L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

Social-, Indenrigs- og Børneudvalget 2017-18
L 150 Bilag 2
Offentligt

Lovforslag nr.

L 00

Folketinget 2017-18

Fremsat den 22. februar 2018 af ministeren for offentlig innovation (Sophie Løhde)

Forslag

til

Lov om udstedelse af NemID med offentlig digital signatur til fysiske personer

og til medarbejdere i juridiske enheder

§ 1.

Ministeren for offentlig innovation udpeger en privat

virksomhed, der administrerer og træffer afgørelser om ud‐

stedelse af NemID med offentlig digital signatur til fysiske

personer og til medarbejdere i juridiske enheder.

Stk. 2.

Ministeren for offentlig innovation fastsætter reg‐

ler om administration af NemID, herunder regler om udste‐

delse og spærring samt om håndtering af NemID.

§ 2.

Ministeren for offentlig innovation kan udpege juridi‐

ske enheder til at varetage opgaven med som registrerings‐

enhed at træffe afgørelser om udstedelse af NemID til fysi‐

ske personer, der anmoder om at få udstedt NemID med of‐

fentlig digital signatur til fysiske personer.

§ 3.

Forvaltningsloven finder anvendelse på afgørelser,

som træffes af den private virksomhed, der er udpeget i

medfør af § 1, stk. 1, og af registreringsenheder, jf. § 2.

§ 4.

Fysiske personer, der er fyldt 15 år og har et person‐

nummer, kan anmode om at få udstedt NemID med offentlig

digital signatur til fysiske personer efter de regler, der fast‐

sættes i medfør af § 1, stk. 2.

Stk. 2.

Juridiske enheder, der har et CVR-nummer, kan

anmode om at få udstedt NemID til medarbejdere i juridiske

enheder efter de regler, der fastsættes i medfør af § 1, stk. 2.

§ 5.

Klage over en afgørelse truffet af den private virk‐

somhed, der er udpeget i medfør af § 1, stk. 1, eller af en re‐

gistreringsenhed, jf. § 2, efter regler fastsat i medfør af § 1,

stk. 2, kan indbringes for Digitaliseringsstyrelsen.

Stk. 2.

Digitaliseringsstyrelsen kan af den private virk‐

somhed, der er udpeget i medfør af § 1, stk. 1, og af registre‐

ringsenheder, jf. § 2, kræve enhver oplysning, der er af be‐

tydning for klagebehandlingen.

Stk. 3.

Digitaliseringsstyrelsens afgørelser efter stk. 1 kan

ikke påklages til anden administrativ myndighed.

§ 6.

Loven træder i kraft den 1. juli 2018.

§ 7.

Loven gælder ikke for Grønland og Færøerne, men

kan ved kongelig anordning helt eller delvist sættes i kraft

for Grønland med de ændringer, som de grønlandske for‐

hold tilsiger.

AE002525

Digitaliseringsstyrelsen, j.nr. 2017-2469

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

Bemærkninger til lovforslaget

Almindelige bemærkninger

Indholdsfortegnelse

1. Lovforslagets formål og baggrund

2. Lovforslagets hovedindhold

2.1. Administration og udstedelse af NemID samt mulighed for at klage

2.1.1. Gældende ret

2.1.2. Finansministeriets overvejelser og lovforslagets indhold

3. Økonomiske og administrative konsekvenser for det offentlige

4. Økonomiske og administrative konsekvenser for erhvervslivet mv.

5. Administrative konsekvenser for borgerne

6. Miljømæssige konsekvenser

7. Forholdet til EU-retten

8. Hørte myndigheder og organisationer mv.

9. Sammenfattende skema

1. Lovforslagets formål og baggrund

NemID med offentlig digital signatur til fysiske personer

samt NemID til medarbejdere i juridiske enheder (NemID)

er blevet udbredt til det meste af befolkningen og til stort set

alle virksomheder, offentlige myndigheder, frivillige for‐

eninger mv. med et CVR-nummer. NemID har med tiden få‐

et en mere betydelig og central rolle, end det var tilfældet,

da der i 2008 blev indgået kontrakt med Nets DanID A/S

om administration og udstedelse af NemID. På mange of‐

fentlige digitale serviceområder forudsættes det nu, at bor‐

gerne, virksomheder, offentlige myndigheder, frivillige for‐

eninger mv. har og anvender NemID. Dette gælder blandt

andet, når en borger eller virksomhed skal have adgang til at

læse Digital Post fra offentlige afsendere, og når en borger

eller virksomhed skal anvende offentlige digitale selvbetje‐

ningsløsninger.

Den øgede digitalisering af den offentlige forvaltning og

den centrale rolle, som NemID spiller i den forbindelse, har

medført et stigende behov for at sikre klare juridiske ram‐

mer for borgernes og virksomhedernes pligter og rettigheder

i forhold til NemID. Folketingets Ombudsmand har ligele‐

des givet udtryk for, at lovgrundlaget for forvaltningen af

NemID og for borgernes mulighed for at klage over afslag

på at få udstedt NemID, bør være klart med henblik på at

sikre borgernes retsstilling.

På baggrund af ovenstående er det vurderingen, at tiden er

inde til at sikre en klar lovgivningsmæssig ramme for pligter

og rettigheder i forbindelse med administration og udstedel‐

se af NemID. Dette skal styrke retssikkerheden på området

og særligt sikre, at borgere og virksomheder har en tydelig

adgang til at klage, hvis de ikke kan få udstedt NemID, hvis

NemID bliver spærret og lignende tilfælde. Formålet med

loven er derfor at tydeliggøre borgernes og virksomhedernes

retsstilling, herunder klagemuligheder, samt at fastslå ved

lov, at det er en myndighedsopgave og et myndighedsansvar

at sikre udstedelse af NemID.

Der etableres lovhjemmel til, at ministeren for offentlig

innovation udpeger en privat virksomhed som udsteder af

NemID. Ministeren for offentlig innovation delegerer der‐

med opgaven med at administrere og træffe afgørelse om

udstedelse af NemID til en privat virksomhed, der som ud‐

steder kan træffe afgørelse om udstedelse af NemID og om

afslag på udstedelse eller genåbning af NemID. Det tydelig‐

gøres med loven, at udstederen af NemID er udpeget af mi‐

nisteren for offentlig innovation til at varetage opgaven på

statens vegne.

Det fastsættes, at ministeren for offentlig innovation kan

udpege juridiske enheder til som registreringsenheder at va‐

retage opgaven med at træffe afgørelse om at udstede Nem‐

ID, hvorved registreringsenhederne kan træffe forvaltnings‐

afgørelser på vegne af ministeren for offentlig innovation.

Der indføres lovhjemmel til, at ministeren for offentlig in‐

novation kan fastsætte de regler, som borgere, virksomhe‐

der, offentlige myndigheder, frivillige foreninger mv. samt

disses medarbejdere skal opfylde for at få udstedt NemID.

Samtidig fastsættes det ved lov, at borgere og virksomheder,

offentlige myndigheder, frivillige foreninger mv., der ek‐

sempelvis har fået afslag på at få udstedt eller genåbnet

NemID eller har fået spærret NemID, vil kunne klage over

denne afgørelse til Digitaliseringsstyrelsen.

Det er hensigten at videreføre hvad, der allerede gælder i

dag i medfør af den kontrakt, som er indgået med Nets Dan‐

ID A/S, og som efter aftale med Digitaliseringsstyrelsen i ja‐

nuar 2018 er forlænget til 2021. Kontrakten om administra‐

tion og udstedelse af NemID er udformet og fastsat af Digi‐

taliseringsstyrelsen i de såkaldte OCES-certifikatpolitikker

for henholdsvis person- og medarbejdercertifikater. Lovfor‐

slaget har ikke til hensigt at ændre på dette.

Lovforslaget omfatter NemID med offentlig digital signa‐

tur til fysiske personer, som er det NemID, som privatperso‐

ner, også benævnt borgere, kan få udstedt online på hjem‐

mesiden nemid.nu, hos en registreringsenhed i et pengeinsti‐

tut eller ved personligt fremmøde hos en registreringsenhed

i en kommunes borgerservicecenter. Der er tale om en of‐

fentlig digital signatur baseret på et OCES-personcertifikat.

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

En fysisk person kan få stillet én NemID til fysiske personer

gratis til rådighed.

Lovforsalget omfatter desuden NemID med offentlig digi‐

tal signatur til medarbejdere i juridiske enheder, også be‐

nævnt NemID medarbejdersignatur, som er det NemID, som

en juridisk enhed med et CVR-nummer, herunder en virk‐

somhed, en offentlig myndighed, en frivillig forening m.fl.

kan få udstedt til konkrete medarbejdere til at legitimere sig

på den juridiske enheds vegne. Et sådan NemID kan alene

udstedes online på hjemmesiden medarbejdersignatur.dk.

Der er tale om en offentlig digital signatur baseret på et

OCES-medarbejdercertifikat. En juridisk enhed kan få stillet

tre NemID til medarbejdere i juridiske enheder gratis til rå‐

dighed.

Der eksisterer pt. ikke andre udstedere af OCES-person‐

certifikater til borgere og OCES-medarbejdercertifikater til

medarbejdere end Nets DanID A/S. Det er heller ikke hen‐

sigten, at der skal udpeges andre udstedere, der omfattes af

loven. Derfor omfatter lovforslaget alene NemID til fysiske

personer og til medarbejdere i juridiske enheder, og den al‐

lerede udpegede udsteder heraf.

Pengeinstitutter udsteder tillige NemID til netbank til fysi‐

ske personer, der adskiller sig fra NemID med offentlig digi‐

tal signatur til fysiske personer. NemID til netbank udstedes

til bankkunder og er alene til brug i netbank. NemID til net‐

bank indeholder ikke offentlig digital signatur og giver der‐

for ikke adgang til offentlige tjenester. NemID til netbank

og udstedelse heraf er ikke omfattet af lovforslaget. Penge‐

institutternes registreringsenheder vil dog være omfattet af

lovforslaget, i det omfang de foretager registrering med hen‐

blik på udstedelse af NemID med offentlig digital signatur

til fysiske personer i lighed med registreringsenhederne i

kommunerne.

Lovforslaget udelukker ikke, at andre udvikler og udsteder

andre eID- eller signaturløsninger på markedsvilkår. Loven

udelukker desuden ikke, at andre EU-landes anmeldte eID

efter eIDAS-forordningen (Europa-Parlamentets og Rådets

forordning (EU) nr. 910/2014 af 23. juli 2014 om elektro‐

nisk identifikation og tillidstjenester til brug for elektroniske

transaktioner på det indre marked og om ophævelse af di‐

rektiv 1999/93/EF) kan anvendes til at tilgå offentlige myn‐

digheders hjemmesider og selvbetjeningsløsninger i Dan‐

mark.

Staten ejer og har tillige udviklet øvrige certifikatpolitik‐

ker for henholdsvis virksomheds- og funktionscertifikater.

Disse certifikater adskiller sig fra NemID med offentlig di‐

gital signatur til fysiske personer og til medarbejdere i juri‐

diske enheder og er ikke omfattet af lovforslaget.

2. Lovforslagets hovedindhold

2.1. Administration og udstedelse af NemID samt mulighed

for at klage

2.1.1. Gældende ret

En digital signatur er en elektronisk underskrift, som

blandt andet kan bruges, når det er væsentligt at vide, hvem

man kommunikerer med elektronisk. NemID med offentlig

digital signatur til fysiske personer og NemID til medarbej‐

dere i juridiske enheder (NemID) er ikke lovreguleret.

Udvikling og udstedelse af NemID er en opgave, som stat,

kommuner og regioner har finansieret for at fremme digitali‐

sering af den offentlige forvaltning.

Administration og udstedelse af NemID, betingelserne for

at få udstedt NemID samt borgerens og virksomhedernes

mulighed for at klage ved afslag på at få udstedt eller genåb‐

net NemID følger i dag af certifikatpolitik for OCES-per‐

soncertifikater og af certifikatpolitik for OCES-medarbej‐

dercertifikater, og aftaler indgået mellem Nets DanID A/S

og registreringsenhederne henholdsvis mellem Nets DanID

A/S og den enkelte borger eller virksomhed, der har fået ud‐

stedt NemID.

På en lang række områder stiller offentlige myndigheder

krav om, at borgere og virksomheder anvender NemID, når

de skal tilgå offentlige digitale løsninger.

I lov om Digital Post fra offentlige afsendere, jf. lovbe‐

kendtgørelse nr. 801 af 13. juni 2016, er det fastsat, at fysi‐

ske personer, der er 15 år eller derover, og som har bopæl

eller fast ophold i Danmark, obligatorisk skal tilsluttes Digi‐

tal Post. Det er endvidere fastsat, at også juridiske enheder

med CVR-nummer skal tilsluttes Digital Post. En forudsæt‐

ning for at kunne tilsluttes og tilgå Digital Post er, at borge‐

ren har NemID med offentlig digital signatur til fysiske per‐

soner, og at den juridiske enhed har NemID til medarbejdere

i juridiske enheder til mindst en medarbejdere.

Der er indført obligatorisk digital selvbetjening på en lang

række offentlige serviceområder. Der er overvejende taget

udgangspunkt i det bølgelovs-koncept, som blev indført som

led i udmøntning af den fællesoffentlige digitaliseringsstra‐

tegi (2011-2015) ved de fire samlelove om overgang til obli‐

gatorisk digital selvbetjening; lov nr. 558 af 18. juni 2012

(bølge 1), lov nr. 622 af 12. juni 2013 (bølge 2), lov nr. 552

af 2. juni 2014 (bølge 3) og lov nr. 742 af 1. juni 2015 (bøl‐

ge 4). De fire samlelove indføjer i de fagspecifikke love

stort set enslydende bestemmelser om, at de borgere, der

kan, skal anvende digital selvbetjening, når borgeren skal

ansøge, anmelde eller anmode mv. om det konkrete forhold,

som loven på det pågældende område omhandler. Når en

borger skal tilgå en offentlig myndigheds digitale selvbetje‐

ningsløsning, vil det oftest forudsætte anvendelse af NemID.

Tilsvarende er der på en lang række områder indført obliga‐

torisk digital selvbetjening for virksomheder. Dette gælder

eksempelvis på Erhvervsministeriets område, hvor blandt

andet portalen Virk.dk skal tilgås med NemID til medarbej‐

dere i juridiske enheder.

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

Det daværende IT- og Telestyrelsen, nu Digitaliserings‐

styrelsen, har udarbejdet fire OCES-certifikatpolitikker for

henholdsvis person-, medarbejder-, virksomheds- og funkti‐

onscertifikater. OCES er betegnelsen for Offentlige Certifi‐

kater til Elektronisk Service. OCES-certifikatpolitikkerne

administreres af Digitaliseringsstyrelsen. Certifikatpolitik‐

ken for OCES-personcertifikater og OCES-medarbejdercer‐

tifikater udgør i dag grundlaget for udstedelse af NemID til

borgere og medarbejdere og er senest opdateret til version 5

for OCES-personcertifikat og til version 6 for OCES-medar‐

bejdercertifikat af den 2. marts 2017. OCES-certifikatpoli‐

tikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis

medarbejdersignatur.dk.

Elektroniske signaturer er reguleret af Europa-Parlamen‐

tets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014

om elektronisk identifikation og tillidstjenester til brug for

elektroniske transaktioner på det indre marked og om ophæ‐

velse af direktiv 1999/93/EF (eIDAS-forordningen) samt lov

nr. 617 af 8. juni 2016 om supplerende bestemmelser til for‐

ordning om elektronisk identifikation og tillidstjenester til

brug for elektroniske transaktioner på det indre marked.

Nets DanID A/S blev i 2008 udpeget af den daværende

minister for videnskab, teknologi og udvikling, som udste‐

der af NemID på baggrund af et EU-udbud. Daværende IT-

og Telestyrelsen, nu Digitaliseringsstyrelsen, har indgået en

kontrakt med Nets DanID A/S i form af en OCES-standard‐

aftale, hvori Nets DanID A/S blandt andet forpligter sig til

at opfylde kravene i certifikatpolitikken for OCES-person‐

certifikater og for OCES-medarbejdercertifikater herunder

at være underlagt Digitaliseringsstyrelsens tilsyn baseret på

ekstern statsautoriseret revision. Certifikatpolitikken for

OCES-personcertifikater og OCES-medarbejdercertifikater

stiller krav til, hvordan og under hvilke vilkår Nets DanID

A/S, som udsteder, skal udføre opgaven med administration

og udstedelse af NemID på vegne af staten.

Digitaliseringsstyrelsen har registreret sin eneret til at be‐

nytte betegnelserne OCES og OCES-OID til brug for udste‐

delse af certifikater til offentlig digital signatur. Nets DanID

A/S har via udpegningen ret til at benytte betegnelserne

OCES og OCES-OID for de udstedte certifikater, der benyt‐

tes i NemID med offentlig digital signatur. Dette er et bevis

over for offentligheden på, at NemID, som Nets Dan ID A/S

udsteder, opfylder en række krav, som Digitaliseringsstyrel‐

sen har opstillet og fører tilsyn med. Dette med henblik på

sikker brug og administration af digitale signaturer.

Den udpegede private virksomhed bliver i den eksisteren‐

de aftalebaserede tilgang betragtet som dataansvarlig i data‐

beskyttelsesretlig forstand i forhold til administration af

NemID-løsningen, og skal således blandt andet leve op til en

række forpligtelser over for den registrerede, der følger af

den til enhver tid gældende databeskyttelsesretlige regule‐

ring.

Administration, registrering og udstedelse af NemID kan

ifølge certifikatpolitikken for OCES-personcertifikater vare‐

tages af Nets DanID A/S selv eller af en selvstændig regi‐

streringsenhed ved delegation. Nets DanID A/S har det

praktiske og forretningsmæssige ansvar for udstedelsespro‐

cessen, herunder validering af borgerens identitet. For at bli‐

ve registreringsenhed indgås en aftale med Nets DanID A/S.

Nets DanID A/S har indgået bilaterale aftaler med de en‐

kelte kommuner om at udstede NemID til borgere ved fysisk

fremmøde. Dette er led i den fællesoffentlige aftale om ud‐

bredelse og anvendelse af NemID (eDag 1-3). Derfor er en

række af kommunernes borgerservicecentre udpeget som

selvstændige registreringsenheder, hvor betroede registre‐

ringsmedarbejdere udsteder NemID til borgere, der møder

fysisk frem. Dette gælder eksempelvis borgere, der hverken

har kørekort eller pas, og som derfor ikke kan anmode om

NemID digitalt. Der foreligger således dels en aftale mellem

Digitaliseringsstyrelsen og KL, dels bilaterale aftaler mel‐

lem Nets DanID A/S og hver enkelt kommune, der udsteder

NemID.

Ud over kommunerne har en række pengeinstitutter i Dan‐

mark indgået lignende bilaterale aftaler med Nets DanID

A/S om, som registreringsenheder, at udstede NemID med

offentlig digital signatur til fysiske personer. Hertil kommer

Kriminalforsorgen, der kan agere registreringsenhed i for‐

hold til indsatte i fængslerne og lignende.

Aftalerne med registreringsenhederne indeholder kommu‐

nernes og pengeinstitutternes accept af, at de i deres egen‐

skab af registreringsenhed for Nets DanID A/S skal overhol‐

de de betingelser og udstedelsesprocesser, som er udstukket

af Nets DanID A/S, og at de er underlagt revision fra Nets

DanID A/S.

Registreringsenhedernes administration og udstedelse af

NemID er nøje beskrevet i bilaterale standardiserede aftaler

mellem den enkelte kommune og Nets DanID A/S. Aftaler‐

ne indeholder tillige instrukser, arbejdsgangsbeskrivelser

mv., kriterier for, hvornår der kan udstedes NemID til en

borger, en udførlig og detaljeret beskrivelse af rammerne for

udstedelsesproceduren og arbejdsgange for udstedelse af

NemID. Disse instrukser støtter medarbejderne i deres kon‐

krete vurdering af, hvorvidt en borger opfylder betingelserne

for at få udstedt NemID.

Aftalerne med registreringsenhederne indeholder bestem‐

melser for revision, uddannelse og teknisk understøttelse.

Nets DanID A/S stiller derefter deres registrering- og ud‐

stedelsesmodul til rådighed og uddanner medarbejderne fra

registreringsenheden til at kunne udstede NemID.

Certifikatpolitikken for OCES-medarbejdercertifikater in‐

deholder ikke tilsvarende mulighed for udstedelse af NemID

hos en registreringsenhed. En juridisk enhed, der har et

CVR-nummer, vil altid skulle indgå en aftale om udstedelse

med Nets DanID A/S og udpege en administrator, der på

vegne af den juridiske enhed anmoder om udstedelse af

NemID til medarbejdere i juridiske enheder digitalt på hjem‐

mesiden medarbejdersignatur.dk.

Rammerne for udstedelse af NemID er fastsat i certifikat‐

politik for OCES-personcertifikater og for OCES-medarbej‐

dercertifikater. NemID udstedes til en fysisk person, når en

fysisk person er blevet identificeret og registreret hos Nets

DanID A/S. NemID udstedes til en juridisk enhed, når den

juridiske enhed har indgået en aftale med Nets DanID A/S,

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

angivet sit CVR-nummer og udpeget en administrator. Ram‐

merne for udstedelse har særligt fokus på sikkerheden om‐

kring udstedelse og anvendelse af NemID-løsningen med

henblik på at skabe troværdighed og tillid omkring løsnin‐

gen og registreringsenhedernes udstedelse af NemID. En fy‐

sisk person, der er fyldt 15 år, har et personnummer og kan

legitimere sig fyldestgørende, kan anmode om at få udstedt

NemID online på hjemmesiden nemid.nu, hos en registre‐

ringsenhed i et pengeinstitut eller ved personligt fremmøde

hos en registreringsenhed i kommunernes borgerservicecen‐

tre. Derudover kan en person, der opfylder ovenstående krav

også få udstedt NemID hos en registreringsenhed i Grøn‐

land. En borger med et administrativt personnummer kan

alene få udstedt NemID ved personligt fremmøde hos en re‐

gistreringsenhed.

I forbindelse med udstedelse af NemID fremgår det af cer‐

tifikatpolitikken, at borgeren henholdsvis den juridiske en‐

hed og hver medarbejder, der skal have NemID, skal accep‐

tere de vilkår, der gælder for NemID, som er udformet af

Nets DanID A/S og godkendt af Digitaliseringsstyrelsen.

Vilkårene for NemID fastslår, hvordan borgeren henholds‐

vis den juridiske enhed og medarbejdere skal håndtere Nem‐

ID. Vilkårene for NemID er udarbejdet på baggrund af kra‐

vene i certifikatpolitik for OCES-personcertifikater og certi‐

fikatpolitik for OCES-medarbejdercertifikater og betegnes

som »NemID-regler«. Vilkårene bliver løbende revideret af

Digitaliseringsstyrelsen efter høring af Nets DanID A/S for

at sikre en tilstrækkelig høj sikkerhed og troværdighed for

løsningen. Det er afgørende for sikkerheden, troværdighe‐

den og tilliden omkring NemID, at der ikke udstedes NemID

til borgere, som kognitivt ikke er i stand til at forstå de fast‐

satte vilkår og at håndtere nøglekort og NemID korrekt. Ved

borgerens fysiske fremmøde i borgerservice foretager bor‐

gerservicemedarbejderen i sin egenskab af registreringsen‐

hed en vurdering af, om en borger kan opfylde kravene til

udstedelse af NemID. På denne baggrund træffer registre‐

ringsenheden afgørelse om at udstede NemID eller at afslå

at udstede NemID til borgeren. For juridiske enheder udpe‐

ges der en administrator, som anviser de medarbejdere, der

skal udstedes NemID til. Administratoren står inde for, at de

anviste medarbejdere er tilknyttet den juridiske enhed.

Digitaliseringsstyrelsen har ansvaret for kontrakten med

Nets DanID A/S, for certifikatpolitikken for OCES-person‐

certifikater, for certifikatpolitikken for OCES-medarbejder‐

certifikater og for tilsynet med Nets DanID A/S. Tilsynet

med Nets DanID A/S består ifølge certifikatpolitikken for

OCES-personcertifikater og for OCES-medarbejdercertifi‐

kater af en årlig rapport, som skal udfærdiges af Nets DanID

A/S og godkendes af Digitaliseringsstyrelsen. Rapporten

skal blandt andet indeholde beskrivelse af certificerin‐

gspraksis, revisionsprotokol for systemrevisionen, en erklæ‐

ring om, hvorvidt den samlede data-, system- og driftssik‐

kerhed må anses for betryggende, en erklæring fra systemre‐

visor om, hvorvidt den samlede data-, system- og driftssik‐

kerhed efter systemrevisors opfattelse må anses for betryg‐

gende, samt af at certificeringspraksis opfyldes og doku‐

mentation for ansvarsforsikring, der dækker Nets DanID

A/S’ ansvar.

Systemrevisionen skal gennemføres af en ekstern statsau‐

toriseret revisor. Systemrevisionen indeholder revision af

generelle it-kontroller, it-baserede brugersystemer mv. til

generering af nøgler og nøglekomponenter samt registre‐

ring, udstedelse, verificering, opbevaring og spærring af cer‐

tifikater og it-systemer til udveksling af data med andre

samt en sårbarhedsvurdering af logningsprocedure. Når en

registreringsenhed træffer afgørelse om at give afslag på at

udstede NemID til en borger, sker det på baggrund af den

aftale, som registreringsenheden har indgået med Nets Dan‐

ID A/S, om at sikre overholdelse af krav til udstedelse af

NemID.

En borger skal i forbindelse med et afslag på at få udstedt

eller genåbnet NemID oplyses om grunden til afslaget og

muligheden for at klage. Et afslag gives typisk mundtligt.

Ved afslag på udstedelse af NemID har borgeren på et sene‐

re tidspunkt mulighed for at indgive en ny anmodning om

udstedelse af NemID eksempelvis med de rigtige legitimati‐

onsdokumenter eller et eventuelt vitterlighedsvidne. Endvi‐

dere er der mulighed for, at borgeren kan benytte en tolk.

Såvel en borger som en juridisk enhed, der digitalt anmo‐

der om NemID, skal vejledes om reglerne.

Digitaliseringsstyrelsen har som ressortansvarlig myndig‐

hed aftalt med Nets DanID A/S, at klager over afgørelser

truffet af Nets DanID A/S og registreringsenhederne kan vi‐

deresendes til Digitaliseringsstyrelsen. Digitaliseringsstyrel‐

sen behandler således i dag, som ansvarlig for certifikatpoli‐

tikken for OCES-personcertifikater og certifikatpolitikken

for OCES-medarbejdercertifikater og kontrakten med Nets

DanID A/S, klager i relation til NemID, herunder blandt an‐

det klager over spærring og afslag på at få udstedt eller gen‐

åbnet NemID.

Digitaliseringsstyrelsen kan i konkrete sager rette henven‐

delse til en registreringsenhed eller Nets DanID A/S med

henblik på at få klarlagt fakta i en klagesag.

Når Digitaliseringsstyrelsen har behandlet en klage fra en

borger eller en juridisk enhed, får klageren et skriftligt svar

på henvendelsen.

2.1.2. Finansministeriets overvejelser og lovforslagets

indhold

På baggrund af den øgede digitalisering og den meget

centrale rolle, som NemID med offentlig digital signatur til

fysiske personer og til medarbejdere i juridiske enheder

(NemID) spiller i den forbindelse, har Finansministeriet lø‐

bende overvejet, hvorvidt der bør lovgives om administra‐

tion og udstedelse af NemID til borgere og juridiske enhe‐

der, herunder om borgerens og virksomhedernes rettigheder

og klageadgang.

Udbredelsen og anvendelsen af NemID har blandt andet

med krav om tilslutning til Digital Post fra offentlige afsen‐

dere og krav om anvendelse af offentlige myndigheders di‐

gitale selvbetjeningsløsninger bevæget sig mod en mere be‐

tydelig og central rolle, end det oprindelige udgangspunkt,

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

da Nets DanID A/S blev udpeget i 2008. NemID udgør nu

en væsentlig infrastrukturkomponent. Det er således nød‐

vendigt at have NemID for at kunne tilgå Digital Post og for

at kunne betjene sig selv på de mange offentlige digitale

selvbetjeningsløsninger, herunder borger.dk og Virk.dk.

Den hastige udvikling i den offentlige digitalisering har be‐

tydet, at udbredelsen og anvendelsen af NemID har et sådan

omfang og betydning, at NemID er væsentlig for borgeres

og virksomheders adgang til den offentlige forvaltning og

for mulighed for at være borger henholdsvis virksomhed i

det digitale Danmark.

Folketingets Ombudsmand har i sin redegørelse 2017-19

af 15. juni 2017 »Forvaltningen af NemID gav anledning til

spørgsmål om tilstrækkelig lovhjemmel m.v.« blandt andet

udtalt, at NemID fra at være et frivilligt tilbud til borgere,

der ønskede at tilmelde sig ordningen, og som fra starten

kun indgik i forholdsvis få offentlige digitale løsninger, er

blevet en integreret del af en lang række obligatoriske of‐

fentlige digitale løsninger. Det fremgår videre, at NemID så‐

ledes er gået fra at være et tilbud om, at borgere, som ønske‐

de det, i visse tilfælde kunne betjene sig af digitale løsnin‐

ger, til at være praktisk talt afgørende for, at borgerne kan

opnå en tidssvarende betjening i forhold til store dele af det

offentlige. Dette gælder både for offentlig servicevirksom‐

hed (faktisk forvaltningsvirksomhed) og for offentlig afgø‐

relsesvirksomhed. Folketingets Ombudsmand har peget på

behovet for at tydeliggøre, hvorvidt den opgavevaretagelse,

som Nets DanID A/S henholdsvis registreringsenhederne

varetager, er afgørelsesvirksomhed eller anden form for

myndighedsudøvelse. Der skal tillige sikres hjemmel til at

delegere opgaven til Nets DanID A/S henholdsvis registre‐

ringsenhederne.

Det er på denne baggrund Finansministeriets vurdering, at

der bør være klarhed omkring myndighedsansvar og borge‐

rens retsstilling i forbindelse med udstedelse af NemID. Til‐

svarende gør sig gældende for juridiske enheders mulighed

for at få udstedt NemID medarbejdersignatur.

Formålet med loven er derfor at tydeliggøre borgernes og

virksomhedernes retsstilling, herunder klagemuligheder,

samt at fastslå ved lov, at det er en myndighedsopgave og et

myndighedsansvar at sikre udstedelse af NemID.

Det er Finansministeriets vurdering, at det bør tydeliggø‐

res, at en udpeget udsteder, som i dag er den private virk‐

somhed Nets DanID A/S, og registreringsenhederne, vareta‐

ger en myndighedsopgave og træffer en forvaltningsretlig

afgørelse, når de udsteder NemID til en borger eller en med‐

arbejder i en juridisk enhed, giver afslag på at udstede eller

genåbne NemID, og når de spærrer NemID. Det har den be‐

tydning, at de almindelige forvaltningsretlige regler, herun‐

der forvaltningsloven, og forvaltningsretlige grundsætninger

vil finde anvendelse i sådanne afgørelsessager.

Med lovforslaget er det hensigten at fastslå, at ministeren

for offentlig innovation (i praksis Digitaliseringsstyrelsen)

har ansvaret for at udpege en udsteder, der skal udføre opga‐

ven med at administrere og udstede NemID til borgere og

medarbejdere i juridiske enheder. Nets DanID A/S er allere‐

de udpeget og vil derfor agere udsteder i perioden frem til

den gældende kontrakt udløber eventuelt efter forlængelse,

hvor overgangen til den kommende nationale eID- og auten‐

tifikationsløsning, MitID, forventes gennemført.

Det tydeliggøres med loven, at udstederen af NemID er

udpeget af ministeren for offentlig innovation til at varetage

opgaven på statens vegne. Dermed er opgaven med at admi‐

nistrere og udstede NemID delegeret til en privat udsteder,

der kan træffe afgørelse om udstedelse af NemID og give af‐

slag på udstedelse og genåbning af NemID. Der henvises til

lovforslagets § 1, stk. 1.

For at imødekomme tvivl indsættes en særskilt bestem‐

melse i loven om, at forvaltningsloven, jf. lovbekendtgørelse

nr. 433 af 22. april 2014, gælder, når udsteder henholdsvis

registreringsenhederne træffer afgørelse.

Herved tydeliggøres det, at administration og udstedelse

af NemID skal ske efter forvaltningsretlige regler og prin‐

cipper. En borger eller en virksomhed, der eksempelvis får

afslag på at få udstedt NemID, skal derfor blandt andet have

en begrundelse og en klagevejledning samt eventuelt en

skriftlig afgørelse. Der henvises til lovforslagets § 3.

Det følger af § 5 i lov nr. 606 af 12. juni 2013 om offent‐

lighed i forvaltningen, at offentlighedsloven finder anven‐

delse på eksempelvis private virksomheder og juridiske en‐

heder, der ved lov har fået tillagt beføjelse til at træffe afgø‐

relser på statens vegne.

Der indføres hjemmel til, at ministeren for offentlig inno‐

vation kan fastsætte de regler og vilkår, som en borger hen‐

holdsvis en juridisk enhed skal opfylde for at få udstedt

NemID, og som borgeren og den juridisk enheds medarbej‐

der løbende skal overholde for at have adgang til at anvende

NemID. Det er hensigten, at der fastsættes regler, der vide‐

refører den gældende tilgang i forbindelse med udstedelse,

spærring og håndtering af NemID.

Den gældende tilgang fremgår blandt andet af punkt 6.2 i

certifikatpolitik for OCES-personcertifikater og for OCES-

medarbejdercertifikater.

Det forudsættes i forbindelse med udstedelsen af regler

med hjemmel i lovforslagets § 1, stk. 2, at de krav, der fast‐

sættes, og som borgere samt juridiske enheder og deres

medarbejdere skal opfylde for at få udstedt NemID, følger

de til enhver tid gældende krav, som fremgår af certifikatpo‐

litik for OCES-personcertifikater og af OCES-certifikatpoli‐

tik for medarbejdercertifikater.

Med fastsættelse af regler skal det blive klart for borgerne

og juridiske enheder, i hvilke tilfælde de kan forvente at

kunne få NemID, og hvad der skal til for, at de løbende har

adgang til at anvende NemID.

Det er ikke hensigten at ændre på de gældende krav og

vilkår, som en borger henholdsvis en juridisk enhed og dens

medarbejdere skal opfylde for at få udstedt eller anvende

NemID, da det er hensigten at videreføre den eksisterende

praksis. Der henvises til lovforslagets § 1, stk. 2.

Med lovforslaget slås det fast, at den udpegede udsteder,

det vil i dag sige Nets DanID A/S, henholdsvis registrerings‐

enhederne på vegne af ministeren for offentlig innovation

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

skal administrere og udstede NemID efter de regler, som

fastsættes i medfør af § 1, stk. 2. Den udpegede udsteder

henholdsvis registreringsenhederne vil herudover skulle ad‐

ministrere inden for øvrige relevante regler, herunder for‐

valtningsloven og den til enhver tid gældende databeskyttel‐

sesretlige regulering.

Det fastsættes, at ministeren for offentlig innovation kan

overlade opgaven med at træffe afgørelse om at udstede

NemID til juridiske enheder (såkaldte registreringsenheder),

hvorved disse kan træffe forvaltningsafgørelser. Begrebet

»juridisk enhed« skal forstås i overensstemmelse med an‐

vendelsen af begrebet i lov om Det Centrale Virksomhedsre‐

gister, jf. lovbekendtgørelse nr. 653 af 15. juni 2006 med se‐

nere ændringer, hvoraf det fremgår af § 3, at en juridisk en‐

hed kan være 1) en fysisk person i dennes egenskab af ar‐

bejdsgiver eller selvstændigt erhvervsdrivende, 2) en jurid‐

isk person eller filial af en udenlandsk juridisk person, 3) en

statslig administrativ enhed, 4) en region, 5) en kommune

eller 6) et kommunalt fællesskab. Det sikres samtidig, at lo‐

ven anvender samme begreb, som anvendes i OCES-person‐

certifikatpolitikken. Der henvises til lovforslagets § 2.

Det fastsættes direkte i loven, at en fysisk person, der er

fyldt 15 år og har et personnummer, kan anmode om at få

udstedt NemID. Udsteder henholdsvis registreringsenheden

skal forinden sikre, at borgeren legitimerer sig fyldestgøren‐

de. Det fastsættes endvidere direkte i loven, at en juridisk

enhed med CVR-nummer, eksempelvis en virksomhed en

offentlig myndighed, en frivillig forening mv., der har ind‐

gået aftale med Nets DanID A/S og har udpeget en admini‐

strator, kan anmode om at få udstedt NemID til en eller flere

medarbejdere. De nærmere betingelser for at få udstedt

NemID vil blive fastsat i medfør af § 1, stk. 2.

For at sikre, at borgere og juridiske enheder, der får afslag

på at få udstedt NemID, har mulighed for at klage over det‐

te, fastsættes det i loven, at et afslag på at få udstedt NemID

kan påklages til Digitaliseringsstyrelsen. Denne klagead‐

gang gælder uanset, om afgørelsen er truffet af den udpege‐

de udsteder eller af en registreringsenhed, som er udpeget i

henhold til lovforslagets § 2. Det understreges samtidig, at

administrationen er henlagt under Digitaliseringsstyrelsen

som ansvarlig myndighed på området. Det vil endvidere væ‐

re muligt at indbringe klager over afgørelser om afslag på

genåbning af NemID samt afgørelse om spærring af NemID,

manglende mulighed for fornyelse og lignende, hvor eksem‐

pelvis en registreringsenhed, som led i behandlingen af en

anmodning om at få udstedt NemID, træffer en konkret for‐

valtningsretlig afgørelse i forhold til en borger. Der henvises

til lovforslagets § 5, stk. 1.

Digitaliseringsstyrelsen vil som hidtil føre tilsyn med

NemID gennem de bestemmelser, der fremgår af OCES-cer‐

tifikatpolitikkerne. Med lovforslaget er det ikke hensigten at

ændre på den tilsynsopgave, som Digitaliseringsstyrelsen al‐

lerede har med Nets DanID A/S som udsteder af NemID, jf.

beskrivelsen oven for i afsnit 2.1.1.

Lovforslaget finder ikke anvendelse på forhold omfattet af

lov nr. 617 af 8. juni 2016 om supplerende bestemmelser til

forordning om elektronisk identifikation og tillidstjenester

til brug for elektroniske transaktioner på det indre marked.

Digitaliseringsstyrelsen er udpeget som tilsynsorgan, og fi‐

nansministeren (nu ministeren for offentlig innovation) er

bemyndiget til at fastsætte nærmere regler om tilsynet. Til‐

syn med national autentifikation er ikke reguleret i eIDAS-

forordningen (Europa-Parlamentets og Rådets forordning

(EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifi‐

kation og tillidstjenester til brug for elektroniske transaktio‐

ner på det indre marked og om ophævelse af direktiv

1999/93/EF). Det forudsættes imidlertid i forordningen, at

der er et nationalt tilsyn, idet det følger af forordningen, at

en medlemsstat skal redegøre for det tilsyn, der føres med

en autentifikationsløsning, såfremt den anmeldes til Kom‐

missionen. NemID-løsningen integrerer autentifikation og

signering i den samme løsning, hvorved det etablerede tilsyn

fører tilsyn med såvel signeringsdelen som autentifikations‐

delen. Lovforslaget vedrører alene det eksisterende NemID

til fysiske personer og til juridiske enheder og deres medar‐

bejdere.

Nets DanID A/S’ ret til at udstede NemID udløber forven‐

teligt i 2021. Digitaliseringsstyrelsen forbereder et EU-ud‐

bud af den kommende nationale eID- og autentifikationsløs‐

ning; MitID. Digitaliseringsstyrelsen har indgået et samar‐

bejde med pengeinstitutterne repræsenteret ved Finans Dan‐

mark via selskabet FR1 af 16. september 2015 A/S om dette

EU-udbud. Det kommende MitID vil ikke være omfattet af

lovforslaget, hvorfor det er hensigten at ophæve loven, når

Nets DanID A/S’ ret til at udstede NemID udløber. Digitali‐

seringsstyrelsen igangsætter forud for ibrugtagelsen af Mit‐

ID et arbejde med at undersøge behovet for en mere generel

regulering af nationale eID-løsninger, herunder MitID, og

visse andre offentlige digitale infrastrukturløsninger mv.

3. Økonomiske og administrative konsekvenser for det

offentlige

Det vurderes, at lovforslaget ikke har økonomiske konse‐

kvenser for det offentlige. Lovforslaget har alene mindre ad‐

ministrative konsekvenser for det offentlige.

Der er tale om en videreførelse af det, der allerede følger

af gældende OCES-certifikatpolitikker, som Digitaliserings‐

styrelsen har udarbejdet, og som Nets DanID A/S udsteder

NemID med offentlig digital signatur til fysiske personer og

til medarbejdere i juridiske enheder (NemID) efter. Der er

tillige tale om en videreførelse af en administration, der alle‐

rede er etableret ved privat aftaleindgåelse dels mellem Di‐

gitaliseringsstyrelsen og Nets DanID A/S og dels mellem

Digitaliseringsstyrelsen og KL samt Nets DanID A/S og re‐

gistreringsenhederne i de enkelte kommuner og pengeinsti‐

tutter, hvor registreringsenhederne udsteder NemID til bor‐

gere, der opfylder, de fastsatte vilkår.

Med lovforslaget fastslås det, at borgere og juridiske en‐

heder kan klage til Digitaliseringsstyrelsen. Digitaliserings‐

styrelsen vil med lovforslaget skulle behandle klager og

træffe afgørelse, hvis en borger klager over, at NemID er

blevet spærret eller at have fået afslag på at få udstedt eller

åbnet for et spærret NemID. Nets DanID A/S har overfor

Digitaliseringsstyrelsen oplyst, at de erfaringsmæssigt mod‐

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

tager mellem 20-25 klager om året med relation til udstedel‐

se, spærring og genåbning af NemID. Hovedparten af disse

håndteres ved simpel information samt oplysning om, at der

kan klages til Digitaliseringsstyrelsen. Digitaliseringsstyrel‐

sen modtager cirka 10 klager om året. Det er vurderingen, at

bestemmelsen om klageadgang til Digitaliseringsstyrelsen

ikke medfører mere administration i form af flere klager,

hverken i den enkelte registreringsenhed eller i Digitalise‐

ringsstyrelsen. Det er vurderingen, at antallet af klager vil

være på niveau med det nuværende, og at det vil kunne af‐

holdes indenfor Digitaliseringsstyrelsens eksisterende ram‐

me.

Det vurderes, at ændringer i eksisterende aftaler mellem

Nets DanID A/S og registreringsenhederne samt ændring af

vilkår i forhold til borgere og virksomheder har visse økono‐

miske konsekvenser. Det vurderes, at der er tale om ikke

væsentlige økonomiske konsekvenser.

4. Økonomiske og administrative konsekvenser for er‐

hvervslivet mv.

Lovforslaget har ingen økonomiske eller administrative

konsekvenser for erhvervslivet.

Et udkast til lovforslaget har været forelagt Erhvervssty‐

relsens Team Effektiv Regulering (TER), der vurderer, at lo‐

ven ikke medfører administrative konsekvenser for er‐

hvervslivet.

Det vurderes, at lovforslaget giver virksomhederne en me‐

re klar retsstilling og sikrer, at virksomheder kan klage til

Digitaliseringsstyrelsen over afslag på at få udstedt NemID

mv. Det er fastsat, at Digitaliseringsstyrelsens afgørelser ik‐

ke kan indbringes for anden administrativ myndighed, hvil‐

ket kan anses som en vis begrænsning i virksomhedernes

administrative muligheder.

5. Administrative konsekvenser for borgerne

Det vurderes, at lovforslaget giver borgerne en mere klar

retsstilling og sikrer, at borgerne kan klage til Digitalise‐

ringsstyrelsen over afslag på at få udstedt NemID mv. Det er

fastsat, at Digitaliseringsstyrelsens afgørelser ikke kan ind‐

bringes for anden administrativ myndighed, hvilket kan an‐

ses som en vis begrænsning i borgernes administrative mu‐

ligheder.

6. Miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

7. Forholdet til EU-retten

Lovforslaget indeholder ingen EU-retlige aspekter.

Lovforslaget omfatter ikke anerkendelse af elektroniske

identifikationsmidler for fysiske og juridiske personer, der

er omfattet af en anmeldt elektronisk identifikationsordning

i en anden EU-medlemsstat, jf. Europa-Parlamentets og Rå‐

dets forordning (EU) nr. 910/2014 af 23. juli 2014 om elek‐

tronisk identifikation og tillidstjenester til brug for elektroni‐

ske transaktioner på det indre marked og om ophævelse af

direktiv 1999/93/EF (eIDAS-forordningen). eIDAS-forord‐

ningen regulerer tilsyn med tillidstjenester, hvorunder signe‐

ring henhører. Der fremgår blandt andet, at der skal udpeges

et nationalt tilsyn, og at hensigten er, at Kommissionen ud‐

arbejder supplerende retsakter.

8. Hørte myndigheder og organisationer mv.

Et tidligere udkast til lovforslaget har i perioden fra den 1.

december 2017 til den 4. januar 2018 været sendt i offentlig

høring hos nedenstående myndigheder og organisationer

mv. På baggrund af justeringer, hvor blandt andet NemID til

medarbejdere i juridiske enheder omfattes af lovforslaget,

har et nyt udkast til lovforslag i perioden fra den 8. til den

16. februar 2018 været i sendt i offentlig høring hos samme

myndigheder og organisationer mv.:

Advokatsamfundet/Advokatrådet, Arbejderbevægelsens

Erhvervsråd, Danmarks Statistik, Dansk Blindesamfund,

Dansk Energi, Dansk Erhverv, Dansk Handikap Forbund,

Dansk IT, Danske Advokater, Danske Handicaporganisatio‐

ner, Danske Regioner, Datatilsynet, Den Danske Dommer‐

forening, Det Centrale Handicapråd, DI/ITEK, DIDI-ITEK,

DKCERT, Dysleksiforeningen i Danmark, Døves Landsfor‐

bund, FDIH - Foreningen for Dansk Internethandel, Finans

Danmark, Finansrådet, Finanstilsynet, Folketingets Om‐

budsmand, Forbrugerrådet, Forsikring og Pension, Institut

for Menneskerettigheder, IT-branchen, IT-Politisk Forening,

KL, Landsforeningen SIND, LO, Muskelsvindsfonden, Par‐

kinsonforeningen, Patientforeningen, PROSA, Psykiatrifon‐

den, Rigsombudsmanden i Grønland, Rigsombudsmanden

på Færøerne, Rådet for digital sikkerhed, Rådet for Socialt

Udsatte, Scleroseforeningen, Statens Serum Institut, Tele‐

kommunikationsindustrien i Danmark, Ældremobiliseringen

og Ældresagen.

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

9. Sammenfattende skema

Positive konsekvenser/ mindreudgifter

(hvis ja, angiv omfang/Hvis nej, anfør »In‐

gen«)

Økonomiske konsekvenser for stat,

kommuner og regioner

Ingen

Negative konsekvenser/ merudgifter

(hvis ja, angiv omfang/Hvis nej, an‐

før »Ingen«)

Det vurderes, at lovforslaget ikke har

økonomiske eller administrative kon‐

sekvenser for det offentlige, da der er

tale om en videreførelse af det, der

allerede følger af den gældende certi‐

fikatpolitik for OCES-personcertifi‐

kater, som Digitaliseringsstyrelsen

har udarbejdet, og som Nets DanID

A/S udsteder NemID efter. Der er til‐

lige tale om en videreførelse af en ad‐

ministration, der allerede er etableret

ved privat aftaleindgåelse.

Det er vurderingen, at antallet af kla‐

ger vil være på niveau med det nuvæ‐

rende, og at det vil kunne afholdes in‐

denfor Digitaliseringsstyrelsens eksi‐

sterende ramme.

Det vurderes, at ændringer i eksister‐

ende aftaler mellem Nets DanID A/S

og registreringsenhederne samt æn‐

dring af vilkår i forhold til borgere og

virksomheder har visse økonomiske

konsekvenser. Det vurderes, at der er

tale om ikke væsentlige økonomiske

konsekvenser.

Ingen af betydning.

Ingen

Det er fastsat, at Digitaliseringssty‐

relsens afgørelser ikke kan indbringes

for anden administrativ myndighed,

hvilket kan anses som en vis be‐

grænsning i virksomhedernes admini‐

strative muligheder.

Det er fastsat, at Digitaliseringssty‐

relsens afgørelser ikke kan indbringes

for anden administrativ myndighed,

hvilket kan anses som en vis be‐

grænsning i borgernes administrative

muligheder.

Ingen

Administrative konsekvenser for

stat, kommuner og regioner

Økonomiske konsekvenser for er‐

hvervslivet

Administrative konsekvenser for er‐

hvervslivet

Ingen

Det vurderes, at lovforslaget giver virk‐

somhederne en mere klar retsstilling og

sikrer, at virksomhederne kan klage til Di‐

gitaliseringsstyrelsen over afslag på at få

udstedt NemID mv.

Det vurderes, at lovforslaget giver borger‐

ne en mere klar retsstilling og sikrer, at

borgerne kan klage til Digitaliseringssty‐

relsen over afslag på at få udstedt NemID

mv.

Ingen

Administrative konsekvenser for

borgerne

Miljømæssige konsekvenser

Forholdet til EU-retten

Er i strid med de fem principper for

implementering af erhvervsrettet

EU-regulering/Går videre end mini‐

mumskrav i EU-regulering (sæt X)

Lovforslaget indeholder ingen EU-retlige aspekter

Nej

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Formålet med den foreslåede bestemmelse i

§ 1, stk. 1,

at sikre tydelig hjemmel til, at ministeren for offentlig inno‐

vation udpeger en privat virksomhed til at være udsteder og

dermed til at varetage opgaven med at administrere og træf‐

fe afgørelse om at udstede NemID med offentlig digital sig‐

natur til fysiske personer og til medarbejdere i juridiske en‐

heder (NemID).

Det foreslås fastsat, at den udpegede udsteder, er en privat

virksomhed. Bestemmelsen giver således udtrykkelig lov‐

hjemmel til, at denne myndighedsopgave kan delegeres til

en privat virksomhed.

Ministerens bemyndigelse forventes i praksis at ville blive

udøvet af Digitaliseringsstyrelsen.

Det slås dermed fast, at NemID udstedes på statens vegne,

og at det er ministeren for offentlig innovation, der har myn‐

dighedsansvaret og sikrer, at der udpeges en udsteder af

NemID til fysiske personer og til medarbejdere i juridiske

enheder. En udsteder skal forstås i overensstemmelse med

det, der i OCES-certifikatpolitikkerne betegnes som et certi‐

ficeringscenter. OCES-certifikatpolitikkerne kan tilgås på

hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk.

Nets DanID A/S er allerede godkendt og udpeget til at va‐

retage opgaven som udsteder af NemID. Udpegning af Nets

DanID A/S, som udsteder, skete på baggrund af et EU-ud‐

bud gennemført i 2008. Kontrakten løber pt. til 2021, hvor

den nye MitID-løsning forventes idriftsat. Det er hensigten,

at Nets DanID A/S - der allerede i dag er udpeget som ud‐

steder - fortsætter med at varetage opgaven med at admini‐

strere og udstede NemID på de vilkår, som er fastsat i den til

enhver tid gældende certifikatpolitik for OCES-personcerti‐

fikater og certifikatpolitik for OCES-medarbejdercertifikater

i perioden frem til den gældende kontrakt udløber. OCES-

certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu

henholdsvis medarbejdersignatur.dk..

Bestemmelsen omfatter NemID, som udstedes til fysiske

personer, som også benævnes privatpersoner eller borgere

og NemID, som udstedes til medarbejdere i juridiske enhe‐

der, også benævnt NemID medarbejdersignatur. NemID til

fysiske personer og til medarbejdere i juridiske enheder ad‐

skiller sig eksempelvis fra virksomheds- og funktions-certi‐

fikater samt fra pengeinstitutternes NemID til netbank, som

ikke er omfattet af lovforslaget.

Den udpegede udsteder (i dag Nets DanID A/S) skal

blandt andet administrere og træffe afgørelse om at udstede

NemID til borgere og til medarbejdere i juridiske enheder,

og forventes i sin administration, afgørelses- og udstedelses‐

virksomhed at agere i henhold til gældende ret. Udstederen

skal blandt andet sikre, at borgeren henholdsvis den juridi‐

ske enhed og dens medarbejdere opfylder de betingelser, der

fremgår af § 4, og de regler, der i medfør af § 1, stk. 2, fast‐

sættes for løbende at kunne anvende NemID. Udstederen fo‐

retager en vurdering af, om borgeren henholdsvis den juridi‐

ske enhed opfylder betingelserne i § 4, og om borgeren hen‐

holdsvis medarbejderen kan legitimeres fyldestgørende, og

træffer herefter ved udstedelse af NemID en afgørelse i for‐

valtningslovens forstand.

Som det fremgår af den foreslåede § 3, skal udstederen så‐

ledes efterleve de almindelige forvaltningsretlige regler og

principper, når udstederen administrerer reglerne om udste‐

delse af NemID. Hvis udstederen træffer en afgørelse om at

give borgeren afslag på at få udstedt eller genåbnet NemID,

eller om at spærre NemID, skal borgeren henholdsvis den

juridiske enhed blandt andet have en begrundelse og en kla‐

gevejledning eventuelt skriftligt, jf. forvaltningslovens kapi‐

tel 6 og 7. Endvidere gælder partshøringsreglerne i forvalt‐

ningslovens § 19, ligesom det skal sikres, at borgere og juri‐

diske enheder bliver tilstrækkeligt vejledt om, hvilke regler

de henholdsvis medarbejderne løbende skal leve op til ved

anvendelse af NemID. Udsteder henholdsvis registrerings‐

enhederne skal i forbindelse med behandling af en anmod‐

ning om at få udstedt NemID og den afgørelse, som træffes,

sikre, at borgeren henholdsvis den juridiske enhed vejledes

tilstrækkeligt om reglerne for at få udstedt NemID og om

reglerne for løbende at kunne anvende NemID, herunder om

konsekvenserne ved ikke at overholde disse, jf. forvaltnings‐

lovens § 7. Vejledningen kan efter omstændighederne i det

konkrete tilfælde tillige omfatte, hvilke muligheder borgeren

har for at blive betjent af den offentlige forvaltning uden et

NemID, samt hvilke muligheder borgeren har for på ny at

anmode om at få udstedt NemID.

Det foreslås med formuleringen af

§ 1, stk. 2,

at give mini‐

steren for offentlig innovation hjemmel til at fastsætte regler

om administrationen af NemID, herunder om udstedelse og

spærring samt genåbning af NemID. Der vil tillige kunne

fastsættes regler, der omhandler de krav, der stilles til borge‐

rens og den juridiske enheds medarbejderes løbende håndte‐

ring af NemID.

De regler, der fastsættes, skal sikre, at der i medfør af lo‐

ven etableres en proces og klare regler for, hvordan en bor‐

ger henholdsvis en medarbejdere i juridiske enheder kan få

udstedt NemID. Det er hensigten, at der fastsættes regler

om, hvilke betingelser udover dem, der fremgår af § 4, en

borger henholdsvis en medarbejder skal opfylde for at kunne

få udstedt NemID, samt hvilke betingelser borgeren hen‐

holdsvis den juridiske enhed og medarbejderen løbende skal

opfylde for at have og anvende NemID. Det er hensigten i

medfør af bestemmelsen at fastsætte, hvornår der kan gives

afslag på udstedelse, regler om spærring, ny-udstedelse,

genåbning og lignende.

Regler om håndtering af NemID fastsættes af hensyn til

den samlede sikkerhed i NemID-løsningen. Reglerne skal

være med til også at sikre borgerne og de juridiske enheder

mod konkret misbrug og skal samtidig bidrage til at opret‐

holde den samlede sikkerhed ved NemID. Der kan blandt

andet fastsættes regler om, at borgeren skal hemmeligholde

nøglekortet og koder, at borgeren kognitivt skal have evnen

til at forstå og følge reglerne, herunder beskytte det udstedte

NemID og sine koder mod andres brug og misbrug. Tilsva‐

rende kan der fastsættes regler om, at juridiske enheder skal

indgå aftale og udpege en administrator til at anvise medar‐

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

bejdere, som har tilknytning til den juridiske enhed og skal

have udstedt NemID medarbejder-signatur. Det kan blandt

andet fastsættes, at borgere og medarbejdere i juridiske en‐

heder skal tage rimelige forholdsregler for at beskytte de

sikkerhedsmekanismer, der sikrer NemID mod kompromit‐

tering, ændring, tab og uautoriseret brug, og at adgangsko‐

den skal hemmeligholdes, så andre ikke får kendskab til

denne. Det vil tillige kunne fastsættes, hvilke konsekvenser

det har, hvis borgeren eller medarbejderen ikke overholder

disse krav, efter NemID er udstedt. Det vil eksempelvis kun‐

ne fastsættes, at NemID spærres ved mistanke om misbrug

eller tilsvarende brud på sikkerheden.

Det forventes, at det fastsættes, at en fysisk person og juri‐

diske enheder kan anmode om at få udstedt NemID online

på henholdsvis hjemmesiderne nemid.nu og medarbejdersig‐

natur.dk. Det forventes tillige, at det bliver fastsat, at borge‐

re kan få udstedt NemID hos en registreringsenhed i et pen‐

geinstitut og ved personligt fremmøde hos en registrerings‐

enhed i kommunernes borgerservicecentre.

De vilkår og krav, som gælder i dag, følger af certifikatpo‐

litik for OCES-personcertifikater punkt 6.2, 7.3.1 og 7.3.2,

og udgør grundlaget for vilkårene for udstedelse af NemID

(de såkaldte NemID-regler). For virksomheder følger vilkår

og krav af certifikatpolitik for OCES-medarbejdercertifika‐

ter punkt 6.2, 7.3.1 og 7.3.2. Hensigten er i bekendtgørelsen

at fastsætte regler tilsvarende de allerede gældende vilkår

rettet mod borgere og juridiske enheder og deres medarbej‐

dere, så det tydeligt fremgår af bekendtgørelsen, hvornår en

borger henholdsvis en medarbejder kan få udstedt NemID,

og hvilke vilkår de skal opfylde henholdsvis løbende over‐

holde. OCES-certifikatpolitikkerne kan tilgås på hjemmesi‐

den nemid.nu henholdsvis medarbejdersignatur.dk.

Det fremgår blandt andet af certifikatpolitikken for

OCES-personcertifikater punkt 6.2, at Nets DanID A/S ved

aftale skal forpligte certifikatindehaveren, den fysiske per‐

son, til at opfylde en række betingelser. Betingelserne er

fastsat som vilkår for NemID, som er de vilkår, som den en‐

kelte borger (certifikatindehaveren) skal acceptere i forbin‐

delse med udstedelse af NemID. Det forventes, at der i lig‐

hed med hvad der følger af certifikatpolitikken for OCES-

personcertifikater, blandt andet vil blive fastsat regler om, at

borgeren skal give fyldestgørende og korrekte svar på alle

anmodninger fra den udpegede udsteder (Nets DanID A/S)

og registreringsenheder, om information i ansøgningspro‐

cessen, at en borger alene må benytte NemID i henhold til

certifikatpolitikkens bestemmelser, at en borger skal tage ri‐

melige forholdsregler for at beskytte de sikkerhedsmekanis‐

mer, der sikrer NemID mod kompromittering, ændring, tab

og uautoriseret brug, at en borger skal hemmeligholde ad‐

gangskoden, så andre ikke får kendskab til denne, at en bor‐

ger ved modtagelse af NemID skal sikre sig at indholdet

heraf er i overensstemmelse med de faktiske forhold, at en

borger omgående skal anmode om spærring og eventuel for‐

nyelse af NemID, hvis indholdet heraf ikke er i overens‐

stemmelse med de faktiske forhold, at en borger omgående

skal ændre sin adgangskode eller spærre NemID, hvis der

opstår mistanke om, at adgangskoden er kompromitteret, og

at en borger omgående skal ophøre med at anvende NemID,

hvis borgeren opnår kendskab til, at Nets DanID A/S er ble‐

vet kompromitteret.

Det fremgår af certifikatpolitikken for OCES-medarbej‐

dercertifikater punkt 6.2, at Nets DanID A/S ved aftale skal

forpligte certifikatindehaveren, medarbejderen, til at opfylde

en række betingelser, samt at certifikatindehaverens organi‐

sation, virksomheden, og procedurer understøtter opfyldel‐

sen heraf. Betingelserne er fastsat som vilkår for NemID,

som er de vilkår, som den enkelte medarbejder (certifikatin‐

dehaveren) skal acceptere i forbindelse med udstedelse af

NemID til medarbejdere. Det forventes, at der i lighed med,

hvad der følger af certifikatpolitikken for OCES-medarbej‐

dercertifikater, blandt andet vil blive fastsat regler om, at

medarbejdere skal give fyldestgørende og korrekte svar på

alle anmodninger fra den udpegede udsteder (Nets DanID

A/S), om information i ansøgningsprocessen, at en medar‐

bejder alene må benytte NemID i henhold til certifikatpoli‐

tikkens bestemmelser, at en medarbejder skal tage rimelige

forholdsregler for at beskytte de sikkerhedsmekanismer, der

sikrer NemID mod kompromittering, ændring, tab og uauto‐

riseret brug, at en medarbejder skal hemmeligholde ad‐

gangskoden, så andre ikke får kendskab til denne, at en

medarbejder ved modtagelse af NemID skal sikre sig at ind‐

holdet heraf er i overensstemmelse med de faktiske forhold,

at en medarbejder omgående skal anmode om spærring og

eventuel fornyelse af NemID, hvis indholdet heraf ikke er i

overensstemmelse med de faktiske forhold, at en medarbej‐

der omgående skal ændre sin adgangskode eller spærre

NemID, hvis der opstår mistanke om, at adgangskoden er

kompromitteret, og at en medarbejder omgående skal ophø‐

re med at anvende NemID, hvis medarbejderen opnår kend‐

skab til, at Nets DanID A/S er blevet kompromitteret.

Herudover indgår den juridiske enhed (administratoren)

aftale med Nets DanID A/S om at anvise medarbejdere, der

skal have udstedt NemID til medarbejdere. Den juridiske

enhed forpligter sig også til at instruere medarbejdere i kor‐

rekt anvendelse af NemID, herunder overholdelse af certifi‐

katpolitikken for OCES-medarbejdercertifikater.

I medfør af bestemmelsen vil det ligeledes blive fastsat, at

Nets DanID A/S skal sikre, at borgeren henholdsvis den ju‐

ridiske enhed opfylder de betingelser, der fastsættes for at

kunne få udstedt NemID.

Der vil samtidig kunne fastsættes regler om, at der kan gi‐

ves afslag på at få udstedt NemID, hvis udsteder vurderer, at

borgeren eller den juridiske enhed ikke opfylder en eller fle‐

re af de fastsatte betingelser. Det kan eksempelvis være,

hvis der er tvivl om, hvorvidt borgeren eller medarbejderen

kan administrere og anvende NemID korrekt eksempelvis af

sproglige eller forståelsesmæssige årsager. Et andet eksem‐

pel er, hvis der er tvivl om validiteten af legitimationsdoku‐

mentationen. For virksomheder vil det være administrator,

der indestår for, at de medarbejdere, der udpeges til at få

NemID til medarbejdere, er identificeret korrekt i overens‐

stemmelse med aftalen og reglerne herfor.

Der henvises i øvrigt til de almindelige bemærkninger af‐

snit 2.1.2. ovenfor.

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

Til § 2

Efter den foreslåede

§ 2

slås det fast i loven, at ministeren

for offentlig innovation kan overlade opgaven med at træffe

afgørelse om at udstede NemID med offentlig digital signa‐

tur til fysiske personer (NemID) til en juridisk enhed. Begre‐

bet »juridisk enhed« skal forstås i overensstemmelse med

anvendelsen af begrebet i lov om Det Centrale Virksom‐

hedsregister, jf. de almindelige bemærkninger afsnit 2.1.2.

ovenfor.

Ministeren for offentlig innovation kan udpege konkrete

juridiske enheder til at varetage opgaven med som registre‐

ringsenhed at træffe afgørelser om udstedelse af NemID til

fysiske personer, der anmoder om at få udstedt NemID med

offentlig digital signatur til fysiske personer hos en registre‐

ringsenhed.

Det er hensigten, at ministeren udpeger, hvilke konkrete

registreringsenheder der kan træffe afgørelse om at udstede

NemID til borgere, der eksempelvis møder fysisk frem i re‐

gistreringsenheden og anmoder om at få udstedt NemID.

Grundlaget for registreringsenhederne forventes at lægge sig

op ad indholdet i de konkrete aftaler herom, som gælder i

dag.

Nets DanID A/S har på nuværende tidspunkt delegeret op‐

gaven med at udstede NemID til borgere, der fysisk møder

op, til en lang række kommuner på baggrund af bilaterale

aftaler indgået med de enkelte kommuner. Opgaven vareta‐

ges og administreres typisk af borgerservicecentrene i kom‐

munerne, jf. de almindelige bemærkninger afsnit 2.1.1 oven‐

for. Endvidere har også en række pengeinstitutter indgået af‐

tale om at varetage opgaven som registreringsenhed. Det er

hensigten, at ministeren ved udpegning af registreringsenhe‐

der sikrer, at indholdet i disse aftale i videst mulige omfang

opretholdes eventuelt ved en henvisning til de allerede ind‐

gåede aftaler.

Registreringsenhederne er ansvarlige for identifikation og

autentifikation af en kommende certifikatindehaver og for at

udstede NemID til borgere. Det er derfor også registrerings‐

enhederne, der påser og vurderer, om en fremmødt borger

lever op til de fastsatte regler for at kunne få NemID, og det

er registreringsenhederne, der træffer afgørelse om at give

en borger afslag, hvis borgeren ikke lever op til de krav, der

er fastsat for at kunne få NemID. Der er tale om en opgave,

der i medfør af § 2 er delegeret fra ministeren for offentlig

innovation til registreringsenhederne. Afgørelserne som re‐

gistreringsenhederne træffer om udstedelse af NemID skal

leve op til forvaltningsretten og de forvaltningsretlige prin‐

cipper, jf. den foreslåede § 3. Registreringsenhederne vil

blandt andet skulle vejlede og vurdere, om borgeren forven‐

tes at forstå og løbende kunne leve op til de regler og vilkår,

der er fastsat. Nets DanID A/S har ansvaret for hele udsted‐

elsesprocessen, herunder validering af borgerens identitet,

samt for de afgørelser, der træffes.

Der henvises i øvrigt til de almindelige bemærkninger af‐

snit 2.1.2. ovenfor.

Til 3

Det er almindeligt antaget, at delegation medfører, at den

opgave, der delegeres til en anden, også er omfattet af de

regler, der gælder, herunder forvaltningsloven, og skal over‐

holde disse. For at undgå fortolkningstvivl fastsættes det di‐

rekte i loven, at Nets DanID A/S og registreringsenhederne

er omfattet af forvaltningsloven i forbindelse med de afgø‐

relser, der træffes om udstedelse af NemID, spærring, afslag

på udstedelse og afslag på genåbning mv. Dette medfører

blandt andet, at visse afgørelser skal ledsages af en begrun‐

delse og en klagevejledning, at partshøringsreglerne i rele‐

vant omfang skal iagttages, og at borgere og virksomheder

skal vejledes tilstrækkeligt om deres rettigheder mv. En af‐

gørelse om at spærre et NemID træffes for at sikre mod mis‐

brug og tilsvarende, hvorfor spærring kan foretages uden

forudgående kontakt til den registrerede.

Nets DanID A/S og registreringsenhederne vil således ved

anmodning om at få udstedt NemID blandt andet skulle vej‐

lede borgeren om reglerne for at få udstedt NemID og sær‐

ligt reglerne for løbende at kunne anvende NemID, herunder

om konsekvenserne ved ikke at overholde disse, jf. forvalt‐

ningslovens § 7. Vejledningen kan i de konkrete tilfælde til‐

lige omfatte, hvilke muligheder borgeren har for at blive be‐

tjent af den offentlige forvaltning uden et NemID, samt hvil‐

ke muligheder borgeren henholdsvis juridiske enheder har

for på ny at anmode om at få udstedt NemID.

Til § 4

Den foreslåede § 4,

stk. 1,

fastslår, at en fysisk person har

ret til at anmode om at få udstedt NemID med offentlig digi‐

tal signatur til fysiske personer (NemID), hvis borgeren er

fyldt 15 år og har et personnummer. Borgeren vil i den for‐

bindelse skulle kunne legitimere sig fyldestgørende overfor

udstederen henholdsvis registreringsenheden. En borger, der

i øvrigt opfylder de regler og vilkår, der fastsættes i medfør

af § 1, stk. 2, og som vurderes løbende at kunne overholde

disse kan herefter få udstedt NemID.

Bestemmelsen omfatter NemID, som udstedes til fysiske

personer. Fysiske personer er privatpersoner også betegnet

som borgere. Også fysiske personer, der ikke er danske

statsborgere, kan anmode om at få udstedt NemID. Eksem‐

pelvis vil udlændinge, der får et personnummer i forbindelse

med, at de kommer til landet for at arbejde, kunne anmode

om at få udstedt NemID. En borger med et administrativt

personnummer kan alene få udstedt NemID ved personligt

fremmøde hos en registreringsenhed.

Det forudsættes, at de regler, der fastsættes i medfør af §

1, stk. 2, indeholder betingelserne for at få udstedt NemID,

samt regler, som løbende skal overholdes ved anvendelse af

NemID. Det forudsættes tillige, at de regler, der fastsættes,

følger de regler, der allerede i dag gælder i medfør af certifi‐

katpolitikken for OCES-personcertifikater, og som er gengi‐

vet i vilkårene for NemID.

Borgere skal følge den procedure, der fastsættes, for at an‐

mode om at få udstedt NemID.

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

Det er forventningen, at borgeren som hidtil vil kunne an‐

mode om at få udstedt NemID online på hjemmesiden nem‐

id.nu, hos en registreringsenhed i et pengeinstitut eller ved

personligt fremmøde hos en registreringsenhed i en kommu‐

nes borgerservicecenter.

Det foreslås med formuleringen af § 4,

stk. 2,

at juridiske

enheder har ret til at anmode om at få udstedt NemID til

medarbejdere i juridiske enheder.

Begrebet »juridisk enhed« skal ligesom i § 2 forstås i

overensstemmelse med anvendelsen af begrebet i lov om

Det Centrale Virksomhedsregister, jf. lovbekendtgørelse nr.

653 af 15. juni 2006 med senere ændringer, hvoraf det frem‐

går af § 3, at en juridisk enhed kan være 1) en fysisk person

i dennes egenskab af arbejdsgiver eller selvstændigt er‐

hvervsdrivende, 2) en juridisk person eller filial af en uden‐

landsk juridisk person, 3) en statslig administrativ enhed, 4)

en region, 5) en kommune eller 6) et kommunalt fællesskab.

Det sikres samtidig, at loven anvender samme begreb, som

anvendes i OCES-personcertifikatpolitikken. Der henvises

til lovforslagets § 2.

En juridisk enhed skal således have et CVR-nummer og

have indgået en aftale med Nets DanID A/S, hvor der udpe‐

ges en administrator til på vegne af den juridiske enhed at

anvise personer med tilknytning til den juridiske enhed, der

skal have udstedt NemID medarbejdersignatur.

Bestemmelsen omfatter NemID, som udstedes til medar‐

bejdere i juridiske enheder. En virksomhed, der i øvrigt op‐

fylder de regler, der fastsættes i medfør af § 1, stk. 2, kan

herefter få udstedt NemID til sine medarbejdere.

Det forudsættes, at de regler, der fastsættes i medfør af §

1, stk. 2, indeholder betingelserne for at få udstedt NemID,

samt regler, som løbende skal overholdes ved anvendelse af

NemID. Det forudsættes tillige, at de regler, der fastsættes,

følger de regler, der allerede i dag gælder i medfør af

OCES-certifikatpolitikken for medarbejdercertifikater, og

som er gengivet i aftale om udpegning af administrator hen‐

holdsvis vilkårene for NemID.

Juridiske enheder skal følge den procedure, der fastsættes,

for at anmode om at få udstedt NemID.

Det er forventningen, at juridiske enheder som hidtil vil

kunne anmode om at få udstedt NemID online på hjemmesi‐

den medarbejdersignatur.dk. Det vil fortsat ikke være muligt

for juridiske enheder at anmode om at få udstedt NemID

medarbejdersignatur hos en registreringsenhed.

Der henvises i øvrigt til de almindelige bemærkninger af‐

snit 2.1.2. ovenfor.

Til § 5

Det foreslås med

§ 5, stk. 1,

at fastslå, at klage over en af‐

gørelse kan indbringes for Digitaliseringsstyrelsen.

Den afgørelse, der påklages, vil være truffet af den private

udsteder eller af en registreringsenhed, der udsteder NemID

med offentlig digital signatur til fysiske personer og til med‐

arbejdere i juridiske enheder (NemID) i kommunerne eller i

pengeinstitutterne. De afgørelser, der kan påklages, er afgø‐

relser, der er truffet efter de regler, der vil blive udstedt i

medfør af § 1, stk. 2.

Der kan eksempelvis være tale om klage over en afgørelse

om afslag på udstedelse af NemID, afslag på genåbning af

NemID, klage over en afgørelse om spærring af et NemID

og lignende efter regler fastsat i medfør af § 1, stk. 2.

Digitaliseringsstyrelsen vil foretage en klagesagsbehand‐

ling på baggrund af sagens oplysninger, de fastsatte regler,

og efter de regler, der følger af forvaltningsloven og de for‐

valtningsretlige principper mv.

Registreringsenhederne og udstederen (i dag Nets DanID

A/S) skal, når de træffer afgørelse, sikre, at borgere og virk‐

somheder får en klagevejledning om, at deres afgørelser kan

indbringes for Digitaliseringsstyrelsen.

Registreringsenhederne og udstederen (i dag Nets DanID

A/S) skal, hvis klagen indgives direkte til dem videresende

klagen til Digitaliseringsstyrelsen med henblik på behand‐

ling af klagen.

Det foreslås med § 5, stk. 2, at det fastsættes direkte i lo‐

ven, at Digitaliseringsstyrelsen kan kræve enhver oplysning

af betydning for klagebehandlingen, af den private virksom‐

hed, der er udpeget i medfør af § 1, stk. 1, og af registre‐

ringsenheder, jf. § 2.

Digitaliseringsstyrelsen kan i konkrete klagesager rette

henvendelse til den relevante registreringsenhed eller Nets

DanID A/S i forbindelse med behandling af klagen med

henblik på at få oplyst sagen tilstrækkeligt mv. Digitalise‐

ringsstyrelsen kan herunder kræve at få relevante oplysnin‐

ger og dokumenter til brug for behandling af sagen.

Med den foreslåede bestemmelse i

§ 5, stk. 3,

slås det fast,

at Digitaliseringsstyrelsens afgørelser ikke kan indbringes

for anden administrativ myndighed. Afgørelserne vil dog

kunne indbringes for domstolene i medfør af grundlovens §

63.

Der henvises i øvrigt til de almindelige bemærkninger af‐

snit 2.1.2. ovenfor.

Til § 6

Det foreslås, at loven træder i kraft den 1. juli 2018.

Det er hensigten at ophæve loven i forbindelse med, at

Nets DanID A/S’ ret til at udstede NemID udløber.

Til § 7

Det foreslås, at loven gælder ikke for Grønland og Færø‐

erne.

For Grønland er der tale om et sagsområde, der ikke er

hjemtaget, hvorfor loven ikke skal gælde i Grønland, men

loven vil helt eller delvist kunne sættes i kraft i Grønland

ved kongelig anordning.

Den hidtidige aftalebaserede tilgang for udstedelse af

NemID med offentlig digital signatur til fysiske personer

(NemID) i Grønland baseret på OCES-personcertifikatpoli‐

tikken vil fortsat være gældende.

L 150 - 2017-18 - Bilag 2: Lovudkast, fra ministeren for offentlig innovation

For Færøerne er der tale om et sagsområde, der ikke hører

til fællesanliggender, som varetages af rigsmyndighederne.

Sagsområdet anses derfor som ovegået til Færøerne, hvorfor

loven ikke skal gælde på Færøerne.

Udstedelse af NemID til færinger baseret på OCES-per‐

soncertifikatpolitikken vil foregå på samme måde som i dag.

Hvis en færing har et administrativt personnummer, kan

NemID alene blive udstedt ved personligt fremmøde hos en

registreringsenhed.