Bekendtgørelse af lov om MitID og NemLog-in § 8

Der er ikke gældende ret som regulerer tilrådighedsstillelsen af NemLog-in.

Med den foreslåede bestemmelse i § 8, stk. 1 fastslås, at Digitaliseringsstyrelsen stiller NemLog-in til rådighed for offentlige myndigheder, offentligretlige organer og juridiske enheder.

Den foreslåede bestemmelse indebærer, at Digitaliseringsstyrelsen pålægges myndighedsopgaven at stille NemLog-in til rådighed for offentlige myndigheder, offentligretlige organer og juridiske enheder.

I NemLog-in kan de offentlige myndigheder, offentligretlige organer og juridiske enheder agere i to forskellige roller: som tjenesteudbyder eller som brugerorganisation. En tjenesteudbyder er ansvarlig for én eller flere digitale selvbetjeningsløsninger. Offentlige myndigheder, offentligretlige organer og juridiske enheder agerer i rollen som tjenesteudbydere, når de anvender serviceområderne Login og autentifikation, Digital signering og Digital repræsentation i deres selvbetjeningsløsninger. En brugerorganisation er tilsluttet og anvender serviceområdet Erhvervsadministration i NemLog-in til deres erhvervsbrugere.

Digitaliseringsstyrelsen stiller NemLog-in til rådighed for offentlige myndigheder, offentligretlige organer og juridiske enheder som tjenesteudbydere, hvorefter disse har pligt eller ret til at tilbyde fysiske personer og erhvervsbrugere anvendelse af NemLog-ins serviceområder i deres digitale selvbetjeningsløsninger, jf. bemærkningerne til bestemmelsens stk. 2. Offentlige myndigheder, offentligretlige organer og juridiske enheder kan i rollen som brugerorganisationer oprette og administrere erhvervsbrugere, som kan anvende digitale selvbetjeningsløsninger på vegne af organisationen.

Med den foreslåede § 8, stk. 1, 2. pkt., fastslås det, at Digitaliseringsstyrelsen sikrer udvikling, drift og vedligeholdelse af NemLog-in.

I Digitaliseringsstyrelsens opgave med at sikre drift og forvaltning, indgår ligeledes en sikring af, at der sker drift og support for løsningen. Tjenesteudbydere og brugerorganisationerne, som anvender de enkelte serviceområder, har således som en del af serviceområdet mulighed for at få både teknisk support og slutbrugersupport til blandt andet tilslutning til serviceområderne. Dele af supportopgaverne er vederlagsbelagte, jf. § 15, stk. 2.

I gældende ret er de serviceområder, som er indeholdt i den næste generation af NemLog-in ikke reguleret. Det skal dog bemærkes, at det med NemID, som er den eksisterende løsning er muligt at signere lokalt udelukkende ved brug af NemID, idet der til det enkelte NemID er knyttet nøgler og certifikat til afgivelse af digital signatur. Ved overgangen fra NemID til MitID vil signering under anvendelse af MitID kunne ske ved brug af serviceområdet Digital signering i NemLog-in, jf. den foreslåede § 8, stk. 2, nr. 3, idet MitID som eID ikke indeholder de signaturgenereringsdata, der er nødvendige for at afgive signaturer. Ovenstående ændrer ikke på, at det fortsat vil være muligt at anvende private signeringsløsninger.

Det betyder, at i gældende lovgivning, hvor der i dag foreskrives anvendelse af NemID, OCES eller digital signatur eller digital signatur med et sikkerhedsniveau svarende til OCES eller højere til login og autentifikation, skal dette efter denne lovs ikrafttræden sidestilles med og være opfyldt ved anvendelse, og anvendelse af MitID på sikringsniveau betydelig eller højere eller et nationalt eID med sikringsniveau betydelig eller højere.

I tilfælde, hvor der i gældende lovgivning foreskrives, at underskrift kan afgives ved anvendelse af NemID, OCES, digital signatur eller digital signatur med et sikkerhedsniveau svarende til OCES eller højere, vil dette ikke fremadrettet være muligt alene ved autentifikation med MitID. En digital underskrift kræver i stedet anvendelse af serviceområdet Digital signering. Selve autentifikation ved afgivelsen af underskriften kan dog ske ved anvendelse af MitID, men den digitale signering vil dog ske ved anvendelsen af serviceområdet Digital signering. Selvom Digitaliseringsstyrelsen fremadrettet vil varetage rollen som certificeringscenter for serviceområdet Digital signering, er regulering af certificeringscenteret ikke omfattet af denne lov, men følger af eIDAS-forordningen. Digitaliseringsstyrelsen har udformet, varetager og vedligeholder på vegne af den danske stat de gældende certifikatpolitikker, som stiller krav til udbydere af tillidstjenester i Danmark. Digitaliseringsstyrelsens certifikatpolitik indeholder hovedkategorierne ”OCES-certifikater” og ”kvalificerede certifikater”.

Med den foreslåede § 8, stk. 2 fastlægges det, at NemLog-in indeholder en række serviceområder til tjenesteudbydere.

Bestemmelsen indeholder en oplistning af hvilke serviceområder NemLog-in indeholder til tjenesteudbydere, og som Digitaliseringsstyrelsen leverer og stiller til rådighed for at offentlige myndigheder, offentligretlige organer og juridiske enheder kan tilslutte sig, jf. nr. 1-3.

Den foreslåede § 8, stk. 2, nr. 1, fastsætter, at NemLog-in indeholder serviceområdet login og autentifikation for tjenesteudbydere, som sikrer den service, at privatpersoner og erhvervsbrugere kan tilgå digitale selvbetjeningsløsninger.

Med bestemmelsens nr. 1 foreslås det, at Login og autentifikation udgør et serviceområde i NemLog-in. Det foreslåede serviceområde muliggør, at der med autentifikation af digitale identiteter kan logges på digitale selvbetjeningsløsninger tilsluttet NemLog-in eller anden NSIS-anmeldt broker tilsluttet NemLog-in. Offentlige myndigheder og offentligretlige organers autentifikation i den fællesoffentlige infrastruktur af digitale identiteter for privatpersoner sker i MitID-løsningen gennem NemLog-in. Erhvervsbrugerne autentificeres i serviceområdet Erhvervsadministration eller gennem en lokal identitetsgarant tilsluttet Erhvervsadministration i NemLog-in, jf. lovforslagets § 8, stk. 3.

I praksis betyder det fx, at når en privatperson eller en erhvervsbruger, som har fået udstedt et elektronisk identifikationsmiddel i MitID-løsningen, logger ind på en digital selvbetjeningsløsning, som er tilsluttet NemLog-in eller en NSIS-anmeldt broker koblet til NemLog-in, sender NemLog-in en digital autentifikationsanmodning til MitID-løsningen. MitID-løsningen sender herefter et sikkert svar tilbage til NemLog-in, som indeholder autentifikationssvaret til den pågældende selvbetjeningsløsning. Der henvises til lovforslagets almindelige bemærkninger afsnit 7.3.1 vedrørende behandling af personoplysninger.

Funktionen log-in muliggør, at privatpersoner og erhvervsbrugere kan tilgå digitale selvbetjeningsløsninger efter, at de har foretaget den påkrævede autentifikation over for den selvbetjeningsløsning, som de ønsker at tilgå.

Log-in og autentifikation vil for privatpersonen og erhvervsbrugeren blive oplevet som en samlet proces.

Derudover indeholder serviceområdet funktionen Single sign-on. Funktionen Single sign-on kan alene anvendes af offentlige myndigheder og offentligretlige organer, når de udfører en myndighedsopgave, jf. den foreslåede § 11, stk. 1, nr. 1.

Med funktionen Single sign-on kan en privatperson eller en erhvervsbruger tilgå flere offentlige digitale selvbetjeningsløsninger på baggrund af et enkelt login, såfremt selvbetjeningsløsningerne er på samme NSIS-sikringsniveau. Herved kan der for privatpersoner og erhvervsbrugere etableres en bedre brugerrejse og mere effektiv anvendelse af offentlige digitale selvbetjeningsløsninger. Hvis en selvbetjeningsløsning kræver et højere NSIS-sikringsniveau end den forrige, vil det kræve, at den fysiske person eller erhvervsbrugeren foretager en ny og stærkere autentifikation for at kunne tilgå selvbetjeningsløsningen med det højere NSIS-sikringsniveau. Det betyder i praksis, at der skal foretages en ny autentifikation, med en yderligere anerkendt faktor, det kunne fx være ved anvendelse af et supplerende identifikationsmiddel.

Den foreslåede § 8, stk. 2, nr. 2, litra a, fastsætter, at NemLog-in indeholder serviceområdet Digital repræsentation til tjenesteudbydere, som sikrer Digital repræsentation af en privatperson, således at privatpersonen ved anvendelse af en digital selvbetjeningsløsning kan lade sig repræsentere digitalt af en anden privatperson, af en erhvervsbruger eller af en juridisk enhed over for en offentlig myndighed eller et offentligretligt organ, som udbyder en digital selvbetjeningsløsning.

Med bestemmelsens foreslåede litra a, udgør Digital repræsentation et serviceområde i NemLog-in. Digital repræsentation i NemLog-in finder primært anvendelse for privatpersoner, som kan lade sig repræsentere digitalt af en tredjepart. En privatperson kan administrere og afgive digital repræsentation til en anden privatperson, en erhvervsbruger eller en juridisk enhed. En privatperson kan gennem serviceområdet Digital repræsentation i NemLog-in tildele og administrere afgivne repræsentationer.

En privatperson kan lade sig repræsentere i serviceområdet Digital repræsentation i NemLog-in, men vil ikke kunne overlade sin digitale identitet eller identifikationsmiddel i MitID til en anden.

Det er teknisk muligt for en privatperson at anmode en anden privatperson om at repræsentere sig gennem Digital repræsentation i NemLog-in.

Denne funktion muliggør, at en borger, der ikke er digital parat, alligevel har mulighed for at blive understøttet på digitale selvbetjeningsløsninger ved anvendelsen af serviceområdet Digital signering. Den udpegede repræsentant kan således påbegynde oprettelsen af repræsentationsforholdet i selve tilslutningsflowet, hvorefter repræsentationsafgiver senere kan tilslutte sig flowet analogt.

Serviceområdet Digital repræsentation udgør en digital repræsentationsløsning, som understøtter forvaltningslovens § 8, stk. 1 om repræsentation i forvaltningsretlig sammenhæng, hvor det kræves, at en part i en sag på ethvert tidspunkt af sagens behandling kan lade sig repræsentere eller bistå af andre. Digital repræsentation understøtter digital repræsentation på flere myndighedsområder og centraliserer muligheden for at afgive digitale fuldmagter i offentligt regi, hvor en privatperson ønsker at lade sig repræsentere af en tredjepart. Folketingets Ombudsmand har i FOB 2019-11 understreget, at en kommunes digitale selvbetjeningsløsning bør understøtte muligheden for partsrepræsentation, eller at kommunen som minimum bør vejlede herom. Den digitale repræsentationsløsning i serviceområdet Digital repræsentation er dermed central for at skabe sammenhæng mellem myndigheders pligt til at anvende digitale selvbetjeningsløsninger og privatpersoners retsgarantier i forhold til repræsentation, som fastsat i forvaltningsloven. Digital repræsentation er eksklusiv i den forstand, at det er den eneste digitale løsning i Danmark, hvor der kan foretages repræsentation på flere myndighedsområder. Serviceområdet Digital repræsentation gør hermed muligheden for digital repræsentation enkel, særligt hvis en privatperson ønsker repræsentation på flere myndighedsområder.

Der kan ikke efter den foreslåede bestemmelse udledes en ret til partsrepræsentation. Retten til partsrepræsentation følger alene af forvaltningslovens § 8. Privatpersoner og juridiske enheder, der ønsker partsrepræsentation, skal således fortsat påberåbe sig hjemlen i forvaltningsloven. Den foreslåede bestemmelse om serviceområdet Digital repræsentation i NemLog-in har alene til formål at give hjemmel til, at denne service indgår i NemLog-in, som Digitaliseringsstyrelsen er forpligtet til at stille til rådighed.

Serviceområdet Digital repræsentation indeholder også andre former for repræsentation end partsrepræsentation, fx understøtter serviceområdet, at værger i nogle tilfælde vil kunne anmode om at agere som digital repræsentant i overensstemmelse med værgemålet.

De nærmere myndighedsområder, der kan afgives digital repræsentation til, er defineret af myndigheden som tjenesteudbyder og er specifikt tilrettet tjenesteudbyderens digitale selvbetjeningsløsning. I den forbindelse er det en forudsætning, at en tjenesteudbyders digitale selvbetjeningsløsninger er tilsluttet NemLog-in.

En privatperson forpligtes ikke til at lade sig repræsentere digitalt og skal kunne vælge at lade sig repræsentere analogt, hvis privatpersonen ikke ønsker at anvende en digital repræsentationsløsning.

Serviceområdet har den funktion, at Digitaliseringsstyrelsen forvalter oprettelse og tilbagekaldelse af et digitalt repræsentationsforhold i de tilfælde, hvor repræsentationsforholdet oprettes på anmodning fra repræsentanten. Tjenesteudbydere, som anvender serviceområdet Digital repræsentation, overlader derfor den praktiske håndtering af oprettelse og tilbagekaldelse af repræsentationsforholdet i serviceområdet Digital repræsentation til Digitaliseringsstyrelsen, når det er repræsentanten, der anmoder om oprettelse af repræsentationsforholdet. Når anmodningen om oprettelse af et repræsentationsforhold afgives af fuldmagtsgiveren, varetages behandlingen af anmodningen af borgerservice eller tjenesteudbyderne selv. I forhold til hvilke offentlige myndigheder og offentligretlige organer, som har pligt eller ret til at stille servicen Digital repræsentation til rådighed for privatpersoner og erhvervsbrugere, henvises i øvrigt til bemærkningerne til lovforslagets kapitel 8 om anvendelse af NemLog-in.

Digital repræsentation kan alene anvendes i digitale selvbetjeningsløsninger, hvor en offentlig myndighed eller et offentligretligt organ udfører myndighedsopgaver, jf. § 11, stk. 1, nr. 2. Det er således ikke muligt at anvende serviceområdet til opgaver, som ikke er myndighedsopgaver. Serviceområdet Digital repræsentation fungerer derved som en offentlig central repræsentationsløsning til repræsentationsstyring, der kan anvendes af en privatperson eller en tegningsberettiget erhvervsbruger, som ønsker at lade sig repræsentere på ét eller flere myndighedsområder.

Den foreslåede § 8, stk. 2, nr. 2, litra b, fastsætter, at NemLog-in indeholder serviceområdet Digital repræsentation til tjenesteudbydere, som sikrer Digital repræsentation af en juridisk enhed, således at en erhvervsbruger, der selvstændigt kan repræsentere en juridisk enhed, kan repræsentere enheden ved anvendelse af en digital selvbetjeningsløsning over for en offentlig myndighed eller et offentligretligt organ, som udbyder en digital selvbetjeningsløsning.

Den foreslåede bestemmelse i litra b skal muliggøre at anvende Digital repræsentation i erhvervsøjemed for en juridisk enhed. Det er kun en virksomheds tegningsberettigede, der kan tegne en juridisk enhed fuldstændigt, som kan anvende serviceområdet, dvs. både tegningsberettigede i enkeltmandsvirksomheder og i fx anpartsvirksomheder kan anvende løsningen.

Det er en forudsætning, at den tegningsberettigede anvender MitID privat til erhverv for at anvende serviceområdet Digital repræsentation og selvstændigt kan repræsentere den juridiske enhed. Når erhvervsbrugere, som anvender MitID privat til erhverv, afgiver rettigheder til en anden erhvervsbruger benævnes det som digitale erhvervsfuldmagter i NemLog-in.

De områder, der kan afgives Digital repræsentation til, er på forhånd defineret af den offentlige tjenesteudbyder og er specifikt tilrettet den enkelte offentlige tjenesteudbyders digitale selvbetjeningsløsning. I den forbindelse er det en forudsætning, at den offentlige tjenesteudbyders digitale selvbetjeningsløsninger er tilsluttet NemLog-in samt serviceområdet Digital repræsentation. Digital repræsentation kan alene anvendes i digitale selvbetjeningsløsninger, hvor en offentlig myndighed eller et offentligretligt organ udfører myndighedsopgaver, jf. § 11, stk. 1, nr. 2. Det er således ikke muligt at anvende serviceområdet til opgaver, som ikke er myndighedsopgaver. Serviceområdet Digital repræsentation fungerer derved som en offentlig central repræsentationsløsning til repræsentationsstyring, der kan anvendes af en privatperson eller en tegningsberettiget erhvervsbruger, som ønsker at lade sig repræsentere på ét eller flere myndighedsområder.

I bestemmelsens foreslåede § 8, stk. 2, nr. 3, litra a fastsættes, at offentlige myndigheder, offentligretlige organer og juridiske enheder kan udstille digital signering af dokumenter i digitale selvbetjeningsløsninger.

Når offentlige myndigheder, offentligretlige organer og juridiske enheder anvender serviceområdet Digital signering, jf. litra a, gør de det i rollen som tjenesteudbydere, idet de herved udbyder serviceområdet Digital signering som tjeneste på deres digitale selvbetjeningsløsning.

Tjenesteudbydere kan således i serviceområdet Digital signering udstille Digital signering af dokumenter i digitale selvbetjeningsløsninger tilsluttet NemLog-in. Herved kan, kan privatpersoner og erhvervsbrugere som led i anvendelsen af den digitale selvbetjeningsløsning signere dokumenter hos tjenesteudbyderen.

Ved udstilling af Digital signering forstås, at en tjenesteudbyder i deres digitale selvbetjeningsløsninger muliggør, at en privatperson eller en erhvervsbruger kan anvende signeringsservicen. For at offentlige myndigheder, offentligretlige organer og juridiske enheder kan anvende serviceområdet Digital signering i NemLog-in, skal de tilsluttes som tjenesteudbydere, så de kan udbyde signeringsservicen til signering af indhold i deres digitale selvbetjeningsløsning.

Signeringsservicen lever op til de lovmæssige krav om Digital signering, som er fastsat i eIDAS-forordningen.

Digitaliseringsstyrelsen varetager således gennem NemLog-in serviceområdet Digital signering udstedelse af kvalificerede certifikater og kvalificerede segl på vegne af den danske stat. For at varetage denne opgave, etablerer Digitaliseringsstyrelsen et certificeringscenter gennem NemLog-in, som muliggør udstedelse af certifikater, tidsstempling og signering. Dette indebærer, at Digitaliseringsstyrelsen selvstændigt varetager rollen som certificeringscenter. Certificeringscenteret forestår ligeledes udstedelse af OCES-certifikater og kvalificerede certifikater, der kan udstedes til brugerorganisationer i serviceområdet Erhvervsadministration, jf. bemærkningerne til § 8, stk. 3.

Med bestemmelsens § 8, stk. 2, nr. 3, litra b, sikres med serviceområdet Digital signering, at privatpersoner og erhvervsbrugere kan signere digitale dokumenter og validere signerede dokumenters digitale signatur og integritet.

I serviceområdet Digital signering stilles en signeringsservice til rådighed, der giver mulighed for afgivelse af digitale signaturer på digitale dokumenter. Signeringen sker i praksis ved anvendelsen af en digital identitet og et elektronisk identifikationsmiddel til brug for autentifikation af privatpersonen eller erhvervsbrugeren over for signeringstjenesten i serviceområdet Digital signering, hvorefter signaturen kan afgives. På baggrund af den gennemførte autentifikation sikrer servicen, at det er muligt at identificere afgiveren af den digitale signatur. Den digitale signering sikrer det digitale dokuments integritet, idet dokumentet ikke efterfølgende kan ændres, uden at dette kan konstateres i forbindelse med en verifikation af signaturen på dokumentet.

Som en del af serviceområdet Digital signering kan privatpersoner og erhvervsbrugere anvende en valideringstjeneste, der giver mulighed for at kontrollere integriteten af det digitalt signerede dokument. Valideringstjenesten kan således afgøre, om der efter afgivelsen af signaturen er foretaget ændringer i dokumentet.

For erhvervsbrugere vil kunne foretage en digital signering i serviceområdet Digital signering ved brug af en digital identitet og identifikationsmiddel udstedt til en erhvervsbruger. Det vil også være muligt at foretage digital signering i serviceområdet Digital signering ved brug af et MitID udstedt til privatbrug, men som anvendes til erhverv, forudsat at privatpersonen hæfter fuldt ud for den juridiske enheds aktiviteter. Dette er fx tilfældet i enkeltmandsvirksomheder.

Serviceområdet Digital signering giver således mulighed for at afgive en digital signatur med samme retsvirkning som en fysisk underskrift. Der henvises til eIDAS-forordningens artikel 25, der beskriver retsvirkningen af digitale signaturer. Afgivelsen af en digital signatur vil ske på baggrund af sikker autentifikation.

Digital signering sker i praksis ved, at underskriver autentificerer sig ved anvendelsen af sin digitale identitet og elektroniske identifikationsmiddel. På den baggrund sikres ægtheden og uafviseligheden af den digitale signatur, og det er derved muligt at identificere afgiveren af den digital signatur. Signeringen sikrer ligeledes det digitale dokuments integritet og bevisværdi, idet det ved efterfølgende verifikation af signaturen vil fremgå, om dokumentet er blevet ændret.

Digitaliseringsstyrelsen må behandle persondata i forbindelse med valideringen af en digital signatur afgivet i serviceområdet Digital signering i NemLog-in, jf. den forslåede § 14.

Når et dokument efter Digital signering skal valideres, foregår det i NemLog-in, som udstiller en valideringstjeneste, hvorfra der kan foretages en validering. Valideringstjenesten kan tilgås af privatpersoner eller erhvervsbrugere på den måde, at et digitalt dokument overføres til validering i tjenesten. En privatperson eller en erhvervsbruger kan således anvende valideringstjenesten i NemLog-in til at validere digitalt signerede dokumenter og validere integriteten af disse dokumenter. I forbindelse med valideringen konstateres det således, om der er foretaget ændringer i det signerede dokument, efter at det er blevet signeret.

Med det foreslåede § 8, stk. 3, litra a, foreslås det, at NemLog-in indeholder serviceområdet Erhvervsadministration til brugerorganisationer, som sikrer at offentlige myndigheder, offentligretlige organer og juridiske enheder kan oprette, administrere og anvende digitale erhvervsidentiteter samt tildele og administrere elektroniske identifikationsmidler, hvis de opfylder betingelserne for identitetssikring ved oprettelse som brugerorganisation, som nærmere fastsat i medfør af § 9, stk. 4.

Erhvervsadministration udgør et serviceområde i NemLog-in, som brugerorganisationer, kan tilslutte sig, såfremt de overholder reglerne om identitetssikring ved oprettelse som brugerorganisation, som nærmere fastsat i medfør af § 9, stk. 2. En brugerorganisation udgør således en offentlig myndighed, et offentligretligt organ eller en juridisk enhed, der er tilsluttet og anvender serviceområdet Erhvervsadministration i NemLog-in til deres erhvervsbrugere.

Efter den foreslåede bestemmelse i litra a muliggør serviceområdet Erhvervsadministration, at offentlige myndigheder, offentligretlige organer og juridiske enheder i rollen som brugerorganisation i NemLog-in kan oprette, administrere og anvende digitale erhvervsidentiteter samt tilknytte og administrere elektroniske identifikationsmidler til erhvervsbrugere. Serviceområdet Erhvervsadministration kaldes også MitID Erhverv. For at serviceområdet i litra a kan anvendes, kræver det, at en offentlig myndighed eller juridisk enhed, oprettes som brugerorganisation i NemLog-in.

Det er et krav, at en brugerorganisation overholder vilkår for at blive oprettet i NemLog-in. De regler, som regulerer forholdet til offentlige myndigheder og offentligretlige organer fastsættes af finansministeren med hjemmel i § 16.

Når en erhvervsbruger skal have tildelt et elektronisk identifikationsmiddel, vil det ske ved bestilling i serviceområdet Erhvervsadministration. Der kan knyttes tre typer af identifikationsmidler til erhvervsidentiteten. De tre typer af identifikationsmidler kan være følgende: MitID udstedt til en privatperson, et dedikeret MitID udstedt til en privatperson som erhvervsbruger eller et lokalt udstedt elektronisk identifikationsmiddel. Det er erhvervsbrugeren og brugerorganisationen, som vælger identifikationsmidlet.

Det skal bemærkes, at et lokalt udstedt elektronisk identifikationsmiddel udgør et identifikationsmiddel, som er udstedt af den pågældende brugerorganisation selv. Det kan fx være et hospital, hvor lægerne anvender et lokalt identifikationsmiddel med høj autentifikation, når de skal tildele medicin, skrive patientjournal og lign. Et lokalt identifikationsmiddel vil typisk blive anvendt, hvor en brugerorganisation har brug for et identifikationsmiddel med høj autentifikation, som dog alene skal anvendes lokalt og internt hos den pågældende brugerorganisation.

Et lokalt identifikationsmiddel kan alene tilknyttes, hvis brugerorganisationen har tilsluttet en lokal identitetsgarant og er det eneste elektroniske identifikationsmiddel, som ikke er et MitID-identifikationsmiddel. For brugerorganisationer, som ikke anvender lokale identitetsgaranter, vil et elektronisk identifikationsmiddel til en erhvervsbruger være et MitID-identifikationsmiddel.

Det er ligeledes muligt i Erhvervsadministration at tilkoble dedikerede identifikationsmidler til flere erhvervsidentiteter. Desuden kan brugerorganisationen sammen med erhvervsbrugeren vælge, at erhvervsbrugerens private MitID-identifikationsmiddel kan benyttes til autentifikation af erhvervsbrugerens erhvervsidentitet. Hvis en erhvervsbruger har flere erhvervsidentiteter, kan erhvervsbrugeren fx vælge at anvende sit private MitID-identifikationsmiddel til nogle erhvervsidentiteter og et dedikeret MitID til andre. Således kan en erhvervsbruger med flere erhvervsidentiteter vælge, hvilken digital identitet, som erhvervsbrugeren vil foretage autentifikation med på den digitale selvbetjeningsløsning.

En erhvervsbruger kan benytte sit private MitID-identifikationsmiddel i erhvervsøjemed i to situationer. For det første såfremt erhvervsbrugeren egenhændigt kan tegne virksomheden. Dette kan fx være, når en enkelt person er indehaver af en virksomhed og tegner denne alene. For det andet såfremt en erhvervsbruger i brugerorganisationen har fået tilknyttet det private identifikationsmiddel til sin erhvervsidentitet. Benyttelse af en privatpersons private MitID-identifikationsmiddel i sammenhæng med en erhvervsidentitet kræver både accept fra erhvervsbrugeren og den pågældende juridiske enhed, hvilket er benævnt ”det dobbelte frivillighedsprincip” i NemLog-in, jf. bemærkningerne til § 9, stk. 3.

Endvidere er det muligt i serviceområdet Erhvervsadministration at sammenkoble lokale erhvervsidentiteter med elektroniske identifikationsmidler til digitale erhvervsidentiteter i erhvervsløsningen i NemLog-in. For sammenkobling af lokale identiteter med elektroniske identifikationsmidler til digitale erhvervsidentiteter er det en betingelse, at den offentlige myndighed, det offentligretlige organ eller den juridiske enhed er oprettet som brugerorganisation og tilslutter en lokal identitetsgarant i forhold til NemLog-in.

Serviceområdet Erhvervsadministration omfatter endvidere en ydelse, som udstiller et erhvervs-API, hvorigennem andre brokere har mulighed for at foretage opslag og validering af en erhvervsbruger oprettet i serviceområdet Erhvervsadministration i NemLog-in. Dette giver mulighed for, at erhvervsbrugeren kan anvende sin erhvervsidentitet ved login til en digital selvbetjeningsløsning hos en tjenesteudbyder tilsluttet en anden broker end NemLog-in. Anvendelse af NemLog-in’s erhvervs-API fordrer, at den anden broker indgår aftale med NemLog-in herom.

Med det foreslåede § 8, stk. 3, litra b, foreslås det, at NemLog-in indeholder serviceområdet Erhvervsadministration til brugerorganisationer, som sikrer at offentlige myndigheder, offentligretlige organer og juridiske enheder kan tildele og administrere rettigheder og certifikater til erhvervsidentiteter.

Den foreslåede litra b indebærer blandt andet, at en brugerorganisation kan tildele rettigheder til enkelte erhvervsbrugere i organisationen eller tildele rettigheder til en erhvervsbruger i en anden brugerorganisation.

En brugerorganisation kan således anvende serviceområdet Erhvervsadministration til Digital repræsentation, hvorved brugerorganisationen kan administrere rettighedstildeling. Rettighedstildelingen foregår ved, at en brugerorganisation giver rettigheder til at lade sig repræsentere af en erhvervsbruger.

I serviceområdet Erhvervsadministration er det endvidere muligt at udstede og administrere certifikater til erhvervsbrugere, som tilknyttes erhvervsbrugeres erhvervsidentitet. Der er grundlæggende to typer certifikater i serviceområdet Erhvervsadministration, hvor den ene certifikattype kan tildeles privatpersoner, der repræsenterer juridiske enheder, og den anden certifikattype kan tildeles en juridisk enhed. Der er to variationer af disse certifikattyper, henholdsvis OCES-certifikater, som udgør offentlige certifikater til elektroniske services (OCES) og kvalificerede certifikater, som kan anvendes fx på tværs af EU. Certifikater kan eksempelvis anvendes lokalt af erhvervsbrugere til autentifikation på lokale it-systemer, eller organisationen kan udstede certifikater som anvendes til integration og kommunikation mellem systemer.

Digitaliseringsstyrelsen skal gennem NemLog-in varetage udstedelse af kvalificerede og OCES-certifikater på vegne af den danske stat. For at varetage denne opgave etablerer Digitaliseringsstyrelsen et certificeringscenter gennem NemLog-in, som muliggør udstedelse af certifikater, tidsstempling og signering, jf. serviceområderne i § 8, stk. 2. nr. 3, og stk. 3.