Bekendtgørelse af lov om MitID og NemLog-in § 14

Der findes ikke gældende ret, som regulerer behandlingen af personoplysninger og videregivelse af risikodata for MitID-løsningen og NemLog-in. Bestemmelsen er dog fastsat ud fra iagttagelsen af gældende regler i databeskyttelsesforordningen og databeskyttelsesloven.

Den foreslåede § 14, medfører, at Digitaliseringsstyrelsen kortvarigt og i et sikret teknisk miljø kan behandle følsomme personoplysninger, i forbindelse med validering af digitale signaturer i valideringstjenesten i serviceområdet Digital signering.

Med den foreslåede bestemmelse indføres hjemmel til, at Digitaliseringsstyrelsen i medfør af databeskyttelsesforordningens art. 9, stk. 2, litra g, kan behandle personoplysninger omfattet af databeskyttelsesforordningen artikel 9, stk. 1, i forbindelse med validering af en digital signatur i Digitaliseringsstyrelsens valideringstjeneste under serviceområdet Digital signering.

Baggrunden for bestemmelsen er, at valideringstjenesten i serviceområdet Digital signering i overensstemmelse med dens formål kan behandle de data, som er nødvendige for at kunne foretage valideringen. Der kan således potentielt behandles alle former for data, herunder følsomme personoplysninger omfattet af persondataforordningens artikel 9, stk. 1. Den behandling, der sker i valideringstjenesten er udelukkende maskinel. Den maskinelle behandling består i dannelse af en checksum, der senere kan sammenlignes med en på et senere tidspunkt dannet checksum. På den måde sikres, at der ikke sket ændringer af data, hvorved det underskrevne dokuments bevisværdi sikres og senere kan sandsynliggøres.

Det er Finansministeriets vurdering, at den maskinelle behandling kan rummes inden for bestemmelsen i databeskyttelsesforordningens art 9, stk. 2, litra g, der bestemmer, at personoplysninger omfattet af art. 9, stk. 1 lovligt kan behandles, såfremt behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser, og i øvrigt står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger i form af en kortvarig behandling i et sikret miljø, til beskyttelse af den registreredes grundlæggende rettigheder og interesser. Den kortvarige behandling vil alene ske i det moment, hvor selve valideringen foregår. Det skal bemærkes, at de data, som kortvarigt behandles i et sikret miljø i forbindelse med valideringen, vil blive slettet efter valideringen er foretaget. Som resultat af valideringen vil der således alene være en checksum, som beretter om dokumentets validitet.

Efter Finansministeriets vurdering udgør det en væsentlig samfundsinteresse, at de digitale infrastrukturløsninger er effektive og kan opfylde de behov, der er i den analoge verden. En analog underskrift og parafering af dokumenter til sikring af, at der ikke sker uønskede eller utilsigtede ændringer er således et eksempel på et behov, der findes i den analoge verden. Signering og efterfølgende validering i valideringstjenesten opfylder på digital vis dette behov. Det er endvidere Finansministeriets vurdering, at behandlingen står i rimeligt forhold til det mål, der forfølges samt respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

Digitaliseringsstyrelsens valideringstjeneste har karakter af en kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer udstedt i medfør af eIDAS-forordningen.

Valideringstjenesten er offentligt tilgængelig og kan validere digitale signaturer afgivet i NemLog-in i serviceområde Digital signering samt digitale signaturer, der opfylder standarder fastlagt af EU-Kommissionen i henhold til eIDAS-forordningens artikel 27, stk. 5, og artikel 37, stk. 5. Tjenesten understøtter offentlige myndigheder og offentligretlige organers modtagelse af kvalificerede elektroniske signaturer og kvalificerede elektroniske segl fra en anden medlemsstat som led i gensidig anerkendelse heraf på tværs af medlemsstaterne.

Digitaliseringsstyrelsen kan give mulighed for, at tjenesten kan validere andre digitale signaturer, hvis det vurderes relevant for at understøtte markedet for digitale signeringsløsninger.

I forbindelse med verifikationen foretages en kortvarig automatisk behandling i et sikret miljø af de data, der er underskrevet. Behandlingen sker med henblik på at kontrollere integriteten af de pågældende data ved at sammenligne disse i klartekst med den checksum eller hash-værdi, der blev genereret på underskriftstidspunktet, og som er koblet til den digitale signatur.