Høringssvar vedr. forslag til lov om udstedelse af NemID med offentlig digital signatur til fysiske personer

IT-Politisk Forening støtter, at udstedelse af den offentlige digitale signatur (NemID) bliver reguleret ved lov. Lovforslaget dækker imidlertid alene den situation, hvor en borger får afvist sit ønske om at få udstedt en offentlig digital signatur. Der er andre aspekter af udstedelsen og brugen af den offentlige signatur, som bør reguleres ved lov. Det gælder ikke mindst behandlingen af personoplysninger i forbindelse med udstedelsen og brugen af den offentlige digitale signatur. Det nuværende behandlingsgrundlag er samtykke, hvilket er meget problematisk, fordi dette samtykke næppe kan siges at være frit afgivet. Kravene til et gyldigt samtykke skærpes med databeskyttelsesforordningen fra 25. maj 2018.

Samtykke som behandlingsgrundlag for personoplysninger i den offentlige digitale signatur

I forbindelse med borgerens brug af NemID, skal borgeren afgive samtykke til behandling af personoplysninger på en række vilkår fastsat af virksomheden Nets DanID A/S. Da der her er tale om en behandling af personoplysninger finder reglerne i persondataloven, og fra den 25. maj 2018 databeskyttelsesforordningen (EU) 2016/679, anvendelse.

Det fremgår af forordningens artikel 4, nr. 11, at et samtykke skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede. Kravet om ”frivillighed” indikerer, at der skal foreligge et reelt valg.

I forordningens præambelbetragtning nr. 43 understreges det, at samtykke ikke bør udgøre et gyldigt behandlingsgrundlag i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed. I dette tilfælde er Nets DanID A/S ganske vist en privat virksomhed, men varetager som eneste udbyder opgaven med at administrere den offentlige digitale signatur (NemID).

Det fremgår af artikel 29-gruppens vejledning om samtykke (WP187), at et samtykke ikke vil være gyldigt hvis:

  • Der ikke er tale om en reel valgmulighed for de registrerede.
  • De registrerede føler sig presset til at acceptere fastsatte vilkår.
  • Hvis manglende afgivelse af samtykke medfører væsentlige negative konsekvenser for de registrerede. Hvis de negative konsekvenser underminerer de registreredes frie valg, vil samtykket ikke anses for at være afgivet frivilligt.[1]

Da der på en lang række offentlige serviceområder er indført obligatorisk digital selvbetjening, vil de negative konsekvenser for borgerne ved ikke at acceptere vilkårene fastsat af Nets DanID A/S være så væsentlige, at de generelt må antages at underminere de registreredes frie valg.

Den manglende mulighed for borgeren til at trække sit samtykke tilbage, uden at miste adgangen til at modtage og tilgå vigtige meddelelser og offentlige services, medfører ligeledes et væsentlig pres på borgeren til at acceptere NemID’s betingelser og vilkår.

Samtykket, der afgives i forbindelse med oprettelsen af den offentlige digitale signatur, må derfor efter IT-Politisk Forenings opfattelse anses for værende ugyldigt.

Udtalelse fra Artikel 29-gruppen som samtykke som behandlingsgrundlag for e-government løsning

Det nedenstående eksempel er fra Artikel 29-gruppens vejledning om samtykke efter de nugældende regler. Som det fremgår kan samtykke ikke udgøre det relevante behandlingsgrundlag. Grundlaget bør i stedet være en lov. Det understreges tillige, at det er vigtigt at der i dette lovgrundlag er fastsat passende sikkerhedsforanstaltninger for at beskytte den registrerede.

“Example: e-government New ID cards with electronic functionalities embedded in a chip are being developed in Member States. It may not be compulsory to activate the electronic services of the card. But without activation, the user could be prevented from accessing certain administrative services, which would otherwise become very difficult to reach (transfer of some services on-line, reduction of office opening hours). Consent cannot be claimed to be the legitimate ground to justify the processing. In this case the law organising the development of e-services, together with all the appropriate safeguards, should be the relevant ground”.[2]

Anbefaling

IT-Politisk Forening vil derfor anbefale, at lovforslaget udvides, så det tillige regulerer behandlingen af personoplysninger ved udstedelse af NemID (som offentlig digital signatur) og brug af NemID i forbindelse med offentlig digital selvbetjening, og at NemID-løsningen om nødvendigt ændres, således at den tekniske indretning opfylder de garantier for beskyttelse af den registreredes rettigheder og frihedsrettigheder i overensstemmelse med databeskyttelsesforordningen, som dette lovgrundlag fastsætter.

Noter

[1] WP187, s. 12
[2] WP187, s. 16