Lovforslaget giver juridiske enheder fra andre EU-/EØS-lande ret til at tilslutte sig MitID-løsningen.
Det bliver muligt for både offentlige og private aktører at anvende MitID og NemLog-in til at give medarbejdere adgang til interne it-systemer.
Definitionen af 'juridisk enhed' udvides til at omfatte enheder registreret i et officielt register i et andet EU-/EØS-land.
Det præciseres, at tilslutning til NemLog-ins serviceområder fortsat kræver et dansk CVR-nummer.
Offentlige myndigheder får en ret, men ikke en pligt, til at anvende MitID og NemLog-in for adgang til interne systemer som f.eks. intranet.
Lovændringen er primært af juridisk-teknisk karakter for at sikre overensstemmelse med EU-retten og imødekomme forretningsbehov.
Loven træder i kraft den 1. januar 2024.
Lovforslaget har to overordnede formål. For det første skal det gøre det muligt for juridiske enheder, der er registreret i et andet EU- eller EØS-land, at tilslutte sig og anvende MitID-løsningen. Dette sker for at bringe dansk lovgivning i overensstemmelse med EU-rettens princip om fri bevægelighed for tjenesteydelser. For det andet har forslaget til formål at tydeliggøre, at både offentlige myndigheder og private virksomheder kan anvende MitID og NemLog-in til at give medarbejdere og andre associerede personer adgang til deres interne it-systemer.
Tilslutning for juridiske enheder fra EU/EØS
Lovforslaget ændrer definitionen af en juridisk enhed i loven. Før dækkede begrebet kun enheder med et dansk CVR-nummer. Med ændringen omfatter definitionen nu også:
Juridiske enheder, som er registreret i et register i et andet EU-/EØS-land, der svarer til det danske CVR-register.
Dette betyder, at udenlandske virksomheder fra EU/EØS kan tilslutte sig MitID-løsningen, f.eks. som broker eller via en privat broker, uden at have et dansk CVR-nummer. Dette skal understøtte deres mulighed for at udbyde tjenester i Danmark.
Det er dog vigtigt at bemærke, at loven fastholder et krav om CVR-nummer for tilslutning til NemLog-in. Den nye § 8, stk. 4, præciserer, at kun juridiske enheder med CVR-nummer kan tilsluttes serviceområderne i NemLog-in.
Enhedstype
Tilslutning til MitID-løsningen
Tilslutning til NemLog-in
Juridisk enhed med dansk CVR-nr.
Ja
Ja
Juridisk enhed fra andet EU/EØS-land
Ja
Nej (kræver CVR-nummer)
Anvendelse til interne it-systemer
Lovforslaget indfører en klar hjemmel til at anvende MitID og NemLog-in til autentifikation over for interne it-systemer. Dette gælder både for offentlige myndigheder og private virksomheder.
Et internt it-system defineres som et system, der kan tilgås af privatpersoner eller erhvervsbrugere, som er associeret med tjenesteudbyderen (f.eks. medarbejdere, konsulenter m.v.). Eksempler kan være sagsbehandlingssystemer eller intranet.
Offentlige myndigheder og offentligretlige organer får en ret, men ikke en pligt, til at anvende MitID og NemLog-in til at give adgang til deres interne systemer. De kan anskaffe løsningen direkte fra Digitaliseringsstyrelsen uden særskilt udbud.
Serviceområder i NemLog-in, såsom Login og autentifikation og Digital signering, udvides eksplicit til også at kunne anvendes i interne it-systemer.
Formålet er at understøtte digitale arbejdsgange ved at genbruge en kendt og sikker autentifikationsløsning, hvilket kan være en administrativ lettelse for mange organisationer.
Ikrafttrædelse og territorial anvendelse
Loven træder i kraft den 1. januar 2024.
Loven gælder ikke for Færøerne og Grønland, men kan sættes i kraft ved kongelig anordning med de nødvendige tilpasninger.
Dette lovforslag etablerer den retlige ramme for Danmarks nye generation af national digital infrastruktur: MitID og NemLog-in. Formålet er at fremtidssikre de digitale løsninger, der er afgørende for borgernes og virksomheders interaktion med både den offentlige og private sektor. Lovforslaget erstatter den tidligere lov om NemID og lovfæster for første gang NemLog-in. Digitaliseringsstyrelsen får det overordnede myndighedsansvar for at stille begge løsninger til rådighed, hvilket sikrer et samlet statsligt ejerskab og en ensartet digital brugeroplevelse.
Lovens Anvendelsesområde og Definitioner
Loven omfatter to centrale infrastrukturløsninger:
MitID skal også kunne anvendes af danskere i de nordiske og baltiske lande
Udenlandsdanskere i de nordiske og baltiske lande skal kunne bruge MitID til at logge på de lokale offentlige digitale løsninger. Det har digitaliseringsministrene i Nordisk Ministerråd vedtaget i dag.
Skal du bruge MitID eller NemID når du sender ansøgninger til Familieretshuset?
Borgere skal i en overgangsperiode frem til årsskiftet benytte både MitID og NemID alt efter hvilken selvbetjeningsløsning de anvender.
MitID-løsningen (§ 1, nr. 1): Defineres som Danmarks nationale elektroniske identifikationsordning (eID). Den udsteder den nationale digitale identitet, MitID, til privatpersoner og tilhørende identifikationsmidler (f.eks. app, kodeviser) til både privatpersoner og erhvervsbrugere.
NemLog-in (§ 1, nr. 2): Defineres som den fællesoffentlige digitale infrastrukturløsning, der fungerer som broker og muliggør interaktion med digitale selvbetjeningsløsninger. NemLog-in er desuden identitetsgarant for erhvervsidentiteter.
Loven definerer centrale begreber som sikker autentifikation, der dækker sikringsniveauerne 'betydelig' og 'høj', samt roller som tjenesteudbyder (den, der udbyder en digital løsning) og broker (den, der formidler autentifikation).
MitID-løsningen (Afsnit II)
Tilrådighedsstillelse og Forvaltning (§ 3-5)
Digitaliseringsstyrelsens ansvar: Styrelsen skal stille MitID-løsningen til rådighed og sikre dens udvikling, drift og vedligeholdelse.
Rettigheder for brugere: Privatpersoner og erhvervsbrugere har ret til at få udstedt MitID, hvis de opfylder de fastsatte betingelser.
Forvaltning: Digitaliseringsstyrelsen forvalter hele livscyklussen for MitID, herunder identitetssikring, udstedelse, spærring og genåbning. Finansministeren bemyndiges til at fastsætte detaljerede regler herom, inklusiv klageadgang.
Udpegning af aktører: Kommunalbestyrelsen forpligtes til at varetage opgaver som udstedelse og spærring (typisk i borgerservice). Digitaliseringsstyrelsen kan også udpege andre, f.eks. private virksomheder som pengeinstitutter, til at varetage disse opgaver.
Anvendelse af MitID (§ 6-7)
Offentlige myndigheder (pligt): Offentlige myndigheder og offentligretlige organer skal anvende MitID, når de udbyder en digital selvbetjeningsløsning til en myndighedsopgave, der kræver sikker autentifikation.
Offentlige myndigheder (ret): De kan anvende MitID i andre tilfælde, f.eks. ved lavere sikkerhedskrav eller opgaver af ikke-myndighedskarakter.
Private virksomheder: Juridiske enheder kan anvende MitID-løsningen efter aftale med Digitaliseringsstyrelsen.
NemLog-in (Afsnit III)
Tilrådighedsstillelse og Serviceområder (§ 8)
Digitaliseringsstyrelsen stiller NemLog-in til rådighed, som indeholder en række centrale serviceområder:
Serviceområde
Beskrivelse
Login og autentifikation
Sikrer, at brugere kan logge ind på digitale selvbetjeningsløsninger. Fungerer som den fællesoffentlige broker og muliggør Single Sign-On på tværs af offentlige tjenester.
Digital repræsentation
Gør det muligt for en privatperson eller juridisk enhed at lade sig repræsentere digitalt af en anden (digital fuldmagt).
Digital signering
En central service, der gør det muligt at underskrive dokumenter digitalt med samme retsvirkning som en fysisk underskrift. Dette er adskilt fra selve MitID.
Erhvervsadministration
Også kendt som MitID Erhverv. Giver virksomheder og myndigheder mulighed for at oprette og administrere digitale identiteter, rettigheder og certifikater for deres medarbejdere (erhvervsbrugere).
Forvaltning og Anvendelse (§ 9-12)
Forvaltning: Digitaliseringsstyrelsen forvalter NemLog-in, herunder identitetssikring af virksomheder, der oprettes i Erhvervsadministrationen.
Dobbelt Frivillighedsprincip (§ 9, stk. 3): En medarbejder kan anvende sit private MitID-identifikationsmiddel i erhvervssammenhæng, men det kræver accept fra både medarbejderen og arbejdsgiveren.
Anvendelsespligt for det offentlige (§ 11): Offentlige myndigheder skal anvende serviceområderne Login og autentifikation samt Digital repræsentation, når de udfører myndighedsopgaver, der kræver sikker autentifikation.
Frivillig anvendelse: Offentlige myndigheder kan vælge at anvende Digital signering og Erhvervsadministration. Private virksomheder kan anvende de fleste services efter aftale.
Behandling af Personoplysninger (Afsnit IV)
Videregivelse af risikodata (§ 13): For at øge sikkerheden får Digitaliseringsstyrelsen hjemmel til at videregive risikodata (f.eks. om enhed, IP-adresse) om en konkret login-transaktion til en broker (f.eks. NemLog-in eller en bank). Brokeren kan på baggrund af disse data foretage en automatisk afgørelse om at afvise et login, hvis der er mistanke om svindel.
Validering af signaturer (§ 14): Giver hjemmel til kortvarigt at behandle potentielt følsomme oplysninger i et sikret miljø for at validere et dokuments digitale signatur og integritet.
Øvrige Bestemmelser (Afsnit V)
Finansiering og Gebyrer (§ 15): Private virksomheder betaler for brug via aftale. Offentlige myndigheder betaler via fællesoffentlig finansiering eller vederlag. Finansministeren kan fastsætte regler om gebyr for borgere, der ønsker flere fysiske identifikationsmidler end et fastsat antal (f.eks. mere end tre kodevisere).
Tilsyn og Påbud (§ 17-18): Digitaliseringsstyrelsen fører tilsyn med løsningerne og kan udstede påbud til offentlige myndigheder, der ikke overholder deres forpligtelser.
Erstatningsansvar (§ 21): Digitaliseringsstyrelsen er erstatningsansvarlig for tab som følge af fejl i håndteringen af MitID, medmindre styrelsen kan bevise, at den ikke har handlet uagtsomt. Dette er en vigtig retsgaranti for brugerne.
Forvaltningslovens anvendelse (§ 20): Forvaltningsloven gælder for afgørelser om f.eks. afslag på eller spærring af MitID, selv når afgørelsen træffes af en udpeget privat virksomhed (f.eks. en bank). Dette sikrer borgeren rettigheder som partshøring, begrundelse og klagevejledning.
Ikrafttrædelse (Afsnit VI)
Finansministeren fastsætter, hvornår loven og dens enkelte dele træder i kraft. Loven vil med tiden ophæve den eksisterende lov om NemID.