L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Indenrigs- og Boligudvalget 2020-21
L 159 Bilag 1
Offentligt

Høringsnotat om Forslag til lov om MitID og

NemLog-in

12. oktober 2020

KDR/BJBRS

1. Indledning

Et udkast til forslag til lov om MitID og NemLog-in har i perioden fra den 27. au-

gust 2020 til den 17. september 2020 været i ekstern høring hos relevante myndig-

heder og organisationer. Udkastet blev også offentliggjort på Høringsportalen.

Der er modtaget høringssvar fra 28 af de hørte myndigheder og organisationer. 19

høringssvar indeholder bemærkninger til lovudkastet. En oversigt over, hvilke af de

hørte myndigheder, borger og organisationer, der har afgivet høringssvar, er ved-

lagt.

Det er alene de væsentligste bemærkninger fra høringssvarene, der er medtaget i

dette notat.

2. Sammenfatning af ændringer i lovforslaget i forhold til

høringsudkastet

De indkomne høringssvar har givet anledning til følgende bemærkninger i lovudka-

stet, som uddybes i det følgende:



I § 2 er tilføjet nr. 17,

som definerer begrebet ”broker”.



I § 5, stk. 2, og de tilhørende bemærkninger er kommunale borgerservicecentre

rettet til kommunalbestyrelsen.



I de specielle bemærkninger til § 8, stk. 3, (serviceområdet Digital signering) er

det tilføjet, at Digitaliseringsstyrelsen selvstændigt varetager rollen som certifi-

ceringscenter.



I § 9 er der tilføjet stk. 3 og stk. 4 om anvendelse af MitID i en erhvervsmæssig

sammenhæng og det dobbelte frivillighedsprincip.



I afsnit 7.3.1. om databeskyttelse i de almindelige bemærkninger fremgår der

ikke længere et påvisningskrav.



I § 13 om dataansvar og behandling af personoplysninger og i bemærkningerne

til bestemmelsen er der foretaget præciseringer.



I § 14 er der indsat en henvisning til databeskyttelsesforordningens art. 9, stk. 2,

litra g og præciseringen er uddybet i bemærkningerne til bestemmelsen.



§ 18 om tilsyn er rettet til i forhold til NemLog-in, således at bestemmelsen og

bemærkningerne er mere præcise i forhold til tilsynsopgaven for denne løsning.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 2 af 24



§ 19 om tavshedspligt og bemærkningerne hertil er ændret således at retssubjek-

tet for tavshedspligten er tilpasset de faktiske forhold.



Bemærkningerne til § 20 om forvaltningsloven er blevet præciseret yderligere.



Bemærkningerne til § 21 om erstatningsansvar er blevet præciseret.



§ 25 og bemærkningerne hertil er blevet ændret således, at loven helt eller del-

vist vil kunne sættes i kraft i Færøerne.

3. Bemærkninger til lovudkastet

Indledningsvist skal det nævnes, at overordnet er høringssvarene positive over lov-

forslaget. Digitaliseringsstyrelsen har noteret sig den positive modtagelse af lov-

forslaget. Nedenfor fremgår de enkelte høringssvar med Digitaliseringsstyrelsens

bemærkninger dertil.

3.1. Ældre sagen

Ældre Sagen bemærker, at det er vigtigt at myndighederne samtidig med selve im-

plementeringen af denne nye digitale løsning også husker, at alle borgere skal

vænne sig til de nye muligheder og løsninger, samt at nogle borgere, herunder ikke

mindst en betydelig gruppe af ældre, ikke kan bruge de digitale løsninger. Der er så-

ledes brug for både alternative løsninger for de ikke-digitale og understøttelse af al-

lerede digitale i anvendelsen af de nye løsninger.

Ældre Sagen bemærker endvidere, at det er vigtigt at være opmærksom på, at der

fortsat vil være ældre (og andre) borgere, der har behov for personlig betjening og

vejledning, både fysisk og telefonisk. Ved overgangen til den nye løsning går Ældre

Sagen ud fra, at der udarbejdes en løsning, hvorved de personer, der allerede er

undtaget eller partsrepræsenteret i det eksisterende NemID, fortsætter uændret

uden at skulle foretage sig yderligere handlinger. Ældre Sagen opfordrer samtidig

til, at den nye løsning understøtter simple og overskuelige løsninger og fremgangs-

måder for så vidt angår partspræsentation og fuldmagtsmuligheder (og tilbagekal-

delse heraf) samt fritagelse fra den digitale løsning.

Med henblik på at sikre den bedst mulige overgang fra NemID til MitID vil Ældre

Sagen afslutningsvis opfordre til, at myndighederne, herunder kommunerne, udvik-

ler fx læringsmaterialer og demoer, der kan benyttes lokalt, herunder af de frivillige.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen er meget opmærksom på, at den nye infrastruktur kræver

tilvænning. Derfor rejser Digitaliseringsstyrelsen rundt i landet allerede nu for at in-

troducere de kommende løsninger. Herunder besøges alle Ældre Sagens distrikter.

Endvidere udarbejdes vejledningsmateriale særligt målrettet it-udfordrede borgere.

For borgere, der ikke er digitale, sker der ikke ændringer. Der vil fremadrettet

gælde de samme fritagelsesmuligheder som i dag.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 3 af 24

Der vil fortsat være den samme support af borgerne, som der er i dag. Endvidere

opbygges en supportfunktion i Erhvervsstyrelsen, der på mail og telefon kan

hjælpe borgerne med spørgsmål om de nye løsninger. Supporten vil have åbent alle

ugens 7 dage.

Digitaliseringsstyrelsen vurderer, at lovforslaget indeholder muligheder for, at myn-

dighederne kan fortsætte med at stille alternative løsninger til rådighed for ikke-di-

gitale borgere. Styrelsen vil i samarbejde med blandt andet kommunerne under-

støtte borgere i brugen af de nye løsninger, herunder gennem personlig betjening

og vejledning.

De nye løsninger ændrer ikke på reglerne om undtagelse, fritagelse eller partsrepræ-

sentation. Det er Digitaliseringsstyrelsens ambition, at de nye løsninger skal under-

støtte disse områder på en simpel og overskuelig måde.

3.2. Danske Handicaporganisationer (DH)

3.2.1. De ikke-digitale borgere

DH bemærker, at ved etablering af alle nye digitale løsninger, som denne, er det af-

gørende for DH, at der tages et særligt hensyn til vejledningsforpligtelsen, som

fremgår af forvaltningsloven

–

en forpligtelse, som er en grundlæggende forudsæt-

ning for borgernes retssikkerhed.

DH bemærker endvidere, at vejledningen skal være meget tydelig i forhold til kla-

geadgang. Ud over den kommunale vejledning bør systemerne være bygget op, så

man under brug af dem hele tiden oplyses tydeligt om, hvor og hvordan man får

adgang til vejledning.

DH bemærker også, at en stor gruppe borgere er fritaget for anvendelse af digitale

løsninger. Denne gruppe står udenfor og har som udgangspunkt ikke den samme

adgang til deres data, og som følge heraf har gruppen et særligt behov for, at der er

veldefinerede og tydelige veje til at få adgang til disse data.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen vurderer, at lovforslaget indeholder muligheder for at sty-

relsen kan forsætte med at stille alternative løsninger til rådighed for ikke-digitale

borgere, ligesom styrelsen i samarbejde med bl.a. kommunerne vil kunne under-

støtte borgere i brugen af de nye løsninger, herunder personlig betjening og vejled-

ning.

De nye løsninger ændrer ikke på reglerne om undtagelse, fritagelse eller partsrepræ-

sentation. Det er Digitaliseringsstyrelsens ambition, at de nye løsninger skal under-

støtte disse områder på en simpel og overskuelig måde.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 4 af 24

3.2.2. Hjemmel til bekendtgørelser og forhold til anden lovgivning

DH bemærker, at deres standpunkt grundlæggende er, at de digitale systemer skal

tilpasses borgernes juridiske og lovmæssige rettigheder og ikke omvendt. I forhold

til disse rettigheder, så fremgår af lovforslagets § 4 stk. 2, at finansministeren får

hjemmel til at fastsætte borgernes rettigheder i en bekendtgørelse.

DH mener, det er afgørende for tilliden til digitaliseringsprocessen, at lovgivning

på området indeholder meget klare og tydelige referencer til de overordnede lov-

givningsmæssige rammer, som de skal operere indenfor

–

fx persondataforordning,

forvaltningslov, retssikkerhedslov mv. Det kan gøres ved at nævne rettighederne på

lovniveau og ikke kun bekendtgørelsesniveau, og det vil tydeliggøre, at de rettighe-

der, som løbende kan fastsættes i en bekendtgørelse, altid er i overensstemmelse

med de overordnede juridiske rammer.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen vurderer, at de bemyndigelseshjemler, der er i lovforslaget,

er nødvendige af hensyn til, at lovforslagets omfang bliver af passende størrelse.

De bekendtgørelser som forventes udstedt i henhold til loven skal detailregulere på

områder som egner sig hertil, idet fx retningslinjer for udstedelse løbende skal

kunne tilpasses det aktuelle trusselsbillede.

Med hensyn til borgerens rettigheder i de nye løsninger, så overholder lovforslaget

relevant lovgivning i forhold til behandling af data m.v. Det er styrelsens vurdering,

at det ikke bør fremgå at lovforslaget, hvilken grundlæggende lovgivning og prin-

cipper der overholdes.

3.2.3. Tilgængelighed

DH bemærker, at mennesker med handicap kan have mange barrierer i forhold til

at anvende digitale løsninger. Det kan være både fysiske, kognitive eller andre sam-

mensatte udfordringer. Ud fra et lighedsprincip skal alle borgere have adgang til

løsningerne. Det skal derfor meget tydeligt fremgå, at alle løsninger og operatører

tilknyttet NemID-løsninger, skal anvende godkendte standarder for tilgængelighed,

ligesom systemerne skal være forberedt for fremtidig videreudvikling af standarder

mv.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen har ressortansvaret for lov om webtilgængelighed. Det er

styrelsens klare udgangspunkt, at alle løsninger, der udvikles og stilles til rådighed

af styrelsen, herunder MitID og NemLog-in, skal leve op til lovens krav om webtil-

gængelighed og hertil hørende standarder. Det er således lovreguleret i forvejen og

kræver ikke yderligere regulering i denne lov.

3.2.4. Repræsentationsmodel

DH bemærker, at en stor gruppe borgere med funktionsnedsættelser har udfor-

dringer med at anvende de digitale løsninger uden hjælp. Det fremgår af § 8 stk.2,

at der er mulighed for at lade sig repræsentere af andre. Omkring repræsentation,

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 5 af 24

så er det afgørende, at det kan ske nemt og smidigt, men med maksimal sikkerhed.

For nogen kan det være gennem en digital proces, hvor man giver tilladelsen til, at

en specifik person kan repræsentere borgeren, men for andre, som har behov for

hjælp / støtte til at udføre handlingen, skal der være alternative muligheder for at

give fuldmagt

–

for eksempel gennem fremmøde i borgerservice eller lignende.

Uanset, om tilladelsen til repræsentation gives digitalt eller analogt, så skal det være

meget tydeligt, at det sker i overensstemmelse med de forvaltningsretlige regler for

repræsentation, og det skal præciseres, hvordan en sådan tilladelse hurtigt kan tilba-

gekaldes.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen skal bemærke, at lovforslagets § 8, stk. 2, nr. 2 regulerer ser-

viceområdet Digital Repræsentation, som er selve den digitale løsning som vil

kunne understøtte bl.a. repræsentationsforhold. De materielle regler om repræsen-

tation hører hjemme i anden lovgivning.

Det er Digitaliseringsstyrelsens klare målsætning, at udvikle en enkel og brugerven-

lig løsning. Styrelsen vil i det arbejde også være opmærksom på, hvilke alternativer

der skal gælde for de borgere, der ikke kan bruge den givne løsning.

3.2.5. Biometriske data

DH bemærker, at det af bemærkningernes afsnit 7.3.1.1. fremgår, at der ikke på nu-

værende tidspunkt vil ske indsamling af biometriske data i MitID-løsningen, men at

det kan blive relevant på et senere tidspunkt for eksempel at indsamle tastemøn-

stre, når personen anvender MitID med henblik på at kunne afvise forsøg på mis-

brug.

DH’s

bekymring går specifikt på tastemønstre ved indtastning af adgangskode. En

del blinde og svagsynede og andre handicapgrupper er ikke altid særlig fortrolige

med et tastatur eller touch indtastning på en smarttelefon- eller tabletskærm, hvor-

for der ikke altid vil kunne opnås en ensartethed i måden, hvorpå login og autenti-

fikation af den enkelte bruger forekommer. Det betyder, at skulle man på et tids-

punkt indføre anvendelse af biometriske data, skal man sikre sig fra myndigheder-

nes side, at man har alternative måder at verificere, at en bruger af systemet er den

rigtige person. Man skal således kunne lægge andre data til grund i risikovurderin-

gen end blot de biometriske data.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen vil tage

DH’s bekymring

i betragtning, i fald man fremad-

rettet vil indføre anvendelse af biometriske data.

3.3. Institut for Menneskerettigheder

3.3.1. Tilgængelighed

Institut for Menneskerettigheder bemærker, at udkastet til lovforslag ikke forholder

sig nærmere til tilgængelighed for mennesker med handicap. Det fremgår således

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 6 af 24

ikke, om og i givet fald hvilke tilgængelighedsstander, der finder anvendelse på de

to digitale infrastrukturløsninger, MitID og NemLog-in. Ligeledes fremgår det ikke,

hvordan sådanne tilgængelighedsstandarder forventes håndhævet i praksis.

Institut for Menneskerettigheder anbefaler, at Digitaliseringsstyrelsen i bemærknin-

gerne tydeliggør, hvordan det sikres, at MitID og NemLog-in bliver tilgængelige for

mennesker med handicap, herunder ved fastsættelse af klare tilgængelighedsstan-

darder og et effektivt håndhævelsessystem.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen har ressortansvaret for lov om webtilgængelighed. Det er

styrelsens klare udgangspunkt, at alle løsninger, der udvikles og stilles til rådighed

af styrelsen, herunder MitID og NemLog-in, skal leve op til lovens krav om webtil-

gængelighed og hertil hørende standarder. Det er således lovreguleret i forvejen og

kræver ikke yderligere regulering i denne lov.

3.3.2. Databeskyttelse

Institut for Menneskerettigheder bemærker, at når der med udkastet lægges op til

en ny rammelovgivning, som vil indebære indsamling af mange personoplysninger

om størstedelen af befolkningen, anser instituttet det for væsentligt, at overholdelse

af persondataretlige principper, herunder navnlig princippet om ansvarlighed, be-

handles udførligt i bemærkningerne til den tiltænkte nye lov. Institut for Menneske-

rettigheder anbefaler, at Digitaliseringsbestyrelsen i bemærkningerne redegør for

overholdelsen af principperne i databeskyttelsesforordningens artikel 5, stk. 1 og 2.

Institut for Menneskerettigheder bemærker også, at den omfattende behandling af

personoplysninger indebærer, at der skal stilles særdeles høje krav til behandlings-

sikkerheden. Institut for Menneskerettigheder anbefaler, at det tilføjes i bemærk-

ningerne, om gældende løsninger for at sikre fornøden behandlingssikkerhed vil

blive videreført i den nye ordning, eller om der vil være behov for at udvikle og an-

vende nye teknologiske løsninger, samt i givet fald, hvilke.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen henviser til styrelsen bemærkninger til Datatilsynets be-

mærkninger i afsnit 3.15.

3.3.3. Personer under værgemål

Institut for Menneskerettigheder bemærker, at det bør sikres, at en værge fuldt ud

kan varetage personen under værgemåls anliggender og interesser i overensstem-

melse med værgemålet. Samtidig er det væsentligt, at en given løsning fremmer

støttet beslutningstagning og sikrer, at personer under værgemål ikke i unødvendig

grad bliver frataget muligheden for at træffe beslutninger og handle på egne vegne.

En løsning bør ligeledes sikre effektive beskyttelsesmekanismer, der forebygger og

beskytter mod misbrug.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 7 af 24

Institut for Menneskerettigheder anbefaler, at Digitaliseringsstyrelsen i bemærknin-

gerne uddyber, hvilke muligheder værger har for at repræsentere personer under

værgemål over for juridiske enheder, herunder i tilfælde, hvor det ikke er muligt for

personen under værgemål at afgive fuldmagt.

Institut for Menneskerettigheder anbefaler, at Digitaliseringsstyrelsen i det videre

arbejde med implementeringen af lovforslaget tilvejebringer en enkel og centralise-

ret løsning for at sikre, at personer under værgemål kan få den rette støtte til at an-

vende digitale selvbetjeningsløsninger.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen skal bemærke, at lovforslagets § 8, stk. 2, nr. 2, regulerer Di-

gital Repræsentation, som er selve den digitale løsning, som vil kunne understøtte

bl.a. repræsentationsforhold. Løsningen vil som udgangspunkt fungere på samme

måde, som den forrige løsning har fungeret. Det er Digitaliseringsstyrelsens klare

målsætning at udvikle en enkel og brugervenlig løsning.

3.4. Kommunernes Landsforening (KL)

KL bemærker, at kommunerne bliver pålagt en række administrative opgaver med

lovforslaget, og derfor ønsker at blive inddraget i den nærmere udmøntning af

disse i forbindelse med ministeriets udarbejdelse af bekendtgørelser herom. Som en

del af implementeringsarbejdet bliver det afgørende, at der udarbejdes helt praksis-

nært materiale til kommunerne. KL vurderer også, at det er nødvendigt med en

overgangsperiode fra NemID til MitID på minimum 6 måneder. Der bliver også

brug for at sikre, at alle systemer, som kan tilgås for borgere med MitID også får

forholdt sig til den ændrede aldersgrænse, idet 13-15-årige bliver nye brugere.

KL bemærker om NemLog-in, at det med lovforslaget gøres obligatorisk for kom-

munerne at bruge NemLog-in på serviceområder for login og autentifikation samt

digital repræsentation, og at der kan udstedes påbud til kommunerne om indarbej-

delse af serviceområderne. Dette kan medføre betydelige behov for systemtilretnin-

ger i kommunerne.

KL ser frem til at lovforslaget sendes i økonomisk høring, så øgede kommunaløko-

nomiske- og administrative byrder kan afdækkes.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen tager KL’s bemærkninger om de øgede økonomiske- og ad-

ministrative konsekvenser som følge af lovforslaget til efterretning

og vil tage lov-

forslagets økonomiske konsekvenser op til bilateral drøftelse med KL.

Digitaliseringsstyrelsen er enig med KL i, at der som led i implementeringen af de

nye it-løsninger og krav bør udarbejdes vejledningsmateriale til sagsbehandlerne, og

at det vil være hensigtsmæssigt at sikre, at der er opmærksomhed på nye brugere,

der skal kunne benytte MitID i selvbetjeningsløsninger. KL vil blive inddraget ved

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 8 af 24

den nærmere udmøntning af de nye lovkrav etc. Organiseringen omkring gennem-

førelse af MitID og NemLog-in-projekterne indeholder formaliserede samarbejds-

fora, af både ledelsesmæssig og faglig karakter. Det videre arbejde, herunder arbej-

det med bekendtgørelserne, gennemføres i regi af dette samarbejde.

Digitaliseringsstyrelsen bemærker til KL’s ønske om overgangsperiode, at det i lov-

forslaget er forudsat, at der er en omstillingsperioden fra de eksisterende infrastruk-

turløsninger, NemID og nuværende NemLog-in, til de nye, MitID og det nye

NemLog-in, hvor de alle understøttes samtidig. Det er ved lovforslagets fremsæt-

telse ikke endeligt besluttet, hvornår de ældre infrastrukturløsninger udfases. Ud-

fasningen er blandt andet afhængig af, hvor hurtigt privatpersoner og virksomhe-

der overgår fra de gamle løsninger til de nye løsninger.

3.5. Danske Regioner (DR)

DR støtter overordnet op om lovforslaget, da det bl.a. understøtter en høj identi-

tetssikring og sikring af alle typer af personoplysninger. DR er dog bekymrede for,

at lovforslaget vil skabe mere social ulighed, hvis der opkræves gebyrer hos privat-

personer for registrering og udstedelse af MitID, og derfor ønsker DR det præcise-

res i lovforslaget, at det skal være muligt at anvende MitID uden omkostninger, og

at evt. gebyr kun kan opkræves for ydelser, som ligger ud over den grundlæggende

funktionalitet.

DR vurderer, at de tekniske omstillinger til de kommende løsninger er væsentlig

højere end de i lovforslaget estimerede omkostninger. DR vurderer også, at der kan

ligge betydelige omkostninger for myndighederne, hvis Digitaliseringsstyrelsen an-

vender hjemlen til at meddele påbud om opfyldelse af forpligtelser til log-in og au-

tentifikation.

Endelig bemærker DR, at:



det bør fremgår af lovforslaget, hvorvidt lokalt udstedte erhvervs-eID´ere skal

spærres, hvis de er aktiveret med et MitID, der er blevet spærret.



det bør klart og tydeligt fremgå af lovteksten, i hvilke henseender en borger kan

forvente at blive notificeret via egen private e-mail postkasse og via den Digital

Post.

Digitaliseringsstyrelsens bemærkninger

Det noteres, at DR overordnet støtter op om lovforslaget. Digitaliseringsstyrelsen

tager DR’s bemærkninger om de øgede økonomiske- og administrative konsekven-

ser som følge af lovforslaget til efterretning

og vil tage lovforslagets

økonomiske

konsekvenser op til bilateral drøftelse med DR.

Digitaliseringsstyrelsen vurderer ikke, at lovforslaget vil medføre øget social ulighed

som følge af gebyropkrævning for registrering og udstedelse af MitID til privatper-

soner, da det fra idriftsættelse af MitID-løsningen er hensigten, at en privatperson

gebyrfrit kan få op til tre elektroniske identifikationsmidler, og at MitID-app’en kan

anvendes som elektronisk identifikationsmiddel uden brugerbetaling.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 9 af 24

Det bemærkes til DR’s forslag om en præcisering af lovforslagets bemærkninger

om spærring af lokalt udstedte erhvervs-eID’er,

at de nærmere regler herom vil

blive udmøntet ved udstedelse af bekendtgørelser, hvor bl.a. DR vil blive inddraget

i forbindelse med den offentlige høring mv.

Det bemærkes endelig til DR’s forslag om præcisering af lovbemærkninger

om no-

tifikationer, at lovforslaget ikke regulerer dette, da det er reguleret af reglerne om

behandling af personoplysninger, jf. lovforslagets afsnit 7.3.1.1., hvor der fx kan

indgås aftale herom ved oprettelse og udstedelse af MitID, og i lov om Digital Post

fra offentlige afsendere, hvor en persons postkasse i Digital Post ligeledes kan blive

anvendt til visse typer af notifikationer. Digitaliseringsstyrelsen vurderer på den

baggrund ikke, at der er hensigtsmæssigt at ændre lovforslagets bemærkninger

herom. Der henvises til lovforslagets afsnit 7.3.1.1.

Digitaliseringsstyrelsen bemærker, at organiseringen omkring gennemførelse af Mi-

tID og NemLog-in-projekterne indeholder formaliserede samarbejdsfora, af både

ledelsesmæssig og faglig karakter. Det videre arbejde, herunder arbejdet med be-

kendtgørelserne, gennemføres i regi af dette samarbejde.

3.6. Finans Danmark

3.6.1. Ad §§ 1, 2 og 4

Finans Danmark bemærker, at det fremgår af bemærkningerne til § 1 (side 47), at

”Privatpersoner kan anvende deres MitID

(digital identitet og et eller flere elektro-

niske identifikationsmidler) i digitale selvbetjeningsløsninger, som kræver autentifi-

kation af digitale identiteter”. Finans Danmark foreslår, at det præciseres, at der er

tale om offentlige og private selvbetjeningsløsninger. Finans Danmark foreslår, at

der i lovforslagets § 2 tilføjes en definition af en broker.

Af bemærkninger til lovforslagets § 4, stk. 2 (side 61), fremgår at, ”Det bemærkes,

at spærring alene betragtes som en forvaltningsretlig afgørelse, hvis spærringen fo-

retages af Digitaliseringsstyrelsen eller af de offentlige myndigheder, offentligretlige

organer eller juridiske enheder, som i medfør af den foreslåede § 5, stk. 1, er udpe-

get til på vegne af Digitaliseringsstyrelsen at varetage opgaver med blandt andet

forvaltningen af MitID samt opgaver i medfør af § 4, stk. 1.”

Det fremgår ikke klart af bemærkningerne, om der er andre aktører, der ville kunne

fortage en spærring, som i givet fald ikke ville blive betragtet som en forvaltnings-

retlig afgørelse, eller om der alene er tale om det tilfælde, at brugeren selv spærrer

sit MitID. I givet fald foreslår Finans Danmark, at det præciseres, at der ikke er tale

om en forvaltningsretlig afgørelse, når brugeren selv foretager spærringen.

Digitaliseringsstyrelsens bemærkninger

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 10 af 24

Det vil blive præciseret i bemærkningerne til § 1, at der er tale om offentlige og pri-

vate selvbetjeningsløsninger. Ligeledes vil der i § 2 blive indsat en definition af be-

grebet ”broker”.

Det er de i loven nævnte aktører som kan spærre et MitID. Digitaliseringsstyrelsen

skal påpege, at der ikke er tale om en forvaltningsretlig afgørelse, såfremt en bruger

selv spærrer sit MitID eller en brugerorganisation spærrer egne erhvervsidentiteter.

3.6.2. Forholdet til forvaltningsloven

Det fremgår

af lovforslagets § 20, stk. 1, at ”Forvaltningsloven finder anvendelse

på afgørelser om udstedelse, spærring og genåbning af MitID, jf. § 4, stk. 2, som

træffes af juridiske enheder, der er udpeget i medfør af § 5, stk. 1.”

Forvaltningsloven finder hovedsageligt anvendelse for den offentlige forvaltning,

som derfor har et indgående kendskab til lovens formål og principper samt erfaring

med partshøring, klagevejledning og udarbejdelse af afgørelser i overensstemmelse

med lovens regler.

Samme kendskab må ikke forventes at være til stede hos de juridiske enheder, der

kan blive udpeget til at varetage opgaver i henhold til forslagets § 5, stk. 1, herun-

der som registreringsenhed. Det er derfor afgørende for privatpersoners retsstilling,

at der udarbejdes vejledninger og standardskrivelser samt sikres uddannelse af rele-

vante medarbejdere for at understøtte de juridiske enheder, der som følge af forsla-

gets § 20, stk. 1, skal leve op til forvaltningslovens regler. Der skal samtidig sikres

en løbende vedligeholdelse af materialet. Det er Finans Danmarks ønske, at denne

understøttelse af de juridiske enheder kommer til at fremgå klart af bemærknin-

gerne til lovforslagets § 20.

Af bemærkningerne til forslagets § 20 (side 90) fremgår, at ”Det medfører blandt

andet, at afgørelser om udstedelse, spærring og genåbning af MitID, som opfylder

afgørelsesbegrebet efter forvaltningslovens § 19, skal ledsages af en begrundelse og

en klagevejledning, at reglerne om partshøring skal iagttages, og at borgere og er-

hvervsbrugere skal vejledes tilstrækkeligt om deres rettigheder mv. En afgørelse om

at spærre et MitID træffes for at sikre mod misbrug. Spærring kan derfor foretages

uden forudgående kontakt til den fysiske person eller erhvervsbrugeren.”

Forvaltningslovens § 19 omhandler partshøring, og det er Finans Danmarks opfat-

telse, at der i stedet bør henvises til forvaltningslovens kapitel 6 (§§ 22-24), der om-

handler afgørelser og begrundelser.

Det er samtidig Finans Danmarks antagelse, at en ansøgning om MitID, der imø-

dekommes, ikke skal være ledsaget af en begrundelse, da der så er tale om en afgø-

relse, der fuldt ud giver den pågældende part medhold, jf. forvaltningslovens § 22.

Dette bør i givet fald præciseres i bemærkningerne.

Af det citerede afsnit fremgår samtidig, at der kan ske spærring af MitID uden for-

udgående kontakt til den fysiske person eller erhvervsbrugeren. Finans Danmark

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 11 af 24

mener, at det bør uddybes i bemærkningerne, at den efter forvaltningsloven påkræ-

vede partshøring og klagevejledning dermed først kan finde sted efter, at der er

truffet en afgørelse om spærring, og ikke før/i forbindelse med afgørelsen, som det

ellers kræves.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen er enig med Finans Danmark i, at styrelsen har en forplig-

telse til at klæde de juridiske enheder på til at følge forvaltningslovens regler, her-

under i form af udarbejdelse og vedligeholdelse af materiale herom.

Digitaliseringsstyrelsen vil i øvrigt i bemærkningerne til lovforslagets § 20 ændre

henvisningen til forvaltningsloven, så den rettelig henviser til kapitel 6 og ikke § 19.

Digitaliseringsstyrelsen mener ikke, at det bør fremgå af lovens bemærkninger, at

en begunstigende forvaltningsakt, jf. forvaltningslovens § 22, medfører at afgørel-

sen ikke skal begrundes. Derimod vil styrelsen tilføje til bemærkningerne, at parts-

høring og klagevejledning vil finde sted efter spærring, i fald dette er sket uden for-

udgående kontakt.

3.7. Social- og indenrigsministeriet

Social- og indenrigsministeriet påpeger,

at ”kommunale borgerservicecentre” i lov-

forslagets § 5, stk. 2, efter ministeriets opfattelse skal ændres

til ”Kommunalbesty-

relsen”.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen

har noteret sig, at anførelsen af “kommunalbestyrelsen” ret-

teligt bør ændres til “kommunale borgerservicecentre” som foreslået af Social-

Indenrigsministeriet.

Bemærkningerne giver anledning til ændringer i lovforslagets § 5, stk. 2, samt i be-

mærkningerne hertil.

3.8. Sundheds- og Ældreministeriet, Sundhedsdatastyrelsen

Sundheds- og Ældreministeriet anfører, at det er uklart, hvad der helt præcist me-

nes med “selvbetjeningsløsninger” i § 5, stk. 1.

Sundheds- og Ældreministeriet har påpeget, at der ved udformningen af bekendt-

gørelser bør tages stilling til, hvorvidt Digitaliseringsstyrelsen fører tilsyn med sig

selv.

Sundheds- og Ældreministeriet spørger i høringssvaret, om det med de nye MitID-

løsning og NemLog-in ikke længere er muligt at indgå aftaler om frikøb af områ-

der.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 12 af 24

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen

bemærker, at “selvbetjeningsløsninger” som anført i bl.a. §

5, stk. 1 skal forstås i overensstemmelse med definitionen af “Digitale

selvbetje-

ningsløsninger”, jf. § 2 nr. 12 og de tilhørende bemærkninger

hertil. Digitaliserings-

styrelsen skal i den sammenhæng påpege, at definitionen i bestemmelsens nr. 12 er

bredt formuleret derved; at en digital selvbetjeningsløsning defineres som et it-sy-

stem, som kan tilgås af privatpersoner eller erhvervsbrugere med digitale identiteter

efter at være blevet autentificeret. En digital selvbetjeningsløsning udstiller digitale

services, som kan tilgås af privatpersoner eller erhvervsbrugere. Digitaliseringssty-

relsen skal yderligere bemærke, at en offentlig myndighed eller et offentligretlig or-

gan alene skal anvende serviceområdet Login og autentifikation samt MitID-løs-

ningen, hvis der er behov for sikker autentifikation, som defineret i § 2, nr. 5. Dette

indebærer, at hvis fx en offentlig myndighed har en digital selvbetjeningsløsning,

hvor der ikke kræves sikker autentifikation, da kan myndigheden vælge andre au-

tentifikationsløsninger, som adgang til deres digitale selvbetjeningsløsninger.

Digitaliseringsstyrelsen skal bemærke, at ved det kommende arbejde med udarbej-

delse af bekendtgørelser vil styrelsen tage nærmere stilling til at få fastlagt ram-

merne for tilsynet. Sundheds- og Ældreministeriets betragtninger vil naturligvis

indgå i disse overvejelser.

Digitaliseringsstyrelsen bemærker, at betalingsmodellen for de kommende løsnin-

ger adskiller sig fra NemID. Termen ”frikøb” giver derfor ikke umiddelbart samme

mening i fremtiden.

Digitaliseringsstyrelsen påpeger endvidere, at det ikke vil være muligt at indgå afta-

ler om frikøb af områder, såfremt en offentlig myndighed eller et offentligretlig or-

gan har pligt til at anskaffe sig løsningerne fra Digitaliseringsstyrelsen, idet dette vil

være omfattet af central finansiering, men at der dog stadig er mulighed for indkøb,

hvor myndighederne ikke er omfattet af anskaffelsespligten, i de øvrige tilfælde.

Det bemærkes at § 15 om betaling for anvendelse af løsningerne, vil regulere prisen

for et evt. indkøb.

3.9. Forsvarsministeriet

Forsvarsministeriet har i høringssvaret efterspurgt en definition af begreberne

”broker” og ”risikodata”.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen har på baggrund af høringssvaret besluttet at indarbejde en

definition af begrebet ”broker” i lovforslagets § 2. I forhold til begrebet ”risiko-

data”

henvises til beskrivelsen af dette i de almindelige bemærkninger og i bemærk-

ningerne til § 13.

3.10. Børne- og undervisningsministeriet, Styrelsen for it og læring

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 13 af 24

Styrelsen for it og læring har anført at de med loven anser betalingspligten for af-

løftet for offentlige myndigheder og offentligretlige organer. Styrelsen for it og læ-

ring har videre anført, at tilkoblingen af UniLogin som broker til NemLog-in opfyl-

der kravet om anvendelse af NemLog-in og MitID, for så vidt angår offentlige

myndigheder og offentligretlige organer på Børne- og Undervisningsministeriets

område.

Digitaliseringsstyrelsens bemærkninger

Indledningsvis skal Digitaliseringsstyrelsen understrege, at loven ikke omhandler

afløftning af betalingspligt, men afløftning af udbudspligt. Ligeledes skal Digitalise-

ringsstyrelsen bemærke, at betalingsstrukturen for anvendelse og tilrådighedsstil-

lelse af løsningerne skal iagttages særskilt, jf. § 16.

Digitaliseringsstyrelsen skal understrege, at forpligtelsen til at tilrådighedsstille ud-

valgte serviceområder i NemLog-in, jf. lovforslagets § 11, ikke udelukker at en of-

fentlig myndighed eller et offentligretligt organ kan vælge at tilkoble sig NemLog-in

som broker. Det vil derfor være muligt at indgå i en brokerstruktur og derved fore-

tage en tilkobling til NemLog-in, såfremt gældende regler og standarder for fødera-

tionen opfyldes, således at tjenesteudbydere kan tilsluttes den føderede broker.

Dette vil ikke ændre betalingspligten.

Det bemærkes, at der i loven er en klar sondring mellem rollen som brugerorgani-

sation og tjenesteudbyderollen. Der henvises til definitionerne i §§ 2, nr. 15 (for tje-

nesteudbydere) og 16 (for brugerorganisationer). Offentlige myndigheder og of-

fentligretlige organer kan vælge at blive brugerorganisation i serviceområdet Er-

hvervsadministration i NemLog-in, mens de skal tilrådighedsstille serviceområdet

selvbetjeningsløsning udfører en myndighedsopgave, hvortil der kræves sikker au-

tentifikation.

3.11. Dansk Industri (DI)

DI har anført, at de forventer, at der er afsat tilstrækkeligt med ressourcer til sup-

port til virksomhedernes ibrugtagning og anvendelse af de nye løsninger.

Derudover foreslår DI, at der nedsættes et advisory board til at sikre bredere ud-

viklingsfokus for lovens formål i et formelt bredt samarbejde med brancheforenin-

gerne.

DI har om behandling af persondata fremhævet, at det specifikt bør fremgå af lov-

forslaget, at behandlingen af risikodata skal ske inden for rammerne af Databeskyt-

telsesforordningen igennem hele brugerrejsen på tværs af både den offentlige sek-

tor og den private sektor. DI har endvidere anført, at principperne i Databeskyttel-

sesforordningen bør være bestemmende frem for referencer til Databeskyttelseslo-

vens mindre privatlivsbeskyttende hjemler, når der er tale om behandling af per-

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 14 af 24

sondata på tværs af den offentlige sektor og den private sektor. DI foreslår i for-

længelse heraf, at Databeskyttelsesforordningens regler følges eller at der alternativt

indhentes en ny lovhjemmel.

DI vurderer, at omstillingsomkostninger i lovforslaget er estimeret forkert.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen er opmærksom på, at der er et behov for øget support til

virksomheders ibrugtagning og anvendelse af de nye løsninger. Support til er-

hvervsdrivende indgår som et af hovedfokusområderne for migreringsplanerne til

de nye løsninger.

Digitaliseringsstyrelsen har noteret sig forslaget om nedsættelse af Advisory Board,

det skal dog bemærkes, at der allerede er etableret et interessentforum bestående af

repræsentanter fra en række interesse- og brancheorganisationer. Interessentforum-

mets formål er at tage imod input fra og kommunikere med slutbruger- og repræ-

sentanter for tjenesteudbydere. Forummet vil primært blive anvendt i forhold til at

sikre, at MitID-løsningen og NemLogin bliver så attraktiv som muligt hos tjeneste-

udbydere og så anvendelig som muligt hos slutbrugerne.

Digitaliseringsstyrelsen skal med hensyn til DI’s bemærkninger til overholdelse af

databeskyttelse bemærke, at løsningerne lever op til de gældende regler om databe-

skyttelse.

Digitaliseringsstyrelsen har noteret sig DI’s bemærkninger til lovforslagets økono-

miske konsekvenser for erhvervslivet og bemærker, at der ved de af lovforslaget

omhandlede it-løsningers gevinstrealisering foretages en opdateret vurdering af de-

res administrative konsekvenser. Det kan ske i forbindelse med, at it-løsningernes

gevinstrealiseringsrapporter bliver udarbejdet, hvilket efter gældende tidsplaner for-

ventes at være

i 2022.

3.12. ATP

ATP efterspørger i høringssvaret en uddybning af, hvad der ligger i, at tjenesteud-

byderen, som anvender serviceområdet Digital Repræsentation, overlader den

praktiske håndtering af oprettelse og tilbagekaldelse af repræsentationsforholdet i

serviceområdet Digital repræsentation til Digitaliseringsstyrelsen, når det er repræ-

sentanten, der anmoder om oprettelse af repræsentationsforhold, og hvad der lig-

ger i, at den praktiske håndtering af oprettelse og tilbagekaldelse af repræsentati-

onsforholdet varetages af borgerservice eller tjenesteudbyderen selv, når anmod-

ningen om oprettelse af et repræsentationsforhold afgives af fuldmagtsgiver.

ATP anmoder desuden om en præcisering af, i hvilket omfang en identitetsgarant,

der selv udsteder egne loginmidler/identifikationsmidler til brug for oprettelse og

administration af egne medarbejdere/erhvervsbrugere i eget sikkerhedssystem, som

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 15 af 24

synkroniseres med NemLog-in, kan søge medarbejderens/erhvervsbrugerens iden-

titet bekræftet ved brug af medarbejderens/erhvervsbrugerens private MitID, her-

under fx ved genudstedelse.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen skal til anmodningen om uddybelse vedr. serviceområdet

Digital repræsentation anføre følgende:

Den tekniske tilslutning for et fuldmagtsforhold sker automatisk i brugerflowet,

når det er fuldmagtsafgiveren, som afgiver fuldmagten og manuelt, når det er fuld-

magtsrepræsentationen, der anmoder om at få fuldmagt. Det er altså alene den tek-

niske tilslutning, som enten sker automatisk eller manuelt hos Digitaliseringsstyrel-

sen. Det er de samme to brugerflow, som kendes fra løsningen i dag (NemLog-

in2). En tjenesteudbyder vil altid selv skulle forestå den forvaltningsretlige vurde-

ring af et oprettet fuldmagtsforhold, og vil dermed også være i stand til at foretage

oprettelse og tilbagekaldelse af fuldmagtsforhold.

Digitaliseringsstyrelsen skal til ønsket om præciseringen ift. identitetsgaranter, der

selv udsteder egne loginmidler/identifikationsmidler anføre, at der i loven vil være

hjemmel til, at erhvervsbrugere vil kunne anvende deres MitID-identifikationsmid-

del udstedt til privat brug, til identitetssikring i forbindelse med oprettelse af en el-

ler flere erhvervsidentiteter.

3.13. Finanstilsynet

3.13.1. Finansielle virksomheders adgang til data

Finanstilsynet bemærker, at finansielle virksomheder, herunder særligt pengeinsti-

tutter, har en række forpligtelser i henhold til den finansielle lovgivning, som kan

indebære et behov for adgang til risikodata, afhængigt af hvad disse konkret inde-

holder. Det kan eksempelvis være i relation til finansielle virksomhederes forpligtel-

ser til at foretage kundekendskabsprocedurer og transaktionsovervågning i henhold

til hvidvaskloven. Det kan også være i relation til reglerne i lov om betalinger om

afvisning af uautoriserede betalinger og anvendelse af stærk kundeautentifikation.

Finanstilsynet bemærker i forlængelse heraf, at en række af de aktiviteter, som en

broker udfører for en finansiel virksomhed, sandsynligvis vil være at anse for out-

sourcing, jf. lov om finansiel virksomhed, hvorfor en finansiel virksomhed kan

have behov for at få adgang til data og processer, der udføres af en broker. Endelig

er det Finanstilsynets forståelse, at enkelte finansielle virksomheder både vil fun-

gere som broker og tjenesteudbyder i samme juridiske enhed.

Finanstilsynet opfordrer derfor Digitaliseringsstyrelsen til overveje, om lovforslaget

giver finansielle virksomheder, herunder særligt pengeinstitutter, den nødvendige

adgang til data, der er relevant for de finansielle virksomheders overholdelse af an-

den lovgivning.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 16 af 24

Digitaliseringsstyrelsens bemærkninger

Det bemærkes, at tilrådighedsstillelsen af MitID sker gennem et partnerskab mel-

lem FRI, der er ejet af Finans Danmark, og Digitaliseringsstyrelsen. Pengeinstitut-

terne har således deltaget i kravsætningen til den tekniske løsning, herunder i krav-

sætningen til, hvilke risikodata, der skal indsamles og videregives.

3.13.2. Persondataforordningen

Finanstilsynet bemærker, at § 14 i lovforslaget henviser til forbuddet mod at be-

handle særlige kategorier af personoplysninger i artikel 9, stk. 1, i persondataforord-

ningen, hvorimod det er artikel 9, stk. 2, i persondataforordningen, der fastsætter

undtagelse fra forbuddet i artikel 9, stk. 1.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen bemærker, at bestemmelsen og de specielle bemærkninger

hertil er blevet tilpasset.

3.13.3. Tavshedspligt

Finanstilsynet bemærker, at § 19 fastsætter en særlig tavshedspligt, der medfører, at

myndigheder og myndighedernes medarbejdere, der udøver tilsyn i medfør af § 18,

iagttager ubetinget tavshed over for uvedkommende med hensyn til oplysninger

om den tekniske og sikkerhedsmæssige indretning samt processer for oprethol-

delse, vedligeholdelse og drift af sikkerhed i MitID-løsningen og NemLog-in. Det

er uklart, hvad ”ubetinget tavshed over for uvedkommende” betyder, særligt idet §

152 i straffeloven omhandler uberettiget videregivelse eller udnyttelse af fortrolige

oplysninger. Det er Finanstilsynets opfattelse, at det kan overvejes, om tavsheds-

pligten som formuleret er tilstrækkelig bred.

Finanstilsynet skal gøre opmærksom på, at Finanstilsynet også er omfattet af en

skærpet tavshedspligt i § 354 i lov om finansiel virksomhed. Finanstilsynets tavs-

hedspligt indebærer dog, at der under særlige og indskrænkede omstændigheder

kan videregives fortrolige oplysninger til eksempelvis andre relevante myndigheder

og vedkommende minister som led i dennes overordnede tilsyn. I forlængelse af

Finanstilsynets bemærkning vedrørende § 18 i lovforslaget vil Finanstilsynet opfor-

dre Digitaliseringsstyrelsen til at overveje, om forslaget til § 19 giver tilstrækkelig

mulighed for at dele oplysninger med andre relevante myndigheder.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen bemærker, at bestemmelsen og de specielle bemærkninger

hertil er blevet tilpasset.

3.14. Konkurrence- og Forbrugerstyrelsen (KFST)

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 17 af 24

KFST bemærker, at deres umiddelbare vurdering er, at lovforslaget kan medføre

mulige konkurrencebegrænsninger. KFST kan dog ikke på det foreliggende grund-

lag vurdere dette. Dette skyldes navnlig, at broker kontrakten, som brokerne skal

indgå med leverandøren af MitID, ikke fremgår af det fremsendte materiale.

Det er KFST’s

foreløbige vurdering, at MitID-projektet overordnet set kan på-

virke: (i) konkurrencen mellem tjenesteudbydere, som fremadrettet vil anvende

brokere til at få adgang til MitID-løsningen

og (ii) konkurrencen mellem ”brokere”.

3.14.1. konkurrence mellem tjenesteudbydere

I konkurrenceretligt perspektiv er det vigtigt at sikre, at gebyret for at anvende bro-

kerløsningerne (”broker-gebyret”) ikke begrænser konkurrencen

mellem tjeneste-

udbyderne. Denne overvejelse kan være særligt relevant, hvis selvstændige tjeneste-

udbydere skal betale et højere gebyr end konkurrerende tjenesteudbydere, der er

ejet af en bank, som indgår i partnerskabet, jf.

KFST’s

præhøringssvar og mødere-

ferat imellem Digitaliseringsstyrelsen og KFST af den 15. maj 2020. Digitaliserings-

styrelsen har i e-mail til KFST dateret den

23. juni 2020 oplyst, at ”En autentifika-

tion til en TU [tjenesteudbyder], der ikke er repræsenteret af Partnerskabet bag Mi-

tID bliver pålagt et udviklingsbidrag pr. transaktion, svarende til ikke-repræsente-

rede TU’ers relative andel af den udviklingspris, som Partnerskabet har afholdt.

Dette udviklingsbidrag opkræves i 4 år medmindre den relative andel er tilbagebe-

talt inden forløbet af de 4 år.”

Efter en konkret vurdering vil et sådant højere gebyr kunne have en konkurrence-

begrænsende virkning, f.eks. hvis gebyret bidrager til en væsentlig stigning i margi-

nalomkostning for de selvstændige tjenesteudbydere i forhold tjenesteudbydere,

der er repræsenteret af Partnerskabet til MitID. Lovforslaget ses ikke at indeholde

bemærkninger herom, bortset fra at vederlaget skal være ”ikke-diskriminerende” og

”sikre, at der ikke sker konkurrencefordrejning”, jf. de specielle bemærkninger til

forslagets § 15. I den forbindelse henleder, vi også til

KFST’s

bemærkninger i for-

bindelse med Digitaliseringsstyrelsen og

KFST’s

møder den 27. september 2019 og

15. maj 2020.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen noterer

sig KFST’s bemærkning. Styrelsen vil fremadrettet

bestræbe sig på, at dette område ikke må udvikle sig til at blive konkurrenceforvri-

dende.

3.14.2. Konkurrencen mellem brokere

KFST forstår det fremsendte materiale således, at leverandøren af udvikling, drift,

vedligeholdelse og forvaltning af MitID-løsningen

(pt. Nets), også kan være ”bro-

ker” for private tjenesteudbydere (og dermed være vertikalt integreret). Det er lige-

ledes KFST’s umiddelbare forståelse, at der alene kan være én ”broker” for så vidt

angår

udførelsen af myndighedsopgaver, samt at denne broker er ”NemLog-in”,

der i de kommende minimum 10 år vil være driftet, udviklet, vedligeholdt og for-

valtet af Nets. KFST forstår, at dette allerede er fastlagt. KFST forstår endvidere

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 18 af 24

forslaget således, at det vil være Nets, der administrer tilslutningen af brokere til

løsningen.

I den grad en vertikalt integreret virksomhed har markedsmagt i forhold til identi-

tets- og autentifikationsløsningen (MitID), kan det potentielt give virksomheden

evne og incitament

til begrænse konkurrencen i forhold til ”broker”-leddet

eller tje-

nesteydelsesleddet. Det er derfor væsentligt at sikre, at vilkårene for at blive god-

kendt som ”broker”, eller for at agere som broker i praksis, ikke kan favorisere le-

verandøren.

En leverandør, der også agerer som broker, ville muligvis kunne anvende sin mar-

kedsmagt som leverandør til løsningen, for at begrænse konkurrencen på de verti-

kalt forbundne markeder til fordel for sig selv. Dette kunne f.eks. manifestere sig i

en forringet service for brokere, og tjenesteudbydere tilknyttet andre brokere end

leverandøren.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen bemærker, at der indgås en aftale mellem den enkelte bro-

ker og leverandøren om vilkår for tilslutning og anvendelse. Disse vilkår fastsættes

af Partnerskabet mellem FR1 og Digitaliseringsstyrelsen - og kræver enighed - og

blev i store træk allerede fastslagt i forbindelse med udbuddet af MitID af hensyn

til transparens for de potentielle tilbudsgivere om, hvorledes reguleringen af bro-

kere ville se ud - og i forbindelse hermed den kommende leverandørs rettigheder

og pligter over for brokerne. Det bemærkes, at broker vilkårene ikke kan forhand-

les individuelt mellem en broker og leverandøren. For at sikre mod forfordeling af

egen broker, fremgår det endvidere af MitID kontrakten, at en leverandør, der selv

ønsker at agere broker ikke er afskåret herfra, men skal iagttage særlige forholds-

regler for at hindre forfordeling. Dette gælder bl.a. krav om samtidig tilrådigheds-

stillelse af viden, herunder tekniske specifikationer til brug for opkobling til MitID-

løsningen. Det bemærkes endvidere, at kun Partnerskabet kan ændre vilkår for bro-

kerne, men at sådanne vilkårsændringer vil gælde for alle brokere, ligesom ændrin-

ger skal kunne rummes i medfør af den indgåede kontrakt med leverandøren af Mi-

tID.

3.15. Datatilsynet

3.15.1. Det dobbelte frivillighedsprincip

Datatilsynet har noteret sig, at Digitaliseringsstyrelsen med nærværende udkast til

lovforslag nu søger at etablere en lovhjemmel til den løsning, som tilsynet tidligere

har udtalt sig om vedrørende muligheden for, at en borger kan anvende borgerens

eget elektroniske identifikationsmiddel til at handle i erhvervsøjemed.

På baggrund af lovforslaget står det ikke Datatilsynet klart, hvorvidt de samme for-

hold, som tilsynet udtrykte bekymring over i 2012 og igen i 2017 stadigvæk gør sig

gældende i forhold til den beskrevne løsning.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 19 af 24

Datatilsynet har derfor ikke hermed taget stilling til, om der

–

efter at sagen senest i

2017 blev behandlet af Datarådet

–

er sket en udvikling, der betyder, at sagen på

nuværende tidspunkt vil falde anderledes ud, hvis sagen blev forelagt for Datarådet

igen, herunder hvorvidt den faktiske implementering af løsningen, som den er be-

skrevet i udkastet til lovforslag, nu sker med henblik på at efterleve krav, som f.eks.

er fastsat i eIDAS-forordningen og/eller NSIS-standarden.

Digitaliseringsstyrelsens bemærkninger

Det er Digitaliseringsstyrelsens opfattelse, at den kommende infrastruktur er desig-

net således, at den opfylder krav og definitioner i hhv. eIDAS-forordningen og

NSIS-standarden for oprettelse og anvendelse af erhvervsidentiteter. Brugerorgani-

sationer vil have fuld kontrol over deres erhvervsidentiteter, mens brugerne selv

kan vælge, hvorvidt de ønsker at anvende private MitID-identifikationsmidler til at

autentificere deres erhvervsidentitet. Samtidig imødekommer den kommende er-

hvervsløsning behov for brugervenlighed, effektivitet, fleksibilitet, sikkerhed og

samfundsøkonomiske hensyn, som har været efterspurgt.

Det er således hensigten med lovforslaget at etablere hjemmel til en løsning, hvor

en erhvervsbruger kan vælge at anvende sit private MitID-identifikationsmiddel til

at autentificere en erhvervsidentitet under forudsætning af efterlevelse af det dob-

belte frivillighedsprincip.

Digitaliseringsstyrelsen bemærker, at der i bemærkningerne til lovforslaget i pkt.

2.3.3 beskrives

”det dobbelte frivilligheds princip”. Dette princip betyder,

at såvel

medarbejder som brugerorganisation skal være enige om, at en medarbejder kan og

må anvende sit private MitID-identifikationsmiddel til at autentificere en erhvervs-

identitet knyttet til den pågældende virksomhed. Medarbejder bruges her synonymt

med en person, der er tilknyttet en brugerorganisation, uden at der forliger et

egentligt ansættelsesforhold. Det bemærkes, at der alene er tale om brug af det pri-

vate MitID

identifikationsmiddel

ikke

den private MitID

identitet.

Det kan ikke fore-

komme, at en medarbejder logger ind med sin private MitID

identitet

som medar-

bejder i brugerorganisationen. En medarbejders brug af sit private identifikations-

middel er alene mulig, såfremt brugerorganisationen har oprettet en erhvervsidenti-

tet til medarbejderen i serviceområdet Erhvervsadministration i NemLog-in. Med-

arbejderen kan i givet fald

–

forudsat fælles aftale herom - anvende sit private Mi-

tID-identifikationsmiddel til at autentificere sin erhvervsidentitet i forbindelse med

bejderens mulighed for at agere på brugerorganisationens vegne, kan brugerorgani-

sationen spærre erhvervsidentiteten - men ikke MitID-identifikationsmidlet. Der-

med kan medarbejderen stadig foretage log-in med sit private MitID i private sam-

menhænge, og brugerorganisationen har fuld kontrol over egne identiteter. En

medarbejder, der ikke længere ønsker at benytte sit private MitID-identifikations-

middel ved login med sin erhvervsidentitet, kan anmode om et dedikeret MitID-

identifikationsmiddel, der så kun kan anvendes i erhvervsmæssig sammenhæng.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 20 af 24

For at sikre en udtrykkelig hjemmel er der nu indføjet to yderligere stykker i

lovforslagets § 9, idet der tillige vurderes behov for en tydelig hjemmel til, at en

medarbejder ved oprettelse som erhvervsbruger kan anvende sit private MitID til

identitetssikring i forbindelse med oprettelsen.

3.15.2. Udnyttelse af det nationale råderum

Datatilsynet bemærker, at med lovforslaget foreslås indført en række nye behand-

lingshjemler til behandling af personoplysninger.

Det fremgår bl.a. i udkastet til lovforslaget, at der i § 13 indføres en hjemmel til, at

Digitaliseringsstyrelsen kan videregive autentifikationssvar og risikodata

–

indehol-

dende personoplysninger

–

vedrørende registrerede, der anvender MitID, til en

”broker” (et ”bindeled”), der er tilsluttet MitID-løsningen,

ligesom det fremgår af

bemærkningerne, at NemLog-in i medfør af § 8 i udkastet til lovforslag får en selv-

stændig behandlingshjemmel, der rækker videre end den foreslåede § 13.

Endvidere fremgår det af udkastet til lovforslag, at der med forslagets § 14 gives

Digitaliseringsstyrelsen hjemmel til at behandle personoplysninger omfattet af data-

beskyttelsesforordningens artikel 9, stk. 1, i forbindelse med validering af digitale

signaturer i valideringstjenesten i serviceområdet Digital signering. Det fremgår af

de specielle bemærkninger til § 14, at der efter Digitaliseringsstyrelsens vurdering

potentielt kan behandles alle former for personoplysninger i valideringstjenesten,

som, i forbindelse med en verifikation af dokumenter underskrevet med digital sig-

natur, kortvarigt behandler oplysningerne i de dokumenter, der bliver underskrevet.

Da det alene fremgår af udkastet til lovforslaget, at der indføres nationale behand-

lingshjemler til behandling af personoplysninger, uden, at der i selve lovforslaget

eller bemærkningerne hertil henvises til bestemmelser i databeskyttelsesforordnin-

gen eller databeskyttelsesloven, står det ikke Datatilsynet klart, om der tilsigtes en

egentlig fravigelse af databeskyttelsesforordningens og databeskyttelseslovens be-

stemmelser om behandling af personoplysninger.

Datatilsynet bemærker i den forbindelse, at national lovgivning skal indrettes i

overensstemmelse med databeskyttelsesforordningens bestemmelser, med mindre

der efter forordningen kan eller skal fastsættes nationale regler. Der er således be-

stemmelser i forordningen, der fastsætter, at medlemsstaterne inden for nærmere

bestemte områder enten kan eller skal fastsætte nationale regler.

Det fremgår for så vidt angår behandlingshjemlen i databeskyttelsesforordningens

artikel 6, stk. 2 og 3, om almindelige oplysninger, at medlemsstaterne er bemyndi-

get til at fastsætte mere specifikke bestemmelser inden for rammerne af forordnin-

gens harmonisering.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 21 af 24

For så vidt angår fastsættelse af nationale regler om behandling af personoplysnin-

ger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan regler bl.a. fast-

sættes på baggrund af databeskyttelseslovens § 7, stk. 5.

Det er Datatilsynets vurdering, at det er en forudsætning for lovforslagets udform-

ning, at Digitaliseringsstyrelsen forholder sig til, om den omhandlede lovændring

kan indeholdes inden for det nationale råderum, og at dette klart fremgår af lov-

forslagets bemærkninger.

Digitaliseringsstyrelsen bør i den forbindelse

–

for så vidt angår bl.a. § 8 og § 13 i

udkastet til lovforslag

– foretage en vurdering i henhold til ”tjeklisten” om udarbej-

delse af nye nationale regler for behandling af ikke-følsomme personoplysninger,

som fremgår af side 168f i betænkning nr. 1565 om databeskyttelsesforordningen

–

de retlige rammer for dansk lovgivning.

Med hensyn til § 14 i udkastet til lovforslag bør Digitaliseringsstyrelsen ligeledes

præcisere, hvis det med bestemmelsen er styrelsens hensigt at udnytte det nationale

råderum for fastsættelse af særregler, med henvisning til de relevante bestemmelser

i databeskyttelsesforordningen og/eller databeskyttelsesloven, hvoraf det fremgår,

at særreglen kan indføres.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen bemærker, at det ikke er hensigten med de foreslåede be-

stemmelser, at fravige databeskyttelsesreglerne. På baggrund af tilsynets bemærk-

ninger er de relevante behandlingshjemler i henholdsvis databeskyttelsesforordnin-

gen og databeskyttelsesloven blevet tydeliggjort.

Digitaliseringsstyrelsen har overvejet behovet for den foreslåede § 13, herunder ved

inddragelse af ”tjeklisten”.

Det er vurderingen, at bestemmelsens indhold kan rum-

mes inden for den myndighedsudøvelse, der følger af lovforslaget. Henset til at

lovforslaget i et vist omfang er præget af den tekniske virkemåde for infrastruktur-

løsningerne, har styrelsen vurderet, at det er relevant af hensyn til gennemsigtighed

bl.a. for de registrerede, at den centrale løsnings videregivelse af personoplysninger

fremgår tydeligt. Det er endvidere vurderingen, at bestemmelsen kan rummes inde

for det nationale råderum.

§ 14 er justeret ligesom de tilhørende specielle lovbemærkninger, idet det er hensig-

ten at udnytte det nationale råderum.

3.15.3. Risikodata

Datatilsynet har noteret sig, at der med udkastet til lovforslag etableres en løsning,

hvorefter personoplysninger i nogle tilfælde behandles af såkaldte ”brokere”, der

fungerer som bindeled mellem tjenesteudbydere og MitID-løsningen.

Det fremgår af de specielle bemærkninger til § 13 i udkastet til lovforslag, at Digita-

liseringsstyrelsen kan videregive risikodata

–

der bl.a. er oplysninger om lokation,

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 22 af 24

IP nummer og identitet

–

vedrørende en bruger til en broker, hvis formål er at vur-

dere og afgøre, om risikodata af sikkerhedsmæssige årsager skal umuliggøre bruge-

rens login på en given tjeneste.

Det står i den forbindelse ikke Datatilsynet klart, om samme formål kunne opnås

ved, at Digitaliseringsstyrelsen videregav færre oplysninger til brokeren, f.eks. en ri-

sikoscore beregnet på baggrund af den risikodata, som styrelsen behandler. Datatil-

synet skal derfor opfordre til, at Digitaliseringsstyrelsen forholder sig til og eventu-

elt i forarbejderne til loven præciserer, at det er nødvendigt, at samtlige risikodata

videregives til brokeren i overensstemmelse med proportionalitetsprincippet i data-

beskyttelsesforordningens artikel 5, og at formålet ikke kan opnås ved at videregive

færre oplysninger.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen bemærker, at det er nødvendigt at videregive samtlige risiko

data. Ministeriets overvejelser i så henseende fremgår nu af de almindelige bemærk-

ninger afsnit 7.1.3.

3.15.4. Brokeres dokumentation af hjemmel til anden behandling af personoplysninger

Datatilsynet bemærker, at det fremgår bl.a. af lovforslagets § 13, at Digitaliserings-

styrelsen kan videregive autentifikationssvar og risikodata vedrørende den konkrete

og enkelte transaktion til en offentlig myndighed, et offentligretligt organ eller en

juridisk enhed i rollen som broker, der er tilsluttet MitID- løsningen eller NemLog-

in.

Det fremgår af de specielle bemærkninger til § 13 i udkastet til lovforslag, at modta-

gerne af de pågældende oplysninger (brokere) skal indgå en aftale med Nets DanID

A/S på vegne af partnerskabet med bl.a. Digitaliseringsstyrelsen. Aftalen regulerer

de vilkår, hvorunder en broker kan blive og vedblive med at være broker, herunder

hvordan en broker må behandle de risikodata, som brokeren modtager fra Digitali-

seringsstyrelsen.

Af de specielle bemærkninger fremgår det endvidere, at en broker ifølge aftalen bli-

ver dataansvarlig for de risikodata, som brokeren modtager fra Digitaliseringsstyrel-

sen, og at brokeren kun må behandle risikodata som anført i den foreslåede be-

stemmelse i § 13, hvoraf det bl.a. er anført, at brokere kun må behandle oplysnin-

gerne til at foretage automatiske afgørelser om log-in, eller videregive oplysnin-

gerne til en tjenesteudbyder.

Endelig fremgår det, at enhver behandling ud over den behandling, som er anført i

bestemmelsen, kræver, at brokeren har en selvstændig hjemmel til behandlingen og

over for Digitaliseringsstyrelsen har dokumenteret denne hjemmel.

For så vidt angår det forhold, at Digitaliseringsstyrelsen kan stille krav til, at bro-

kere

–

som selvstændige dataansvarlige

–

skal dokumentere en eventuel anden be-

handlingshjemmel over for styrelsen, finder Datatilsynet, at et sådant krav ikke kan

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 23 af 24

udledes af de databeskyttelsesretlige regler. Datatilsynet skal i den forbindelse hen-

lede opmærksomheden på, at ansvaret for, at en behandling sker i overensstem-

melse med de databeskyttelsesretlige regler som udgangspunkt påhviler den dataan-

svarlige, og der ikke gælder et påvisningskrav over for andre (tidligere) dataansvar-

lige. Det står ikke klart for Datatilsynet, hvad der ligger til grund for at fastlægge et

sådant påvisningskrav i udkastet til lovforslag.

Datatilsynet skal i den forbindelse bemærke, at det er tilsynet, som i overensstem-

melse med databeskyttelsesforordningens artikel VI og VII fører tilsyn med enhver

behandling, der omfattes af databeskyttelsesloven, databeskyttelsesforordningen og

anden lovgivning, som ligger inden for rammerne for særregler om behandling af

personoplysninger, jf. databeskyttelseslovens § 27. Det vil derfor være Datatilsynet,

der skal føre tilsyn med, om brokeres behandling af personoplysninger sker i over-

ensstemmelse med de databeskyttelsesretlige regler.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen bemærker, at det ikke har været hensigten med bestemmel-

sen eller de specielle bemærkninger hertil at søge at fravige gældende regler om til-

synets virke. Der er derfor sket justeringer i de specielle bemærkninger, således at

der ikke længere fremgår et påvisningskrav.

3.15.5. Oplysningspligt

Datatilsynet bemærker, at i medfør af databeskyttelsesforordningens artikel 13 og

artikel 14 gælder der som udgangspunkt en oplysningspligt for dataansvarlige, der

behandler personoplysninger

I udkastet til lovforslaget er det fastsat, at flere forskellige aktører er dataansvarlige

for de oplysninger, der afstedkommer at en brugers anvendelse af løsningerne Mi-

tID og NemLog-in

–

herunder Digitaliseringsstyrelsen, tjenesteudbydere og bro-

kere

–

afhængig af, hvilket led i processen, brugeren er nået til. Det fremgår også

–

bl.a. af de specielle bemærkninger til § 13 i udkastet til lovforslag

–

at der kan være

behov for at ændre eller tilføje risikodata, der kan indsamles og videregives i for-

bindelse med brugen af løsningen.

Datatilsynet skal i den forbindelse henstille til, at det i loven eller forarbejderne her-

til tydeliggøres, hvordan oplysningspligten opfyldes af henholdsvis Digitaliserings-

styrelsen, brokere og tjenesteudbydere, når brugere anvender løsningen, herunder

når der sker ændringer eller tilføjelser af risikodata, der indsamles og videregives.

Digitaliseringsstyrelsens bemærkninger

Digitaliseringsstyrelsen bemærker, at det er tydeliggjort, at Digitaliseringsstyrelsen,

brokere og tjenesteudbydere skal overholde oplysningspligten, når de er dataan-

svarlige for behandling af personoplysninger. Det er således ikke hensigten at fra-

vige de registreredes databeskyttelsesretlige rettigheder.

L 159 - 2020-21 - Bilag 1: Høringsnotat og høringssvar, fra finansministeren

Side 24 af 24

4. Øvrige ændringer

Der er foretaget en række ændringer af sproglig og lovteknisk karakter i lovforsla-

get, der er fundet hensigtsmæssige på baggrund af høringen og den endelige lovtek-

niske gennemgang.