DIU, Alm.del - 2023-24 - Bilag 75: Notat af 16/1-24 med Orientering om orienteringsbrev sendt til FIU ang. afslutning af MitID-projektet

Udvalget for Digitalisering og It 2023-24
DIU Alm.del Bilag 75
Offentligt

Folketingets Finansudvalg

Stormgade 2-6

1470 København K

Telefon 72 28 24 00

[email protected]

Sagsnr.

2024-52

Doknr.

58003

Dato

16-01-2024

Afslutning af MitID-projektet

Digitaliserings- og Ligestillingsministeriet orienterer hermed Finansudvalget om afslutning af

MitID-projektet.

Finansudvalget tiltrådte den 14. marts 2019 aktstykke nr. 26 2019/2020 med anmodning om

at gennemføre MitID-projektet. Den 3. juni 2021 blev Finansudvalget ved orienterende

akstykke 249 2020/2021 orienteret om forlængelse af MitID-projektet med forventet afslut-

ning i tredje kvartal 2022. Som orienteret om i brev af den 2. januar 2023 blev den formelle

afslutning af MitID-projektet imidlertid yderligere udskudt med henvisning til, at den afslut-

tende driftsprøve for MitID endnu ikke var gennemført.

Som ligeledes orienteret om i brevet af den 2. januar 2023 påvirkede forsinkelsen af afslut-

ning af driftsprøven ikke driften af MitID, idet drifts- og forvaltningsorganisationen for MitID

på daværende tidspunkt var fuldt etableret med 4,9 mio. brugere allerede overgået til løsnin-

gen. Driftsprøven blev gennemført den 25. maj 2023 og blev godkendt den 16. juni 2023. Pro-

jektets sidste leverance blev herefter betalt i juli 2023 (Q3) hvorefter projektet overgik til rea-

lisering og drift, jf. statens it-projektmodel.

MitID anvendes i dag af over 5 millioner brugere. I overgangen fra NemID til MitID har der væ-

ret en periode med paralleldrift af de to løsninger fra første go live af MitID den 6. juni 2021,

til NemID blev lukket den 31. oktober 2023. Således havde brugerne tid til at komme på den

nye løsning, imens private og offentlige tjenesteudbydere har haft tid til at implementere Mi-

tID og samtidig sikre brugernes adgang til de digitale tjenester i overgangsperioden.

Projektets formål

Projektet havde til formål at etablere en fremtidssikret, brugervenlig og sikker løsning for

elektronisk validering af en persons identitet som erstatning for NemID, og som fortsat kan

anvendes på tværs af den offentlige og private sektor.

MitID-løsningen

Det er centralt, at MitID-løsningen kan benyttes på tværs af den offentlige og private sektor,

og at borgerne har tillid til løsningen. MitID skal derfor være brugervenligt og sikkert, og løs-

ningen skal løbende opdateres og tilpasses i overensstemmelse med den teknologiske udvik-

ling samt nyeste sikkerhedskrav og -standarder.

MitID-projektet var et komplekst og kritisk it-infrastrukturprojekt, og udrulningen af MitID har

berørt borgere, virksomheder og myndigheder bredt. Udviklingen og etableringen af MitID

har derfor krævet en bred inddragelse af interessenter og et tæt samarbejde med centrale ak-

tører som fx kommunerne, borgerservice, bankerne og frivillige organisationer.

DIU, Alm.del - 2023-24 - Bilag 75: Notat af 16/1-24 med Orientering om orienteringsbrev sendt til FIU ang. afslutning af MitID-projektet

For at sikre, at MitID kan anvendes bredt på tværs af den offentlige og private sektor, har det

været afgørende tidligt at etablere et tæt samarbejde med finanssektoren om løsningen, hvil-

ket blev realiseret gennem MitID Partnerskabet.

Et partnerskab mellem den offentlige sektor og pengeinstitutterne

MitID Partnerskabet (fremover blot Partnerskabet) består af Digitaliseringsstyrelsen på vegne

af den offentlige sektor (stat, kommuner og regioner) og Finans Danmark (via datterselskabet

FR1) på vegne af de danske pengeinstitutter. Partnerskabet ejer og driver MitID i fællesskab.

Partnerskabet blev etableret tidligt i arbejdet med MitID-projektet. Dette betød, at offentlige

og private behov kunne tænkes ind i løsningen helt fra de tidlige faser af projektet under løs-

ningens design og specifikation, og med øje for at udvikle den bedst mulige løsning til samfun-

det som et hele.

Parterne i Partnerskabet bidrager med fælles finansiering og dermed deling af omkostninger

til både udvikling, videreudvikling og drift. Endvidere følger af Partnerskabet, at den offentlige

og private sektor bidrager med og deles om vigtige kompetencer og viden i arbejdet med løs-

ningen.

MitID’s infrastruktur

Det har været og er fortsat en prioritet for Partnerskabet at udvikle MitID som en sikker, bru-

gervenlig, stabil og fremtidssikret løsning. Det fordrer blandt andet, at det skal være så nemt

som muligt at videreudvikle og tilpasse MitID, når behovene ændrer sig. Derfor er MitID-løs-

ningen bygget op af forskellige lag.

I midten findes løsningens kerne,

som udgør MitID’s centrale funktionalitet og virkemåde.

Omkring kernen findes et lag af ”brokere”.

En broker er en certificeret virksomhed, der facili-

terer, at en tjenesteudbyder, fx en myndighed, en bank eller et forsikringsselskab, kan få ad-

gang til kernen. Derved kan en tjenesteudbyder bruge en broker til at få adgang til MitID sy-

stemet, sådan at tjenesteudbyderen kan tilbyde sine brugere eller kunder at logge ind med

MitID.

Den lagdelte struktur betyder, at det kun er brokerne og ikke hver enkelt tjenesteudbyder,

der skal forholde sig til ændringer som følge af videreudvikling af MitID, og at der samtidig er

høj grad af kontrol med, hvem der har adgang til brugernes identiteter, placeret i kernen. Det

øger både løsningens stabilitet og sikkerhed.

Opfyldelse af EU-lovgivning

MitID efterlever eIDAS forordningen, som definerer de krav og standarder til nationale, of-

fentlige selvbetjeningsløsninger, der muliggør brug af digitale identiteter på tværs af EU's

medlemslande. I forlængelse af eIDAS har Danmark udarbejdet en National Standard for Iden-

titeters Sikringsniveau (NSIS), der implementerer kravene i eIDAS i dansk kontekst, herunder

de gældende krav om at eID-løsninger skal leve op til de tre sikringsniveauer (Lav, Betydelig

og Høj).

Fra 18. september 2018 har offentlige tjenesteudbydere i alle EU-lande været forpligtet til at

modtage og anerkende officielle, digitale identiteter fra andre EU-lande på linje med landets

egne digitale identiteter. MitID er godkendt i EU som Danmarks nationale eID-løsning, så

identiteter fra MitID skal anerkendes på tværs af EU.

For den finansielle sektor er der fra 2018 indført et revideret betalingstjenestedirektiv, PSD2.

Direktivet stiller blandt andet detaljerede krav til, hvordan autentifikation og transaktionsgod-

kendelse skal foretages, fx betalinger via netbank. Reglerne er implementeret i dansk lovgiv-

ning med lov om betalinger, der trådte i kraft den 1. januar 2018. MitID understøtter disse re-

gulatoriske krav, i det omfang de relaterer sig til MitID-funktionalitet. Europa-Kommissionen

har i juni 2023 fremsat forslag om et opdateret betalingstjenestedirektiv, PSD3. Det ligger i

naturlig forlængelse af arbejdet med MitID, at kommende regler løbende vil blive iagttaget,

og MitID tilpasset, hvor det er påkrævet.

DIU, Alm.del - 2023-24 - Bilag 75: Notat af 16/1-24 med Orientering om orienteringsbrev sendt til FIU ang. afslutning af MitID-projektet

Udgifter ved projektet

Udviklingsomkostningerne i MitID-projektet er delt ligeligt mellem parterne i Partnerskabet,

jf. ovenfor. I nedenstående præsenteres den offentlige halvdel af MitID-projektomkostnin-

gerne, som afholdes fællesoffentligt, ud fra en fordelingsnøgle på henholdsvis 40-40-20 pct.

mellem stat, kommuner og regioner.

De offentlige projektudgifter er ved nedlukning af projektet opgjort til 378,9 mio. kr. ekskl.

renteomkostninger (2023-PL). Hertil kommer renteudgifter på 56,4 mio. kr. så de samlede re-

aliserede projektudgifter inkl. renteomkostninger bliver 435,3 mio. kr.

Projektets senest godkendte baseline fra 2021 er på 438,4 mio. kr. ekskl. renteudgifter (2023-

PL). De samlede projektudgifter er således 59,5 mio. kr. lavere end forventet ved seneste

baseline, hvilket primært skyldes uforbrugt risikopulje. Ved seneste baseline i 2021 var projek-

tets samlede risikopulje estimeret til 61,8 mio. kr.

Den tilnærmelsesvis uforbrugte risikopulje skyldes, at de i MitID projektet indtrufne risici pri-

mært har påvirket driftsudgifterne til MitID og NemID, snarere end selve projektets udgifter.

Det tydeligste eksempel herpå er forlængelse af driften af NemID for at mitigere risici i MitID

projektet. Denne forlængelse af driften af NemID ledte ikke til øgede MitID projektudgifter,

men i stedet til øgede NemID driftsudgifter.

De indtrufne risici i MitID projektet har således ikke haft væsentlig betydning for de samlede

MitID projektudgifter. Det bemærkes imidlertid, at den forlængede NemID drift har påvirket

MitID projektets gevinstbillede negativt, fordi NemID kunne lukkes senere end først antaget i

projektet. Dette uddybes i næste afsnit.

Nedenfor fremgår en nedbrydning af de endelige projektudgifter.

Samlet økonomi, udgiftsbaseret

Mio. kr., 2023-PL

Projektudgifter, ekskl. renter

Interne

- Aktiverbare

- Ikke aktiverbare

Eksterne

- Aktiverbare

- Ikke aktiverbare

Andre ordinære

Risikopulje

Total

378,9

88,4

10,0

78,5

290,5

238,6

51,9

Økonomiske gevinster ved projektet

Projektets samlede bruttogevinster var ved seneste baseline i 2021 vurderet til 253,8 mio. kr.

Ved bruttogevinster menes den samlede forskel mellem driftsudgifterne for MitID i hele busi-

nesscasens periode (2014-2031), sammenlignet med tilsvarende driftsudgifter, hvis man ikke

havde gennemført MitID-projektet, og i stedet havde fortsat driften af NemID. Ved projektaf-

slutning vurderes de samlede bruttogevinster at være reduceret til 8,8 mio. kr. Dette fald på i

alt 245,0 mio. kr. skyldes primært følgende to fordyrelser ift. forventningen ved seneste base-

line:

•

Dobbeltdrift: Ved seneste baseline i 2021 var det forventningen, at NemID ville blive en-

deligt udfaset ultimo december 2022. Pga. projektforsinkelser i både MitID-projektet

samt projektet, der indeholder MitID Erhverv, blev NemID forlænget frem til 31. oktober

2023. Denne forlængelse af NemID har samlet kostet 136 mio. kr.

Øgede udgifter til driftsbemanding: De årlige udgifter til intern driftsbemanding i Digitali-

seringsstyrelsen er siden baseline opjusteret med 6,0 mio. kr. årligt fra 2022 og frem til

2031, hvor businesscasen ophører. Baggrunden for dette løft er, at Digitaliseringsstyrel-

sen har erfaret, at der følger en større forvaltningsopgave end først antaget med hjemta-

•

DIU, Alm.del - 2023-24 - Bilag 75: Notat af 16/1-24 med Orientering om orienteringsbrev sendt til FIU ang. afslutning af MitID-projektet

gelsen af ejerskabet over en så central infrastruktur som MitID. Den øgede driftsbeman-

ding er aftalt ved økonomiaftalen for 2023 mellem stat, regioner og kommuner og efter-

følgende indarbejdet på Finansloven for 2023.

Disse to ændringer i driftsudgifter forklarer i alt ca. 196,0 mio. kr. af det samlede fald i brutto-

gevinster på 245,0 mio. kr. De resterende 49,0 mio. kr. skyldes øvrige justeringer i MitID’s

driftsudgifter i perioden fra baseline i 2021 og frem til businesscasens ophør i 2031. I dette

indgår bl.a. en opjustering af det forventede antal offentlige autentifikationsanmodninger

(forsøg på login med MitID på offentlige sider og platforme). Betalingen for det øgede antal

offentlige MitID-transaktioner afholdes centralt af Digitaliseringsstyrelsen, hvilket betyder hø-

jere årlige omkostninger til anvendelsen af MitID.

Ikke-økonomiske gevinster ved projektet

Projektet har gevinster af ikke-økonomisk karakter, som følger af de strategiske målsætninger

for løsningen, og som skal findes hos både borgere, myndigheder og private tjenesteudby-

dere. Gevinsterne er historisk set defineret relativt til NemID-løsningen på et tidspunkt, hvor

daværende tidspunkt var det således regnet for en væsentlig gevinst ved MitID, at MitID ville

have en app-baseret tilgang. Lanceringen af NemID nøgleappen i 2018 betød imidlertid, at an-

tagelsen om denne en gevinst ved MitID relativt til NemID bortfaldt. De øvrige ikke-økonomi-

ske gevinster ved MitID finder imidlertid fortsat relevans.

For det første findes i MitID de forskellige sikringsniveauer Lav, Betydelig og Høj. Det tillader,

at MitID anvendes til offentlige og private tjenester med højt sikkerhedsbehov, samtidig med

at brugerne også kan benytte MitID til let at tilgå private tjenester med lavere sikkerhedsbe-

hov. Brugerne oplever således at kunne benytte ét velkendt system til sømløst at tilgå forskel-

lige tjenesteudbydere med forskellige sikkerhedsbehov. De differentierede sikringsniveauer

tillader således brugerne en fleksibilitet i, hvordan MitID anvendes til forskellige formål. Som

en afledt gevinst heraf opfylder MitID også kravene i NSIS og er dermed er i overensstem-

melse med den gældende EU-lovgivning på området.

For det andet er MitID designet med henblik på at gøre det både mere sikkert og lettere for

borgeren at anvende to-faktor-login. Brugerne har således flere muligheder i MitID end tidli-

gere, fx kan flere personer have MitID aktivt på én telefon eller tablet. Brugerne kan hertil let

tilføje og fjerne aktive apps eller kodevisere mv. fra selvbetjeningsuniverset på MitID.dk. End-

videre er MitID kodevisere og kodeoplæsere i modsætning til NemID nøglevisere upersonlige,

hvilket vil sige at de er generiske og ikke knyttet til borgerens identitet ved fremsendelse. Bor-

geren skal derimod selv aktivere kodeviseren eller kodeoplæseren online efter modtagelse.

Dette var ikke muligt i NemID, og er med til at styrke sikkerheden i MitID.

Den tidligere beskrevne lagdelte opbygning af MitID betyder, at MitID nemmere end NemID

kan tilpasses fx ændrede sikkerhedskrav eller

–behov,

fx som følge af opdateret regulering el-

ler nye typer svindel.

Endelig understøtter MitID i vid udstrækning, at borgere med særlige behov kan anvende løs-

ningen. Disse borgere kan fx som alternativ eller supplement til MitID appen anvende en ana-

log kodeviser, en kodeoplæser i tilfælde af begrænset syn, eller en chip hvis behov for at god-

kende med MitID mange gange hver dag, fx i forbindelse med arbejde. MitID sikrer dermed at

forskellige brugergrupper fortsat har adgang til tjenester.

Overgang til drift

Med godkendelse af den gennemførte driftsprøve den 16. juni 2023 overgik MitID formelt til

realiseringsfasen og til drift.

MitID’s drifts-

og forvaltningsorganisation (DFO) var imidlertid

etableret allerede i foråret 2022.

Denne tidlige etablering af DFO’en skulle

sikre, at borgerne

løbende kunne migrere til MitID, imens NemID fortsat var funktionelt. Således var MitID etab-

leret som en funktionel løsning, der var under implementering i samfundet, allerede før

driftsprøven var gennemført, og før NemID blev lukket. Den formelle overgang til drift i juli

2023 har derfor ikke medført ændringer i det daglige arbejde med løsningen.

DIU, Alm.del - 2023-24 - Bilag 75: Notat af 16/1-24 med Orientering om orienteringsbrev sendt til FIU ang. afslutning af MitID-projektet

Tidsplan for fremtidige orienteringer

Finansudvalget forventes orienteret om status for projektets drift og effekt i 3. kvartal 2024,

ét år efter projektets afslutning.

Med venlig hilsen

Marie Bjerre