L 159 - svar på spm. 2 om, i hvilket omfang lovforslaget er justeret og hvorvidt lovforslaget lever op til databeskyttelsesreglerne, fra finansministeren

Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K · T 33 92 33 33 · E fm@fm.dk · www.fm.dk
Folketingets Indenrigs- og Boligudvalg
Christiansborg
7. april 2021
Svar på Indenrigs- og Boligudvalget spørgsmål nr. 2 af 24. februar
2021 til L 159 stillet efter ønske fra Karina Lorentzen Dehnhardt
(SF)
Spørgsmål nr. 2
Med henvisning til høringssvarene fra Danske Handicaporganisationer, Institut
for Menneskerettigheder og Datatilsynet vedr. databeskyttelse og til Digitalise-
ringsstyrelsens høringsnotat, hvor det af bemærkningerne til Danske Handicapor-
ganisationer fremgår, at styrelsen ikke vurderer det relevant at justere lovforslagets
bemærkninger, mens det af bemærkningerne til Datatilsynet fremgår, at lovforsla-
get er justeret, bedes ministeren uddybe og tydeliggøre i sit svar, i hvilket omfang
lovforslaget er justeret, herunder hvorvidt lovforslaget lever op til databeskyttel-
sesreglerne, og hvordan det er tydeliggjort, at alle aktører skal leve op til databe-
skyttelsesreglerne?
Svar
Digitaliseringsstyrelsen har med det fremsatte lovforslag om MitID og NemLog-
in tydeliggjort, at lovforslaget overholder gældende databeskyttelseslovgivning, så-
vel databeskyttelsesforordningen og databeskyttelsesloven i lovforslagets alminde-
lige bemærkninger i afsnit 2.3 og 3.
Digitaliseringsstyrelsen oplyser, at høringssvaret fra Datatilsynet gav anledning til
at justere lovforslaget for så vidt angår det dobbelte frivillighedsprincip med tilfø-
jelsen af yderligere stykker til § 9. Det præciseredes endvidere i de almindelige be-
mærkninger afsnit 3, at Digitaliseringsstyrelsen vurderer, at det er nødvendigt at
udnytte det nationale råderum, som databeskyttelsesforordningen muliggør. Det
blev endelig tydeliggjort i lovforslagets almindelige bemærkninger afsnit 2.3, hvor-
for det er nødvendigt at videregive samtlige risikodata til brokerne.
Datatilsynet bemærkede desuden i høringssvaret, at der ikke foreligger et påvis-
ningskrav for behandlingshjemlen imellem forskellige dataansvarlige. Digitalise-
ringsstyrelsen justerede på den baggrund lovforslagets specielle bemærkninger til §
13, så der ikke længere fremgår et påvisningskrav overfor Digitaliseringsstyrelsen,
når fx brokere viderebehandler oplysninger de har modtaget fra MitID-løsningen.
Indenrigs- og Boligudvalget 2020-21
L 159 - endeligt svar på spørgsmål 2
Offentligt
Side 2 af 3
Datatilsynet bemærkede endvidere i høringssvaret, at det er de enkelte dataansvar-
lige, der selv skal sørge for at opfylde oplysningspligten overfor de registrerede.
Det blev i lovforslaget derfor præciseret, at Digitaliseringsstyrelsen, brokere og tje-
nesteudbydere skal overholde oplysningspligten, når de er dataansvarlige for be-
handling af personoplysninger, da det ikke har været hensigten at fravige de regi-
streredes rettigheder.
Høringssvaret fra Danske Handicaporganisationer gav ikke anledning til at fore-
tage ændringer i lovforslaget, fordi der i lovforslaget ikke er hjemmel til indsam-
ling af biometriske data.
Danske Handicaporganisationers bemærkning om, at borgere med synsvanske-
ligheder og andre handikap ikke skal afvises på grund af forskellige tastemønstre
fra gang til gang, vil indgå i Digitaliseringsstyrelsens videre overvejelser om yderli-
gere udvikling og regulering af MitID-løsningen.
Såfremt behovet måtte opstå for at imødegå sikkerhedsrisici eller sikkerhedstrus-
ler, kan der være behov for at indsamle biometriske data enten ved en lovændring
eller ved udstedelse af en bekendtgørelse i medfør af databeskyttelseslovens § 7,
stk. 5, se nærmere herom i lovforslagets almindelige bemærkninger afsnit 2.3.2.1.1.
Institut for Menneskerettigheders høringssvar gav ikke anledning til ændring af
lovforslaget, fordi deres bemærkninger allerede var indarbejdet på baggrund af
Datatilsynets høringssvar.
Digitaliseringsstyrelsen har derudover præciseret i lovforslaget, hvordan behand-
lingen af personoplysninger sker i MitID-løsningen og NemLog-in, herunder at
Digitaliseringsstyrelsen er dataansvarlig for begge it-systemer som nærmere be-
skrevet i lovforslagets almindelige bemærkninger i afsnit 2.3.
Jeg skal endelig bemærke, at det fremgår af lovforslaget, at der med den foreslåede
ordning vil ske behandling af personoplysninger i de nye løsninger, som på grund
af deres karakter eller omfang indebærer en risiko for statens sikkerhed, og at it-
systemerne derfor skal opbevares i Danmark. MitID og NemLog-in er således
omfattet af databeskyttelseslovens § 3, stk. 9, som indebærer, at justitsministeren
fastsætter regler om, at personoplysninger, der behandles i nærmere bestemte it-
systemer, og som føres for den offentlige forvaltning, helt eller delvis alene må
opbevares her i landet. Det fremgår af bilag 1 til Justitsministeriets bekendtgørelse
nr. 1104 af 30. juni 2020 en liste over den offentlige forvaltnings it-systemer, der
skal føres her i landet, hvor MitID og NemLog-in3 er angivet som hhv. nr. 2 og 4
på listen.
Med venlig hilsen
Side 3 af 3
Nicolai Wammen
Finansminister