Bekendtgørelse af lov om MitID og NemLog-in § 9

Der findes ikke gældende regler om forvaltning af NemLog-in.

Reguleringen af forvaltningen af NemLog-in vil dog i et vist omfang videreføre de regler, som gælder for medarbejdere og administratorer i bekendtgørelse om NemID, dog tilpasset de nye krav til sikkerhed fra NSIS-standarden og nye tekniske tilføjelser i serviceområdet Erhvervsadministration. I bekendtgørelsen er der således fastsat identifikationskrav for medarbejdere, som ønsker oprettelse af et NemID. Endvidere gælder der regler for, at en juridisk enhed skal udpege en administrator ved tildeling af NemID til enhedens medarbejdere.

Med den foreslåede § 9, stk. 1, 1 pkt., sikrer Digitaliseringsstyrelsen, at der sker forvaltning af NemLog-in, herunder identitetssikring af offentlige myndigheder, offentligretlige organer og juridiske enheder, når de oprettes som brugerorganisationer i serviceområdet Erhvervsadministration i NemLog-in.

Digitaliseringsstyrelsen sikrer oprettelse af offentlige myndigheder, offentligretlige organer og juridiske enheder som brugerorganisationer i serviceområdet Erhvervsadministration i NemLog-in. Når offentlige myndigheder, offentligretlige organer og juridiske enheder skal oprettes i serviceområdet Erhvervsadministration i NemLog-in jf. den foreslåede § 8, stk. 3, oprettes de som brugerorganisation. En oprettelse som brugerorganisation kræver, at der sker en identitetssikring af den offentlige myndighed, offentligretlige organ og juridiske enhed. Identitetssikringen sker efter de nærmere regler som fastsat i medfør af § 9, stk. 2.

Ved oprettelse af en brugerorganisation i serviceområdet Erhvervsadministration sker der en registrering af, hvordan denne har identificeret sig og efter identitetssikring kan den oprettes som brugerorganisation i Erhvervsadministration.

Når offentlige myndigheder, offentligretlige organer og juridiske enheder er oprettet som brugerorganisation kan de efterfølgende benytte de funktioner, som er indeholdt i serviceområdet Erhvervsadministration. Det indebærer, at den offentlige myndighed, det offentligretlige organ eller den juridiske enhed blandt andet kan tildele digitale identiteter til deres erhvervsbrugere, typisk medarbejdere, men også andre erhvervsbrugere, der har en tilknytning til den offentlige myndighed, det offentligretlige organ eller den juridiske enhed, jf. den foreslåede § 8, stk. 3. Offentlige myndigheder, offentligretlige organer og juridiske enheder har ligeledes mulighed for at udstede og spærre erhvervsidentiteter til erhvervsbrugere tilknyttet til dem.

Det er et privatretligt forhold mellem brugerorganisationen og de tilknyttede erhvervsbrugere at administrere erhvervsbrugernes rettigheder.

En erhvervsbruger skal have et elektronisk identifikationsmiddel for at anvende den digitale identitet tilknyttet erhvervsbrugeren. Et elektronisk identifikationsmiddel kan eksempelvis være udstedt som et MitID-identifikationsmiddel, jf. § 2, nr. 14. Der henvises til den foreslåede § 3, stk. 2, for en uddybning af tilrådighedsstillelse af MitID til erhvervsbrugere og til den foreslåede § 4, stk. 1, om forvaltningen og udstedelsen af MitID.

Med den foreslåede § 9, stk. 1, 2 pkt., sikrer Digitaliseringsstyrelsen, at brugerorganisationers adgang til serviceområdet Erhvervsadministration i NemLog-in samt erhvervsbrugeres digitale identiteter kan spærres og genåbnes efter reglerne fastsat i medfør af stk. 4.

Stk. 1, 2. pkt. indebærer, at Digitaliseringsstyrelsens opgave er at sikre, at brugerorganisationers adgang til Erhvervsadministration i NemLog-in samt erhvervsbrugeres digitale identiteter kan spærres og genåbnes.

De nærmere regler for identitetssikring af offentlige myndigheder, offentligretlige organer og juridiske enheder, når disse oprettes som brugerorganisationer i serviceområdet Erhvervsadministration og regler for spærring af erhvervsbrugeres digitale identiteter vil blive fastsat i regler med hjemmel i § 9, stk. 4. Se nærmere herom i bemærkningerne til stk. 4.

Med den foreslåede § 9, stk. 2, kan en privatperson, der skal registreres som erhvervsbruger i serviceområdet Erhvervsadministration, anvende sit MitID udstedt til privatbrug, til identitetssikring ved registreringen.

En erhvervsbruger kan således anvende sit MitID-identifikationsmiddel udstedt til privatbrug, til identitetssikring ved registreringen af en erhvervsidentitet. Herved sikres, at der kan ske en digital identitetssikring af privatpersonen i forbindelse med oprettelse af erhvervsidentiteten, inden denne kan agere som erhvervsbruger.

Det forudsættes, at identitetssikring ved registrering af erhvervsidentiteten alene vil ske én gang pr. erhvervsidentitet, som oprettes til erhvervsbrugeren. I nogle tilfælde vil det være muligt at identitetssikre erhvervsbrugeren på anden vis. Dette kan fx ske med et andet eID på samme eller højere sikringsniveau som MitID og hvis serviceområdet Erhvervsadministration i NemLog-in systemisk tillader det.

Identitetssikring af en erhvervsidentitet ved brug af et MitID-identifikationsmiddel udstedt til privatbrug, vil være mulig for både erhvervsbrugere i offentlige myndigheder, offentligretlige organer og juridiske enheder. Det vil endvidere være muligt for erhvervsbrugeren at anvende brugerorganisationens udstyr, eget udstyr eller en kombination af dette til at foretage identitetssikring af erhvervsidentiteten med MitID-identifikationsmidlet udstedt til privatbrug. Dette medfører, at identitetssikring fx kan ske fra vedkommendes egen mobil, computer eller tablet.

Derudover kan en lokal identitetsgarant, som er oprettet som brugerorganisation i NemLog-in, selv foretage identitetssikring. En lokal identitetsgarant fastsætter selv, hvordan der skal foretages identitetssikring i overensstemmelse med NSIS.

Bestemmelsen styrker en fælles høj tillid og sikkerhed på tværs af den offentlige og private sektor, ved at skabe fælles grundlag for sikker elektronisk interaktion mellem privatpersoner, juridiske enheder og offentlige myndigheder og derved øge effektiviteten i de offentlige og private digitale selvbetjeningsløsninger.

Finansministeriet vurderer, at behandlingen i forbindelse med § 9, stk. 2, kan henføres under databeskyttelsesforordningens art. 6, litra e, om myndighedsudøvelse, idet behandlingen sker for, at Digitaliseringsstyrelsen kan varetage den pligt til tilrådighedsstillelse af MitID og NemLog-in, som lovforslaget pålægger Digitaliseringsstyrelsen, jf. § 3 og § 8.

Med den foreslåede § 9, stk. 3, 1. pkt., fastsættes det, at en erhvervsbruger kan få tilknyttet sit elektroniske identifikationsmiddel, som er tilknyttet privatpersonens MitID-identitet, til sin erhvervsidentitet, således at erhvervsbrugeren kan anvende førnævnte identifikationsmiddel til at autentificere en eller flere erhvervsidentiteter.

Med bestemmelsen gøres det muligt for erhvervsbrugere, at anvende deres MitID-identifikationsmiddel udstedt til privatbrug, til at autentificere en eller flere erhvervsidentiteter.

Hvor bestemmelsens stk. 2, gør det muligt at identitetssikre en erhvervsidentitet med et MitID-identifikationsmiddel udsted til privatbrug, i forbindelse med registreringen, sikrer stk. 3, at en erhvervsbruger løbende kan anvendelse deres private MitID-identifikationsmiddel til login og autentifikation af en erhvervsidentitet i forbindelse med login i selvbetjeningsløsninger. Dette vil alene være muligt under iagttagelse af princippet om dobbelt frivillighed. Princippet om dobbelt frivillighed medfører, at såvel erhvervsbrugeren som brugerorganisationen skal acceptere, at erhvervsbrugeren kan og må anvende sit MitID-identifikationsmiddel udstedt til privatbrug, i sammenhæng med en erhvervsidentitet knyttet til den pågældende brugerorganisation. Det skal bemærkes, at der alene er tale om brug af det private MitID-identifikationsmiddel og ikke den private MitID-identitet. Der vil derfor være fuldstændig adskillelse mellem privatpersonens digitale identitet i MitID og personens digitale erhvervsidentitet(er). Det kan derfor ikke forekomme, at en erhvervsbruger logger ind med sin private MitID-identitet som medarbejder i en virksomhed. En erhvervsbrugers brug af sit private MitID-identifikationsmiddel er alene mulig, såfremt brugerorganisationen har oprettet en erhvervsidentitet til erhvervsbrugeren.

Herved kan erhvervsbrugeren, forudsat aftale herom mellem erhvervsbrugeren og brugerorganisationen, anvende sit private MitID-identifikationsmiddel. Det betyder også, at såfremt brugerorganisationen ønsker at spærre erhvervsbrugerens mulighed for at agere på brugerorganisationens vegne, kan brugerorganisationen spærre erhvervsidentiteten, men ikke det private MitID-identifikationsmidlet. Dermed har brugerorganisationen fuld kontrol over erhvervsidentiteten, og erhvervsbrugeren kan stadig foretage log-in med sin private MitID identitet og sit private MitID-identifikationsmiddel i private sammenhænge. En erhvervsbruger, der ikke længere ønsker at benytte sit private MitID-identifikationsmiddel ved login med sin erhvervsidentitet, kan anmode om et dedikeret MitID-identifikationsmiddel, der så kun kan anvendes i erhvervsmæssig sammenhæng.

Ovenstående er ikke til hinder for, at en privatperson kan anvende sit MitID-identifikationsmiddel og identitet i erhvervsmæssig sammenhæng, forudsat at privatpersonen hæfter fuldt ud for den juridiske enheds aktiviteter. Dette er fx tilfældet i enkeltmandsvirksomheder.

Finansministeriet vurderer, at behandlingen i forbindelse med § 9, stk. 3, kan henføres under databeskyttelsesforordningens art. 6, litra e) om myndighedsudøvelse, idet behandlingen sker for, at Digitaliseringsstyrelsen kan varetage den pligt til tilrådighedsstillelse af MitID og NemLog-in, som lovforslaget pålægger Digitaliseringsstyrelsen, jf. § 3 og § 8.

Med den foreslåede § 9, stk. 3, 2. pkt. fastsættes det, at tilknytningen er frivillig for erhvervsbrugeren og frivillig for brugerorganisationen, som erhvervsbrugeren er tilknyttet.

Bestemmelsens 2. pkt. indebærer, at tilknytningen af en erhvervsbrugers elektroniske identifikationsmiddel, som er tilknyttet privatpersonens MitID-identitet grundlæggende hviler på et princip om frivillighed. Det er således frivilligt for erhvervsbrugeren, om erhvervsbrugeren vil foretage en tilknytning af erhvervsbrugerens elektroniske identifikationsmiddel, som er tildelt denne i regi af privatperson. En arbejdsgiver kan således ikke påtvinge sine medarbejdere denne tilknytning.

Ligeledes er tilknytningen også frivillig for brugerorganisationen. Dette indebærer, at en arbejderstager ikke kan påtvinge sin arbejdsgiver, at der skal ske en tilknytning af arbejdstagerens MitID-identitet, som er tildelt i privat regi. Princippet om dobbelt frivillighed gælder for alle brugerorganisationer, som er oprettet i serviceområdet Erhvervsadministration, jf. § 9, stk. 1. Princippet om dobbelt frivillighed gælder således for offentlige myndigheder, offentligretlige organer og juridiske enheder og erhvervsbrugere relateret til disse, jf. § 2, nr. 8 og § 2, nr. 16. Med den foreslåede § 9, stk. 4, fastsættes det, at Finansministeren fastsætter regler om forvaltning af NemLog-in, herunder regler for identitetssikring af brugerorganisationer, spærring og genåbning af erhvervsbrugeres digitale identiteter og om adgang til at klage til Digitaliseringsstyrelsen over afgørelser truffet i medfør af disse regler.

Den foreslåede stk. 4 indeholder en hjemmel til, at finansministeren fastsætter regler om forvaltning af NemLog-in, herunder regler for identitetssikring af offentlige myndigheder, offentligretlige organer og juridiske enheder, når de oprettes som brugerorganisationer i serviceområdet Erhvervsadministration i NemLog-in, og at brugerorganisationers adgang til serviceområdet Erhvervsadministration i NemLog-in og erhvervsbrugeres digitale identiteter kan spærres og genåbnes samt om adgang til at klage til Digitaliseringsstyrelsen over afgørelser truffet i medfør af disse regler.

Finansministeren vil tillige kunne fastsætte regler med krav til løbende anvendelse af serviceområdet Erhvervsadministration i NemLog-in. Dette vil være regler, som skal sikrer, at der til enhver tid er lighed mellem brugerorganisationens fysiske identitet og digitale identitet og med det overordnede formål at værne om sikkerheden i løsningen.

Finansministeren fastsætter ikke regler om udvikling og drift af NemLog-in, idet disse forhold reguleres i kontrakten med den juridiske enhed, offentlige myndighed eller offentligretlige organ, der udpeges i medfør af den foreslåede § 10.

Der vil med hjemmel i den foreslåede bestemmelse blive fastsat nærmere regler for forvaltningen af NemLog-in, herunder processuelle regler om identitetssikring af digitale identiteter, registrering af identiteter samt regler for oprettelse og spærring af brugerorganisationer i serviceområdet Erhvervsadministration.

Reglerne om oprettelse for serviceområdet Erhvervsadministration vil indeholde betingelser for identitetssikring af offentlige myndigheder, offentligretlige organer og juridiske enheder og identitetssikring af de erhvervsbrugere i offentlige myndigheder, offentligretlige organer og juridiske enheder, som er bemyndiget til at oprette den offentlige myndighed, offentligretlige organ eller juridiske enhed som brugerorganisation i serviceområdet Erhvervsadministration. Derudover vil reglerne indeholde de betingelser, der løbende skal opfyldes for at være brugerorganisation i serviceområdet Erhvervsadministration og regler for udpegelse af administratorer for den offentlige myndighed, det offentlige organ eller den juridiske enhed.

Regler om forvaltning af NemLog-in fastsættes af hensyn til løsningens- og erhvervsbrugernes sikkerhed, samt brugerorganisationers tillid til løsningen. Reglerne skal være med til at sikre erhvervsbrugere og brugerorganisationer mod konkret misbrug og skal samtidig bidrage til at opretholde den samlede sikkerhed i løsningen. Der kan blandt andet fastsættes regler om, at brugerorganisationer og erhvervsbrugere skal tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer mod kompromittering, ændring, tab og uautoriseret brug af erhvervsbrugerens digitale identitet. Finansministeren vil tillige kunne fastsætte, hvilke konsekvenser det har, hvis en brugerorganisation eller erhvervsbruger ikke overholder disse krav. Det vil eksempelvis kunne fastsættes, at digitale identiteter og adgang til Erhvervsadministration spærres ved mistanke om misbrug eller brud på sikkerheden.

Tildelingen af en erhvervsidentitet og rettighedsstyring påhviler brugerorganisationen og er således et privatretligt anliggende mellem erhvervsbrugeren og den offentlige myndighed, det offentligretlige organ eller juridiske enhed, der har oprettet brugerorganisationen.

Sagsbehandling i forbindelse med identitetssikring og spærring er en forvaltningsopgave. Dette indebærer, at også udpegede juridiske enheder, som foretager identitetssikring vil være underlagt forvaltningsregler, der henvises til den foreslåede § 20. Identitetssikringen skal sikre, at erhvervsbrugerens erhvervsidentitet korrekt afspejler den fysiske persons identitet og skal ske under overholdelse af den gældende NSIS-standard. En juridisk enhed, der er oprettet som brugerorganisation i Erhvervsadministration, beslutter selv hvilke medarbejdere, der skal oprettes som erhvervsbrugere.

Bemyndigelsen har desuden til formål at sikre, at når der træffes en forvaltningsretlig afgørelse om spærring af en brugerorganisation eller en erhvervsbruger, skal der gives mulighed for at indbringe en klage over afgørelsen. Det bemærkes, at spærring alene betragtes som en forvaltningsretlig afgørelse, hvis spærringen foretages af

Digitaliseringsstyrelsen eller af de offentlige myndigheder, offentligretlige organer eller juridiske enheder, som i medfør af den foreslåede § 10 er udpeget til at på vegne af Digitaliseringsstyrelsen at varetage opgaver med blandt andet forvaltningen af NemLog-in samt opgaver i medfør af § 9, stk. 1. Det er således væsentligt, at en erhvervsbruger eller en brugerorganisation kan klage over en sådan spærring, da denne kan have indgribende betydning for brugerorganisationen eller erhvervsbrugerens digitale færden. Ligeledes er den digitale identitet en forudsætning, for at offentlige myndigheder, offentligretlige organer og juridiske enheder kan tilgå og anvende offentlige digitale selvbetjeningsløsninger. Offentlige myndigheder, offentligretlige organer og juridiske enheder, som ikke kan blive oprettet i Erhvervsadministration i NemLog-in vil i stedet skulle betjene sig hos en myndighed uden at være digital. Det vil være op til den enkelte myndighed at beslutte, hvordan de vil understøtte en ikke-digital offentlig myndighed, offentligretligt organ eller juridisk enhed. De enkelte myndigheder vil i den sammenhæng være forpligtet til at vejlede efter de forvaltningsretlige regler, hvilket blandt andet indebærer, at en myndighed har pligt til at vejlede og hjælpe den erhvervsdrivende inden for de ressortområder, som de er ansvarlige for. Således har en myndighed pligt til at hjælpe en offentlig myndighed, offentligretligt organ eller juridisk enhed, der fx ikke kan tilgå myndighedens digitale selvbetjeningsløsninger til at agere inden for myndighedens område og give adgang til de oplysninger og den offentlige service, som andre ellers kan tilgå ved brug af den digitale selvbetjeningsløsning.

De nærmere regler om tilrådighedsstillelse, tilslutning og anvendelse af NemLog-in for offentlige myndigheder og offentligretlige organer fastsættes i medfør af den foreslåede § 16.