Høringsnotat og høringssvar, fra finansministeren

Høringsnotat om Forslag til lov om MitID og
NemLog-in
12. oktober 2020
KDR/BJBRS
1. Indledning
Et udkast til forslag til lov om MitID og NemLog-in har i perioden fra den 27. au-
gust 2020 til den 17. september 2020 været i ekstern høring hos relevante myndig-
heder og organisationer. Udkastet blev også offentliggjort på Høringsportalen.
Der er modtaget høringssvar fra 28 af de hørte myndigheder og organisationer. 19
høringssvar indeholder bemærkninger til lovudkastet. En oversigt over, hvilke af de
hørte myndigheder, borger og organisationer, der har afgivet høringssvar, er ved-
lagt.
Det er alene de væsentligste bemærkninger fra høringssvarene, der er medtaget i
dette notat.
2. Sammenfatning af ændringer i lovforslaget i forhold til
høringsudkastet
De indkomne høringssvar har givet anledning til følgende bemærkninger i lovudka-
stet, som uddybes i det følgende:
 I § 2 er tilføjet nr. 17, som definerer begrebet ”broker”.
 I § 5, stk. 2, og de tilhørende bemærkninger er kommunale borgerservicecentre
rettet til kommunalbestyrelsen.
 I de specielle bemærkninger til § 8, stk. 3, (serviceområdet Digital signering) er
det tilføjet, at Digitaliseringsstyrelsen selvstændigt varetager rollen som certifi-
ceringscenter.
 I § 9 er der tilføjet stk. 3 og stk. 4 om anvendelse af MitID i en erhvervsmæssig
sammenhæng og det dobbelte frivillighedsprincip.
 I afsnit 7.3.1. om databeskyttelse i de almindelige bemærkninger fremgår der
ikke længere et påvisningskrav.
 I § 13 om dataansvar og behandling af personoplysninger og i bemærkningerne
til bestemmelsen er der foretaget præciseringer.
 I § 14 er der indsat en henvisning til databeskyttelsesforordningens art. 9, stk. 2,
litra g og præciseringen er uddybet i bemærkningerne til bestemmelsen.
 § 18 om tilsyn er rettet til i forhold til NemLog-in, således at bestemmelsen og
bemærkningerne er mere præcise i forhold til tilsynsopgaven for denne løsning.
Social- og Indenrigsudvalget 2020-21
L 159 Bilag 1
Offentligt
Side 2 af 24
 § 19 om tavshedspligt og bemærkningerne hertil er ændret således at retssubjek-
tet for tavshedspligten er tilpasset de faktiske forhold.
 Bemærkningerne til § 20 om forvaltningsloven er blevet præciseret yderligere.
 Bemærkningerne til § 21 om erstatningsansvar er blevet præciseret.
 § 25 og bemærkningerne hertil er blevet ændret således, at loven helt eller del-
vist vil kunne sættes i kraft i Færøerne.
3. Bemærkninger til lovudkastet
Indledningsvist skal det nævnes, at overordnet er høringssvarene positive over lov-
forslaget. Digitaliseringsstyrelsen har noteret sig den positive modtagelse af lov-
forslaget. Nedenfor fremgår de enkelte høringssvar med Digitaliseringsstyrelsens
bemærkninger dertil.
3.1. Ældre sagen
Ældre Sagen bemærker, at det er vigtigt at myndighederne samtidig med selve im-
plementeringen af denne nye digitale løsning også husker, at alle borgere skal
vænne sig til de nye muligheder og løsninger, samt at nogle borgere, herunder ikke
mindst en betydelig gruppe af ældre, ikke kan bruge de digitale løsninger. Der er så-
ledes brug for både alternative løsninger for de ikke-digitale og understøttelse af al-
lerede digitale i anvendelsen af de nye løsninger.
Ældre Sagen bemærker endvidere, at det er vigtigt at være opmærksom på, at der
fortsat vil være ældre (og andre) borgere, der har behov for personlig betjening og
vejledning, både fysisk og telefonisk. Ved overgangen til den nye løsning går Ældre
Sagen ud fra, at der udarbejdes en løsning, hvorved de personer, der allerede er
undtaget eller partsrepræsenteret i det eksisterende NemID, fortsætter uændret
uden at skulle foretage sig yderligere handlinger. Ældre Sagen opfordrer samtidig
til, at den nye løsning understøtter simple og overskuelige løsninger og fremgangs-
måder for så vidt angår partspræsentation og fuldmagtsmuligheder (og tilbagekal-
delse heraf) samt fritagelse fra den digitale løsning.
Med henblik på at sikre den bedst mulige overgang fra NemID til MitID vil Ældre
Sagen afslutningsvis opfordre til, at myndighederne, herunder kommunerne, udvik-
ler fx læringsmaterialer og demoer, der kan benyttes lokalt, herunder af de frivillige.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen er meget opmærksom på, at den nye infrastruktur kræver
tilvænning. Derfor rejser Digitaliseringsstyrelsen rundt i landet allerede nu for at in-
troducere de kommende løsninger. Herunder besøges alle Ældre Sagens distrikter.
Endvidere udarbejdes vejledningsmateriale særligt målrettet it-udfordrede borgere.
For borgere, der ikke er digitale, sker der ikke ændringer. Der vil fremadrettet
gælde de samme fritagelsesmuligheder som i dag.
Side 3 af 24
Der vil fortsat være den samme support af borgerne, som der er i dag. Endvidere
opbygges en supportfunktion i Erhvervsstyrelsen, der på mail og telefon kan
hjælpe borgerne med spørgsmål om de nye løsninger. Supporten vil have åbent alle
ugens 7 dage.
Digitaliseringsstyrelsen vurderer, at lovforslaget indeholder muligheder for, at myn-
dighederne kan fortsætte med at stille alternative løsninger til rådighed for ikke-di-
gitale borgere. Styrelsen vil i samarbejde med blandt andet kommunerne under-
støtte borgere i brugen af de nye løsninger, herunder gennem personlig betjening
og vejledning.
De nye løsninger ændrer ikke på reglerne om undtagelse, fritagelse eller partsrepræ-
sentation. Det er Digitaliseringsstyrelsens ambition, at de nye løsninger skal under-
støtte disse områder på en simpel og overskuelig måde.
3.2. Danske Handicaporganisationer (DH)
3.2.1. De ikke-digitale borgere
DH bemærker, at ved etablering af alle nye digitale løsninger, som denne, er det af-
gørende for DH, at der tages et særligt hensyn til vejledningsforpligtelsen, som
fremgår af forvaltningsloven – en forpligtelse, som er en grundlæggende forudsæt-
ning for borgernes retssikkerhed.
DH bemærker endvidere, at vejledningen skal være meget tydelig i forhold til kla-
geadgang. Ud over den kommunale vejledning bør systemerne være bygget op, så
man under brug af dem hele tiden oplyses tydeligt om, hvor og hvordan man får
adgang til vejledning.
DH bemærker også, at en stor gruppe borgere er fritaget for anvendelse af digitale
løsninger. Denne gruppe står udenfor og har som udgangspunkt ikke den samme
adgang til deres data, og som følge heraf har gruppen et særligt behov for, at der er
veldefinerede og tydelige veje til at få adgang til disse data.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen vurderer, at lovforslaget indeholder muligheder for at sty-
relsen kan forsætte med at stille alternative løsninger til rådighed for ikke-digitale
borgere, ligesom styrelsen i samarbejde med bl.a. kommunerne vil kunne under-
støtte borgere i brugen af de nye løsninger, herunder personlig betjening og vejled-
ning.
De nye løsninger ændrer ikke på reglerne om undtagelse, fritagelse eller partsrepræ-
sentation. Det er Digitaliseringsstyrelsens ambition, at de nye løsninger skal under-
støtte disse områder på en simpel og overskuelig måde.
Side 4 af 24
3.2.2. Hjemmel til bekendtgørelser og forhold til anden lovgivning
DH bemærker, at deres standpunkt grundlæggende er, at de digitale systemer skal
tilpasses borgernes juridiske og lovmæssige rettigheder og ikke omvendt. I forhold
til disse rettigheder, så fremgår af lovforslagets § 4 stk. 2, at finansministeren får
hjemmel til at fastsætte borgernes rettigheder i en bekendtgørelse.
DH mener, det er afgørende for tilliden til digitaliseringsprocessen, at lovgivning
på området indeholder meget klare og tydelige referencer til de overordnede lov-
givningsmæssige rammer, som de skal operere indenfor – fx persondataforordning,
forvaltningslov, retssikkerhedslov mv. Det kan gøres ved at nævne rettighederne på
lovniveau og ikke kun bekendtgørelsesniveau, og det vil tydeliggøre, at de rettighe-
der, som løbende kan fastsættes i en bekendtgørelse, altid er i overensstemmelse
med de overordnede juridiske rammer.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen vurderer, at de bemyndigelseshjemler, der er i lovforslaget,
er nødvendige af hensyn til, at lovforslagets omfang bliver af passende størrelse.
De bekendtgørelser som forventes udstedt i henhold til loven skal detailregulere på
områder som egner sig hertil, idet fx retningslinjer for udstedelse løbende skal
kunne tilpasses det aktuelle trusselsbillede.
Med hensyn til borgerens rettigheder i de nye løsninger, så overholder lovforslaget
relevant lovgivning i forhold til behandling af data m.v. Det er styrelsens vurdering,
at det ikke bør fremgå at lovforslaget, hvilken grundlæggende lovgivning og prin-
cipper der overholdes.
3.2.3. Tilgængelighed
DH bemærker, at mennesker med handicap kan have mange barrierer i forhold til
at anvende digitale løsninger. Det kan være både fysiske, kognitive eller andre sam-
mensatte udfordringer. Ud fra et lighedsprincip skal alle borgere have adgang til
løsningerne. Det skal derfor meget tydeligt fremgå, at alle løsninger og operatører
tilknyttet NemID-løsninger, skal anvende godkendte standarder for tilgængelighed,
ligesom systemerne skal være forberedt for fremtidig videreudvikling af standarder
mv.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen har ressortansvaret for lov om webtilgængelighed. Det er
styrelsens klare udgangspunkt, at alle løsninger, der udvikles og stilles til rådighed
af styrelsen, herunder MitID og NemLog-in, skal leve op til lovens krav om webtil-
gængelighed og hertil hørende standarder. Det er således lovreguleret i forvejen og
kræver ikke yderligere regulering i denne lov.
3.2.4. Repræsentationsmodel
DH bemærker, at en stor gruppe borgere med funktionsnedsættelser har udfor-
dringer med at anvende de digitale løsninger uden hjælp. Det fremgår af § 8 stk.2,
at der er mulighed for at lade sig repræsentere af andre. Omkring repræsentation,
Side 5 af 24
så er det afgørende, at det kan ske nemt og smidigt, men med maksimal sikkerhed.
For nogen kan det være gennem en digital proces, hvor man giver tilladelsen til, at
en specifik person kan repræsentere borgeren, men for andre, som har behov for
hjælp / støtte til at udføre handlingen, skal der være alternative muligheder for at
give fuldmagt – for eksempel gennem fremmøde i borgerservice eller lignende.
Uanset, om tilladelsen til repræsentation gives digitalt eller analogt, så skal det være
meget tydeligt, at det sker i overensstemmelse med de forvaltningsretlige regler for
repræsentation, og det skal præciseres, hvordan en sådan tilladelse hurtigt kan tilba-
gekaldes.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen skal bemærke, at lovforslagets § 8, stk. 2, nr. 2 regulerer ser-
viceområdet Digital Repræsentation, som er selve den digitale løsning som vil
kunne understøtte bl.a. repræsentationsforhold. De materielle regler om repræsen-
tation hører hjemme i anden lovgivning.
Det er Digitaliseringsstyrelsens klare målsætning, at udvikle en enkel og brugerven-
lig løsning. Styrelsen vil i det arbejde også være opmærksom på, hvilke alternativer
der skal gælde for de borgere, der ikke kan bruge den givne løsning.
3.2.5. Biometriske data
DH bemærker, at det af bemærkningernes afsnit 7.3.1.1. fremgår, at der ikke på nu-
værende tidspunkt vil ske indsamling af biometriske data i MitID-løsningen, men at
det kan blive relevant på et senere tidspunkt for eksempel at indsamle tastemøn-
stre, når personen anvender MitID med henblik på at kunne afvise forsøg på mis-
brug.
DH’s bekymring går specifikt på tastemønstre ved indtastning af adgangskode. En
del blinde og svagsynede og andre handicapgrupper er ikke altid særlig fortrolige
med et tastatur eller touch indtastning på en smarttelefon- eller tabletskærm, hvor-
for der ikke altid vil kunne opnås en ensartethed i måden, hvorpå login og autenti-
fikation af den enkelte bruger forekommer. Det betyder, at skulle man på et tids-
punkt indføre anvendelse af biometriske data, skal man sikre sig fra myndigheder-
nes side, at man har alternative måder at verificere, at en bruger af systemet er den
rigtige person. Man skal således kunne lægge andre data til grund i risikovurderin-
gen end blot de biometriske data.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen vil tage DH’s bekymring i betragtning, i fald man fremad-
rettet vil indføre anvendelse af biometriske data.
3.3. Institut for Menneskerettigheder
3.3.1. Tilgængelighed
Institut for Menneskerettigheder bemærker, at udkastet til lovforslag ikke forholder
sig nærmere til tilgængelighed for mennesker med handicap. Det fremgår således
Side 6 af 24
ikke, om og i givet fald hvilke tilgængelighedsstander, der finder anvendelse på de
to digitale infrastrukturløsninger, MitID og NemLog-in. Ligeledes fremgår det ikke,
hvordan sådanne tilgængelighedsstandarder forventes håndhævet i praksis.
Institut for Menneskerettigheder anbefaler, at Digitaliseringsstyrelsen i bemærknin-
gerne tydeliggør, hvordan det sikres, at MitID og NemLog-in bliver tilgængelige for
mennesker med handicap, herunder ved fastsættelse af klare tilgængelighedsstan-
darder og et effektivt håndhævelsessystem.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen har ressortansvaret for lov om webtilgængelighed. Det er
styrelsens klare udgangspunkt, at alle løsninger, der udvikles og stilles til rådighed
af styrelsen, herunder MitID og NemLog-in, skal leve op til lovens krav om webtil-
gængelighed og hertil hørende standarder. Det er således lovreguleret i forvejen og
kræver ikke yderligere regulering i denne lov.
3.3.2. Databeskyttelse
Institut for Menneskerettigheder bemærker, at når der med udkastet lægges op til
en ny rammelovgivning, som vil indebære indsamling af mange personoplysninger
om størstedelen af befolkningen, anser instituttet det for væsentligt, at overholdelse
af persondataretlige principper, herunder navnlig princippet om ansvarlighed, be-
handles udførligt i bemærkningerne til den tiltænkte nye lov. Institut for Menneske-
rettigheder anbefaler, at Digitaliseringsbestyrelsen i bemærkningerne redegør for
overholdelsen af principperne i databeskyttelsesforordningens artikel 5, stk. 1 og 2.
Institut for Menneskerettigheder bemærker også, at den omfattende behandling af
personoplysninger indebærer, at der skal stilles særdeles høje krav til behandlings-
sikkerheden. Institut for Menneskerettigheder anbefaler, at det tilføjes i bemærk-
ningerne, om gældende løsninger for at sikre fornøden behandlingssikkerhed vil
blive videreført i den nye ordning, eller om der vil være behov for at udvikle og an-
vende nye teknologiske løsninger, samt i givet fald, hvilke.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen henviser til styrelsen bemærkninger til Datatilsynets be-
mærkninger i afsnit 3.15.
3.3.3. Personer under værgemål
Institut for Menneskerettigheder bemærker, at det bør sikres, at en værge fuldt ud
kan varetage personen under værgemåls anliggender og interesser i overensstem-
melse med værgemålet. Samtidig er det væsentligt, at en given løsning fremmer
støttet beslutningstagning og sikrer, at personer under værgemål ikke i unødvendig
grad bliver frataget muligheden for at træffe beslutninger og handle på egne vegne.
En løsning bør ligeledes sikre effektive beskyttelsesmekanismer, der forebygger og
beskytter mod misbrug.
Side 7 af 24
Institut for Menneskerettigheder anbefaler, at Digitaliseringsstyrelsen i bemærknin-
gerne uddyber, hvilke muligheder værger har for at repræsentere personer under
værgemål over for juridiske enheder, herunder i tilfælde, hvor det ikke er muligt for
personen under værgemål at afgive fuldmagt.
Institut for Menneskerettigheder anbefaler, at Digitaliseringsstyrelsen i det videre
arbejde med implementeringen af lovforslaget tilvejebringer en enkel og centralise-
ret løsning for at sikre, at personer under værgemål kan få den rette støtte til at an-
vende digitale selvbetjeningsløsninger.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen skal bemærke, at lovforslagets § 8, stk. 2, nr. 2, regulerer Di-
gital Repræsentation, som er selve den digitale løsning, som vil kunne understøtte
bl.a. repræsentationsforhold. Løsningen vil som udgangspunkt fungere på samme
måde, som den forrige løsning har fungeret. Det er Digitaliseringsstyrelsens klare
målsætning at udvikle en enkel og brugervenlig løsning.
3.4. Kommunernes Landsforening (KL)
KL bemærker, at kommunerne bliver pålagt en række administrative opgaver med
lovforslaget, og derfor ønsker at blive inddraget i den nærmere udmøntning af
disse i forbindelse med ministeriets udarbejdelse af bekendtgørelser herom. Som en
del af implementeringsarbejdet bliver det afgørende, at der udarbejdes helt praksis-
nært materiale til kommunerne. KL vurderer også, at det er nødvendigt med en
overgangsperiode fra NemID til MitID på minimum 6 måneder. Der bliver også
brug for at sikre, at alle systemer, som kan tilgås for borgere med MitID også får
forholdt sig til den ændrede aldersgrænse, idet 13-15-årige bliver nye brugere.
KL bemærker om NemLog-in, at det med lovforslaget gøres obligatorisk for kom-
munerne at bruge NemLog-in på serviceområder for login og autentifikation samt
digital repræsentation, og at der kan udstedes påbud til kommunerne om indarbej-
delse af serviceområderne. Dette kan medføre betydelige behov for systemtilretnin-
ger i kommunerne.
KL ser frem til at lovforslaget sendes i økonomisk høring, så øgede kommunaløko-
nomiske- og administrative byrder kan afdækkes.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen tager KL’s bemærkninger om de øgede økonomiske- og ad-
ministrative konsekvenser som følge af lovforslaget til efterretning og vil tage lov-
forslagets økonomiske konsekvenser op til bilateral drøftelse med KL.
Digitaliseringsstyrelsen er enig med KL i, at der som led i implementeringen af de
nye it-løsninger og krav bør udarbejdes vejledningsmateriale til sagsbehandlerne, og
at det vil være hensigtsmæssigt at sikre, at der er opmærksomhed på nye brugere,
der skal kunne benytte MitID i selvbetjeningsløsninger. KL vil blive inddraget ved
Side 8 af 24
den nærmere udmøntning af de nye lovkrav etc. Organiseringen omkring gennem-
førelse af MitID og NemLog-in-projekterne indeholder formaliserede samarbejds-
fora, af både ledelsesmæssig og faglig karakter. Det videre arbejde, herunder arbej-
det med bekendtgørelserne, gennemføres i regi af dette samarbejde.
Digitaliseringsstyrelsen bemærker til KL’s ønske om overgangsperiode, at det i lov-
forslaget er forudsat, at der er en omstillingsperioden fra de eksisterende infrastruk-
turløsninger, NemID og nuværende NemLog-in, til de nye, MitID og det nye
NemLog-in, hvor de alle understøttes samtidig. Det er ved lovforslagets fremsæt-
telse ikke endeligt besluttet, hvornår de ældre infrastrukturløsninger udfases. Ud-
fasningen er blandt andet afhængig af, hvor hurtigt privatpersoner og virksomhe-
der overgår fra de gamle løsninger til de nye løsninger.
3.5. Danske Regioner (DR)
DR støtter overordnet op om lovforslaget, da det bl.a. understøtter en høj identi-
tetssikring og sikring af alle typer af personoplysninger. DR er dog bekymrede for,
at lovforslaget vil skabe mere social ulighed, hvis der opkræves gebyrer hos privat-
personer for registrering og udstedelse af MitID, og derfor ønsker DR det præcise-
res i lovforslaget, at det skal være muligt at anvende MitID uden omkostninger, og
at evt. gebyr kun kan opkræves for ydelser, som ligger ud over den grundlæggende
funktionalitet.
DR vurderer, at de tekniske omstillinger til de kommende løsninger er væsentlig
højere end de i lovforslaget estimerede omkostninger. DR vurderer også, at der kan
ligge betydelige omkostninger for myndighederne, hvis Digitaliseringsstyrelsen an-
vender hjemlen til at meddele påbud om opfyldelse af forpligtelser til log-in og au-
tentifikation.
Endelig bemærker DR, at:
 det bør fremgår af lovforslaget, hvorvidt lokalt udstedte erhvervs-eID´ere skal
spærres, hvis de er aktiveret med et MitID, der er blevet spærret.
 det bør klart og tydeligt fremgå af lovteksten, i hvilke henseender en borger kan
forvente at blive notificeret via egen private e-mail postkasse og via den Digital
Post.
Digitaliseringsstyrelsens bemærkninger
Det noteres, at DR overordnet støtter op om lovforslaget. Digitaliseringsstyrelsen
tager DR’s bemærkninger om de øgede økonomiske- og administrative konsekven-
ser som følge af lovforslaget til efterretning og vil tage lovforslagets økonomiske
konsekvenser op til bilateral drøftelse med DR.
Digitaliseringsstyrelsen vurderer ikke, at lovforslaget vil medføre øget social ulighed
som følge af gebyropkrævning for registrering og udstedelse af MitID til privatper-
soner, da det fra idriftsættelse af MitID-løsningen er hensigten, at en privatperson
gebyrfrit kan få op til tre elektroniske identifikationsmidler, og at MitID-app’en kan
anvendes som elektronisk identifikationsmiddel uden brugerbetaling.
Side 9 af 24
Det bemærkes til DR’s forslag om en præcisering af lovforslagets bemærkninger
om spærring af lokalt udstedte erhvervs-eID’er, at de nærmere regler herom vil
blive udmøntet ved udstedelse af bekendtgørelser, hvor bl.a. DR vil blive inddraget
i forbindelse med den offentlige høring mv.
Det bemærkes endelig til DR’s forslag om præcisering af lovbemærkninger om no-
tifikationer, at lovforslaget ikke regulerer dette, da det er reguleret af reglerne om
behandling af personoplysninger, jf. lovforslagets afsnit 7.3.1.1., hvor der fx kan
indgås aftale herom ved oprettelse og udstedelse af MitID, og i lov om Digital Post
fra offentlige afsendere, hvor en persons postkasse i Digital Post ligeledes kan blive
anvendt til visse typer af notifikationer. Digitaliseringsstyrelsen vurderer på den
baggrund ikke, at der er hensigtsmæssigt at ændre lovforslagets bemærkninger
herom. Der henvises til lovforslagets afsnit 7.3.1.1.
Digitaliseringsstyrelsen bemærker, at organiseringen omkring gennemførelse af Mi-
tID og NemLog-in-projekterne indeholder formaliserede samarbejdsfora, af både
ledelsesmæssig og faglig karakter. Det videre arbejde, herunder arbejdet med be-
kendtgørelserne, gennemføres i regi af dette samarbejde.
3.6. Finans Danmark
3.6.1. Ad §§ 1, 2 og 4
Finans Danmark bemærker, at det fremgår af bemærkningerne til § 1 (side 47), at
”Privatpersoner kan anvende deres MitID (digital identitet og et eller flere elektro-
niske identifikationsmidler) i digitale selvbetjeningsløsninger, som kræver autentifi-
kation af digitale identiteter”. Finans Danmark foreslår, at det præciseres, at der er
tale om offentlige og private selvbetjeningsløsninger. Finans Danmark foreslår, at
der i lovforslagets § 2 tilføjes en definition af en broker.
Af bemærkninger til lovforslagets § 4, stk. 2 (side 61), fremgår at, ”Det bemærkes,
at spærring alene betragtes som en forvaltningsretlig afgørelse, hvis spærringen fo-
retages af Digitaliseringsstyrelsen eller af de offentlige myndigheder, offentligretlige
organer eller juridiske enheder, som i medfør af den foreslåede § 5, stk. 1, er udpe-
get til på vegne af Digitaliseringsstyrelsen at varetage opgaver med blandt andet
forvaltningen af MitID samt opgaver i medfør af § 4, stk. 1.”
Det fremgår ikke klart af bemærkningerne, om der er andre aktører, der ville kunne
fortage en spærring, som i givet fald ikke ville blive betragtet som en forvaltnings-
retlig afgørelse, eller om der alene er tale om det tilfælde, at brugeren selv spærrer
sit MitID. I givet fald foreslår Finans Danmark, at det præciseres, at der ikke er tale
om en forvaltningsretlig afgørelse, når brugeren selv foretager spærringen.
Digitaliseringsstyrelsens bemærkninger
Side 10 af 24
Det vil blive præciseret i bemærkningerne til § 1, at der er tale om offentlige og pri-
vate selvbetjeningsløsninger. Ligeledes vil der i § 2 blive indsat en definition af be-
grebet ”broker”.
Det er de i loven nævnte aktører som kan spærre et MitID. Digitaliseringsstyrelsen
skal påpege, at der ikke er tale om en forvaltningsretlig afgørelse, såfremt en bruger
selv spærrer sit MitID eller en brugerorganisation spærrer egne erhvervsidentiteter.
3.6.2. Forholdet til forvaltningsloven
Det fremgår af lovforslagets § 20, stk. 1, at ”Forvaltningsloven finder anvendelse
på afgørelser om udstedelse, spærring og genåbning af MitID, jf. § 4, stk. 2, som
træffes af juridiske enheder, der er udpeget i medfør af § 5, stk. 1.”
Forvaltningsloven finder hovedsageligt anvendelse for den offentlige forvaltning,
som derfor har et indgående kendskab til lovens formål og principper samt erfaring
med partshøring, klagevejledning og udarbejdelse af afgørelser i overensstemmelse
med lovens regler.
Samme kendskab må ikke forventes at være til stede hos de juridiske enheder, der
kan blive udpeget til at varetage opgaver i henhold til forslagets § 5, stk. 1, herun-
der som registreringsenhed. Det er derfor afgørende for privatpersoners retsstilling,
at der udarbejdes vejledninger og standardskrivelser samt sikres uddannelse af rele-
vante medarbejdere for at understøtte de juridiske enheder, der som følge af forsla-
gets § 20, stk. 1, skal leve op til forvaltningslovens regler. Der skal samtidig sikres
en løbende vedligeholdelse af materialet. Det er Finans Danmarks ønske, at denne
understøttelse af de juridiske enheder kommer til at fremgå klart af bemærknin-
gerne til lovforslagets § 20.
Af bemærkningerne til forslagets § 20 (side 90) fremgår, at ”Det medfører blandt
andet, at afgørelser om udstedelse, spærring og genåbning af MitID, som opfylder
afgørelsesbegrebet efter forvaltningslovens § 19, skal ledsages af en begrundelse og
en klagevejledning, at reglerne om partshøring skal iagttages, og at borgere og er-
hvervsbrugere skal vejledes tilstrækkeligt om deres rettigheder mv. En afgørelse om
at spærre et MitID træffes for at sikre mod misbrug. Spærring kan derfor foretages
uden forudgående kontakt til den fysiske person eller erhvervsbrugeren.”
Forvaltningslovens § 19 omhandler partshøring, og det er Finans Danmarks opfat-
telse, at der i stedet bør henvises til forvaltningslovens kapitel 6 (§§ 22-24), der om-
handler afgørelser og begrundelser.
Det er samtidig Finans Danmarks antagelse, at en ansøgning om MitID, der imø-
dekommes, ikke skal være ledsaget af en begrundelse, da der så er tale om en afgø-
relse, der fuldt ud giver den pågældende part medhold, jf. forvaltningslovens § 22.
Dette bør i givet fald præciseres i bemærkningerne.
Af det citerede afsnit fremgår samtidig, at der kan ske spærring af MitID uden for-
udgående kontakt til den fysiske person eller erhvervsbrugeren. Finans Danmark
Side 11 af 24
mener, at det bør uddybes i bemærkningerne, at den efter forvaltningsloven påkræ-
vede partshøring og klagevejledning dermed først kan finde sted efter, at der er
truffet en afgørelse om spærring, og ikke før/i forbindelse med afgørelsen, som det
ellers kræves.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen er enig med Finans Danmark i, at styrelsen har en forplig-
telse til at klæde de juridiske enheder på til at følge forvaltningslovens regler, her-
under i form af udarbejdelse og vedligeholdelse af materiale herom.
Digitaliseringsstyrelsen vil i øvrigt i bemærkningerne til lovforslagets § 20 ændre
henvisningen til forvaltningsloven, så den rettelig henviser til kapitel 6 og ikke § 19.
Digitaliseringsstyrelsen mener ikke, at det bør fremgå af lovens bemærkninger, at
en begunstigende forvaltningsakt, jf. forvaltningslovens § 22, medfører at afgørel-
sen ikke skal begrundes. Derimod vil styrelsen tilføje til bemærkningerne, at parts-
høring og klagevejledning vil finde sted efter spærring, i fald dette er sket uden for-
udgående kontakt.
3.7. Social- og indenrigsministeriet
Social- og indenrigsministeriet påpeger, at ”kommunale borgerservicecentre” i lov-
forslagets § 5, stk. 2, efter ministeriets opfattelse skal ændres til ”Kommunalbesty-
relsen”.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen har noteret sig, at anførelsen af “kommunalbestyrelsen” ret-
teligt bør ændres til “kommunale borgerservicecentre” som foreslået af Social- og
Indenrigsministeriet.
Bemærkningerne giver anledning til ændringer i lovforslagets § 5, stk. 2, samt i be-
mærkningerne hertil.
3.8. Sundheds- og Ældreministeriet, Sundhedsdatastyrelsen
Sundheds- og Ældreministeriet anfører, at det er uklart, hvad der helt præcist me-
nes med “selvbetjeningsløsninger” i § 5, stk. 1.
Sundheds- og Ældreministeriet har påpeget, at der ved udformningen af bekendt-
gørelser bør tages stilling til, hvorvidt Digitaliseringsstyrelsen fører tilsyn med sig
selv.
Sundheds- og Ældreministeriet spørger i høringssvaret, om det med de nye MitID-
løsning og NemLog-in ikke længere er muligt at indgå aftaler om frikøb af områ-
der.
Side 12 af 24
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at “selvbetjeningsløsninger” som anført i bl.a. §
5, stk. 1 skal forstås i overensstemmelse med definitionen af “Digitale selvbetje-
ningsløsninger”, jf. § 2 nr. 12 og de tilhørende bemærkninger hertil. Digitaliserings-
styrelsen skal i den sammenhæng påpege, at definitionen i bestemmelsens nr. 12 er
bredt formuleret derved; at en digital selvbetjeningsløsning defineres som et it-sy-
stem, som kan tilgås af privatpersoner eller erhvervsbrugere med digitale identiteter
efter at være blevet autentificeret. En digital selvbetjeningsløsning udstiller digitale
services, som kan tilgås af privatpersoner eller erhvervsbrugere. Digitaliseringssty-
relsen skal yderligere bemærke, at en offentlig myndighed eller et offentligretlig or-
gan alene skal anvende serviceområdet Login og autentifikation samt MitID-løs-
ningen, hvis der er behov for sikker autentifikation, som defineret i § 2, nr. 5. Dette
indebærer, at hvis fx en offentlig myndighed har en digital selvbetjeningsløsning,
hvor der ikke kræves sikker autentifikation, da kan myndigheden vælge andre au-
tentifikationsløsninger, som adgang til deres digitale selvbetjeningsløsninger.
Digitaliseringsstyrelsen skal bemærke, at ved det kommende arbejde med udarbej-
delse af bekendtgørelser vil styrelsen tage nærmere stilling til at få fastlagt ram-
merne for tilsynet. Sundheds- og Ældreministeriets betragtninger vil naturligvis
indgå i disse overvejelser.
Digitaliseringsstyrelsen bemærker, at betalingsmodellen for de kommende løsnin-
ger adskiller sig fra NemID. Termen ”frikøb” giver derfor ikke umiddelbart samme
mening i fremtiden.
Digitaliseringsstyrelsen påpeger endvidere, at det ikke vil være muligt at indgå afta-
ler om frikøb af områder, såfremt en offentlig myndighed eller et offentligretlig or-
gan har pligt til at anskaffe sig løsningerne fra Digitaliseringsstyrelsen, idet dette vil
være omfattet af central finansiering, men at der dog stadig er mulighed for indkøb,
hvor myndighederne ikke er omfattet af anskaffelsespligten, i de øvrige tilfælde.
Det bemærkes at § 15 om betaling for anvendelse af løsningerne, vil regulere prisen
for et evt. indkøb.
3.9. Forsvarsministeriet
Forsvarsministeriet har i høringssvaret efterspurgt en definition af begreberne
”broker” og ”risikodata”.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen har på baggrund af høringssvaret besluttet at indarbejde en
definition af begrebet ”broker” i lovforslagets § 2. I forhold til begrebet ”risiko-
data” henvises til beskrivelsen af dette i de almindelige bemærkninger og i bemærk-
ningerne til § 13.
3.10. Børne- og undervisningsministeriet, Styrelsen for it og læring
Side 13 af 24
Styrelsen for it og læring har anført at de med loven anser betalingspligten for af-
løftet for offentlige myndigheder og offentligretlige organer. Styrelsen for it og læ-
ring har videre anført, at tilkoblingen af UniLogin som broker til NemLog-in opfyl-
der kravet om anvendelse af NemLog-in og MitID, for så vidt angår offentlige
myndigheder og offentligretlige organer på Børne- og Undervisningsministeriets
område.
Digitaliseringsstyrelsens bemærkninger
Indledningsvis skal Digitaliseringsstyrelsen understrege, at loven ikke omhandler
afløftning af betalingspligt, men afløftning af udbudspligt. Ligeledes skal Digitalise-
ringsstyrelsen bemærke, at betalingsstrukturen for anvendelse og tilrådighedsstil-
lelse af løsningerne skal iagttages særskilt, jf. § 16.
Digitaliseringsstyrelsen skal understrege, at forpligtelsen til at tilrådighedsstille ud-
valgte serviceområder i NemLog-in, jf. lovforslagets § 11, ikke udelukker at en of-
fentlig myndighed eller et offentligretligt organ kan vælge at tilkoble sig NemLog-in
som broker. Det vil derfor være muligt at indgå i en brokerstruktur og derved fore-
tage en tilkobling til NemLog-in, såfremt gældende regler og standarder for fødera-
tionen opfyldes, således at tjenesteudbydere kan tilsluttes den føderede broker.
Dette vil ikke ændre betalingspligten.
Det bemærkes, at der i loven er en klar sondring mellem rollen som brugerorgani-
sation og tjenesteudbyderollen. Der henvises til definitionerne i §§ 2, nr. 15 (for tje-
nesteudbydere) og 16 (for brugerorganisationer). Offentlige myndigheder og of-
fentligretlige organer kan vælge at blive brugerorganisation i serviceområdet Er-
hvervsadministration i NemLog-in, mens de skal tilrådighedsstille serviceområdet
Login og autentifikation i NemLog-in som tjenesteudbydere, når de med en digital
selvbetjeningsløsning udfører en myndighedsopgave, hvortil der kræves sikker au-
tentifikation.
3.11. Dansk Industri (DI)
DI har anført, at de forventer, at der er afsat tilstrækkeligt med ressourcer til sup-
port til virksomhedernes ibrugtagning og anvendelse af de nye løsninger.
Derudover foreslår DI, at der nedsættes et advisory board til at sikre bredere ud-
viklingsfokus for lovens formål i et formelt bredt samarbejde med brancheforenin-
gerne.
DI har om behandling af persondata fremhævet, at det specifikt bør fremgå af lov-
forslaget, at behandlingen af risikodata skal ske inden for rammerne af Databeskyt-
telsesforordningen igennem hele brugerrejsen på tværs af både den offentlige sek-
tor og den private sektor. DI har endvidere anført, at principperne i Databeskyttel-
sesforordningen bør være bestemmende frem for referencer til Databeskyttelseslo-
vens mindre privatlivsbeskyttende hjemler, når der er tale om behandling af per-
Side 14 af 24
sondata på tværs af den offentlige sektor og den private sektor. DI foreslår i for-
længelse heraf, at Databeskyttelsesforordningens regler følges eller at der alternativt
indhentes en ny lovhjemmel.
DI vurderer, at omstillingsomkostninger i lovforslaget er estimeret forkert.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen er opmærksom på, at der er et behov for øget support til
virksomheders ibrugtagning og anvendelse af de nye løsninger. Support til er-
hvervsdrivende indgår som et af hovedfokusområderne for migreringsplanerne til
de nye løsninger.
Digitaliseringsstyrelsen har noteret sig forslaget om nedsættelse af Advisory Board,
det skal dog bemærkes, at der allerede er etableret et interessentforum bestående af
repræsentanter fra en række interesse- og brancheorganisationer. Interessentforum-
mets formål er at tage imod input fra og kommunikere med slutbruger- og repræ-
sentanter for tjenesteudbydere. Forummet vil primært blive anvendt i forhold til at
sikre, at MitID-løsningen og NemLogin bliver så attraktiv som muligt hos tjeneste-
udbydere og så anvendelig som muligt hos slutbrugerne.
Digitaliseringsstyrelsen skal med hensyn til DI’s bemærkninger til overholdelse af
databeskyttelse bemærke, at løsningerne lever op til de gældende regler om databe-
skyttelse.
Digitaliseringsstyrelsen har noteret sig DI’s bemærkninger til lovforslagets økono-
miske konsekvenser for erhvervslivet og bemærker, at der ved de af lovforslaget
omhandlede it-løsningers gevinstrealisering foretages en opdateret vurdering af de-
res administrative konsekvenser. Det kan ske i forbindelse med, at it-løsningernes
gevinstrealiseringsrapporter bliver udarbejdet, hvilket efter gældende tidsplaner for-
ventes at være i 2022.
3.12. ATP
ATP efterspørger i høringssvaret en uddybning af, hvad der ligger i, at tjenesteud-
byderen, som anvender serviceområdet Digital Repræsentation, overlader den
praktiske håndtering af oprettelse og tilbagekaldelse af repræsentationsforholdet i
serviceområdet Digital repræsentation til Digitaliseringsstyrelsen, når det er repræ-
sentanten, der anmoder om oprettelse af repræsentationsforhold, og hvad der lig-
ger i, at den praktiske håndtering af oprettelse og tilbagekaldelse af repræsentati-
onsforholdet varetages af borgerservice eller tjenesteudbyderen selv, når anmod-
ningen om oprettelse af et repræsentationsforhold afgives af fuldmagtsgiver.
ATP anmoder desuden om en præcisering af, i hvilket omfang en identitetsgarant,
der selv udsteder egne loginmidler/identifikationsmidler til brug for oprettelse og
administration af egne medarbejdere/erhvervsbrugere i eget sikkerhedssystem, som
Side 15 af 24
synkroniseres med NemLog-in, kan søge medarbejderens/erhvervsbrugerens iden-
titet bekræftet ved brug af medarbejderens/erhvervsbrugerens private MitID, her-
under fx ved genudstedelse.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen skal til anmodningen om uddybelse vedr. serviceområdet
Digital repræsentation anføre følgende:
Den tekniske tilslutning for et fuldmagtsforhold sker automatisk i brugerflowet,
når det er fuldmagtsafgiveren, som afgiver fuldmagten og manuelt, når det er fuld-
magtsrepræsentationen, der anmoder om at få fuldmagt. Det er altså alene den tek-
niske tilslutning, som enten sker automatisk eller manuelt hos Digitaliseringsstyrel-
sen. Det er de samme to brugerflow, som kendes fra løsningen i dag (NemLog-
in2). En tjenesteudbyder vil altid selv skulle forestå den forvaltningsretlige vurde-
ring af et oprettet fuldmagtsforhold, og vil dermed også være i stand til at foretage
oprettelse og tilbagekaldelse af fuldmagtsforhold.
Digitaliseringsstyrelsen skal til ønsket om præciseringen ift. identitetsgaranter, der
selv udsteder egne loginmidler/identifikationsmidler anføre, at der i loven vil være
hjemmel til, at erhvervsbrugere vil kunne anvende deres MitID-identifikationsmid-
del udstedt til privat brug, til identitetssikring i forbindelse med oprettelse af en el-
ler flere erhvervsidentiteter.
3.13. Finanstilsynet
3.13.1. Finansielle virksomheders adgang til data
Finanstilsynet bemærker, at finansielle virksomheder, herunder særligt pengeinsti-
tutter, har en række forpligtelser i henhold til den finansielle lovgivning, som kan
indebære et behov for adgang til risikodata, afhængigt af hvad disse konkret inde-
holder. Det kan eksempelvis være i relation til finansielle virksomhederes forpligtel-
ser til at foretage kundekendskabsprocedurer og transaktionsovervågning i henhold
til hvidvaskloven. Det kan også være i relation til reglerne i lov om betalinger om
afvisning af uautoriserede betalinger og anvendelse af stærk kundeautentifikation.
Finanstilsynet bemærker i forlængelse heraf, at en række af de aktiviteter, som en
broker udfører for en finansiel virksomhed, sandsynligvis vil være at anse for out-
sourcing, jf. lov om finansiel virksomhed, hvorfor en finansiel virksomhed kan
have behov for at få adgang til data og processer, der udføres af en broker. Endelig
er det Finanstilsynets forståelse, at enkelte finansielle virksomheder både vil fun-
gere som broker og tjenesteudbyder i samme juridiske enhed.
Finanstilsynet opfordrer derfor Digitaliseringsstyrelsen til overveje, om lovforslaget
giver finansielle virksomheder, herunder særligt pengeinstitutter, den nødvendige
adgang til data, der er relevant for de finansielle virksomheders overholdelse af an-
den lovgivning.
Side 16 af 24
Digitaliseringsstyrelsens bemærkninger
Det bemærkes, at tilrådighedsstillelsen af MitID sker gennem et partnerskab mel-
lem FRI, der er ejet af Finans Danmark, og Digitaliseringsstyrelsen. Pengeinstitut-
terne har således deltaget i kravsætningen til den tekniske løsning, herunder i krav-
sætningen til, hvilke risikodata, der skal indsamles og videregives.
3.13.2. Persondataforordningen
Finanstilsynet bemærker, at § 14 i lovforslaget henviser til forbuddet mod at be-
handle særlige kategorier af personoplysninger i artikel 9, stk. 1, i persondataforord-
ningen, hvorimod det er artikel 9, stk. 2, i persondataforordningen, der fastsætter
undtagelse fra forbuddet i artikel 9, stk. 1.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at bestemmelsen og de specielle bemærkninger
hertil er blevet tilpasset.
3.13.3. Tavshedspligt
Finanstilsynet bemærker, at § 19 fastsætter en særlig tavshedspligt, der medfører, at
myndigheder og myndighedernes medarbejdere, der udøver tilsyn i medfør af § 18,
iagttager ubetinget tavshed over for uvedkommende med hensyn til oplysninger
om den tekniske og sikkerhedsmæssige indretning samt processer for oprethol-
delse, vedligeholdelse og drift af sikkerhed i MitID-løsningen og NemLog-in. Det
er uklart, hvad ”ubetinget tavshed over for uvedkommende” betyder, særligt idet §
152 i straffeloven omhandler uberettiget videregivelse eller udnyttelse af fortrolige
oplysninger. Det er Finanstilsynets opfattelse, at det kan overvejes, om tavsheds-
pligten som formuleret er tilstrækkelig bred.
Finanstilsynet skal gøre opmærksom på, at Finanstilsynet også er omfattet af en
skærpet tavshedspligt i § 354 i lov om finansiel virksomhed. Finanstilsynets tavs-
hedspligt indebærer dog, at der under særlige og indskrænkede omstændigheder
kan videregives fortrolige oplysninger til eksempelvis andre relevante myndigheder
og vedkommende minister som led i dennes overordnede tilsyn. I forlængelse af
Finanstilsynets bemærkning vedrørende § 18 i lovforslaget vil Finanstilsynet opfor-
dre Digitaliseringsstyrelsen til at overveje, om forslaget til § 19 giver tilstrækkelig
mulighed for at dele oplysninger med andre relevante myndigheder.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at bestemmelsen og de specielle bemærkninger
hertil er blevet tilpasset.
3.14. Konkurrence- og Forbrugerstyrelsen (KFST)
Side 17 af 24
KFST bemærker, at deres umiddelbare vurdering er, at lovforslaget kan medføre
mulige konkurrencebegrænsninger. KFST kan dog ikke på det foreliggende grund-
lag vurdere dette. Dette skyldes navnlig, at broker kontrakten, som brokerne skal
indgå med leverandøren af MitID, ikke fremgår af det fremsendte materiale.
Det er KFST’s foreløbige vurdering, at MitID-projektet overordnet set kan på-
virke: (i) konkurrencen mellem tjenesteudbydere, som fremadrettet vil anvende
brokere til at få adgang til MitID-løsningen og (ii) konkurrencen mellem ”brokere”.
3.14.1. konkurrence mellem tjenesteudbydere
I konkurrenceretligt perspektiv er det vigtigt at sikre, at gebyret for at anvende bro-
kerløsningerne (”broker-gebyret”) ikke begrænser konkurrencen mellem tjeneste-
udbyderne. Denne overvejelse kan være særligt relevant, hvis selvstændige tjeneste-
udbydere skal betale et højere gebyr end konkurrerende tjenesteudbydere, der er
ejet af en bank, som indgår i partnerskabet, jf. KFST’s præhøringssvar og mødere-
ferat imellem Digitaliseringsstyrelsen og KFST af den 15. maj 2020. Digitaliserings-
styrelsen har i e-mail til KFST dateret den 23. juni 2020 oplyst, at ”En autentifika-
tion til en TU [tjenesteudbyder], der ikke er repræsenteret af Partnerskabet bag Mi-
tID bliver pålagt et udviklingsbidrag pr. transaktion, svarende til ikke-repræsente-
rede TU’ers relative andel af den udviklingspris, som Partnerskabet har afholdt.
Dette udviklingsbidrag opkræves i 4 år medmindre den relative andel er tilbagebe-
talt inden forløbet af de 4 år.”
Efter en konkret vurdering vil et sådant højere gebyr kunne have en konkurrence-
begrænsende virkning, f.eks. hvis gebyret bidrager til en væsentlig stigning i margi-
nalomkostning for de selvstændige tjenesteudbydere i forhold tjenesteudbydere,
der er repræsenteret af Partnerskabet til MitID. Lovforslaget ses ikke at indeholde
bemærkninger herom, bortset fra at vederlaget skal være ”ikke-diskriminerende” og
”sikre, at der ikke sker konkurrencefordrejning”, jf. de specielle bemærkninger til
forslagets § 15. I den forbindelse henleder, vi også til KFST’s bemærkninger i for-
bindelse med Digitaliseringsstyrelsen og KFST’s møder den 27. september 2019 og
15. maj 2020.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen noterer sig KFST’s bemærkning. Styrelsen vil fremadrettet
bestræbe sig på, at dette område ikke må udvikle sig til at blive konkurrenceforvri-
dende.
3.14.2. Konkurrencen mellem brokere
KFST forstår det fremsendte materiale således, at leverandøren af udvikling, drift,
vedligeholdelse og forvaltning af MitID-løsningen (pt. Nets), også kan være ”bro-
ker” for private tjenesteudbydere (og dermed være vertikalt integreret). Det er lige-
ledes KFST’s umiddelbare forståelse, at der alene kan være én ”broker” for så vidt
angår udførelsen af myndighedsopgaver, samt at denne broker er ”NemLog-in”,
der i de kommende minimum 10 år vil være driftet, udviklet, vedligeholdt og for-
valtet af Nets. KFST forstår, at dette allerede er fastlagt. KFST forstår endvidere
Side 18 af 24
forslaget således, at det vil være Nets, der administrer tilslutningen af brokere til
løsningen.
I den grad en vertikalt integreret virksomhed har markedsmagt i forhold til identi-
tets- og autentifikationsløsningen (MitID), kan det potentielt give virksomheden
evne og incitament til begrænse konkurrencen i forhold til ”broker”-leddet eller tje-
nesteydelsesleddet. Det er derfor væsentligt at sikre, at vilkårene for at blive god-
kendt som ”broker”, eller for at agere som broker i praksis, ikke kan favorisere le-
verandøren.
En leverandør, der også agerer som broker, ville muligvis kunne anvende sin mar-
kedsmagt som leverandør til løsningen, for at begrænse konkurrencen på de verti-
kalt forbundne markeder til fordel for sig selv. Dette kunne f.eks. manifestere sig i
en forringet service for brokere, og tjenesteudbydere tilknyttet andre brokere end
leverandøren.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at der indgås en aftale mellem den enkelte bro-
ker og leverandøren om vilkår for tilslutning og anvendelse. Disse vilkår fastsættes
af Partnerskabet mellem FR1 og Digitaliseringsstyrelsen - og kræver enighed - og
blev i store træk allerede fastslagt i forbindelse med udbuddet af MitID af hensyn
til transparens for de potentielle tilbudsgivere om, hvorledes reguleringen af bro-
kere ville se ud - og i forbindelse hermed den kommende leverandørs rettigheder
og pligter over for brokerne. Det bemærkes, at broker vilkårene ikke kan forhand-
les individuelt mellem en broker og leverandøren. For at sikre mod forfordeling af
egen broker, fremgår det endvidere af MitID kontrakten, at en leverandør, der selv
ønsker at agere broker ikke er afskåret herfra, men skal iagttage særlige forholds-
regler for at hindre forfordeling. Dette gælder bl.a. krav om samtidig tilrådigheds-
stillelse af viden, herunder tekniske specifikationer til brug for opkobling til MitID-
løsningen. Det bemærkes endvidere, at kun Partnerskabet kan ændre vilkår for bro-
kerne, men at sådanne vilkårsændringer vil gælde for alle brokere, ligesom ændrin-
ger skal kunne rummes i medfør af den indgåede kontrakt med leverandøren af Mi-
tID.
3.15. Datatilsynet
3.15.1. Det dobbelte frivillighedsprincip
Datatilsynet har noteret sig, at Digitaliseringsstyrelsen med nærværende udkast til
lovforslag nu søger at etablere en lovhjemmel til den løsning, som tilsynet tidligere
har udtalt sig om vedrørende muligheden for, at en borger kan anvende borgerens
eget elektroniske identifikationsmiddel til at handle i erhvervsøjemed.
På baggrund af lovforslaget står det ikke Datatilsynet klart, hvorvidt de samme for-
hold, som tilsynet udtrykte bekymring over i 2012 og igen i 2017 stadigvæk gør sig
gældende i forhold til den beskrevne løsning.
Side 19 af 24
Datatilsynet har derfor ikke hermed taget stilling til, om der – efter at sagen senest i
2017 blev behandlet af Datarådet – er sket en udvikling, der betyder, at sagen på
nuværende tidspunkt vil falde anderledes ud, hvis sagen blev forelagt for Datarådet
igen, herunder hvorvidt den faktiske implementering af løsningen, som den er be-
skrevet i udkastet til lovforslag, nu sker med henblik på at efterleve krav, som f.eks.
er fastsat i eIDAS-forordningen og/eller NSIS-standarden.
Digitaliseringsstyrelsens bemærkninger
Det er Digitaliseringsstyrelsens opfattelse, at den kommende infrastruktur er desig-
net således, at den opfylder krav og definitioner i hhv. eIDAS-forordningen og
NSIS-standarden for oprettelse og anvendelse af erhvervsidentiteter. Brugerorgani-
sationer vil have fuld kontrol over deres erhvervsidentiteter, mens brugerne selv
kan vælge, hvorvidt de ønsker at anvende private MitID-identifikationsmidler til at
autentificere deres erhvervsidentitet. Samtidig imødekommer den kommende er-
hvervsløsning behov for brugervenlighed, effektivitet, fleksibilitet, sikkerhed og
samfundsøkonomiske hensyn, som har været efterspurgt.
Det er således hensigten med lovforslaget at etablere hjemmel til en løsning, hvor
en erhvervsbruger kan vælge at anvende sit private MitID-identifikationsmiddel til
at autentificere en erhvervsidentitet under forudsætning af efterlevelse af det dob-
belte frivillighedsprincip.
Digitaliseringsstyrelsen bemærker, at der i bemærkningerne til lovforslaget i pkt.
2.3.3 beskrives ”det dobbelte frivilligheds princip”. Dette princip betyder, at såvel
medarbejder som brugerorganisation skal være enige om, at en medarbejder kan og
må anvende sit private MitID-identifikationsmiddel til at autentificere en erhvervs-
identitet knyttet til den pågældende virksomhed. Medarbejder bruges her synonymt
med en person, der er tilknyttet en brugerorganisation, uden at der forliger et
egentligt ansættelsesforhold. Det bemærkes, at der alene er tale om brug af det pri-
vate MitID identifikationsmiddel og ikke den private MitID identitet. Det kan ikke fore-
komme, at en medarbejder logger ind med sin private MitID identitet som medar-
bejder i brugerorganisationen. En medarbejders brug af sit private identifikations-
middel er alene mulig, såfremt brugerorganisationen har oprettet en erhvervsidenti-
tet til medarbejderen i serviceområdet Erhvervsadministration i NemLog-in. Med-
arbejderen kan i givet fald – forudsat fælles aftale herom - anvende sit private Mi-
tID-identifikationsmiddel til at autentificere sin erhvervsidentitet i forbindelse med
login. Det betyder også, at såfremt brugerorganisationen ønsker at spærre medar-
bejderens mulighed for at agere på brugerorganisationens vegne, kan brugerorgani-
sationen spærre erhvervsidentiteten - men ikke MitID-identifikationsmidlet. Der-
med kan medarbejderen stadig foretage log-in med sit private MitID i private sam-
menhænge, og brugerorganisationen har fuld kontrol over egne identiteter. En
medarbejder, der ikke længere ønsker at benytte sit private MitID-identifikations-
middel ved login med sin erhvervsidentitet, kan anmode om et dedikeret MitID-
identifikationsmiddel, der så kun kan anvendes i erhvervsmæssig sammenhæng.
Side 20 af 24
For at sikre en udtrykkelig hjemmel er der nu indføjet to yderligere stykker i
lovforslagets § 9, idet der tillige vurderes behov for en tydelig hjemmel til, at en
medarbejder ved oprettelse som erhvervsbruger kan anvende sit private MitID til
identitetssikring i forbindelse med oprettelsen.
3.15.2. Udnyttelse af det nationale råderum
Datatilsynet bemærker, at med lovforslaget foreslås indført en række nye behand-
lingshjemler til behandling af personoplysninger.
Det fremgår bl.a. i udkastet til lovforslaget, at der i § 13 indføres en hjemmel til, at
Digitaliseringsstyrelsen kan videregive autentifikationssvar og risikodata – indehol-
dende personoplysninger – vedrørende registrerede, der anvender MitID, til en
”broker” (et ”bindeled”), der er tilsluttet MitID-løsningen, ligesom det fremgår af
bemærkningerne, at NemLog-in i medfør af § 8 i udkastet til lovforslag får en selv-
stændig behandlingshjemmel, der rækker videre end den foreslåede § 13.
Endvidere fremgår det af udkastet til lovforslag, at der med forslagets § 14 gives
Digitaliseringsstyrelsen hjemmel til at behandle personoplysninger omfattet af data-
beskyttelsesforordningens artikel 9, stk. 1, i forbindelse med validering af digitale
signaturer i valideringstjenesten i serviceområdet Digital signering. Det fremgår af
de specielle bemærkninger til § 14, at der efter Digitaliseringsstyrelsens vurdering
potentielt kan behandles alle former for personoplysninger i valideringstjenesten,
som, i forbindelse med en verifikation af dokumenter underskrevet med digital sig-
natur, kortvarigt behandler oplysningerne i de dokumenter, der bliver underskrevet.
Da det alene fremgår af udkastet til lovforslaget, at der indføres nationale behand-
lingshjemler til behandling af personoplysninger, uden, at der i selve lovforslaget
eller bemærkningerne hertil henvises til bestemmelser i databeskyttelsesforordnin-
gen eller databeskyttelsesloven, står det ikke Datatilsynet klart, om der tilsigtes en
egentlig fravigelse af databeskyttelsesforordningens og databeskyttelseslovens be-
stemmelser om behandling af personoplysninger.
Datatilsynet bemærker i den forbindelse, at national lovgivning skal indrettes i
overensstemmelse med databeskyttelsesforordningens bestemmelser, med mindre
der efter forordningen kan eller skal fastsættes nationale regler. Der er således be-
stemmelser i forordningen, der fastsætter, at medlemsstaterne inden for nærmere
bestemte områder enten kan eller skal fastsætte nationale regler.
Det fremgår for så vidt angår behandlingshjemlen i databeskyttelsesforordningens
artikel 6, stk. 2 og 3, om almindelige oplysninger, at medlemsstaterne er bemyndi-
get til at fastsætte mere specifikke bestemmelser inden for rammerne af forordnin-
gens harmonisering.
Side 21 af 24
For så vidt angår fastsættelse af nationale regler om behandling af personoplysnin-
ger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan regler bl.a. fast-
sættes på baggrund af databeskyttelseslovens § 7, stk. 5.
Det er Datatilsynets vurdering, at det er en forudsætning for lovforslagets udform-
ning, at Digitaliseringsstyrelsen forholder sig til, om den omhandlede lovændring
kan indeholdes inden for det nationale råderum, og at dette klart fremgår af lov-
forslagets bemærkninger.
Digitaliseringsstyrelsen bør i den forbindelse – for så vidt angår bl.a. § 8 og § 13 i
udkastet til lovforslag – foretage en vurdering i henhold til ”tjeklisten” om udarbej-
delse af nye nationale regler for behandling af ikke-følsomme personoplysninger,
som fremgår af side 168f i betænkning nr. 1565 om databeskyttelsesforordningen –
de retlige rammer for dansk lovgivning.
Med hensyn til § 14 i udkastet til lovforslag bør Digitaliseringsstyrelsen ligeledes
præcisere, hvis det med bestemmelsen er styrelsens hensigt at udnytte det nationale
råderum for fastsættelse af særregler, med henvisning til de relevante bestemmelser
i databeskyttelsesforordningen og/eller databeskyttelsesloven, hvoraf det fremgår,
at særreglen kan indføres.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at det ikke er hensigten med de foreslåede be-
stemmelser, at fravige databeskyttelsesreglerne. På baggrund af tilsynets bemærk-
ninger er de relevante behandlingshjemler i henholdsvis databeskyttelsesforordnin-
gen og databeskyttelsesloven blevet tydeliggjort.
Digitaliseringsstyrelsen har overvejet behovet for den foreslåede § 13, herunder ved
inddragelse af ”tjeklisten”. Det er vurderingen, at bestemmelsens indhold kan rum-
mes inden for den myndighedsudøvelse, der følger af lovforslaget. Henset til at
lovforslaget i et vist omfang er præget af den tekniske virkemåde for infrastruktur-
løsningerne, har styrelsen vurderet, at det er relevant af hensyn til gennemsigtighed
bl.a. for de registrerede, at den centrale løsnings videregivelse af personoplysninger
fremgår tydeligt. Det er endvidere vurderingen, at bestemmelsen kan rummes inde
for det nationale råderum.
§ 14 er justeret ligesom de tilhørende specielle lovbemærkninger, idet det er hensig-
ten at udnytte det nationale råderum.
3.15.3. Risikodata
Datatilsynet har noteret sig, at der med udkastet til lovforslag etableres en løsning,
hvorefter personoplysninger i nogle tilfælde behandles af såkaldte ”brokere”, der
fungerer som bindeled mellem tjenesteudbydere og MitID-løsningen.
Det fremgår af de specielle bemærkninger til § 13 i udkastet til lovforslag, at Digita-
liseringsstyrelsen kan videregive risikodata – der bl.a. er oplysninger om lokation,
Side 22 af 24
IP nummer og identitet – vedrørende en bruger til en broker, hvis formål er at vur-
dere og afgøre, om risikodata af sikkerhedsmæssige årsager skal umuliggøre bruge-
rens login på en given tjeneste.
Det står i den forbindelse ikke Datatilsynet klart, om samme formål kunne opnås
ved, at Digitaliseringsstyrelsen videregav færre oplysninger til brokeren, f.eks. en ri-
sikoscore beregnet på baggrund af den risikodata, som styrelsen behandler. Datatil-
synet skal derfor opfordre til, at Digitaliseringsstyrelsen forholder sig til og eventu-
elt i forarbejderne til loven præciserer, at det er nødvendigt, at samtlige risikodata
videregives til brokeren i overensstemmelse med proportionalitetsprincippet i data-
beskyttelsesforordningens artikel 5, og at formålet ikke kan opnås ved at videregive
færre oplysninger.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at det er nødvendigt at videregive samtlige risiko
data. Ministeriets overvejelser i så henseende fremgår nu af de almindelige bemærk-
ninger afsnit 7.1.3.
3.15.4. Brokeres dokumentation af hjemmel til anden behandling af personoplysninger
Datatilsynet bemærker, at det fremgår bl.a. af lovforslagets § 13, at Digitaliserings-
styrelsen kan videregive autentifikationssvar og risikodata vedrørende den konkrete
og enkelte transaktion til en offentlig myndighed, et offentligretligt organ eller en
juridisk enhed i rollen som broker, der er tilsluttet MitID- løsningen eller NemLog-
in.
Det fremgår af de specielle bemærkninger til § 13 i udkastet til lovforslag, at modta-
gerne af de pågældende oplysninger (brokere) skal indgå en aftale med Nets DanID
A/S på vegne af partnerskabet med bl.a. Digitaliseringsstyrelsen. Aftalen regulerer
de vilkår, hvorunder en broker kan blive og vedblive med at være broker, herunder
hvordan en broker må behandle de risikodata, som brokeren modtager fra Digitali-
seringsstyrelsen.
Af de specielle bemærkninger fremgår det endvidere, at en broker ifølge aftalen bli-
ver dataansvarlig for de risikodata, som brokeren modtager fra Digitaliseringsstyrel-
sen, og at brokeren kun må behandle risikodata som anført i den foreslåede be-
stemmelse i § 13, hvoraf det bl.a. er anført, at brokere kun må behandle oplysnin-
gerne til at foretage automatiske afgørelser om log-in, eller videregive oplysnin-
gerne til en tjenesteudbyder.
Endelig fremgår det, at enhver behandling ud over den behandling, som er anført i
bestemmelsen, kræver, at brokeren har en selvstændig hjemmel til behandlingen og
over for Digitaliseringsstyrelsen har dokumenteret denne hjemmel.
For så vidt angår det forhold, at Digitaliseringsstyrelsen kan stille krav til, at bro-
kere – som selvstændige dataansvarlige – skal dokumentere en eventuel anden be-
handlingshjemmel over for styrelsen, finder Datatilsynet, at et sådant krav ikke kan
Side 23 af 24
udledes af de databeskyttelsesretlige regler. Datatilsynet skal i den forbindelse hen-
lede opmærksomheden på, at ansvaret for, at en behandling sker i overensstem-
melse med de databeskyttelsesretlige regler som udgangspunkt påhviler den dataan-
svarlige, og der ikke gælder et påvisningskrav over for andre (tidligere) dataansvar-
lige. Det står ikke klart for Datatilsynet, hvad der ligger til grund for at fastlægge et
sådant påvisningskrav i udkastet til lovforslag.
Datatilsynet skal i den forbindelse bemærke, at det er tilsynet, som i overensstem-
melse med databeskyttelsesforordningens artikel VI og VII fører tilsyn med enhver
behandling, der omfattes af databeskyttelsesloven, databeskyttelsesforordningen og
anden lovgivning, som ligger inden for rammerne for særregler om behandling af
personoplysninger, jf. databeskyttelseslovens § 27. Det vil derfor være Datatilsynet,
der skal føre tilsyn med, om brokeres behandling af personoplysninger sker i over-
ensstemmelse med de databeskyttelsesretlige regler.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at det ikke har været hensigten med bestemmel-
sen eller de specielle bemærkninger hertil at søge at fravige gældende regler om til-
synets virke. Der er derfor sket justeringer i de specielle bemærkninger, således at
der ikke længere fremgår et påvisningskrav.
3.15.5. Oplysningspligt
Datatilsynet bemærker, at i medfør af databeskyttelsesforordningens artikel 13 og
artikel 14 gælder der som udgangspunkt en oplysningspligt for dataansvarlige, der
behandler personoplysninger
I udkastet til lovforslaget er det fastsat, at flere forskellige aktører er dataansvarlige
for de oplysninger, der afstedkommer at en brugers anvendelse af løsningerne Mi-
tID og NemLog-in – herunder Digitaliseringsstyrelsen, tjenesteudbydere og bro-
kere – afhængig af, hvilket led i processen, brugeren er nået til. Det fremgår også –
bl.a. af de specielle bemærkninger til § 13 i udkastet til lovforslag – at der kan være
behov for at ændre eller tilføje risikodata, der kan indsamles og videregives i for-
bindelse med brugen af løsningen.
Datatilsynet skal i den forbindelse henstille til, at det i loven eller forarbejderne her-
til tydeliggøres, hvordan oplysningspligten opfyldes af henholdsvis Digitaliserings-
styrelsen, brokere og tjenesteudbydere, når brugere anvender løsningen, herunder
når der sker ændringer eller tilføjelser af risikodata, der indsamles og videregives.
Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen bemærker, at det er tydeliggjort, at Digitaliseringsstyrelsen,
brokere og tjenesteudbydere skal overholde oplysningspligten, når de er dataan-
svarlige for behandling af personoplysninger. Det er således ikke hensigten at fra-
vige de registreredes databeskyttelsesretlige rettigheder.
Side 24 af 24
4. Øvrige ændringer
Der er foretaget en række ændringer af sproglig og lovteknisk karakter i lovforsla-
get, der er fundet hensigtsmæssige på baggrund af høringen og den endelige lovtek-
niske gennemgang.