Nummer: 230

EIDAS2-FORORDNINGEN (DIGITAL IDENTITET)

Europa-Parlamentets og Rådets forordning (EU) 2024/ 1183 af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet.

Dato:
21. november 2024
Type af anbefaling:
Implementeringsplan for EU-retsakter
Tema:
Øvrige anbefalinger
Ansvarlig ministerium:
Digitaliseringsministeriet
Status på anbefaling:
Behandles af regeringen
Type retsakt og harmoniseringsgrad Forordning (revision af eIDAS-forordningen nr. 910/2014). Forordningen forpligter alle EU-lande, hvorfor der er tale om totalharmonisering.
Det vil dog også være nødvendigt at lave national lovgivning på få områder, jf nedenfor.

Indflyvningstekst   
 

eIDAS-forordningen fra 2014 havde til formål at fremme sikre grænseoverskridende transaktioner ved at etablere en ramme for digitale identiteter og autentifikation. Med eIDAS2-forordningen skal det sikres, at personer og virksomheder i hele Europa kan få adgang til sikker og pålidelig elektronisk identifikation og autentifikation. Dette skal ske ved, at alle EU-lande skal tilbyde borgere og virksomheder digitale identitetstegnebøger, der kan forbinde deres nationale digitale identiteter med dokumentation for andre personoplysninger. Dette kunne eksempelvis være kørekort, sygesikringskort, aldersbevis mv.

Med den reviderede eIDAS-forordning tilføjes digitale identitetstegnebøger, som helt nyt område i eIDAS-forordningen. Herved indføres helt nye kapitler og bestemmelser om digitale identitetstegnebøger, som ikke tidligere har været reguleret i forordningen.
 

Konsekvenser for erhvervslivet    
 

Det vurderes, at eIDAS2-forordningen vil have konsekvenser for erhvervslivet. Konsekvenserne for erhvervslivet vil forventeligt både være positive og negative, da der vil opstå nye forretningsmuligheder for erhvervslivet, men der samtidig fremgår forpligtelser for visse sektorer i forordningen. Forpligtelserne for visse private sektorer fremgår af forordningens artikel 5 f, stk. 2. Da de nærmere rammer for den digitale identitetstegnebog fortsat afventes i gennemførselsretsakterne, er det endnu ikke muligt at kende det fulde overblik over de erhvervsøkonomiske konsekvenser. Gennemførselsretsakterne følger senest d. 21. november 2024. Der vil blive igangsat en analyse af de erhvervsøkonomiske konsekvenser, når der er tilstrækkeligt grundlag for beregninger.
 

Metode til implementering    
 

Da det er en forordning er eIDAS2-forordningen direkte gældende i Danmark. Da regeringen ikke har taget endelig stilling til implementeringen af den danske digitale identitetstegnebog, er der fortsat ikke taget endelig stilling til den retlige implementering. Det er dog forventningen, at det er nødvendigt, at lave supplerende national lovgivning. 

Det er forventningen, at den digitale identitetstegnebog vil blive implementeret i tre trin. Det vil først være ved projektets trin tre, at den danske version af den digitale identitetstegnebog vil leve op til kriterierne for en identitetstegnebog i eIDAS2-forordningen. 

Det er forventningen, at der vil være brug for lovgivningsinitiativer i alle tre trin for at tilpasse en kommende lov om den digitale identitetstegnebog med projektets trinplan. 

Gældende for alle tre trin, er det forventningen, at det vil være nødvendigt at vedtage regler som sikrer borgeres og virksomheders rettigheder i forbindelse med udstedelse og spærring, men det forventes også at være nødvendigt at fastsætte regler for tilsyn, dataansvar, gebyrer mv. 

Trin 1 og trin 2: 

Det er forventningen at der i projektets trin et og to vil være brug for ren national lovgivning, som sikrer borgere og virksomheders rettigheder ift. udstedelse og spærring, dataansvar og tilsyn, gebyrer mv. Det er forventningen, at reglerne om udstedelse og spærring vil blive udmøntet i bekendtgørelser, så disse regler hurtigt og smidigt kan blive opdateret til den til en hver tid gældende sikkerhedssituation. Det forventes, at metoden for regelkonstruktionen for udstedelse og spærring vil læne sig op ad den praksis som kendes fra MitID. Her findes de borger- og virksomhedsnære regler også i bekendtgørelser.

Ydermere forventes det, at der skal fastsættes regler om dataansvar, og at forretningsmodellen for løsningen vil blive fastlagt i gebyrbestemmelser. Det nærmere indhold af reglerne kendes ikke endnu, da projektet fortsat er på et meget tidligt stadie. 

Den lovgivning som vil vedrøre projektets trin et og to vil ikke være en udnyttelse af det nationale råderum (se herom i trin tre), men alene være national lovgivning. Høringsperioden forventes at ligge i 2. kvartal 2025.

Trin 3:
Det forventes, at den digitale identitetstegnebog vil leve op til kravene i eIDAS2-forordningen i projektets trin tre. Derfor vil det ved trin tre være nødvendigt at lave en supplerende lov til eIDAS2-forordningen på de områder, hvor der er nationalt råderum. 

Igen vil det være regler for udstedelse og spærring, som fortsat forventes udmøntet i bekendtgørelser for at bevare smidigheden, så den til en hver tid gældende sikkerhedssituation kan imødekommes hurtigt. Det er forventningen at overgangen fra nationale regler til supplerende regler til eIDAS2-forordningen, som udnytter det nationale råderum, primært vil være af lovteknisk karakter. Dette så de regler borgerne er blevet mødt af fra trin 1 ikke umiddelbart ændrer karakter. 

Regler om gebyrer og dataansvar forventes også at fortsættes i en ny supplerende lov til eIDAS-forordningen. 

Reglerne forventes i høj grad at være en fortsættelse af reglerne i den nationale lovgivning, som minimum skal eksistere i projektets trin et og to.

Herudover fastsætter eIDAS2-forordningen nye tilsyn/certificeringer, som ikke følger af den oprindelige eIDAS-forordning. Tilsynene/certificeringsordningerne er delvis reguleret i eIDAS2-forordningen, men der er også på dette område nationalt råderum. Dette gælder bl.a., at der med eIDAS2-forordningen kan udstedes bøder, som skal tilpasses den danske model for bødeudstedelse. 

Der findes i dag en supplerende lov til den oprindelige eIDAS-forordning, som fastsætter nærmere regler for tilsyn med tillidstjenester.

Dette tilsyn udvides betydeligt i forhold til opgaver, men meget væsentligt bemærkes, at udstedere af beviser til tegnebogen er tillidstjenester og det kan kvantitativt omfatte ganske mange både myndigheder og private virksomheder. Som noget nyt kan der pålægges bøder for overtrædelse af forordningen.

Der indføres et nyt tilsyn, som skal føre tilsyn med udbydere af tegnebøger, samt med modtagerparter. Bl.a. skal modtagerparter kunne sanktioneres ved at de suspenderes eller annulleres som modtagerparter. Dette tilsyn skal udføre sine opgaver i uafhængighed.

Der skal ske certificering af den enkelte tegnebogsløsning, ligesom der indføres certificering af elektroniske identifikationsordningers eID scheme. Sidstnævnte er dog ikke obligatorisk.

De nye tilsyn vil således have et langt større omfang og vil således både omfatte tilsyn med selve den digitale identitetstegnebog, men også tilsyn med udsteder af beviser til tegnebogen samt med udbydere og modtagerparter (tjenesteudbydere).

De nærmere rammer for tilsynene og hvordan de konkret skal udføres og forvaltes i en dansk kontekst er en del af det nationale råderum og vil derfor blive fastsat i lovgivning. 

Det skal igen understreges, at projektet om den digitale identitetstegnebog er på et meget tidligt stadie og analysearbejdet for at fastlægge den retlige implementering ikke er færdiggjort. Derfor er det på nuværende tidspunkt ikke muligt at komme indholdet af de nationale regler nærmere. 
 

Inddragelse af interessenter
 

Der vil blive etableret nye interessentfora i forbindelse med udviklingen af den digitale identitetstegnebog, da de eksisterende fora i Digitaliseringsstyrelsen ikke til fulde dækker projektets behov for interessentinddragelse. Interessentinddragelsen vil være proaktiv, for at sikre en struktureret, fokuseret og løbende involvering af projektets mange interessenter. Der vil både være stort fokus på identitetstegnebogens private og offentlige interessenter.

Lov og bekendtgørelse, som skal udmønte reglerne om udstedelse og spærring samt reglerne om tilsyn, dataansvar mv, for så vidt angår projektets trin et og to, forventes sendt i offentlig høring i 2. kvartal 2025 for lovens vedkommende og bekendtgørelserne vil følge i forlængelse af dette. Reglerne omhandlende trin et og to løsningen forventes at følge de fælles ikrafttrædelsesdatoer d. 1/1-2026.

Der er endnu ikke planlagt en høringsperiode for reglerne til projektets trin tre, da regeringen fortsat ikke har taget endelig stilling til projektet. Det forventes, at høringen i forbindelse med løsningens trin tre tidligst vil gennemføres i løbet af 2026. 
 

Undersøgelse af implementering i andre EU-lande    
 

Der er ikke planlagt en officiel undersøgelse af implementeringen af forordningen i andre EU-lande. Der er dog en løbende dialog mellem EU-landene om forordningen og betydningen/omfanget af kravene i forordningen. Danmark indgår også i et EU-støttet pilotprojekt om udarbejdelsen af en prototype på en digital identitetstegnebog (NOBID).  
 

Særlige hensyn i dansk kontekst   
 

Forordningen forpligter medlemslandene til at udstede bøder til tjenesteudbydere, som ikke overholder forordningen. Processen omkring udstedelse af bøder skal tilpasses det danske retssystem.
 

Anbefaling

Regelforums anbefalinger til implementeringsplanen  

Overordnede anbefalinger   
 
Regelforum er meget positive overfor eIDAS 2.0. og EUDI Wallet. Vi tror på, at en sådan harmonisering af digitale identitetsløsninger på tværs af EU vil skabe en mere sikker og effektiv digital økonomi, der vil styrke det indre marked og åbne op for nye digitale muligheder.

Endvidere er det forummets forventning, at den harmonisering og effektivisering der ligger i eIDAS 2.0. og EUDI Wallet vil kunne bidrage til at reducere administrative byrder.
Forummet finder det vigtigt, at eIDAS2 vil:

I.    Invitere forbrugerne til i højere grad at kunne handle på hvordan deres data indsamles og behandles.
II.    Understøtte at børn og unge kan færdes mere sikkert på nettet, ved at kunne verificere deres alder
III.    Arbejde for at mindske svindlere og hackere for at kunne udsætte forbrugere for digital økonomisk kriminalitet.

Forummets medlemmer ser frem til at følge og komme med høringssvar på de kommende danske bekendtgørelser.
 

Konsekvenser for erhvervslivet    


Regelforum peger på, at det er vigtigt, at forordningen samlet medfører så få nye byrder for danske virksomheder som muligt. Man bør derfor i den supplerende nationale lovgivning have fokus på ikke at opstille rammer, der skaber unødigt rapporterings- og dokumentationsarbejde for virksomheder.


Regelforum anbefaler:
1)    Et generelt fokus på minimumsimplementering skal sikre, at danske virksomheder kan få optimal gavn af forordningen uden unødvendigt at blive begrænset af national overimplementering, der kan skævvride konkurrencekraften mellem Danmark og de øvrige europæiske lande.

Endvidere er det vigtigt at implementeringen også har fokus på at sikre forbrugere i deres færden på digitale tjenester. F.eks. ses det at Digitale tegnebøger har væsentlige brugsscenarier, såsom aldersverifikation på sociale medier og vedrørende køb af tobak og alkohol, såvel som inden for den finansielle sektor. Dette vil yderligere kunne bidrage til øget aktivitet på f.eks. online platforme, butikker og øvrige websites.

2)    Bekendtgørelser bør være forholdsmæssige i deres krav og skal således tage hensyn til de forskellige aktørers kapacitet og ressourcer, især SMV'er, som kan have begrænsede ressourcer til at tilpasse sig nye regler.
 

Inddragelse af interessenter  

Regelforum bakker op om, at der etableres nye interessentfora i forbindelse med udviklingen af den digitale identitetstegnebog.

Regelforum anbefaler:
3)    I forbindelse med udviklingen af den nye identitetstegnebog bør der også være fokus på at tænke erhvervslivet og den erhvervsmæssige brug af EUDI Wallet ind.

Derudover bør der i udviklingen af den nye identitetstegnebog fokuseres på at gøre funktionaliteter brugervenlige, gennemsigtige og sporbare for brugeren. Andre aspekter af en forsvarlig implementering relaterer sig til at gøre kildekoden open-source jf. forordningens art 5a, stk. 16 og tage udgangspunkt i privacy-by-design og privacy-by-default, for at sikre forbrugerens tryghed og sikkerhed jf. forordningens Art 5a, stk. 17.

4)    Det anbefales, at der inddrages en bred vifte af interessenter, herunder den finansielle sektor, der allerede anvender MitID. Projektet er vigtigt for sektoren, da den kommende digitale identitetstegnebog blandt andet skal kunne anvendes til at tilgå og indrullere sig i sin bank, samt potentielt til forskellige betalingssituationer. Det er positivt, at dialogen er påbegyndt og der bør som beskrevet ske en tættere inddragelse efterhånden, som det skrider frem.

Herudover er det relevant at interessenter inddrages angående de tekniske specifikationer, og i forbindelse med udarbejdelsen af adfærdskodekser og løbende vurderinger af forbrugeres anvendelse af europæiske digitale tegnebøger på baggrund af udvikling inden for forbrugsmønster, -efterspørgsel og den teknologiske udvikling, jf. forordningens art. 5f, stk. 5 og art. 46e.

5)    Endelig bør der være en passende implementeringstid, så virksomheder og andre aktører har tilstrækkelig tid til at tilpasse sig de nye krav. En gradvis implementering kan ofte være mere effektiv og mindre byrdefuld.

Regelforums medlemmer ser således frem til at deltage i den fortsatte dialog om implementeringen af eIDAS 2.0 og digital identitet, og er klar til at bidrage med erfaring og ekspertise for at sikre en succesfuld implementering, der fremmer en sikker og effektiv digital økonomi i Danmark og EU.