Bekendtgørelse af lov om MitID og NemLog-in § 21

I gældende ret bestemmer eIDAS-forordningen i art. 10, nr. 1, at en medlemsstat, der anmelder en eID-løsning til EU-Kommissionen, er erstatningsansvarlig for skader, der forsætligt eller uagtsomt påføres privatpersoner, offentlig myndigheder, offentligretlige organer eller juridiske enheder, som følge af manglende overholdelse af forpligtelserne i henhold til art. 7, litra d og f i forbindelse med en grænseoverskridende transaktion.

Efter eIDAS-forordningens art. 7, litra d, skal den anmeldende stat sikre, at de personidentifikationsdata, der entydigt repræsenterer den pågældende skadelidte i overensstemmelse med de tekniske specifikationer mv., er knyttet til den rigtige fysiske eller juridiske person. Efter forordningens art. 7 e skal den part, der udsteder det elektroniske identifikationsmiddel sikre, at de elektroniske identifikationsmidler, som kan anvendes grænseoverskridende, og som knyttes til skadelidte, er i overensstemmelse med de tekniske specifikationer, standarder og procedurer for det relevante sikringsniveau.

eIDAS-forordningens erstatningsbestemmelser regulerer erstatning i en grænseoverskridende kontekst. Erstatningsansvaret dækker fejl i registrering og indrullering, uafhængigt af om MitID bruges i en grænseoverskridende eller national kontekst.

Der findes dog ikke i gældende ret regler om erstatningsansvar i relation til MitID-løsningen eller NemLog-in.

Den foreslåede § 21, medfører, at Digitaliseringsstyrelsen er erstatningsansvarlig over for privatpersoner, offentlig myndigheder, offentligretlige organer eller juridiske enheder, som følge af fejl i forbindelse med registrering, udstedelse og håndtering af MitID, anvendelse og autentifikation af en privatperson eller en erhvervsbruger, medmindre at Digitaliseringsstyrelsen kan godtgøre, at Digitaliseringsstyrelsen ikke har handlet forsætligt eller uagtsomt.

Bestemmelsen fastslår, at Digitaliseringsstyrelsen er erstatningsansvarlig over for privatpersoner, offentlige myndigheder, offentligretlige organer eller juridiske enheder, som følge af fejl i forbindelse med registrering, udstedelse og forvaltning af MitID. Der er tale om et ansvar med omvendt bevisbyrde, hvilket medfører, at Digitaliseringsstyrelsen alene er ansvarsfri, i det omfang Digitaliseringsstyrelsen kan godtgøre, at den ikke har handlet forsætligt eller uagtsomt. Herudover vil dansk rets almindelige erstatningsregler være gældende. Skadelidte skal således dokumentere et økonomisk tab, ligesom der skal være årsagssammenhæng og adækvans mellem den lidte skade og den ansvarspådragende handling eller undladelse.

Den fastsatte bestemmelse berører ikke, at der ved den indgåede kontrakt med Nets DanID A/S om udvikling m.v. af MitID-løsningen er fastsat, at leverandøren i et vist omfang, herunder med sædvanlig beløbsmæssig begrænsning, bærer det i den foreslåede bestemmelse nævnte erstatningsansvar. Det er herunder fastsat, at leverandøren i et vist omfang hæfter for fejl i registrering m.v. af en elektronisk identitet som følge af fejlregistrering m.v. foretaget af de registreringsenheder, som jf. den foreslåede § 6 stk. 1 og 2 varetager registreringer. Leverandøren er ansvarlig for og fører kontrol med, at registreringsenhederne overholder de fastlagte instrukser.

Den omstændighed, at MitID ikke er tilgængelig, eller at autentifikationer fejler på grund af nedetid hos formidleren af autentifikationen eller hos den pågældende selvbetjeningsløsning, er ikke ansvarspådragende for Digitaliseringsstyrelsen og heller ikke videreført i kontrakten med leverandøren af MitID-løsningen.

Håndtering af manglende tilgængelighed af MitID-løsningen, MitID eller den selvbetjeningsløsning, der forsøges adgang til, påhviler den enkelte selvbetjeningsløsning En offentlig- eller en privat selvbetjeningsløsning må håndtere eventuel manglende adgang. Eksempler på hvorledes dette konkret er håndteret for så vidt angår offentlige digitale selvbetjeningsløsninger kan findes i bemærkningerne til § 10 i lov om Digital Post fra offentlige afsendere, samt i bemærkningerne til § 10 b, nr. 2, i lov om Nemrefusion.

Det bemærkes, at den foreslåede bestemmelse skal afgrænses i forhold til det erstatningsansvar, som påhviler en tjenesteudbyder. Dette indebærer, at Digitaliseringsstyrelsen ikke er erstatningssvarlig for manglende adgang til en selvbetjeningsløsning, som skyldes driftsforstyrrelser i MitID-løsningen. Her vil Digitaliseringsstyrelsen på anmodning kunne bistå tjenesteudbyderen med nærmere oplysninger om hændelsesforløb for eksempel varighed af nedetid. Det bemærkes, at der er høje krav til MitID-løsningens tilgængelighed, idet det er helt centralt for det digitale Danmark, at løsningen er tilgængelig.