Efter afstemningen i Folketinget ved 2. behandling den 20. april 2021

Efter afstemningen i Folketinget ved 2. behandling den 20. april 2021
Forslag
til
Lov om MitID og NemLog-in
Afsnit I
Generelle bestemmelser
Kapitel 1
Lovens anvendelsesområde
§ 1. Loven finder anvendelse på følgende infrastruktur‐
løsninger samt nationale digitale identiteter og elektroniske
identifikationsmidler udstedt i medfør heraf:
1) Den danske nationale elektroniske identifikationsord‐
ning (MitID-løsningen).
2) Den fællesoffentlige digitale infrastrukturløsning
(NemLog-in).
Kapitel 2
Definitioner
§ 2. I denne lov forstås ved:
1) MitID-løsningen: Den danske nationale elektroniske
identifikationsordning.
2) MitID: Den nationale digitale identitet af en privatper‐
son og tilhørende elektroniske identifikationsmidler,
som kan tilknyttes privatpersoners og erhvervsbruge‐
res digitale identiteter. MitID er den nationale identi‐
tetsgarant for privatpersoner.
3) Autentifikation: En proces, som genkender og veri‐
ficerer en digital identitet gennem anvendelse af et
elektronisk identifikationsmiddel.
4) Sikringsniveau: Graden af tillid til en autentificeret di‐
gital identitet. Der sondres mellem tre forskellige sik‐
ringsniveauer for autentifikation, henholdsvis niveau
lav, betydelig og høj.
5) Sikker autentifikation: Autentifikation på sikringsni‐
veau betydelig eller høj.
6) NemLog-in: Den fællesoffentlige digitale infrastruk‐
turløsning, som sætter privatpersoner og erhvervsbru‐
gere med digitale identiteter i stand til at interagere
med digitale selvbetjeningsløsninger. NemLog-in er
endvidere den nationale identitetsgarant for erhvervsi‐
dentiteter. NemLog-in indeholder de serviceområder,
som angives i § 8, stk. 2 og 3.
7) Privatperson: Fysisk person, der udelukkende agerer
på vegne af sig selv uden forbindelse til en juridisk
enhed, og som ikke er en erhvervsbruger.
8) Erhvervsbruger: Fysisk person, der er associeret med
en offentlig myndighed, et offentligretligt organ eller
en juridisk enhed, som er oprettet med en eller flere
erhvervsidentiteter i serviceområdet Erhvervsadmini‐
stration i NemLog-in.
9) Juridisk enhed: Juridisk enhed med et cvr-nummer, jf.
lov om Det Centrale Virksomhedsregister, der hver‐
ken er en offentlig myndighed eller et offentligretligt
organ.
10) Offentlig myndighed: Statslige, regionale og kommu‐
nale myndigheder.
11) Offentligretligt organ: Organer,
a) der er oprettet specielt med henblik på at imøde‐
komme almenhedens behov, dog ikke behov af
industriel eller kommerciel karakter,
b) der er juridiske personer, og
c) som for mere end halvdelens vedkommende fi‐
nansieres af staten, af regionale eller kommuna‐
le myndigheder eller af andre offentligretlige or‐
ganer eller er underlagt ledelsesmæssig kontrol
af disse myndigheder eller organer eller har en
bestyrelse eller direktion eller et tilsynsråd, hvor
mere end halvdelen af medlemmerne udpeges af
staten, regionale eller kommunale myndigheder
eller andre offentligretlige organer.
12) Digital selvbetjeningsløsning: Et it-system, hvor pri‐
vatpersoner eller erhvervsbrugere med digitale identi‐
teter kan tilgå digital selvbetjening efter at være blevet
autentificeret.
13) Digital identitet: En samling af data, der unikt identi‐
ficerer en privatperson eller en erhvervsbruger.
14) Elektronisk identifikationsmiddel: En materiel enhed,
en immateriel enhed eller en kombination af disse, der
Til lovforslag nr. L 159 Folketinget 2020-21
Finansmin.,
Digitaliseringsstyrelsen, j.nr. 2018-489
AX026173
indeholder personidentifikationsdata, og som bruges
til autentifikation i digitale selvbetjeningsløsninger. Et
elektronisk identifikationsmiddel består af et eller fle‐
re elementer, der hver især er et elektronisk identifika‐
tionsmiddel.
15) Tjenesteudbyder: En offentlig myndighed, et offent‐
ligretligt organ eller en juridisk enhed, der er ansvarlig
for en eller flere digitale selvbetjeningsløsninger.
16) Brugerorganisation: En offentlig myndighed, et of‐
fentligretligt organ eller en juridisk enhed, der er
tilsluttet og anvender serviceområdet Erhvervsadmini‐
stration i NemLog-in til deres erhvervsbrugere.
17) Broker: En offentlig myndighed, et offentligretligt or‐
gan eller en juridisk enhed, der videreformidler auten‐
tifikation af digitale identiteter.
Afsnit II
MitID-løsningen
Kapitel 3
Tilrådighedsstillelse af MitID-løsningen og MitID
§ 3. Digitaliseringsstyrelsen stiller MitID-løsningen til rå‐
dighed for offentlige myndigheder, offentligretlige organer
og juridiske enheder. Digitaliseringsstyrelsen sikrer udvik‐
ling, drift og vedligeholdelse af løsningen.
Stk. 2. Digitaliseringsstyrelsen stiller MitID til rådighed
for privatpersoner og erhvervsbrugere, hvis disse opfylder
betingelserne for udstedelse af MitID fastsat i medfør af § 4,
stk. 2.
Kapitel 4
Forvaltning af MitID-løsningen og MitID
§ 4. Digitaliseringsstyrelsen sikrer følgende forvaltnings‐
opgaver:
1) Identitetssikring af privatpersoner, registrering af iden‐
titeter og udstedelse, suspension, spærring og genåb‐
ning af MitID til privatpersoner efter reglerne fastsat i
medfør af stk. 2.
2) Udstedelse, spærring, suspension og genåbning af iden‐
tifikationsmidler til erhvervsbrugere efter reglerne fast‐
sat i medfør af stk. 2.
Stk. 2. Finansministeren fastsætter regler om forvaltning
af MitID-løsningen og MitID, herunder regler om identi‐
tetssikring af privatpersoner, registrering af identiteter og
udstedelse, spærring, suspension og genåbning af MitID til
privatpersoner og erhvervsbrugere og om adgang til at klage
til Digitaliseringsstyrelsen over afgørelser truffet i medfør af
disse regler.
§ 5. Digitaliseringsstyrelsen kan udpege offentlige myn‐
digheder, offentligretlige organer eller juridiske enheder til
på vegne af Digitaliseringsstyrelsen at varetage opgaver i
medfør af § 3, stk. 1, 2. pkt., og opgaver i medfør af § 4, stk.
1.
Stk. 2. Kommunalbestyrelsen skal på vegne af Digitalise‐
ringsstyrelsen varetage opgaver i medfør af § 4, stk. 1.
Kapitel 5
Anvendelse af MitID-løsningen og MitID
§ 6. Når offentlige myndigheder og offentligretlige or‐
ganer anvender digitale selvbetjeningsløsninger til at udfø‐
re en myndighedsopgave, skal de sikre, at privatpersoner
og erhvervsbrugere med MitID gives adgang til selvbetje‐
ningsløsningen, hvis adgangen kræver sikker autentifika‐
tion. MitID-løsningen skal i dette tilfælde anskaffes fra Di‐
gitaliseringsstyrelsen.
Stk. 2. Når offentlige myndigheders og offentligretlige
organers digitale selvbetjeningsløsninger ikke anvendes til
at udføre en myndighedsopgave, eller hvis adgangen til
løsningerne ikke kræver sikker autentifikation, kan de of‐
fentlige myndigheder og offentligretlige organer give privat‐
personer og erhvervsbrugere adgang til løsningerne med
MitID. MitID-løsningen kan i dette tilfælde anskaffes fra
Digitaliseringsstyrelsen.
§ 7. Juridiske enheder kan i rollen som tjenesteudbydere
anvende MitID-løsningen.
Afsnit III
NemLog-in
Kapitel 6
Tilrådighedsstillelse af NemLog-in
§ 8. Digitaliseringsstyrelsen stiller NemLog-in til rådig‐
hed for offentlige myndigheder, offentligretlige organer og
juridiske enheder. Digitaliseringsstyrelsen sikrer udvikling,
drift og vedligeholdelse af NemLog-in.
Stk. 2. NemLog-in indeholder følgende serviceområder til
tjenesteudbydere:
1) Login og autentifikation, som sikrer den service, at pri‐
vatpersoner og erhvervsbrugere kan tilgå digitale selv‐
betjeningsløsninger.
2) Digital repræsentation, som sikrer følgende servicer:
a) Digital repræsentation af en privatperson, således at
privatpersonen ved anvendelse af en digital selvbe‐
tjeningsløsning kan lade sig repræsentere digitalt af
en anden privatperson, af en erhvervsbruger eller af
en juridisk enhed over for en offentlig myndighed
eller et offentligretligt organ, som udbyder en digi‐
tal selvbetjeningsløsning.
b) Digital repræsentation af en juridisk enhed, såle‐
des at en erhvervsbruger, der selvstændigt kan re‐
præsentere en juridisk enhed, kan repræsentere en‐
heden ved anvendelse af en digital selvbetjenings‐
løsning over for en offentlig myndighed eller et
offentligretligt organ, som udbyder en digital selv‐
betjeningsløsning.
3) Digital signering, som sikrer følgende servicer:
a) At offentlige myndigheder, offentligretlige organer
og juridiske enheder kan udstille digital signering
af dokumenter i digitale selvbetjeningsløsninger.
b) At privatpersoner og erhvervsbrugere kan signere
digitale dokumenter og validere signerede doku‐
menters digitale signatur og integritet.
2
Stk. 3. NemLog-in indeholder serviceområdet Erhvervs‐
administration til brugerorganisationer, som sikrer følgende
servicer:
1) At offentlige myndigheder, offentligretlige organer og
juridiske enheder kan oprette, administrere og anvende
digitale erhvervsidentiteter samt tildele og administre‐
re elektroniske identifikationsmidler, hvis de opfylder
betingelserne for identitetssikring ved oprettelse som
brugerorganisation som nærmere fastsat i medfør af §
9, stk. 4.
2) At offentlige myndigheder, offentligretlige organer og
juridiske enheder kan tildele og administrere rettighe‐
der og certifikater til erhvervsidentiteter.
Kapitel 7
Forvaltning af NemLog-in
§ 9. Digitaliseringsstyrelsen sikrer, at der sker forvaltning
af NemLog-in, herunder identitetssikring af offentlige myn‐
digheder, offentligretlige organer og juridiske enheder, når
de oprettes som brugerorganisationer i serviceområdet Er‐
hvervsadministration i NemLog-in. Digitaliseringsstyrelsen
sikrer, at brugerorganisationers adgang til serviceområdet
Erhvervsadministration i NemLog-in og erhvervsbrugeres
digitale identiteter kan spærres og genåbnes efter reglerne
fastsat i medfør af stk. 4.
Stk. 2. En privatperson, der skal registreres som erhvervs‐
bruger i serviceområdet Erhvervsadministration, kan anven‐
de sit MitID udstedt til privatbrug til identitetssikring ved
registreringen.
Stk. 3. En erhvervsbruger kan få tilknyttet sit elektroni‐
ske identifikationsmiddel, som er tilknyttet privatpersonens
MitID-identitet, til sin erhvervsidentitet, således at erhvervs‐
brugeren kan anvende førnævnte identifikationsmiddel til at
autentificere en eller flere erhvervsidentiteter. Tilknytningen
er frivillig for erhvervsbrugeren og frivillig for brugerorga‐
nisationen, som erhvervsbrugeren er tilknyttet.
Stk. 4. Finansministeren fastsætter regler om forvaltning
af NemLog-in, herunder regler om identitetssikring af bru‐
gerorganisationer og spærring og genåbning af erhvervsbru‐
geres digitale identiteter og om adgang til at klage til Digi‐
taliseringsstyrelsen over afgørelser truffet i medfør af disse
regler.
§ 10. Digitaliseringsstyrelsen kan udpege offentlige myn‐
digheder, offentligretlige organer eller juridiske enheder til
på vegne af Digitaliseringsstyrelsen at varetage opgaver i
medfør af § 8, stk. 1, 2. pkt., og opgaver i medfør af § 9, stk.
1.
Kapitel 8
Anvendelse af NemLog-in
§ 11. Offentlige myndigheder og offentligretlige organer,
som anvender en digital selvbetjeningsløsning til at udføre
en myndighedsopgave, skal i rollen som tjenesteudbydere
anvende følgende serviceområder:
1) Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis
adgangen til den digitale selvbetjeningsløsning kræver
sikker autentifikation.
2) Digital repræsentation, jf. § 8, stk. 2, nr. 2.
Stk. 2. Offentlige myndigheder og offentligretlige organer
kan i rollen som tjenesteudbydere anvende følgende service‐
områder:
1) Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis ad‐
gangen til den digitale selvbetjeningsløsning ikke kræ‐
ver sikker autentifikation, eller hvis der ikke udføres en
myndighedsopgave.
2) Digital signering, jf. § 8, stk. 2, nr. 3.
Stk. 3. Offentlige myndigheder og offentligretlige organer
kan i rollen som brugerorganisationer anvende serviceområ‐
det Erhvervsadministration, jf. § 8, stk. 3.
Stk. 4. Offentlige myndigheder og offentligretlige organer
skal i de i stk. 1 anførte tilfælde anskaffe serviceområderne
fra Digitaliseringsstyrelsen. Offentlige myndigheder og of‐
fentligretlige organer kan i de i stk. 2 og 3 anførte tilfælde
anskaffe serviceområderne fra Digitaliseringsstyrelsen.
§ 12. Juridiske enheder kan indgå aftale med Digitalise‐
ringsstyrelsen om anvendelse af serviceområderne nævnt i §
8, stk. 2, nr. 1 og 3, og stk. 3.
Afsnit IV
Behandling af personoplysninger
Kapitel 9
Behandling af personoplysninger og videregivelse af
risikodata
§ 13. Ved en privatpersons anvendelse af MitID eller
en erhvervsbrugers anvendelse af det elektroniske identifi‐
kationsmiddel i MitID til login og autentifikation kan Digi‐
taliseringsstyrelsen videregive autentifikationssvar, herunder
risikodata vedrørende den konkrete og enkelte transaktion,
til en broker, der er tilsluttet MitID-løsningen eller NemLog-
in.
Stk. 2. En broker kan foretage automatiske afgørelser om
log-in på baggrund af risikodata videregivet efter stk. 1.
Stk. 3. En broker, der i medfør af stk. 1 har modtaget au‐
tentifikationssvar, kan videregive det modtagne og behand‐
lede autentifikationssvar til en tjenesteudbyder, der modta‐
ger autentifikationer fra MitID-løsningen.
Stk. 4. Ved en erhvervsbrugers anvendelse af et elektro‐
nisk identifikationsmiddel fra en lokal identitetsgarant til‐
sluttet NemLog-in kan Digitaliseringsstyrelsen videregive
autentifikationssvar vedrørende den konkrete og enkelte
transaktion til en broker, der er tilsluttet NemLog-in.
Stk. 5. En broker, der i medfør af stk. 4 har modtaget au‐
tentifikationssvar, kan videregive det modtagne og behand‐
lede autentifikationssvar til en tjenesteudbyder, der gennem
en broker modtager autentifikationer fra NemLog-in.
§ 14. Digitaliseringsstyrelsen kan kortvarigt og i et sikret
teknisk miljø behandle følsomme personoplysninger i for‐
bindelse med validering af digitale signaturer i validerings‐
tjenesten i serviceområdet Digital signering.
3
Afsnit V
Øvrige bestemmelser
Kapitel 10
Opkrævning af gebyr og vederlag
§ 15. Digitaliseringsstyrelsen indgår aftale med juridiske
enheder om vederlag for tilslutning til og anvendelse af
MitID-løsningen og NemLog-in.
Stk. 2. Offentlige myndigheder og offentligretlige organer
betaler for MitID-løsningen og NemLog-in gennem fælles‐
offentlig finansiering eller ved betaling af vederlag fastsat af
finansministeren.
Stk. 3. Finansministeren kan fastsætte regler om opkræv‐
ning af gebyr hos privatpersoner for registrering og udste‐
delse af MitID.
Kapitel 11
Regler om tilrådighedsstillelse og anvendelse for offentlige
myndigheder og offentligretlige organer
§ 16. Finansministeren fastsætter regler om tilrådigheds‐
stillelse for offentlige myndigheder og offentligretlige orga‐
ner, jf. §§ 3 og 8, og om offentlige myndigheder og offent‐
ligretlige organers tilslutning til og anvendelse af MitID-løs‐
ningen og NemLog-in.
Kapitel 12
Påbud
§ 17. Digitaliseringsstyrelsen kan meddele offentlige
myndigheder og offentligretlige organer påbud om at opfyl‐
de forpligtelser i henhold til § 6, stk. 1, og § 11, stk. 1.
Kapitel 13
Tilsyn
§ 18. Digitaliseringsstyrelsen fører tilsyn med drift, ved‐
ligeholdelse og forvaltning af MitID-løsningen og NemLog-
in, herunder med, at løsningerne overholder nationale stan‐
darder for e-id-ordninger.
Stk. 2. Finansministeren kan fastsætte nærmere regler om
Digitaliseringsstyrelsens tilsyn efter stk. 1, herunder om Di‐
gitaliseringsstyrelsens samarbejde med andre tilsynsmyndig‐
heder efter aftale med vedkommende minister.
Kapitel 14
Tavshedspligt
§ 19. Offentlige myndigheders medarbejdere og enhver,
der i øvrigt udøver bistand til offentlige myndigheder, er
under ansvar efter straffelovens §§ 152-152 f forpligtet til at
iagttage tavshed over for uvedkommende med hensyn til op‐
lysninger om den tekniske og sikkerhedsmæssige indretning
og om processer for opretholdelse, vedligeholdelse og drift
af sikkerhed i MitID-løsningen og NemLog-in.
Kapitel 15
Forvaltningslovens anvendelse
§ 20. Forvaltningsloven finder anvendelse på afgørelser
om udstedelse, spærring og genåbning af MitID, jf. § 4, stk.
2, som træffes af juridiske enheder, der er udpeget i medfør
af § 5, stk. 1.
Stk. 2. Forvaltningsloven finder anvendelse på afgørelser
om identitetssikring af juridiske enheder, spærring af bru‐
gerorganisationers adgang til Erhvervsadministration i Nem‐
Log-in og spærring af digitale identiteter, jf. § 9, stk. 4, som
træffes af juridiske enheder, der er udpeget i medfør af § 10.
Kapitel 16
Erstatningsansvar
§ 21. Digitaliseringsstyrelsen er erstatningsansvarlig over
for privatpersoner, offentlige myndigheder, offentligretlige
organer eller juridiske enheder som følge af fejl i forbindelse
med registrering og udstedelse af MitID og autentifikation
med MitID af en privatperson eller en erhvervsbruger, med‐
mindre Digitaliseringsstyrelsen kan godtgøre, at Digitalise‐
ringsstyrelsen ikke har handlet forsætligt eller uagtsomt.
Kapitel 17
Delegation
§ 22. Finansministeren kan efter aftale med
vedkommende minister bemyndige en anden statslig myn‐
dighed til at udøve de beføjelser, der i denne lov er tillagt
Digitaliseringsstyrelsen.
Kapitel 18
Tilvejebringelse af fremtidige elektroniske
identifikationsordninger
§ 23. Digitaliseringsstyrelsen kan samarbejde med offent‐
lige myndigheder, offentligretlige organer og juridiske en‐
heder om at tilvejebringe fremtidige elektroniske identifika‐
tionsordninger svarende til MitID-løsningen eller andre løs‐
ninger, der måtte træde i stedet herfor.
Afsnit VI
Ikrafttræden m.v.
Kapitel 19
Ikrafttræden og overgangsregler
§ 24. Finansministeren fastsætter tidspunktet for lovens
ikrafttræden og kan bestemme, at forskellige dele af loven
træder i kraft på forskellige tidspunkter.
§ 25. Finansministeren fastsætter tidspunktet for ophævel‐
se af lov nr. 439 af 8. maj 2018 om udstedelse af NemID
med offentlig digital signatur til fysiske personer og til med‐
arbejdere i juridiske enheder.
4
Kapitel 20
Færøerne og Grønland
§ 26. Loven gælder ikke for Færøerne og Grønland, men
kan ved kongelig anordning helt eller delvis sættes i kraft
for Færøerne og Grønland med de ændringer, som henholds‐
vis de færøske og de grønlandske forhold tilsiger. Loven kan
endvidere sættes i kraft på forskellige tidspunkter.
5