Bekendtgørelse af lov om MitID og NemLog-in § 11

NemLog-in er ikke lovreguleret i dag. Området er derimod reguleret kontraktuelt mellem Digitaliseringsstyrelsen og den private virksomhed NNIT A/S. I dag varetages opgaven med drift af NemLog-in af NNIT A/S.

Det fremgår af tekstanmærkning nr. 124, stk. 1 ad 07.12.02 til § 7 på finansloven fra 2020, at ministeren for offentlig innovation, nu finansministeren, bemyndiges til at indføre de myndigheder mv., der fremgår af bilag 1a, 1b og bilag 1c i bekendtgørelse nr. 1078 af 3. oktober 2014 om offentlige afsendere i Offentlig Digital Post og desuden domstolene, KL, Danske Regioner, Metroselskabet I/S, Udviklingsselskabet By Havn I/S, Odense Letbane P/S og Aarhus Letbane I/S som parter i Digitaliseringsstyrelsens aftale med leverandøren af NemLog-in. Derudover fremgår det af tekstanmærkning nr. 124, stk. 2, at de offentlige myndigheder, selvejende institutioner mv. kan vælge at gøre brug af aftalen.

For en nærmere beskrivelse af NemLog-in henvises til de almindelige bemærkninger afsnit 2.2.

Den foreslåede § 11, stk. 1, nr. 1 medfører, at offentlige myndigheder og offentligretlige organer, som anvender en digital selvbetjeningsløsning til at udføre en myndighedsopgave, i rollen som tjenesteudbydere skal anvende serviceområdet Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis adgangen til den digitale selvbetjeningsløsning kræver sikker autentifikation.

Bestemmelsen forpligter offentlige myndigheder og offentligretlige organer til som tjenesteudbydere at anvende serviceområdet Login og autentifikation.

Med den foreslåede stk. 1, nr. 1, skal offentlige myndigheder og offentligretlige organer, som anvender en digital selvbetjeningsløsning til at udføre en myndighedsopgave anvende Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis adgangen til den digitale selvbetjeningsløsning kræver sikker autentifikation. Det er alene, når den offentlige myndighed eller det offentligretlige organ agerer i rollen som tjenesteudbyder, at pligten indtræder. Det indebærer, at it-løsninger, som alene fungerer som intranet og øvrige interne sagsbehandlingssystemer, som ikke er offentligt tilgængelige for borgere mv., ikke vil være omfattet af pligten. Ligeledes kan offentlige myndigheder og offentligretlige organer fortsat anvende andre former for autentifikation, hvis deres digitale selvbetjeningsløsninger ikke vedrører myndighedsopgaver eller ikke kræver sikker autentifikation.

Når offentlige myndigheder og offentligretlige organer forpligtes til at anvende serviceområdet Login og autentifikation i rollen som tjenesteudbydere, sikres det, at privatpersoner og erhvervsbrugere oplever genkendelighed og tillid i deres møde med offentlige digitale selvbetjeningsløsninger.

Privatpersoner og erhvervsbrugere vil opleve, at autentifikation og login foregår på den samme måde, når de skal tilgå en offentlig digital selvbetjeningsløsning. Der findes på marked for Login- og autentifikationsservices ikke andre løsninger, som går på tværs af den offentlige sektor. Således tilbydes serviceområdet Login og autentifikation som en eksklusiv løsning til sikker autentifikation ved adgangen til de offentlige digitale selvbetjeningsløsninger.

Visse væsentlige funktioner i serviceområdet Login og autentifikation i NemLog-in er alene tilgængelige for den offentlige sektor. En af de væsentlige funktioner er funktionen Single sign-on, som sikrer en ubrudt og sammenhængende brugerrejse på tværs af de offentlige løsninger, således at en privatperson eller en erhvervsbruger alene afkræves et enkelt login ved adgangen til de tilsluttede offentlige selvbetjeningsløsninger. Det giver privatpersoner og erhvervsbrugere en ensartet, sikker og enkel brugerrejse ved anvendelse af de offentlige digitale selvbetjeningsløsninger. Der henvises til bemærkningerne til § 8, stk. 2, nr. 1.

Det er væsentligt, at privatpersoner og erhvervsbrugere fortsat kan betjene sig digitalt og sikkert i den offentlige sektor. Det understøttes ved, at NemLog-in anvendes på tværs af hele den offentlige sektor, når offentlige myndigheder og offentligretlige organer indtager rollen som tjenesteudbydere.

NemLog-in har en central rolle i den nationale digitale infrastruktur, idet NemLog-in sammen med MitID skaber en nem og sikker mulighed for privatpersoner og erhvervsbrugere til selv at varetage opgaver i de offentlige digitale selvbetjeningsløsninger, hvor der tidligere krævedes fysisk fremmøde fx hos kommunen. For at sikre, at dette kan ske, skal offentlige myndigheder og offentligretlige organer, som anvender en digital selvbetjeningsløsning til at udføre en myndighedsopgave, anvende serviceområdet Login og autentifikation.

I de tilfælde, hvor offentlige myndigheder og offentligretlige organer forpligtes til at anvende serviceområderne i NemLog-in, jf. § 11, sker det med henblik på at sikre den offentlige orden og sikkerhed, samt hensynet til de samfundsøkonomiske overvejelser om fælles anskaffelse af it-løsninger i staten, jf. afsnit 2.3 i de almindelige bemærkninger.

Bestemmelsen medfører, at offentlige myndigheder og offentligretlige organer, når de udfører en myndighedsopgave med behov for repræsentation i digitale selvbetjeningsløsninger, forpligtes til at stille serviceområdet Digital repræsentation til rådighed. Digital repræsentation kræver altid sikker autentifikation, jf. bemærkningerne til den foreslåede § 8, stk. 2, nr. 2.

Når serviceområdet Digital repræsentation anvendes af offentlige myndigheder og offentligretlige organer, bliver det muligt for en privatperson og en erhvervsbruger at anvende digital repræsentation i digitale selvbetjeningsløsninger på tværs af myndighedsområder i én samlet offentlig digital løsning.

Med den foreslåede stk. 2, nr. 2 understøttes muligheden for at digitalisere partsrepræsentation i medfør af forvaltningslovens § 8 i offentligt regi. Derudover kan Digital repræsentation i nogle tilfælde anvendes af privatpersoner, som repræsenteres ved værgemål eller på anden måde repræsenteres i offentligt regi.

Pligten gælder, når offentlige myndigheder og offentligretlige organer i deres digitale selvbetjeningsløsninger tilbyder, at en privatperson eller en erhvervsbruger kan lade sig repræsentere eller bistå af andre. I henhold til lovens § 8, stk. 2, nr. 2, er det alene tegningsberettigede erhvervsbrugere, som kan tegne en juridisk enhed fuldstændigt, som kan anvende serviceområdet, dvs. både tegningsberettigede i enkeltmandsvirksomheder og i fx anpartsvirksomheder kan anvende løsningen. Det er en forudsætning, at den tegningsberettigede anvender MitID privat til erhverv for at anvende serviceområdet Digital repræsentation. Når erhvervsbrugere, som anvender MitID privat til erhverv, afgiver rettigheder til en anden erhvervsbruger benævnes det som digitale erhvervsfuldmagter i NemLog-in. Pligten gælder alene for offentlige myndigheder og offentligretlige organer i rollen som tjenesteudbydere.

Pligten har ydermere til formål at stille repræsentationsløsningen til rådighed for at sikre en ensartet brugerrejse på tværs af den offentlige sektor ved anvendelsen af repræsentationsløsninger. Det giver mulighed for, at privatpersoner og erhvervsbrugere nemt kan lade sig repræsentere digitalt i den offentlig sektor ved alene at skulle anvende én samlet løsning for repræsentation som alternativ til anvendelse af flere løsninger, som ligeledes kan variere efter myndighedsområder.

Offentlige myndigheder og offentligretlige organer skal stille Digital repræsentation til rådighed, hvis det er muligt at foretage repræsentation i deres digitale selvbetjeningsløsninger, fx med henblik på den forvaltningsretlige repræsentationsadgang, som er fastsat i forvaltningslovens § 8, stk. 1.

Hvis funktionaliteten i serviceområdet Digital repræsentation ikke tilstrækkeligt understøtter behovet for repræsentation hos en offentlig myndighed eller et offentligretligt organ, kan disse vælge at tilbyde en sekundær løsning til den del af repræsentationen, som serviceområdet Digital repræsentation ikke understøtter. En sekundær løsning skal således alene fungere som et supplement til serviceområdet Digital repræsentation. Dette indebærer, at en myndighed eller et offentligretligt organ som minimum skal tilbyde adgang til serviceområdet Digital repræsentation, såfremt der udføres en myndighedsopgave og er behov for repræsentation i digitale selvbetjeningsløsninger. Serviceområdet Digital repræsentation kan derfor betragtes som en basisløsning for offentlig Digital repræsentation. Digital repræsentation kan kun anvendes af offentlige myndigheder og offentligretlige organer.

Hvis Digital repræsentation ikke hensigtsmæssigt kan sameksistere med en sekundær løsning og dermed ikke kan imødekomme nødvendige forretningsmæssige- og tekniske krav for et givent myndighedsområde, kan den offentlige myndighed eller det offentligretlige organ anvende egen infrastruktur.

I takt med videreudvikling af Digital repræsentation til teknisk bredere understøttelse af forskellige komplekse forretningsmæssige behov, skal offentlige myndigheder og offentligretlige organer genoverveje muligheden for anvendelsen af Digital repræsentation ved udskiftning af egen infrastruktur.

Bestemmelsens foreslåede § 11, stk. 2, nr. 1, medfører, at offentlige myndigheder og offentligretlige organer i rollen som tjenesteudbydere kan anvende serviceområdet Login og autentifikation, jf. § 8, stk. 2, nr. 1, hvis adgangen til den digitale selvbetjeningsløsning ikke kræver sikker autentifikation eller hvis der ikke udføres en myndighedsopgave.

Med bestemmelsen skabes der en ret i loven for offentlige myndigheder og offentligretlige organer i rollen som tjenesteudbydere, til at anvende serviceområdet Login og autentifikation.

Bestemmelsen giver således offentlige myndigheder og offentligretlige organer en ret til som tjenesteudbydere at anvende serviceområdet Login og autentifikation, jf. § 8, stk. 2 nr. 1, hvis adgangen til den digitale selvbetjeningsløsning ikke kræver sikker autentifikation, eller hvis der ikke udføres en myndighedsopgave, jf. bemærkningerne til den foreslåede § 2, nr. 10 og 11. Det indebærer, at offentlige myndigheder og offentligretlige organer kan vælge at tilbyde privatpersoner eller erhvervsbrugere adgang til deres digitale selvbetjeningsløsninger med serviceområdet Login og autentifikation. Den lovskabte ret indebærer, at offentlige myndigheder og offentligretlige organer får en mulighed for at anvende serviceområdet Login og autentifikation i medfør af loven.

Det er den enkelte offentlige myndighed eller det offentligretlige organ, som må vurdere, om pågældende offentlige myndighed eller offentligretlige organ udfører en myndighedsopgave. I vurderingen kan medregnes opgaver, som er pålagt den offentlige myndighed eller det offentligretlige organ ved lov eller anden retsakt, opgaver hvor myndigheden eller det offentligretlige organ er ordregivende myndighed og desuden opgaver, som umiddelbart synes at ligge inden for myndigheds eller det offentligretlige organs ressort og som løses af myndigheden eller det offentligretlige organ. I vurderingen af om der udføres en myndighedsopgave suppleres det formelle kriterier for myndighedens eller det offentligretlige organs struktur med et materielt kriterium. Der henvises i øvrigt til definitionen af offentlige myndighed og offentligretligt organ. De offentlige myndigheder, som er omfattet af pligten i § 11, stk. 2, nr. 1, er offentlige myndigheder i henhold til denne lovs definition i § 2, nr. 10. De offentligretlige organer, som er omfattet af pligten i § 11, stk. 2, nr. 1, er offentligretlige organer i henhold til denne lovs definition i § 2, nr. 11.

Bestemmelsens foreslåede § 11, stk. 2, nr. 2, medfører, at offentlige myndigheder og offentligretlige organer i rollen som tjenesteudbydere kan anvende serviceområdet Digital signering, jf. § 8, stk. 2, nr. 3. Det foreslås med nr. 2, at offentlige myndigheder og offentligretlige organer i rollen som tjenesteudbydere kan anvende serviceområdet Digital signering, jf. § 8, stk. 2 nr. 3. Digital signering kan alene ske på baggrund af autentifikation, der opfylder NSIS-standardens definition af sikringsniveau betydelig og høj og tillige opfylder kravene i eIDAS-forordningens artikel 24, stk. 1.

Offentlige myndigheder og offentligretlige organer kan således vælge at anvende serviceområdet Digital signering i NemLog-in, hvis de har en digital selvbetjeningsløsning, hvor der udstilles digitalt signerede dokumenter, eller hvor det er muligt for privatpersoner og erhvervsbrugere at foretage digital signering. Ved udstilling af digital signering muliggør en tjenesteudbyder i deres digitale selvbetjeningsløsninger, at en privatperson eller en erhvervsbruger kan anvende serviceområdet Digital signering i NemLog-in. For at offentlige myndigheder og offentligretlige organer kan anvende serviceområdet Digital signering i NemLog-in, skal de tilsluttes serviceområdet Digital signering i NemLog-in som tjenesteudbydere, så de kan udbyde muligheden for signering af indhold i deres digitale selvbetjeningsløsning.

Når offentlige myndigheder og offentligretlige organer gives en ret til at anvende serviceområdet Digital signering, understøttes de i at tilbyde privatpersoner og erhvervsbrugere en sagsbehandling og procedure, som fuldt ud kan digitaliseres. Med offentlige myndigheders og offentligretlige organers anvendelse af serviceområdet Digital signering, vil privatpersoner og erhvervsbrugere genkende signeringstjenesten på tværs af den offentlige sektor.

Signaturer afgivet i serviceområdet valideres ensartet i serviceområdets valideringstjeneste uanset hvilken offentlig myndighed eller offentligretligt organ, der som tjenesteudbyder har anvendt servicen. Ved valideringen kontrolleres bl.a. det digitale dokuments integritet og det konstateres i denne forbindelse om dokumentet er ændret efter at signaturen er afgivet. For behandling af persondata i forbindelse med valideringen i serviceområdet Digital signering i NemLog-in, henvises til denne lovs foreslåede § 14.

Bestemmelsens foreslåede § 11, stk. 3, medfører, at offentlige myndigheder og offentligretlige organer i rollen som brugerorganisationer kan anvende serviceområdet Erhvervsadministration, jf. § 8, stk. 3.

Med den foreslåede stk. 3 skabes der en ret i loven til for offentlige myndigheder og offentligretlige organer i rollen som brugerorganisation at benytte serviceområdet Erhvervsadministration i NemLog-in, jf. § 8, stk. 3. Serviceområdet Erhvervsadministration giver offentlige myndigheder og offentligretlige organer mulighed for at oprette, administrere og anvende digitale erhvervsidentiteter samt tildele og administrere elektroniske identifikationsmidler.

Endelig kan offentlige myndigheder og offentligretlige organer med serviceområdet Erhvervsadministration vælge at tildele og administrere rettigheder og certifikater til erhvervsidentiteter oprettet i serviceområdet.

Det er hensigten med retten til at anvende serviceområdet Erhvervsadministration, at offentlige myndigheder og offentligretlige organer tilbydes et redskab til at digitalisere styringen af digitale erhvervsidentiteter. Endvidere kan offentlige myndigheder og offentligretlige organer med retten til at anvende serviceområdet Erhvervsadministration vælge at anvende en løsning, som fungerer på tværs af den offentlige sektor. Løsningen vil derved udgøre et effektivt arbejdsredskab, som blandt andet understøtter samarbejdet på tværs af den offentlige sektor.

Offentlige myndigheder og offentligretlige organer kan i rollen som brugerorganisation i serviceområdet Erhvervsadministration yderligere vælge at oprette sig som lokal identitetsgarant i NemLog-in.

Den foreslåede § 11, stk. 4, 1. led, medfører, at offentlige myndigheder og offentligretlige organer i de i stk. 1 anførte tilfælde skal anskaffe serviceområderne fra Digitaliseringsstyrelsen.

Med bestemmelsen fastsættes det, at de nævnte serviceområder skal anskaffes fra Digitaliseringsstyrelsen. Betingelserne for anskaffelsen fremgår af § 16 og § 15, stk. 3. Der henvises til bemærkningerne til § 16 og § 15, stk. 3.

Bestemmelsen har til formål at understrege, hvornår de offentlige myndigheder og offentligretlige organer har en pligt til at anskaffe sig serviceområderne i NemLog-in. For en nærmere beskrivelse af de enkelte serviceområder i NemLog-in henvises til bemærkningerne til § 8, stk. 2 og 3.

I de tilfælde, hvor offentlige myndigheder og offentligretlige organer forpligtes til at anvende serviceområderne i NemLog-in, jf. § 11, sker det med henblik på at sikre den offentlige orden og sikkerhed, samt hensynet til de samfundsøkonomiske overvejelser om fælles anskaffelse af it-løsninger i staten, jf. afsnit 2.3 i de almindelige bemærkninger.

Det skal bemærkes, at der er et væsentligt hensyn til, at der sikres en høj grad af tillid og sikkerhed på tværs af de offentlige digitale selvbetjeningsløsninger. Det afgørende for, at de offentlige myndigheder og offentligretlige organer forpligtes til at anvende serviceområderne er, om de anvender en digital selvbetjeningsløsning til at udføre en myndighedsopgave. Omvendt vil der ikke gælde en pligt til at anvende de nævnte serviceområder, såfremt en myndighed eller et offentligretligt organ ikke udfører en myndighedsopgave på en digital selvbetjeningsløsning. Det er op til den enkelte myndighed og det offentligretlige organ at vurdere, hvorvidt de materielt set udfører en myndighedsopgave, der henvises til bemærkningerne i den foreslåede § 2, nr. 10 og nr. 11. For en definition af en digital selvbetjeningsløsning henvises der endvidere til den foreslåede § 2, nr. 12.

Den foreslåede § 11, stk. 4, 2. led, medfører, at offentlige myndigheder og offentligretlige organer i de i stk. 2 og 3 anførte tilfælde kan anskaffe serviceområderne fra Digitaliseringsstyrelsen.

Med bestemmelsens 2. led fastsættes det, hvilke serviceområder, som kan anskaffes fra Digitaliseringsstyrelsen. Betingelserne for anskaffelsen fremgår af § 16 og § 15, stk. 3. Der henvises til bemærkningerne til § 16 og § 15, stk. 3.

Bestemmelsen har til formål at understrege, hvornår de offentlige myndigheder og offentligretlige organer har en ret til at anskaffe sig serviceområderne i NemLog-in. For en nærmere beskrivelse af de enkelte serviceområder i NemLog-in henvises til bemærkningerne til § 8, stk. 2 og 3.