Bekendtgørelse af lov om MitID og NemLog-in § 20

I den gældende lov om NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder af 8. maj 2018, er det fastsat i § 3, at forvaltningsloven finder anvendelse på afgørelser, som træffes af den private virksomhed, der er udpeget i medfør af lovens § 1, stk. 1, og af registreringsenheder, jf. lovens § 2.

Den foreslåede bestemmelse har til hensigt at videreføre den bestemmelse, som gælder for NemID-løsningen over i MitID-løsningen, da de samme betingelserne vil gøre sig gældende for de juridiske enheder, som udpeges efter den foreslåede § 4, stk. 2 og § 5, stk. 1.

Med den foreslåede § 20, stk. 1, bestemmes det, at forvaltningsloven finder anvendelse på afgørelser om udstedelse, spærring og genåbning af MitID, jf. § 4, stk. 2, som træffes af juridiske enheder, der er udpeget i medfør af § 5, stk. 1.

Bestemmelsen indebærer, at såfremt Digitaliseringsstyrelsen gør brug af muligheden for at udpege juridiske enheder, jf. § 5, stk. 1, til at varetage forvaltningsopgaver på vegne af Digitaliseringsstyrelsen, jf. § 4, stk. 2, skal de juridiske enheder, som træffer afgørelser om udstedelse, spærring og genåbning af MitID, overholde de samme regler, som Digitaliseringsstyrelsen er underlagt som offentlig myndighed. Det sikrer privatpersoners og erhvervsbrugeres retssikkerhed i den proces, som finder sted, når de modtager afgørelse om udstedelse, spærring og genåbning af MitID. Bestemmelsen er navnlig relevant, hvis en juridisk enhed, fx et pengeinstitut skal foretage registrering og udstedelse af MitID. Da en juridisk enhed normal ikke har pligt til at overholde forvaltningsloven regler, når de træffer en afgørelse, er det nødvendigt, at bestemmelsen præciserer, at forvaltningsloven vil finde anvendelse i de tilfælde, hvor en juridisk enhed udpeges til at træffe afgørelse om udstedelse, spærring og genåbning af MitID.

Det medfører blandt andet, at hvor der træffes afgørelser om udstedelse, spærring og genåbning af MitID, som opfylder afgørelsesbegrebet efter reglerne i forvaltningslovens kapitel 6 (§§ 22-24) skal forvaltningslovens regler herom overholdes. Derudover skal en afgørelse, der giver afslag ledsages af en klagevejledning, reglerne om partshøring iagttages, ligesom at privatpersoner og erhvervsbrugere skal tilbydes vejledning. Endelig skal det bemærkes, at der vil kunne forlanges aktindsigt efter forvaltningslovens regler. En afgørelse om at spærre et MitID træffes for at sikre mod misbrug. Spærring kan derfor foretages uden forudgående kontakt til den fysiske person eller erhvervsbrugeren.

De juridiske enheder vil således ved anmodning fra en fysisk person om at få udstedt MitID blandt andet skulle vejlede om reglerne for at få udstedt MitID og særligt reglerne for løbende at kunne anvende MitID, herunder om konsekvenserne ved ikke at overholde disse, jf. forvaltningslovens § 7.

Vejledningen kan i de konkrete tilfælde tillige omfatte, hvilke muligheder borgeren har for at blive betjent af den offentlige forvaltning uden et MitID, samt hvilke muligheder borgeren henholdsvis erhvervsbrugeren har for på ny at anmode om at få udstedt MitID.

Der henvises til bemærkningerne til lovforslagets § 5, stk. 1, hvad angår hensynet til, at Digitaliseringsstyrelsen får mulighed for at udpege juridiske enheder til på vegne af Digitaliseringsstyrelsen, at varetage opgaver om forvaltning af MitID-løsningen, herunder udstedelse, spærring og genåbning af MitID.

Den foreslåede § 20, stk. 2, medfører, at forvaltningsloven finder anvendelse på afgørelser om identitetssikring af juridiske enheder, spærring af brugerorganisationers adgang til Erhvervsadministration i NemLog-in, samt spærring af digitale identiteter, jf. § 9, stk. 2, som træffes af juridiske enheder, der er udpeget i medfør af § 10.

Med bestemmelsen foreslås det, at forvaltningsloven og almindelige forvaltningsretlige principper finder anvendelse på afgørelser om identitetssikring af juridiske enheder, spærring af brugerorganisationers adgang til serviceområdet Erhvervsadministration i NemLog-in samt spærring af digitale identiteter efter regler fastsat i medfør af § 9, stk. 2, og som træffes af juridiske enheder, der kan udpeges i medfør af § 10.

Såfremt Digitaliseringsstyrelsen gør brug af muligheden for at udpege juridiske enheder til på vegne af Digitaliseringsstyrelsen at varetage opgaver om forvaltning af NemLog-in, skal de juridiske enheder overholde de samme regler, som Digitaliseringsstyrelsen er underlagt som offentlig myndighed. Det sikrer erhvervsbrugernes og de juridiske enheders retssikkerhed i den proces, som finder sted, når de modtager afgørelse om identitetssikring af juridiske enheder, spærring af brugerorganisationers adgang til serviceområdet Erhvervsadministration i NemLog-in samt spærring og genåbning af digitale identiteter.

Det medfører blandt andet, at afgørelser, som opfylder afgørelsesbegrebet efter forvaltningslovens § 19, skal ledsages af en begrundelse og en klagevejledning, at reglerne om partshøring skal iagttages, og at erhvervsbrugere og juridiske enheder skal vejledes tilstrækkeligt om deres rettigheder mv. En afgørelse om at spærre en erhvervsbruger eller en juridisk enhed i serviceområdet Erhvervsadministration i NemLog-in kan træffes for at sikre mod misbrug. Spærring kan derfor foretages uden forudgående kontakt til erhvervsbrugeren eller den juridiske enhed.