Alvorlig kritik af Digitaliseringsstyrelsen for utilstrækkelig sikkerhed ved MitID

Dette lovforslag etablerer den retlige ramme for Danmarks nye generation af national digital infrastruktur: MitID og NemLog-in. Formålet er at fremtidssikre de digitale løsninger, der er afgørende for borgernes og virksomheders interaktion med både den offentlige og private sektor. Lovforslaget erstatter den tidligere lov om NemID og lovfæster for første gang NemLog-in. Digitaliseringsstyrelsen får det overordnede myndighedsansvar for at stille begge løsninger til rådighed, hvilket sikrer et samlet statsligt ejerskab og en ensartet digital brugeroplevelse.

Lovens Anvendelsesområde og Definitioner

Loven omfatter to centrale infrastrukturløsninger:

• MitID-løsningen (§ 1, nr. 1): Defineres som Danmarks nationale elektroniske identifikationsordning (eID). Den udsteder den nationale digitale identitet, MitID, til privatpersoner og tilhørende identifikationsmidler (f.eks. app, kodeviser) til både privatpersoner og erhvervsbrugere.
• NemLog-in (§ 1, nr. 2): Defineres som den fællesoffentlige digitale infrastrukturløsning, der fungerer som broker og muliggør interaktion med digitale selvbetjeningsløsninger. NemLog-in er desuden identitetsgarant for erhvervsidentiteter.

Loven definerer centrale begreber som sikker autentifikation, der dækker sikringsniveauerne 'betydelig' og 'høj', samt roller som tjenesteudbyder (den, der udbyder en digital løsning) og broker (den, der formidler autentifikation).

MitID-løsningen (Afsnit II)

Tilrådighedsstillelse og Forvaltning (§ 3-5)

• Digitaliseringsstyrelsens ansvar: Styrelsen skal stille MitID-løsningen til rådighed og sikre dens udvikling, drift og vedligeholdelse.
• Rettigheder for brugere: Privatpersoner og erhvervsbrugere har ret til at få udstedt MitID, hvis de opfylder de fastsatte betingelser.
• Forvaltning: Digitaliseringsstyrelsen forvalter hele livscyklussen for MitID, herunder identitetssikring, udstedelse, spærring og genåbning. Finansministeren bemyndiges til at fastsætte detaljerede regler herom, inklusiv klageadgang.
• Udpegning af aktører: Kommunalbestyrelsen forpligtes til at varetage opgaver som udstedelse og spærring (typisk i borgerservice). Digitaliseringsstyrelsen kan også udpege andre, f.eks. private virksomheder som pengeinstitutter, til at varetage disse opgaver.

Anvendelse af MitID (§ 6-7)

• Offentlige myndigheder (pligt): Offentlige myndigheder og offentligretlige organer skal anvende MitID, når de udbyder en digital selvbetjeningsløsning til en myndighedsopgave, der kræver sikker autentifikation.
• Offentlige myndigheder (ret): De kan anvende MitID i andre tilfælde, f.eks. ved lavere sikkerhedskrav eller opgaver af ikke-myndighedskarakter.
• Private virksomheder: Juridiske enheder kan anvende MitID-løsningen efter aftale med Digitaliseringsstyrelsen.

NemLog-in (Afsnit III)

Tilrådighedsstillelse og Serviceområder (§ 8)

Digitaliseringsstyrelsen stiller NemLog-in til rådighed, som indeholder en række centrale serviceområder:

Forvaltning og Anvendelse (§ 9-12)

• Forvaltning: Digitaliseringsstyrelsen forvalter NemLog-in, herunder identitetssikring af virksomheder, der oprettes i Erhvervsadministrationen.
• Dobbelt Frivillighedsprincip (§ 9, stk. 3): En medarbejder kan anvende sit private MitID-identifikationsmiddel i erhvervssammenhæng, men det kræver accept fra både medarbejderen og arbejdsgiveren.
• Anvendelsespligt for det offentlige (§ 11): Offentlige myndigheder skal anvende serviceområderne Login og autentifikation samt Digital repræsentation, når de udfører myndighedsopgaver, der kræver sikker autentifikation.
• Frivillig anvendelse: Offentlige myndigheder kan vælge at anvende Digital signering og Erhvervsadministration. Private virksomheder kan anvende de fleste services efter aftale.

Behandling af Personoplysninger (Afsnit IV)

• Videregivelse af risikodata (§ 13): For at øge sikkerheden får Digitaliseringsstyrelsen hjemmel til at videregive risikodata (f.eks. om enhed, IP-adresse) om en konkret login-transaktion til en broker (f.eks. NemLog-in eller en bank). Brokeren kan på baggrund af disse data foretage en automatisk afgørelse om at afvise et login, hvis der er mistanke om svindel.
• Validering af signaturer (§ 14): Giver hjemmel til kortvarigt at behandle potentielt følsomme oplysninger i et sikret miljø for at validere et dokuments digitale signatur og integritet.

Øvrige Bestemmelser (Afsnit V)

• Finansiering og Gebyrer (§ 15): Private virksomheder betaler for brug via aftale. Offentlige myndigheder betaler via fællesoffentlig finansiering eller vederlag. Finansministeren kan fastsætte regler om gebyr for borgere, der ønsker flere fysiske identifikationsmidler end et fastsat antal (f.eks. mere end tre kodevisere).
• Tilsyn og Påbud (§ 17-18): Digitaliseringsstyrelsen fører tilsyn med løsningerne og kan udstede påbud til offentlige myndigheder, der ikke overholder deres forpligtelser.
• Erstatningsansvar (§ 21): Digitaliseringsstyrelsen er erstatningsansvarlig for tab som følge af fejl i håndteringen af MitID, medmindre styrelsen kan bevise, at den ikke har handlet uagtsomt. Dette er en vigtig retsgaranti for brugerne.
• Forvaltningslovens anvendelse (§ 20): Forvaltningsloven gælder for afgørelser om f.eks. afslag på eller spærring af MitID, selv når afgørelsen træffes af en udpeget privat virksomhed (f.eks. en bank). Dette sikrer borgeren rettigheder som partshøring, begrundelse og klagevejledning.

Ikrafttrædelse (Afsnit VI)

Finansministeren fastsætter, hvornår loven og dens enkelte dele træder i kraft. Loven vil med tiden ophæve den eksisterende lov om NemID.