Udgivet: 26 april 2022 Udgivet af: Kilderne i Såne Kommentarer: 0
Digital Identitet

I indeværende år erstattes NemID af MitID og det der først stikker i øjnene ved overgangen, er den forandrede forudsætning.

Da NemID blev taget i brug 1. juli 2010 var det først og fremmest bankerne, der nu tilbød en ny digital løsning, der gjorde det muligt at ”gå i banken” hjemme fra sofaen. Samtidig blev det startskuddet til at det offentlige, digitale Danmark bid for bid udbyggedes med blandt andet E-boks og Borger.dk, der var tilbud og derfor noget, man valgte til.

Allerede i 2014 forlød det at 9 ud af 10 danskere havde NemID.

Undervejs begyndte grænserne dog at sløres lidt i takt med at økonomiske transaktioner på nettet blev mere almindelige, hvilket åbnede for en helt ny verden af misbrug, og medførte udvidet brug af NemID som sikkerhedsforanstaltning.

Lovgivningen på området måtte også tilpasse sig de nye “muligheder”, og forud for “Bekendtgørelsen og Loven om MitID” har lovgivningen ændret sig et antal gange.


Persondataloven

Persondataloven fra 1. juli 2000 omhandlede borgernes sikkerhed i forhold til digitale data og personoplysninger i registre. Allerede i paragraf 2 har man fokus på den registreredes retsstilling:

  • Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov.

I paragraf 7 hedder det, at der ikke må behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Borgeren er altså sikret en vis grad af privatliv.

I paragraf 8 står der, at den offentlige forvaltning ikke må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver, og at der ligeledes er regler for, hvornår der skal gives samtykke forud.

Persondataloven er ganske vist lang, den omfatter 83 paragraffer, men den er skrevet i et enkelt sprog uden alt for mange henvisninger til andre love eller paragraffer, hvorfor det faktisk er muligt som borger at danne sig et overblik over, hvad loven omhandler.


Databeskyttelsesforordningen

Databeskyttelsesforordningen fra 2016 ( også kaldet persondataforordningen) er en EU-forordning: ”Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF”

Persondataforordningen, almindeligt kendt som GDPR-reglerne, er et ganske digert værk, og formentlig er det de færreste borgere, der har studeret denne forordning nærmere, selvom den beskæftiger sig med alt fra religion, til helbred og markedsføring.

Man kan læse om GDPR-regler adskillige steder – der er simpelthen en webside, der hedder GDPR.dk, men det synes umiddelbart fælles for informationerne, at de mest har fokus på krav til de virksomheder, der skal opbevare eller behandle dine data. GDPR.dk udlægger således “den registreredes rettigheder, kapitel 3, artikel 12-23” ud fra hvordan den dataansvarlige bør forholde sig, og borgeren “forsvinder” og bliver usynlig – sammen med sine rettigheder, fornemmer man.

Den registreredes rettigheder

Hvis du har grund til at tro, at dine data ikke er blevet håndteret korrekt, kan du klage til Datatilsynet – hvor du endnu engang skal sætte dig ind i en lang række regler, for at nå frem til, om du overhovedet har ret til at klage.

Betragtninger og generelle bestemmelser

Forordningen indledes med et sæt betragtninger og derefter kommer de generelle bestemmelser, og under bestemmelse 50 finder man følgende ordlyd:

  • Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten eller medlemsstaternes nationale ret fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. 

Men hvem er det, der bestemmer hvad der er “foreneligt” og således udløser brugen af dine data uden dit vidende? Det er værd at bemærke, at der i denne EU forordning i høj grad tages hensyn til “samfundets interesse” før den enkeltes rettigheder.

Der står således i “Generelle bestemmelser” om “Definitioner” i kapitel 1, artikel 4,2:

  • »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

Det er også værd at bemærke, at data, og dermed begrebet “personoplysninger” har undergået en voldsom udvidelse, vel og mærke uden at borgeren rigtigt har opdaget det, eller er blevet gjort aktivt opmærksom herpå.

Kapitel 1, artikel 4,1:

  • »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

Og kapitel 1, artikel 4,13:

  • »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person

Og kapitel 1, artikel 4,15:

  • »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand

Der er således 173 betragtninger man skal læse op på, inden man kan gå i gang med de generelle bestemmelser.


Databeskyttelsesloven

Den 25. maj 2018 træder Databeskyttelsesloven i kraft og erstatter Persondataloven ( loven om behandling af personoplysninger fra år 2000). Den nye lov supplerer og gennemfører Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016. ( Databeskyttelsesforordningen).

Man skal jo altså have gennemgået persondataforordningen, for overhovedet at være i stand til at forstå dette “supplement”, der i sig selv er omfattende.

Det er måske værd at hæfte sig ved afsnit III, Registreredes rettigheder, Kapitel 6: Begrænsninger i registreredes rettigheder:

  • § 22. Bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34 gælder ikke, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Artikel 13 i databeskyttelsesforordningens omhandler oplysningspligt ved indsamling af personoplysninger såvel hos den registrerede, som ved tredje part, og også den indsigtsret den registrerede måtte have i forhold til blandt andet formål, kategori, sletning, klageret samt forekomsten af automatiske afgørelser, herunder profilering.

Der kan ligeledes gøres undtagelser fra de samme paragraffer, “hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til:

  • Statens sikkerhed
  • Forsvaret
  • Den offentlige sikkerhed
  • Forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
  • Andre vigtige målsætninger i forbindelse med beskyttelse af Den Europæiske Unions eller en medlemsstats generelle samfundsinteresser, navnlig Den Europæiske Unions eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed
  • Beskyttelse af retsvæsenets uafhængighed og retssager
  • Forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv
  • Kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i nr. 1-5 og 7
  • Beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder og
  • Håndhævelse af civilretlige krav

Der er med andre ord en lang række af hensyn, der helt tydeligt går forud for borgerens ret til oplysning om brugen af egne data.

Loven og bekendtgørelsen om MitID

Loven om MitID og NemLog-in

Nogle vil sikkert tænke: “hvorfor den store panik – lovgivningen bag MitID er jo den samme som for NemID?”, hvilket jo er sandt, hvis ikke det var for en udvidelse af databeskyttelsesloven med en lov og en bekendtgørelse specifikt vedrørende MitID.

Man bliver ikke automatisk gjort opmærksom på disse nye tilføjelser, når man af sin bank får besked på at skifte fra NemID til MitID – man skal selv opsøge informationen.

Om forvaltning af MitID-løsningen og MitID står der således:

  • Kapitel 4, §4, stk. 2: Finansministeren fastsætter regler om forvaltning af MitID-løsningen og MitID, herunder regler om identitetssikring af privatpersoner, registrering af identiteter og udstedelse, spærring, suspension og genåbning af MitID til privatpersoner og erhvervsbrugere og om adgang til at klage til Digitaliseringsstyrelsen over afgørelser truffet i medfør af disse regler.

Finansministeren – på baggrund af et flertal i folketinget? – fastsætter altså reglerne, men hvor kan man læse om, hvad disse indebærer? Længere nede hedder det i Stk. 2.“Kommunalbestyrelsen skal på vegne af Digitaliseringsstyrelsen varetage opgaver i medfør af § 4, stk. 1.”

Bliver det i så tilfælde udlagt til kommunerne at tolke, hvad der eksempelvis kan udløse en suspension?

  • Kapitel 4, §5: Digitaliseringsstyrelsen kan udpege offentlige myndigheder, offentligretlige organer eller juridiske enheder til på vegne af Digitaliseringsstyrelsen at varetage opgaver i medfør af § 3, stk. 1, 2. pkt., og opgaver i medfør af § 4, stk. 1. Stk. 2. Kommunalbestyrelsen skal på vegne af Digitaliseringsstyrelsen varetage opgaver i medfør af § 4, stk. 1.

Hverken Finansministeriet eller Digitaliseringsstyrelsen kunne ved personlig henvendelse svare på disse spørgsmål, men oplyste en mailadresse, hvortil man skriftligt kan stile spørgsmål af denne karakter: mitid@digst.dk

Afsnit IV, Behandling af personoplysninger

Om ”tilrådighedsstillelse af NemLog-in” kan man læse følgende om behandling af personoplysninger i afsnit IV:

  • kapitel 9, §13: Ved en privatpersons anvendelse af MitID eller en erhvervsbrugers anvendelse af det elektroniske identifikationsmiddel i MitID til login og autentifikation kan Digitaliseringsstyrelsen videregive autentifikationssvar, herunder risikodata vedrørende den konkrete og enkelte transaktion, til en broker*, der er tilsluttet MitID-løsningen eller NemLog-in.

*Broker: En offentlig myndighed, et offentligretligt organ eller en juridisk enhed, der videreformidler autentifikation af digitale identiteter. Alle definitioner der indgår i loven gennemgås i kap. 2, § 2.

Hvad er risikodata? Og hvad indebærer det, når Digitaliseringsstyrelsen videregiver “risikodata”? Man må gå ud fra, at når man anvender MitID, så er det fordi éns digitale identitet allerede er fastslået og der derfor ikke er tale om tvivl i denne forbindelse – men hvad er risikodata så?

Om øvrige bestemmelser; Opkrævning af gebyr og vederlag:

  • Kapitel 10, §15 stk. 3: Finansministeren kan fastsætte regler om opkrævning af gebyr hos privatpersoner for registrering og udstedelse af MitID.

Kan dette “tvungne fællesskab” blive noget, man skal betale for at være en del af? Det bliver under alle omstændigheder dyrt at stå udenfor fællesskabet: bankerne oplyser at det kommer til at koste et gebyr, hvis man har brug for at gå i banken f.eks for at overføre penge til en anden konto, tilmelde regninger til Betalingsservice, eller foretage andre transaktioner.

  • Kapitel 17, §22: Finansministeren kan efter aftale med vedkommende minister bemyndige en anden statslig myndighed til at udøve de beføjelser, der i denne lov er tillagt Digitaliseringsstyrelsen.
  • Kapitel 18, §23: Digitaliseringsstyrelsen kan samarbejde med offentlige myndigheder, offentligretlige organer og juridiske enheder om at tilvejebringe fremtidige elektroniske identifikationsordninger svarende til MitID-løsningen eller andre løsninger, der måtte træde i stedet herfor.

Der synes at være tænkt på alt – bortset fra hensynet til borgeren.

Bekendtgørelsen om MitID

Få måneder efter Loven om MitID, som blev stadfæstet d. 4. maj 2021, kom også en bekendtgørelse: Bekendtgørelsen om MitID af d. 1. september 2021. Men hvad er en “bekendtgørelse” egentlig for en størrelse? På folketingets webside forklares det således:

Hvad er en bekendtgørelse?

Regler, der uddyber eller præciserer reglerne i en lov. Bekendtgørelser udstedes administrativt af et ministerium.
En bekendtgørelse har samme virkning over for borgerne som en lov, selv om den ikke er vedtaget af Folketinget.

Kilde: Hvad er en lovbekendtgørelse? / Folketinget (ft.dk)

Ministerierne udarbejder altså bekendtgørelser, der tolker eller udlægger den oprindelig hovedlov. Bekendtgørelser bliver ikke behandlet i Folketinget, men gælder alligevel som lov.

Men er der så overhovedet en parlamentarisk debat? Og i hvor vidt omfang kan en bekendtgørelse bevæge sig væk fra bestemmelserne i den oprindelige lov?

Der er meget information, borgeren skal sætte sig ind i, for at forstå omfanget af hvad MitID indebærer. Og i afsnittet “Betingelser for privatpersonens besiddelse af MitID” står der således:

  • §8: En privatperson skal være i stand til at forstå betingelserne i stk. 2-4 for at besidde MitID samt overholde de til enhver tid gældende vilkår om besiddelse af MitID, som privatpersonen tiltræder i forbindelse med udstedelse af MitID.

Betingelserne i stk. 2-4 omhandler de forhold, vi allerede kender fra NemID om, at man skal beskytte sig imod misbrug ved at opbevare adgangskoder sikkert og undlade at videregive eller oplyse koder til andre personer. Men hvad betyder det reelt, at man skal overholde de til enhver tid gældende vilkår – er der mere?

I første afsnit af bekendtgørelsen står der under “Forvaltning af MitID til privatpersoner“:

  • §1, Stk. 4: Registreringsenheder, jf. stk. 2, skal på anmodning fra privatpersoner tilbyde vejledning om de betingelser og vilkår, som gælder for besiddelse af MitID, jf. § 8. Vejledningen har til formål at sikre, at privatpersoner er bekendt med de nærmere rammer for forvaltningen af MitID. Omfanget af vejledningen skal forstås i overensstemmelse med forvaltningslovens § 7.

Ingen af de registreringsenheder, herunder flere banker, Digitaliseringsstyrelsen, og Finansministeriet, som Kilderne i Såne har kontaktet i forbindelse med dette indlæg, har været i stand til at svare på et eneste af vores spørgsmål. Man kan således ikke tale om, at borgerne foretager et oplyst valg, når de med armen på ryggen, accepterer tilslutningen til MitID.

Bekendtgørelse om MitID til privatpersoner (retsinformation.dk)

Digitaliseringstyrelsen

På Digitaliseringsstyrelsens webside har man valgt udelukkende at beskæftige sig med HVORDAN, man får MitID; altså de helt lavpraktiske foranstaltninger – hvor man henvender sig, hvad man skal medbringe for at legitimere sig, og om det koster noget. Man nøjes med at henvise til lovgivningen, og så kan borgeren ellers selv gå i gang med at hitte ud af, om det overhovedet er noget, man ønsker. De fleste springer formentlig let hen over lovgivningen i ren tillid til myndighederne, presset af banken der lover, at livet bliver svært, hvis ikke man skynder sig at få etableret MitID.

Digitaliseringsstyrelsen: Lov om MitID og NemLog-in (digst.dk)

Spørgsmål vedrørende MitID:

Spørgsmålene er mange, og det synes svært at gennemskue, hvem der kan og vil svare. Bankerne, der presser borgeren til at overgå fra NemID til MitID, fralægger sig ansvaret og henviser til Digitaliseringsstyrelsen eller MitID. Bankerne synes kun at være instrueret i at hjælpe borgeren med spørgsmål i forbindelse med en accept af, at skulle overgå til MitID – uden yderligere spørgsmål vel at mærke.

  1. Hvem er ansvarlig for mine data i forhold til MitID?
  2. Ved henvendelse til Digitaliseringsstyrelsen erfares det – efter pres -at man kan sige nej til MitID, men Digitaliseringsstyrelsen kan ikke informere om konsekvenserne af at træffe dette valg. Ville det ikke være rimeligt at man informerer om at det er muligt at sige nej og hvad det indebærer?
  3. Hvorfor har Digitaliseringsstyrelse ikke som minimum information om, hvor man som borger finder information om retsstilling ifht mitID?
  4. Hvad er forskellen i behandlingen af persondata fra NemID til MitID?
  5. Hvor henvender jeg mig, hvis jeg har spørgsmål vedrørende min retssikring/ opbevaring af mine data m.m.?
  6. I forhold til MitID er det meget præcist beskrevet ( Digitaliseringsstyrelsens webside) hvilke forhold der kan udløse at din NemID adgang kan spærres fra udbyderens side, hvilket grundlæggende handler om mistanke om misbrug fra 3. part, hvor det i forbindelse med MitID blot er beskrevet, hvordan dit MitID kan spærres, og at du skal søge om at få det åbnet/ genaktiveret ”hvilket kan tage kortere eller længere tid”. Hvilke faktorer kan udløse en spærring?
  7. Når man allerede i lovteksten erkender, at der kan være forhold hvor MitID bliver suspenderet, eller hvor personen slet ikke lever op til at få MitID, hvorfor har man så ikke sikret denne gruppe en fair adgang til minimum bankforretninger?
  8. Hvad accepterer jeg, at mine data bruges til, når jeg overgår til MitID?

Konklusion

Her ved overgangen til MitID er det tydeligt, at man forsøger at presse alle borgere til at deltage ved at kamuflere, at der faktisk stadig er tale om et valg. Der er dog ikke rigtigt nogen, der synes at kunne svare på, hvilke konsekvenser, der er forbundet med at takke nej.

Du kan klage…..

Skulle du være utilfreds med, at du som borger forventes enten at have en uddannelse i jura for at kunne gennemskue alt dette, eller har blind tillid til myndighederne, kan du klage til Digitaliseringsstyrelsen på mail: mitid@digst.dk

Støt borgerforslaget

Skulle du allerede på nuværende tidspunkt have gjort dig klart, at dette er mere, end du har lyst til at være en del af, kan du støtte et borgerforslag om “MitID, nej tak!” her: Mit Id, nej tak! (borgerforslag.dk)

Illustration: Jerm Warfare