I medfør af § 4, stk. 2 og § 5 i lov nr. 783 af 4. maj 2021 lov om MitID og NemLog-in, fastsættes:
Bekendtgørelsen fastsætter de nærmere regler for forvaltningen af MitID til privatpersoner, herunder opgaver med identitetssikring af privatpersoner, registrering af identiteter, udstedelse, suspension, genåbning og spærring af MitID til privatpersoner.
Stk. 2. Kommunalbestyrelsen, pengeinstitutter, andre offentlige myndigheder og juridiske enheder kan af Digitaliseringsstyrelsen bemyndiges til at varetage rollen som registreringsenhed og træffe afgørelse om udstedelse, suspension, genåbning og spærring af MitID til privatpersoner efter reglerne i denne bekendtgørelse.
Stk. 3. Offentlige myndigheder, offentligretlige organer eller juridiske enheder kan af Digitaliseringsstyrelsen bemyndiges til at varetage rollen som supportorganisation og træffe afgørelse om suspension, genåbning og spærring af MitID til privatpersoner samt vejlede privatpersoner om forvaltningen af MitID.
Stk. 4. Registreringsenheder, jf. stk. 2, skal på anmodning fra privatpersoner tilbyde vejledning om de betingelser og vilkår, som gælder for besiddelse af MitID, jf. § 8. Vejledningen har til formål at sikre, at privatpersoner er bekendt med de nærmere rammer for forvaltningen af MitID. Omfanget af vejledningen skal forstås i overensstemmelse med forvaltningslovens § 7.
En privatperson, der er fyldt 13 år, kan anmode om udstedelse af MitID ved fysisk fremmøde hos en registreringsenhed i en kommune eller hos et pengeinstitut, såfremt pengeinstituttet tilbyder udstedelse af MitID ved privatpersonens fysiske fremmøde, jf. § 3, eller ved digital selvbetjening, jf. § 5. Derudover gælder de særlige regler for identitetssikring i migreringsperioden, jf. § 6, og identitetssikring hos Kriminalforsorgen, jf. § 7.
Stk. 2. En privatperson skal ved anmodning om udstedelse af MitID identitetssikres ved brug af legitimationsdokumenter efter fremgangsmåden i § 3 eller § 5.
Stk. 3. MitID kan udstedes på sikringsniveau lav, betydelig eller høj, jf. National Standard for identiteters Sikringsniveauer (NSIS). Tjenesteudbyderne gennemfører en risikovurdering og fastsætter på den baggrund krav til sikringsniveauet for autentifikation i deres digitale selvbetjeningsløsninger.
Stk. 4. Udstedelse af MitID på sikringsniveau høj kan ske, når Digitaliseringsstyrelsen stiller dette til rådighed, hvilket vil fremgå af www.digst.dk/MitIDlegitimation.
En registreringsenhed skal ved en privatpersons fysiske fremmøde og anmodning om udstedelse af MitID verificere privatpersonens identitet i overensstemmelse med de til enhver tid gældende legitimationsdokumenter for fysisk fremmøde, der fremgår af www.digst.dk/MitIDlegitimation.
Stk. 2. Kravene til fremvisning af legitimationsdokumenter for en privatperson ved fysisk fremmøde skærpes i takt med, at graden af sikringsniveau øges, jf. NSIS.
Stk. 3. Registreringsenheden skal kontrollere entydig identifikation via sammenhæng mellem privatpersonens fremviste legitimation, jf. stk. 1, og privatpersonens fysiske identitet. Registreringsenheden kan som kontrolforanstaltning stille kontrolspørgsmål ud fra CPR-oplysninger eller, hvis kontrolspørgsmål ikke kan stilles ud fra CPR-oplysninger, anvende bekræftelse af en identitet fra et vitterlighedsvidne. Procedure for anvendelse af vitterlighedsvidner og krav til vidner vil fremgå af www.digst.dk/MitIDlegitimation.
Stk. 4. Registreringsenheden skal registrere, hvilke oplysninger privatpersonen afgiver til brug for identifikation, jf. stk. 1. Registreringsenheden skal desuden registrere afgivne kontaktoplysninger til brug for notifikationer mv., samt hvordan privatpersonen har legitimeret sig. Registreringsenheden skal notere, hvilke legitimationsdokumenter privatpersonen har fremvist.
Registreringsenheden skal, når en privatperson er legitimeret, jf. § 3, stk. 1 og 2, oprette en unik digital identitet i MitID-løsningen til privatpersonen og sikre, at privatpersonen kan få adgang til et identifikationsmiddel. Som identifikationsmiddel kan en privatperson anvende MitID-app eller anvende password i kombination med et af de fysiske identifikationsmidler; MitID-kodeviser, MitID-kodeoplæser eller MitID-chip. Fysiske identifikationsmidler fremsendes til privatpersonens oplyste adresse eller udleveres ved fysisk fremmøde hos en registreringsenhed, som tilbyder fysisk fremmøde.
Stk. 2. En privatperson kan bestille op til tre fysiske identifikationsmidler vederlagsfrit. Dette gælder dog ikke MitID-chip, for hvilken der indgår betaling. Priser for fysiske identifikationsmidler vil fremgå af www.digst.dk/MitIDlegitimation.
Stk. 3. Registreringsenheden skal give afslag på udstedelse af MitID, når en privatperson ikke kan identificeres tilstrækkeligt, hvis der er tvivl om den fremviste legitimationsdokumentations ægthed eller gyldighed, eller hvis privatpersonen nægter at få registreret oplysninger, der er nødvendige til validering af privatpersonens identitet mv., jf. § 3, stk. 4.
Stk. 4. Registreringsenheden skal give afslag på udstedelse af MitID til en privatperson, hvis registreringsenheden vurderer, at privatpersonen ikke er i stand til at forstå og overholde betingelserne for at besidde MitID, jf. § 8.
En privatperson kan foretage identitetssikring ved digital udstedelse af MitID ved brug af en identitetssikringsfunktion i MitID-appen. Efter gennemført identitetssikring oprettes en unik digital identitet i MitID-løsningen til privatpersonen, som kan anvendes til autentifikation sammen med MitID-appen som identifikationsmiddel. Når identitetssikringen er gennemført, kan privatpersonen vælge at anvende password i kombination med et af de fysiske identifikationsmidler; MitID-kodeviser, MitID-kodeoplæser eller MitID-chip. De fysiske identifikationsmidler kan bestilles af privatpersonen og fremsendes til privatpersonens oplyste adresse eller afhentes ved fysisk fremmøde hos en registreringsenhed, som tilbyder fysisk fremmøde.
Stk. 2. En privatperson kan bestille op til tre fysiske identifikationsmidler vederlagsfrit. Dette gælder dog ikke MitID-chip, for hvilken der indgår betaling. Priser for fysiske identifikationsmidler vil fremgå af www.digst.dk/MitIDlegitimation.
Stk. 3. Ved en privatpersons anmodning om udstedelse af MitID ved digital selvbetjening, er det en forudsætning, at privatpersonen anvender de til enhver tid oplistede legitimationsdokumenter for digital identitetssikring, der fremgår af www.digst.dk/MitIDlegitimation.
Stk. 4. Kravene til anvendelse af legitimationsdokumenter for en privatperson i den digitale selvbetjening skærpes i takt med, at graden af sikringsniveau for autentifikation øges, jf. NSIS. Identitetssikringen ved digital selvbetjening, jf. stk. 1, svarer for så vidt angår pålidelighed til fysisk tilstedeværelse, og Digitaliseringsstyrelsen sikrer herved, at fremgangsmåden overholder krav fastsat i eIDAS-forordningens artikel 24, stk. 1, litra d.
Stk. 5. Hvis identitetssikring til udstedelse af MitID, uanset årsag hertil, ikke kan gennemføres ved digital selvbetjening, skal fremgangsmåden for identitetssikring, jf. § 3, følges i stedet.
Stk. 6. Når en privatperson foretager identitetssikring ved digital selvbetjening, jf. stk. 1, kontrolleres det, at der er entydig identifikation via sammenhæng mellem privatpersonens anvendte legitimationsdokumenter og privatpersonens fysiske identitet, dette gøres ved en digital kontrolproces af privatpersonens anvendte legitimation via en autoritativ kilde.
Migreringen til MitID-løsningen sker ved onlineregistrering hos et pengeinstitut, som er udpeget som registreringsenhed, eller ved digital adgang til registrering, når denne stilles til rådighed af Digitaliseringsstyrelsen.
Stk. 2. Digitaliseringsstyrelsen udpeger løbende privatpersoner til at migrere, jf. stk. 1. I migreringsperioden kan udstedelse af MitID, jf. § 3, kun ske, såfremt registreringsenheden er udpeget til at udstede MitID til andre privatpersoner end pilotbrugere.
Stk. 3. Det er en betingelse for migrering, jf. stk. 1, at privatpersonen har et aktivt og identitetssikret OCES-certifikat tilknyttet til sit NemID, jf. § 2, stk. 3, i bekendtgørelse om udstedelse og spærring af NemID med offentlig digital signatur af 21. juni 2018 nr. 899.
Stk. 4. En privatperson, som ikke har et aktivt OCES-certifikat tilknyttet til sit NemID, kan få udstedt MitID, jf. § 3 eller § 5.
Kriminalforsorgen kan verificere privatpersonens identitet ved at benytte digital legitimation udstedt på baggrund af Kriminalforsorgens identifikationsprocedure for indsatte, som overholder krav i NSIS.
En privatperson skal være i stand til at forstå betingelserne i stk. 2-4 for at besidde MitID samt overholde de til enhver tid gældende vilkår om besiddelse af MitID, som privatpersonen tiltræder i forbindelse med udstedelse af MitID.
Stk. 2. Privatpersonen skal håndtere MitID sikkert og forsvarligt og skal foretage nødvendige foranstaltninger, som sikrer mod misbrug af privatpersonens digitale identitet. Privatpersonen skal således beskytte fysiske identifikationsmidler, adgangskoder, bruger-id og MitID-app pinkoder mod kompromittering og uautoriseret brug.
Stk. 3. Privatpersonen må ikke videregive adgangskoder og MitID-app pinkoder til andre, da disse alene må kendes og anvendes af privatpersonen selv.
Stk. 4. Privatpersonen skal spærre de til enhver tid aktive identifikationsmidler i tilfælde af manglende efterlevelse af betingelserne for at besidde MitID, jf. stk. 2.
En suspension indebærer, at den digitale identitet eller identifikationsmidler tilknyttet et MitID ikke kan anvendes i suspensionsperioden. Genåbning sker automatisk efter suspensionsperiodens udløb. Suspensionsperiodens varighed afhænger af den konkrete hændelse, som har udløst suspensionen.
Stk. 2. En spærring indebærer, at den digitale identitet eller identifikationsmidler tilknyttet et MitID ikke længere kan anvendes. Der kræves ny udstedelse, jf. fremgangsmåden i § 3 eller § 5, hvis en privatperson efter en spærring vil anvende MitID igen.
Stk. 3. En privatperson kan til enhver tid anmode om suspension, genåbning eller spærring af MitID. Registreringsenheden eller supportorganisationen skal foretage behørig identitetssikring af den privatperson, som anmoder om suspension, genåbning eller spærring af MitID.
Stk. 4. Digitaliseringsstyrelsen, registreringsenheden eller supportorganisationen skal omgående suspendere adgangen til at bruge MitID, ved mistanke om at en privatperson ikke overholder betingelserne for at besidde MitID, jf. § 8, ved en privatpersons anmodning om suspension, jf. stk. 3, eller ved mistanke om, at der foretages svindel med en privatpersons MitID.
Stk. 5. Registreringsenheden eller supportorganisationen skal omgående spærre en privatpersons MitID ved mistanke om, at privatpersonen har afgivet urigtige oplysninger eller anvendt falske legitimationsdokumenter ved udstedelse af MitID eller ved en privatpersons anmodning om spærring. Er en privatperson erklæret forsvundet eller død, spærres pågældendes MitID i forbindelse med forvaltningen af løsningen.
Stk. 6. Registreringsenheden eller supportorganisationen skal på anmodning fra en værge spærre en privatpersons MitID, når privatpersonen er under værgemål. Værgen skal anvise behørig dokumentation for værgemålet.
Stk. 7. Registreringsenheden eller supportorganisationen, som foretager suspension eller spærring af MitID, uden at privatpersonen har anmodet om det, skal orientere privatpersonen om årsagen til suspensionen eller spærringen, når det er muligt at fremsende orienteringen til privatpersonen.
Afgørelser efter denne bekendtgørelse kan påklages til Digitaliseringsstyrelsen.
Stk. 2. Digitaliseringsstyrelsen kan af registreringsenheder og supportorganisationer kræve enhver oplysning udleveret, der er af betydning for klagebehandlingen.
Bekendtgørelsen træder i kraft den 10. september 2021.
/ Tanja Franck
