Bekendtgørelse af lov om MitID og NemLog-in § 2

Den foreslåede bestemmelse i lovforslagets § 2, nr. 1 - nr. 17, vil medføre, at der anføres en række definitioner, som nærmere angivet i de enkelte punkter.

Med den foreslåede bestemmelse defineres de væsentlige begreber, som anvendes i loven.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 1 medfører, at MitID-løsningen defineres som den danske nationale elektroniske identifikationsordning.

Det er forventningen, at MitID-løsningen vil blive anmeldt i henhold til eIDAS-forordningen. MitID-løsningen kan også betegnes som en eID-ordning eller eID-løsning. En elektronisk identifikationsordning dækker hele livscyklus for en identitet og et elektronisk identifikationsmiddel.

En anmeldelse af MitID til EU-Kommissionen i henhold til eIDAS-forordningen vil på sigt muliggøre, at MitID kan benyttes til autentifikation i offentlige digitale selvbetjeningsløsninger med grænseoverskridende interesse, der udbydes af andre EU-medlemsstater.

Med løsningen kan der foretages elektronisk identifikation. Løsningen fungerer derved som en autentifikationstjeneste af privatpersoners digitale identiteter. Derudover kan erhvervsbrugere få MitID-identifikationsmidler. Erhvervsbrugere kan dog ikke have en digital identitet i MitID-løsningen, idet erhvervsbrugernes digitale identiteter oprettes i serviceområdet Erhvervsadministration i NemLog-in, jf. § 8, stk. 3. MitID-løsningen er den nationale identitetsgarant for identiteter udstedt til privatpersoner og NemLog-in er den offentlige identitetsgarant for erhvervsidentiteter.

En identitetsgarant foretager blandt andet udstedelse af digitale identiteter. MitID-løsningen foretager således som identitetsgarant udstedelse af digitale identiteter, som sker på baggrund af en udstedelsesproces, hvor personidentifikationsdata indhentes for at sikre entydig sammenhæng mellem en privatperson og den udstedte digitale identitet. MitID-løsningen skal som den danske nationale elektroniske identifikationsordning, således sikre, at det i den digitale verden er muligt entydigt at fastslå den digitale identitet af privatpersoner og i nogle situationer erhvervsbrugere.

Det bemærkes, at MitID-løsningen afløser den hidtidige NemID-løsning, dog ikke for så vidt angår erhvervsløsningen NemID for erhverv, som i stedet afløses af serviceområdet Erhvervsadministration i NemLog-in, også kaldet MitID Erhverv, som i denne lov omtales som Erhvervsadministration, jf. § 8, stk. 3.

Begrebet MitID-løsningen refererer til selve den tekniske infrastruktur og ikke til enkelte digitale MitID-identiteter eller MitID-identifikationsmidler.

Det skal bemærkes, at der ved overgangen fra NemID til MitID er sket en række ændringer i den fællesoffentlige digitale infrastruktur, som ikke kan læses direkte af den foreslåede definition. En central ændring medfører, at MitID-løsningen fremadrettet alene vil udgøre en autentifikationsløsning, hvor NemID-løsningen også indeholdt digital signatur. Digital signering vil med den nye digitale infrastruktur fremadrettet ske ved anvendelsen af serviceområdet Digital signering i NemLog-in. Dette medfører, at hvor der tidligere var lighed mellem NemID og digital signatur, vil der fremadrettet skulle anvendes serviceområdet Digital signering til den digitale underskrift baseret på autentifikation med MitID. Ovenstående ændrer ikke på, at det fortsat vil være muligt at anvende private signeringsløsninger.

I den gældende lov om NemID, reguleres NemID-løsningen, som erstattes af MitID-løsningen og med dette lovforslag. Gældende ret om NemID er beskrevet nærmere i afsnit 2.1.1. i de almindelige bemærkninger. Der findes ikke gældende ret, som definerer MitID. Loven regulerer ikke andre typer af elektronisk ID end MitID.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 2, 1. pkt., medfører, at der med MitID forstås den nationale digitale identitet af en privatperson og tilhørende elektroniske identifikationsmidler, som kan tilknyttes privatpersoners og erhvervsbrugeres digitale identiteter.

MitID anvendes således som betegnelse for den nationale digitale identitet af en privatperson og tilhørende elektroniske identifikationsmidler, som kan tilknyttes privatpersoner og erhvervsbrugeres digitale identiteter. En digital identitet er defineret særskilt i denne bestemmelses foreslåede nr. 13. Elektroniske identifikationsmidler er defineret særskilt i denne bestemmelses foreslåede nr. 14.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 2, 2. pkt., medfører, at MitID er den nationale identitetsgarant for privatpersoner.

Når MitID er den nationale identitetsgarant indebærer det, at løsningen kan forsyne privatpersoner med digitale identiteter. Udstedelse af MitID-identiteter med tilhørende elektroniske identifikationsmidler sker som et resultat af den registrerings- og indrulleringsproces, som en privatperson skal gennemgå for at få udstedt sin digitale identitet, og som resulterer i udlevering af et eller flere MitID-identifikationsmidler, der alene eller i kombination anvendes i forbindelse med autentifikation. MitID-løsningen fungerer således som identitetsgarant for privatpersoners digitale identitet.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 3, medfører, at autentifikation defineres som en proces, som genkender og verificerer en digital identitet gennem anvendelse af et elektronisk identifikationsmiddel.

Ved autentifikation bliver en privatpersons eller en erhvervsbrugers digitale identitet bekræftet ved, at denne anvender et eller flere elektroniske identifikationsmidler. Autentifikation af privatpersoners identiteter udgør den centrale elektroniske proces i MitID-løsningen, da MitID-autentifikation blandt andet giver adgang til digitale selvbetjeningsløsninger tilsluttet brokere for MitID-løsningen. Autentifikation af erhvervsbrugere sker i serviceområdet Login og autentifikation i NemLog-in i kombination med enten MitID eller en lokal identitetsgarant. Identitetsgaranten indestår for identiteten, koblingen mellem identiteten og det elektroniske identifikationsmiddel og verificerer identifikationsmidlet, mens NemLog-in formidler den digitale erhvervsidentitet koblet til identifikationsmidlet til den digitale selvbetjeningsløsning.

I den gældende NSIS-standard anvendes der tre niveauer for sikkerheden af identiteter (Levels of assurance) til ID-tjenester, benævnt som niveau lav, betydelig og høj. De tre sikringsniveauer i NSIS svarer til de tre niveauer i eIDAS-forordningen.

Ifølge den gældende eIDAS-forordning er det op til de enkelte medlemsstater at stille nærmere krav til de sikringsniveauer, som de vil anvende. Sikringsniveauer bør ifølge eIDAS-forordningens præambel afspejle graden af tillid til, at et elektronisk identifikationsmiddel kan fastslå identiteten på en person og således give sikkerhed for, at den person, der gør krav på en specifik identitet, faktisk er den person, hvortil identiteten er blevet knyttet. NSIS benyttes som referenceramme til beskrivelse af sikringsniveauerne i MitID og NemLog-in samt for lokale identitetsgaranter. Sikringen af identiteter kan i henhold til NSIS ligeledes ske på tre sikringsniveauer: lav, betydelig og høj. Denne inddeling af niveauer er nødvendig for at beskrive graden af tillid, som indehaveren af en digital selvbetjeningsløsning (en tjenesteudbyder) kan have til en autentificeret digital identitet.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 4, 1. pkt., medfører, at sikringsniveauet defineres som graden af sikkerhed for autentifikation.

I forbindelse med overgangen til MitID-løsningen, overlades det til de individuelle offentlige myndigheder, offentligretlige organer og juridiske enheder at vurdere det sikringsniveau for autentifikation, som deres digitale selvbetjeningsløsning kræver.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 4, 2. pkt., medfører, at der sondres mellem tre forskellige sikringsniveauer for autentifikation, henholdsvis niveau lav, betydelig og høj.

Den foreslåede sondring mellem de forskellige sikringsniveauer anvendes for sikring af digitale identiteter. Kravene til sikringsniveauerne udspringer af NSIS-standarden og eIDAS-forordningen og er nærmere reguleret i disse.

I overensstemmelse med ovenstående er det med MitID muligt at autentificere på de tre sikringsniveauer, henholdsvis niveau lav, betydelig og høj.

Sikringsniveauerne er opgjort på baggrund af tekniske specifikationer, standarder og hertil knyttede procedurer, hvis formål er at mindske risici for misbrug eller ændring ved anvendelse af en digital identitet.

Der findes ikke gældende ret, som anvender betegnelsen ”sikker autentifikation”. I den gældende NSIS-standard anvendes i stedet sikringsniveauerne lav, betydelig og høj.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 5, medfører, at der med sikker autentifikation forstås autentifikation på sikringsniveau betydelig eller høj.

Med den foreslåede bestemmelse udgør sikker autentifikation en proces, der genkender og verificerer en digital identitet på sikringsniveau betydelig eller høj.

Betegnelsen sikker autentifikation udgør alene en fællesbetegnelse i denne lov for autentifikation på sikringsniveau betydelig eller høj. Sikringsniveau lav vil derfor fortsat skulle leve op til NSIS-standardens krav til autentifikation på dette sikringsniveau.

Der findes ikke gældende ret, som definerer NemLog-in.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 6, 1. pkt. medfører, at NemLog-in forstås som den fællesoffentlige digitale infrastrukturløsning, som sætter privatpersoner og erhvervsbrugere med digitale identiteter i stand til at interagere med digitale selvbetjeningsløsninger.

NemLog-in defineres således som den fællesoffentlige digitale infrastrukturløsning, som muliggør og varetager interaktion mellem på den ene side digitale selvbetjeningsløsninger og på den anden side privatpersoner med digitale identiteter oprettet i MitID-løsningen samt erhvervsbrugere med digitale identiteter oprettet i NemLog-in.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 6, 2. pkt. medfører, at NemLog-in endvidere er den nationale identitetsgarant for erhvervsidentiteter.

I praksis er NemLog-in den fællesoffentlige broker for MitID og identitetsgarant for digitale erhvervsidentiteter i Danmark. Når NemLog-in er den fællesoffentlige broker for MitID og identitetsgarant for digitale erhvervsidentiteter i Danmark, indebærer det, at løsningen kan forsyne erhvervsbrugere med digitale identiteter.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 6, 3. pkt. medfører, at NemLog-in indeholder de serviceområder, som angives i § 8, stk. 2 og 3.

NemLog-in indeholder en række serviceområder: Login og autentifikation, Digital repræsentation, Digital signering og Erhvervsadministration. Serviceområdet Erhvervsadministration kaldes også MitID Erhverv. Serviceområderne er nærmere beskrevet i § 8, stk. 2 og 3. NemLog-in er således en for samfundet kritisk infrastrukturløsning og indgang til den offentlige digitale selvbetjening, idet serviceområderne indeholder centrale services, som er væsentlige for anvendelse og sammenhæng i den fællesoffentlige infrastruktur.

Begrebet privatperson anvendes med forskellige betydninger i gældende ret afhængig af, hvilket lovgrundlag, som der anvendes.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 7, medfører, at en privatperson defineres som en fysisk person, der udelukkende agerer på vegne af sig selv uden forbindelse til en juridisk enhed, og som ikke er en erhvervsbruger.

Begrebet privatpersoner udgør i hovedreglen borgere, men er dog ikke begrænset til danske statsborgere.

En privatperson kan have en national digital identitet i MitID-løsningen, hvor en erhvervsbruger har en digital identitet i NemLog-in. Erhvervsbrugere, jf. bestemmelsens foreslåede nr. 8 er ikke en delmængde af begrebet privatpersoner i bestemmelsens foreslåede nr. 7, selvom en fysisk person i praksis både kan agere i rollen som privatperson og erhvervsbruger. Erhvervsbrugere defineres således som et selvstændigt begreb.

Begrebet erhvervsbruger er ikke defineret i gældende ret i relation til NemLog-in.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 8, medfører, at en erhvervsbruger defineres som en fysisk person, der er associeret med en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, som er oprettet med én eller flere erhvervsidentiteter i serviceområdet Erhvervsadministration i NemLog-in.

Begrebet ”associeret med” skal forstås i overensstemmelse med NSIS og eIDAS-forordningen, og udgør således en videreførelse af definitionerne fra eIDAS-forordningen og NSIS, hvoraf det fremgår, at associationen blandt andet dækker medarbejdere ansat i en virksomhed, men også anden tilknytning, hvor der ikke foreligger et ansættelsesforhold. Associationen beskriver således, at der er en relation mellem den fysiske person og den offentlige myndighed, det offentligretlige organ eller den juridiske enhed, som danner grundlag for en erhvervsidentitet.

En erhvervsbrugers digitale identitet er oprettet i NemLog-in i serviceområdet Erhvervsadministration, jf. § 8, stk. 3. En erhvervsbruger kan desuden vælge at anvende det elektroniske identifikationsmiddel, som denne har fået udstedt som privatperson, til at autentificere sin erhvervsidentitet. En erhvervsbrugers elektroniske identifikationsmiddel kan således oprettes i MitID som et dedikeret MitID, jf. princippet om dobbelt frivillighed, som nærmere beskrevet i § 9, stk. 4, og i bemærkningerne til § 4, stk. 1. Når betegnelsen erhvervsbruger anvendes i loven, er der tale om én eller flere oprettede erhvervsidentiteter, som tilhører erhvervsbrugeren. En erhvervsbruger kan således have tilknyttet flere erhvervsidentiteter. Til forskel fra definitionen af en privatperson, som har fået udstedt en privat digital identitet tilknyttet til privatpersonen, er erhvervsbrugerens digitale identitet tilknyttet til denne i medfør af erhvervsbrugerens associering med en offentlig myndighed, et offentligretligt organ eller en juridiske enhed.

I den gældende lovbekendtgørelse nr. 1052 af 16. oktober 2019 om Det Centrale Virksomhedsregister (herefter cvr-loven) er begrebet juridisk enhed defineret.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 9, medfører, at begrebet juridisk enhed defineres som en juridisk enhed med et cvr-nummer, jf. cvrloven, der ikke enten er en offentlig myndighed, jf. nr. 10 eller et offentligretligt organ, jf. nr. 11. Til definitionen af begrebet juridisk enhed hører således ikke offentlige myndigheder og offentligretlige organer, uanset om de i andre sammenhænge, blandt andet cvr–loven, betragtes som juridiske enheder. Offentlige myndigheder og offentligretlige organer er selvstændigt defineret. For afgrænsningen af en offentlig myndighed eller et offentligretligt organ henvises til denne bestemmelses nr. 10 og 11.

En juridisk enhed kan i relation til NemLog-in agere i rollen som tjenesteudbyder, jf. nr. 15 eller brugerorganisation, jf. nr. 16. Dette indebærer, at en juridisk enhed i rollen som tjenesteudbyder vil være karakteriseret ved at være ansvarlig for én eller flere digitale selvbetjeningsløsninger. Når en juridisk enhed er tilsluttet serviceområdet Erhvervsadministration i NemLog-in, vil den juridiske enhed betegnes som en brugerorganisation i regi af NemLog-in.

Den gældende bestemmelse i § 24, nr. 28, 1. led, i udbudsloven, lov nr. 1564 af 15. december 2015, (herefter benævnt udbudsloven), medfører, at der ved ordregiver forstås statslige, regionale og kommunale myndigheder.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 10, medfører, at begrebet offentlig myndighed defineres som statslige, regionale og kommunale myndigheder.

Definitionen af offentlige myndigheder skal forstås i overensstemmelse med udbudslovens definition af offentlige myndigheder i rollen som ordregivere, jf. § 24, nr. 28, 1. led, i udbudsloven.

Definitionen af en offentlig myndighed i den foreslåede bestemmelse er baseret på et formelt (organisatorisk) kriterium. I dele af lovforslaget suppleres definitionen med et materielt (funktionelt) kriterium, idet der her vil være fremhævet, at bestemmelsen alene omfatter offentlige myndigheder, når de udfører en myndighedsopgave. I forhold til det formelle kriterium ses der på, om den offentlige myndighed formelt set er en statslig, regional eller kommunal myndighed og således er en ordregiver, jf. udbudslovens § 24, nr. 28, 1. led. Hvor definitionen af offentlige myndigheder i lovforslagets bestemmelser om pligt suppleres med et materielt kriterium, kan en offentlig myndighed være omfattet delvist af bestemmelsen. Det indebærer, at hvis en offentlig myndighed både løser myndighedsopgaver og opgaver af privat karakter, gælder pligten alene for den offentlige myndighed, når den offentlige myndighed udfører myndighedsopgaver, som kræver sikker autentifikation.

Den gældende bestemmelse i § 24, nr. 27, i udbudsloven, medfører, at der ved offentligretlige organer forstås organer, der er oprettet specielt med henblik på at imødekomme almenhedens behov, dog ikke behov af industriel eller kommerciel karakter, der er juridiske personer, og som for mere end halvdelens vedkommende finansieres af staten, regionale eller kommunale myndigheder eller af andre offentligretlige organer eller er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer eller har en bestyrelse eller direktion eller et tilsynsråd, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale eller kommunale myndigheder eller andre offentligretlige organer.

Med bestemmelsens § 24, nr. 27, i udbudsloven defineres begrebet »offentligretlige organer« som organer, der opfylder de 3 betingelser i litra a-c.

I henhold til litra a skal det være organer, som er specielt oprettet med henblik på at imødekomme almenhedens behov af ikkeindustriel eller ikkekommerciel karakter.

I henhold til litra b skal det være organer, der er juridiske personer.

Endelig skal det i henhold til litra c være organer, som overvejende finansieres af staten, regionale eller kommunale myndigheder eller af andre offentligretlige organer, eller er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer, eller har en bestyrelse, en direktion, eller et tilsynsråd, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale eller kommunale myndigheder eller andre offentligretlige organer.

Alle 3 betingelser skal være opfyldt.

Det følger af bestemmelsen, at organet skal være oprettet specielt med henblik på at imødekomme almenhedens behov. Det vil almindeligvis være opgaver som generelt og traditionelt anses for at være opgaver, som det offentlige varetager. Eksempelvis opgaver inden for dag- eller døgntilbud til børn og voksne, miljø, sundhed, uddannelse, beskæftigelsesindsats eller opgaver på socialområdet. Kravet om, at et organ, skal være oprettet specielt med henblik på at imødekomme almenhedens behov er opfyldt, når organet faktisk udøver aktiviteter med henblik på imødekommelsen af sådanne behov. Et organ kan således blive omfattet af loven som et offentligretligt organ selv om organet ikke imødekom sådan behov ved dets oprettelse, men på et senere tidspunkt.

I henhold til Europa-Parlamentets og Rådet direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (fremover udbudsdirektivet) præambel nr. 10 er et organ, der fungerer på normale markedsvilkår, har til formål at skabe gevinst og bærer tab forbundet med udøvelsen af sine aktiviteter, ikke at betragte som et offentligretligt organ, da almenhedens behov, som det er oprettet med henblik på at imødekomme eller har fået til opgave at imødekomme, kan anses for at have industriel eller kommerciel karakter.

At organet skal være en juridisk person betyder, at det pågældende subjekt skal være i stand til at bære rettigheder og forpligtelser. Selskaber med et cvr-nummer vil være at betragte som en juridisk person. Interessentskaber vil også være omfattet.

Da kravet i litra c indebærer, at mere end halvdelen af driften skal være finansieret af offentlige midler, vil organet være omfattet. Finansieringen må dog ikke have karakter af at være en modydelse eller et gensidigt forretningsforhold. Det har ingen betydning, at mere end halvdelen af organets drift kommer fra kontrakter med offentlige myndigheder, altså at organet eksempelvis har vundet en række udbud. Det er således kun de ydelser, der finansierer eller støtter det berørte organs aktiviteter ved et økonomisk bidrag uden en særlig, kontraktuel præget modydelse, der vil udgøre offentlig finansiering.

At føre kontrol vil sige at være underlagt intensiv offentlig regulering, tilsyn eller lignende. En virksomhed, som er underlagt en offentlig myndigheds kontrol af regnskabsførelse vil ikke være underlagt offentlig kontrol. Det skyldes, at den offentlige myndighed ikke kan påvirke de beslutninger, som virksomheden træffer i forhold til driften af virksomheden. Det er altså ikke tilstrækkeligt, at der er tale om, at driften er underlagt offentlig kontrol, og at det offentlige har en almindelig efterfølgende kontrol af f.eks. regnskab og lignende.

Selvejende institutioner, der er oprettet på privatretligt grundlag, og som har driftsoverenskomst med en kommunen, kan være underlagt et sådant kommunalt tilsyn, at de vil være omfattet af begrebet »offentligretligt organ«. Dette gælder, selvom kommunen ikke via ejerskab har mulighed for at udføre bestemmende indflydelse på institutionen. Kommunen skal dog have indflydelse på anden vis f.eks. via kontrol med institutionens vedtægter, budget, personaleforhold m.v.

Det betyder, at selvejende dagtilbud til børn (daginstitutioner, fritidsordninger, skoler), uddannelsesinstitutioner, plejehjem og anden ældreomsorg kan være omfattet af begrebet »offentligretligt organ«.

Ligeledes kan institutioner med tilbud til udsatte grupper (forsorgshjem, kvindekrisecentre, væresteder m.v.), som kommunen har driftsoverenskomst med, være omfattet af begrebet »offentligretligt organ«.

Statslige aktieselskaber, hvor ressortministeren kan vælge flertallet af bestyrelsesmedlemmerne, er også omfattet og vil være at betragte som et offentligretligt organ.

Som eksempler på offentligretlige organer kan nævnes TV2, Sund og Bælt Holding A/S, Metroselskabet I/S, Statens og Kommunernes Indkøbsservice (SKI), Lønmodtagernes Dyrtidsfond, Naviair, de almene boligorganisationer og universiteterne.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 11, medfører, at der ved et offentligretligt organ forstås: Organer,

a) der er oprettet specielt med henblik på at imødekomme almenhedens behov, dog ikke behov af industriel eller kommerciel karakter,

b) der er juridiske personer, og

c) som for mere end halvdelens vedkommende finansieres af staten, regionale eller kommunale myndigheder eller af andre offentligretlige organer eller er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer eller har en bestyrelse eller direktion eller et tilsynsråd, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale eller kommunale myndigheder eller andre offentligretlige organer.

Bestemmelsen skal forstås i overensstemmelse med § 24, nr. 27 i udbudsloven.

Offentligretlige organer er et udbudsretligt begreb, der omfatter almennyttige organer med nær tilknytning til den offentlige sektor. Definitionen af et offentligretligt organ er i den foreslåede lov baseret på et formelt (organisatorisk) kriterium, der indholdsmæssigt svarer til udbudslovens § 24, nr. 27. I dele af lovforslaget suppleres definitionen med et materielt (funktionelt) kriterium. Lovforslagets pligter omfatter alene offentligretlige organer, når de udfører myndighedsopgaver. Det samme gælder for offentlige myndigheder, hvorfor vurderingen af om det offentligretlige organ lever op til det materielle kriterium, er funderet i de samme hensyn, som gør sig gældende for offentlige myndigheder. For en nærmere beskrivelse henvises der til bemærkningerne til denne bestemmelses nr. 10.

I gældende ret er digitale selvbetjeningsløsninger ikke defineret. Dog skal begrebet forstås i overensstemmelse med begrebet ”onlinetjeneste”, som anvendes som udefineret begreb i eIDAS-forordningen.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 12, medfører, at digital selvbetjeningsløsning defineres som et it-system, hvor privatpersoner eller erhvervsbrugere med digitale identiteter kan tilgå digital selvbetjening efter at være blevet autentificeret.

En digital selvbetjeningsløsning udstiller digitale services, som kan tilgås af privatpersoner eller erhvervsbrugere. Med udstiller menes i denne sammenhæng en elektronisk tilrådighedsstillelse af en digital selvbetjeningsløsning, applikation eller funktion for brugeren.

En offentlig myndighed eller et offentligretligt organ kan i rollen som tjenesteudbyder, jf. den foreslåede nr. 15, have en eller flere digitale selvbetjeningsløsninger tilsluttet NemLog-in, der udstiller digitale services til offentlig anvendelse.

Såfremt der er tale om internt anvendte onlinetjenester eller it-systemer inden for et myndighedsområde, som ikke udstiller digitale services til offentlig anvendelse, er disse ikke at anse som digitale selvbetjeningsløsninger i denne lovs forstand og er derfor ikke påkrævet tilslutning til NemLog-in og MitID-løsningen. Fx vil et kommunalt sagsbehandlingssystem, som alene betjenes af erhvervsbrugere i kommunen ikke være omfattet af definitionen digital selvbetjeningsløsning, idet et sådant sagsbehandlingssystem ikke vil være åbent for offentlig anvendelse af privatpersoner eller erhvervsbrugere. Dette gælder også, hvis fx flere kommuner i fællesskab har anskaffet og anvender et sagsbehandlingssystem.

Den gældende bestemmelse i art. 3, nr. 1, i eIDAS-forordningen, medfører, at der ved elektronisk identifikation forstås det at bruge personidentifikationsdata i elektronisk form, der entydigt repræsenterer enten en fysisk eller juridisk person eller en fysisk person, der repræsenterer en juridisk person.

En digital identitet er det samme som en elektronisk identitet (eID), jf. gældende ret fra eIDAS-forordningen, og skal således forstås i overensstemmelse med definitionen i eIDAS-forordningen.

Bestemmelsen tilsigter endvidere ikke en anden definition end definitionen af en digital identitet, som findes i den gældende standard, Digitaliseringsstyrelsen har udarbejdet, og som hedder ”Referencearkitektur for brugerstyring”. Standarden har til formål at understøtte udviklingen af brugerstyring i den offentlige sektor. Begrebet i den gældende Referanceakitektur for brugerstyring er nedarvet fra e-IDAS-forordningen.

Endvidere skal definitionen forstås i overensstemmelse med den gældende NSIS-standard, hvoraf det fremgår, at en identitet (elektronisk) udgør en digital persona repræsenteret ved et sæt af attributter, som fx kan repræsentere en fysisk person (privatidentitet), en juridisk enhed (virksomhedsidentitet), eller en fysisk person, der er associeret med en juridisk - 9 af 32 - enhed (fx erhvervsidentitet). En identitet kan rumme personidentifikationsdata men kan også være pseudonym. Det bemærkes, at den gældende definition af elektronisk identitet i NSIS-standarden er i overensstemmelse med e-IDAS-forordningens definition af elektronisk identitet.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 13, medfører, at der ved digital identitet forstås, en samling af data, der unikt identificerer en privatperson eller en erhvervsbruger.

En digital identitet udstedes af en identitetsgarant og kobles til et eller flere elektroniske identifikationsmidler eller certifikater, der over for tredjepart beviser koblingen mellem den private person og den elektroniske identitet. Udstedelse af en digital identitet kræver indsamling af personidentifikationsdata, som er et sæt af data, der gør det muligt entydigt at fastslå identiteten af en privatperson eller en erhvervsbruger. Den samling af persondata, som danner grundlag for en digital identitet indsamles ved anmodningen om udstedelse af MitID.

Som eksempel på personidentifikationsdata kan nævnes navn og personnummer. Der henvises i øvrigt til de almindelige bemærkninger i afsnit 2.3. om behandling af personoplysninger.

Den gældende bestemmelse i art. 3, nr. 2, i eIDAS-forordningen, medfører, at elektronisk identifikationsmiddel defineres som en materiel og/eller immateriel enhed, der indeholder personidentifikationsdata, og som bruges til autentifikation i forbindelse med en onlinetjeneste.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 14, 1. pkt. medfører, at elektronisk identifikationsmiddel defineres som en materiel enhed, en immateriel enhed eller en kombination af disse, der indeholder personidentifikationsdata, og som bruges til autentifikation i digitale selvbetjeningsløsninger.

Et elektronisk identifikationsmiddel benyttes til entydigt at autentificere en digital identitet. Ved anvendelse af offentlige digitale selvbetjeningsløsninger følger en lang række af beslutninger med potentielt vidtrækkende konsekvenser for den enkelte privatperson eller erhvervsbruger, hvorfor det er afgørende, at den digitale identitet fastslås korrekt. Det kræver derfor et eller flere elektroniske identifikationsmidler for, at en privatperson eller erhvervsbruger kan autentificere sig i MitID-løsningen.

Det skal bemærkes, at en erhvervsbruger i særlige tilfælde kan anvende andre typer af elektroniske identifikationsmidler end dem, som er indeholdt i MitID. Det kan fx være elektroniske identifikationsmidler udstedt af en lokal identitetsgarant.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 14, 2. pkt. medfører, at et elektronisk identifikationsmiddel består af ét eller flere elementer, der hver især er et elektronisk identifikationsmiddel.

Et elektronisk identifikationsmiddel kan være knyttet til bestemt hardware, således at en applikation til elektronisk identifikation er bundet til en materiel enhed, der fremstiller selve applikationen til elektronisk identifikation, fx en kodeviser eller en app. Et elektronisk identifikationsmiddel kan udstedes til en privatperson eller en erhvervsbruger til brug for autentifikation i digitale selvbetjeningsløsninger. Et elektronisk identifikationsmiddel, som er udstedt i MitID-løsningen, betegnes som et MitID-identifikationsmiddel.

Der findes ikke gældende ret, som definerer begrebet tjenesteudbyder i relation til lovforslagets anvendelsesområde.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 15, medfører, at tjenesteudbyder defineres som en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, der er ansvarlig for én eller flere digitale selvbetjeningsløsninger.

En tjenesteudbyder er karakteriseret ved at være ansvarlig for de digitale selvbetjeningsløsninger, som tjenesteudbyderen vælger at udstille.

I NemLog-in kan de offentlige myndigheder, offentligretlige organer og juridiske enheder agere i rollen som tjenesteudbydere eller i rollen som brugerorganisationer. I rollen som tjenesteudbyder tilbyder en offentlig myndighed, et offentligretligt organ eller en juridisk enhed adgang til og anvendelse af et eller flere serviceområder i NemLog-in i deres digitale selvbetjeningsløsninger, som minimum anvendes serviceområdet Login og autentifikation. Om brugerorganisationer se bestemmelsens nr. 16.

En tjenesteudbyder skal altid være tilsluttet en broker.

En tjenesteudbyder kan fx være en offentlig myndighed, offentligretligt organ eller en juridisk enhed, der ved en aftale med en broker kan anvende MitID-løsningen til autentifikation af en privatperson eller en erhvervsbruger, til deres digitale selvbetjeningsløsning.

I denne lov reguleres alene en sådan flerhed af tjenesteudbydere, når den indgår i og anvender den offentlige infrastruktur, og den benævnes i loven som NSIS anmeldt broker tilsluttet NemLog-in.

I den gældende ret er brugerorganisation ikke defineret.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 16, medfører, at en brugerorganisation defineres som en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, der er tilsluttet og anvender serviceområdet Erhvervsadministration i NemLog-in til deres erhvervsbrugere.

I rollen som brugerorganisation er det således den enkelte offentlige myndighed, det offentligretlige organ eller den juridiske enhed, som anvender funktionerne i serviceområdet Erhvervsadministration, som er nærmere beskrevet i § 8, stk. 3. I modsætning til en tjenesteudbyder stiller en brugerorganisation således ikke digitale selvbetjeningsløsninger til rådighed for tredjeparter.

I den gældende NSIS-standard er identitetsbroker angivet som en ID-tjeneste, som formidler en autentificeret identitet til tredjeparter på baggrund af en autentifikation verificeret af brokeren selv eller evt. af en anden tredjepart (brokere i flere led). En identitetsbroker foretager ikke nødvendigvis selv identitetssikring eller udstedelse af elektroniske identifikationsmidler, og kan derfor være separat fra en elektronisk identifikationsordning. En identitetsbroker er en tjeneste, som kræver tillid (optræder som en såkaldt trusted third party) fra forretningstjenester, og er derfor underlagt krav i denne standard.

For brokere der indgår i den offentlige infrastruktur, skal begrebet broker forstås i overensstemmelse med begrebet identitetsbroker, som angivet i NSIS-standarden.

Den foreslåede bestemmelse i lovforslagets § 2, nr. 17, medfører, at en broker defineres som, en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, der videreformidler autentifikation af digitale identiteter.

En tjenesteudbyder skal fremover tilsluttes en broker for at kunne tilbyde log-in med MitID til sine brugere. Brokermodellen er blandt andet introduceret for at øge sikkerheden i MitID og for at gøre integrationen nemmere for tjenesteudbydere. Det er en forudsætning for, at en broker kan blive koblet direkte på MitID-løsningen, at brokeren er certificeret. For at blive certificeret som broker for MitID, skal en broker leve op til høje krav om fx sikkerhed, forretningsførelse, rapportering, databehandling, support og garantier. For at en broker kan interagere med den offentlige infrastruktur og formidle autentifikation af digitale identiteter til offentlige tjenester, kræves det yderligere, at brokeren er NSIS anmeldt.

En broker, der ikke er certificeret, kan ikke tilsluttes MitID-løsningen direkte, men skal tilsluttes via en certificeret broker. Den ikke-certificerede broker kan således via en aftale med en certificeret broker acceptere aftalevilkår fastsat af Digitaliseringsstyrelsen for at kunne anvende MitID-løsningen og videreformidle autentifikation af digitale identiteter til en eller flere tjenesteudbydere.

NemLog-in udgør den offentlige broker for MitID-løsningen, og vil således være den broker, som anvendes i langt de fleste tilfælde for offentlige myndigheder og offentligretlige organer, jf. også den foreslåede § 11. Det vil ligeledes være muligt for private tjenesteudbydere at få adgang til dele af NemLog-in.