Nummer: 230

EIDAS2-FORORDNINGEN (DIGITAL IDENTITET)

Europa-Parlamentets og Rådets forordning (EU) 2024/ 1183 af 11. april 2024 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet.

Dato:
21. november 2024
Type af anbefaling:
Implementeringsplan for EU-retsakter
Tema:
Øvrige anbefalinger
Ansvarlig ministerium:
Digitaliseringsministeriet
Status på anbefaling:
Følges
Type retsakt og harmoniseringsgrad Forordning (revision af eIDAS-forordningen nr. 910/2014). Forordningen forpligter alle EU-lande, hvorfor der er tale om totalharmonisering.
Det vil dog også være nødvendigt at lave national lovgivning på få områder, jf nedenfor.

Indflyvningstekst   
 

eIDAS-forordningen fra 2014 havde til formål at fremme sikre grænseoverskridende transaktioner ved at etablere en ramme for digitale identiteter og autentifikation. Med eIDAS2-forordningen skal det sikres, at personer og virksomheder i hele Europa kan få adgang til sikker og pålidelig elektronisk identifikation og autentifikation. Dette skal ske ved, at alle EU-lande skal tilbyde borgere og virksomheder digitale identitetstegnebøger, der kan forbinde deres nationale digitale identiteter med dokumentation for andre personoplysninger. Dette kunne eksempelvis være kørekort, sygesikringskort, aldersbevis mv.

Med den reviderede eIDAS-forordning tilføjes digitale identitetstegnebøger, som helt nyt område i eIDAS-forordningen. Herved indføres helt nye kapitler og bestemmelser om digitale identitetstegnebøger, som ikke tidligere har været reguleret i forordningen.
 

Konsekvenser for erhvervslivet    
 

Det vurderes, at eIDAS2-forordningen vil have konsekvenser for erhvervslivet. Konsekvenserne for erhvervslivet vil forventeligt både være positive og negative, da der vil opstå nye forretningsmuligheder for erhvervslivet, men der samtidig fremgår forpligtelser for visse sektorer i forordningen. Forpligtelserne for visse private sektorer fremgår af forordningens artikel 5 f, stk. 2. Da de nærmere rammer for den digitale identitetstegnebog fortsat afventes i gennemførselsretsakterne, er det endnu ikke muligt at kende det fulde overblik over de erhvervsøkonomiske konsekvenser. Gennemførselsretsakterne følger senest d. 21. november 2024. Der vil blive igangsat en analyse af de erhvervsøkonomiske konsekvenser, når der er tilstrækkeligt grundlag for beregninger.
 

Metode til implementering    
 

Da det er en forordning er eIDAS2-forordningen direkte gældende i Danmark. Da regeringen ikke har taget endelig stilling til implementeringen af den danske digitale identitetstegnebog, er der fortsat ikke taget endelig stilling til den retlige implementering. Det er dog forventningen, at det er nødvendigt, at lave supplerende national lovgivning. 

Det er forventningen, at den digitale identitetstegnebog vil blive implementeret i tre trin. Det vil først være ved projektets trin tre, at den danske version af den digitale identitetstegnebog vil leve op til kriterierne for en identitetstegnebog i eIDAS2-forordningen. 

Det er forventningen, at der vil være brug for lovgivningsinitiativer i alle tre trin for at tilpasse en kommende lov om den digitale identitetstegnebog med projektets trinplan. 

Gældende for alle tre trin, er det forventningen, at det vil være nødvendigt at vedtage regler som sikrer borgeres og virksomheders rettigheder i forbindelse med udstedelse og spærring, men det forventes også at være nødvendigt at fastsætte regler for tilsyn, dataansvar, gebyrer mv. 

Trin 1 og trin 2: 

Det er forventningen at der i projektets trin et og to vil være brug for ren national lovgivning, som sikrer borgere og virksomheders rettigheder ift. udstedelse og spærring, dataansvar og tilsyn, gebyrer mv. Det er forventningen, at reglerne om udstedelse og spærring vil blive udmøntet i bekendtgørelser, så disse regler hurtigt og smidigt kan blive opdateret til den til en hver tid gældende sikkerhedssituation. Det forventes, at metoden for regelkonstruktionen for udstedelse og spærring vil læne sig op ad den praksis som kendes fra MitID. Her findes de borger- og virksomhedsnære regler også i bekendtgørelser.

Ydermere forventes det, at der skal fastsættes regler om dataansvar, og at forretningsmodellen for løsningen vil blive fastlagt i gebyrbestemmelser. Det nærmere indhold af reglerne kendes ikke endnu, da projektet fortsat er på et meget tidligt stadie. 

Den lovgivning som vil vedrøre projektets trin et og to vil ikke være en udnyttelse af det nationale råderum (se herom i trin tre), men alene være national lovgivning. Høringsperioden forventes at ligge i 2. kvartal 2025.

Trin 3:
Det forventes, at den digitale identitetstegnebog vil leve op til kravene i eIDAS2-forordningen i projektets trin tre. Derfor vil det ved trin tre være nødvendigt at lave en supplerende lov til eIDAS2-forordningen på de områder, hvor der er nationalt råderum. 

Igen vil det være regler for udstedelse og spærring, som fortsat forventes udmøntet i bekendtgørelser for at bevare smidigheden, så den til en hver tid gældende sikkerhedssituation kan imødekommes hurtigt. Det er forventningen at overgangen fra nationale regler til supplerende regler til eIDAS2-forordningen, som udnytter det nationale råderum, primært vil være af lovteknisk karakter. Dette så de regler borgerne er blevet mødt af fra trin 1 ikke umiddelbart ændrer karakter. 

Regler om gebyrer og dataansvar forventes også at fortsættes i en ny supplerende lov til eIDAS-forordningen. 

Reglerne forventes i høj grad at være en fortsættelse af reglerne i den nationale lovgivning, som minimum skal eksistere i projektets trin et og to.

Herudover fastsætter eIDAS2-forordningen nye tilsyn/certificeringer, som ikke følger af den oprindelige eIDAS-forordning. Tilsynene/certificeringsordningerne er delvis reguleret i eIDAS2-forordningen, men der er også på dette område nationalt råderum. Dette gælder bl.a., at der med eIDAS2-forordningen kan udstedes bøder, som skal tilpasses den danske model for bødeudstedelse. 

Der findes i dag en supplerende lov til den oprindelige eIDAS-forordning, som fastsætter nærmere regler for tilsyn med tillidstjenester.

Dette tilsyn udvides betydeligt i forhold til opgaver, men meget væsentligt bemærkes, at udstedere af beviser til tegnebogen er tillidstjenester og det kan kvantitativt omfatte ganske mange både myndigheder og private virksomheder. Som noget nyt kan der pålægges bøder for overtrædelse af forordningen.

Der indføres et nyt tilsyn, som skal føre tilsyn med udbydere af tegnebøger, samt med modtagerparter. Bl.a. skal modtagerparter kunne sanktioneres ved at de suspenderes eller annulleres som modtagerparter. Dette tilsyn skal udføre sine opgaver i uafhængighed.

Der skal ske certificering af den enkelte tegnebogsløsning, ligesom der indføres certificering af elektroniske identifikationsordningers eID scheme. Sidstnævnte er dog ikke obligatorisk.

De nye tilsyn vil således have et langt større omfang og vil således både omfatte tilsyn med selve den digitale identitetstegnebog, men også tilsyn med udsteder af beviser til tegnebogen samt med udbydere og modtagerparter (tjenesteudbydere).

De nærmere rammer for tilsynene og hvordan de konkret skal udføres og forvaltes i en dansk kontekst er en del af det nationale råderum og vil derfor blive fastsat i lovgivning. 

Det skal igen understreges, at projektet om den digitale identitetstegnebog er på et meget tidligt stadie og analysearbejdet for at fastlægge den retlige implementering ikke er færdiggjort. Derfor er det på nuværende tidspunkt ikke muligt at komme indholdet af de nationale regler nærmere. 
 

Inddragelse af interessenter
 

Der vil blive etableret nye interessentfora i forbindelse med udviklingen af den digitale identitetstegnebog, da de eksisterende fora i Digitaliseringsstyrelsen ikke til fulde dækker projektets behov for interessentinddragelse. Interessentinddragelsen vil være proaktiv, for at sikre en struktureret, fokuseret og løbende involvering af projektets mange interessenter. Der vil både være stort fokus på identitetstegnebogens private og offentlige interessenter.

Lov og bekendtgørelse, som skal udmønte reglerne om udstedelse og spærring samt reglerne om tilsyn, dataansvar mv, for så vidt angår projektets trin et og to, forventes sendt i offentlig høring i 2. kvartal 2025 for lovens vedkommende og bekendtgørelserne vil følge i forlængelse af dette. Reglerne omhandlende trin et og to løsningen forventes at følge de fælles ikrafttrædelsesdatoer d. 1/1-2026.

Der er endnu ikke planlagt en høringsperiode for reglerne til projektets trin tre, da regeringen fortsat ikke har taget endelig stilling til projektet. Det forventes, at høringen i forbindelse med løsningens trin tre tidligst vil gennemføres i løbet af 2026. 
 

Undersøgelse af implementering i andre EU-lande    
 

Der er ikke planlagt en officiel undersøgelse af implementeringen af forordningen i andre EU-lande. Der er dog en løbende dialog mellem EU-landene om forordningen og betydningen/omfanget af kravene i forordningen. Danmark indgår også i et EU-støttet pilotprojekt om udarbejdelsen af en prototype på en digital identitetstegnebog (NOBID).  
 

Særlige hensyn i dansk kontekst   
 

Forordningen forpligter medlemslandene til at udstede bøder til tjenesteudbydere, som ikke overholder forordningen. Processen omkring udstedelse af bøder skal tilpasses det danske retssystem.
 

Anbefaling

Regelforums anbefalinger til implementeringsplanen  

Overordnede anbefalinger   
 
Regelforum er meget positive overfor eIDAS 2.0. og EUDI Wallet. Vi tror på, at en sådan harmonisering af digitale identitetsløsninger på tværs af EU vil skabe en mere sikker og effektiv digital økonomi, der vil styrke det indre marked og åbne op for nye digitale muligheder.

Endvidere er det forummets forventning, at den harmonisering og effektivisering der ligger i eIDAS 2.0. og EUDI Wallet vil kunne bidrage til at reducere administrative byrder.
Forummet finder det vigtigt, at eIDAS2 vil:

I.    Invitere forbrugerne til i højere grad at kunne handle på hvordan deres data indsamles og behandles.
II.    Understøtte at børn og unge kan færdes mere sikkert på nettet, ved at kunne verificere deres alder
III.    Arbejde for at mindske svindlere og hackere for at kunne udsætte forbrugere for digital økonomisk kriminalitet.

Forummets medlemmer ser frem til at følge og komme med høringssvar på de kommende danske bekendtgørelser.
 

Konsekvenser for erhvervslivet    


Regelforum peger på, at det er vigtigt, at forordningen samlet medfører så få nye byrder for danske virksomheder som muligt. Man bør derfor i den supplerende nationale lovgivning have fokus på ikke at opstille rammer, der skaber unødigt rapporterings- og dokumentationsarbejde for virksomheder.


Regelforum anbefaler:
1)    Et generelt fokus på minimumsimplementering skal sikre, at danske virksomheder kan få optimal gavn af forordningen uden unødvendigt at blive begrænset af national overimplementering, der kan skævvride konkurrencekraften mellem Danmark og de øvrige europæiske lande.

Endvidere er det vigtigt at implementeringen også har fokus på at sikre forbrugere i deres færden på digitale tjenester. F.eks. ses det at Digitale tegnebøger har væsentlige brugsscenarier, såsom aldersverifikation på sociale medier og vedrørende køb af tobak og alkohol, såvel som inden for den finansielle sektor. Dette vil yderligere kunne bidrage til øget aktivitet på f.eks. online platforme, butikker og øvrige websites.

2)    Bekendtgørelser bør være forholdsmæssige i deres krav og skal således tage hensyn til de forskellige aktørers kapacitet og ressourcer, især SMV'er, som kan have begrænsede ressourcer til at tilpasse sig nye regler.
 

Inddragelse af interessenter  

Regelforum bakker op om, at der etableres nye interessentfora i forbindelse med udviklingen af den digitale identitetstegnebog.

Regelforum anbefaler:
3)    I forbindelse med udviklingen af den nye identitetstegnebog bør der også være fokus på at tænke erhvervslivet og den erhvervsmæssige brug af EUDI Wallet ind.

Derudover bør der i udviklingen af den nye identitetstegnebog fokuseres på at gøre funktionaliteter brugervenlige, gennemsigtige og sporbare for brugeren. Andre aspekter af en forsvarlig implementering relaterer sig til at gøre kildekoden open-source jf. forordningens art 5a, stk. 16 og tage udgangspunkt i privacy-by-design og privacy-by-default, for at sikre forbrugerens tryghed og sikkerhed jf. forordningens Art 5a, stk. 17.

4)    Det anbefales, at der inddrages en bred vifte af interessenter, herunder den finansielle sektor, der allerede anvender MitID. Projektet er vigtigt for sektoren, da den kommende digitale identitetstegnebog blandt andet skal kunne anvendes til at tilgå og indrullere sig i sin bank, samt potentielt til forskellige betalingssituationer. Det er positivt, at dialogen er påbegyndt og der bør som beskrevet ske en tættere inddragelse efterhånden, som det skrider frem.

Herudover er det relevant at interessenter inddrages angående de tekniske specifikationer, og i forbindelse med udarbejdelsen af adfærdskodekser og løbende vurderinger af forbrugeres anvendelse af europæiske digitale tegnebøger på baggrund af udvikling inden for forbrugsmønster, -efterspørgsel og den teknologiske udvikling, jf. forordningens art. 5f, stk. 5 og art. 46e.

5)    Endelig bør der være en passende implementeringstid, så virksomheder og andre aktører har tilstrækkelig tid til at tilpasse sig de nye krav. En gradvis implementering kan ofte være mere effektiv og mindre byrdefuld.

Regelforums medlemmer ser således frem til at deltage i den fortsatte dialog om implementeringen af eIDAS 2.0 og digital identitet, og er klar til at bidrage med erfaring og ekspertise for at sikre en succesfuld implementering, der fremmer en sikker og effektiv digital økonomi i Danmark og EU.  

 

  
  
 

Erhvervslivets EU- og Regelforum har sendt overordnede bemærkninger og 5 delanbefalinger til Digitaliseringsministeriets implementeringsplan for eIDAS2-forordningen (Digital identitet). Alle delanbefalingerne (1-5) følges. 
 
I det følgende besvares de overordnede bemærkninger Regelforum har haft.

I. Regelforum anbefaler et generelt fokus på at invitere forbrugerne til i højere grad at kunne handle på, hvordan deres data indsamles og behandles. Regeringen vil udvikle en digital identitetstegne-bog, der har brugervenlighed, gennemsigtighed og privatlivsbeskyttende design i fokus, og som i højere grad skal muliggøre selektiv og begrænset deling af identitetsdata.  

II. Regelforum anbefaler, at eIDAS2 vil understøtte, at børn og unge kan færdes mere sikkert på nettet, ved at kunne verificere deres alder. Regeringen vil arbejde for, at den digitale tegnebog kan blive et nyttigt værktøj, der bl.a. kan anvendes til aldersverifikation fx på sociale medier eller ved køb af aldersbegrænsede varer både i fysiske butikker og online.

III. Regelforum anbefaler, at regeringen arbejder for at mindske mulighederne for at svindlere og hackere kan udsætte forbrugere for digital økonomisk kriminalitet. Med eIDAS2-forordningens bestemmelser om en digital identitetstegnebog vil sikkerhed og tillid til løsningen være afgørende for en vellykket og værdiskabende digital identitetstegnebog, og regeringen vil derfor under udviklingen og implementeringen af eIDAS2 trække på erfaringerne fra bl.a. MitID, og prioritere sikkerhed og gennemskuelighed for brugerne for at søge at mindske mulighederne for svindel og hacking i forbindelse med økonomisk kriminalitet.    

I det følgende svares på de anbefalinger og bemærkninger, som Regelforum har haft til enkelte dele af planen. 

Konsekvenser for erhvervslivet 

  1. Regelforum anbefaler et generelt fokus på minimumsimplementering skal sikre, at danske virksomheder kan få optimal gavn af forordningen uden unødvendigt at blive begrænset af national over-implementering, der kan skævvride konkurrencekraften mellem Danmark og de øvrige europæiske lande.

Regeringen tilslutter sig anbefalingerne fra Regelforum, og vil arbejde for at danske virksomheder får mest mulig gavn af implementeringen af eI-DAS2-forordningen. Regeringen vil arbejde for dette gennem en proportionel tilgang til implementering, hvor der i den danske lovgivning på om-rådet, som udgangspunkt ikke indføres andre pligter for virksomheder, end dem der findes i eIDAS2-forordningen. 

  1. Regelforum anbefaler, at bekendtgørelser bør være forholdsmæssige i deres krav og skal således tage hensyn til de forskellige aktørers kapacitet og ressourcer, især SMV'er, som kan have begrænsede ressourcer til at tilpasse sig nye regler.

Regeringen vil også have en proportionel tilgang til de bekendtgørelser, som regeringen finder det nødvendigt at udstede for at ledsage kravene i eIDAS2-forordningen. Regeringen bemærker hertil, at selve eIDAS2-forordningen indeholder undtagelser og fleksibilitet for mikro- og småvirksomheder i forhold til forordningens forpligtelser, som den nationale lovgivning om den digitale identitetstegnebog ikke ændrer på.   

Inddragelse af interessenter 

  1. Regelforum anbefaler, at regeringen i forbindelse med udviklingen af den nye identitetstegnebog også har fokus på at tænke erhvervslivet og den erhvervsmæssige brug af den digitale identitetstegnebog ind.

Regeringen ser et potentiale for, at den digitale identitetstegnebog kan blive et værktøj, der potentielt kan bidrage til byrdelettelser for virksomheder. I takt med at projektet modnes, vil regeringen inddrage relevante interessenter med henblik på, at regeringen kan få større klarhed over de mest relevante anvendelser inden for erhvervslivet og den erhvervsmæssige brug af den digitale identitetstegnebog. Inddragelsen af interessenter vil ske løbende i implementeringsperioden, efterhånden som nye beviser til tegnebogen skal implementeres, og vil primært tage afsæt i inddragelse via brancheforeninger for relevante erhvervsområder. Digitaliseringsstyrelsen har i den forbindelse allerede påbegyndt dialog om erhvervsmæssig brug af tegnebogen med flere brancheforeninger, som fortsættes i hele implementeringsperioden.  

  1. Regelforum anbefaler, at der inddrages en bred vifte af interessenter, herunder den finansielle sektor, der allerede anvender MitID. Projektet er vigtigt for sektoren, da den kommende digitale identitetstegnebog blandt andet skal kunne anvendes til at tilgå og indrullere sig i sin bank, samt potentielt til forskellige betalingssituationer. Det er positivt, at dialogen er påbegyndt og der bør som beskrevet ske en tættere inddragelse efterhånden, som det skrider frem. 

Regeringen vil prioritere en løbende og tæt inddragelse af relevante interessenter gennem hele implementeringen af den digitale identitetstegne-bog. Herunder vil regeringen arbejde for, at den finansielle sektor og nu-værende MitID-anvendere og MitID-brokere inddrages og informeres om forordningens implementering løbende. Interessenthåndteringen vil blive løbende intensiveret efterhånden som projektet udvikler sig, og kan bl.a. omhandle de tekniske specifikationer, løbende vurderinger af forbrugernes anvendelse af europæiske digitale tegnebøger eller den teknologiske ud-vikling bredt set. Interessenthåndteringen forventes blandt andet at ske ved afholdelse af webinarer, oplæg ved relevante konferencer, samt på sigt med online udstilling af information via relevante kanaler.  

  1. Endelig anbefaler Regelforum, at der bør være en passende im-plementeringstid, så virksomheder og andre aktører har tilstræk-kelig tid til at tilpasse sig de nye krav. En gradvis implementering kan ofte være mere effektiv og mindre byrdefuld.

Regeringen vil implementere den digitale identitetstegnebog gradvist i Danmark, og søger derved at sikre, at virksomheder og andre aktører ligeledes gradvist kan tilpasse sig den nye it-infrastruktur, der følger af implementeringen af eIDAS2.