personoplysninger ved oprettelse af juridi-
ske enheder som brugerorganisationer i serviceområdet Er-
hvervsadministration i NemLog-in.
3. Forholdet til databeskyttelsesforordningen og databe-
skyttelsesretten
Behandling af personoplysninger er omfattet af Europa-
Parlamentets og Rådets forordning nr. 2016/679 af 27. april
2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af
sådanne oplysninger og om ophævelse af direktiv 95/46/EF
(databeskyttelsesforordningen) og lov nr. 502 af 23. maj
2018 om supplerende bestemmelser til forordningen om be-
skyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (databeskyttelsesloven).
Databeskyttelsesforordningen og databeskyttelsesloven
gælder for behandling af personoplysninger, der helt eller
delvist foretages ved hjælp af automatisk (elektronisk) data-
behandling, og for anden ikke-automatisk behandling af per-
sonoplysninger, der er eller vil blive indeholdt i et register.
Databeskyttelsesforordningen og databeskyttelsesloven
gælder dog bl.a. ikke for behandling af personoplysninger,
som foretages af en fysisk person som led i rent personlige
eller familiemæssige aktiviteter, jf. forordningens artikel 2,
stk. 2, litra c.
I databeskyttelsesforordningens kapitel II findes de re-
levante bestemmelser om, hvornår personoplysninger må
behandles, herunder indsamle, udveksles og viderebehand-
les. Det følger af forordningens artikel 6, stk. 1, at behand-
ling af almindelige personoplysninger kun er lovlig, hvis
og i det omfang mindst ét af de i bestemmelsen nævnte
forhold gør sig gældende, herunder hvis behandling er nød-
vendig for at overholde en retlig forpligtelse, som påhviler
den dataansvarlige, eller hvis behandling er nødvendig af
hensyn til udførelse af en opgave i samfundets interesse
eller som henhører under offentlige myndighedsudøvelse,
som den dataansvarlige har fået pålagt. Efter databeskyttel-
sesforordningens artikel 6, stk. 2 og 3, er det desuden muligt
at opretholde og indføre mere specifikke bestemmelser for
at tilpasse anvendelsen af artikel 6, stk. 1, litra c og e.
Det følger desuden af databeskyttelsesforordningens arti-
kel 9, stk. 1, at behandling af følsomme personoplysninger
som udgangspunkt er forbudt. Efter bestemmelserne i artikel
9, stk. 2, kan der gøres undtagelse til forbuddet i stk. 1. Det
kan f.eks. ske, hvis behandling er nødvendig af hensyn til
21
væsentlige samfundsinteresser på grundlag af EU-retten el-
ler medlemsstaternes nationale ret og står i rimeligt forhold
til det mål, der forfølges, respekterer det væsentligste ind-
hold af retten til databeskyttelse og sikrer passende og spe-
cifikke foranstaltninger til beskyttelse af den registreredes
grundlæggende rettigheder og interesser, jf. forordningens
artikel 9, stk. 2, litra g. Dette er også tilfældet, hvis behand-
ling er nødvendig af hensyn til samfundsinteresser på folke-
sundhedsområdet, f.eks. beskyttelse mod alvorlige grænseo-
verskridende sundhedsrisici eller sikring af høje kvalitets-
og sikkerhedsstandarder for sundhedspleje og lægemidler
eller medicinsk udstyr på grundlag af EU-retten eller med-
lemsstaternes nationale ret, som fastsætter passende og spe-
cifikke foranstaltninger til beskyttelse af den registreredes
rettigheder og frihedsrettigheder, navnlig tavshedspligt, jf.
forordningens artikel 9, stk. 2, litra i. Det bemærkes, at
behandling af følsomme oplysninger også kræver hjemmel i
forordningens artikel 6, stk. 1.
De grundlæggende principper i forordningens artikel 5
skal altid iagttages. Det følger bl.a. heraf, at personoplysnin-
ger skal behandles lovligt, rimeligt og på en gennemsigtig
måde i forhold til den registrerede (lovlighed, rimelighed
og gennemsigtighed), jf. forordningens artikel 5, stk. 1, litra
a. Endvidere skal personoplysninger indsamles til udtrykke-
ligt angivne og legitime formål og må ikke viderebehandles
på en måde, der er uforenelig med disse formål (formålsbe-
grænsning), jf. forordningens artikel 5, stk. 1, litra b. Herud-
over skal personoplysninger være tilstrækkelige, relevante
og begrænset til, hvad der er nødvendigt i forhold til de
formål, hvortil de behandles (dataminimering), jf. forordnin-
gens artikel 5, stk. 1, litra c.
Finansministeriet vurderer, at Digitaliseringsstyrelsens be-
handling af de almindelige personoplysninger, kan henføres
under databeskyttelsesforordningens art. 6, stk. 1, litra e om
offentlig myndighedsudøvelse, idet behandlingen sker for,
at Digitaliseringsstyrelsen kan varetage den pligt til tilrådig-
hedsstillelse og forvaltning af MitID-løsningen og NemLog-
in, som lovforslaget pålægger Digitaliseringsstyrelsen.
Det foreslås i § 13, at Digitaliseringsstyrelsen i stk. 1, ved
en privatpersons anvendelse af MitID eller en erhvervsbr-
ugers anvendelse af det elektroniske identifikationsmiddel
i MitID til login og autentifikation, kan videregive autentifi-
kationssvar, herunder risikodata vedrørende den konkrete og
enkelte transaktion, til en broker. der er tilsluttet MitID-løs-
ningen eller NemLog-in.
Det foreslås desuden i § 13, stk. 2, at en broker kan
foretage automatiske afgørelser om log-in på baggrund af
risikodata videregivet efter stk. 1.
Det foreslås endvidere i § 13, stk. 3, at en broker, der
i medfør af stk. 1 har modtaget autentifikationssvar, kan
videregive det modtagne og behandlede autentifikationssvar
til en tjenesteudbyder, der modtager autentifikationer fra Mi-
tID-løsningen.
Det foreslås også i § 13, stk. 4, at Digitaliseringsstyrelsen
ved en erhvervsbrugers anvendelse af et elektronisk identi-
fikationsmiddel fra en lokal identitetsgarant tilsluttet Nem-
Log-in, kan videregive autentifikationssvar vedrørende den
konkrete og enkelte transaktion til en broker, der er tilsluttet
NemLog-in.
Det foreslås endeligt i § 13, stk. 5, at en broker, der i
medfør af stk. 4 har modtaget autentifikationssvar, kan vide-
regive det modtagne og behandlede autentifikationssvar til
en tjenesteudbyder, der gennem en broker, modtager autenti-
fikationer fra NemLog-in.
Det foreslås i § 14, at Digitaliseringsstyrelsen kortvarigt
og i et sikret teknisk miljø kan behandle følsomme person-
oplysninger, i forbindelse med validering af digitale signatu-
rer i valideringstjenesten i serviceområdet Digital signering.
Den behandling af personoplysninger, der vil kunne finde
sted på baggrund af de pågældende regler, vil skulle ske
inden for rammerne af databeskyttelsesreglerne.
Som også nævnt ovenfor er det efter databeskyttelsesfor-
ordningens artikel 6, stk. 2 og 3, muligt at opretholde og
indføre mere specifikke bestemmelser for at tilpasse anven-
delsen i forbindelse med artikel 6, stk. 1, litra c eller e.
Behandlingen af almindelige personoplysninger, som kan
ske i medfør af de regler, som fastsættes i de foreslåede
bestemmelser i § 13 og 14, vurderes at have hjemmel i
databeskyttelsesforordningens artikel 6, stk. 1, litra e, idet
behandlingen vil være nødvendig af hensyn til opgaver i
samfundets interesse.
Det vurderes, at det er i overensstemmelse med databe-
skyttelsesforordningen og dennes rammer for fastsættelse af
nationale særregler om behandling af personoplysninger at
indføre de med lovforslaget foreslåede bestemmelser. Det
er fx forudsat at såfremt behandlingen er en nødvendig og
forholdsmæssig foranstaltning i et demokratisk samfund af
hensyn til en medlemsstats generelle samfundsinteresser, ,
kan der indføres særregler, der præciserer og varetager de
opgaver som Digitaliseringsstyrelsens behandling af person-
oplysninger indebærer for at sikre den samfundsmæssige
it-infrastruktur på tværs af såvel offentlige myndigheder,
offentligretlige organer og juridiske enheder som MitID og
NemLog-in muliggør.
Vurderingen af lovforslaget har taget udgangspunkt i de
kriterier, som fremgår af betænkning nr. 1565 om databe-
skyttelsesforordningen – og de retlige rammer for dansk
lovgivning i forhold til indførelse af nye nationale særregler
for behandling af ikke-følsomme personoplysninger, jf. be-
tænkning nr. 1565, del I – bind 1, side 168 ff.
Der vurderes desuden, at der vil kunne ske en behand-
ling af særlige kategorier af personoplysninger i medfør
af de pågældende bestemmelser. Det vurderes, at der med
lovforslaget er hjemmel hertil, idet behandlingen af person-
oplysninger vil være nødvendig af hensyn til væsentlige
samfundsinteresser, jf. databeskyttelsesforordningens artikel
9, stk. 1, litra g.
Det følger af forordningens artikel 9, stk. 2, litra g, at der
i forbindelse med fastsættelsen af nationale regler skal tages
hensyn til det væsentligste indhold af retten til databeskyt-
telse, og at der skal sikres passende og specifikke foranstalt-
ninger til beskyttelse af den registreredes grundlæggende
22
rettigheder og interesser. Det bemærkes i den forbindelse, at
de pågældende bestemmelser skal sikre, at identiteten på en
privatpersons anvendelse af MitID eller en erhvervsbrugers
anvendelse af MitID Erhverv er den samme, som også fik
udstedt det elektroniske identifikationsmiddel i § 13. Herun-
der ved kortvarigt og i et sikret teknisk miljø at behandle
følsomme personoplysninger, for at sikre at de elektroniske
identifikationsmidler, der indgår i MitID-løsningen bruges
af den samme privatperson eller erhvervsburger, der har fået
udstedt identifikationsmidlet. MitID-løsningen og NemLog-
in udgør samfundskritisk digital infrastruktur, der er med til
at holde Danmark i gang, især også efter den øgede brug af
digitale selvbetjeningsløsninger under COVID-19 krisen.
Det følger i den forbindelse af databeskyttelseslovens §
11, stk. 1, at offentlige myndigheder kan behandle oplysnin-
ger om personnummer med henblik på en entydig identifika-
tion eller som journalnummer.
Finansministeriet har overvejet behovet for selvstændige
hjemler til regulering af det materielle indhold af de foreslå-
ede bestemmelser i §§ 13 og 14.
Det er Finansministeriets vurdering, at begge bestemmel-
ser kan fastsættes i medfør af databeskyttelsesforordningens
artikel 6, stk. 2 og stk. 3, jf. artikel 9, stk. 2, litra g for så
vidt angår lovforslagets § 14.
Finansministeriet har endvidere overvejet, om bestemmel-
sernes materielle indhold allerede er hjemlet gennem den
myndighedsudøvelse, som Digitaliseringsstyrelsen pålægges
med lovforlaget. Videregivelse af autentifikationssvar, jf. §
13, herunder en brokers videreformidling er en helt central
forudsætning for, at MitID-løsningen kan fungere efter sit
formål. Det er endvidere et nødvendigt led i en tidssvarende
signeringstjeneste, at der kan ske en automatisk og maskinel
verifikation af sikring mod ændringer, jf. § 8, stk. 2, nr. 3
og § 14. Det vurderes derfor, at de foreslåede bestemmelser
kan henføres under Digitaliseringsstyrelens myndighedsud-
øvelse.
Finansministeriets videre overvejelser har imidlertid ført
til, at det er fundet hensigtsmæssigt at indføre bestemmel-
serne i de foreslåede §§ 13 og 14 af hensyn til at sikre gen-
nemsigtighed i forhold til de aktører, der direkte omfattes
af bestemmelserne, herunder hensynet til gennemsigtighed
for de registrerede samt nødvendigheden i at sikre, at det
er de samme privatpersoner og erhvervsbrugere, der benyt-
ter MitID ved løbende log-in og autentifikationer. Dette er
især nødvendigt og proportionalt, idet MitID-løsningen og
NemLog-in udgør samfundskritisk digital infrastruktur, som
man skal kunne stole på uanset om man er en offentlige
myndighed, en juridisk enhed eller en MitID bruger.
4. De økonomiske konsekvenser og implementeringskon-
sekvenser for det offentlige
Lovforslaget indebærer økonomiske konsekvenser for det
offentlige, idet det udgør lovhjemmel til implementering og
drift af næste generation af statens it-infrastrukturløsninger,
MitID-løsningen og NemLog-in. Omkostningerne til udvik-
ling af MitID-løsningen deles ligeligt mellem FR I og Digi-
taliseringsstyrelsen. Driften af MitID-løsningen finansieres
af de transaktioner, der foretages gennem anvendelse af løs-
ningen.
Af den fællesoffentlige finansiering af drift og udvikling,
finansierer staten 40 procent, kommunerne 40 procent og
regionerne 20 procent. Budgettet for løsningerne er forelagt
Folketingets finansudvalg og således også medtaget på bud-
gettet for finansloven 2020. Udvikling og drift af løsninger-
ne er senest blevet fastlagt mellem parterne i Aftale om
kommunernes og regionernes økonomi for 2020.
De samlede projektomkostninger til udbud og udvikling
af de kommende løsninger forventes at udgøre 661,1
mio. kr. i perioden 2014-2022, heraf 169,3 mio. kr. i
2014-2019. Driftsomkostningerne for de to løsninger for-
ventes efter endt idriftsættelse at udgøre ca. 84 mio. kr.
årligt. Det bemærkes, at omkostningsniveauet afhænger af
anvendelsen af løsningerne, da der afregnes delvist transak-
tionsbaseret for både udgifter og indtægter.
Den tekniske omstilling til de kommende løsninger for-
ventes for hele den offentlige sektor at udgøre i størrelses-
ordenen 50-130 mio. kr. Det understreges, at der er tale
om et estimat, idet omstillingsopgaven og de relaterede om-
kostninger er genstand for løbende analyse. Det er aftalt
ved økonomiforhandlingerne med kommuner og regioner,
at omstillingsomkostninger, herunder både tekniske, organi-
satoriske og andre omstillingsomkostninger, afholdes decen-
tralt. Omstillingsomkostninger dækker blandt andet tilpas-
ning af lokale it-løsninger, kompetenceudvikling af medar-
bejdere samt intern omstilling og udarbejdelse af nye pro-
cesser.
I omstillingsperioden vil infrastrukturløsningerne NemID
og nuværende NemLog-in være understøttet samtidig med
MitID og det nye NemLog-in, hvilket resulterer i midlerti-
digt overlappende driftsomkostninger. Det er ved lovforsla-
gets fremsættelse ikke endeligt besluttet, hvornår de ældre
infrastrukturløsninger udfases. Beslutning om udfasningen
af NemID og NemLog-in er blandt andet afhængig af, hvor
hurtigt privatpersoner og virksomheder overgår fra de gamle
løsninger til de nye løsninger.
Herudover indeholder lovforslagets § 15 bemyndigelse til,
at finansministeren kan fastsætte regler for opkrævning af
vederlag for tilslutning og anvendelse af MitID-løsningen
og NemLog-in. De nærmere regler om opkrævning af ge-
byrer hos privatpersoner for registrering og udstedelse af
MitID vil blive fastsat i bekendtgørelse i medfør af § 15, stk.
1. Fra idriftsættelse af MitID-løsningen er det hensigten at
fastsætte regler om, at en privatperson gebyrfrit kan få op til
tre MitID-identifikationsmidler, det bemærkes dog, at gebyr-
frihed ikke gælder ved anskaffelse af identifikationsmiddel
ved sikringsniveau høj som privatperson, der henvises i øv-
rigt til de specielle bemærkninger til § 15, stk. 3. Ud over
de tre MitID-identifikationsmidler er det tiltænkt, at MitID-
appen kan anvendes som MitID-identifikationsmiddel uden
brugerbetaling.
Digitaliseringsstyrelsen vil med lovforslaget fortsat skul-
le behandle klager og træffe afgørelse, hvis privatpersoner
23
klager over, at deres MitID er blevet spærret eller suspen-
deret eller over et afslag på udstedelse af MitID. Klagead-
gangen sikres med en hjemmel fastsat i en bekendtgørel-
se, som forventes at indeholde rammerne for forvaltningen
af MitID. Ligeledes fastsættes en hjemmel til at etablere
en klageadgang for serviceområdet Erhvervsadministration
i NemLog-in. Klageadgangen gælder for myndigheder og
juridiske enheder i rollen som brugerorganisationer, der fx
ikke kan blive oprettet i serviceområdet Erhvervsadministra-
tion i NemLog-in.
For så vidt angår NemID har Nets DanID A/S over for
Digitaliseringsstyrelsen oplyst, at de erfaringsmæssigt mod-
tager mellem 20-25 klager om året om udstedelse, spærring
og genåbning af NemID. Hovedparten håndteres ved simpel
information samt oplysning om, at der kan klages til Digita-
liseringsstyrelsen.
Digitaliseringsstyrelsen modtager cirka 20-30 klager om
året. Det er vurderingen, at bestemmelserne om klageadgang
til Digitaliseringsstyrelsen ikke vil medføre øget administra-
tion i form af flere klager. Det forventes, at antallet af klager
kan stige kortvarigt i implementeringsperioden for de nye
løsninger, idet privatpersoner og erhvervsbrugere skal skifte
til de nye infrastrukturløsninger. Dog vurderes det, at de
økonomiske konsekvenser efter fuld migrering til løsninger-
ne vil blive reduceret, så offentlige myndigheder fremadret-
tet ikke får øgede administrative opgaver. Ændringerne for
erhvervsbrugerne indebærer, at der muligvis i implemente-
ringsperioden kan forventes flere klager på grund af den
omstilling, som erhvervsbrugerne skal gennemgå. På sigt
forventes det, at klageantallet reduceres til samme niveau,
som i dag, idet erhvervsbrugerne i de nye løsninger vil have
adgang til mindst de samme funktioner som i de eksisteren-
de løsninger.
Lovforslaget vurderes at leve op til de syv principper for
digitaliseringsklar lovgivning og har været i høring i Digita-
liseringsstyrelsens sekretariat for digitaliseringsklar lovgiv-
ning. Idet lovforslaget udgør lovhjemlen for næste genera-
tion af centrale dele af statens fællesoffentlige digitale infra-
struktur, der muliggør digital selvbetjening, sagsbehandling
mv., anses lovforslaget som værende af central betydning
for digitaliseringen af den offentlige sektor som helhed, og
dermed afgørende for realiseringen af princip nr. 6 om an-
vendelse af offentlig digital infrastruktur.
5. De økonomiske og administrative konsekvenser for
erhvervslivet mv.
Lovforslaget har væsentlige økonomiske og administrati-
ve konsekvenser for erhvervslivet.
5.1. Administrative konsekvenser for erhvervslivet
Et udkast til lovforslaget har været forelagt Erhvervssty-
relsens Område for Bedre Regulering (OBR), der vurderer,
at lovforslaget medfører væsentlige administrative konse-
kvenser for erhvervslivet. De administrative konsekvenser
består dels i løbende administrative lettelser som følge af
én samlet og simplere administration af erhvervsidentiteter,
identifikationsmidler, rettighedsstyring og certifikater. Dertil
vil den nye infrastruktur muliggøre en simplere og mere
fleksibel model, hvor erhvervsbrugere kan anvende deres
private MitID, dedikeret MitID eller identifikationsmidler
udstedt af en lokal identitetsgarant i sammenhæng med en
eller flere erhvervsidentiteter. Nedenfor er de administrative
konsekvenser beskrevet, samt estimeret i det omfang det har
været muligt.
Det vurderes, at der er betydelige administrative konse-
kvenser forbundet med, at erhvervsbrugere i juridiske enhe-
der fremadrettet kan få tildelt og administrere deres digitale
erhvervsidentiteter gennem serviceområdet Erhvervsadmini-
stration i NemLog-in. Der lægges i vurderingen særligt vægt
på, at processen for oprettelse og administration af erhvervs-
identiteter fremover forsimples, og at der skabes en bedre og
mere sammenhængende løsning for erhvervsbrugere.
De administrative byrder og lettelser for erhvervslivet er
senest estimeret i 2017, og dermed før afslutningen af ud-
buddene af de næste generationer af de digitale infrastruk-
turløsninger MitID og NemLog-in, som omfattes af denne
lov. Det medfører, at estimaterne af de administrative konse-
kvenser, som fremgår af dette afsnit, er forbundet med en vis
usikkerhed. Der vil blive foretaget en ex-post måling af de
administrative konsekvenser.
De overordnede områder som vil lette administrationsbyr-
den for erhvervsbrugere i medfør af det nye serviceområde
Erhvervsadministration i NemLog-in er følgende:
5.1.1. En samlet tilslutning og administration
Med videreudviklingen af NemLog-in vil det blive let-
tere for en juridisk enhed at tilslutte sig serviceområdet
Erhvervsadministration som brugerorganisation og efterføl-
gende administrere brugerorganisationens opsætning. Én
samlet aftaleindgåelse muliggør blandt andet, at en tegnings-
berettiget for en juridisk enhed kan indgå én samlet aftale
om anvendelse af de serviceområder, som udstilles gennem
MitID-løsningen og NemLog-in til brugerorganisationer,
samt om administration af tilslutning og oprettelse i næste
generation Digital Post. Aftalen vil efterfølgende kunne ad-
ministreres i takt med, at den juridiske enheds behov ændrer
sig. Det vurderes, at én samlet aftaleindgåelse vil medføre
administrative lettelser på ca. 71 mio. kr. årligt. Det under-
streges, at beregningen også inkluderer næste generation
Digital Post og dermed ikke er begrænset til løsningerne, der
reguleres i dette lovforslag.
Ved tilslutning til serviceområdet Erhvervsadministration
bliver det muligt at differentiere i de juridiske enheders
overordnede behov. Små og mellemstore juridiske enheder
vil fx kunne vælge en simpel opsætning, så ikke al funk-
tionalitet, som udbydes af NemLog-in, udstilles i service-
området Erhvervsadministration. Herimod vil juridiske en-
heder med avancerede behov kunne detailspecificere ønsket
funktionalitet i tilslutningsforløbet. I begge tilfælde vil en
brugerorganisation efterfølgende kunne ændre opsætningen,
hvis den juridiske enheds forhold og behov ændrer sig.
24
5.1.2. En samlet og mere brugervenlig Erhvervsadministrati-
on
MitID-løsningen og NemLog-in vil som nye digitale in-
frastrukturløsninger blandt andet føre til lettelser for er-
hvervslivet som følge af ændringer i tidsforbruget ved op-
rettelse og administration af erhvervsidentiteter, identifikati-
onsmidler, certifikater og rettighedsstyring for erhvervsbru-
gere gennem serviceområdet Erhvervsadministration i Nem-
Log-in, idet tilsluttede brugerorganisationer fremover vil
kunne tilgå og administrere væsentlige forhold igennem én
applikation frem for flere.
Serviceområdet Erhvervsadministration udvikles med fo-
kus på brugervenlighed med et let forståeligt design, med
let tilgængelig hjælp og med vejledning af brugeren i ap-
plikationen. Designet af applikationen imødekommer også
it-udfordrede brugere eller brugere med forskellige typer
handicap.
Ændringen i tidsforbrug som følge af samling af funk-
tionalitet omkring erhvervsidentiteter og rettighedsstyring
vurderes at være ca. 10 minutter pr. oprettelse for den
normaleffektive juridiske enhed. Der oprettes ca. 600.000
erhvervsidentiteter årligt. De løbende administrative lettelser
for juridiske enheder vurderes på den baggrund at udgøre ca.
34 mio. kr. årligt.
Ved overgang til det nye serviceområde Erhvervsadmini-
stration vil brugerorganisationer have brug for tid til at lære
den nye løsning at kende. Tidsforbruget ved ibrugtagning
forventes at udgøre ca. 30 minutter for den normal-effektive
juridiske enhed. Det forventes, at knap 500.000 juridiske
enheder skal omstille sig til at anvende det nye service-
område Erhvervsadministration. På den baggrund vurderes
de samlede administrative omstillingsomkostninger ved om-
stilling til serviceområdet Erhvervsadministration, herunder
erhvervsidentiteter, identifikationsmidler, certifikater og ret-
tighedsstyring til ca. 85 mio. kr.
5.1.3. Fleksibel anvendelse af identifikationsmidler
I det nye serviceområde Erhvervsadministration har bru-
gerorganisationer og deres erhvervsbrugere mulighed for at
tilknytte og anvende forskellige typer identifikationsmidler
til oprettede erhvervsidentiteter. Det bliver muligt at anven-
de 1) MitID-identifikationsmidler udstedt til privatpersoner,
såfremt den juridiske enhed og privatpersonen giver samtyk-
ke til dette, 2) dedikerede MitID-identifikationsmidler til er-
hvervsbrug med mulighed for at anvende disse på vegne af
flere juridiske enheder og 3) lokale identifikationsmidler til
erhvervsbrugere tilknyttet en lokal identitetsgarant. Samlet
set giver dette en langt større fleksibilitet og administrativ
lettelse for erhvervsbrugere. Endvidere er det vurderingen,
at sikkerheden for erhvervsidentiteter øges betragteligt.
Med MitID-løsningen bliver det også muligt for de ju-
ridiske enheder, som i dag anvender NemID-medarbejder-
signatur eller nøglekort, at overgå til en erhvervsrettet mo-
billøsning i lighed med NemID-nøgleappen til privatper-
soner. Denne mulighed kan opsættes i serviceområdet Er-
hvervsadministration i NemLog-in. Det forventes for disse
juridiske enheder at give en reduktion i tidsforbrug på tre
minutter pr. login. Der foretages årligt ca. 4,06 mio. NemID
logins hos erhvervsbrugerne med nøglekort, og det forven-
tes, at 70 pct. af disse fremover vil foregå med MitID-ap-
pen. På den baggrund vurderes det, at den nye loginfunktion
vil medføre løbende administrative lettelser for erhvervslivet
på ca. 48 mio. kr. årligt.
Juridiske enheder, som ønsker at overgå til en MitID-
appen, vil have en omstillingsomkostning forbundet her-
med. Omstillingen består i at få opsat og at lære at bruge
mobilløsningen. Mange privatpersoner er allerede overgået
til brug af NemID-mobilløsningen, og det må forventes, at
denne gruppe vil få lavere tidsforbrug til at lære at anvende
den nye mobile MitID-loginløsning. I 2016 havde 523.080
juridiske enheder oprettet i gennemsnit fire medarbejdersig-
naturer. Af disse havde ca. 37 pct. tilknyttet et nøglekort,
og 70 pct. af dem forventes at overgå til mobilløsning. Det
bemærkes, at nogle af disse medarbejdersignaturer kan være
tilknyttet samme erhvervsbruger, men at det ikke har været
muligt at tage højde herfor i estimatet af de administrative
konsekvenser. På den baggrund vurderes omstillingsomkost-
ningerne ved ibrugtagning af MitID-appen til mellem 4 mio.
kr. og 59 mio. kr.
5.1.4. Omstillingsomkostninger til MitID
Med lovforslaget om MitID vil der være omkostninger til
migrering for samtlige juridiske enheder, når de skal overgå
til de nye løsninger. Hver juridisk enhed vil skulle anvende
5-30 min. på at migrere til de nye løsninger, og den enkelte
erhvervsbruger vil derefter skulle bruge 5-15 min. på at
opsætte deres nye loginmiddel. Omstillingsomkostningerne
hertil forventes at udgøre ca. 97 mio. kr. – 195 mio. kr.
Lovforslaget vurderes foreløbigt at medføre administra-
tive omstillingskonsekvenser for erhvervslivet for mellem
186 mio. kr. - 339 mio. kr., samt løbende administrative
lettelser på ca. 153 mio. kr. årligt.
5.2. Øvrige økonomiske konsekvenser for erhvervslivet
Derudover vurderes lovforslaget at medføre økonomiske
konsekvenser for erhvervslivet i form af gebyrer for anven-
delse af serviceområderne i NemLog-in og autentifikations-
transaktioner i MitID-løsningen. Gebyrer, der opkræves fra
juridiske enheder, skal dække Digitaliseringsstyrelsens om-
kostninger, være ikkediskriminerende og skal sikre, at der
ikke sker konkurrencefordrejning. Gebyrerne vil blive fast-
sat på bekendtgørelsesniveau. Se nærmere herom i lovfor-
slagets specielle bemærkninger til § 15.
5.3. Principper for agil erhvervsrettet regulering
MitID og Nemlog-in lovgivning og de underliggende løs-
ninger skaber en it-infrastruktur i Danmark, som i høj grad
understøtter de fem principper for agil erhvervsrettet regule-
ring.
5.3.1. Muliggør anvendelse af nye forretningsmodeller
Det er Digitaliseringsstyrelsens vurdering, at lovforslaget
25
bidrager til, at nye forretningsmodeller kan realiseres, idet
både MitID-løsningen og NemLog-in opdateres.
5.3.1.1. eIDAS-forordningen
Det forventes, at serviceområdet Digital signering i Nem-
Log-in vil opnå status som en kvalificeret tillidstjeneste i
henhold til eIDAS-forordningens art. 21, stk. 2. Kvalificere-
de digitale signaturer skal, jf. eIDAS-forordningens art. 25,
sidestilles med håndskrevne underskrifter i samtlige EU-sta-
ter. At serviceområdet Digital signering opnår status som en
kvalificeret tillidstjeneste, betyder, at erhvervsbrugere såvel
som privatpersoner ved anvendelse af serviceområdet Digi-
tal signering opnår en ensartet retstilstand på tværs af EU,
hvilket forbedrer mulighederne for elektronisk forretnings-
førelse og elektronisk handel i EU.
5.3.1.2. Broker-model
Et andet aspekt, der muliggør nye forretningsmodeller, er
MitID-brokermodellen. MitID-brokermodellen giver frem-
adrettet mulighed for, at juridiske enheder kan udvikle og
anvende brokerløsninger til private tjenesteudbydere. I dag
implementerer en tjenesteudbyder NemID-løsningen ved
henvendelse til leverandøren af NemID-løsningen, som gen-
nem en tilslutning muliggør implementering af NemID-løs-
ningen til tjenesteudbyderens egen selvbetjeningsløsning.
MitID-løsningen vil fungere anderledes på dette punkt,
idet en tjenesteudbyder i stedet skal anvende en broker, der
fungerer som bindeled mellem tjenesteudbyderen og MitID-
løsningen. Broker-modellen medfører, at juridiske enheder
skal tilslutte sig MitID-løsningen gennem en broker. En bro-
ker er en formidler af autentifikationer fra MitID-løsningen
og til den enkelte juridiske enhed. Brokeren er en juridisk
enhed, der skal gennemgå en certificering for at blive bro-
ker. Brokeren vil gøre det lettere for juridiske enheder, der
udbyder digitale selvbetjeningsløsninger, at benytte MitID-
løsningen, fordi brokeren varetager den tekniske tilslutning
til MitID-løsningen. Det vil for en juridisk enhed, der udby-
der digitale selvbetjeningsløsninger, blive en mindre opgave
at tilslutte sig en broker end at implementere en log-in løs-
ning direkte i egne systemer. Det vil i forlængelse heraf
kun være brokerne, der skal forholde sig til ændringer i Mi-
tID-snitfladerne. Indførelsen af brokere vil dermed medføre
betydelige administrative lettelser for erhvervslivet, når juri-
diske enheder benytter MitID-løsningen til kontakt med den
offentlige sektor. Der vil også være løbende byrder i form
af betalinger for brokerens ydelser og omstillingsomkostnin-
ger i forbindelse med overgangen fra NemID-løsningen til
MitID-løsningen. Der eksisterer ikke i dag et marked af bro-
kere, men implementeringen af MitID-løsningen åbner op
for, at et sådant marked vil kunne opstå. Juridiske enheder
vil i henhold til lovforslaget således kunne indgå aftale med
en certificeret broker.
Mens NemLog-in vil varetage rollen som offentlig broker,
vil juridiske enheder kunne udvikle broker-løsninger til pen-
geinstitutter samt til tjenesteudbydere i andre dele af den
private sektor. For mere herom, henvises der til lovforslagets
almindelige bemærkninger afsnit 2.2.1.
5.3.1.3. Differentierede muligheder som lokal identitetsga-
rant
Med lovforslaget får juridiske enheder mulighed for at
etablere sig som lokal identitetsgarant og tilslutte denne til
NemLog-in. En lokal identitetsgarant muliggør blandt andet,
at en juridisk enhed kan anvende egne lokale identiteter
og identifikationsmidler sammen med erhvervsidentiteter i
serviceområdet Erhvervsadministration i NemLog-in.
I praksis vil etablering og drift som lokal identitetsgarant
medføre, at den juridiske enhed selv kan håndtere følgende
processer for deres egne erhvervsbrugere: Identitetssikring,
udstedelse af lokale identiteter og identifikationsmidler samt
autentifikation til lokale it-systemer.
Det forventes, at få juridiske enheder vil etablere sig som
lokale identitetsgaranter, idet det kræver teknisk kapacitet og
investering.
Dette lovforslag regulerer ikke forholdene for lokale iden-
titetsgaranter, men sikrer alene at lokale identitetsgaranter,
som overholder gældende standarder, kan tilslutte sig Nem-
Log-in.
5.3.2. Mere enkel og formålsbestemt
Lovforslaget har et klart fokus på at stille løsninger til rå-
dighed for offentlige myndigheder og juridiske enheder. Der
er udelukkende fremført detaljerede og specifikke krav og
beskrivelser i det omfang, at det tjener lovforslagets formål
og privatpersoners beskyttelse. Konkrete beskrivelser af løs-
ningerne tjener i høj grad til at gøre løsningernes mulighe-
der og anvendelse klar. Når løsningerne bliver beskrevet
præcist, giver det juridiske enheder bedre betingelser for
at udvikle andre løsninger, som kan fungere enten sammen
med eller på tværs af MitID og NemLog-in. Det tekniske
omfang af løsningerne, der bliver stillet til rådighed ved
denne lov, skal fremgå klart for juridiske enheder.
Det er håndteret i lovforslaget ved, at tilrådighedsstillelsen
af de enkelte løsninger reguleres efter hver sin bestemmelse
og kapitel. Kapitlerne for hver løsning, henholdsvis MitID-
løsningen og NemLog-in, indledes med en bestemmelse
om tilrådighedsstillelse af løsningerne, og i de specielle
bemærkningerne er der beskrivelser af den nærmere regu-
lering af løsningerne. Herudover er tilrådighedsstillelse af
NemLog-in inddelt i de serviceområder, som NemLog-in
indeholder.
5.3.3. Teknologineutral
Juridiske enheder forpligtes ikke til at anvende lovforsla-
gets løsninger. Det er Digitaliseringsstyrelsens vurdering,
at lovforslaget er teknologineutralt, og at juridiske enheder
fremadrettet kan følge med den teknologiske udvikling af
lovens omfattede løsninger.
5.3.4. Helhedstænkende
Digitaliseringsstyrelsen vurderer, at lovforslaget er i tråd
med andre relevante reguleringsområder og ikke hæmmer
anvendelsen af nye teknologier og forretningsområder. Som
eksempel herpå har styrelsen indgået et partnerskab med,
26
FR I af 16. september 2015 A/S, under pengeinstitutternes
interesseorganisation Finans Danmark om udvikling af den
nye MitID-løsning.
5.3.5. Sikrer brugervenlig digitalisering
Log-in og autentifikation gennem MitID-løsningen og
NemLog-in er en grundlæggende forudsætning for digitali-
sering. Serviceområder i NemLog-in, såsom Digital repræ-
sentation, har i højere grad karakter af serviceområder, der
varetager og muliggør erhvervsrettede funktioner. Service-
området Digital repræsentation understøtter partsrepræsenta-
tion for blandt andet enkeltmandsvirksomheder, mens det
med serviceområdet Erhvervsadministration vil være muligt
at tilknytte og administrere rettigheder til en erhvervsidenti-
tet, herunder for de områder en erhvervsbruger kan tilgå
i digitale selvbetjeningsløsninger på vegne af deres organi-
sation. Der henvises til lovforslagets almindelige bemærk-
ninger afsnit 2.2.2. for yderligere information om NemLog-
in. Med serviceområderne i NemLog-in sikres der samspil
og sammenhæng med øvrige offentlige digitale tjenester,
og det er Digitaliseringsstyrelsens vurdering, at lovforslaget
derved sikrer brugervenlig digitalisering.
6. De administrative konsekvenser for borgerne
Med en omstilling fra NemID til MitID vil der være en
omstilling til en ny eID-løsning, som ikke længere indehol-
der det analoge identifikationsmiddel, nøglekortet. Med ud-
fasning af nøglekortet følger der en tilvænning til en ny
løsning, som af nogle privatpersoner vil opleves som mere
digital. Privatpersoner, som ikke ønsker at anvende MitID-
appen som identifikationsmiddel, vil dog fortsat kunne væl-
ge fysiske elektroniske identifikationsmidler, som afløser for
nøglekortet.
Endvidere vil der være en høj grad af genkendelighed
fra de eksisterende løsninger, hvilket forventeligt på sigt vil
bringe antallet af klager fra privatpersoner på niveau med
det nuværende antal klager. I den nye løsning reduceres
risikoen for snyd med de fysiske og kopierbare nøglekort,
hvilket ligeledes forventes at kunne nedbringe antallet af
klager. Det vurderes, at lovforslaget indeholder et hjemmels-
grundlag, som sikrer mulighed for at fastsætte klare regler
for privatpersoners retsstilling, og hvori det fastslås, at pri-
vatpersoner kan klage til Digitaliseringsstyrelsen over afslag
på at få udstedt MitID mv.
7. De klima- og miljømæssige konsekvenser
Lovforslaget har indirekte positive klima- og miljømæssi-
ge konsekvenser, idet det sikres, at MitID og NemLog-in
fortsat vil understøtte bred anvendelse af obligatorisk digital
selvbetjening. Digital selvbetjening medfører mindsket pa-
pirforbrug og reduceret transport, hvilket leder til et mindre
miljømæssigt aftryk og lavere udledning af drivhusgasser.
8. Forholdet til EU-retten
8.1. eIDAS-forordningen
Lovforslagets indhold er på en række punkter påvirket
af Europa-Parlamentet og Rådets forordning (EU) Nr.
910/2014 af 23. juli 2014 om elektronisk identifikation
og tillidstjenester til brug for elektroniske transaktioner på
det indre marked og om ophævelse af direktiv 1999/93/EF
(eIDAS-forordningen). eIDAS-forordningen indeholder et
fælles regelgrundlag for tillidstjenester til brug for elektro-
niske transaktioner, og forpligter medlemsstaterne til gensi-
digt at anerkende udenlandske elektroniske identifikations-
ordninger (eID), som i henhold til eIDAS-forordningen er
anmeldt til EU-Kommissionen på sikringsniveau betydelig
eller høj, i deres offentlige digitale selvbetjeningsløsninger.
Idet serviceområdet Digital signering i NemLog-in inde-
holder tillidstjenester til brug for elektroniske transaktioner,
særligt i forbindelse med elektronisk signering og tidsstemp-
ling, og MitID-løsningen vil blive anmeldt som den danske
nationale elektroniske identifikationsordning i henhold til
eIDAS-forordningen, er løsningerne underlagt bestemmel-
ser i eIDAS-forordningen. I eIDAS-forordningen sættes så-
ledes delvist rammen for lovforslaget. Forordningen regule-
rer blandt andet erstatning, gensidig anerkendelse af eID,
diverse formelle og tekniske sikkerhedskrav samt tilsyn med
og retsvirkninger af elektroniske tillidstjenester. Dette lov-
forslag regulerer kun aspekter, der ikke allerede er berørt i
eIDAS-forordningen.
Efter eIDAS-forordningen skal der ske gensidig anerken-
delse af elektroniske identifikationsmidler på sikringsniveau
betydelig eller høj, som er udstedt i en medlemsstat, og
som er anmeldt til EU-Kommissionen, når der i en anden
medlemsstat stilles krav om autentifikation som betingelse
for adgang til en onlinetjeneste. Den nationale eID-gateway
udgør Danmarks tekniske implementering af kravet i forord-
ningen og er derfor ikke reguleret yderligere i dette lovfor-
slag. Fordi eIDAS-forordningen er gældende i Danmark, er
det således muligt gennem eID-gatewayen at få adgang til
danske onlinetjenester med eID’er svarende til MitID, som
er udstedt i andre medlemsstater, hvis betingelserne i for-
ordningen er opfyldt. Det skal dog bemærkes, at eIDAS-for-
ordningen ikke finder anvendelse på de elektroniske selvbe-
tjeningsløsninger og dermed forbundne infrastrukturer, der
er etableret i medlemsstaterne. Det medfører, at medlems-
staterne har respekteret kravet om gensidig anerkendelse i
forordningen, når det i eID-gatewayen er konstateret, at en
fysisk person har et anerkendt eID, mens øvrige led i sags-
behandlingen, herunder indsamling og vurdering af ansøge-
rens ID-beviser, skal behandles efter national ret og efter
gældende forpligtelser efter EU-forordningen om Single Di-
gital Gateway (EU-forordningen om oprettelse af en fælles
digital portal, der giver adgang til oplysninger, procedurer
og bistands- og problemløsningstjenester, og om ændring af
forordning (EU) nr. 1024/2012).
8.1.1. Den Nationale Standard for identiteters sikringsni-
veauer
Den Nationale Standard for identiteters sikringsniveauer
(NSIS-standarden), er en dansk standard, som fastlægger en
national ramme for tillid til digitale identiteter i tråd med
eIDAS-forordningens regler for digitale identiteter.
27
Kravene i NSIS-standarden tager udgangspunkt i og lever
som minimum op til eIDAS-forordningen, således at en
dansk elektronisk identifikationsordning, som opfylder et
givet sikringsniveau i denne standard, også må forventes
at kunne opfylde kravene til samme niveau i forhold til
eIDAS-forordningen. I den forbindelse skal det dog bemær-
kes, at NSIS-standarden er tilpasset nationale forhold og
er mere detaljeret end den gennemførelsesretsakt (EU-Kom-
missionens gennemførelsesforordning (EU) 2015/1501 af 8.
september 2015 om interoperabilitetsrammen i henhold til
artikel 12, stk. 8, i Europa-Parlamentets og Rådets forord-
ning (EU) nr. 910/2014 om elektronisk identifikation og
tillidstjenester til brug for elektroniske transaktioner på det
indre marked), som definerer de tilsvarende sikringsniveau-
er under eIDAS-forordningen.
Hovedformålet med NSIS-standarden er at skabe rammer-
ne for tillid til digitale identiteter samt identitetstjenester
nationalt. NSIS-standarden definerer krav til styrken af en
autentifikationsproces, den underliggende identitetssikring
og det anvendte elektroniske identifikationsmiddel, udtrykt
som et samlet sikringsniveau. NSIS-standarden indeholder
en række krav til ID-tjenesters autentifikation på tre forskel-
lige sikringsniveauer benævnt ’lav’, ’betydelig’ og ’høj’. Ni-
veauerne ’betydelig’ og ’høj’ betegnes i denne lov samlet
som ’sikker autentifikation’, jf. den foreslåede § 2, nr. 5. De
tre niveauer i NSIS-standarden implementerer de tre tilsva-
rende niveauer i eIDAS-forordningens artikel 8. Kravene
til de tre sikringsniveauer omfatter både tekniske, organi-
satoriske og økonomiske forhold, idet mange faktorer har
indflydelse på tilliden til digitale identiteter og identitetstje-
nester. Sikringsniveauerne er opgjort på baggrund af tekni-
ske specifikationer, standarder og hertil knyttede procedurer,
hvis formål er at mindske risici for misbrug eller ændring
ved anvendelse af en digital identitet.
NSIS-standarden er gældende for nationale, offentlige
elektroniske identifikationsordninger og identitetsbrokere,
der håndterer digitale identiteter for privatpersoner, juridi-
ske enheder og privatpersoner associeret med en juridisk en-
hed. Den er gældende for såvel stat, kommuner som regio-
ner og på tværs af domæner (fx sundhed og uddannelse) og
omfatter både private og offentlige udbydere af elektroniske
identifikationsordninger samt identitetsbrokere, som ønsker
at anvende den fællesoffentlige infrastruktur.
NSIS-standarden er afgrænset til at vedrøre forhold i re-
lation til udstedelse og brug af elektroniske identifikations-
midler og identitetsbrokere.
Det er de enkelte tjenesteudbydere, som har ansvaret for
at vurdere, hvilket sikringsniveau en digital identitet skal
være udstedt på for at få adgang til deres digitale selvbe-
tjeningsløsninger. For tjenesteudbydere, som behandler per-
sonoplysninger, vil afdækning af risici og kontroller ofte
ligge i naturlig forlængelse af forpligtelserne i henhold til
den til enhver tid gældende regulering om behandling af
personoplysninger.
8.2. Regler om fri bevægelighed og udbudsretten
Leveringen af MitID-løsningen og NemLog-in er i lov-
forslaget organiseret med henblik på at sikre, at offentlige
myndigheder og offentligretlige organer kan anskaffe disse
ydelser fra Digitaliseringsstyrelsen i medfør af loven. Det
foreslås således, som nærmere beskrevet i henholdsvis afsnit
2.1.2.1 og 2.2.2.1., at Digitaliseringsstyrelsen pålægges at
stille MitID-løsningen og NemLog-in til rådighed for offent-
lige myndigheder og offentligretlige organer. Endvidere på-
lægges Digitaliseringsstyrelsen at stille MitID til rådighed
for privatpersoner og erhvervsbrugere. Offentlige myndig-
heder og offentligretlige organer forpligtes i et vist omfang
med lovforslaget til at anskaffe MitID-løsningen og Nem-
Log-in fra Digitaliseringsstyrelsen, mens de uden for denne
forpligtelse har en ret til at anskaffe løsningerne fra Digitali-
seringsstyrelsen. Denne organisering er i overensstemmelse
med gældende EU-ret og praksis fra EU-Domstolen.
Det bemærkes, at den frie konkurrence er sikret gennem
de behørigt gennemførte EU-udbud for udvikling og drift af
MitID-løsningen, MitID og NemLog-in.
Lovforslaget anses følgelig for at være proportionalt og i
overensstemmelse med Traktaten om Den Europæiske Uni-
ons Funktionsmåde.
9. Hørte myndigheder og organisationer mv.
Et udkast til lovforslaget har i perioden fra den 20. august
2020 til den 17. september 2020 været sendt i høring hos
følgende myndigheder og organisationer mv.:
ATP, Advokatsamfundet, AE – Arbejderbevægelsen Er-
hvervsråd, BL – Danmarks almene boliger, Danmarks
Statistik, Danmarks Nationalbank, Dansk IT, Dansk stan-
dard, Forum for digital sikkerhed, Danske advokater, DI
Digital, Danske Handicaporganisationer, Dansk Arbejdsgi-
verforening, Dansk Byggeri, Dansk Erhverv, Dansk In-
dustri, Danske Regioner, Datatilsynet, Den Danske Dom-
merforening, Det centrale Handicapråd, Håndværksrådet,
DKCERT, FDIH – Foreningen for Danske Internethandel,
Finans Danmark, Finanstilsynet, Forbrugerrådet Tænk, For-
eningen Danske Revisorer, Foreningen af Registrerede Re-
visorer, Forsikring og Pension, Landsforeningen Ældre Sag-
en, Landbrugsrådet, IBIZ-center, IT-Brancheforeningen, In-
stitut for menneskerettigheder, IT-Politisk Forening, KMD,
KL, KOMBIT, Konkurrence- og forbrugerstyrelsen, Prosa,
Forbundet af IT-Professionelle, Rigsombudsmanden i Grøn-
land, Landsforeningen for førtidspensionister, LOS – De
private Sociale tilbud, Microsoft Danmark, Nets DanID
A/S, Rådet for digital sikkerhed, Rådet for Socialt Udsatte,
Telekommunikationsindustrien i Danmark, Psykiatrifonden,
Rigsombudsmanden på Færøerne, Rigsrevisionen, Danske
Universiteter, Fagbevægelsens Hovedorganisation, Justitia
og Socialrådgiverforeningen.
10. Sammenfattende skema
28
Positive
konsekvenser/mindreudgifter
(hvis ja, angiv omfang/Hvis nej, anfør »In-
gen«)
Negative
konsekvenser/merudgifter
(hvis ja, angiv omfang/Hvis nej, anfør »In-
gen«)
Økonomiske konsekvenser for
stat, kommuner og regioner
Ingen af betydning. Ja. Udbud og udvikling af de kommende
løsninger forventes at udgøre 661,1 mio.
kr. i perioden 2014-2022. Driften forventes
at koste ca. 84 mio. kr. årligt.
Implementeringskonsekvenser
for stat, kommuner og regioner
Ingen Ja. Omstillingsomkostningerne anslås at
udgøre i størrelsesordenen af 50-130 mio.
kr.
Økonomiske konsekvenser for
erhvervslivet
Ingen Ja. Lovforslaget forventes at medføre øko-
nomiske konsekvenser for erhvervslivet i
form af gebyrer for anvendelse af service-
områderne i NemLog-in og autentifikati-
onstransaktioner i MitID-løsningen.
Administrative konsekvenser
for erhvervslivet
Ja. Der forventes løbende administrative
byrdelettelser på ca. 238 mio. kr. årligt,
blandt andet som følge af det reducerede
tidsforbrug ved login og autentificering,
herunder en mere fleksibel administra-
tion af erhvervsidentiteter og rettigheder i
NemLog-in serviceområdet Erhvervsadmi-
nistration.
Ja. Lovforslaget vurderes foreløbigt at
medføre administrative omstillingskonse-
kvenser for erhvervslivet for mellem 186
og 339 mio. kr. i engangsomkostninger.
Administrative konsekvenser
for borgerne
Ingen Ingen.
Klima og miljømæssige konse-
kvenser
Ja. Lovforslaget har indirekte positive kli-
ma- og miljømæssige konsekvenser, idet
det sikres, at MitID-løsningen og Nem-
Log-in fortsat vil understøtte bred anven-
delse af obligatorisk digital selvbetjening.
Ingen
Forholdet til EU-retten Lovforslagets indhold er på en række punkter påvirket af Europa-Parlamentet og Rådets
forordning (EU) Nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstje-
nester til brug for elektroniske transaktioner på det indre marked og om ophævelse af di-
rektiv 1999/93/EF (eIDAS-forordningen). eIDAS-forordningen regulerer tillidstjenester
samt elektronisk identifikation (eID) og finder derved anvendelse på MitID samt dele
af NemLog-in. eIDAS-forordningen sætter tillige ramme for NSIS-standarden. Dette
lovforslag regulerer kun aspekter, der ikke allerede er berørt i eIDAS-forordningen og
NSIS-standarden.
For så vidt angår reglerne om fri bevægelighed og udbudsretten bemærkes det, at den
frie konkurrence er sikret gennem de behørigt gennemførte EU-udbud for udvikling
og drift af MitID-løsningen, MitID og NemLog-in. Lovforslaget anses derfor for at
være proportionalt og i overensstemmelse med Traktaten om Den Europæiske Unions
FunktionsmådeEUF-traktaten.
Er i strid med de principper for
implementering
af erhvervsrettet EU-regulering/
Går videre end minimumskrav i
EU-regulering
(sæt X)
Ja Nej X
29
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
I den gældende lov nr. 493 af 18 maj 2018, om udstedelse
af NemID med offentlig digital signatur til fysiske personer
og til medarbejdere i juridiske enheder (herefter benævnt lov
om NemID), reguleres NemID-løsningen, som erstattes af
MitID-løsningen og med dette lovforslag. Gældende ret om
NemID er beskrevet nærmere i afsnit 2.1.1. i de almindelige
bemærkninger. I forhold til NemLog-in, har denne løsningen
ikke tidligere været lovreguleret. De foreslåede bestemmel-
ser om NemLog-in er således ny regulering.
Den foreslåede bestemmelse i lovforslagets § 1, stk. 1, vil
medføre, at loven finder anvendelse på infrastrukturløsnin-
ger, som nævnt i § 1, stk. 1, nr. 1 og nr. 2, samt nationale
digitale identiteter og elektroniske identifikationsmidler ud-
stedt i medfør heraf.
Infrastrukturløsningerne stilles til rådighed af Digitalise-
ringsstyrelsen, som det fremgår af de foreslåede bestemmel-
ser i § 3, stk. 1, og § 8, stk. 1.
Det skal bemærkes, at loven ikke finder anvendelse på de
elementer i de enkelte infrastrukturer, der er reguleret af Eu-
ropa-Parlamentets og Rådets forordning (EU) nr. 910/2014
af 23. juli 2014 om elektronisk identifikation og tillidstjene-
ster til brug for elektroniske transaktioner på det indre mar-
ked og om ophævelse af direktiv 1999/93/EF (eIDAS-for-
ordningen) eller af lov nr. 617 af 8. juni 2016 om suppleren-
de bestemmelser til forordning om elektronisk identifikation
og tillidstjenester til brug for elektroniske transaktioner på
det indre marked (supplerende lov om eIDAS). Se nærmere
herom i afsnit 8.1 i den almindelige bemærkninger.
Den foreslåede bestemmelse i lovforslagets § 1, stk. 1, nr.
1, vil medføre, at loven finder anvendelse på den danske
nationale elektroniske identifikationsordning (MitID-løsnin-
gen).
MitID-løsningen vil således udgøre den danske nationale
elektroniske identifikationsordning (eID-løsning), som vil
blive anmeldt i henhold til eIDAS-forordningen.
Med MitID-løsningen stiller Digitaliseringsstyrelsen de
danske nationale digitale identiteter til rådighed for privat-
personer, men det udelukker ikke, at der kan eksistere andre
digitale identiteter, fx digitale identiteter udviklet til priva-
te selvbetjeningsløsninger. Endvidere stiller Digitaliserings-
styrelsen de til løsningen hørende elektroniske identifikati-
onsmidler til rådighed for privatpersoner og erhvervsbruge-
re. Lovforslaget regulerer alene de danske nationale digitale
identiteter og ikke andre typer af digitale identiteter eller an-
dre elektroniske identifikationsordninger. MitID-løsningen
defineres i den foreslåede § 2, nr. 1 og løsningen er reguleret
i lovforslagets afsnit II.
Den foreslåede bestemmelse i lovforslagets § 1, stk. 1, nr.
2, vil medføre, at loven finder anvendelse på den fællesof-
fentlige digitale infrastrukturløsning (NemLog-in).
NemLog-in vil således være den fællesoffentlige digitale
infrastrukturløsning, som blandt andet muliggør og vareta-
ger interaktion mellem digitale brugere og tilsluttede digita-
le selvbetjeningsløsninger. NemLog-in indeholder en række
serviceområder, som er reguleret i den foreslåede § 8, stk.
2 og 3. NemLog-in defineres i den foreslåede § 2, nr. 6 og
løsningen er reguleret i lovforslagets afsnit III.
Til § 2
Den foreslåede bestemmelse i lovforslagets § 2, nr. 1 - nr.
17, vil medføre, at der anføres en række definitioner, som
nærmere angivet i de enkelte punkter.
Med den foreslåede bestemmelse defineres de væsentlige
begreber, som anvendes i loven.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 1 med-
fører, at MitID-løsningen defineres som den danske nationa-
le elektroniske identifikationsordning.
Det er forventningen, at MitID-løsningen vil blive an-
meldt i henhold til eIDAS-forordningen. MitID-løsningen
kan også betegnes som en eID-ordning eller eID-løsning. En
elektronisk identifikationsordning dækker hele livscyklus
for en identitet og et elektronisk identifikationsmiddel.
En anmeldelse af MitID til EU-Kommissionen i henhold
til eIDAS-forordningen vil på sigt muliggøre, at MitID
kan benyttes til autentifikation i offentlige digitale selvbe-
tjeningsløsninger med grænseoverskridende interesse, der
udbydes af andre EU-medlemsstater.
Med løsningen kan der foretages elektronisk identifika-
tion. Løsningen fungerer derved som en autentifikationstje-
neste af privatpersoners digitale identiteter. Derudover kan
erhvervsbrugere få MitID-identifikationsmidler. Erhvervs-
brugere kan dog ikke have en digital identitet i MitID-løs-
ningen, idet erhvervsbrugernes digitale identiteter oprettes i
serviceområdet Erhvervsadministration i NemLog-in, jf. § 8,
stk. 3. MitID-løsningen er den nationale identitetsgarant for
identiteter udstedt til privatpersoner og NemLog-in er den
offentlige identitetsgarant for erhvervsidentiteter.
En identitetsgarant foretager blandt andet udstedelse af
digitale identiteter. MitID-løsningen foretager således som
identitetsgarant udstedelse af digitale identiteter, som sker
på baggrund af en udstedelsesproces, hvor personidentifika-
tionsdata indhentes for at sikre entydig sammenhæng mel-
lem en privatperson og den udstedte digitale identitet. Mi-
tID-løsningen skal som den danske nationale elektroniske
identifikationsordning, således sikre, at det i den digitale
verden er muligt entydigt at fastslå den digitale identitet af
privatpersoner og i nogle situationer erhvervsbrugere.
Det bemærkes, at MitID-løsningen afløser den hidtidige
NemID-løsning, dog ikke for så vidt angår erhvervsløsnin-
gen NemID for erhverv, som i stedet afløses af serviceområ-
det Erhvervsadministration i NemLog-in, også kaldet MitID
Erhverv, som i denne lov omtales som Erhvervsadministrati-
on, jf. § 8, stk. 3.
Begrebet MitID-løsningen refererer til selve den tekniske
infrastruktur og ikke til enkelte digitale MitID-identiteter
eller MitID-identifikationsmidler.
Det skal bemærkes, at der ved overgangen fra NemID
til MitID er sket en række ændringer i den fællesoffentlige
30
digitale infrastruktur, som ikke kan læses direkte af den
foreslåede definition. En central ændring medfører, at Mi-
tID-løsningen fremadrettet alene vil udgøre en autentifikati-
onsløsning, hvor NemID-løsningen også indeholdt digital
signatur. Digital signering vil med den nye digitale infra-
struktur fremadrettet ske ved anvendelsen af serviceområdet
Digital signering i NemLog-in. Dette medfører, at hvor der
tidligere var lighed mellem NemID og digital signatur, vil
der fremadrettet skulle anvendes serviceområdet Digital sig-
nering til den digitale underskrift baseret på autentifikation
med MitID. Ovenstående ændrer ikke på, at det fortsat vil
være muligt at anvende private signeringsløsninger.
I den gældende lov om NemID, reguleres NemID-løsnin-
gen, som erstattes af MitID-løsningen og med dette lovfor-
slag. Gældende ret om NemID er beskrevet nærmere i afsnit
2.1.1. i de almindelige bemærkninger. Der findes ikke gæl-
dende ret, som definerer MitID. Loven regulerer ikke andre
typer af elektronisk ID end MitID.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 2, 1.
pkt., medfører, at der med MitID forstås den nationale digi-
tale identitet af en privatperson og tilhørende elektroniske
identifikationsmidler, som kan tilknyttes privatpersoners og
erhvervsbrugeres digitale identiteter.
MitID anvendes således som betegnelse for den nationale
digitale identitet af en privatperson og tilhørende elektroni-
ske identifikationsmidler, som kan tilknyttes privatpersoner
og erhvervsbrugeres digitale identiteter. En digital identitet
er defineret særskilt i denne bestemmelses foreslåede nr.
13. Elektroniske identifikationsmidler er defineret særskilt i
denne bestemmelses foreslåede nr. 14.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 2, 2.
pkt., medfører, at MitID er den nationale identitetsgarant for
privatpersoner.
Når MitID er den nationale identitetsgarant indebærer
det, at løsningen kan forsyne privatpersoner med digitale
identiteter. Udstedelse af MitID-identiteter med tilhørende
elektroniske identifikationsmidler sker som et resultat af den
registrerings- og indrulleringsproces, som en privatperson
skal gennemgå for at få udstedt sin digitale identitet, og som
resulterer i udlevering af et eller flere MitID-identifikations-
midler, der alene eller i kombination anvendes i forbindelse
med autentifikation. MitID-løsningen fungerer således som
identitetsgarant for privatpersoners digitale identitet.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 3,
medfører, at autentifikation defineres som en proces, som
genkender og verificerer en digital identitet gennem anven-
delse af et elektronisk identifikationsmiddel.
Ved autentifikation bliver en privatpersons eller en er-
hvervsbrugers digitale identitet bekræftet ved, at denne an-
vender et eller flere elektroniske identifikationsmidler. Au-
tentifikation af privatpersoners identiteter udgør den centrale
elektroniske proces i MitID-løsningen, da MitID-autentifi-
kation blandt andet giver adgang til digitale selvbetjenings-
løsninger tilsluttet brokere for MitID-løsningen. Autentifi-
kation af erhvervsbrugere sker i serviceområdet Login og
autentifikation i NemLog-in i kombination med enten MitID
eller en lokal identitetsgarant. Identitetsgaranten indestår for
identiteten, koblingen mellem identiteten og det elektroni-
ske identifikationsmiddel og verificerer identifikationsmid-
let, mens NemLog-in formidler den digitale erhvervsidenti-
tet koblet til identifikationsmidlet til den digitale selvbetje-
ningsløsning.
I den gældende NSIS-standard anvendes der tre niveauer
for sikkerheden af identiteter (Levels of assurance) til ID-
tjenester, benævnt som niveau lav, betydelig og høj. De tre
sikringsniveauer i NSIS svarer til de tre niveauer i eIDAS-
forordningen.
Ifølge den gældende eIDAS-forordning er det op til de
enkelte medlemsstater at stille nærmere krav til de sikring-
sniveauer, som de vil anvende. Sikringsniveauer bør ifølge
eIDAS-forordningens præambel afspejle graden af tillid til,
at et elektronisk identifikationsmiddel kan fastslå identiteten
på en person og således give sikkerhed for, at den person,
der gør krav på en specifik identitet, faktisk er den person,
hvortil identiteten er blevet knyttet. NSIS benyttes som re-
ferenceramme til beskrivelse af sikringsniveauerne i MitID
og NemLog-in samt for lokale identitetsgaranter. Sikringen
af identiteter kan i henhold til NSIS ligeledes ske på tre
sikringsniveauer: lav, betydelig og høj. Denne inddeling af
niveauer er nødvendig for at beskrive graden af tillid, som
indehaveren af en digital selvbetjeningsløsning (en tjeneste-
udbyder) kan have til en autentificeret digital identitet.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 4, 1.
pkt., medfører, at sikringsniveauet defineres som graden af
sikkerhed for autentifikation.
I forbindelse med overgangen til MitID-løsningen, over-
lades det til de individuelle offentlige myndigheder, offent-
ligretlige organer og juridiske enheder at vurdere det sik-
ringsniveau for autentifikation, som deres digitale selvbetje-
ningsløsning kræver.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 4, 2.
pkt., medfører, at der sondres mellem tre forskellige sikring-
sniveauer for autentifikation, henholdsvis niveau lav, bety-
delig og høj.
Den foreslåede sondring mellem de forskellige sikringsni-
veauer anvendes for sikring af digitale identiteter. Kravene
til sikringsniveauerne udspringer af NSIS-standarden og eI-
DAS-forordningen og er nærmere reguleret i disse.
I overensstemmelse med ovenstående er det med MitID
muligt at autentificere på de tre sikringsniveauer, henholds-
vis niveau lav, betydelig og høj.
Sikringsniveauerne er opgjort på baggrund af tekniske
specifikationer, standarder og hertil knyttede procedurer,
hvis formål er at mindske risici for misbrug eller ændring
ved anvendelse af en digital identitet.
Der findes ikke gældende ret, som anvender betegnelsen
”sikker autentifikation”. I den gældende NSIS-standard an-
vendes i stedet sikringsniveauerne lav, betydelig og høj.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 5,
medfører, at der med sikker autentifikation forstås autentifi-
kation på sikringsniveau betydelig eller høj.
31
Med den foreslåede bestemmelse udgør sikker autentifi-
kation en proces, der genkender og verificerer en digital
identitet på sikringsniveau betydelig eller høj.
Betegnelsen sikker autentifikation udgør alene en fælles-
betegnelse i denne lov for autentifikation på sikringsniveau
betydelig eller høj. Sikringsniveau lav vil derfor fortsat skul-
le leve op til NSIS-standardens krav til autentifikation på
dette sikringsniveau.
Der findes ikke gældende ret, som definerer NemLog-in.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 6, 1.
pkt. medfører, at NemLog-in forstås som den fællesoffentli-
ge digitale infrastrukturløsning, som sætter privatpersoner
og erhvervsbrugere med digitale identiteter i stand til at
interagere med digitale selvbetjeningsløsninger.
NemLog-in defineres således som den fællesoffentlige
digitale infrastrukturløsning, som muliggør og varetager in-
teraktion mellem på den ene side digitale selvbetjeningsløs-
ninger og på den anden side privatpersoner med digitale
identiteter oprettet i MitID-løsningen samt erhvervsbrugere
med digitale identiteter oprettet i NemLog-in.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 6,
2. pkt. medfører, at NemLog-in endvidere er den nationale
identitetsgarant for erhvervsidentiteter.
I praksis er NemLog-in den fællesoffentlige broker for
MitID og identitetsgarant for digitale erhvervsidentiteter i
Danmark. Når NemLog-in er den fællesoffentlige broker for
MitID og identitetsgarant for digitale erhvervsidentiteter i
Danmark, indebærer det, at løsningen kan forsyne erhvervs-
brugere med digitale identiteter.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 6, 3.
pkt. medfører, at NemLog-in indeholder de serviceområder,
som angives i § 8, stk. 2 og 3.
NemLog-in indeholder en række serviceområder: Login
og autentifikation, Digital repræsentation, Digital signering
og Erhvervsadministration. Serviceområdet Erhvervsadmi-
nistration kaldes også MitID Erhverv. Serviceområderne er
nærmere beskrevet i § 8, stk. 2 og 3. NemLog-in er således
en for samfundet kritisk infrastrukturløsning og indgang til
den offentlige digitale selvbetjening, idet serviceområderne
indeholder centrale services, som er væsentlige for anven-
delse og sammenhæng i den fællesoffentlige infrastruktur.
Begrebet privatperson anvendes med forskellige betydnin-
ger i gældende ret afhængig af, hvilket lovgrundlag, som der
anvendes.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 7,
medfører, at en privatperson defineres som en fysisk person,
der udelukkende agerer på vegne af sig selv uden forbindel-
se til en juridisk enhed, og som ikke er en erhvervsbruger.
Begrebet privatpersoner udgør i hovedreglen borgere, men
er dog ikke begrænset til danske statsborgere.
En privatperson kan have en national digital identitet
i MitID-løsningen, hvor en erhvervsbruger har en digital
identitet i NemLog-in. Erhvervsbrugere, jf. bestemmelsens
foreslåede nr. 8 er ikke en delmængde af begrebet privatper-
soner i bestemmelsens foreslåede nr. 7, selvom en fysisk
person i praksis både kan agere i rollen som privatperson
og erhvervsbruger. Erhvervsbrugere defineres således som
et selvstændigt begreb.
Begrebet erhvervsbruger er ikke defineret i gældende ret i
relation til NemLog-in.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 8,
medfører, at en erhvervsbruger defineres som en fysisk per-
son, der er associeret med en offentlig myndighed, et offent-
ligretligt organ eller en juridisk enhed, som er oprettet med
én eller flere erhvervsidentiteter i serviceområdet Erhvervs-
administration i NemLog-in.
Begrebet ”associeret med” skal forstås i overensstemmel-
se med NSIS og eIDAS-forordningen, og udgør således
en videreførelse af definitionerne fra eIDAS-forordningen
og NSIS, hvoraf det fremgår, at associationen blandt andet
dækker medarbejdere ansat i en virksomhed, men også an-
den tilknytning, hvor der ikke foreligger et ansættelsesfor-
hold. Associationen beskriver således, at der er en relation
mellem den fysiske person og den offentlige myndighed, det
offentligretlige organ eller den juridiske enhed, som danner
grundlag for en erhvervsidentitet.
En erhvervsbrugers digitale identitet er oprettet i Nem-
Log-in i serviceområdet Erhvervsadministration, jf. § 8, stk.
3. En erhvervsbruger kan desuden vælge at anvende det
elektroniske identifikationsmiddel, som denne har fået ud-
stedt som privatperson, til at autentificere sin erhvervsiden-
titet. En erhvervsbrugers elektroniske identifikationsmiddel
kan således oprettes i MitID som et dedikeret MitID, jf.
princippet om dobbelt frivillighed, som nærmere beskrevet
i § 9, stk. 4, og i bemærkningerne til § 4, stk. 1. Når be-
tegnelsen erhvervsbruger anvendes i loven, er der tale om
én eller flere oprettede erhvervsidentiteter, som tilhører er-
hvervsbrugeren. En erhvervsbruger kan således have tilknyt-
tet flere erhvervsidentiteter. Til forskel fra definitionen af en
privatperson, som har fået udstedt en privat digital identitet
tilknyttet til privatpersonen, er erhvervsbrugerens digitale
identitet tilknyttet til denne i medfør af erhvervsbrugerens
associering med en offentlig myndighed, et offentligretligt
organ eller en juridiske enhed.
I den gældende lovbekendtgørelse nr. 1052 af 16. oktober
2019 om Det Centrale Virksomhedsregister (herefter cvr-lo-
ven) er begrebet juridisk enhed defineret.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 9,
medfører, at begrebet juridisk enhed defineres som en jurid-
isk enhed med et cvr-nummer, jf. cvrloven, der ikke enten
er en offentlig myndighed, jf. nr. 10 eller et offentligretligt
organ, jf. nr. 11. Til definitionen af begrebet juridisk enhed
hører således ikke offentlige myndigheder og offentligretlige
organer, uanset om de i andre sammenhænge, blandt andet
cvr–loven, betragtes som juridiske enheder. Offentlige myn-
digheder og offentligretlige organer er selvstændigt define-
ret. For afgrænsningen af en offentlig myndighed eller et
offentligretligt organ henvises til denne bestemmelses nr. 10
og 11.
En juridisk enhed kan i relation til NemLog-in agere i rol-
len som tjenesteudbyder, jf. nr. 15 eller brugerorganisation,
32
jf. nr. 16. Dette indebærer, at en juridisk enhed i rollen som
tjenesteudbyder vil være karakteriseret ved at være ansvarlig
for én eller flere digitale selvbetjeningsløsninger. Når en
juridisk enhed er tilsluttet serviceområdet Erhvervsadmini-
stration i NemLog-in, vil den juridiske enhed betegnes som
en brugerorganisation i regi af NemLog-in.
Den gældende bestemmelse i § 24, nr. 28, 1. led, i udbuds-
loven, lov nr. 1564 af 15. december 2015, (herefter benævnt
udbudsloven), medfører, at der ved ordregiver forstås statsli-
ge, regionale og kommunale myndigheder.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 10,
medfører, at begrebet offentlig myndighed defineres som
statslige, regionale og kommunale myndigheder.
Definitionen af offentlige myndigheder skal forstås i over-
ensstemmelse med udbudslovens definition af offentlige
myndigheder i rollen som ordregivere, jf. § 24, nr. 28, 1.
led, i udbudsloven.
Definitionen af en offentlig myndighed i den foreslåede
bestemmelse er baseret på et formelt (organisatorisk) krite-
rium. I dele af lovforslaget suppleres definitionen med et
materielt (funktionelt) kriterium, idet der her vil være frem-
hævet, at bestemmelsen alene omfatter offentlige myndighe-
der, når de udfører en myndighedsopgave. I forhold til det
formelle kriterium ses der på, om den offentlige myndighed
formelt set er en statslig, regional eller kommunal myndig-
hed og således er en ordregiver, jf. udbudslovens § 24, nr.
28, 1. led. Hvor definitionen af offentlige myndigheder i
lovforslagets bestemmelser om pligt suppleres med et mate-
rielt kriterium, kan en offentlig myndighed være omfattet
delvist af bestemmelsen. Det indebærer, at hvis en offentlig
myndighed både løser myndighedsopgaver og opgaver af
privat karakter, gælder pligten alene for den offentlige myn-
dighed, når den offentlige myndighed udfører myndigheds-
opgaver, som kræver sikker autentifikation.
Den gældende bestemmelse i § 24, nr. 27, i udbudsloven,
medfører, at der ved offentligretlige organer forstås organer,
der er oprettet specielt med henblik på at imødekomme
almenhedens behov, dog ikke behov af industriel eller kom-
merciel karakter, der er juridiske personer, og som for mere
end halvdelens vedkommende finansieres af staten, regiona-
le eller kommunale myndigheder eller af andre offentligret-
lige organer eller er underlagt ledelsesmæssig kontrol af
disse myndigheder eller organer eller har en bestyrelse eller
direktion eller et tilsynsråd, hvor mere end halvdelen af
medlemmerne udpeges af staten, regionale eller kommunale
myndigheder eller andre offentligretlige organer.
Med bestemmelsens § 24, nr. 27, i udbudsloven defineres
begrebet »offentligretlige organer« som organer, der opfyl-
der de 3 betingelser i litra a-c.
I henhold til litra a skal det være organer, som er speci-
elt oprettet med henblik på at imødekomme almenhedens
behov af ikkeindustriel eller ikkekommerciel karakter.
I henhold til litra b skal det være organer, der er juridiske
personer.
Endelig skal det i henhold til litra c være organer, som
overvejende finansieres af staten, regionale eller kommunale
myndigheder eller af andre offentligretlige organer, eller er
underlagt ledelsesmæssig kontrol af disse myndigheder eller
organer, eller har en bestyrelse, en direktion, eller et tilsyns-
råd, hvor mere end halvdelen af medlemmerne udpeges af
staten, regionale eller kommunale myndigheder eller andre
offentligretlige organer.
Alle 3 betingelser skal være opfyldt.
Det følger af bestemmelsen, at organet skal være opret-
tet specielt med henblik på at imødekomme almenhedens
behov. Det vil almindeligvis være opgaver som generelt og
traditionelt anses for at være opgaver, som det offentlige va-
retager. Eksempelvis opgaver inden for dag- eller døgntilbud
til børn og voksne, miljø, sundhed, uddannelse, beskæftigel-
sesindsats eller opgaver på socialområdet. Kravet om, at et
organ, skal være oprettet specielt med henblik på at imøde-
komme almenhedens behov er opfyldt, når organet faktisk
udøver aktiviteter med henblik på imødekommelsen af så-
danne behov. Et organ kan således blive omfattet af loven
som et offentligretligt organ selv om organet ikke imødekom
sådan behov ved dets oprettelse, men på et senere tidspunkt.
I henhold til Europa-Parlamentets og Rådet direktiv
2014/24/EU af 26. februar 2014 om offentlige udbud og om
ophævelse af direktiv 2004/18/EF (fremover udbudsdirekti-
vet) præambel nr. 10 er et organ, der fungerer på normale
markedsvilkår, har til formål at skabe gevinst og bærer tab
forbundet med udøvelsen af sine aktiviteter, ikke at betragte
som et offentligretligt organ, da almenhedens behov, som
det er oprettet med henblik på at imødekomme eller har fået
til opgave at imødekomme, kan anses for at have industriel
eller kommerciel karakter.
At organet skal være en juridisk person betyder, at det
pågældende subjekt skal være i stand til at bære rettigheder
og forpligtelser. Selskaber med et cvr-nummer vil være at
betragte som en juridisk person. Interessentskaber vil også
være omfattet.
Da kravet i litra c indebærer, at mere end halvdelen af
driften skal være finansieret af offentlige midler, vil organet
være omfattet. Finansieringen må dog ikke have karakter
af at være en modydelse eller et gensidigt forretningsfor-
hold. Det har ingen betydning, at mere end halvdelen af
organets drift kommer fra kontrakter med offentlige myn-
digheder, altså at organet eksempelvis har vundet en række
udbud. Det er således kun de ydelser, der finansierer eller
støtter det berørte organs aktiviteter ved et økonomisk bi-
drag uden en særlig, kontraktuel præget modydelse, der vil
udgøre offentlig finansiering.
At føre kontrol vil sige at være underlagt intensiv offentlig
regulering, tilsyn eller lignende. En virksomhed, som er un-
derlagt en offentlig myndigheds kontrol af regnskabsførelse
vil ikke være underlagt offentlig kontrol. Det skyldes, at
den offentlige myndighed ikke kan påvirke de beslutninger,
som virksomheden træffer i forhold til driften af virksomhe-
den. Det er altså ikke tilstrækkeligt, at der er tale om, at
driften er underlagt offentlig kontrol, og at det offentlige
har en almindelig efterfølgende kontrol af f.eks. regnskab og
lignende.
33
Selvejende institutioner, der er oprettet på privatretligt
grundlag, og som har driftsoverenskomst med en kommu-
nen, kan være underlagt et sådant kommunalt tilsyn, at de
vil være omfattet af begrebet »offentligretligt organ«. Det-
te gælder, selvom kommunen ikke via ejerskab har mulig-
hed for at udføre bestemmende indflydelse på institutio-
nen. Kommunen skal dog have indflydelse på anden vis
f.eks. via kontrol med institutionens vedtægter, budget, per-
sonaleforhold m.v.
Det betyder, at selvejende dagtilbud til børn (daginstitutio-
ner, fritidsordninger, skoler), uddannelsesinstitutioner, pleje-
hjem og anden ældreomsorg kan være omfattet af begrebet
»offentligretligt organ«.
Ligeledes kan institutioner med tilbud til udsatte grup-
per (forsorgshjem, kvindekrisecentre, væresteder m.v.), som
kommunen har driftsoverenskomst med, være omfattet af
begrebet »offentligretligt organ«.
Statslige aktieselskaber, hvor ressortministeren kan vælge
flertallet af bestyrelsesmedlemmerne, er også omfattet og vil
være at betragte som et offentligretligt organ.
Som eksempler på offentligretlige organer kan nævnes
TV2, Sund og Bælt Holding A/S, Metroselskabet I/S, Sta-
tens og Kommunernes Indkøbsservice (SKI), Lønmodtager-
nes Dyrtidsfond, Naviair, de almene boligorganisationer og
universiteterne.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 11,
medfører, at der ved et offentligretligt organ forstås: Orga-
ner,
a) der er oprettet specielt med henblik på at imødekomme
almenhedens behov, dog ikke behov af industriel eller
kommerciel karakter,
b) der er juridiske personer, og
c) som for mere end halvdelens vedkommende finansieres
af staten, regionale eller kommunale myndigheder eller
af andre offentligretlige organer eller er underlagt le-
delsesmæssig kontrol af disse myndigheder eller orga-
ner eller har en bestyrelse eller direktion eller et tilsyns-
råd, hvor mere end halvdelen af medlemmerne udpeges
af staten, regionale eller kommunale myndigheder eller
andre offentligretlige organer.
Bestemmelsen skal forstås i overensstemmelse med § 24,
nr. 27 i udbudsloven.
Offentligretlige organer er et udbudsretligt begreb, der
omfatter almennyttige organer med nær tilknytning til den
offentlige sektor. Definitionen af et offentligretligt organ er
i den foreslåede lov baseret på et formelt (organisatorisk)
kriterium, der indholdsmæssigt svarer til udbudslovens § 24,
nr. 27. I dele af lovforslaget suppleres definitionen med et
materielt (funktionelt) kriterium. Lovforslagets pligter om-
fatter alene offentligretlige organer, når de udfører myndig-
hedsopgaver. Det samme gælder for offentlige myndigheder,
hvorfor vurderingen af om det offentligretlige organ lever op
til det materielle kriterium, er funderet i de samme hensyn,
som gør sig gældende for offentlige myndigheder. For en
nærmere beskrivelse henvises der til bemærkningerne til
denne bestemmelses nr. 10.
I gældende ret er digitale selvbetjeningsløsninger ikke de-
fineret. Dog skal begrebet forstås i overensstemmelse med
begrebet ”onlinetjeneste”, som anvendes som udefineret be-
greb i eIDAS-forordningen.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 12,
medfører, at digital selvbetjeningsløsning defineres som et
it-system, hvor privatpersoner eller erhvervsbrugere med di-
gitale identiteter kan tilgå digital selvbetjening efter at være
blevet autentificeret.
En digital selvbetjeningsløsning udstiller digitale services,
som kan tilgås af privatpersoner eller erhvervsbrugere. Med
udstiller menes i denne sammenhæng en elektronisk tilrå-
dighedsstillelse af en digital selvbetjeningsløsning, applika-
tion eller funktion for brugeren.
En offentlig myndighed eller et offentligretligt organ kan
i rollen som tjenesteudbyder, jf. den foreslåede nr. 15, have
en eller flere digitale selvbetjeningsløsninger tilsluttet Nem-
Log-in, der udstiller digitale services til offentlig anvendel-
se.
Såfremt der er tale om internt anvendte onlinetjenester
eller it-systemer inden for et myndighedsområde, som ikke
udstiller digitale services til offentlig anvendelse, er disse
ikke at anse som digitale selvbetjeningsløsninger i denne
lovs forstand og er derfor ikke påkrævet tilslutning til Nem-
Log-in og MitID-løsningen. Fx vil et kommunalt sagsbe-
handlingssystem, som alene betjenes af erhvervsbrugere i
kommunen ikke være omfattet af definitionen digital selvbe-
tjeningsløsning, idet et sådant sagsbehandlingssystem ikke
vil være åbent for offentlig anvendelse af privatpersoner
eller erhvervsbrugere. Dette gælder også, hvis fx flere kom-
muner i fællesskab har anskaffet og anvender et sagsbehand-
lingssystem.
Den gældende bestemmelse i art. 3, nr. 1, i eIDAS-for-
ordningen, medfører, at der ved elektronisk identifikation
forstås det at bruge personidentifikationsdata i elektronisk
form, der entydigt repræsenterer enten en fysisk eller jurid-
isk person eller en fysisk person, der repræsenterer en jurid-
isk person.
En digital identitet er det samme som en elektronisk iden-
titet (eID), jf. gældende ret fra eIDAS-forordningen, og
skal således forstås i overensstemmelse med definitionen i
eIDAS-forordningen.
Bestemmelsen tilsigter endvidere ikke en anden definition
end definitionen af en digital identitet, som findes i den gæl-
dende standard, Digitaliseringsstyrelsen har udarbejdet, og
som hedder ”Referencearkitektur for brugerstyring”. Stan-
darden har til formål at understøtte udviklingen af brugersty-
ring i den offentlige sektor. Begrebet i den gældende Refe-
ranceakitektur for brugerstyring er nedarvet fra e-IDAS-for-
ordningen.
Endvidere skal definitionen forstås i overensstemmelse
med den gældende NSIS-standard, hvoraf det fremgår, at en
identitet (elektronisk) udgør en digital persona repræsenteret
ved et sæt af attributter, som fx kan repræsentere en fysisk
person (privatidentitet), en juridisk enhed (virksomhedsiden-
titet), eller en fysisk person, der er associeret med en jurid-
34
isk - 9 af 32 - enhed (fx erhvervsidentitet). En identitet
kan rumme personidentifikationsdata men kan også være
pseudonym. Det bemærkes, at den gældende definition af
elektronisk identitet i NSIS-standarden er i overensstemmel-
se med e-IDAS-forordningens definition af elektronisk iden-
titet.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 13,
medfører, at der ved digital identitet forstås, en samling
af data, der unikt identificerer en privatperson eller en er-
hvervsbruger.
En digital identitet udstedes af en identitetsgarant og kob-
les til et eller flere elektroniske identifikationsmidler eller
certifikater, der over for tredjepart beviser koblingen mellem
den private person og den elektroniske identitet. Udstedelse
af en digital identitet kræver indsamling af personidentifika-
tionsdata, som er et sæt af data, der gør det muligt entydigt
at fastslå identiteten af en privatperson eller en erhvervsbru-
ger. Den samling af persondata, som danner grundlag for en
digital identitet indsamles ved anmodningen om udstedelse
af MitID.
Som eksempel på personidentifikationsdata kan nævnes
navn og personnummer. Der henvises i øvrigt til de alminde-
lige bemærkninger i afsnit 2.3. om behandling af personop-
lysninger.
Den gældende bestemmelse i art. 3, nr. 2, i eIDAS-for-
ordningen, medfører, at elektronisk identifikationsmiddel
defineres som en materiel og/eller immateriel enhed, der
indeholder personidentifikationsdata, og som bruges til au-
tentifikation i forbindelse med en onlinetjeneste.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 14, 1.
pkt. medfører, at elektronisk identifikationsmiddel defineres
som en materiel enhed, en immateriel enhed eller en kombi-
nation af disse, der indeholder personidentifikationsdata, og
som bruges til autentifikation i digitale selvbetjeningsløsnin-
ger.
Et elektronisk identifikationsmiddel benyttes til entydigt
at autentificere en digital identitet. Ved anvendelse af offent-
lige digitale selvbetjeningsløsninger følger en lang række af
beslutninger med potentielt vidtrækkende konsekvenser for
den enkelte privatperson eller erhvervsbruger, hvorfor det
er afgørende, at den digitale identitet fastslås korrekt. Det
kræver derfor et eller flere elektroniske identifikationsmidler
for, at en privatperson eller erhvervsbruger kan autentificere
sig i MitID-løsningen.
Det skal bemærkes, at en erhvervsbruger i særlige tilfælde
kan anvende andre typer af elektroniske identifikationsmid-
ler end dem, som er indeholdt i MitID. Det kan fx være
elektroniske identifikationsmidler udstedt af en lokal identi-
tetsgarant.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 14, 2.
pkt. medfører, at et elektronisk identifikationsmiddel består
af ét eller flere elementer, der hver især er et elektronisk
identifikationsmiddel.
Et elektronisk identifikationsmiddel kan være knyttet til
bestemt hardware, således at en applikation til elektronisk
identifikation er bundet til en materiel enhed, der fremstiller
selve applikationen til elektronisk identifikation, fx en kode-
viser eller en app. Et elektronisk identifikationsmiddel kan
udstedes til en privatperson eller en erhvervsbruger til brug
for autentifikation i digitale selvbetjeningsløsninger. Et elek-
tronisk identifikationsmiddel, som er udstedt i MitID-løsnin-
gen, betegnes som et MitID-identifikationsmiddel.
Der findes ikke gældende ret, som definerer begrebet tje-
nesteudbyder i relation til lovforslagets anvendelsesområde.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 15,
medfører, at tjenesteudbyder defineres som en offentlig
myndighed, et offentligretligt organ eller en juridisk enhed,
der er ansvarlig for én eller flere digitale selvbetjeningsløs-
ninger.
En tjenesteudbyder er karakteriseret ved at være ansvarlig
for de digitale selvbetjeningsløsninger, som tjenesteudbyde-
ren vælger at udstille.
I NemLog-in kan de offentlige myndigheder, offentligret-
lige organer og juridiske enheder agere i rollen som tjeneste-
udbydere eller i rollen som brugerorganisationer. I rollen
som tjenesteudbyder tilbyder en offentlig myndighed, et
offentligretligt organ eller en juridisk enhed adgang til og
anvendelse af et eller flere serviceområder i NemLog-in i
deres digitale selvbetjeningsløsninger, som minimum anven-
des serviceområdet Login og autentifikation. Om brugeror-
ganisationer se bestemmelsens nr. 16.
En tjenesteudbyder skal altid være tilsluttet en broker.
En tjenesteudbyder kan fx være en offentlig myndighed,
offentligretligt organ eller en juridisk enhed, der ved en
aftale med en broker kan anvende MitID-løsningen til auten-
tifikation af en privatperson eller en erhvervsbruger, til deres
digitale selvbetjeningsløsning.
I denne lov reguleres alene en sådan flerhed af tjeneste-
udbydere, når den indgår i og anvender den offentlige infra-
struktur, og den benævnes i loven som NSIS anmeldt broker
tilsluttet NemLog-in.
I den gældende ret er brugerorganisation ikke defineret.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 16,
medfører, at en brugerorganisation defineres som en offent-
lig myndighed, et offentligretligt organ eller en juridisk en-
hed, der er tilsluttet og anvender serviceområdet Erhvervs-
administration i NemLog-in til deres erhvervsbrugere.
I rollen som brugerorganisation er det således den enkelte
offentlige myndighed, det offentligretlige organ eller den ju-
ridiske enhed, som anvender funktionerne i serviceområdet
Erhvervsadministration, som er nærmere beskrevet i § 8,
stk. 3. I modsætning til en tjenesteudbyder stiller en bruger-
organisation således ikke digitale selvbetjeningsløsninger til
rådighed for tredjeparter.
I den gældende NSIS-standard er identitetsbroker angivet
som en ID-tjeneste, som formidler en autentificeret identitet
til tredjeparter på baggrund af en autentifikation verificeret
af brokeren selv eller evt. af en anden tredjepart (brokere
i flere led). En identitetsbroker foretager ikke nødvendigvis
selv identitetssikring eller udstedelse af elektroniske identi-
fikationsmidler, og kan derfor være separat fra en elektro-
35
nisk identifikationsordning. En identitetsbroker er en tjenes-
te, som kræver tillid (optræder som en såkaldt trusted third
party) fra forretningstjenester, og er derfor underlagt krav i
denne standard.
For brokere der indgår i den offentlige infrastruktur, skal
begrebet broker forstås i overensstemmelse med begrebet
identitetsbroker, som angivet i NSIS-standarden.
Den foreslåede bestemmelse i lovforslagets § 2, nr. 17,
medfører, at en broker defineres som, en offentlig myndig-
hed, et offentligretligt organ eller en juridisk enhed, der
videreformidler autentifikation af digitale identiteter.
En tjenesteudbyder skal fremover tilsluttes en broker for
at kunne tilbyde log-in med MitID til sine brugere. Broker-
modellen er blandt andet introduceret for at øge sikkerheden
i MitID og for at gøre integrationen nemmere for tjenesteud-
bydere. Det er en forudsætning for, at en broker kan blive
koblet direkte på MitID-løsningen, at brokeren er certifice-
ret. For at blive certificeret som broker for MitID, skal en
broker leve op til høje krav om fx sikkerhed, forretningsfø-
relse, rapportering, databehandling, support og garantier. For
at en broker kan interagere med den offentlige infrastruktur
og formidle autentifikation af digitale identiteter til offent-
lige tjenester, kræves det yderligere, at brokeren er NSIS
anmeldt.
En broker, der ikke er certificeret, kan ikke tilsluttes Mi-
tID-løsningen direkte, men skal tilsluttes via en certificeret
broker. Den ikke-certificerede broker kan således via en af-
tale med en certificeret broker acceptere aftalevilkår fastsat
af Digitaliseringsstyrelsen for at kunne anvende MitID-løs-
ningen og videreformidle autentifikation af digitale identite-
ter til en eller flere tjenesteudbydere.
NemLog-in udgør den offentlige broker for MitID-løsnin-
gen, og vil således være den broker, som anvendes i langt de
fleste tilfælde for offentlige myndigheder og offentligretlige
organer, jf. også den foreslåede § 11. Det vil ligeledes være
muligt for private tjenesteudbydere at få adgang til dele af
NemLog-in.
Til § 3
Tilrådighedsstillelsen af MitID-løsningen er ikke reguleret
i anden lovgivning. Med MitID-løsningen hjemtager Digi-
taliseringsstyrelsen løsningen og påtager sig myndighedsan-
svaret for at stille løsningen til rådighed. Dette gør sig ikke
gældende for NemID, hvorfor bestemmelsen udgør ny regu-
lering.
Med den foreslåede bestemmelse i § 3, stk. 1, 1. pkt.,
fastslås det, at Digitaliseringsstyrelsen stiller MitID-løsnin-
gen til rådighed for offentlige myndigheder, offentligretlige
organer og juridiske enheder.
Med bestemmelsen fastslås det, at Digitaliseringsstyrelsen
pålægges myndighedsopgaven at stille MitID-løsningen som
Danmarks nationale elektroniske identifikationsordning til
rådighed for offentlige myndigheder, offentligretlige organer
og juridiske enheder samt at sikre og levere udvikling, drift,
vedligeholdelse og forvaltning af løsningen.
Digitaliseringsstyrelsens tilrådighedsstillelse af MitID-løs-
ningen sker i praksis gennem realiseringen af den indgåede
kontrakt om udvikling og drift af MitID og har til formål
at sikre en digital infrastruktur, hvor privatpersoner og er-
hvervsbrugere kan blive autentificeret i offentlige myndig-
heders og offentligretlige organers digitale selvbetjenings-
løsninger, som kræver sikker autentifikation. Ligeledes kan
MitID-løsningen anvendes af juridiske enheder. Herved kan
private virksomheder vælge at benytte MitID-løsningen til
autentifikation i deres digitale selvbetjeningsløsninger.
Digitaliseringsstyrelsen stiller MitID-løsningen til rådig-
hed for offentlige myndigheder og offentligretlige organer
gennem NemLog-in. Når NemLog-in fungerer som fælles-
offentlig broker, sikres en høj tillid til den fællesoffentlige
digitale infrastruktur samt en ensartet brugerrejse på tværs af
offentlige digitale selvbetjeningsløsninger.
Digitaliseringsstyrelsen stiller desuden MitID-løsningen
til rådighed for juridiske enheder gennem NemLog-in eller
en broker, som er certificeret af Digitaliseringsstyrelsen.
Bestemmelsen udelukker ikke, at andre aktører udvikler
og udbyder elektroniske identifikationsordninger eller bro-
kere på markedsvilkår. Bestemmelsen udelukker heller ikke,
at andre EU-landes anmeldte eID-ordninger efter eIDAS-
forordningen kan anvendes til at tilgå offentlige myndighe-
ders digitale selvbetjeningsløsninger i Danmark gennem den
nationale eID-gateway.
Digitaliseringsstyrelsen stiller MitID-løsningen til rådig-
hed for offentlige myndigheder og offentligretlige organer
efter de nærmere regler om tilrådighedsstillelse og anvendel-
se, der fremgår af § 15, stk. 2 og § 16.
Digitaliseringsstyrelsen stiller MitID-løsningen til rådig-
hed for juridiske enheder efter § 7, § 15, stk. 1 og § 16.
Det fastslås med § 3, stk. 1, 2. pkt., at Digitaliseringssty-
relsen sikrer udvikling, drift og vedligeholdelse af løsnin-
gen.
Med bestemmelsen konkretiseres Digitaliseringsstyrelsens
myndighedsopgave, til at omfatte udvikling, drift og vedli-
geholdelse af løsningen.
Tilrådighedsstillelsen i medfør af 1. pkt., af MitID-løsnin-
gen vil derfor være forbundet med en pligt for Digitalise-
ringsstyrelsen til at udvikle, drifte og vedligeholde løsnin-
gen.
Da kontrakten på NemID udløber, er det nødvendigt, at
udvikle en ny løsning. Da NemID har udviklet sig til at
være samfundskritisk it-infrastruktur, ønsker staten at hjem-
tage løsningen, således at staten ejer løsningen og påtager
sig myndighedssansvaret at stille løsningen til rådighed for
offentlige myndigheder, offentligretlige organer og juridiske
enheder. Udviklingen af løsningen kan ske i samarbejde
med andre offentlige myndigheder, offentligretlige organer
eller juridiske enheder, jf. § 5, skt. 1. Opgaverne med ud-
vikling, drift og vedligeholdelse af MitID-løsningen inklu-
derer etablering og løbende tilpasning af løsningen samt
varetagelse af den daglige drift af løsningen. MitID-løsnin-
gen tilpasses løbende i takt med den teknologiske udvikling
samt det skiftende trusselsbillede og ændrede samfundsbe-
hov. Digitaliseringsstyrelsen varetager den sædvanlige kon-
36
traktstyring af leverandøren, som udpeges med hjemmel i
den foreslåede § 4, stk. 2.
Det foreslås med § 3, stk. 2, at Digitaliseringsstyrelsen
stiller MitID til rådighed for privatpersoner og erhvervsbru-
gere, såfremt privatpersoner og erhvervsbrugere opfylder
betingelserne for udstedelse af MitID, som fastsat i medfør
af § 4, stk. 2.
Med bestemmelsen får privatpersoner og erhvervsbrugere
mulighed for at få udstedt MitID og kan derved tilgå digitale
selvbetjeningsløsninger, der anvender MitID-løsningen til
autentifikation.
Når Digitaliseringsstyrelsen stiller MitID til rådighed for
privatpersoner og erhvervsbrugere, betyder det, at privatper-
soner kan få stillet et MitID til rådighed, og at erhvervs-
brugere kan få stillet et MitID-identifikationsmiddel til rå-
dighed. Således kan erhvervsbrugere anvende dette MitID-
identifikationsmiddel til at autentificere deres erhvervsiden-
titet på vegne af en virksomhed.
Lovforslaget pålægger ikke privatpersoner eller erhvervs-
brugere at anvende løsningerne, men indeholder et retskrav
for disse til at få udstedt MitID, hvis de opfylder betingel-
serne, som fastsættes i medfør af foreslåede § 4, stk. 2.
Når privatpersoner får udstedt MitID, tildeles disse en
digital identitet i MitID-løsningen. Herved fungerer MitID-
løsningen som identitetsgarant for privatpersoners digitale
identiteter oprettet i MitID-løsningen. Erhvervsidentiteter
registreres fremadrettet i NemLog-in i serviceområdet Er-
hvervsadministration, jf. § 8, stk. 3. NemLog-in fungerer
dermed som identitetsgarant for erhvervsidentiteter.
Det forventes, at der i bekendtgørelse udstedt i medfør
af den foreslåede § 4, stk. 2, vil blive fastsat regler om, at
MitID til privatpersoner kan udstedes ved personligt frem-
møde hos en registreringsenhed, der er udpeget af Digita-
liseringsstyrelsen til at udstede MitID. Dette kan fx være
borgerservicecentre, hvis de er udpeget af kommunalbesty-
relsen, jf. § 5, skt. 2, eller et pengeinstitut, som har indgået
en aftale om at være registreringsenhed. En registreringsen-
hed angiver ved indgåelse af aftale, hvilke funktioner og
ydelser, som er knyttet til udstedelse og indrullering, som re-
gistreringsenheden ønsker at varetage. Erhvervsbrugere skal
oprette og administrere digitale erhvervsidentiteter gennem
serviceområdet Erhvervsadministration i NemLog-in, jf. §
8, stk. 3. Erhvervsbrugerne kan herigennem tilknytte MitID
identifikationsmidler til de digitale erhvervsidentiteter.
Offentlige myndigheder, offentligretlige organer og juridi-
ske enheder, som er oprettet i serviceområdet Erhvervsadmi-
nistration i NemLog-in, betegnes som brugerorganisationer,
jf. § 2, nr. 16.
Som en del af tilrådighedsstillelsen af MitID-løsningen
kan en brugerorganisation anmode om at få udstedt MitID-
identifikationsmidler dedikeret til organisationens erhvervs-
brugere. Brugerorganisationen kan oprette og administrere
digitale erhvervsidentiteter til enhedens erhvervsbrugere og
tilknytte MitID-identifikationsmidler til disse.
Til § 4
Da MitID-løsningen er en ny løsning, er den derfor ikke
lovreguleret i dag. Reglerne som fastsættes i medfør af § 4,
vil delvist være en videreførelse af reglerne om udstedelse,
spærring og håndtering af NemID i lov om NemID, jf. § 1,
stk. 2, dog tilpasset de nye krav til sikkerhed fra NSIS-stan-
darden.
Med den foreslåede § 4, stk. 1, litra a, fastslås det, at
Digitaliseringsstyrelsen sikrer, at der sker identitetssikring af
privatpersoner, registrering af identiteter, udstedelse, spær-
ring og genåbning af MitID til privatpersoner efter reglerne
fastsat i medfør af bestemmelsens stk. 2.
Begrebet MitID anvendes både for den nationale digitale
identitet og for elektroniske identifikationsmidler, jf. den
foreslåede § 2, nr. 2. Derfor vil udstedelse, suspendering,
spærring og genåbning af MitID i praksis betyde, at Digita-
liseringsstyrelsen sikrer udstedelse, suspendering, spærring
og genåbning af nationale digitale identiteter og elektroniske
identifikationsmidler.
Ved udstedelse og registrering af MitID sker der en identi-
tetssikring og registrering af den fysiske person, hvorefter
der oprettes en digital identitet og udstedes elektroniske
identifikationsmidler. For at sikre identiteten af den fysiske
person, der anmoder om udstedelse af et MitID, identitets-
sikrer registreringsenheden den fysiske persons identitet. I
praksis sker det ved, at en person legitimerer sig med gyl-
dig legitimation fx pas, kørekort eller lignende. Den regi-
streringsenhed, som har identitetssikret en privatperson, re-
gistrerer, hvordan identitetssikringen er sket
For at en privatperson kan gøre brug af den digitale iden-
titet, skal denne således være i besiddelse af et elektronisk
identifikationsmiddel, som er knyttet til den digitale identi-
tet, jf. den foreslåede § 2, nr. 14. Et elektronisk identifikati-
onsmiddel er fx kodeviser eller MitID-app. Privatpersoner,
som ønsker at gøre brug af deres digitale identitet, skal
således autentificere deres nationale digitale identitet ved
anvendelse af det elektroniske identifikationsmiddel. En pri-
vatperson kan have flere typer af elektroniske identifikati-
onsmidler.
Ved spærring af MitID, kan der foretages spærring af den
nationale digitale identitet og af ét eller flere elektroniske
identifikationsmidler. En privatperson som har fået udstedt
MitID, kan således vælge at spærre enten den nationale digi-
tale identitet eller det dertil hørende elektroniske identifika-
tionsmiddel. Ved spærring af et elektronisk identifikations-
middel vil det stadig være muligt at anvende den nationale
digitale identitet med et nyt elektronisk identifikationsmid-
del. Hvis der sker spærring af privatpersonens nationale di-
gitale identitet, vil spærringen dog være fuldstændig.
Dette indebærer, at hverken den digitale identitet eller
elektroniske identifikationsmidler knyttet til den digitale
identitet efterfølgende kan anvendes. En privatperson, som
har fået sin digitale identitet spærret, kan anmode om at få
udstedt en ny digital identitet.
Det er ligeledes muligt for en privatperson at suspendere
den digitale identitet. Ved en suspendering af den digitale
37
identitet, vil det efterfølgende være muligt at genåbne den
digitale identitet, uden at gennemføre en ny registrering og
udstedelse af MitID. Hvis det elektroniske identifikations-
middel ikke er spærret, vil det være muligt for privatperso-
nen fortsat at anvende det elektroniske identifikationsmiddel
sammen med den genåbnede digitale identitet.
Det vil derimod kun under ganske særlige omstændighe-
der være muligt at suspendere det elektroniske identifikati-
onsmiddel. Dette gør sig fx gældende, hvis MitID-løsningen
systemisk suspenderer MitID identiteten og det elektroniske
identifikationsmiddel i en begrænset periode. Det kan fx væ-
re af sikkerhedsmæssige årsager. Efter en suspension vil bå-
de den digitale identitet og det elektroniske identifikations-
middel kunne anvendes igen. Det forventes, at der fastsættes
regler om suspension af det elektroniske identifikationsmid-
del med hjemmel i den foreslåede § 4, stk. 2.
De nærmere regler om registrering, udstedelse, suspen-
sion, spærring og genåbning vil blive fastsat med hjemmel i
§ 4, stk. 2.
Med § 4, stk. 1, litra b, fastslås det desuden, at Digitalise-
ringsstyrelsen sikrer udstedelse, spærring af identifikations-
midler til erhvervsbrugere efter reglerne fastsat i medfør af
stk. 2.
Bestemmelsen medfører, at erhvervsbrugere kan få ud-
stedt et elektronisk identifikationsmiddel, som Digitalise-
ringsstyrelsen sikrer udstedelse, suspension, spærring og
genåbning af. Regler for udstedelse, spærring og genåbning
vil blive fastsat med hjemmel i den foreslåede § 4, stk.
2. Herved kan erhvervsbrugere få udstedt et elektronisk
identifikationsmiddel i MitID. Erhvervsbrugere får til for-
skel fra privatpersoner ikke udstedt en digital identitet i
MitID. En erhvervsbruger får derimod udstedt en digital
identitet i NemLog-in i serviceområdet Erhvervsadministra-
tion.
Når en erhvervsbruger efter den foreslåede § 4, stk. 1, litra
b, bliver oprettet med en erhvervsidentitet i serviceområdet
Erhvervsadministration i NemLog-in og vil have udstedt et
elektronisk MitID-identifikationsmiddel, som skal anvendes
i erhvervsøjemed, foretages dette ligeledes gennem service-
området Erhvervsadministration i NemLog-in. Der henvises
til bemærkningerne til § 8, stk. 3. Erhvervsbrugeren kan
vælge at få koblet sit private MitID-identifikationsmiddel
til en eller flere erhvervsidentiteter, eller anvende et sær-
skilt dedikeret MitID-identifikationsmiddel, som alene kan
anvendes i erhvervsøjemed, og som kan tilknyttes én eller
flere erhvervsidentiteter, som erhvervsbrugeren har. Koblin-
gen mellem en erhvervsidentitet og et MitID-identifikations-
middel udstedt til privatbrug forudsætter, at både den fysiske
person, der er associeret med en offentlig myndighed, et
offentligretligt organ eller en juridisk enhed, som accepterer,
at den fysiske person anvender sit private MitID-identifika-
tionsmiddel. Dette forhold kaldes det dobbelte frivilligheds-
princip. Det dobbelte frivillighedsprincip hjemles i den fore-
slåede § 9, stk. 2 og stk. 3.
De nærmere betingelser for spærring, suspension og ud-
stedelse vil blive fastsat i regler med hjemmel i § 4, stk. 2.
Det skal bemærkes, at hvis en privatperson er den eneste
fult ansvarlige i en virksomhed, kan personen anvende sit
private MitID (MitID privat til erhverv) uden at oprette
sin juridiske enhed som brugerorganisation i Serviceområ-
det Erhvervsadministration i NemLog-in. Privatpersonen vil
derved kunne anvende både sin digitale identitet og elek-
troniske identifikationsmiddel oprettet i MitID-løsningen,
til personens juridiske enhed, hvis personen er den eneste
tegningsberettigede for den juridiske enhed. Der henvises i
øvrigt til bemærkningerne til den forslåede § 8, stk. 3.
Formålet med identitetssikringen vil i hovedsagen være at
sikre de forvaltningsretlige rammer om udstedelsesprocedu-
rer af MitID til privatpersoner og erhvervsbrugere. Derudo-
ver er det formålet at sikre efterlevelse af NSIS-standarden.
Med det foreslåede stk. 2 fastsættes en hjemmel til, at fi-
nansministeren fastsætter regler om forvaltningen af MitID-
løsningen og MitID, herunder regler om udstedelse, suspen-
sion, spærring og genåbning af MitID og regler for indbrin-
gelse af klage over en afgørelse om udstedelse, suspension
og spærring af MitID. Det forventes, at en klage over en
afgørelse kan indbringes for Digitaliseringsstyrelsen efter
genvurdering hos den registreringsenhed, der har truffet af-
gørelsen. Finansministeren vil tillige kunne fastsætte regler
med krav, der stilles til privatpersoner og erhvervsbrugere
ved løbende håndtering af MitID.
Det forventes, at der med hjemmel i den foreslåede be-
stemmelse blive fastsat nærmere regler for forvaltningen
af MitID-løsningen og MitID, herunder processuelle regler
om identitetssikring ved oprettelse af digitale identiteter, re-
gistrering af identiteter samt udstedelse, betingelser, der skal
opfyldes for at kunne få udstedt MitID, samt hvilke vilkår,
der løbende skal opfyldes for at besidde og anvende MitID,
suspension, spærring, nyudstedelse og genåbning af MitID
samt regler om en nedre aldersgrænse for at få udstedt et
MitID.
Det er hensigten, at den nedre aldersgrænse fra indførel-
sen af MitID sættes til 13 år. Bestemmelsen omfatter derved
selve forvaltningen af MitID, som er rettet mod privatperso-
ner og i et mere begrænset omfang erhvervsbrugere, idet
erhvervsidentiteter håndteres i serviceområdet Erhvervsad-
ministration i NemLog-in, jf. nærmere i den forslåede § 8,
stk. 3 og forvaltningen heraf i den foreslåede § 9.
Det er forventningen, at der med hjemmel i den foreslåede
§ 4, stk. 2, fastsættes regler om udstedelse af MitID. Udste-
delse af MitID kræver, at den fysiske person gennemgår
en identitetssikringsproces, som har til formål entydigt at
identificere den pågældende fysiske person. Sagsbehandling
i forbindelse med identitetssikring er en forvaltningsopga-
ve. Dette indebærer, at også udpegede juridiske enheder,
som foretager identitetssikring vil være underlagt forvalt-
ningsregler. Der henvises til den foreslåede § 20. Formålet
med identitetssikringen er at sikre, at privatpersoners iden-
titet registreres korrekt, således at deres nationale digitale
identiteter ikke kan forveksles med andres digitale identite-
ter. Samtidig skal det sikres, at NSIS overholdes ved regi-
strering og udstedelse af MitID. Privatpersoner har alene et
retskrav på at få udstedt MitID, hvis de opfylder betingelser-
38
ne for udstedelse af MitID, som fastsat i medfør af denne
foreslåede bestemmelse. Hvis fx en privatperson ikke kan
dokumentere sin identitet, vil det have den konsekvens, at
personen ikke kan få udstedt et MitID.
Ved udstedelse af MitID sker der en registrering af den
fysiske person i MitID-løsningen. Det forventes, at der fast-
sættes nærmere regler om registrering i MitID med hjemmel
i denne bestemmelse.
Det forventes endvidere, at der fastsættes nærmere regler
om besiddelse og anvendelse af MitID, med hjemmel i den
foreslåede bestemmelse. Regler om forvaltning af MitID
fastsættes under inddragelse af hensyn til løsningens sikker-
hed og privatpersoners og erhvervsbrugeres tillid til MitID-
løsningen. I denne afvejning er det formålet at skabe en
balance mellem hensynet til den enkelte privatpersons mu-
ligheder for at indgå i det digitale samfund og hensynet til
den generelle tillid til MitID-løsningen. Reglerne skal være
med til at sikre privatpersoner og juridiske enheder mod
konkret misbrug og skal samtidig bidrage til at opretholde
den samlede sikkerhed i MitID-løsningen. Der skal blandt
andet fastsættes regler om hemmeligholdelse og beskyttelse
af det elektroniske identifikationsmiddel, og at privatperso-
nen eller erhvervsbrugeren kognitivt skal have evnen til at
forstå og følge reglerne, herunder beskytte det udstedte Mi-
tID og elektroniske identifikationsmiddel mod andres brug
og misbrug. Der skal ligeledes fastsættes regler om, at pri-
vatpersoner og erhvervsbrugere skal tage rimelige forholds-
regler for at beskytte de sikkerhedsmekanismer, der sikrer
MitID mod kompromittering, ændring, tab og uautoriseret
brug. Finansministeren vil tillige kunne fastsætte, hvilke
konsekvenser det har, hvis en privatperson eller erhvervs-
bruger ikke overholder disse krav, efter MitID er udstedt
til den pågældende. Det vil eksempelvis kunne fastsættes,
at MitID spærres ved mistanke om misbrug eller brud på
sikkerheden. Det forventes, at det bliver fastsat, at den fysi-
ske person kan få udstedt MitID ved personligt fremmøde
hos en registreringsenhed fx i et pengeinstitut eller hos en
registreringsenhed i kommunernes borgerservicecentre.
Derudover forventes det, at der i lighed med i dag vil
blive fastsat regler om, at udstedelse af MitID kan afslås,
hvis en registreringsenhed vurderer, at en privatperson ikke
er i stand til at sikre MitID mod misbrug eller videregivelse
til tredjemand. Det forudsætter, at registreringsenheden som
led i udstedelsesprocessen foretager et skøn af privatperso-
nens evner til at besidde, beskytte og sikre sit MitID. Reg-
lerne herom fastsættes under inddragelse af hensyn til sik-
kerheden i løsningen og tilliden til anvendelsen af MitID.
Et afslag på udstedelse af MitID indebærer en væsentlig
begrænsning i indehaverens digitale færden og udgør en
forvaltningsretlig afgørelse.
Herudover vil en spærring foretaget af andre end indeha-
veren selv, udgøre en forvaltningsretlig afgørelse. En regi-
streringsenhed vil fx kunne spærre et MitID, hvis der kan
opstå tvivl om identiteten på den fysiske person stemmer
overens med den digitale identitet. Ligeledes vil et MitID
kunne suspenderes systemisk, hvis fx adgangskoden er skre-
vet forkert flere gange i træk. Det skal i den sammenhæng
bemærkes, at både en hel eller en delvis spærring af MitID
alene vil betragtes som en forvaltningsretlig afgørelse, hvis
den foretages af Digitaliseringsstyrelsen eller af de offentli-
ge myndigheder, offentligretlige organer eller juridiske en-
heder, der i medfør af den foreslåede § 5, stk. 1, er udpeget
til på vegne af Digitaliseringsstyrelsen at varetage opgaver
med blandt andet forvaltning af MitID samt opgaver i med-
før af § 4, stk. 1.
Det forventes med den foreslåede bestemmelse i stk. 2,
at finansministeren bemyndiges til at fastsætte nærmere
regler for, hvornår og hvordan MitID kan spærres. Det er
hensigten, at der både vil blive fastsat regler om, at en pri-
vatpersonen selv kan spærre sin digitale identitet, sit digitale
identifikationsmiddel eller begge dele. Ligeledes forventes
det, at en registreringsenhed kan spærre en digital identitet,
et digitalt identifikationsmiddel eller begge dele. Ved en
spærring af en digital identitet eller et digitalt identifikati-
onsmiddel, er det nødvendigt at genregistrere og genudstede
den digitale identitet, det digitale identifikationsmiddel eller
begge dele til privatpersonen. Det forventes også, at der med
hjemmel i den foreslåede bestemmelse, bliver fastsat regler
om suspendering af den digitale identitet og i særlige tilfæl-
de det elektroniske identifikationsmiddel. En suspendering
vil i praksis betyde, at den digitale identitet er midlertidig
spærret. Således vil det være muligt at genåbne den digitale
identitet, uden at skulle foretage en ny registrering og udste-
delse. En suspension kan fx foretages, hvis der er mistanke
om, at MitID er kompromitteret. Såvel en registreringsenhed
som indehaveren af MitID skal kunne suspendere eller spær-
re MitID. En registreringsenhed er en enhed, som er udpeget
af Digitaliseringsstyrelsen til at udstede og spærre MitID,
fx borgerservice eller et pengeinstitut. Ligeledes kan en ud-
peget leverandør og forvalter, jf. § 5, stk. 1, af MitID-løs-
ningen suspendere eller spærre en MitID-identitet, hvis det
konstateres, at et MitID er kompromitteret eller det forsøges
kompromitteret.
Spærring er endvidere relevant, når indehaveren ikke
overholder reglerne for brug af MitID, fx hvis koder overla-
des til tredjemand. Spærring sker ligeledes, når det konsta-
teres, at den fysiske person, der er indehaver af et MitID,
er afgået ved døden. Bemyndigelsen skal sikre, at privatper-
soner sikres de samme muligheder for fx klageadgang, uan-
set om det er offentlige myndigheder eller offentligretlige
organer, som varetager disse opgaver, eller om opgaverne
varetages af en juridisk enhed, jf. § 6, stk. 1.
Det forventes også, at der vil blive fastsat regler om er-
hvervsbrugere udstedelse og spærring af det elektroniske
MitID-identifikationsmiddel, som disse kan få udstedt i
medfør af § 4, stk. 1, litra b.
Med lovforslaget ændres der ikke på, at de forvaltnings-
retlige principper finder anvendelse også i den situation,
hvor finansministeren udpeger en juridisk enhed til eksem-
pelvis at varetage opgaven med at udstede MitID til privat-
personer. Hertil følger det af lovforslagets § 20, at forvalt-
ningsretten finder anvendelse på afgørelser om forvaltning
af MitID, hvilket blandt andet vil være tilfældet for afgø-
39
relser om afslag på udstedelse af MitID eller spærring af
MitID.
Det forventes med den foreslåede stk. 2, at finansministe-
ren skal fastsætte nærmere regler om adgangen til at klage
over en afgørelse om afslag på udstedelse af MitID, spær-
ring og suspension af MitID og genåbning af MitID.
Når der træffes en forvaltningsretlig afgørelse om afslag
på udstedelse, spærring og suspension, skal der gives mu-
lighed for at indgive en klage over afgørelsen, ligesom for-
valtningslovens regler om afgørelsesvirksomhed skal iagtta-
ges. Det er således væsentligt, at en privatperson kan klage
over et afslag på udstedelse, da et afslag kan have indgri-
bende betydning for den persons digitale færden. Ligeledes
er MitID en forudsætning for, at en privatperson kan tilgå
Digital Post og anvende offentlige digitale selvbetjenings-
løsninger. Privatpersoner, som ikke kan få udstedt MitID, vil
ikke kunne betjene sig hos en offentlig myndighed eller et
offentligretligt organ via den fællesoffentlige adgang. Det er
op til den enkelte offentlige myndighed eller offentligretlige
organ at beslutte, hvordan de vil understøtte en privatperson
i dette tilfælde. De enkelte myndigheder vil i den sammen-
hæng være forpligtet til at vejlede privatpersoner efter de
forvaltningsretlige regler, hvilket blandt andet indebærer, at
en myndighed har pligt til at vejlede og hjælpe privatper-
soner inden for de ressortområder, som de er ansvarlige
for. Således har en myndighed pligt til at hjælpe en privat-
person, der fx ikke kan få udstedt MitID til at agere inden
for myndighedens område og give privatpersonen adgang til
de oplysninger og den offentlige service, som andre privat-
personer kan tilgå ved brug af MitID.
Det forventes, at en afgørelse om afslag på udstedelse af
MitID, spærring og suspension af MitID, efter genvurdering
hos registreringsenheden, skal kunne indbringes for Digitali-
seringsstyrelsen. Regler om dette forventes ligeledes fastsat
med hjemmel i den forslåede stk. 2.
Det bemærkes, at det er hensigten, at der udarbejdes én
bekendtgørelse med regler for udstedelse og spærring af
MitID samt om muligheden for at indbringe klager over
afgørelser herom, således at de borgerrettede regler fastsæt-
tes samlet. Dette sker af hensyn til, at privatpersoner og
erhvervsbrugere kan få et gennemsigtigt og samlet overblik
over de regler, som retter sig mod dem.
De nærmere regler om tilrådighedsstillelse og anvendelse
af MitID-løsningen for offentlige myndigheder og offentlig-
retlige organer fastsættes i medfør af den foreslåede § 16.
Finansministeren fastsætter ikke regler om udvikling og
drift af MitID, idet disse forhold reguleres i kontrakten med
den private virksomhed, offentlige myndighed eller offent-
ligretlige organ, der kan udpeges i medfør af § 5, stk. 1.
Til § 5
MitID-løsningen er en ny løsning, og er derfor ikke lov-
reguleret i dag. Det forventes, at der videreføres regler fra
lov om NemID med offentlige digital signatur, om udpeg-
ning af offentlige myndigheder, offentligretlige organer eller
juridiske enheder til på vegne af Digitaliseringsstyrelsen at
varetage opgaven med udvikling, drift, vedligeholdelse og
forvaltning af MitID-løsningen.
Det fastslås med den foreslåede bestemmelse § 5, stk. 1, at
Digitaliseringsstyrelsen kan udpege offentlige myndigheder,
offentligretlige organer eller juridiske enheder til på vegne
af Digitaliseringsstyrelsen at varetage opgaver efter § 3, stk.
1, 2. pkt., samt opgaver i medfør af § 4, stk. 1.
Enhver udpegning skal ske under overholdelse af udbuds-
reglerne.
Det påhviler Nets DanID A/S på vegne af Digitaliserings-
styrelsen at varetage driften af MitID-løsningen og at fore-
stå udvikling og vedligeholdelse af løsningen i overensstem-
melse med de kontraktuelle vilkår, som er fastsat i aftalen
mellem Digitaliseringsstyrelsen og Nets DanID A/S.
Opgaverne inkluderer etablering og løbende tilpasning
af løsningen samt varetagelse af den daglige drift i tæt
samarbejde med Digitaliseringsstyrelsen og øvrige relevan-
te aktører, herunder supportorganisationer og registrerings-
enheder. MitID-løsningen tilpasses løbende i takt med den
teknologiske udvikling samt det skiftende trusselsbillede og
ændrede samfundsbehov.
Det er hensigten med § 5, at Digitaliseringsstyrelsen
kan udpege registreringsenheder, som på vegne af Digitali-
seringsstyrelsen sikrer, at der sker identitetssikring af iden-
titeter, registrering af identiteter, udstedelse, spærring og
genåbning af MitID til privatpersoner, jf. opgaverne i lovfor-
slagets § 4, stk. 1. Registreringsenhederne kan både være
offentlige myndigheder, offentligretlige organer og juridiske
enheder. Det er hensigten, at de enheder, som i dag varetager
opgaven som registreringsenheder for udstedelse af NemID,
så vidt muligt kan fortsætte med at varetage denne opgave
for MitID.
Opgaven med forvaltningen af MitID-løsningen omfatter
desuden supporten af løsningen. Supportopgaven kan på
baggrund af bestemmelsen varetages af en offentlig myndig-
hed, et offentligretligt organ eller en juridisk enhed. Digita-
liseringsstyrelsen kan således udpege offentlige og private
supportorganisationer, der har som opgave at yde support til
privatpersoner og erhvervsbrugere og derved udføre slutbru-
gersupport for MitID-løsningen. Der kan opstå behov for, at
supportorganisationen træffer afgørelser om fx spærring af
MitID under behandlingen af en supporthenvendelse.
Når en supportorganisation træffer afgørelser, er den på
samme måde som en registreringsenhed, underlagt regler og
instrukser fastlagt i samarbejde mellem partnerskabet og den
private virksomhed, som er udpeget i medfør af bestemmel-
sen. For at kunne agere som supportorganisation skal der
være indgået en aftale om varetagelse af support.
Da MitID-løsningen er en ny løsning, er løsningen ikke
lovreguleret i dag.
Der findes ikke regulering, som forpligter kommunalbe-
styrelsen til at varetage opgaver for NemID.
Det følger af den foreslåede bestemmelses stk. 2, at kom-
munalbestyrelsen på vegne af Digitaliseringsstyrelsen skal
varetage opgaver i medfør af § 4, stk. 1.
40
Kommunerne er i dag ikke forpligtet til at håndtere ud-
stedelse og spærring af NemID, selvom mange af de kom-
munale borgerservicecentre allerede i dag varetager opga-
ven. Med bestemmelsen forpligtes kommunerne til at vare-
tage opgaverne med registrering af identiteter, udstedelse,
spærring og genåbning af MitID til privatpersoner. Disse op-
gaver varetages i dag i registreringsenheder, som findes i de
fleste kommuner. Registreringsenheder findes i dag primært
i forbindelse med kommunale borgerservicecentre.
Kommunerne skal ved varetagelsen af opgaverne i hen-
hold til § 4, stk. 1, sikre, at det fortsat er let og nemt tilgæn-
geligt for privatpersoner at få hjælp til oprettelsen af MitID,
fx ved at opgaverne placeres i kommunale borgerservice-
centre eller lignende. Kommunalbestyrelsen skal endvidere
ved varetagelsen af opgaverne, følge de almindelige forvalt-
ningsretlige regler, som relaterer sig til de pågældende op-
gaver, herunder skal privatpersoner tilbydes vejledning, jf.
vejledningspligten i forvaltningslovens § 7, stk. 1.
Til § 6
MitID-løsningen er en ny løsning og der findes derfor
ikke gældende ret for MitID. For NemID-løsningen findes
der ikke ved lov en forpligtelse for offentlige myndigheder
og offentligretlige organer til at sikre, at privatpersoner og
erhvervsbrugere kan anvende NemID til at få adgang til de
pågældende myndigheders digitale selvbetjeningsløsninger.
Med den foreslåede bestemmelse i § 6, stk. 1 fastslås,
at når offentlige myndigheder og offentligretlige organer
anvender digitale selvbetjeningsløsninger til at udføre en
myndighedsopgave, skal de sikre, at privatpersoner og er-
hvervsbrugere med MitID gives adgang til selvbetjenings-
løsningen, hvis adgangen kræver sikker autentifikation. Mi-
tID-løsningen skal i dette tilfælde anskaffes fra Digitalise-
ringsstyrelsen.
Formålet med § 6, stk. 1, er at sikre, at offentlige myn-
digheder og offentligretlige organer, når de udfører myndig-
hedsopgaver i digitale selvbetjeningsløsninger, der kræver
sikker autentifikation, stiller MitID-løsningen til rådighed
for privatpersoner og erhvervsbrugere. Herved sikres en ens-
artet og sikker brugerrejse for privatpersoner og erhvervs-
brugere på tværs af den offentlige sektor. Pligten, i medfør
af den foreslåede bestemmelse, er fastsat med henblik på at
sikre den offentlige orden og sikkerhed, samt hensynet til
de samfundsøkonomiske overvejelser ved fælles anskaffelse
af it-løsninger i staten. Se nærmere herom i de almindelige
bemærkninger afsnit 2.1.2.2.
Det er den enkelte offentlige myndighed eller det offent-
ligretlige organ, som må vurdere, om pågældende offentlige
myndighed eller offentligretlige organ udfører en myndig-
hedsopgave. I vurderingen kan medregnes opgaver, som er
pålagt den offentlige myndighed eller det offentligretlige or-
gan ved lov eller anden retsakt, opgaver hvor myndigheden
eller det offentligretlige organ er ordregivende myndighed
og desuden opgaver, som umiddelbart synes at ligge inden
for myndigheds eller det offentligretlige organs ressort og
som løses af myndigheden eller det offentligretlige organ. I
vurderingen af om der udføres en myndighedsopgave sup-
pleres det formelle kriterier for myndighedens eller det of-
fentligretlige organs struktur med et materielt kriterium. Der
henvises i øvrigt til definitionen af offentlige myndighed
og offentligretligt organ. De offentlige myndigheder, som er
omfattet af pligten i § 6, stk. 1, er offentlige myndigheder
i henhold til denne lovs definition i § 2, nr. 10. De offentlig-
retlige organer som er omfattet af pligten i § 6, stk. 1, er
offentligretlige organer i henhold til denne lovs definition i §
2, nr. 11.
Pligten i medfør af den forslåede bestemmelse, afhænger
endvidere af, at den digitale selvbetjeningsløsning kræver
sikker autentifikation. Sikker autentifikation er defineret i
den foreslåede § 2, nr. 5, og omfatter NSIS sikringsniveauer-
ne betydelig og høj. Det er tjenesteudbyderen selv, som med
udgangspunkt i NSIS skal vurdere hvilket sikringsniveau
selvbetjeningsløsningen skal være på. For adgang til MitID-
løsningen på sikringsniveau lav henvises til den foreslåede §
6, stk. 2.
Anskaffelsen af MitID skal ske fra Digitaliseringsstyrel-
sen. Med den nye brokerstruktur, vil det ikke længere være
muligt, at tilkoble en digital selvbetjeningsløsning direkte til
MitID-løsningen. For mere om brokerstrukturen henvises til
de almindelige bemærkninger afsnit 2.1.2 og afsnit 2.3. Der-
for vil anskaffelsen af MitID-løsningen i praksis foregå
igennem tilslutning til NemLog-in, som den fællesoffentlige
broker. Herved vil alle tjenesteudbydere, som er forpligtet
til at stille MitID til rådighed for privatpersoner og erhvervs-
brugere, skulle tilkobles NemLog-in, for at en privatperson
eller en erhvervsbruger kan anvende den pågældende digi-
tale selvbetjeningsløsning. I nogle tilfælde vil det være re-
levant, at efterleve pligten til at anskaffe MitID-løsningen
igennem tilslutning til en NSIS-anmeldt broker, som er til-
sluttet til NemLog-in eller en lokal identitetsgarant tilsluttet
NemLog-in. Der henvises i øvrigt til § 11 for pligter til
anvendelse af Serviceområder i NemLog-in. Ved en tilkob-
ling til NemLog-in skal tjenesteudbyderen kunne iagttage
de aftalevilkår, som gælder for tjenesteudbydere, og som
fastsættes af Digitaliseringsstyrelsen. Offentlige myndighe-
der og offentligretlige organer i rollen som tjenesteudbydere
skal iagttage regler fastsat i medfør af § 16.
Det bemærkes, at retten til at anvende MitID-løsningen
skal ses i sammenhæng med den foreslåede § 15, stk. 3,
om opkrævning af gebyr og vederlag. Det indebærer, at
de offentlige myndigheder og offentligretlige organer skal
betale for at anvende MitID-løsningen, uanset om de har en
lovbestemt ret eller pligt til at anvende den, jf. § 15, stk. 3.
Med den foreslåede bestemmelse i § 6, stk. 2, sikres det, at
når offentlige myndigheders og offentligretlige organers di-
gitale selvbetjeningsløsninger ikke anvendes til at udføre en
myndighedsopgave, eller hvis adgangen til løsningerne ikke
kræver sikker autentifikation, kan de offentlige myndigheder
og offentligretlige organer give privatpersoner og erhvervs-
brugere adgang til løsningerne med MitID. MitID-løsningen
skal i dette tilfælde anskaffes fra Digitaliseringsstyrelsen.
Bestemmelsens sigte er offentlige myndigheder og offent-
ligretlige organer i de tilfælde, hvor de ikke er forpligtet
til at anvende MitID-løsningen, jf. bestemmelsens stk. 1,
41
kan vælge at anskaffe MitID-løsningen. Anskaffelsen vil
ske fra Digitaliseringsstyrelsen. Det fremgår af vejledning
til digitaliseringsklar lovgivning, at offentlige myndigheder
i det omfang, det er muligt og hensigtsmæssigt, bør anven-
de eksisterende fællesoffentlig infrastruktur, så der sikres
størst muligt genbrug og sammenhæng på tværs. Med den
foreslåede bestemmelses 1. pkt. gives en ret til at offentlige
myndigheder og offentligretlige organer kan give privatper-
soner og erhvervsbrugere adgang til digitale selvbetjenings-
løsningerne med MitID uden at gennemføre et selvstændigt
udbud, såfremt løsningen anskaffes fra Digitaliseringsstyrel-
sen gennem NemLog-in som broker. Dette betyder at, når en
offentlig myndighed ikke er omfattet af pligten i medfør af
den foreslåede bestemmelse § 6, stk. 1, vil det forsat være
muligt for de offentlige myndigheder og de offentligretlige
organer at give adgang til deres digitale selvbetjeningsløs-
ninger, uden at gå i udbud.
Det bemærkes, at retten til at anvende MitID-løsningen
skal ses i sammenhæng med den foreslåede § 15, stk. 3,
om opkrævning af gebyr og vederlag. Det indebærer, at
de offentlige myndigheder og offentligretlige organer skal
betale for at anvende MitID-løsningen, uanset om de har en
lovbestemt ret eller pligt til at anvende den, jf. § 15, stk. 3.
Til § 7
Da MitID-løsningen er en ny løsning, findes der ikke gæl-
dende ret på området. Med MitID-løsningen hjemtager sta-
ten ejerskabet og ansvaret for løsningen. Dette gør sig ikke
gældende for NemID, hvorfor lov om NemID ikke regulerer
tilrådighedsstillelse af løsningen for juridiske enheder.
Med den foreslåede § 7 fastslås det, at juridiske enheder i
rollen som tjenesteudbydere kan anvende MitID-løsningen.
Med den foreslåede § 7 får juridiske enheder mulighed for
at anvende MitID-løsningen som tjenesteudbydere i deres
digitale selvbetjeningsløsning. Det er således frivilligt for de
juridiske enheder, om de vil anvende MitID-løsningen som
tjenesteudbydere.
For at anvende MitID-løsningen skal den juridisk enhed
iagttage aftalevilkår for tjenesteudbydere og den foreslåede
bestemmelse § 15, stk. 1, om opkrævning af gebyr og veder-
lag for anvendelse af løsningen. Det indebærer, at juridiske
enheder skal betale for at anvende MitID-løsningen.
Med den nye brokerstruktur, vil det ikke længere være
muligt at tilkoble en digital selvbetjeningsløsning direkte til
MitID-løsningen. Derfor vil det tillige være nødvendigt for
den juridiske enhed for at tilgå MitID, at indgå aftale via
en broker, som er certificeret til at være MitID-broker af
Digitaliseringsstyrelsen. Juridiske enheder kan indgå aftale
med NemLog-in, om at anvende denne som broker eller der
kan indgås aftale med en hvilken som helst anden broker,
som er certificeret af Digitaliseringsstyrelsen, til at være
broker for MitID. Den juridiske enhed skal således igennem
en aftale acceptere de aftalevilkår, som er fastsat af Digita-
liseringsstyrelsen overfor brokeren, for at kunne anvende
MitID-løsningen.
Bestemmelsen indeholder ikke et retskrav.
Til § 8
Der er ikke gældende ret som regulerer tilrådighedsstillel-
sen af NemLog-in.
Med den foreslåede bestemmelse i § 8, stk. 1 fastslås, at
Digitaliseringsstyrelsen stiller NemLog-in til rådighed for
offentlige myndigheder, offentligretlige organer og juridiske
enheder.
Den foreslåede bestemmelse indebærer, at Digitaliserings-
styrelsen pålægges myndighedsopgaven at stille NemLog-in
til rådighed for offentlige myndigheder, offentligretlige or-
ganer og juridiske enheder.
I NemLog-in kan de offentlige myndigheder, offentligret-
lige organer og juridiske enheder agere i to forskellige rol-
ler: som tjenesteudbyder eller som brugerorganisation. En
tjenesteudbyder er ansvarlig for én eller flere digitale selv-
betjeningsløsninger. Offentlige myndigheder, offentligretlige
organer og juridiske enheder agerer i rollen som tjenesteud-
bydere, når de anvender serviceområderne Login og autenti-
fikation, Digital signering og Digital repræsentation i deres
selvbetjeningsløsninger. En brugerorganisation er tilsluttet
og anvender serviceområdet Erhvervsadministration i Nem-
Log-in til deres erhvervsbrugere.
Digitaliseringsstyrelsen stiller NemLog-in til rådighed for
offentlige myndigheder, offentligretlige organer og juridiske
enheder som tjenesteudbydere, hvorefter disse har pligt eller
ret til at tilbyde fysiske personer og erhvervsbrugere anven-
delse af NemLog-ins serviceområder i deres digitale selvbe-
tjeningsløsninger, jf. bemærkningerne til bestemmelsens stk.
2. Offentlige myndigheder, offentligretlige organer og juridi-
ske enheder kan i rollen som brugerorganisationer oprette
og administrere erhvervsbrugere, som kan anvende digitale
selvbetjeningsløsninger på vegne af organisationen.
Med den foreslåede § 8, stk. 1, 2. pkt., fastslås det, at Digi-
taliseringsstyrelsen sikrer udvikling, drift og vedligeholdelse
af NemLog-in.
I Digitaliseringsstyrelsens opgave med at sikre drift og
forvaltning, indgår ligeledes en sikring af, at der sker drift
og support for løsningen. Tjenesteudbydere og brugerorga-
nisationerne, som anvender de enkelte serviceområder, har
således som en del af serviceområdet mulighed for at få
både teknisk support og slutbrugersupport til blandt andet
tilslutning til serviceområderne. Dele af supportopgaverne
er vederlagsbelagte, jf. § 15, stk. 2.
I gældende ret er de serviceområder, som er indeholdt i
den næste generation af NemLog-in ikke reguleret. Det skal
dog bemærkes, at det med NemID, som er den eksisterende
løsning er muligt at signere lokalt udelukkende ved brug af
NemID, idet der til det enkelte NemID er knyttet nøgler og
certifikat til afgivelse af digital signatur. Ved overgangen fra
NemID til MitID vil signering under anvendelse af MitID
kunne ske ved brug af serviceområdet Digital signering i
NemLog-in, jf. den foreslåede § 8, stk. 2, nr. 3, idet MitID
som eID ikke indeholder de signaturgenereringsdata, der er
nødvendige for at afgive signaturer. Ovenstående ændrer
ikke på, at det fortsat vil være muligt at anvende private
signeringsløsninger.
42
Det betyder, at i gældende lovgivning, hvor der i dag fore-
skrives anvendelse af NemID, OCES eller digital signatur
eller digital signatur med et sikkerhedsniveau svarende til
OCES eller højere til login og autentifikation, skal dette
efter denne lovs ikrafttræden sidestilles med og være opfyldt
ved anvendelse, og anvendelse af MitID på sikringsniveau
betydelig eller højere eller et nationalt eID med sikringsni-
veau betydelig eller højere.
I tilfælde, hvor der i gældende lovgivning foreskrives, at
underskrift kan afgives ved anvendelse af NemID, OCES,
digital signatur eller digital signatur med et sikkerhedsni-
veau svarende til OCES eller højere, vil dette ikke fremad-
rettet være muligt alene ved autentifikation med MitID. En
digital underskrift kræver i stedet anvendelse af serviceom-
rådet Digital signering. Selve autentifikation ved afgivelsen
af underskriften kan dog ske ved anvendelse af MitID, men
den digitale signering vil dog ske ved anvendelsen af ser-
viceområdet Digital signering. Selvom Digitaliseringsstyrel-
sen fremadrettet vil varetage rollen som certificeringscenter
for serviceområdet Digital signering, er regulering af certifi-
ceringscenteret ikke omfattet af denne lov, men følger af
eIDAS-forordningen. Digitaliseringsstyrelsen har udformet,
varetager og vedligeholder på vegne af den danske stat de
gældende certifikatpolitikker, som stiller krav til udbydere
af tillidstjenester i Danmark. Digitaliseringsstyrelsens certi-
fikatpolitik indeholder hovedkategorierne ”OCES-certifika-
ter” og ”kvalificerede certifikater”.
Med den foreslåede § 8, stk. 2 fastlægges det, at NemLog-
in indeholder en række serviceområder til tjenesteudbydere.
Bestemmelsen indeholder en oplistning af hvilke service-
områder NemLog-in indeholder til tjenesteudbydere, og som
Digitaliseringsstyrelsen leverer og stiller til rådighed for at
offentlige myndigheder, offentligretlige organer og juridiske
enheder kan tilslutte sig, jf. nr. 1-3.
Den foreslåede § 8, stk. 2, nr. 1, fastsætter, at NemLog-in
indeholder serviceområdet login og autentifikation for tjene-
steudbydere, som sikrer den service, at privatpersoner og
erhvervsbrugere kan tilgå digitale selvbetjeningsløsninger.
Med bestemmelsens nr. 1 foreslås det, at Login og au-
tentifikation udgør et serviceområde i NemLog-in. Det fore-
slåede serviceområde muliggør, at der med autentifikation
af digitale identiteter kan logges på digitale selvbetjenings-
løsninger tilsluttet NemLog-in eller anden NSIS-anmeldt
broker tilsluttet NemLog-in. Offentlige myndigheder og of-
fentligretlige organers autentifikation i den fællesoffentlige
infrastruktur af digitale identiteter for privatpersoner sker
i MitID-løsningen gennem NemLog-in. Erhvervsbrugerne
autentificeres i serviceområdet Erhvervsadministration eller
gennem en lokal identitetsgarant tilsluttet Erhvervsadmini-
stration i NemLog-in, jf. lovforslagets § 8, stk. 3.
I praksis betyder det fx, at når en privatperson eller en
erhvervsbruger, som har fået udstedt et elektronisk identifi-
kationsmiddel i MitID-løsningen, logger ind på en digital
selvbetjeningsløsning, som er tilsluttet NemLog-in eller en
NSIS-anmeldt broker koblet til NemLog-in, sender Nem-
Log-in en digital autentifikationsanmodning til MitID-løs-
ningen. MitID-løsningen sender herefter et sikkert svar til-
bage til NemLog-in, som indeholder autentifikationssvaret
til den pågældende selvbetjeningsløsning. Der henvises til
lovforslagets almindelige bemærkninger afsnit 7.3.1 vedrø-
rende behandling af personoplysninger.
Funktionen log-in muliggør, at privatpersoner og er-
hvervsbrugere kan tilgå digitale selvbetjeningsløsninger ef-
ter, at de har foretaget den påkrævede autentifikation over
for den selvbetjeningsløsning, som de ønsker at tilgå.
Log-in og autentifikation vil for privatpersonen og er-
hvervsbrugeren blive oplevet som en samlet proces.
Derudover indeholder serviceområdet funktionen Single
sign-on. Funktionen Single sign-on kan alene anvendes af
offentlige myndigheder og offentligretlige organer, når de
udfører en myndighedsopgave, jf. den foreslåede § 11, stk.
1, nr. 1.
Med funktionen Single sign-on kan en privatperson el-
ler en erhvervsbruger tilgå flere offentlige digitale selvbe-
tjeningsløsninger på baggrund af et enkelt login, såfremt
selvbetjeningsløsningerne er på samme NSIS-sikringsni-
veau. Herved kan der for privatpersoner og erhvervsbrugere
etableres en bedre brugerrejse og mere effektiv anvendelse
af offentlige digitale selvbetjeningsløsninger. Hvis en selv-
betjeningsløsning kræver et højere NSIS-sikringsniveau end
den forrige, vil det kræve, at den fysiske person eller er-
hvervsbrugeren foretager en ny og stærkere autentifikation
for at kunne tilgå selvbetjeningsløsningen med det højere
NSIS-sikringsniveau. Det betyder i praksis, at der skal fore-
tages en ny autentifikation, med en yderligere anerkendt
faktor, det kunne fx være ved anvendelse af et supplerende
identifikationsmiddel.
Den foreslåede § 8, stk. 2, nr. 2, litra a, fastsætter, at Nem-
Log-in indeholder serviceområdet Digital repræsentation til
tjenesteudbydere, som sikrer Digital repræsentation af en
privatperson, således at privatpersonen ved anvendelse af
en digital selvbetjeningsløsning kan lade sig repræsentere
digitalt af en anden privatperson, af en erhvervsbruger eller
af en juridisk enhed over for en offentlig myndighed eller et
offentligretligt organ, som udbyder en digital selvbetjenings-
løsning.
Med bestemmelsens foreslåede litra a, udgør Digital re-
præsentation et serviceområde i NemLog-in. Digital repræ-
sentation i NemLog-in finder primært anvendelse for pri-
vatpersoner, som kan lade sig repræsentere digitalt af en
tredjepart. En privatperson kan administrere og afgive digi-
tal repræsentation til en anden privatperson, en erhvervsbru-
ger eller en juridisk enhed. En privatperson kan gennem
serviceområdet Digital repræsentation i NemLog-in tildele
og administrere afgivne repræsentationer.
En privatperson kan lade sig repræsentere i serviceområ-
det Digital repræsentation i NemLog-in, men vil ikke kunne
overlade sin digitale identitet eller identifikationsmiddel i
MitID til en anden.
Det er teknisk muligt for en privatperson at anmode en
anden privatperson om at repræsentere sig gennem Digital
repræsentation i NemLog-in.
43
Denne funktion muliggør, at en borger, der ikke er digital
parat, alligevel har mulighed for at blive understøttet på
digitale selvbetjeningsløsninger ved anvendelsen af service-
området Digital signering. Den udpegede repræsentant kan
således påbegynde oprettelsen af repræsentationsforholdet
i selve tilslutningsflowet, hvorefter repræsentationsafgiver
senere kan tilslutte sig flowet analogt.
Serviceområdet Digital repræsentation udgør en digital
repræsentationsløsning, som understøtter forvaltningslovens
§ 8, stk. 1 om repræsentation i forvaltningsretlig sammen-
hæng, hvor det kræves, at en part i en sag på ethvert tids-
punkt af sagens behandling kan lade sig repræsentere eller
bistå af andre. Digital repræsentation understøtter digital
repræsentation på flere myndighedsområder og centraliserer
muligheden for at afgive digitale fuldmagter i offentligt regi,
hvor en privatperson ønsker at lade sig repræsentere af en
tredjepart. Folketingets Ombudsmand har i FOB 2019-11
understreget, at en kommunes digitale selvbetjeningsløsning
bør understøtte muligheden for partsrepræsentation, eller at
kommunen som minimum bør vejlede herom. Den digitale
repræsentationsløsning i serviceområdet Digital repræsenta-
tion er dermed central for at skabe sammenhæng mellem
myndigheders pligt til at anvende digitale selvbetjeningsløs-
ninger og privatpersoners retsgarantier i forhold til repræ-
sentation, som fastsat i forvaltningsloven. Digital repræsen-
tation er eksklusiv i den forstand, at det er den eneste digita-
le løsning i Danmark, hvor der kan foretages repræsentation
på flere myndighedsområder. Serviceområdet Digital repræ-
sentation gør hermed muligheden for digital repræsentation
enkel, særligt hvis en privatperson ønsker repræsentation på
flere myndighedsområder.
Der kan ikke efter den foreslåede bestemmelse udledes
en ret til partsrepræsentation. Retten til partsrepræsentation
følger alene af forvaltningslovens § 8. Privatpersoner og ju-
ridiske enheder, der ønsker partsrepræsentation, skal således
fortsat påberåbe sig hjemlen i forvaltningsloven. Den fore-
slåede bestemmelse om serviceområdet Digital repræsenta-
tion i NemLog-in har alene til formål at give hjemmel til, at
denne service indgår i NemLog-in, som Digitaliseringssty-
relsen er forpligtet til at stille til rådighed.
Serviceområdet Digital repræsentation indeholder også
andre former for repræsentation end partsrepræsentation, fx
understøtter serviceområdet, at værger i nogle tilfælde vil
kunne anmode om at agere som digital repræsentant i over-
ensstemmelse med værgemålet.
De nærmere myndighedsområder, der kan afgives digital
repræsentation til, er defineret af myndigheden som tjeneste-
udbyder og er specifikt tilrettet tjenesteudbyderens digitale
selvbetjeningsløsning. I den forbindelse er det en forudsæt-
ning, at en tjenesteudbyders digitale selvbetjeningsløsninger
er tilsluttet NemLog-in.
En privatperson forpligtes ikke til at lade sig repræsentere
digitalt og skal kunne vælge at lade sig repræsentere ana-
logt, hvis privatpersonen ikke ønsker at anvende en digital
repræsentationsløsning.
Serviceområdet har den funktion, at Digitaliseringsstyrel-
sen forvalter oprettelse og tilbagekaldelse af et digitalt re-
præsentationsforhold i de tilfælde, hvor repræsentationsfor-
holdet oprettes på anmodning fra repræsentanten. Tjeneste-
udbydere, som anvender serviceområdet Digital repræsenta-
tion, overlader derfor den praktiske håndtering af oprettelse
og tilbagekaldelse af repræsentationsforholdet i serviceom-
rådet Digital repræsentation til Digitaliseringsstyrelsen, når
det er repræsentanten, der anmoder om oprettelse af repræ-
sentationsforholdet. Når anmodningen om oprettelse af et
repræsentationsforhold afgives af fuldmagtsgiveren, vareta-
ges behandlingen af anmodningen af borgerservice eller
tjenesteudbyderne selv. I forhold til hvilke offentlige myn-
digheder og offentligretlige organer, som har pligt eller ret
til at stille servicen Digital repræsentation til rådighed for
privatpersoner og erhvervsbrugere, henvises i øvrigt til be-
mærkningerne til lovforslagets kapitel 8 om anvendelse af
NemLog-in.
Digital repræsentation kan alene anvendes i digitale selv-
betjeningsløsninger, hvor en offentlig myndighed eller et of-
fentligretligt organ udfører myndighedsopgaver, jf. § 11, stk.
1, nr. 2. Det er således ikke muligt at anvende serviceområ-
det til opgaver, som ikke er myndighedsopgaver. Serviceom-
rådet Digital repræsentation fungerer derved som en offent-
lig central repræsentationsløsning til repræsentationsstyring,
der kan anvendes af en privatperson eller en tegningsberetti-
get erhvervsbruger, som ønsker at lade sig repræsentere på
ét eller flere myndighedsområder.
Den foreslåede § 8, stk. 2, nr. 2, litra b, fastsætter, at Nem-
Log-in indeholder serviceområdet Digital repræsentation til
tjenesteudbydere, som sikrer Digital repræsentation af en ju-
ridisk enhed, således at en erhvervsbruger, der selvstændigt
kan repræsentere en juridisk enhed, kan repræsentere enhe-
den ved anvendelse af en digital selvbetjeningsløsning over
for en offentlig myndighed eller et offentligretligt organ,
som udbyder en digital selvbetjeningsløsning.
Den foreslåede bestemmelse i litra b skal muliggøre at
anvende Digital repræsentation i erhvervsøjemed for en
juridisk enhed. Det er kun en virksomheds tegningsberetti-
gede, der kan tegne en juridisk enhed fuldstændigt, som
kan anvende serviceområdet, dvs. både tegningsberettigede i
enkeltmandsvirksomheder og i fx anpartsvirksomheder kan
anvende løsningen.
Det er en forudsætning, at den tegningsberettigede anven-
der MitID privat til erhverv for at anvende serviceområ-
det Digital repræsentation og selvstændigt kan repræsentere
den juridiske enhed. Når erhvervsbrugere, som anvender
MitID privat til erhverv, afgiver rettigheder til en anden er-
hvervsbruger benævnes det som digitale erhvervsfuldmagter
i NemLog-in.
De områder, der kan afgives Digital repræsentation til,
er på forhånd defineret af den offentlige tjenesteudbyder
og er specifikt tilrettet den enkelte offentlige tjenesteudby-
ders digitale selvbetjeningsløsning. I den forbindelse er det
en forudsætning, at den offentlige tjenesteudbyders digita-
le selvbetjeningsløsninger er tilsluttet NemLog-in samt ser-
viceområdet Digital repræsentation. Digital repræsentation
kan alene anvendes i digitale selvbetjeningsløsninger, hvor
44
en offentlig myndighed eller et offentligretligt organ udfører
myndighedsopgaver, jf. § 11, stk. 1, nr. 2. Det er således
ikke muligt at anvende serviceområdet til opgaver, som ikke
er myndighedsopgaver. Serviceområdet Digital repræsenta-
tion fungerer derved som en offentlig central repræsentati-
onsløsning til repræsentationsstyring, der kan anvendes af
en privatperson eller en tegningsberettiget erhvervsbruger,
som ønsker at lade sig repræsentere på ét eller flere myndig-
hedsområder.
I bestemmelsens foreslåede § 8, stk. 2, nr. 3, litra a fast-
sættes, at offentlige myndigheder, offentligretlige organer og
juridiske enheder kan udstille digital signering af dokumen-
ter i digitale selvbetjeningsløsninger.
Når offentlige myndigheder, offentligretlige organer og ju-
ridiske enheder anvender serviceområdet Digital signering,
jf. litra a, gør de det i rollen som tjenesteudbydere, idet
de herved udbyder serviceområdet Digital signering som
tjeneste på deres digitale selvbetjeningsløsning.
Tjenesteudbydere kan således i serviceområdet Digital
signering udstille Digital signering af dokumenter i digitale
selvbetjeningsløsninger tilsluttet NemLog-in. Herved kan,
kan privatpersoner og erhvervsbrugere som led i anvendel-
sen af den digitale selvbetjeningsløsning signere dokumen-
ter hos tjenesteudbyderen.
Ved udstilling af Digital signering forstås, at en tjeneste-
udbyder i deres digitale selvbetjeningsløsninger muliggør, at
en privatperson eller en erhvervsbruger kan anvende signe-
ringsservicen. For at offentlige myndigheder, offentligretlige
organer og juridiske enheder kan anvende serviceområdet
Digital signering i NemLog-in, skal de tilsluttes som tjene-
steudbydere, så de kan udbyde signeringsservicen til signe-
ring af indhold i deres digitale selvbetjeningsløsning.
Signeringsservicen lever op til de lovmæssige krav om
Digital signering, som er fastsat i eIDAS-forordningen.
Digitaliseringsstyrelsen varetager således gennem Nem-
Log-in serviceområdet Digital signering udstedelse af kva-
lificerede certifikater og kvalificerede segl på vegne af den
danske stat. For at varetage denne opgave, etablerer Digi-
taliseringsstyrelsen et certificeringscenter gennem NemLog-
in, som muliggør udstedelse af certifikater, tidsstempling
og signering. Dette indebærer, at Digitaliseringsstyrelsen
selvstændigt varetager rollen som certificeringscenter. Certi-
ficeringscenteret forestår ligeledes udstedelse af OCES-cer-
tifikater og kvalificerede certifikater, der kan udstedes til
brugerorganisationer i serviceområdet Erhvervsadministrati-
on, jf. bemærkningerne til § 8, stk. 3.
Med bestemmelsens § 8, stk. 2, nr. 3, litra b, sikres
med serviceområdet Digital signering, at privatpersoner og
erhvervsbrugere kan signere digitale dokumenter og validere
signerede dokumenters digitale signatur og integritet.
I serviceområdet Digital signering stilles en signeringsser-
vice til rådighed, der giver mulighed for afgivelse af digitale
signaturer på digitale dokumenter. Signeringen sker i praksis
ved anvendelsen af en digital identitet og et elektronisk
identifikationsmiddel til brug for autentifikation af privat-
personen eller erhvervsbrugeren over for signeringstjenesten
i serviceområdet Digital signering, hvorefter signaturen kan
afgives. På baggrund af den gennemførte autentifikation sik-
rer servicen, at det er muligt at identificere afgiveren af den
digitale signatur. Den digitale signering sikrer det digitale
dokuments integritet, idet dokumentet ikke efterfølgende
kan ændres, uden at dette kan konstateres i forbindelse med
en verifikation af signaturen på dokumentet.
Som en del af serviceområdet Digital signering kan privat-
personer og erhvervsbrugere anvende en valideringstjeneste,
der giver mulighed for at kontrollere integriteten af det di-
gitalt signerede dokument. Valideringstjenesten kan således
afgøre, om der efter afgivelsen af signaturen er foretaget
ændringer i dokumentet.
For erhvervsbrugere vil kunne foretage en digital signe-
ring i serviceområdet Digital signering ved brug af en digital
identitet og identifikationsmiddel udstedt til en erhvervsbru-
ger. Det vil også være muligt at foretage digital signering
i serviceområdet Digital signering ved brug af et MitID ud-
stedt til privatbrug, men som anvendes til erhverv, forudsat
at privatpersonen hæfter fuldt ud for den juridiske enheds
aktiviteter. Dette er fx tilfældet i enkeltmandsvirksomheder.
Serviceområdet Digital signering giver således mulighed
for at afgive en digital signatur med samme retsvirkning
som en fysisk underskrift. Der henvises til eIDAS-forord-
ningens artikel 25, der beskriver retsvirkningen af digitale
signaturer. Afgivelsen af en digital signatur vil ske på bag-
grund af sikker autentifikation.
Digital signering sker i praksis ved, at underskriver au-
tentificerer sig ved anvendelsen af sin digitale identitet og
elektroniske identifikationsmiddel. På den baggrund sikres
ægtheden og uafviseligheden af den digitale signatur, og
det er derved muligt at identificere afgiveren af den digital
signatur. Signeringen sikrer ligeledes det digitale dokuments
integritet og bevisværdi, idet det ved efterfølgende verifi-
kation af signaturen vil fremgå, om dokumentet er blevet
ændret.
Digitaliseringsstyrelsen må behandle persondata i forbin-
delse med valideringen af en digital signatur afgivet i ser-
viceområdet Digital signering i NemLog-in, jf. den forslåe-
de § 14.
Når et dokument efter Digital signering skal valideres,
foregår det i NemLog-in, som udstiller en valideringstjene-
ste, hvorfra der kan foretages en validering. Valideringstje-
nesten kan tilgås af privatpersoner eller erhvervsbrugere på
den måde, at et digitalt dokument overføres til validering i
tjenesten. En privatperson eller en erhvervsbruger kan såle-
des anvende valideringstjenesten i NemLog-in til at validere
digitalt signerede dokumenter og validere integriteten af dis-
se dokumenter. I forbindelse med valideringen konstateres
det således, om der er foretaget ændringer i det signerede
dokument, efter at det er blevet signeret.
Med det foreslåede § 8, stk. 3, litra a, foreslås det, at
NemLog-in indeholder serviceområdet Erhvervsadministra-
tion til brugerorganisationer, som sikrer at offentlige myn-
digheder, offentligretlige organer og juridiske enheder kan
oprette, administrere og anvende digitale erhvervsidentiteter
45
samt tildele og administrere elektroniske identifikationsmid-
ler, hvis de opfylder betingelserne for identitetssikring ved
oprettelse som brugerorganisation, som nærmere fastsat i
medfør af § 9, stk. 4.
Erhvervsadministration udgør et serviceområde i Nem-
Log-in, som brugerorganisationer, kan tilslutte sig, såfremt
de overholder reglerne om identitetssikring ved oprettelse
som brugerorganisation, som nærmere fastsat i medfør af §
9, stk. 2. En brugerorganisation udgør således en offentlig
myndighed, et offentligretligt organ eller en juridisk enhed,
der er tilsluttet og anvender serviceområdet Erhvervsadmini-
stration i NemLog-in til deres erhvervsbrugere.
Efter den foreslåede bestemmelse i litra a muliggør ser-
viceområdet Erhvervsadministration, at offentlige myndig-
heder, offentligretlige organer og juridiske enheder i rollen
som brugerorganisation i NemLog-in kan oprette, admini-
strere og anvende digitale erhvervsidentiteter samt tilknyt-
te og administrere elektroniske identifikationsmidler til er-
hvervsbrugere. Serviceområdet Erhvervsadministration kal-
des også MitID Erhverv. For at serviceområdet i litra a kan
anvendes, kræver det, at en offentlig myndighed eller jurid-
isk enhed, oprettes som brugerorganisation i NemLog-in.
Det er et krav, at en brugerorganisation overholder vilkår
for at blive oprettet i NemLog-in. De regler, som regulerer
forholdet til offentlige myndigheder og offentligretlige orga-
ner fastsættes af finansministeren med hjemmel i § 16.
Når en erhvervsbruger skal have tildelt et elektronisk
identifikationsmiddel, vil det ske ved bestilling i serviceom-
rådet Erhvervsadministration. Der kan knyttes tre typer af
identifikationsmidler til erhvervsidentiteten. De tre typer af
identifikationsmidler kan være følgende: MitID udstedt til
en privatperson, et dedikeret MitID udstedt til en privatper-
son som erhvervsbruger eller et lokalt udstedt elektronisk
identifikationsmiddel. Det er erhvervsbrugeren og brugeror-
ganisationen, som vælger identifikationsmidlet.
Det skal bemærkes, at et lokalt udstedt elektronisk iden-
tifikationsmiddel udgør et identifikationsmiddel, som er ud-
stedt af den pågældende brugerorganisation selv. Det kan fx
være et hospital, hvor lægerne anvender et lokalt identifika-
tionsmiddel med høj autentifikation, når de skal tildele me-
dicin, skrive patientjournal og lign. Et lokalt identifikations-
middel vil typisk blive anvendt, hvor en brugerorganisation
har brug for et identifikationsmiddel med høj autentifikati-
on, som dog alene skal anvendes lokalt og internt hos den
pågældende brugerorganisation.
Et lokalt identifikationsmiddel kan alene tilknyttes, hvis
brugerorganisationen har tilsluttet en lokal identitetsgarant
og er det eneste elektroniske identifikationsmiddel, som ikke
er et MitID-identifikationsmiddel. For brugerorganisationer,
som ikke anvender lokale identitetsgaranter, vil et elektro-
nisk identifikationsmiddel til en erhvervsbruger være et Mi-
tID-identifikationsmiddel.
Det er ligeledes muligt i Erhvervsadministration at tilkob-
le dedikerede identifikationsmidler til flere erhvervsidenti-
teter. Desuden kan brugerorganisationen sammen med er-
hvervsbrugeren vælge, at erhvervsbrugerens private MitID-
identifikationsmiddel kan benyttes til autentifikation af er-
hvervsbrugerens erhvervsidentitet. Hvis en erhvervsbruger
har flere erhvervsidentiteter, kan erhvervsbrugeren fx vælge
at anvende sit private MitID-identifikationsmiddel til nogle
erhvervsidentiteter og et dedikeret MitID til andre. Således
kan en erhvervsbruger med flere erhvervsidentiteter vælge,
hvilken digital identitet, som erhvervsbrugeren vil foretage
autentifikation med på den digitale selvbetjeningsløsning.
En erhvervsbruger kan benytte sit private MitID-identifi-
kationsmiddel i erhvervsøjemed i to situationer. For det førs-
te såfremt erhvervsbrugeren egenhændigt kan tegne virk-
somheden. Dette kan fx være, når en enkelt person er inde-
haver af en virksomhed og tegner denne alene. For det andet
såfremt en erhvervsbruger i brugerorganisationen har fået
tilknyttet det private identifikationsmiddel til sin erhvervsi-
dentitet. Benyttelse af en privatpersons private MitID-iden-
tifikationsmiddel i sammenhæng med en erhvervsidentitet
kræver både accept fra erhvervsbrugeren og den pågældende
juridiske enhed, hvilket er benævnt ”det dobbelte frivillig-
hedsprincip” i NemLog-in, jf. bemærkningerne til § 9, stk.
3.
Endvidere er det muligt i serviceområdet Erhvervsadmi-
nistration at sammenkoble lokale erhvervsidentiteter med
elektroniske identifikationsmidler til digitale erhvervsidenti-
teter i erhvervsløsningen i NemLog-in. For sammenkobling
af lokale identiteter med elektroniske identifikationsmidler
til digitale erhvervsidentiteter er det en betingelse, at den
offentlige myndighed, det offentligretlige organ eller den ju-
ridiske enhed er oprettet som brugerorganisation og tilslutter
en lokal identitetsgarant i forhold til NemLog-in.
Serviceområdet Erhvervsadministration omfatter endvide-
re en ydelse, som udstiller et erhvervs-API, hvorigennem
andre brokere har mulighed for at foretage opslag og va-
lidering af en erhvervsbruger oprettet i serviceområdet Er-
hvervsadministration i NemLog-in. Dette giver mulighed
for, at erhvervsbrugeren kan anvende sin erhvervsidentitet
ved login til en digital selvbetjeningsløsning hos en tjeneste-
udbyder tilsluttet en anden broker end NemLog-in. Anven-
delse af NemLog-in’s erhvervs-API fordrer, at den anden
broker indgår aftale med NemLog-in herom.
Med det foreslåede § 8, stk. 3, litra b, foreslås det,
at NemLog-in indeholder serviceområdet Erhvervsadmini-
stration til brugerorganisationer, som sikrer at offentlige
myndigheder, offentligretlige organer og juridiske enheder
kan tildele og administrere rettigheder og certifikater til er-
hvervsidentiteter.
Den foreslåede litra b indebærer blandt andet, at en bru-
gerorganisation kan tildele rettigheder til enkelte erhvervs-
brugere i organisationen eller tildele rettigheder til en er-
hvervsbruger i en anden brugerorganisation.
En brugerorganisation kan således anvende serviceområ-
det Erhvervsadministration til Digital repræsentation, hvor-
ved brugerorganisationen kan administrere rettighedstilde-
ling. Rettighedstildelingen foregår ved, at en brugerorgani-
sation giver rettigheder til at lade sig repræsentere af en
erhvervsbruger.
46
I serviceområdet Erhvervsadministration er det endvide-
re muligt at udstede og administrere certifikater til er-
hvervsbrugere, som tilknyttes erhvervsbrugeres erhvervsi-
dentitet. Der er grundlæggende to typer certifikater i service-
området Erhvervsadministration, hvor den ene certifikattype
kan tildeles privatpersoner, der repræsenterer juridiske enhe-
der, og den anden certifikattype kan tildeles en juridisk en-
hed. Der er to variationer af disse certifikattyper, henholds-
vis OCES-certifikater, som udgør offentlige certifikater til
elektroniske services (OCES) og kvalificerede certifikater,
som kan anvendes fx på tværs af EU. Certifikater kan ek-
sempelvis anvendes lokalt af erhvervsbrugere til autentifika-
tion på lokale it-systemer, eller organisationen kan udstede
certifikater som anvendes til integration og kommunikation
mellem systemer.
Digitaliseringsstyrelsen skal gennem NemLog-in varetage
udstedelse af kvalificerede og OCES-certifikater på vegne
af den danske stat. For at varetage denne opgave etablerer
Digitaliseringsstyrelsen et certificeringscenter gennem Nem-
Log-in, som muliggør udstedelse af certifikater, tidsstemp-
ling og signering, jf. serviceområderne i § 8, stk. 2. nr. 3, og
stk. 3.
Til § 9
Der findes ikke gældende regler om forvaltning af Nem-
Log-in.
Reguleringen af forvaltningen af NemLog-in vil dog i
et vist omfang videreføre de regler, som gælder for med-
arbejdere og administratorer i bekendtgørelse om NemID,
dog tilpasset de nye krav til sikkerhed fra NSIS-standarden
og nye tekniske tilføjelser i serviceområdet Erhvervsadmini-
stration. I bekendtgørelsen er der således fastsat identifikati-
onskrav for medarbejdere, som ønsker oprettelse af et Nem-
ID. Endvidere gælder der regler for, at en juridisk enhed skal
udpege en administrator ved tildeling af NemID til enhedens
medarbejdere.
Med den foreslåede § 9, stk. 1, 1 pkt., sikrer Digitalise-
ringsstyrelsen, at der sker forvaltning af NemLog-in, herun-
der identitetssikring af offentlige myndigheder, offentligret-
lige organer og juridiske enheder, når de oprettes som bru-
gerorganisationer i serviceområdet Erhvervsadministration i
NemLog-in.
Digitaliseringsstyrelsen sikrer oprettelse af offentlige
myndigheder, offentligretlige organer og juridiske enheder
som brugerorganisationer i serviceområdet Erhvervsadmini-
stration i NemLog-in. Når offentlige myndigheder, offentlig-
retlige organer og juridiske enheder skal oprettes i service-
området Erhvervsadministration i NemLog-in jf. den fore-
slåede § 8, stk. 3, oprettes de som brugerorganisation. En
oprettelse som brugerorganisation kræver, at der sker en
identitetssikring af den offentlige myndighed, offentligretli-
ge organ og juridiske enhed. Identitetssikringen sker efter de
nærmere regler som fastsat i medfør af § 9, stk. 2.
Ved oprettelse af en brugerorganisation i serviceområdet
Erhvervsadministration sker der en registrering af, hvordan
denne har identificeret sig og efter identitetssikring kan den
oprettes som brugerorganisation i Erhvervsadministration.
Når offentlige myndigheder, offentligretlige organer og
juridiske enheder er oprettet som brugerorganisation kan de
efterfølgende benytte de funktioner, som er indeholdt i ser-
viceområdet Erhvervsadministration. Det indebærer, at den
offentlige myndighed, det offentligretlige organ eller den
juridiske enhed blandt andet kan tildele digitale identiteter
til deres erhvervsbrugere, typisk medarbejdere, men også
andre erhvervsbrugere, der har en tilknytning til den offent-
lige myndighed, det offentligretlige organ eller den juridiske
enhed, jf. den foreslåede § 8, stk. 3. Offentlige myndigheder,
offentligretlige organer og juridiske enheder har ligeledes
mulighed for at udstede og spærre erhvervsidentiteter til
erhvervsbrugere tilknyttet til dem.
Det er et privatretligt forhold mellem brugerorganisatio-
nen og de tilknyttede erhvervsbrugere at administrere er-
hvervsbrugernes rettigheder.
En erhvervsbruger skal have et elektronisk identifikati-
onsmiddel for at anvende den digitale identitet tilknyttet
erhvervsbrugeren. Et elektronisk identifikationsmiddel kan
eksempelvis være udstedt som et MitID-identifikationsmid-
del, jf. § 2, nr. 14. Der henvises til den foreslåede § 3,
stk. 2, for en uddybning af tilrådighedsstillelse af MitID
til erhvervsbrugere og til den foreslåede § 4, stk. 1, om
forvaltningen og udstedelsen af MitID.
Med den foreslåede § 9, stk. 1, 2 pkt., sikrer Digita-
liseringsstyrelsen, at brugerorganisationers adgang til ser-
viceområdet Erhvervsadministration i NemLog-in samt er-
hvervsbrugeres digitale identiteter kan spærres og genåbnes
efter reglerne fastsat i medfør af stk. 4.
Stk. 1, 2. pkt. indebærer, at Digitaliseringsstyrelsens opga-
ve er at sikre, at brugerorganisationers adgang til Erhvervs-
administration i NemLog-in samt erhvervsbrugeres digitale
identiteter kan spærres og genåbnes.
De nærmere regler for identitetssikring af offentlige myn-
digheder, offentligretlige organer og juridiske enheder, når
disse oprettes som brugerorganisationer i serviceområdet
Erhvervsadministration og regler for spærring af erhvervs-
brugeres digitale identiteter vil blive fastsat i regler med
hjemmel i § 9, stk. 4. Se nærmere herom i bemærkningerne
til stk. 4.
Med den foreslåede § 9, stk. 2, kan en privatperson,
der skal registreres som erhvervsbruger i serviceområdet
Erhvervsadministration, anvende sit MitID udstedt til privat-
brug, til identitetssikring ved registreringen.
En erhvervsbruger kan således anvende sit MitID-identifi-
kationsmiddel udstedt til privatbrug, til identitetssikring ved
registreringen af en erhvervsidentitet. Herved sikres, at der
kan ske en digital identitetssikring af privatpersonen i for-
bindelse med oprettelse af erhvervsidentiteten, inden denne
kan agere som erhvervsbruger.
Det forudsættes, at identitetssikring ved registrering af er-
hvervsidentiteten alene vil ske én gang pr. erhvervsidentitet,
som oprettes til erhvervsbrugeren. I nogle tilfælde vil det
være muligt at identitetssikre erhvervsbrugeren på anden
47
vis. Dette kan fx ske med et andet eID på samme eller
højere sikringsniveau som MitID og hvis serviceområdet
Erhvervsadministration i NemLog-in systemisk tillader det.
Identitetssikring af en erhvervsidentitet ved brug af et
MitID-identifikationsmiddel udstedt til privatbrug, vil være
mulig for både erhvervsbrugere i offentlige myndigheder,
offentligretlige organer og juridiske enheder. Det vil endvi-
dere være muligt for erhvervsbrugeren at anvende brugeror-
ganisationens udstyr, eget udstyr eller en kombination af
dette til at foretage identitetssikring af erhvervsidentiteten
med MitID-identifikationsmidlet udstedt til privatbrug. Det-
te medfører, at identitetssikring fx kan ske fra vedkommen-
des egen mobil, computer eller tablet.
Derudover kan en lokal identitetsgarant, som er oprettet
som brugerorganisation i NemLog-in, selv foretage identi-
tetssikring. En lokal identitetsgarant fastsætter selv, hvordan
der skal foretages identitetssikring i overensstemmelse med
NSIS.
Bestemmelsen styrker en fælles høj tillid og sikkerhed
på tværs af den offentlige og private sektor, ved at skabe
fælles grundlag for sikker elektronisk interaktion mellem
privatpersoner, juridiske enheder og offentlige myndigheder
og derved øge effektiviteten i de offentlige og private digita-
le selvbetjeningsløsninger.
Finansministeriet vurderer, at behandlingen i forbindelse
med § 9, stk. 2, kan henføres under databeskyttelsesforord-
ningens art. 6, litra e, om myndighedsudøvelse, idet behand-
lingen sker for, at Digitaliseringsstyrelsen kan varetage den
pligt til tilrådighedsstillelse af MitID og NemLog-in, som
lovforslaget pålægger Digitaliseringsstyrelsen, jf. § 3 og § 8.
Med den foreslåede § 9, stk. 3, 1. pkt., fastsættes det, at en
erhvervsbruger kan få tilknyttet sit elektroniske identifika-
tionsmiddel, som er tilknyttet privatpersonens MitID-identi-
tet, til sin erhvervsidentitet, således at erhvervsbrugeren kan
anvende førnævnte identifikationsmiddel til at autentificere
en eller flere erhvervsidentiteter.
Med bestemmelsen gøres det muligt for erhvervsbrugere,
at anvende deres MitID-identifikationsmiddel udstedt til pri-
vatbrug, til at autentificere en eller flere erhvervsidentiteter.
Hvor bestemmelsens stk. 2, gør det muligt at identitets-
sikre en erhvervsidentitet med et MitID-identifikationsmid-
del udsted til privatbrug, i forbindelse med registreringen,
sikrer stk. 3, at en erhvervsbruger løbende kan anvendelse
deres private MitID-identifikationsmiddel til login og auten-
tifikation af en erhvervsidentitet i forbindelse med login i
selvbetjeningsløsninger. Dette vil alene være muligt under
iagttagelse af princippet om dobbelt frivillighed. Princippet
om dobbelt frivillighed medfører, at såvel erhvervsbrugeren
som brugerorganisationen skal acceptere, at erhvervsbruge-
ren kan og må anvende sit MitID-identifikationsmiddel ud-
stedt til privatbrug, i sammenhæng med en erhvervsidenti-
tet knyttet til den pågældende brugerorganisation. Det skal
bemærkes, at der alene er tale om brug af det private Mi-
tID-identifikationsmiddel og ikke den private MitID-identi-
tet. Der vil derfor være fuldstændig adskillelse mellem pri-
vatpersonens digitale identitet i MitID og personens digitale
erhvervsidentitet(er). Det kan derfor ikke forekomme, at en
erhvervsbruger logger ind med sin private MitID-identitet
som medarbejder i en virksomhed. En erhvervsbrugers brug
af sit private MitID-identifikationsmiddel er alene mulig, så-
fremt brugerorganisationen har oprettet en erhvervsidentitet
til erhvervsbrugeren.
Herved kan erhvervsbrugeren, forudsat aftale herom mel-
lem erhvervsbrugeren og brugerorganisationen, anvende sit
private MitID-identifikationsmiddel. Det betyder også, at så-
fremt brugerorganisationen ønsker at spærre erhvervsbruge-
rens mulighed for at agere på brugerorganisationens vegne,
kan brugerorganisationen spærre erhvervsidentiteten, men
ikke det private MitID-identifikationsmidlet. Dermed har
brugerorganisationen fuld kontrol over erhvervsidentiteten,
og erhvervsbrugeren kan stadig foretage log-in med sin pri-
vate MitID identitet og sit private MitID-identifikationsmid-
del i private sammenhænge. En erhvervsbruger, der ikke
længere ønsker at benytte sit private MitID-identifikations-
middel ved login med sin erhvervsidentitet, kan anmode
om et dedikeret MitID-identifikationsmiddel, der så kun kan
anvendes i erhvervsmæssig sammenhæng.
Ovenstående er ikke til hinder for, at en privatperson
kan anvende sit MitID-identifikationsmiddel og identitet i
erhvervsmæssig sammenhæng, forudsat at privatpersonen
hæfter fuldt ud for den juridiske enheds aktiviteter. Dette er
fx tilfældet i enkeltmandsvirksomheder.
Finansministeriet vurderer, at behandlingen i forbindelse
med § 9, stk. 3, kan henføres under databeskyttelsesforord-
ningens art. 6, litra e) om myndighedsudøvelse, idet behand-
lingen sker for, at Digitaliseringsstyrelsen kan varetage den
pligt til tilrådighedsstillelse af MitID og NemLog-in, som
lovforslaget pålægger Digitaliseringsstyrelsen, jf. § 3 og § 8.
Med den foreslåede § 9, stk. 3, 2. pkt. fastsættes det, at
tilknytningen er frivillig for erhvervsbrugeren og frivillig for
brugerorganisationen, som erhvervsbrugeren er tilknyttet.
Bestemmelsens 2. pkt. indebærer, at tilknytningen af en
erhvervsbrugers elektroniske identifikationsmiddel, som er
tilknyttet privatpersonens MitID-identitet grundlæggende
hviler på et princip om frivillighed. Det er således frivil-
ligt for erhvervsbrugeren, om erhvervsbrugeren vil foretage
en tilknytning af erhvervsbrugerens elektroniske identifika-
tionsmiddel, som er tildelt denne i regi af privatperson. En
arbejdsgiver kan således ikke påtvinge sine medarbejdere
denne tilknytning.
Ligeledes er tilknytningen også frivillig for brugerorga-
nisationen. Dette indebærer, at en arbejderstager ikke kan
påtvinge sin arbejdsgiver, at der skal ske en tilknytning
af arbejdstagerens MitID-identitet, som er tildelt i privat
regi. Princippet om dobbelt frivillighed gælder for alle
brugerorganisationer, som er oprettet i serviceområdet Er-
hvervsadministration, jf. § 9, stk. 1. Princippet om dobbelt
frivillighed gælder således for offentlige myndigheder, of-
fentligretlige organer og juridiske enheder og erhvervsbru-
gere relateret til disse, jf. § 2, nr. 8 og § 2, nr. 16. Med
den foreslåede § 9, stk. 4, fastsættes det, at Finansministeren
fastsætter regler om forvaltning af NemLog-in, herunder
48
regler for identitetssikring af brugerorganisationer, spærring
og genåbning af erhvervsbrugeres digitale identiteter og om
adgang til at klage til Digitaliseringsstyrelsen over afgørel-
ser truffet i medfør af disse regler.
Den foreslåede stk. 4 indeholder en hjemmel til, at finans-
ministeren fastsætter regler om forvaltning af NemLog-in,
herunder regler for identitetssikring af offentlige myndighe-
der, offentligretlige organer og juridiske enheder, når de op-
rettes som brugerorganisationer i serviceområdet Erhvervs-
administration i NemLog-in, og at brugerorganisationers ad-
gang til serviceområdet Erhvervsadministration i NemLog-
in og erhvervsbrugeres digitale identiteter kan spærres og
genåbnes samt om adgang til at klage til Digitaliseringssty-
relsen over afgørelser truffet i medfør af disse regler.
Finansministeren vil tillige kunne fastsætte regler med
krav til løbende anvendelse af serviceområdet Erhvervsad-
ministration i NemLog-in. Dette vil være regler, som skal
sikrer, at der til enhver tid er lighed mellem brugerorgani-
sationens fysiske identitet og digitale identitet og med det
overordnede formål at værne om sikkerheden i løsningen.
Finansministeren fastsætter ikke regler om udvikling og
drift af NemLog-in, idet disse forhold reguleres i kontrakten
med den juridiske enhed, offentlige myndighed eller offent-
ligretlige organ, der udpeges i medfør af den foreslåede §
10.
Der vil med hjemmel i den foreslåede bestemmelse bli-
ve fastsat nærmere regler for forvaltningen af NemLog-in,
herunder processuelle regler om identitetssikring af digitale
identiteter, registrering af identiteter samt regler for opret-
telse og spærring af brugerorganisationer i serviceområdet
Erhvervsadministration.
Reglerne om oprettelse for serviceområdet Erhvervsadmi-
nistration vil indeholde betingelser for identitetssikring af
offentlige myndigheder, offentligretlige organer og juridiske
enheder og identitetssikring af de erhvervsbrugere i offent-
lige myndigheder, offentligretlige organer og juridiske enhe-
der, som er bemyndiget til at oprette den offentlige myndig-
hed, offentligretlige organ eller juridiske enhed som bruger-
organisation i serviceområdet Erhvervsadministration. Der-
udover vil reglerne indeholde de betingelser, der løbende
skal opfyldes for at være brugerorganisation i serviceområ-
det Erhvervsadministration og regler for udpegelse af ad-
ministratorer for den offentlige myndighed, det offentlige
organ eller den juridiske enhed.
Regler om forvaltning af NemLog-in fastsættes af hensyn
til løsningens- og erhvervsbrugernes sikkerhed, samt bruger-
organisationers tillid til løsningen. Reglerne skal være med
til at sikre erhvervsbrugere og brugerorganisationer mod
konkret misbrug og skal samtidig bidrage til at opretholde
den samlede sikkerhed i løsningen. Der kan blandt andet
fastsættes regler om, at brugerorganisationer og erhvervs-
brugere skal tage rimelige forholdsregler for at beskytte
de sikkerhedsmekanismer, der sikrer mod kompromittering,
ændring, tab og uautoriseret brug af erhvervsbrugerens digi-
tale identitet. Finansministeren vil tillige kunne fastsætte,
hvilke konsekvenser det har, hvis en brugerorganisation eller
erhvervsbruger ikke overholder disse krav. Det vil eksem-
pelvis kunne fastsættes, at digitale identiteter og adgang til
Erhvervsadministration spærres ved mistanke om misbrug
eller brud på sikkerheden.
Tildelingen af en erhvervsidentitet og rettighedsstyring
påhviler brugerorganisationen og er således et privatretligt
anliggende mellem erhvervsbrugeren og den offentlige myn-
dighed, det offentligretlige organ eller juridiske enhed, der
har oprettet brugerorganisationen.
Sagsbehandling i forbindelse med identitetssikring og
spærring er en forvaltningsopgave. Dette indebærer, at også
udpegede juridiske enheder, som foretager identitetssikring
vil være underlagt forvaltningsregler, der henvises til den
foreslåede § 20. Identitetssikringen skal sikre, at erhvervs-
brugerens erhvervsidentitet korrekt afspejler den fysiske
persons identitet og skal ske under overholdelse af den gæl-
dende NSIS-standard. En juridisk enhed, der er oprettet som
brugerorganisation i Erhvervsadministration, beslutter selv
hvilke medarbejdere, der skal oprettes som erhvervsbrugere.
Bemyndigelsen har desuden til formål at sikre, at når der
træffes en forvaltningsretlig afgørelse om spærring af en
brugerorganisation eller en erhvervsbruger, skal der gives
mulighed for at indbringe en klage over afgørelsen. Det
bemærkes, at spærring alene betragtes som en forvaltnings-
retlig afgørelse, hvis spærringen foretages af
Digitaliseringsstyrelsen eller af de offentlige myndighe-
der, offentligretlige organer eller juridiske enheder, som i
medfør af den foreslåede § 10 er udpeget til at på vegne af
Digitaliseringsstyrelsen at varetage opgaver med blandt an-
det forvaltningen af NemLog-in samt opgaver i medfør af §
9, stk. 1. Det er således væsentligt, at en erhvervsbruger el-
ler en brugerorganisation kan klage over en sådan spærring,
da denne kan have indgribende betydning for brugerorgani-
sationen eller erhvervsbrugerens digitale færden. Ligeledes
er den digitale identitet en forudsætning, for at offentlige
myndigheder, offentligretlige organer og juridiske enheder
kan tilgå og anvende offentlige digitale selvbetjeningsløs-
ninger. Offentlige myndigheder, offentligretlige organer og
juridiske enheder, som ikke kan blive oprettet i Erhvervsad-
ministration i NemLog-in vil i stedet skulle betjene sig hos
en myndighed uden at være digital. Det vil være op til den
enkelte myndighed at beslutte, hvordan de vil understøtte en
ikke-digital offentlig myndighed, offentligretligt organ eller
juridisk enhed. De enkelte myndigheder vil i den sammen-
hæng være forpligtet til at vejlede efter de forvaltningsretli-
ge regler, hvilket blandt andet indebærer, at en myndighed
har pligt til at vejlede og hjælpe den erhvervsdrivende inden
for de ressortområder, som de er ansvarlige for. Således har
en myndighed pligt til at hjælpe en offentlig myndighed,
offentligretligt organ eller juridisk enhed, der fx ikke kan
tilgå myndighedens digitale selvbetjeningsløsninger til at
agere inden for myndighedens område og give adgang til de
oplysninger og den offentlige service, som andre ellers kan
tilgå ved brug af den digitale selvbetjeningsløsning.
De nærmere regler om tilrådighedsstillelse, tilslutning og
anvendelse af NemLog-in for offentlige myndigheder og
49
offentligretlige organer fastsættes i medfør af den foreslåede
§ 16.
Til § 10
Der findes ikke gældende regler om forvaltning af Nem-
Log-in og retstilstanden på området er derfor ny.
Den foreslåede § 10 medfører, at Digitaliseringsstyrelsen
kan udpege offentlige myndigheder, offentligretlige organer
eller juridiske enheder til på vegne af Digitaliseringsstyrel-
sen at varetage opgaver i medfør af § 8, stk. 1, 2. pkt., samt
opgaver i medfør af § 9, stk. 1.
I medfør af den foreslåede bestemmelse kan Digitalise-
ringsstyrelsen udpege offentlige myndigheder, offentligretli-
ge organer eller juridiske enheder til at varetage opgaven
med udvikling, drift, vedligeholdelse og forvaltning af Nem-
Log-in samt til at varetage opgaver i medfør af lovforslagets
§ 9, stk. 1.
I Digitaliseringsstyrelsens opgave med at sikre drift og
forvaltning indgår ligeledes en sikring af, at der sker drift
og forvaltning af både en teknisk support og en slutbruger-
support for NemLog-in. Digitaliseringsstyrelsen kan ifølge
bestemmelsen udpege supportenheder. Slutbrugersupporten
kan enten placeres hos en offentlig myndighed eller hos en
juridisk enhed. Enhver udpegelse efter § 10 skal ske under
overholdelse af udbudsreglerne.
Hvis Digitaliseringsstyrelsen vil udpege en juridisk enhed
som it-leverandør af NemLog-in, skal dette ske efter afhol-
delse af udbud. Digitaliseringsstyrelsen har i 2018 indgået
kontrakt med henholdsvis NNIT A/S og Nets DanID A/S.
Digitaliseringsstyrelsen har således indgået kontrakt med
NNIT om drift på baggrund af afholdelse af EU-udbud, jf.
udbudsbekendtgørelse nr. 2017/S 213442780. Det påhviler
dermed NNIT A/S at varetage drift af NemLog-in i overens-
stemmelse med de kontraktuelle vilkår, som er fastsat i afta-
len mellem Digitaliseringsstyrelsen og NNIT A/S. Opgaven
med at varetage den daglige drift af NemLog-in sker i tæt
samarbejde med Digitaliseringsstyrelsen og øvrige relevante
aktører, herunder forvaltnings- og supportorganisationer.
Digitaliseringsstyrelsen har endvidere indgået kontrakt
med Nets DanID A/S om at udvikle, vedligeholde, udø-
ve teknisk support og forvaltning på baggrund af afhol-
delse af EU-udbud, jf. udbudsbekendtgørelse nr. 2018/S
030-065286. Opgaverne inkluderer blandt andet etablering
og løbende tilpasning af løsningen. NemLog-in tilpasses
løbende i takt med den teknologiske udvikling samt det
skiftende trusselsbillede og ændrede samfundsbehov.
Endelig indeholder § 10 en bemyndigelse til, at Digitalise-
ringsstyrelsen kan udpege offentlige myndigheder, offentlig-
retlige organer eller juridiske enheder til at varetage opgaver
i medfør af lovforslagets § 9, stk. 1. Opgaverne i medfør
af § 9, stk. 1, omfatter identitetssikring af juridiske enhe-
der, når de oprettes som brugerorganisationer i serviceområ-
det Erhvervsadministration i NemLog-in. Identitetssikringen
skal ske efter de regler, som fastsættes i medfør af § 9, stk.
2. For nærmere beskrivelse af reglerne for identitetssikring
henvises til bemærkninger til den foreslåede § 9, stk. 2.
Til § 11
NemLog-in er ikke lovreguleret i dag. Området er deri-
mod reguleret kontraktuelt mellem Digitaliseringsstyrelsen
og den private virksomhed NNIT A/S. I dag varetages opga-
ven med drift af NemLog-in af NNIT A/S.
Det fremgår af tekstanmærkning nr. 124, stk. 1 ad
07.12.02 til § 7 på finansloven fra 2020, at ministeren for
offentlig innovation, nu finansministeren, bemyndiges til at
indføre de myndigheder mv., der fremgår af bilag 1a, 1b
og bilag 1c i bekendtgørelse nr. 1078 af 3. oktober 2014
om offentlige afsendere i Offentlig Digital Post og desuden
domstolene, KL, Danske Regioner, Metroselskabet I/S, Ud-
viklingsselskabet By Havn I/S, Odense Letbane P/S og Aar-
hus Letbane I/S som parter i Digitaliseringsstyrelsens aftale
med leverandøren af NemLog-in. Derudover fremgår det af
tekstanmærkning nr. 124, stk. 2, at de offentlige myndighe-
der, selvejende institutioner mv. kan vælge at gøre brug af
aftalen.
For en nærmere beskrivelse af NemLog-in henvises til de
almindelige bemærkninger afsnit 2.2.
Den foreslåede § 11, stk. 1, nr. 1 medfører, at offentlige
myndigheder og offentligretlige organer, som anvender en
digital selvbetjeningsløsning til at udføre en myndighedsop-
gave, i rollen som tjenesteudbydere skal anvende serviceom-
rådet Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis
adgangen til den digitale selvbetjeningsløsning kræver sik-
ker autentifikation.
Bestemmelsen forpligter offentlige myndigheder og of-
fentligretlige organer til som tjenesteudbydere at anvende
serviceområdet Login og autentifikation.
Med den foreslåede stk. 1, nr. 1, skal offentlige myndig-
heder og offentligretlige organer, som anvender en digital
selvbetjeningsløsning til at udføre en myndighedsopgave an-
vende Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis ad-
gangen til den digitale selvbetjeningsløsning kræver sikker
autentifikation. Det er alene, når den offentlige myndighed
eller det offentligretlige organ agerer i rollen som tjeneste-
udbyder, at pligten indtræder. Det indebærer, at it-løsninger,
som alene fungerer som intranet og øvrige interne sagsbe-
handlingssystemer, som ikke er offentligt tilgængelige for
borgere mv., ikke vil være omfattet af pligten. Ligeledes kan
offentlige myndigheder og offentligretlige organer fortsat
anvende andre former for autentifikation, hvis deres digitale
selvbetjeningsløsninger ikke vedrører myndighedsopgaver
eller ikke kræver sikker autentifikation.
Når offentlige myndigheder og offentligretlige organer
forpligtes til at anvende serviceområdet Login og autentifi-
kation i rollen som tjenesteudbydere, sikres det, at privatper-
soner og erhvervsbrugere oplever genkendelighed og tillid i
deres møde med offentlige digitale selvbetjeningsløsninger.
Privatpersoner og erhvervsbrugere vil opleve, at autentifi-
kation og login foregår på den samme måde, når de skal
tilgå en offentlig digital selvbetjeningsløsning. Der findes
på marked for Login- og autentifikationsservices ikke andre
løsninger, som går på tværs af den offentlige sektor. Således
tilbydes serviceområdet Login og autentifikation som en
50
eksklusiv løsning til sikker autentifikation ved adgangen til
de offentlige digitale selvbetjeningsløsninger.
Visse væsentlige funktioner i serviceområdet Login og au-
tentifikation i NemLog-in er alene tilgængelige for den of-
fentlige sektor. En af de væsentlige funktioner er funktionen
Single sign-on, som sikrer en ubrudt og sammenhængende
brugerrejse på tværs af de offentlige løsninger, således at en
privatperson eller en erhvervsbruger alene afkræves et en-
kelt login ved adgangen til de tilsluttede offentlige selvbetje-
ningsløsninger. Det giver privatpersoner og erhvervsbrugere
en ensartet, sikker og enkel brugerrejse ved anvendelse af de
offentlige digitale selvbetjeningsløsninger. Der henvises til
bemærkningerne til § 8, stk. 2, nr. 1.
Det er væsentligt, at privatpersoner og erhvervsbrugere
fortsat kan betjene sig digitalt og sikkert i den offentlige
sektor. Det understøttes ved, at NemLog-in anvendes på
tværs af hele den offentlige sektor, når offentlige myndighe-
der og offentligretlige organer indtager rollen som tjeneste-
udbydere.
NemLog-in har en central rolle i den nationale digitale
infrastruktur, idet NemLog-in sammen med MitID skaber
en nem og sikker mulighed for privatpersoner og erhvervs-
brugere til selv at varetage opgaver i de offentlige digitale
selvbetjeningsløsninger, hvor der tidligere krævedes fysisk
fremmøde fx hos kommunen. For at sikre, at dette kan
ske, skal offentlige myndigheder og offentligretlige organer,
som anvender en digital selvbetjeningsløsning til at udføre
en myndighedsopgave, anvende serviceområdet Login og
autentifikation.
I de tilfælde, hvor offentlige myndigheder og offentligret-
lige organer forpligtes til at anvende serviceområderne i
NemLog-in, jf. § 11, sker det med henblik på at sikre den of-
fentlige orden og sikkerhed, samt hensynet til de samfunds-
økonomiske overvejelser om fælles anskaffelse af it-løsnin-
ger i staten, jf. afsnit 2.3 i de almindelige bemærkninger.
Bestemmelsen medfører, at offentlige myndigheder og of-
fentligretlige organer, når de udfører en myndighedsopgave
med behov for repræsentation i digitale selvbetjeningsløs-
ninger, forpligtes til at stille serviceområdet Digital repræ-
sentation til rådighed. Digital repræsentation kræver altid
sikker autentifikation, jf. bemærkningerne til den foreslåede
§ 8, stk. 2, nr. 2.
Når serviceområdet Digital repræsentation anvendes af of-
fentlige myndigheder og offentligretlige organer, bliver det
muligt for en privatperson og en erhvervsbruger at anvende
digital repræsentation i digitale selvbetjeningsløsninger på
tværs af myndighedsområder i én samlet offentlig digital
løsning.
Med den foreslåede stk. 2, nr. 2 understøttes muligheden
for at digitalisere partsrepræsentation i medfør af forvalt-
ningslovens § 8 i offentligt regi. Derudover kan Digital
repræsentation i nogle tilfælde anvendes af privatpersoner,
som repræsenteres ved værgemål eller på anden måde re-
præsenteres i offentligt regi.
Pligten gælder, når offentlige myndigheder og offentligret-
lige organer i deres digitale selvbetjeningsløsninger tilbyder,
at en privatperson eller en erhvervsbruger kan lade sig re-
præsentere eller bistå af andre. I henhold til lovens § 8,
stk. 2, nr. 2, er det alene tegningsberettigede erhvervsbru-
gere, som kan tegne en juridisk enhed fuldstændigt, som
kan anvende serviceområdet, dvs. både tegningsberettigede i
enkeltmandsvirksomheder og i fx anpartsvirksomheder kan
anvende løsningen. Det er en forudsætning, at den tegnings-
berettigede anvender MitID privat til erhverv for at anvende
serviceområdet Digital repræsentation. Når erhvervsbrugere,
som anvender MitID privat til erhverv, afgiver rettigheder
til en anden erhvervsbruger benævnes det som digitale er-
hvervsfuldmagter i NemLog-in. Pligten gælder alene for
offentlige myndigheder og offentligretlige organer i rollen
som tjenesteudbydere.
Pligten har ydermere til formål at stille repræsentations-
løsningen til rådighed for at sikre en ensartet brugerrejse på
tværs af den offentlige sektor ved anvendelsen af repræsen-
tationsløsninger. Det giver mulighed for, at privatpersoner
og erhvervsbrugere nemt kan lade sig repræsentere digitalt
i den offentlig sektor ved alene at skulle anvende én samlet
løsning for repræsentation som alternativ til anvendelse af
flere løsninger, som ligeledes kan variere efter myndigheds-
områder.
Offentlige myndigheder og offentligretlige organer skal
stille Digital repræsentation til rådighed, hvis det er muligt
at foretage repræsentation i deres digitale selvbetjeningsløs-
ninger, fx med henblik på den forvaltningsretlige repræsen-
tationsadgang, som er fastsat i forvaltningslovens § 8, stk. 1.
Hvis funktionaliteten i serviceområdet Digital repræsen-
tation ikke tilstrækkeligt understøtter behovet for repræsen-
tation hos en offentlig myndighed eller et offentligretligt
organ, kan disse vælge at tilbyde en sekundær løsning til
den del af repræsentationen, som serviceområdet Digital
repræsentation ikke understøtter. En sekundær løsning skal
således alene fungere som et supplement til serviceområdet
Digital repræsentation. Dette indebærer, at en myndighed
eller et offentligretligt organ som minimum skal tilbyde ad-
gang til serviceområdet Digital repræsentation, såfremt der
udføres en myndighedsopgave og er behov for repræsenta-
tion i digitale selvbetjeningsløsninger. Serviceområdet Digi-
tal repræsentation kan derfor betragtes som en basisløsning
for offentlig Digital repræsentation. Digital repræsentation
kan kun anvendes af offentlige myndigheder og offentligret-
lige organer.
Hvis Digital repræsentation ikke hensigtsmæssigt kan
sameksistere med en sekundær løsning og dermed ikke kan
imødekomme nødvendige forretningsmæssige- og tekniske
krav for et givent myndighedsområde, kan den offentlige
myndighed eller det offentligretlige organ anvende egen in-
frastruktur.
I takt med videreudvikling af Digital repræsentation til
teknisk bredere understøttelse af forskellige komplekse for-
retningsmæssige behov, skal offentlige myndigheder og of-
fentligretlige organer genoverveje muligheden for anvendel-
sen af Digital repræsentation ved udskiftning af egen infra-
struktur.
51
Bestemmelsens foreslåede § 11, stk. 2, nr. 1, medfører, at
offentlige myndigheder og offentligretlige organer i rollen
som tjenesteudbydere kan anvende serviceområdet Login og
autentifikation, jf. § 8, stk. 2, nr. 1, hvis adgangen til den
digitale selvbetjeningsløsning ikke kræver sikker autentifi-
kation eller hvis der ikke udføres en myndighedsopgave.
Med bestemmelsen skabes der en ret i loven for offent-
lige myndigheder og offentligretlige organer i rollen som
tjenesteudbydere, til at anvende serviceområdet Login og
autentifikation.
Bestemmelsen giver således offentlige myndigheder og
offentligretlige organer en ret til som tjenesteudbydere at
anvende serviceområdet Login og autentifikation, jf. § 8,
stk. 2 nr. 1, hvis adgangen til den digitale selvbetjeningsløs-
ning ikke kræver sikker autentifikation, eller hvis der ikke
udføres en myndighedsopgave, jf. bemærkningerne til den
foreslåede § 2, nr. 10 og 11. Det indebærer, at offentlige
myndigheder og offentligretlige organer kan vælge at tilby-
de privatpersoner eller erhvervsbrugere adgang til deres di-
gitale selvbetjeningsløsninger med serviceområdet Login og
autentifikation. Den lovskabte ret indebærer, at offentlige
myndigheder og offentligretlige organer får en mulighed for
at anvende serviceområdet Login og autentifikation i medfør
af loven.
Det er den enkelte offentlige myndighed eller det offent-
ligretlige organ, som må vurdere, om pågældende offentlige
myndighed eller offentligretlige organ udfører en myndig-
hedsopgave. I vurderingen kan medregnes opgaver, som er
pålagt den offentlige myndighed eller det offentligretlige or-
gan ved lov eller anden retsakt, opgaver hvor myndigheden
eller det offentligretlige organ er ordregivende myndighed
og desuden opgaver, som umiddelbart synes at ligge inden
for myndigheds eller det offentligretlige organs ressort og
som løses af myndigheden eller det offentligretlige organ. I
vurderingen af om der udføres en myndighedsopgave sup-
pleres det formelle kriterier for myndighedens eller det of-
fentligretlige organs struktur med et materielt kriterium. Der
henvises i øvrigt til definitionen af offentlige myndighed
og offentligretligt organ. De offentlige myndigheder, som
er omfattet af pligten i § 11, stk. 2, nr. 1, er offentlige
myndigheder i henhold til denne lovs definition i § 2, nr.
10. De offentligretlige organer, som er omfattet af pligten i
§ 11, stk. 2, nr. 1, er offentligretlige organer i henhold til
denne lovs definition i § 2, nr. 11.
Bestemmelsens foreslåede § 11, stk. 2, nr. 2, medfører, at
offentlige myndigheder og offentligretlige organer i rollen
som tjenesteudbydere kan anvende serviceområdet Digital
signering, jf. § 8, stk. 2, nr. 3. Det foreslås med nr. 2, at
offentlige myndigheder og offentligretlige organer i rollen
som tjenesteudbydere kan anvende serviceområdet Digital
signering, jf. § 8, stk. 2 nr. 3. Digital signering kan alene ske
på baggrund af autentifikation, der opfylder NSIS-standar-
dens definition af sikringsniveau betydelig og høj og tillige
opfylder kravene i eIDAS-forordningens artikel 24, stk. 1.
Offentlige myndigheder og offentligretlige organer kan
således vælge at anvende serviceområdet Digital signering
i NemLog-in, hvis de har en digital selvbetjeningsløsning,
hvor der udstilles digitalt signerede dokumenter, eller hvor
det er muligt for privatpersoner og erhvervsbrugere at fo-
retage digital signering. Ved udstilling af digital signering
muliggør en tjenesteudbyder i deres digitale selvbetjenings-
løsninger, at en privatperson eller en erhvervsbruger kan
anvende serviceområdet Digital signering i NemLog-in. For
at offentlige myndigheder og offentligretlige organer kan
anvende serviceområdet Digital signering i NemLog-in, skal
de tilsluttes serviceområdet Digital signering i NemLog-in
som tjenesteudbydere, så de kan udbyde muligheden for
signering af indhold i deres digitale selvbetjeningsløsning.
Når offentlige myndigheder og offentligretlige organer gi-
ves en ret til at anvende serviceområdet Digital signering,
understøttes de i at tilbyde privatpersoner og erhvervsbruge-
re en sagsbehandling og procedure, som fuldt ud kan digi-
taliseres. Med offentlige myndigheders og offentligretlige
organers anvendelse af serviceområdet Digital signering, vil
privatpersoner og erhvervsbrugere genkende signeringstje-
nesten på tværs af den offentlige sektor.
Signaturer afgivet i serviceområdet valideres ensartet i
serviceområdets valideringstjeneste uanset hvilken offentlig
myndighed eller offentligretligt organ, der som tjenesteud-
byder har anvendt servicen. Ved valideringen kontrolleres
bl.a. det digitale dokuments integritet og det konstateres i
denne forbindelse om dokumentet er ændret efter at signatu-
ren er afgivet. For behandling af persondata i forbindelse
med valideringen i serviceområdet Digital signering i Nem-
Log-in, henvises til denne lovs foreslåede § 14.
Bestemmelsens foreslåede § 11, stk. 3, medfører, at offent-
lige myndigheder og offentligretlige organer i rollen som
brugerorganisationer kan anvende serviceområdet Erhvervs-
administration, jf. § 8, stk. 3.
Med den foreslåede stk. 3 skabes der en ret i loven til for
offentlige myndigheder og offentligretlige organer i rollen
som brugerorganisation at benytte serviceområdet Erhvervs-
administration i NemLog-in, jf. § 8, stk. 3. Serviceområdet
Erhvervsadministration giver offentlige myndigheder og of-
fentligretlige organer mulighed for at oprette, administrere
og anvende digitale erhvervsidentiteter samt tildele og admi-
nistrere elektroniske identifikationsmidler.
Endelig kan offentlige myndigheder og offentligretlige
organer med serviceområdet Erhvervsadministration vælge
at tildele og administrere rettigheder og certifikater til er-
hvervsidentiteter oprettet i serviceområdet.
Det er hensigten med retten til at anvende serviceområ-
det Erhvervsadministration, at offentlige myndigheder og
offentligretlige organer tilbydes et redskab til at digitalisere
styringen af digitale erhvervsidentiteter. Endvidere kan of-
fentlige myndigheder og offentligretlige organer med retten
til at anvende serviceområdet Erhvervsadministration vælge
at anvende en løsning, som fungerer på tværs af den offent-
lige sektor. Løsningen vil derved udgøre et effektivt arbejds-
redskab, som blandt andet understøtter samarbejdet på tværs
af den offentlige sektor.
Offentlige myndigheder og offentligretlige organer kan i
rollen som brugerorganisation i serviceområdet Erhvervsad-
52
ministration yderligere vælge at oprette sig som lokal identi-
tetsgarant i NemLog-in.
Den foreslåede § 11, stk. 4, 1. led, medfører, at offentlige
myndigheder og offentligretlige organer i de i stk. 1 anførte
tilfælde skal anskaffe serviceområderne fra Digitaliserings-
styrelsen.
Med bestemmelsen fastsættes det, at de nævnte service-
områder skal anskaffes fra Digitaliseringsstyrelsen. Betin-
gelserne for anskaffelsen fremgår af § 16 og § 15, stk. 3. Der
henvises til bemærkningerne til § 16 og § 15, stk. 3.
Bestemmelsen har til formål at understrege, hvornår de
offentlige myndigheder og offentligretlige organer har en
pligt til at anskaffe sig serviceområderne i NemLog-in. For
en nærmere beskrivelse af de enkelte serviceområder i Nem-
Log-in henvises til bemærkningerne til § 8, stk. 2 og 3.
I de tilfælde, hvor offentlige myndigheder og offentligret-
lige organer forpligtes til at anvende serviceområderne i
NemLog-in, jf. § 11, sker det med henblik på at sikre den of-
fentlige orden og sikkerhed, samt hensynet til de samfunds-
økonomiske overvejelser om fælles anskaffelse af it-løsnin-
ger i staten, jf. afsnit 2.3 i de almindelige bemærkninger.
Det skal bemærkes, at der er et væsentligt hensyn til, at
der sikres en høj grad af tillid og sikkerhed på tværs af
de offentlige digitale selvbetjeningsløsninger. Det afgørende
for, at de offentlige myndigheder og offentligretlige organer
forpligtes til at anvende serviceområderne er, om de anven-
der en digital selvbetjeningsløsning til at udføre en myn-
dighedsopgave. Omvendt vil der ikke gælde en pligt til at
anvende de nævnte serviceområder, såfremt en myndighed
eller et offentligretligt organ ikke udfører en myndighedsop-
gave på en digital selvbetjeningsløsning. Det er op til den
enkelte myndighed og det offentligretlige organ at vurdere,
hvorvidt de materielt set udfører en myndighedsopgave, der
henvises til bemærkningerne i den foreslåede § 2, nr. 10 og
nr. 11. For en definition af en digital selvbetjeningsløsning
henvises der endvidere til den foreslåede § 2, nr. 12.
Den foreslåede § 11, stk. 4, 2. led, medfører, at offentlige
myndigheder og offentligretlige organer i de i stk. 2 og 3
anførte tilfælde kan anskaffe serviceområderne fra Digitali-
seringsstyrelsen.
Med bestemmelsens 2. led fastsættes det, hvilke service-
områder, som kan anskaffes fra Digitaliseringsstyrelsen. Be-
tingelserne for anskaffelsen fremgår af § 16 og § 15, stk.
3. Der henvises til bemærkningerne til § 16 og § 15, stk. 3.
Bestemmelsen har til formål at understrege, hvornår de
offentlige myndigheder og offentligretlige organer har en
ret til at anskaffe sig serviceområderne i NemLog-in. For
en nærmere beskrivelse af de enkelte serviceområder i Nem-
Log-in henvises til bemærkningerne til § 8, stk. 2 og 3.
Til § 12
Der findes ikke gældende ret, som regulerer aftaleforhold
eller vilkår for anvendelsen af serviceområderne i NemLog-
in.
Den foreslåede § 12 medfører, at juridiske enheder kan
indgå aftale med Digitaliseringsstyrelsen om anvendelse af
serviceområderne nævnt i § 8, stk. 2, nr. 1 og nr. 3, samt stk.
3.
Med den foreslåede § 12 får juridiske enheder mulighed
for at anvende serviceområder i § 8, stk. 2, nr. 1 samt stk. 3,
efter aftale med Digitaliseringsstyrelsen.
For at anvende serviceområderne i § 8, stk. 2, nr. 1 samt
stk. 3 kræves det, at den juridiske enhed indgår aftale her-
om med Digitaliseringsstyrelsen. Den juridiske enhed skal
således acceptere de aftalevilkår, som er fastsat ensidigt
af Digitaliseringsstyrelsen for at kunne anvende de nævnte
serviceområder i NemLog-in. Digitaliseringsstyrelsen har
udarbejdet en række standardvilkår for juridiske enheder,
som ønsker at anvende serviceområderne Login og autenti-
fikation og Digital signering. Når den juridiske enhed vil
være tjenesteudbyder til enten serviceområdet Login og au-
tentifikation eller Digital signering kræves det således, at
tjenesteudbyderen accepterer de nævnte vilkår. Vilkårene vil
bl.a. sætte rammerne for anvendelsen af serviceområderne,
misligholdelse, håndtering af sikkerhedsbrud mv.
Tilsvarende fastsætter Digitaliseringsstyrelsen vilkår for
de juridiske enheder, der ønsker at anvende serviceområdet
Erhvervsadministrationen som brugerorganisationer.
Det skal understreges, at retten til at anvende NemLog-in
skal læses i sammenhæng med den foreslåede § 15 om
opkrævning af gebyr og vederlag. Det er frivilligt for de ju-
ridiske enheder, om de vil anvende serviceområderne Login
og autentifikation, Digital signering og Erhvervsadministra-
tion. Det er således en forudsætning for en juridisk enheds
anvendelse af serviceområderne i NemLog-in, at de accep-
terer de aftalevilkår, som er fastsat af Digitaliseringsstyrel-
sen. Det skal understreges, at vilkårene vil fastsættes efter
principperne om saglig forvaltning og ligebehandling af er-
hvervsaktørerne.
Til § 13
Der findes ikke gældende ret, som regulerer behandlingen
af personoplysninger og videregivelse af risikodata for Mi-
tID-løsningen og NemLog-in. Bestemmelsen er dog fastsat
ud fra iagttagelsen af gældende regler i databeskyttelsesfor-
ordningen (2016/679) og databeskyttelsesloven, lov nr. 502
af 23. maj 2018.
Den foreslåede § 13, stk. 1, medfører, at ved en privat-
persons anvendelse af MitID eller en erhvervsbrugers an-
vendelse af det elektroniske identifikationsmiddel i MitID
til login og autentifikation kan Digitaliseringsstyrelsen vide-
regive autentifikationssvar, herunder risikodata vedrørende
den konkrete og enkelte transaktion, til en broker, der er
tilsluttet MitID-løsningen eller NemLog-in.
Med den foreslåede bestemmelse indføres hjemmel til, at
Digitaliseringsstyrelsen kan videregive autentifikationssvar,
herunder risikodata til en offentlig myndighed, et offentlig-
retligt organ eller en juridisk enhed i rollen som broker i
forbindelse med det enkelte login og autentifikation forbun-
det hermed. Autentifikationssvaret indeholder oplysninger
om privatpersonen eller erhvervsbrugeren, der logger ind
53
samt indsamlede risikodata, jf. de almindelige bemærknin-
ger, afsnit 2.3.2.1. Hensynet til at opretholde tilliden til
anvendelsen af MitID samt hensynet til at følge med den
teknologiske udvikling gør, at der kan opstå behov for at
ændre eller tilføje andre risikodata, der kan indsamles og
videregives til risikovurdering af den enkelte transaktion,
der gennemføres med MitID.
Om vurdering af behovet for en særskilt hjemmel henvises
til de almindelige bemærkninger, afsnit 3.
Den hjemmel, der indføres til videregivelse af personop-
lysninger fra Digitaliseringsstyrelsen, indebærer, at en bro-
ker kan modtage og behandle autentifikationssvar, herunder
risikodata til vurdering af risikoen ved hver enkelt konkre-
te transaktion. Formålet med videregivelse af risikodata er,
at give brokeren en yderligere mulighed for at vurdere og
afgøre om det modtagne svar af sikkerhedsmæssige årsager
skal umuliggøre login på den pågældende tjeneste.
Ved modtagelsen af data bliver brokeren dataansvarlig
herfor og skal i så henseende efterleve databeskyttelsesreg-
lerne, herunder opfylde sin oplysningspligt over for de regi-
strerede. I det omfang brokeren behandler modtagne auten-
tifikationssvar og de deri indeholdte data til andet formål,
vil det kræve, at brokeren har en selvstændig behandlings-
hjemmel hertil. Brokerens behandling af autentifikationssvar
indebærer, at brokeren danner et autentifikationssvar, der
kan beriges med andre af brokerens egne data. Andre data,
som brokeren kan berige autentifikationssvaret med kan fx
være rettigheder til at anvende et it-system. En sådan beri-
gelse er derfor nødvendig for, at en bruger kan anvende en
digital selvbetjeningsløsning, og et autentifikationssvar der
ikke bliver beriget vil derfor fratage privatpersonen eller
erhvervsbrugere, at interagere med den digitale selvbetje-
ningsløsning. Et eksempel på dette kunne være en erhvervs-
bruger, som af sin brugerorganisation har fået tilknyttet
rettigheder til at kunne læse Digital Post for brugerorganisa-
tionen. Endvidere kan risikodata være undtaget i det autenti-
fikationssvar, der formidles til en tjenesteudbyder, idet det
er en forudsætning for en tjenesteudbyders modtagelse af
risikodata, at tjenesteudbyderen har en særskilt hjemmel til
at modtage disse.
En broker indgår en brokeraftale med Nets DanID A/S på
vegne af partnerskabet mellem FR1 og Digitaliseringsstyrel-
sen. Aftalen indeholder en række af partnerskabet fastsatte
vilkår for at blive og vedblive med at være broker. I relation
til modtagelse af autentifikationssvar vil brokeren blive gjort
opmærksom på, at brokeren alene kan anvende autentifikati-
onssvar og de deri indeholdte data som anført i den foreslåe-
de bestemmelse, og at enhver behandling herudover kræver,
at brokeren har en selvstændig hjemmel hertil.
Den foreslåede § 13, stk. 2, medfører, at en broker kan
foretage automatiske afgørelser om log-in på baggrund af
risikodata videregivet efter stk. 1.
Med den foreslåede bestemmelse indføres i overensstem-
melse med databeskyttelsesforordningen art. 22, stk. 2, b,
hjemmel til, at en broker kan foretage automatiske afgørel-
ser om, hvorvidt log-in i konkrete tilfælde skal tillades, afvi-
ses eller om der kan være behov for at iværksætte yderligere
foranstaltninger for at sikre, at det er den rigtige privatper-
son og erhvervsbruger med et MitID-identifikationsmiddel,
som ønsker log-in. De automatiske afgørelser i denne be-
stemmelse er ikke afgørelser i forvaltningslovens forstand,
og det er op til den enkelte broker at beslutte, om der kan
tillades log-in. Det er ligeledes op til den enkelte broker at
beslutte, om denne vil anvende og agere på baggrund af de
risikodata, som er videregivet efter stk. 1.
Brokeren foretager ikke vurderinger eller træffer afgørel-
ser om de aktiviteter eller handlinger som privatpersonen
eller erhvervsbrugeren med et MitID-identifikationsmiddel,
ønsker at tilgå ved log-in på baggrund af anmodningen om
autentifikation med det elektroniske identifikationsmiddel i
MitID. Afgørelsernes formål er at sikre, om privatpersonen
eller erhvervsbrugeren som indehaver af et MitID-identifi-
kationsmiddel er identisk med den digitale identitet, som der
logges ind med.
Den foreslåede § 13, stk. 3, medfører, at en broker, der
i medfør af stk. 1 har modtaget autentifikationssvar, kan
videregive det modtagne og behandlede autentifikationssvar
til en tjenesteudbyder, der gennem pågældende broker, mod-
tager autentifikationer fra MitID-løsningen.
Med den foreslåede bestemmelse kan brokere videregive
det modtagne og af brokeren behandlede autentifikations-
svar, jf. stk.1 og bemærkningerne hertil, til en tjenesteudby-
der, der har indgået en aftale med den pågældende broker
om at modtage autentifikationssvar. Brokerens behandling
af autentifikationssvar indebærer, at brokeren danner et au-
tentifikationssvar, som kan beriges med andre af brokerens
egne data. De data, som autentifikationssvaret kan beriges
med, kan fx være e-mailadresse og fødselsdato, der anven-
des til at identificere brugeren over for tjenesteudbyderens
digitale selvbetjeningsløsning.
Det er en forudsætning for, at MitID-løsningen kan fun-
gere efter sit formål, at autentifikationssvaret videregives
til den tjeneste, hvor brugeren ønsker at logge ind. Tjene-
steudbyderen bliver i så henseende dataansvarlig for data
indeholdt i autentifikationssvaret og skal i så henseende ef-
terleve databeskyttelsesreglerne, herunder opfylde sin oplys-
ningspligt over for de registrerede. I det omfang tjenesteud-
byderen behandler modtagne autentifikationssvar og de deri
indeholdte data til andet formål, vil det kræve, at tjenesteud-
byderen har en selvstændig behandlingshjemmel hertil.
Den foreslåede § 13, stk. 4, medfører, at der ved en
erhvervsbrugers anvendelse af et elektronisk identifikations-
middel fra en lokal identitetsgarant tilsluttet NemLog-in kan
Digitaliseringsstyrelsen videregive autentifikationssvar ved-
rørende den konkrete og enkelte transaktion til en broker,
der er tilsluttet NemLog-in.
Med den foreslåede bestemmelse kan Digitaliseringssty-
relsen videregive autentifikationssvar til en offentlig myn-
dighed, et offentligretligt organ eller en juridisk enhed, i
rollen som broker. Videregivelsen sker i forbindelse med det
enkelte login og autentifikation og foretages under anven-
54
delse af et identifikationsmiddel fra en lokal identitetsgarant,
der er tilsluttet NemLog-in.
Tilslutningen til NemLog-in giver den lokale identitetsga-
rant mulighed for at knytte lokale identifikationsmidler til
erhvervsidentiteterne i NemLog-in. En virksomhed vil såle-
des kunne tilknytte lokale identifikationsmider til virksom-
hedens ansatte. Derved kan et lokalt identifikationsmiddel
anvendes til autentifikation internt hos den lokale identitets-
garant fx internt i en virksomhed og til autentifikation over
for tjenesteudbydere tilsluttet en broker i NemLog-in.
Autentifikationssvaret indeholder oplysninger om er-
hvervsbrugeren, der logger ind, jf. de almindelige bemærk-
ninger, afsnit 2.2.2.
Tilslutning af brokere til NemLog-in med henblik på at
kunne modtage autentifikation på baggrund af et identifika-
tionsmiddel fra en lokal identitetsgarant sker ved indgåelse
af særskilt aftale.
Den foreslåede § 13, stk. 5, medfører, at en broker, der
i medfør af stk. 4 har modtaget autentifikationssvar, kan
videregive det modtagne og behandlede autentifikationssvar
til en tjenesteudbyder, der gennem en broker, modtager au-
tentifikationer fra NemLog-in.
I medfør af den foreslåede bestemmelse kan en broker,
videregive autentifikationssvar til en tjenesteudbyder, der
har indgået en aftale med den pågældende broker, om at
modtage autentifikationssvar.
Det er en forudsætning for, at NemLog-in-løsningen kan
fungere efter sit formål og muliggøre anvendelsen af identi-
fikationsmidler fra lokale identitetsgaranter, at autentifikati-
onssvaret videregives til den tjeneste, hvor erhvervsbrugeren
ønsker at logge ind. Tjenesteudbyderen bliver i denne hen-
seende dataansvarlig for data indeholdt i autentifikationssva-
ret og skal i så henseende efterleve databeskyttelsesreglerne,
herunder opfylde sin oplysningspligt over for de registre-
rede. I det omfang tjenesteudbyderen behandler modtagne
autentifikationssvar og de deri indeholdte data til andet for-
mål, vil det kræve, at tjenesteudbyderen har en selvstændig
behandlingshjemmel hertil.
Til § 14
Der findes ikke gældende ret, som regulerer behandlingen
af personoplysninger og videregivelse af risikodata for Mi-
tID-løsningen og NemLog-in. Bestemmelsen er dog fastsat
ud fra iagttagelsen af gældende regler i databeskyttelsesfor-
ordningen og databeskyttelsesloven.
Den foreslåede § 14, medfører, at Digitaliseringsstyrelsen
kortvarigt og i et sikret teknisk miljø kan behandle følsom-
me personoplysninger, i forbindelse med validering af digi-
tale signaturer i valideringstjenesten i serviceområdet Digi-
tal signering.
Med den foreslåede bestemmelse indføres hjemmel til, at
Digitaliseringsstyrelsen i medfør af databeskyttelsesforord-
ningens art. 9, stk. 2, litra g, kan behandle personoplysnin-
ger omfattet af databeskyttelsesforordningen artikel 9, stk. 1,
i forbindelse med validering af en digital signatur i Digita-
liseringsstyrelsens valideringstjeneste under serviceområdet
Digital signering.
Baggrunden for bestemmelsen er, at valideringstjenesten
i serviceområdet Digital signering i overensstemmelse med
dens formål kan behandle de data, som er nødvendige for
at kunne foretage valideringen. Der kan således potentielt
behandles alle former for data, herunder følsomme person-
oplysninger omfattet af persondataforordningens artikel 9,
stk. 1. Den behandling, der sker i valideringstjenesten er
udelukkende maskinel. Den maskinelle behandling består
i dannelse af en checksum, der senere kan sammenlignes
med en på et senere tidspunkt dannet checksum. På den
måde sikres, at der ikke sket ændringer af data, hvorved det
underskrevne dokuments bevisværdi sikres og senere kan
sandsynliggøres.
Det er Finansministeriets vurdering, at den maskinelle
behandling kan rummes inden for bestemmelsen i databe-
skyttelsesforordningens art 9, stk. 2, litra g, der bestemmer,
at personoplysninger omfattet af art. 9, stk. 1 lovligt kan
behandles, såfremt behandlingen er nødvendig af hensyn til
væsentlige samfundsinteresser, og i øvrigt står i rimeligt for-
hold til det mål, der forfølges, respekterer det væsentligste
indhold af retten til databeskyttelse og sikrer passende og
specifikke foranstaltninger i form af en kortvarig behandling
i et sikret miljø, til beskyttelse af den registreredes grund-
læggende rettigheder og interesser. Den kortvarige behand-
ling vil alene ske i det moment, hvor selve valideringen
foregår. Det skal bemærkes, at de data, som kortvarigt be-
handles i et sikret miljø i forbindelse med valideringen, vil
blive slettet efter valideringen er foretaget. Som resultat af
valideringen vil der således alene være en checksum, som
beretter om dokumentets validitet.
Efter Finansministeriets vurdering udgør det en væsentlig
samfundsinteresse, at de digitale infrastrukturløsninger er
effektive og kan opfylde de behov, der er i den analoge
verden. En analog underskrift og parafering af dokumenter
til sikring af, at der ikke sker uønskede eller utilsigtede
ændringer er således et eksempel på et behov, der findes i
den analoge verden. Signering og efterfølgende validering i
valideringstjenesten opfylder på digital vis dette behov. Det
er endvidere Finansministeriets vurdering, at behandlingen
står i rimeligt forhold til det mål, der forfølges samt respek-
terer det væsentligste indhold af retten til databeskyttelse og
sikrer passende og specifikke foranstaltninger til beskyttelse
af den registreredes grundlæggende rettigheder og interesser.
Digitaliseringsstyrelsens valideringstjeneste har karakter
af en kvalificeret valideringstjeneste for kvalificerede elek-
troniske signaturer udstedt i medfør af eIDAS-forordningen.
Valideringstjenesten er offentligt tilgængelig og kan vali-
dere digitale signaturer afgivet i NemLog-in i serviceområde
Digital signering samt digitale signaturer, der opfylder stan-
darder fastlagt af EU-Kommissionen i henhold til eIDAS-
forordningens artikel 27, stk. 5, og artikel 37, stk. 5. Tjene-
sten understøtter offentlige myndigheder og offentligretlige
organers modtagelse af kvalificerede elektroniske signaturer
og kvalificerede elektroniske segl fra en anden medlemsstat
55
som led i gensidig anerkendelse heraf på tværs af medlems-
staterne.
Digitaliseringsstyrelsen kan give mulighed for, at tjene-
sten kan validere andre digitale signaturer, hvis det vurderes
relevant for at understøtte markedet for digitale signerings-
løsninger.
I forbindelse med verifikationen foretages en kortvarig
automatisk behandling i et sikret miljø af de data, der er
underskrevet. Behandlingen sker med henblik på at kontrol-
lere integriteten af de pågældende data ved at sammenligne
disse i klartekst med den checksum eller hash-værdi, der
blev genereret på underskriftstidspunktet, og som er koblet
til den digitale signatur.
Til § 15
Der findes ikke gældende ret, som regulerer opkrævning
af gebyr og vederlag for tilslutning til og anvendelse af
MitID-løsningen og NemLog-in.
Den foreslåede § 15, stk. 1, medfører, at Digitaliserings-
styrelsen indgår aftale med juridiske enheder om vederlag
for tilslutning til og anvendelse af MitID-løsningen og Nem-
Log-in.
Det foreslås med bestemmelsens stk. 1, at Digitaliserings-
styrelsen kan indgå aftale med juridiske enheder om tilslut-
ning til og anvendelse af MitID-løsningen og NemLog-in
og om vederlaget herfor. Bestemmelsen regulerer forholdet
mellem Digitaliseringsstyrelsen som leverandør og juridiske
enheder i egenskab af tjenesteudbydere, brugerorganisatio-
ner og brokere.
Det foreslås, at forholdet er rent kontraktbaseret, da Di-
gitaliseringsstyrelsen på trods af pligten til at stille MitID-
løsningen og NemLog-in til rådighed for juridiske enheder
agerer på et (delvist) kommercielt marked. Vederlaget, der
opkræves fra juridiske enheder, skal dække Digitaliserings-
styrelsen omkostninger, en forholdsmæssig andel af omkost-
ningerne til udvikling af løsningerne svarende til de juridi-
ske enheders anvendelse af løsningerne, være ikke-diskrimi-
nerende og skal sikre, at der ikke sker konkurrencefordrej-
ning.
Den foreslåede § 15, stk. 2, medfører, at offentlige myn-
digheder og offentligretlige organer betaler for MitID-løs-
ningen og NemLog-in gennem fællesoffentlig finansiering
eller ved betaling af vederlag fastsat af finansministeren.
Formålet med den foreslåede bestemmelse er at bemyndi-
ge finansministeren til at fastsætte regler om opkrævning af
gebyr for anskaffelse og anvendelse af MitID, MitID-løsnin-
gen og NemLog-in for offentlige myndigheder og offentlig-
retlige organer.
Det foreslås med bestemmelsen, at når offentlige myndig-
heder og offentligretlige organer benytter MitID-løsningen
og NemLog-in, betaler de gennem fællesoffentlig finansie-
ring eller ved betaling af vederlag fastsat af finansministeren
for særlige områder af løsningerne.
Digitaliseringsstyrelsen er for så vidt angår MitID-løsnin-
gen og NemLog-in en teknisk tjeneste for den offentlige
forvaltning i Danmark, og Digitaliseringsstyrelsens relation
til offentlige myndigheder og offentligretlige organer er ikke
af kontraktmæssig karakter. Relationen er i stedet af intern
karakter, kendetegnet ved afhængighed og over- underord-
nelsesforhold.
Således er Digitaliseringsstyrelsen forpligtet til at levere
MitID-løsningen og NemLog-in på de vilkår, der i § 16 er
fastsat af finansministeren, og til den betaling, der i henhold
til bemyndigelsen i § 15, stk. 2, er fastlagt af finansministe-
ren. Digitaliseringsstyrelsen kan således ikke forhandle om
vederlaget.
Det er aftalen mellem de offentlige parter, der regulerer,
hvilke offentlig myndigheder og offentligretligt organer,
som er en den af den fællesoffentlige finansiering.
Såfremt en offentlig myndighed eller et offentligretlig or-
gan ikke er omfattet af den fællesoffentlige finansiering skal
betalingen for MitID-løsningen og NemLog-in i stedet ske
efter de vederlag, som er fastsat af finansministeren. Regler
herom forventes fastsat i en bekendtgørelse om vilkår for
offentlige myndigheder og offentligretlige organer i deres
rolle som enten tjenesteudbyder eller brugerorganisation, jf.
den foreslåede stk. 2.
Den foreslåede § 15, stk. 3, medfører, at finansministeren
kan fastsætte regler om opkrævning af gebyr hos privatper-
soner for registrering og udstedelse af MitID.
Formålet med den foreslåede bestemmelse er at bemyndi-
ge finansministeren til at fastsætte regler om opkrævning af
gebyr hos privatpersoner.
Bestemmelsen vil ikke kunne anvendes til at fastsætte
regler om gebyr for selve registreringen af et MitID. Det er
i den forbindelse hensigten, at MitID-app’en kan anvendes
som elektronisk identifikationsmiddel uden brugerbetaling.
Det er herudover hensigten, at der alene skal fastsættes
regler om privatpersoners betaling af gebyr for fysiske elek-
troniske identifikationsmidler ud over et nærmere fastsat
antal, der udleveres gebyrfrit. Fra idriftsættelse af MitID-
løsningen er det hensigten at fastsætte regler om, at en
privatperson gebyrfrit kan få op til tre fysiske elektroniske
identifikationsmidler, hvorefter der skal betales gebyr for
yderligere identifikationsmidler.
Endelig er det hensigten, at en privatperson skal have ve-
derlagsfri adgang til elektroniske identifikationsmidler. An-
tallet på tre fysiske elektroniske identifikationsmidler er
valgt ud fra et princip om, at privatpersonen bør udvise
behørig påpasselighed med håndtering og brug af de tildel-
te identifikationsmidler og derfor ikke vil have behov for
yderligere identifikationsmidler for at kunne betjene sig med
MitID.
En privatperson kan alene have et aktivt fysisk elektronisk
identifikationsmiddel ad gangen. Det bemærkes dog, at det
kan bestemmes, at der skal opkræves vederlag for særlige
MitID identifikationsmidler til brug for understøttelse af
sikringsniveau ”høj”. Dette sikringsniveau vil kun sjældent
være påkrævet for en privatperson, men kan være krævet
ved tilgang til og anvendelse af udenlandske selvbetjenings-
løsninger. Gebyret er fastsat i kontrakten med leverandøren
56
af MitID, vil være fast for det enkelte fysiske elektroniske
identifikationsmiddel og vil være omkostningsbestemt.
Til § 16
Der findes ikke gældende ret, som regulerer tilrådigheds-
stillelsen og anvendelsen for offentlige myndigheder og of-
fentligretlige organer.
Den foreslåede § 16, medfører, at finansministeren fast-
sætter regler om tilrådighedsstillelse for offentlige myndig-
heder og offentligretlige organer, jf. de foreslåede bestem-
melser i §§ 3 og 8, og om offentlige myndigheder og
offentligretlige organers tilslutning til og anvendelse af Mi-
tID-løsningen og NemLog-in.
Det forventes, at der fastsættes regler om de vilkår, som
skal gælde for offentlige myndigheders og offentligretlige
organers tilslutning og anvendelse af MitID-løsningen og
NemLog-in. Det forventes at være regler, der fastlægger den
ydelse, som de offentlige myndigheder og offentligretlige
organer modtager. Derudover forventes det, at der bliver
fastsat regler for håndtering af sikkerhedshændelser, mulig-
hed for at modtage support m.v.
Det forventes, at der bliver fastsat særskilte vilkår om
anvendelsen og tilslutning til MitID-løsningen. I forhold
til NemLog-in forventes det, at der bliver fastsat vilkår til
offentlige brugerorganisationer og et til offentlige tjeneste-
udbydere.
Digitaliseringsstyrelsen er systemejer af både MitID-løs-
ningen og NemLog-in, og Digitaliseringsstyrelsen er, jf. §
3 og § 8, forpligtet til at stille løsningerne til rådighed for
offentlige myndigheder og offentligretlige organer. Finans-
ministeren fastsætter regler om, hvordan Digitaliseringssty-
relsen skal stille løsningerne til rådighed, herunder hvilke
ydelser der mere specifikt skal tilbydes, kvalitetskrav og
support.
Begge løsninger er store og komplekse digitale løsninger,
der kræver regler for, hvordan de enkelte dele skal tilsluttes
og anvendes af de offentlige myndigheder og offentligretlige
organer, som aftager løsningerne, herunder regler om hånd-
tering af certifikater.
Finansministeren fastsætter regler for offentlige myndig-
heder og offentligretlige organers tilslutning til og anven-
delse af MitID-løsningen og NemLog-in. Betingelserne for
juridiske enheder aftales kontraktuelt.
Til § 17
Der findes ikke gældende ret, som regulerer påbud i rela-
tion til MitID-løsningen eller NemLog-in.
Den foreslåede § 17, medfører, at Digitaliseringsstyrelsen
kan meddele offentlige myndigheder og offentligretlige or-
ganer påbud om at opfylde forpligtelser i henhold til § 6, stk.
1, og § 11, stk. 1.
Digitaliseringsstyrelsen kan således meddele påbud om,
at den offentlige myndighed eller det offentligretlige organ
skal sikre, at privatpersoner og erhvervsbrugere gennem
NemLog-in kan anvende MitID til at få adgang til den of-
fentlige myndigheds eller det offentligretlige organs digitale
selvbetjeningsløsninger, hvis løsningerne kræver sikker au-
tentifikation, jf. § 6, stk. 1.
Digitaliseringsstyrelsen kan derudover meddele påbud
om, at den offentlige myndighed eller det offentligretlige
organ skal sikre, at privatpersoner og erhvervsbrugere kan
anvende serviceområderne Login og autentifikation samt
Digital repræsentation i NemLog-in, når den offentlige myn-
digheds eller det offentligretlige organs digitale selvbetje-
ningsløsninger kræver det, jf. § 11, stk. 1.
Bestemmelsen giver Digitaliseringsstyrelsen mulighed for
at udstede påbud i det tilfælde, at en offentlig myndighed
eller et offentligretlig organ ikke overholder de forpligtelser,
som er fastsat i loven.
Påbuddet udstedes skriftligt af Digitaliseringsstyrel-
sen. Digitaliseringsstyrelsen vil i forbindelse med påbud
kunne angive en tidsfrist for, hvornår det pågældende for-
hold skal være bragt i orden. Det vurderes dog, at det ikke
er hensigtsmæssigt at fastsætte en fast tidsfrist for, hvornår
de offentlige myndigheder og offentligretlige organer skal
opfylde de givne forpligtelser.
Derudover vil Digitaliseringsstyrelsen kunne følge op på
et påbud, hvis dette vurderes nødvendigt.
Til § 18
I gældende ret er der i de nationale standarder for eID-
ordninger fastsat krav til det tilsyn, som skal udføres for
eID-ordninger. Den foreslåede bestemmelse sikrer overhol-
delse af de tilsynsforpligtelser, som er fastsat i de nationale
standarder for eID-ordninger.
Endvidere er der i den gældende eIDAS-forordning fast-
sat krav til tilsyn for eID-ordninger. MitID-løsningen skal
anmeldes til EU-Kommissionen som den nationale eID-ord-
ning i Danmark. Det er i den forbindelse en forudsætning,
at der føres tilsyn med løsningen, når MitID anvendes til
grænseoverskridende transaktioner, jf. eIDAS-forordningens
artikel 9, litra b.
Digitaliseringsstyrelsens tilsyn med MitID-løsningen
dækker således både behovet efter denne lov samt kravene i
medfør af eIDAS-forordningen.
Serviceområdet Digital signering i NemLog-in er en servi-
ce, der er omfattet af eIDAS-forordningens kapitel III om
tillidstjenester. Det følger af forordningens artikel 17, at
hver medlemsstat udpeger et tilsynsorgan, samt hvilke opga-
ver tilsynsorganet varetager. Med lov nr. 617 af 8. juni 2016,
om supplerende bestemmelser til forordning om elektronisk
identifikation og tillidstjenester til brug for elektroniske
transaktioner på det indre marked blev Digitaliseringsstyrel-
sen udpeget til det nationale tilsynsorgan i Danmark. Tilsy-
net med serviceområdet Digital signering er således ikke
omfattet af denne lovs foreslåede § 18, stk. 1.
Den foreslåede § 18, stk. 1, medfører, at Digitaliserings-
styrelsen fører tilsyn med drift, vedligeholdelse og forvalt-
ning af MitID-løsningen og NemLog-in, herunder at løsnin-
gerne overholder nationale standarder for eID-ordninger.
57
Digitaliseringsstyrelsen bliver systemejer og tilsynsføren-
de for MitID-løsningen og NemLog-in. Det er således for-
målet med den foreslåede stk. 1, at fastslå, at det er en myn-
dighedsopgave at følge op på revisionserklæringer, audit og
anden form for kontroldokumentation, som der afgives for
løsningerne, herunder også tilsyn baseret på standarder, som
skal udføres for løsningerne.
Digitaliseringsstyrelsens tilsyn, omfatter blandt andet, at
der føres tilsyn med revisionsrapporter, audit og anden form
for kontroldokumentation, der dokumenterer overholdelse af
krav i denne lov eller regler udstedt i medfør af loven. End-
videre kan Digitaliseringsstyrelsen efter forudgående vurde-
ring initiere at en uvildig sagkyndig, foretager revision og
audit af offentlige myndigheder, offentligretlige organer el-
ler juridiske enheder, jf. lovforslagets § 5 og § 10. Nærmere
regler herom vil blive fastsat med hjemmel i den foreslåede
stk. 2.
I Digitaliseringsstyrelsen er der ledelsesmæssig og orga-
nisatorisk adskillelse, således at tilsyn og forvaltningen af
de to løsninger bliver udført uafhængigt forskellige steder i
styrelsen med forskellig ledelsesmæssig reference.
Den foreslåede § 18, stk. 2 medfører, at finansministeren
kan fastsætte nærmere regler om Digitaliseringsstyrelsens
tilsyn efter stk. 1, herunder om Digitaliseringsstyrelsens
samarbejde med andre tilsynsmyndigheder efter aftale med
vedkommende minister.
Med den foreslåede bestemmelse bemyndiges finansmini-
steren til at fastsætte nærmere regler om udøvelsen og ind-
holdet af tilsynet herunder samarbejdet med andre tilsyns-
myndigheder og efter aftale med vedkommende minister.
Det forventes, at der fastsættes regler, som uddyber til-
synsforpligtelsen, der pålægges Digitaliseringsstyrelsen. Så-
ledes sikres der gennemsigtighed omkring tilsynsforpligtel-
sen. Det forventes, at der i reglerne fastsættes at Digitali-
seringsstyrelsens tilsyn blandt andet omfatter, at der føres
tilsyn med revisionsrapporter, audit og anden form for kon-
troldokumentation, der dokumenterer overholdelse af krav i
denne lov eller regler udstedt i medfør af loven. Endvidere
forventes det, at der fastsættes regler om, at Digitaliserings-
styrelsen efter forudgående vurdering kan initiere, at en uvil-
dig sagkyndig foretager revision og audit af offentlige myn-
digheder, offentligretlige organer eller juridiske enheder, jf.
lovforslagets § 5 og § 10.
Til § 19
I gældende ret pålægges der tavshedspligt for en række
subjekter omfattet af lovens bestemmelse, jf. straffeloven
lovbekendtgørelse nr. 1650 af 17. november 2020 i §§
152-152 f.
Med den foreslåede § 19, bestemmes det, at offentlige
myndigheders medarbejdere og enhver, der i øvrigt udøver
bistand til offentlige myndigheder, er under ansvar efter
straffelovens §§ 152-152 f forpligtet til at iagttage tavshed
over for uvedkommende med hensyn til oplysninger om den
tekniske og sikkerhedsmæssige indretning samt processer
for opretholdelse, vedligeholdelse og drift af sikkerhed i
MitID-løsningen og NemLog-in.
Bestemmelsen indfører en særlig tavshedspligt, der med-
fører, at offentlige myndigheders medarbejdere iagttager
tavshed over for uvedkommende med hensyn til oplysninger
m.v. om MitID’s og NemLog-in’s systemers tekniske- og
sikkerhedsmæssige indretning samt processer for oprethol-
delse, vedligeholdelse og drift af sikkerheden i systemerne.
Det skal bemærkes, at de subjekter, som er omfattet af
straffelovens §§ 152-152 f udvides med den foreslåede be-
stemmelse. Bestemmelsen regulerer således tavshedspligten
for offentlige myndigheders medarbejdere, samt enhver, der
i øvrigt gennem bistand til eksempelvis gennemførelse af
tilsyn og kontroller, eller til videreudvikling af systemerne,
måtte få kendskab til MitID’s og NemLog-in’s systemernes
tekniske- og sikkerhedsmæssige indretning samt processer
for opretholdelse, vedligeholdelse og drift af sikkerheden i
systemerne.
Bestemmelsen pålægger medarbejdere, der fører tilsyn og
medarbejdere, der i øvrigt har adgang til oplysninger om
den tekniske- og sikkerhedsmæssige indretning, tavsheds-
pligt om disse. Bestemmelsen omfatter også den, der har
virket i offentlig tjeneste eller hverv. Dette skyldes, at oplys-
ningerne kan indikere svagheder i både systemer, systemin-
stallationer samt de sikkerhedsmæssige processer, som kan
betyde, at tilsynet vil kræve forbedring af systemer, ændrede
sikkerhedsmæssige processer eller lignende. Det er derfor
afgørende, at disse oplysninger kan indberettes i fortrolig-
hed til Digitaliseringsstyrelsen, da kendskab til og indsigt i
systemers og processers eventuelle svagheder vil øge risiko-
en for angreb og kompromittering af sikkerheden. Angreb
på systemer af så central karakter som fx MitID eller Nem-
Log-in kan have vidtrækkende konsekvenser for borgere
og erhvervsdrivende samt hele den offentlige sektor. Denne
type angreb vil mindske tilliden til digitale tjenester og kan
dermed begrænse den offentlige digitalisering og begrænse
mulige gevinster heraf.
Der vurderes samtidig ikke at være hensyn, der tilsiger, at
borgere, offentligretlige organer eller juridiske enheder skal
være bekendt med de mere specifikke tekniske indretninger
og sikkerhedsmæssige procedurer, som er med til at skabe
sikkerheden i systemerne.
Bestemmelsen er ikke til hinder for, at offentlige myndig-
heder kan videregive oplysninger m.v. til andre offentlige
myndigheder i det omfang, dette er nødvendigt for at disse
kan udføre de opgaver, som de er pålagt.
Til § 20
I den gældende lov om NemID med offentlig digital sig-
natur til fysiske personer og til medarbejdere i juridiske
enheder af 8. maj 2018, er det fastsat i § 3, at forvaltnings-
loven finder anvendelse på afgørelser, som træffes af den
private virksomhed, der er udpeget i medfør af lovens § 1,
stk. 1, og af registreringsenheder, jf. lovens § 2.
Den foreslåede bestemmelse har til hensigt at videreføre
den bestemmelse, som gælder for NemID-løsningen over i
58
MitID-løsningen, da de samme betingelserne vil gøre sig
gældende for de juridiske enheder, som udpeges efter den
foreslåede § 4, stk. 2 og § 5, stk. 1.
Med den foreslåede § 20, stk. 1, bestemmes det, at forvalt-
ningsloven finder anvendelse på afgørelser om udstedelse,
spærring og genåbning af MitID, jf. § 4, stk. 2, som træffes
af juridiske enheder, der er udpeget i medfør af § 5, stk. 1.
Bestemmelsen indebærer, at såfremt Digitaliseringsstyrel-
sen gør brug af muligheden for at udpege juridiske enhe-
der, jf. § 5, stk. 1, til at varetage forvaltningsopgaver på
vegne af Digitaliseringsstyrelsen, jf. § 4, stk. 2, skal de
juridiske enheder, som træffer afgørelser om udstedelse,
spærring og genåbning af MitID, overholde de samme reg-
ler, som Digitaliseringsstyrelsen er underlagt som offentlig
myndighed. Det sikrer privatpersoners og erhvervsbrugeres
retssikkerhed i den proces, som finder sted, når de mod-
tager afgørelse om udstedelse, spærring og genåbning af
MitID. Bestemmelsen er navnlig relevant, hvis en juridisk
enhed, fx et pengeinstitut skal foretage registrering og udste-
delse af MitID. Da en juridisk enhed normal ikke har pligt
til at overholde forvaltningsloven regler, når de træffer en
afgørelse, er det nødvendigt, at bestemmelsen præciserer, at
forvaltningsloven vil finde anvendelse i de tilfælde, hvor en
juridisk enhed udpeges til at træffe afgørelse om udstedelse,
spærring og genåbning af MitID.
Det medfører blandt andet, at hvor der træffes afgørel-
ser om udstedelse, spærring og genåbning af MitID, som
opfylder afgørelsesbegrebet efter reglerne i forvaltningslo-
vens kapitel 6 (§§ 22-24) skal forvaltningslovens regler
herom overholdes. Derudover skal en afgørelse, der giver
afslag ledsages af en klagevejledning, reglerne om partshø-
ring iagttages, ligesom at privatpersoner og erhvervsbrugere
skal tilbydes vejledning. Endelig skal det bemærkes, at der
vil kunne forlanges aktindsigt efter forvaltningslovens reg-
ler. En afgørelse om at spærre et MitID træffes for at sikre
mod misbrug. Spærring kan derfor foretages uden forudgå-
ende kontakt til den fysiske person eller erhvervsbrugeren.
De juridiske enheder vil således ved anmodning fra en
fysisk person om at få udstedt MitID blandt andet skulle vej-
lede om reglerne for at få udstedt MitID og særligt reglerne
for løbende at kunne anvende MitID, herunder om konse-
kvenserne ved ikke at overholde disse, jf. forvaltningslovens
§ 7.
Vejledningen kan i de konkrete tilfælde tillige omfatte,
hvilke muligheder borgeren har for at blive betjent af den
offentlige forvaltning uden et MitID, samt hvilke mulighe-
der borgeren henholdsvis erhvervsbrugeren har for på ny at
anmode om at få udstedt MitID.
Der henvises til bemærkningerne til lovforslagets § 5, stk.
1, hvad angår hensynet til, at Digitaliseringsstyrelsen får
mulighed for at udpege juridiske enheder til på vegne af
Digitaliseringsstyrelsen, at varetage opgaver om forvaltning
af MitID-løsningen, herunder udstedelse, spærring og gen-
åbning af MitID.
Den foreslåede § 20, stk. 2, medfører, at forvaltningslo-
ven finder anvendelse på afgørelser om identitetssikring af
juridiske enheder, spærring af brugerorganisationers adgang
til Erhvervsadministration i NemLog-in, samt spærring af
digitale identiteter, jf. § 9, stk. 2, som træffes af juridiske
enheder, der er udpeget i medfør af § 10.
Med bestemmelsen foreslås det, at forvaltningsloven og
almindelige forvaltningsretlige principper finder anvendelse
på afgørelser om identitetssikring af juridiske enheder, spær-
ring af brugerorganisationers adgang til serviceområdet Er-
hvervsadministration i NemLog-in samt spærring af digitale
identiteter efter regler fastsat i medfør af § 9, stk. 2, og som
træffes af juridiske enheder, der kan udpeges i medfør af §
10.
Såfremt Digitaliseringsstyrelsen gør brug af muligheden
for at udpege juridiske enheder til på vegne af Digitalise-
ringsstyrelsen at varetage opgaver om forvaltning af Nem-
Log-in, skal de juridiske enheder overholde de samme reg-
ler, som Digitaliseringsstyrelsen er underlagt som offentlig
myndighed. Det sikrer erhvervsbrugernes og de juridiske
enheders retssikkerhed i den proces, som finder sted, når de
modtager afgørelse om identitetssikring af juridiske enheder,
spærring af brugerorganisationers adgang til serviceområdet
Erhvervsadministration i NemLog-in samt spærring og gen-
åbning af digitale identiteter.
Det medfører blandt andet, at afgørelser, som opfylder
afgørelsesbegrebet efter forvaltningslovens § 19, skal ledsa-
ges af en begrundelse og en klagevejledning, at reglerne
om partshøring skal iagttages, og at erhvervsbrugere og juri-
diske enheder skal vejledes tilstrækkeligt om deres rettighe-
der mv. En afgørelse om at spærre en erhvervsbruger eller
en juridisk enhed i serviceområdet Erhvervsadministration i
NemLog-in kan træffes for at sikre mod misbrug. Spærring
kan derfor foretages uden forudgående kontakt til erhvervs-
brugeren eller den juridiske enhed.
Til § 21
I gældende ret bestemmer eIDAS-forordningen i art. 10,
nr. 1, at en medlemsstat, der anmelder en eID-løsning til
EU-Kommissionen, er erstatningsansvarlig for skader, der
forsætligt eller uagtsomt påføres privatpersoner, offentlig
myndigheder, offentligretlige organer eller juridiske enhe-
der, som følge af manglende overholdelse af forpligtelserne
i henhold til art. 7, litra d og f i forbindelse med en grænseo-
verskridende transaktion.
Efter eIDAS-forordningens art. 7, litra d, skal den anmel-
dende stat sikre, at de personidentifikationsdata, der entydigt
repræsenterer den pågældende skadelidte i overensstemmel-
se med de tekniske specifikationer mv., er knyttet til den
rigtige fysiske eller juridiske person. Efter forordningens
art. 7 e skal den part, der udsteder det elektroniske identifi-
kationsmiddel sikre, at de elektroniske identifikationsmidler,
som kan anvendes grænseoverskridende, og som knyttes til
skadelidte, er i overensstemmelse med de tekniske specifi-
kationer, standarder og procedurer for det relevante sikring-
sniveau.
eIDAS-forordningens erstatningsbestemmelser regulerer
erstatning i en grænseoverskridende kontekst. Erstatningsan-
59
svaret dækker fejl i registrering og indrullering, uafhængigt
af om MitID bruges i en grænseoverskridende eller national
kontekst.
Der findes dog ikke i gældende ret regler om erstatnings-
ansvar i relation til MitID-løsningen eller NemLog-in.
Den foreslåede § 21, medfører, at Digitaliseringsstyrel-
sen er erstatningsansvarlig over for privatpersoner, offentlig
myndigheder, offentligretlige organer eller juridiske enhe-
der, som følge af fejl i forbindelse med registrering, udste-
delse og håndtering af MitID, anvendelse og autentifikation
af en privatperson eller en erhvervsbruger, medmindre at
Digitaliseringsstyrelsen kan godtgøre, at Digitaliseringssty-
relsen ikke har handlet forsætligt eller uagtsomt.
Bestemmelsen fastslår, at Digitaliseringsstyrelsen er er-
statningsansvarlig over for privatpersoner, offentlige myn-
digheder, offentligretlige organer eller juridiske enheder,
som følge af fejl i forbindelse med registrering, udstedelse
og forvaltning af MitID. Der er tale om et ansvar med om-
vendt bevisbyrde, hvilket medfører, at Digitaliseringsstyrel-
sen alene er ansvarsfri, i det omfang Digitaliseringsstyrelsen
kan godtgøre, at den ikke har handlet forsætligt eller uagt-
somt. Herudover vil dansk rets almindelige erstatningsregler
være gældende. Skadelidte skal således dokumentere et øko-
nomisk tab, ligesom der skal være årsagssammenhæng og
adækvans mellem den lidte skade og den ansvarspådragende
handling eller undladelse.
Den fastsatte bestemmelse berører ikke, at der ved den
indgåede kontrakt med Nets DanID A/S om udvikling m.v.
af MitID-løsningen er fastsat, at leverandøren i et vist om-
fang, herunder med sædvanlig beløbsmæssig begrænsning,
bærer det i den foreslåede bestemmelse nævnte erstatnings-
ansvar. Det er herunder fastsat, at leverandøren i et vist
omfang hæfter for fejl i registrering m.v. af en elektronisk
identitet som følge af fejlregistrering m.v. foretaget af de
registreringsenheder, som jf. den foreslåede § 6 stk. 1 og
2 varetager registreringer. Leverandøren er ansvarlig for og
fører kontrol med, at registreringsenhederne overholder de
fastlagte instrukser.
Den omstændighed, at MitID ikke er tilgængelig, eller
at autentifikationer fejler på grund af nedetid hos formidle-
ren af autentifikationen eller hos den pågældende selvbetje-
ningsløsning, er ikke ansvarspådragende for Digitaliserings-
styrelsen og heller ikke videreført i kontrakten med leveran-
døren af MitID-løsningen.
Håndtering af manglende tilgængelighed af MitID-løsnin-
gen, MitID eller den selvbetjeningsløsning, der forsøges
adgang til, påhviler den enkelte selvbetjeningsløsning En
offentlig- eller en privat selvbetjeningsløsning må håndtere
eventuel manglende adgang. Eksempler på hvorledes dette
konkret er håndteret for så vidt angår offentlige digitale
selvbetjeningsløsninger kan findes i bemærkningerne til §
10 i lov om Digital Post fra offentlige afsendere, samt i
bemærkningerne til § 10 b, nr. 2, i lov om Nemrefusion.
Det bemærkes, at den foreslåede bestemmelse skal af-
grænses i forhold til det erstatningsansvar, som påhviler en
tjenesteudbyder. Dette indebærer, at Digitaliseringsstyrelsen
ikke er erstatningssvarlig for manglende adgang til en selv-
betjeningsløsning, som skyldes driftsforstyrrelser i MitID-
løsningen. Her vil Digitaliseringsstyrelsen på anmodning
kunne bistå tjenesteudbyderen med nærmere oplysninger
om hændelsesforløb for eksempel varighed af nedetid. Det
bemærkes, at der er høje krav til MitID-løsningens tilgænge-
lighed, idet det er helt centralt for det digitale Danmark, at
løsningen er tilgængelig.
Til § 22
I gældende ret reguleres delegation af beføjelser i relation
til denne lov ikke.
Den foreslåede § 22, medfører at, finansministeren kan ef-
ter aftale med vedkommende minister bemyndige en anden
statslig myndighed til at udøve de beføjelser, der i denne lov
er tillagt Digitaliseringsstyrelsen.
Bestemmelsen fastslår, at finansministeren kan bemyndige
en anden statslig myndighed til at udøve de beføjelser, der i
denne lov er tillagt Digitaliseringsstyrelsen, efter aftale med
vedkommende minister.
Ved en fremtidig ressortomlægning vil finansministeren
således kunne delegere de kompetencer og opgaver, som Di-
gitaliseringsstyrelsen har i medfør af denne lov, til en anden
statslig myndighed efter aftale med en anden minister. Her-
ved sikres en effektiv og smidig opgavevaretagelse ved en
eventuel kommende ressortomlægning. Det er således mu-
ligt, at delegation kun vedrører dele af beføjelserne efter
denne lov, fx beføjelsen til at udpege en juridisk enhed i
medfør af den foreslåede § 5, stk. 1, til at forvalte løsninger-
ne omfattet af loven eller til at føre tilsyn, jf. den foreslåede
§ 18.
Med bestemmelsen følger også, at de kompetencer og
opgaver, som finansministeren i loven bemyndiges til at
varetage ved udstedelse af bekendtgørelser, herunder om
klageadgang, kan delegeres til anden myndighed efter aftale
mellem finansministeren og anden minister.
Til § 23
I gældende ret fremgår hjemlen til det nuværende part-
nerskab mellem Digitaliseringsstyrelsen og FR I, af tekstan-
mærkning nr. 120 ad 07.12.02 til § 7 på finansloven fra 2020
og er en videreførelse fra tidligere finansår.
Med den foreslåede § 23, kan Digitaliseringsstyrelsen
samarbejde med offentlige myndigheder, offentligretlige or-
ganer og juridiske enheder om at tilvejebringe fremtidige
elektroniske identifikationsordninger svarende til MitID-løs-
ningen eller andre løsninger, der måtte træde i stedet herfor.
Den foreslåede bestemmelse skaber hjemmel for Digita-
liseringsstyrelsen til at indgå et fremtidigt samarbejde om
tilvejebringelse af MitID-løsningen eller en anden elektro-
nisk identifikationsordning (eID-løsning), der måtte træde i
stedet herfor. Hjemlen indføres for at sikre kontinuitet og
mulighed for et fortsat fremtidigt samarbejde mellem den
offentlige og private sektor om udviklingen af den nationale
eID-løsning.
Et fremtidigt samarbejde i medfør af den foreslåede § 23
60
kan eksempelvis etableres som det nuværende partnerskab
om MitID-løsningen, som blev indgået med FR I af 16. sep-
tember 2015 A/S på baggrund af en udbudslignende proces,
som Digitaliseringsstyrelsen gennemførte i 2015/16. Det be-
mærkes, at bestemmelsen i den foreslåede § 23 ikke vedrø-
rer det nuværende partnerskab mellem Digitaliseringsstyrel-
sen og FR I.
Både MitID-løsningen og NemLog-in er tilvejebragt gen-
nem EU-udbud, som nærmere beskrevet i de almindelige
bemærkninger afsnit 2.1.2. og 2.2.2. Det er også hensigten,
at fremtidige løsninger vil skulle tilvejebringes gennem EU-
udbud.
Til § 24
I gældende ret reguleres NemID i lov om NemID. Med
idriftsættelsen af MitID-løsningen vil NemID-løsningen sta-
dig være i drift indtil migreringen til MitID-løsningen er
fuldstændig gennemført. I den periode vil der være behov
for begge regelsæt. Der findes dog på nuværende tidspunkt
ikke regler, som muliggør ophævelsen af NemID-løsningen,
når NemID-løsningen tages ud af drift.
Der findes ikke i gældende ret regler om ikrafttrædelsen af
regler om MitID-løsningen og NemLog-in.
Den foreslåede § 24, stk. 1, medfører, at finansministe-
ren fastsætter tidspunktet for lovens ikrafttræden, og kan
bestemme, at forskellige dele af loven træder i kraft på
forskellige tidspunkter.
Bestemmelsen indebærer, at ikrafttræden af loven følger
udviklingerne af løsningerne. Med den foreslåede bestem-
melse muliggøres det, at lovgrundlaget kan træde i kraft, så
snart løsningerne er klar til anvendelse og der sikres således
et retsgrundlag for anvendelsen af løsningerne.
Når ikrafttrædelsen sker ved nærmere fastsættelse i be-
kendtgørelse, sikre det, at eventuelle justeringer i tidsplaner-
ne for de to løsninger ikke skal medføre en lovændring.
Til § 25
I gældende ret reguleres NemID i lov om NemID. For
afgørelser om udstedelse og klage over NemID finder de
gældende regler i lovgrundlaget for denne løsning anvendel-
se indtil den fysiske person og medarbejderen i den juridiske
enhed får udstedt et MitID. Med idriftsættelsen af MitID-
løsningen vil NemID-løsningen stadig være i drift indtil mi-
greringen til MitID-løsningen er fuldstændig gennemført. I
den periode vil der være behov for begge regelsæt. Der
findes dog på nuværende tidspunkt ikke regler, som mulig-
gør ophævelsen af NemID-løsningen, når NemID-løsningen
tages ud af drift.
Den foreslåede § 25, stk. 1, medfører at finansministeren
kan fastsætte regler om ophævelse af lov nr. 439 af 8.
maj 2018, om udstedelse af NemID med offentlig digital
signatur til fysiske personer og til medarbejdere i juridiske
enheder.
Med den foreslåede bestemmelse har finansministeren
mulighed for at ophæve Lov om NemID, når dette bliver
nødvendigt. Tidspunktet for ophævelsen afhænger af, hvor-
når migreringen til MitID kan afsluttes. Efter endt migrering
vil alle privatpersoner og erhvervsbrugere kunne betjene
sig med MitID eller på anden vis, som erstatter behovet
for autentifikation med NemID. Derudover vil serviceområ-
det Digital signering i NemLog-in kunne anvendes som ny
signaturtjeneste, hvorfor behovet for den digital signatur i
NemID ophører. Det forventes, at migreringen er fuldført
i medio 2023, men datoen for fuld migreringen afhænger
af løsningernes fulde tilgængelighed og kan derfor ikke fast-
sættes allerede ved lovens fremsættelse. Når finansministe-
ren således har mulighed for at ophæve lov om NemID ved
ikrafttrædelse af regler herom, understøttes det, at migrerin-
gen kan finde sted og gennemføres fuldstændigt med begge
regelsæt. Herved sikres borgernes retsstilling gennem hele
migreringsperioden.
Med den foreslåede bestemmelse sikres det, at den drift
og forvaltning af NemID-løsningen som er nødvendig i
migreringsperioden forsat har lovhjemmel. Dette indebærer
bl.a., at der forsat vil være lovhjemmel til at få udstedt
NemID i migreringsperioden, ligesom de regler, som knytter
sig til forvaltningen af NemID, herunder om udstedelse og
spærring stadig kan påberåbes af borgere og medarbejdere
i virksomheder. Endelig sikres det, at der forsat kan indbrin-
ges klager over afgørelser om NemID til Digitaliseringssty-
relsen. Det forventes, at der i bekendtgørelsen om NemID
indføres overgangsregler, som har til formål at nedlukke
udstedelsen af NemID, således at borgere og medarbejdere i
stedet skal have udstedt MitID, såfremt MitID, som elektro-
nisk identifikation, kan erstatte de behov, som borgeren eller
medarbejderens havde ved anvendelsen af NemID.
Til § 26
I gældende ret reguleres NemID-løsning i lov om NemID,
hvor der er fastsat hjemmel til, at loven ved kongelig anord-
ning kan sættes helt eller delvist i kraft for Grønland med de
ændringer, som de grønlandske forhold tilsiger, jf. § 7. Med
hjemmel i § 7 i lov om NemID med offentlig digital signatur
til fysiske personer og til medarbejdere i juridiske enheder
er der således fastsat anordning nr. 1484 af 12. november
2018 om ikrafttræden for Grønland af lov om udstedelse af
NemID med offentlig digital signatur til fysiske personer og
til medarbejdere i juridiske enheder.
Der er ikke i NemID-løsningen mulighed for at sætte reg-
lerne om NemID i kraft for Færøerne. Dog har der været
udtrykt ønske fra Færøerne om, at en sådan hjemmel for
MitID-løsningen vil være aktuel.
Den foreslåede § 26, medfører, at loven ikke gælder for
Færøerne og Grønland, men kan ved kongelig anordning
helt eller delvis sættes i kraft for Færøerne og Grønland med
de ændringer, som henholdsvis de færøske og grønlandske
forhold tilsiger.
For Grønland er der tale om et sagsområde, der ikke er
overtaget. I gældende ret reguleres NemID-løsning i lov
om NemID, hvor der er fastsat hjemmel til, at loven ved
kongelig anordning kan sættes helt eller delvist i kraft for
Grønland med de ændringer, som de grønlandske forhold
61
tilsiger, jf. § 7. Med hjemmel i § 7 i lov om NemID med
offentlig digital signatur til fysiske personer og til medarbej-
dere i juridiske enheder er der således fastsat anordning nr.
1484 af 12. november 2018 om ikrafttræden for Grønland af
lov om udstedelse af NemID med offentlig digital signatur
til fysiske personer og til medarbejdere i juridiske enheder.
Det foreslås, at loven skal kunne sættes i kraft for Grøn-
land med henblik på at grønlandske kommuner skal kunne
udstede MitID til borgere på samme måde som de grønland-
ske kommuner i dag udsteder NemID. Loven vil helt eller
delvist kunne sættes i kraft for Grønland.
For Færøerne vedrører lovforslaget et sagsområde, som
er overtaget af de færøske myndigheder. Der er imidlertid
et ønske fra de færøske myndigheder om, at det skal være
muligt at udstede MitID.
Der er med virkning fra den 1. januar 2021 tilvejebragt
hjemmel til, at færinger ved henvendelse til Rigsombuds-
manden på Færøerne kan få tildelt et dansk administrativt
personnummer. Rigsombudsmanden kan endvidere udstede
NemID til borgere med dansk personnummer.
Med loven skabes der hjemmel til, at reglerne om MitID
kan sættes i kraft for Færøerne med henblik på, at Rigsom-
budsmanden på Færøerne kan udstede MitID til borgere
med dansk personnummer, når NemID udfases på Færøerne
og erstattes af MitID.
Loven vil helt eller delvist kunne sættes i kraft for Færøer-
ne.
62