Bekendtgørelse af lov om MitID og NemLog-in § 4

Da MitID-løsningen er en ny løsning, er den derfor ikke lovreguleret i dag. Reglerne som fastsættes i medfør af § 4, vil delvist være en videreførelse af reglerne om udstedelse, spærring og håndtering af NemID i lov om NemID, jf. § 1, stk. 2, dog tilpasset de nye krav til sikkerhed fra NSIS-standarden.

Med den foreslåede § 4, stk. 1, litra a, fastslås det, at Digitaliseringsstyrelsen sikrer, at der sker identitetssikring af privatpersoner, registrering af identiteter, udstedelse, spærring og genåbning af MitID til privatpersoner efter reglerne fastsat i medfør af bestemmelsens stk. 2.

Begrebet MitID anvendes både for den nationale digitale identitet og for elektroniske identifikationsmidler, jf. den foreslåede § 2, nr. 2. Derfor vil udstedelse, suspendering, spærring og genåbning af MitID i praksis betyde, at Digitaliseringsstyrelsen sikrer udstedelse, suspendering, spærring og genåbning af nationale digitale identiteter og elektroniske identifikationsmidler.

Ved udstedelse og registrering af MitID sker der en identitetssikring og registrering af den fysiske person, hvorefter der oprettes en digital identitet og udstedes elektroniske identifikationsmidler. For at sikre identiteten af den fysiske person, der anmoder om udstedelse af et MitID, identitetssikrer registreringsenheden den fysiske persons identitet. I praksis sker det ved, at en person legitimerer sig med gyldig legitimation fx pas, kørekort eller lignende. Den registreringsenhed, som har identitetssikret en privatperson, registrerer, hvordan identitetssikringen er sket

For at en privatperson kan gøre brug af den digitale identitet, skal denne således være i besiddelse af et elektronisk identifikationsmiddel, som er knyttet til den digitale identitet, jf. den foreslåede § 2, nr. 14. Et elektronisk identifikationsmiddel er fx kodeviser eller MitID-app. Privatpersoner, som ønsker at gøre brug af deres digitale identitet, skal således autentificere deres nationale digitale identitet ved anvendelse af det elektroniske identifikationsmiddel. En privatperson kan have flere typer af elektroniske identifikationsmidler.

Ved spærring af MitID, kan der foretages spærring af den nationale digitale identitet og af ét eller flere elektroniske identifikationsmidler. En privatperson som har fået udstedt MitID, kan således vælge at spærre enten den nationale digitale identitet eller det dertil hørende elektroniske identifikationsmiddel. Ved spærring af et elektronisk identifikationsmiddel vil det stadig være muligt at anvende den nationale digitale identitet med et nyt elektronisk identifikationsmiddel. Hvis der sker spærring af privatpersonens nationale digitale identitet, vil spærringen dog være fuldstændig.

Dette indebærer, at hverken den digitale identitet eller elektroniske identifikationsmidler knyttet til den digitale identitet efterfølgende kan anvendes. En privatperson, som har fået sin digitale identitet spærret, kan anmode om at få udstedt en ny digital identitet.

Det er ligeledes muligt for en privatperson at suspendere den digitale identitet. Ved en suspendering af den digitale identitet, vil det efterfølgende være muligt at genåbne den digitale identitet, uden at gennemføre en ny registrering og udstedelse af MitID. Hvis det elektroniske identifikationsmiddel ikke er spærret, vil det være muligt for privatpersonen fortsat at anvende det elektroniske identifikationsmiddel sammen med den genåbnede digitale identitet.

Det vil derimod kun under ganske særlige omstændigheder være muligt at suspendere det elektroniske identifikationsmiddel. Dette gør sig fx gældende, hvis MitID-løsningen systemisk suspenderer MitID identiteten og det elektroniske identifikationsmiddel i en begrænset periode. Det kan fx være af sikkerhedsmæssige årsager. Efter en suspension vil både den digitale identitet og det elektroniske identifikationsmiddel kunne anvendes igen. Det forventes, at der fastsættes regler om suspension af det elektroniske identifikationsmiddel med hjemmel i den foreslåede § 4, stk. 2.

De nærmere regler om registrering, udstedelse, suspension, spærring og genåbning vil blive fastsat med hjemmel i § 4, stk. 2.

Med § 4, stk. 1, litra b, fastslås det desuden, at Digitaliseringsstyrelsen sikrer udstedelse, spærring af identifikationsmidler til erhvervsbrugere efter reglerne fastsat i medfør af stk. 2.

Bestemmelsen medfører, at erhvervsbrugere kan få udstedt et elektronisk identifikationsmiddel, som Digitaliseringsstyrelsen sikrer udstedelse, suspension, spærring og genåbning af. Regler for udstedelse, spærring og genåbning vil blive fastsat med hjemmel i den foreslåede § 4, stk. 2. Herved kan erhvervsbrugere få udstedt et elektronisk identifikationsmiddel i MitID. Erhvervsbrugere får til forskel fra privatpersoner ikke udstedt en digital identitet i MitID. En erhvervsbruger får derimod udstedt en digital identitet i NemLog-in i serviceområdet Erhvervsadministration.

Når en erhvervsbruger efter den foreslåede § 4, stk. 1, litra b, bliver oprettet med en erhvervsidentitet i serviceområdet Erhvervsadministration i NemLog-in og vil have udstedt et elektronisk MitID-identifikationsmiddel, som skal anvendes i erhvervsøjemed, foretages dette ligeledes gennem serviceområdet Erhvervsadministration i NemLog-in. Der henvises til bemærkningerne til § 8, stk. 3. Erhvervsbrugeren kan vælge at få koblet sit private MitID-identifikationsmiddel til en eller flere erhvervsidentiteter, eller anvende et særskilt dedikeret MitID-identifikationsmiddel, som alene kan anvendes i erhvervsøjemed, og som kan tilknyttes én eller flere erhvervsidentiteter, som erhvervsbrugeren har. Koblingen mellem en erhvervsidentitet og et MitID-identifikationsmiddel udstedt til privatbrug forudsætter, at både den fysiske person, der er associeret med en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, som accepterer, at den fysiske person anvender sit private MitID-identifikationsmiddel. Dette forhold kaldes det dobbelte frivillighedsprincip. Det dobbelte frivillighedsprincip hjemles i den foreslåede § 9, stk. 2 og stk. 3.

De nærmere betingelser for spærring, suspension og udstedelse vil blive fastsat i regler med hjemmel i § 4, stk. 2.

Det skal bemærkes, at hvis en privatperson er den eneste fult ansvarlige i en virksomhed, kan personen anvende sit private MitID (MitID privat til erhverv) uden at oprette sin juridiske enhed som brugerorganisation i Serviceområdet Erhvervsadministration i NemLog-in. Privatpersonen vil derved kunne anvende både sin digitale identitet og elektroniske identifikationsmiddel oprettet i MitID-løsningen, til personens juridiske enhed, hvis personen er den eneste tegningsberettigede for den juridiske enhed. Der henvises i øvrigt til bemærkningerne til den forslåede § 8, stk. 3.

Formålet med identitetssikringen vil i hovedsagen være at sikre de forvaltningsretlige rammer om udstedelsesprocedurer af MitID til privatpersoner og erhvervsbrugere. Derudover er det formålet at sikre efterlevelse af NSIS-standarden.

Med det foreslåede stk. 2 fastsættes en hjemmel til, at finansministeren fastsætter regler om forvaltningen af MitID-løsningen og MitID, herunder regler om udstedelse, suspension, spærring og genåbning af MitID og regler for indbringelse af klage over en afgørelse om udstedelse, suspension og spærring af MitID. Det forventes, at en klage over en afgørelse kan indbringes for Digitaliseringsstyrelsen efter genvurdering hos den registreringsenhed, der har truffet afgørelsen. Finansministeren vil tillige kunne fastsætte regler med krav, der stilles til privatpersoner og erhvervsbrugere ved løbende håndtering af MitID.

Det forventes, at der med hjemmel i den foreslåede bestemmelse blive fastsat nærmere regler for forvaltningen af MitID-løsningen og MitID, herunder processuelle regler om identitetssikring ved oprettelse af digitale identiteter, registrering af identiteter samt udstedelse, betingelser, der skal opfyldes for at kunne få udstedt MitID, samt hvilke vilkår, der løbende skal opfyldes for at besidde og anvende MitID, suspension, spærring, nyudstedelse og genåbning af MitID samt regler om en nedre aldersgrænse for at få udstedt et MitID.

Det er hensigten, at den nedre aldersgrænse fra indførelsen af MitID sættes til 13 år. Bestemmelsen omfatter derved selve forvaltningen af MitID, som er rettet mod privatpersoner og i et mere begrænset omfang erhvervsbrugere, idet erhvervsidentiteter håndteres i serviceområdet Erhvervsadministration i NemLog-in, jf. nærmere i den forslåede § 8, stk. 3 og forvaltningen heraf i den foreslåede § 9.

Det er forventningen, at der med hjemmel i den foreslåede § 4, stk. 2, fastsættes regler om udstedelse af MitID. Udstedelse af MitID kræver, at den fysiske person gennemgår en identitetssikringsproces, som har til formål entydigt at identificere den pågældende fysiske person. Sagsbehandling i forbindelse med identitetssikring er en forvaltningsopgave. Dette indebærer, at også udpegede juridiske enheder, som foretager identitetssikring vil være underlagt forvaltningsregler. Der henvises til den foreslåede § 20. Formålet med identitetssikringen er at sikre, at privatpersoners identitet registreres korrekt, således at deres nationale digitale identiteter ikke kan forveksles med andres digitale identiteter. Samtidig skal det sikres, at NSIS overholdes ved registrering og udstedelse af MitID. Privatpersoner har alene et retskrav på at få udstedt MitID, hvis de opfylder betingelserne for udstedelse af MitID, som fastsat i medfør af denne foreslåede bestemmelse. Hvis fx en privatperson ikke kan dokumentere sin identitet, vil det have den konsekvens, at personen ikke kan få udstedt et MitID.

Ved udstedelse af MitID sker der en registrering af den fysiske person i MitID-løsningen. Det forventes, at der fastsættes nærmere regler om registrering i MitID med hjemmel i denne bestemmelse.

Det forventes endvidere, at der fastsættes nærmere regler om besiddelse og anvendelse af MitID, med hjemmel i den foreslåede bestemmelse. Regler om forvaltning af MitID fastsættes under inddragelse af hensyn til løsningens sikkerhed og privatpersoners og erhvervsbrugeres tillid til MitID-løsningen. I denne afvejning er det formålet at skabe en balance mellem hensynet til den enkelte privatpersons muligheder for at indgå i det digitale samfund og hensynet til den generelle tillid til MitID-løsningen. Reglerne skal være med til at sikre privatpersoner og juridiske enheder mod konkret misbrug og skal samtidig bidrage til at opretholde den samlede sikkerhed i MitID-løsningen. Der skal blandt andet fastsættes regler om hemmeligholdelse og beskyttelse af det elektroniske identifikationsmiddel, og at privatpersonen eller erhvervsbrugeren kognitivt skal have evnen til at forstå og følge reglerne, herunder beskytte det udstedte MitID og elektroniske identifikationsmiddel mod andres brug og misbrug. Der skal ligeledes fastsættes regler om, at privatpersoner og erhvervsbrugere skal tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer MitID mod kompromittering, ændring, tab og uautoriseret brug. Finansministeren vil tillige kunne fastsætte, hvilke konsekvenser det har, hvis en privatperson eller erhvervsbruger ikke overholder disse krav, efter MitID er udstedt til den pågældende. Det vil eksempelvis kunne fastsættes, at MitID spærres ved mistanke om misbrug eller brud på sikkerheden. Det forventes, at det bliver fastsat, at den fysiske person kan få udstedt MitID ved personligt fremmøde hos en registreringsenhed fx i et pengeinstitut eller hos en registreringsenhed i kommunernes borgerservicecentre.

Derudover forventes det, at der i lighed med i dag vil blive fastsat regler om, at udstedelse af MitID kan afslås, hvis en registreringsenhed vurderer, at en privatperson ikke er i stand til at sikre MitID mod misbrug eller videregivelse til tredjemand. Det forudsætter, at registreringsenheden som led i udstedelsesprocessen foretager et skøn af privatpersonens evner til at besidde, beskytte og sikre sit MitID. Reglerne herom fastsættes under inddragelse af hensyn til sikkerheden i løsningen og tilliden til anvendelsen af MitID.

Et afslag på udstedelse af MitID indebærer en væsentlig begrænsning i indehaverens digitale færden og udgør en forvaltningsretlig afgørelse.

Herudover vil en spærring foretaget af andre end indehaveren selv, udgøre en forvaltningsretlig afgørelse. En registreringsenhed vil fx kunne spærre et MitID, hvis der kan opstå tvivl om identiteten på den fysiske person stemmer overens med den digitale identitet. Ligeledes vil et MitID kunne suspenderes systemisk, hvis fx adgangskoden er skrevet forkert flere gange i træk. Det skal i den sammenhæng bemærkes, at både en hel eller en delvis spærring af MitID alene vil betragtes som en forvaltningsretlig afgørelse, hvis den foretages af Digitaliseringsstyrelsen eller af de offentlige myndigheder, offentligretlige organer eller juridiske enheder, der i medfør af den foreslåede § 5, stk. 1, er udpeget til på vegne af Digitaliseringsstyrelsen at varetage opgaver med blandt andet forvaltning af MitID samt opgaver i medfør af § 4, stk. 1.

Det forventes med den foreslåede bestemmelse i stk. 2, at finansministeren bemyndiges til at fastsætte nærmere regler for, hvornår og hvordan MitID kan spærres. Det er hensigten, at der både vil blive fastsat regler om, at en privatpersonen selv kan spærre sin digitale identitet, sit digitale identifikationsmiddel eller begge dele. Ligeledes forventes det, at en registreringsenhed kan spærre en digital identitet, et digitalt identifikationsmiddel eller begge dele. Ved en spærring af en digital identitet eller et digitalt identifikationsmiddel, er det nødvendigt at genregistrere og genudstede den digitale identitet, det digitale identifikationsmiddel eller begge dele til privatpersonen. Det forventes også, at der med hjemmel i den foreslåede bestemmelse, bliver fastsat regler om suspendering af den digitale identitet og i særlige tilfælde det elektroniske identifikationsmiddel. En suspendering vil i praksis betyde, at den digitale identitet er midlertidig spærret. Således vil det være muligt at genåbne den digitale identitet, uden at skulle foretage en ny registrering og udstedelse. En suspension kan fx foretages, hvis der er mistanke om, at MitID er kompromitteret. Såvel en registreringsenhed som indehaveren af MitID skal kunne suspendere eller spærre MitID. En registreringsenhed er en enhed, som er udpeget af Digitaliseringsstyrelsen til at udstede og spærre MitID, fx borgerservice eller et pengeinstitut. Ligeledes kan en udpeget leverandør og forvalter, jf. § 5, stk. 1, af MitID-løsningen suspendere eller spærre en MitID-identitet, hvis det konstateres, at et MitID er kompromitteret eller det forsøges kompromitteret.

Spærring er endvidere relevant, når indehaveren ikke overholder reglerne for brug af MitID, fx hvis koder overlades til tredjemand. Spærring sker ligeledes, når det konstateres, at den fysiske person, der er indehaver af et MitID, er afgået ved døden. Bemyndigelsen skal sikre, at privatpersoner sikres de samme muligheder for fx klageadgang, uanset om det er offentlige myndigheder eller offentligretlige organer, som varetager disse opgaver, eller om opgaverne varetages af en juridisk enhed, jf. § 6, stk. 1.

Det forventes også, at der vil blive fastsat regler om erhvervsbrugere udstedelse og spærring af det elektroniske MitID-identifikationsmiddel, som disse kan få udstedt i medfør af § 4, stk. 1, litra b.

Med lovforslaget ændres der ikke på, at de forvaltningsretlige principper finder anvendelse også i den situation, hvor finansministeren udpeger en juridisk enhed til eksempelvis at varetage opgaven med at udstede MitID til privatpersoner. Hertil følger det af lovforslagets § 20, at forvaltningsretten finder anvendelse på afgørelser om forvaltning af MitID, hvilket blandt andet vil være tilfældet for afgørelser om afslag på udstedelse af MitID eller spærring af MitID.

Det forventes med den foreslåede stk. 2, at finansministeren skal fastsætte nærmere regler om adgangen til at klage over en afgørelse om afslag på udstedelse af MitID, spærring og suspension af MitID og genåbning af MitID.

Når der træffes en forvaltningsretlig afgørelse om afslag på udstedelse, spærring og suspension, skal der gives mulighed for at indgive en klage over afgørelsen, ligesom forvaltningslovens regler om afgørelsesvirksomhed skal iagttages. Det er således væsentligt, at en privatperson kan klage over et afslag på udstedelse, da et afslag kan have indgribende betydning for den persons digitale færden. Ligeledes er MitID en forudsætning for, at en privatperson kan tilgå Digital Post og anvende offentlige digitale selvbetjeningsløsninger. Privatpersoner, som ikke kan få udstedt MitID, vil ikke kunne betjene sig hos en offentlig myndighed eller et offentligretligt organ via den fællesoffentlige adgang. Det er op til den enkelte offentlige myndighed eller offentligretlige organ at beslutte, hvordan de vil understøtte en privatperson i dette tilfælde. De enkelte myndigheder vil i den sammenhæng være forpligtet til at vejlede privatpersoner efter de forvaltningsretlige regler, hvilket blandt andet indebærer, at en myndighed har pligt til at vejlede og hjælpe privatpersoner inden for de ressortområder, som de er ansvarlige for. Således har en myndighed pligt til at hjælpe en privatperson, der fx ikke kan få udstedt MitID til at agere inden for myndighedens område og give privatpersonen adgang til de oplysninger og den offentlige service, som andre privatpersoner kan tilgå ved brug af MitID.

Det forventes, at en afgørelse om afslag på udstedelse af MitID, spærring og suspension af MitID, efter genvurdering hos registreringsenheden, skal kunne indbringes for Digitaliseringsstyrelsen. Regler om dette forventes ligeledes fastsat med hjemmel i den forslåede stk. 2.

Det bemærkes, at det er hensigten, at der udarbejdes én bekendtgørelse med regler for udstedelse og spærring af MitID samt om muligheden for at indbringe klager over afgørelser herom, således at de borgerrettede regler fastsættes samlet. Dette sker af hensyn til, at privatpersoner og erhvervsbrugere kan få et gennemsigtigt og samlet overblik over de regler, som retter sig mod dem.

De nærmere regler om tilrådighedsstillelse og anvendelse af MitID-løsningen for offentlige myndigheder og offentligretlige organer fastsættes i medfør af den foreslåede § 16.

Finansministeren fastsætter ikke regler om udvikling og drift af MitID, idet disse forhold reguleres i kontrakten med den private virksomhed, offentlige myndighed eller offentligretlige organ, der kan udpeges i medfør af § 5, stk. 1.