Bekendtgørelse af lov om MitID og NemLog-in § 13

Der findes ikke gældende ret, som regulerer behandlingen af personoplysninger og videregivelse af risikodata for MitID-løsningen og NemLog-in. Bestemmelsen er dog fastsat ud fra iagttagelsen af gældende regler i databeskyttelsesforordningen (2016/679) og databeskyttelsesloven, lov nr. 502 af 23. maj 2018.

Den foreslåede § 13, stk. 1, medfører, at ved en privatpersons anvendelse af MitID eller en erhvervsbrugers anvendelse af det elektroniske identifikationsmiddel i MitID til login og autentifikation kan Digitaliseringsstyrelsen videregive autentifikationssvar, herunder risikodata vedrørende den konkrete og enkelte transaktion, til en broker, der er tilsluttet MitID-løsningen eller NemLog-in.

Med den foreslåede bestemmelse indføres hjemmel til, at Digitaliseringsstyrelsen kan videregive autentifikationssvar, herunder risikodata til en offentlig myndighed, et offentligretligt organ eller en juridisk enhed i rollen som broker i forbindelse med det enkelte login og autentifikation forbundet hermed. Autentifikationssvaret indeholder oplysninger om privatpersonen eller erhvervsbrugeren, der logger ind samt indsamlede risikodata, jf. de almindelige bemærkninger, afsnit 2.3.2.1. Hensynet til at opretholde tilliden til anvendelsen af MitID samt hensynet til at følge med den teknologiske udvikling gør, at der kan opstå behov for at ændre eller tilføje andre risikodata, der kan indsamles og videregives til risikovurdering af den enkelte transaktion, der gennemføres med MitID.

Om vurdering af behovet for en særskilt hjemmel henvises til de almindelige bemærkninger, afsnit 3.

Den hjemmel, der indføres til videregivelse af personoplysninger fra Digitaliseringsstyrelsen, indebærer, at en broker kan modtage og behandle autentifikationssvar, herunder risikodata til vurdering af risikoen ved hver enkelt konkrete transaktion. Formålet med videregivelse af risikodata er, at give brokeren en yderligere mulighed for at vurdere og afgøre om det modtagne svar af sikkerhedsmæssige årsager skal umuliggøre login på den pågældende tjeneste.

Ved modtagelsen af data bliver brokeren dataansvarlig herfor og skal i så henseende efterleve databeskyttelsesreglerne, herunder opfylde sin oplysningspligt over for de registrerede. I det omfang brokeren behandler modtagne autentifikationssvar og de deri indeholdte data til andet formål, vil det kræve, at brokeren har en selvstændig behandlingshjemmel hertil. Brokerens behandling af autentifikationssvar indebærer, at brokeren danner et autentifikationssvar, der kan beriges med andre af brokerens egne data. Andre data, som brokeren kan berige autentifikationssvaret med kan fx være rettigheder til at anvende et it-system. En sådan berigelse er derfor nødvendig for, at en bruger kan anvende en digital selvbetjeningsløsning, og et autentifikationssvar der ikke bliver beriget vil derfor fratage privatpersonen eller erhvervsbrugere, at interagere med den digitale selvbetjeningsløsning. Et eksempel på dette kunne være en erhvervsbruger, som af sin brugerorganisation har fået tilknyttet rettigheder til at kunne læse Digital Post for brugerorganisationen. Endvidere kan risikodata være undtaget i det autentifikationssvar, der formidles til en tjenesteudbyder, idet det er en forudsætning for en tjenesteudbyders modtagelse af risikodata, at tjenesteudbyderen har en særskilt hjemmel til at modtage disse.

En broker indgår en brokeraftale med Nets DanID A/S på vegne af partnerskabet mellem FR1 og Digitaliseringsstyrelsen. Aftalen indeholder en række af partnerskabet fastsatte vilkår for at blive og vedblive med at være broker. I relation til modtagelse af autentifikationssvar vil brokeren blive gjort opmærksom på, at brokeren alene kan anvende autentifikationssvar og de deri indeholdte data som anført i den foreslåede bestemmelse, og at enhver behandling herudover kræver, at brokeren har en selvstændig hjemmel hertil.

Den foreslåede § 13, stk. 2, medfører, at en broker kan foretage automatiske afgørelser om log-in på baggrund af risikodata videregivet efter stk. 1.

Med den foreslåede bestemmelse indføres i overensstemmelse med databeskyttelsesforordningen art. 22, stk. 2, b, hjemmel til, at en broker kan foretage automatiske afgørelser om, hvorvidt log-in i konkrete tilfælde skal tillades, afvises eller om der kan være behov for at iværksætte yderligere foranstaltninger for at sikre, at det er den rigtige privatperson og erhvervsbruger med et MitID-identifikationsmiddel, som ønsker log-in. De automatiske afgørelser i denne bestemmelse er ikke afgørelser i forvaltningslovens forstand, og det er op til den enkelte broker at beslutte, om der kan tillades log-in. Det er ligeledes op til den enkelte broker at beslutte, om denne vil anvende og agere på baggrund af de risikodata, som er videregivet efter stk. 1.

Brokeren foretager ikke vurderinger eller træffer afgørelser om de aktiviteter eller handlinger som privatpersonen eller erhvervsbrugeren med et MitID-identifikationsmiddel, ønsker at tilgå ved log-in på baggrund af anmodningen om autentifikation med det elektroniske identifikationsmiddel i MitID. Afgørelsernes formål er at sikre, om privatpersonen eller erhvervsbrugeren som indehaver af et MitID-identifikationsmiddel er identisk med den digitale identitet, som der logges ind med.

Den foreslåede § 13, stk. 3, medfører, at en broker, der i medfør af stk. 1 har modtaget autentifikationssvar, kan videregive det modtagne og behandlede autentifikationssvar til en tjenesteudbyder, der gennem pågældende broker, modtager autentifikationer fra MitID-løsningen.

Med den foreslåede bestemmelse kan brokere videregive det modtagne og af brokeren behandlede autentifikationssvar, jf. stk.1 og bemærkningerne hertil, til en tjenesteudbyder, der har indgået en aftale med den pågældende broker om at modtage autentifikationssvar. Brokerens behandling af autentifikationssvar indebærer, at brokeren danner et autentifikationssvar, som kan beriges med andre af brokerens egne data. De data, som autentifikationssvaret kan beriges med, kan fx være e-mailadresse og fødselsdato, der anvendes til at identificere brugeren over for tjenesteudbyderens digitale selvbetjeningsløsning.

Det er en forudsætning for, at MitID-løsningen kan fungere efter sit formål, at autentifikationssvaret videregives til den tjeneste, hvor brugeren ønsker at logge ind. Tjenesteudbyderen bliver i så henseende dataansvarlig for data indeholdt i autentifikationssvaret og skal i så henseende efterleve databeskyttelsesreglerne, herunder opfylde sin oplysningspligt over for de registrerede. I det omfang tjenesteudbyderen behandler modtagne autentifikationssvar og de deri indeholdte data til andet formål, vil det kræve, at tjenesteudbyderen har en selvstændig behandlingshjemmel hertil.

Den foreslåede § 13, stk. 4, medfører, at der ved en erhvervsbrugers anvendelse af et elektronisk identifikationsmiddel fra en lokal identitetsgarant tilsluttet NemLog-in kan Digitaliseringsstyrelsen videregive autentifikationssvar vedrørende den konkrete og enkelte transaktion til en broker, der er tilsluttet NemLog-in.

Med den foreslåede bestemmelse kan Digitaliseringsstyrelsen videregive autentifikationssvar til en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, i rollen som broker. Videregivelsen sker i forbindelse med det enkelte login og autentifikation og foretages under anvendelse af et identifikationsmiddel fra en lokal identitetsgarant, der er tilsluttet NemLog-in.

Tilslutningen til NemLog-in giver den lokale identitetsgarant mulighed for at knytte lokale identifikationsmidler til erhvervsidentiteterne i NemLog-in. En virksomhed vil således kunne tilknytte lokale identifikationsmider til virksomhedens ansatte. Derved kan et lokalt identifikationsmiddel anvendes til autentifikation internt hos den lokale identitetsgarant fx internt i en virksomhed og til autentifikation over for tjenesteudbydere tilsluttet en broker i NemLog-in.

Autentifikationssvaret indeholder oplysninger om erhvervsbrugeren, der logger ind, jf. de almindelige bemærkninger, afsnit 2.2.2.

Tilslutning af brokere til NemLog-in med henblik på at kunne modtage autentifikation på baggrund af et identifikationsmiddel fra en lokal identitetsgarant sker ved indgåelse af særskilt aftale.

Den foreslåede § 13, stk. 5, medfører, at en broker, der i medfør af stk. 4 har modtaget autentifikationssvar, kan videregive det modtagne og behandlede autentifikationssvar til en tjenesteudbyder, der gennem en broker, modtager autentifikationer fra NemLog-in.

I medfør af den foreslåede bestemmelse kan en broker, videregive autentifikationssvar til en tjenesteudbyder, der har indgået en aftale med den pågældende broker, om at modtage autentifikationssvar.

Det er en forudsætning for, at NemLog-in-løsningen kan fungere efter sit formål og muliggøre anvendelsen af identifikationsmidler fra lokale identitetsgaranter, at autentifikationssvaret videregives til den tjeneste, hvor erhvervsbrugeren ønsker at logge ind. Tjenesteudbyderen bliver i denne henseende dataansvarlig for data indeholdt i autentifikationssvaret og skal i så henseende efterleve databeskyttelsesreglerne, herunder opfylde sin oplysningspligt over for de registrerede. I det omfang tjenesteudbyderen behandler modtagne autentifikationssvar og de deri indeholdte data til andet formål, vil det kræve, at tjenesteudbyderen har en selvstændig behandlingshjemmel hertil.