NemLog-in Privatlivspolitik

Denne side har til formål at oplyse dig om dine rettigheder i forbindelse med den behandling af dine personoplysninger, der finder sted, når du benytter NemLog-in-tjenester. Digitaliseringsstyrelsen er dataansvarlig for behandlingen af dine personoplysninger i forbindelse med NemLog-in.

Indledning

Denne privatlivspolitik for NemLog-in beskriver, hvordan Digitaliseringsstyrelsen behandler dine personoplysninger i forbindelse med NemLog-in-tjenester, og hvad dine rettigheder er i den forbindelse.

1. Vi er den dataansvarlige – hvordan kontakter du os?

Digitaliseringsstyrelsen er dataansvarlig for behandlingen af de personoplysninger, som vi har modtaget om dig. Du finder vores kontaktoplysninger nedenfor.

Digitaliseringsstyrelsen
Landgreven 4
1301 København
CVR-nr.: 34051178
Telefon: 3392 5200
E-mail:

2. Kontaktoplysninger på databeskyttelsesrådgiveren

Digitaliserings- og Ligestillingsministeriet har udpeget en databeskyttelsesrådgiver, som vejleder i reglerne om databeskyttelse inden for Digitaliserings- og Ligestillingsministeriets område. Databeskyttelsesrådgiverens opgave er at understøtte, at Digitaliserings- og Ligestillingsministeriet overholder reglerne om behandling af personoplysninger.

Databeskyttelsesrådgiveren kan vejlede dig om dine rettigheder i forbindelse med behandlingen af dine personoplysninger inden for Digitaliserings- og Ligestillingsministeriets område. Såfremt du kontakter databeskyttelsesrådgiveren via e-mail, bedes du undlade at oplyse dit cpr-nummer eller andre følsomme/fortrolige oplysninger. Du finder databeskyttelsesrådgiverens kontaktoplysninger nedenfor.

Digitaliseringsstyrelsen
Att.: Databeskyttelsesrådgiveren
Landgreven 4
1301 København K
E-mail:

3. Formålene med og retsgrundlaget for behandlingen af dine personoplysninger

Formålet med Digitaliseringsstyrelsens behandling af dine personoplysninger er:

At stille NemLog-in til rådighed, hvor brugere med MitID eller et andet godkendt identifikationsmiddel kan anvende tjenesterne: Login og autentifikation, Digital Fuldmagt, MitID Erhverv og Digital signering.
Digitaliseringsstyrelsen behandler dine personoplysninger til brug for formål, der er relateret til administrering, forvaltning og drift af NemLog-in.

Retsgrundlaget for vores behandling af dine personoplysninger følger af:

Lov om MitID og NemLog-in (Lov 2021-05-04 nr. 783 om MitID og NemLog-in som ændret ved led lov 1559 af 12. december 2023)
Databeskyttelsesforordningen Artikel 6, stk. 1, litra e for behandling af almindelige personoplysninger
Databeskyttelseslovens § 11, stk. 1 for behandling af cpr-nummer.

3.1. NemLog-in stiller følgende serviceområder til rådighed:

3. 1.1. Login og autentifikation – MitID broker

Log-in er den funktion, der vises i internetbrowseren, når du ønsker at logge ind på en digital selvbetjeningsløsning, der er tilsluttet NemLog-in som fx borger.dk, sundhed.dk og virk.dk.

3.1.2. Digital Fuldmagt

Digital Fuldmagt giver dig mulighed for, at du kan lade dig repræsentere af en anden i en digital selvbetjeningsløsning. Du kan lade dig repræsentere af en privatperson, en erhvervsbruger eller en virksomhed.

3. 1.3. Digital signering

Digital signering gør det muligt, at du som borger eller erhvervsbruger kan signere dokumenter i offentlige og private selvbetjeningsløsninger. Signeringstjenesten indeholder en valideringstjeneste, som kan anvendes til at validere gyldigheden af signaturer og elektroniske segl.

3. 1.4. MitID Erhverv - Erhvervsadministration

MitID Erhverv gør det muligt for brugerorganisationer at administrere deres erhvervsbrugere, udstede identifikationsmidler samt tildele og administrere rettigheder og certifikater til erhvervsbrugerne.

4. Kategorier af personoplysninger

4.1 Ved anvendelse af NemLog-in som privatperson

Vi behandler potentielt følgende kategorier af personoplysninger om dig, når du anvender NemLog-in som privatperson:

4.1.1 Almindelige personoplysninger

Fulde navn
Pseudonym
Fødselsdato
Bruger-id'er og unikke identifikationsnumre (UUID-numre, PID-nummer mv)
CPR-nummer og -status
Kontaktinformation,
- Adresse
Tilknytninger til virksomheder fra CVR-registret
Tekniske oplysninger som IP-adresse, browseroplysninger, og sessionsoplysninger
Risikodata modtaget fra MitID:
- Oplysning om lokation for enheden, som anvendes til log-in, netværksoplysninger og information om identiteten og seneste anvendelse.
Tjenester tilsluttet NemLog-in, som du har været logget ind på
Udstedte certifikater ifm. signering med MitID, signerede dokumenters fingeraftryk (hashværdi) samt referencetekst til signering
Indhold af dokumenter valideret med NemLog-ins valideringstjeneste
Tildelte og afgivne digitale fuldmagter i NemLog-ins fuldmagtsløsning

4.1.2 Følsomme personoplysninger

Vi behandler eventuelt følgende følsomme personoplysninger, såfremt de indgår i dokumenter som uploades til validering:

Oplysninger om race eller etnisk oprindelse
Oplysninger, som indikerer eller kan indikere politisk, religiøs eller filosofisk overbevisning
Oplysninger om den registreredes fagforeningsmæssige tilhørsforhold
Helbredsoplysninger herunder også genetiske data
Biometriske data mhp. identifikation
Oplysninger om seksuelle forhold
Oplysninger om strafbare forhold
Oplysninger om afdøde

4.2 Ved anvendelse af NemLog-in som erhvervsbruger

Vi behandler potentielt følgende kategorier af personoplysninger om dig, når du anvender NemLog-in som erhvervsbruger:

4.2.1 Almindelige personoplysninger

Fulde navn
Pseudonym
Fødselsdato
Bruger-id'er og unikke identifikationsnøgler (UUID-numre, RID-nummer mv.)
CPR-nummer og -status
Kontaktinformation,
- E-mailadresse
- Adresse
- Telefon
Tilknytninger til virksomheder i CVR-registret
Tekniske oplysninger som IP-adresse, browseroplysninger, og sessionsoplysninger
Risikodata modtaget fra MitID:
- Oplysning om lokation for log-in, enheden, som anvendes til log-in, netværksoplysninger og information om identiteten og seneste anvendelse.
Tjenester tilsluttet NemLog-in, som du har været logget ind på
Rettigheder tildelt erhvervsbrugere
Udstedte persistente certifikater til erhvervsbrug
Udstedte certifikater ifm. signering med MitID, fingeraftryk af signerede dokumenter samt referencetekst til signering
Indhold af dokumenter valideret med NemLog-ins valideringstjeneste
Tildelte digitale fuldmagter i NemLog-in
Dokumenter uploadet som dokumentation for identitet og bemyndigelse ved tilslutning af en virksomhed til NemLog-in (pas, kørekort, lønsedler, ansættelseskontrakt mv.)

4.2.2 Følsomme personoplysninger

Vi behandler eventuelt følgende følsomme personoplysninger, såfremt de indgår i digitale fuldmagter, signeringer, dokumenter uploadet som dokumentation for identitet eller bemyndigelser, samt dokumenter som uploades til signaturvalidering:

Oplysninger om race eller etnisk oprindelse
Oplysninger, som indikerer eller kan indikere politisk, religiøs eller filosofisk overbevisning
Oplysninger om den registreredes fagforeningsmæssige tilhørsforhold
Helbredsoplysninger herunder også genetiske data
Biometriske data mhp. identifikation
Oplysninger om seksuelle forhold
Oplysninger om strafbare forhold
Oplysninger om afdøde

5. Modtagere eller kategorier af modtagere

Digitaliseringsstyrelsen videregiver eller overlader dine personoplysninger til følgende modtagere:

Tjenesteudbydere, NemLog-in Brokere og andre aktører tilsluttet NemLog-in.
Myndigheder, der er tilkoblet Digital Fuldmagt, kan tilgå data om borgernes fuldmagtsforhold.
Erhvervsstyrelsen er vores databehandler i forbindelse med håndtering af support, og kan i forbindelse med supportsager tilgå registrerede data om oprettede virksomheder og erhvervsbrugere via MitID Erhverv
POSTNORD STRÅLFORS A/S behandler dine personoplysninger ved afsendelse af fysisk post til Digital Fuldmagt ifm. print og transport af brevet.
Nets DanID A/S og Aeven A/S agerer som databehandlere på vegne af Digitaliseringsstyrelsen og forestår den konkrete behandling af personoplysninger i NemLog-in.

Overførslerne er begrænset til de personoplysninger, der er nødvendige for anvendelsen af NemLog-in. NemLog-in modtager som broker oplysninger om dit MitID i form af et autentifikationssvar, når du bruger MitID til at logge ind på digitale selvbetjeningsløsninger.

Digitaliseringsstyrelsen kan i visse tilfælde være forpligtet til at overføre oplysninger til andre offentlige myndigheder. Overførslen vil være begrænset til de personoplysninger, der er nødvendige for myndighedsudøvelsen.

Digitaliseringsstyrelsen overlader dine personoplysninger til Digitaliseringsstyrelsens databehandlere, der bistår med drift og administration af IT-systemer relateret til NemLog-in løsningen.

Digitaliseringsstyrelsen videregiver IP-adresser, URL på besøgte websteder med tidsstempler (med en tilknyttet IP-adresse), geografisk placering baseret på IP-adresse og oplysning om browserversion/-motor og operativsystemversion/-motor til Akamai Danmark (Akamai Technologies Denmark ApS, CVR 36 02 66 50) til brug for Akamais trafik- og sikkerhedsanalyse af trafikken mod NemLog-in signering og valideringstjenester med henblik på løbende forbedring af deres samlede løsning med det formål at hindre masseangreb på NemLog-in og til problemudbedring/-support. Dette sker navnlig for at sikre, at Akamai kan levere sin service korrekt.

6. Overførsel til modtagere i tredjelande, herunder internationale organisationer

Vi overfører som udgangspunkt ikke dine personoplysninger til modtagere uden for EU og EØS.

Bemærk dog, hvis du benytter MitID Erhverv eller benytter NemLog-in som broker enten i Grønland eller Færøerne, vil Digitaliseringsstyrelsen sikre et overførselsgrundlag.

7. Hvor dine personoplysninger stammer fra

NemLog-in modtager personoplysninger fra MitID.

De personoplysninger, der behandles i Digital Fuldmagt og Digital signering, modtages fra MitID. Yderligere personoplysninger får vi fra dig, hvis disse indtastet i løsningerne eller leveres i form af dokumenter eller anden data.

Personoplysninger, der behandles i MitID Erhverv, bliver registreret, når den organisation du repræsenterer, opretter og tildeler erhvervsidentiteten rettigheder til forskellige digitale selvbetjeningsløsninger og eventuelt tilknytter et dedikeret identifikationsmiddel.

8. Opbevaring af dine personoplysninger

Digitaliseringsstyrelsen opbevarer og behandler dine personoplysninger, så længe det er nødvendigt i forhold til at opfylde formålet om administration og anvendelse af NemLog-in for brugere med MitID eller MitID Erhverv.

9. Personoplysninger, som behandles i forbindelse med support af NemLog-in

Digitaliseringsstyrelsen er også dataansvarlig for de personoplysninger, som vi behandler om dig, hvis du kontakter NemLog-in Supporten. NemLog-in Sup-porten hjælper brugerne med at finde information om og bruge NemLog-in løsningen. Ved NemLog-in Supporten kan du få hjælpe via telefon, e-mail og skærmdeling.

Formålet med Digitaliseringsstyrelsens behandling af personoplysninger, når du kontakter NemLog-in Supporten, er:

Ydelse af support i forbindelse med brugen af NemLog-in og NemLog-ins serviceområder.

Retsgrundlaget for vores behandling af dine oplysninger følger af:

Retsgrundlaget for behandlingen af dine oplysninger i forbindelse med henvendelser via telefon eller e-mail følger af databeskyttelsesforordningens artikel 6, stk. 1, litra e om offentlig myndighedsudøvelse
Retsgrundlaget for behandlingen af dine personoplysninger i forbindelse med skærmdeling og/eller i forbindelse med optagelse af telefonsamtaler følger af databeskyttelsesforordningens artikel 6, stk. 1, litra a om samtykke.
Retsgrundlaget for behandling af dine oplysninger, hvis du indtaster dit CPR-nummer i supportens telefonmenu, er databeskyttelseslovens § 11, stk. 1 for behandling af CPR-nummer.

Supportmedarbejderen vil i forbindelse med skærmdeling kunne se de person-oplysninger, som eventuelt fremgår af den side, hvor du skal have support.

Du kan til enhver tid trække dit samtykke tilbage.

Vi videresender så vidt muligt e-mails, der er fejlsendt til NemLog-in Supporten, til rette myndighed.

9.1 Opbevaring af dine personoplysninger i forbindelse med support af NemLog-in

Ved samtykke optages telefonsamtalen og gemmes i 30 dage, hvorefter den slettes. Samtalen optages med henblik på uddannelse og kvalitetssikring.
Hvis du vælger at indtaste dit CPR-nummer i supportens telefonmenu, vil dit CPR-nummer blive vist for supporteren, når dit kald kommer igennem. Dit CPR-nummer vil ikke blive gemt, og forsvinder fra supporterens skærm, når kaldet afsluttes.
I databehandlerens telefonsystem slettes data om opkaldene efter 90 dage (data omfatter telefonnummer, dato og tidspunkt, kaldslængde, valg af kø, evt. genkald, ventetid og navn på supporter)
Til brug for statistik gemmes data i anonymiseret form i op til 5 år.
Ved samtykke til skærmdeling i skærmdelingsværktøjet, gemmes videosessionen i 90 dage, hvorefter den slettes automatisk. Sessionen optages med henblik på uddannelse og kvalitetssikring.
Alle skriftlige henvendelser gemmes i 6 måneder og slettes herefter.
Alle skriftlige henvendelser, som NemLog-in Supporten videresender til en anden myndighed, journaliseres og gemmes. Eventuelle klager vil også blive journaliseret og gemt.
Vores databehandler anvender en underdatabehandler til at analysere trends i brugeropkald. Dette gøres med henblik på at forbedre supportberedskabet. Samtalerne overføres til underdatabehandleren, der umiddelbart efter modtagelse omdanner talen til tekst og anonymiserer teksten. Den anonymiserede tekst anvendes derefter til analyse af trends.

10. Dine rettigheder

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af oplysninger om dig.

Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.

Ret til at se oplysninger (indsigtsret)

Du har ret til at få indsigt i de oplysninger, som vi behandler om dig, samt en række yderligere oplysninger.

Du kan til enhver tid se de personoplysninger, som Digitaliseringsstyrelsen har registreret om dig.

Du kan kontakte Digitaliseringsstyrelsen på en af følgende måder:

Send Digital Post til Digitaliseringsstyrelsen
Almindeligt brev stilet til Digitaliseringsstyrelsen, Landgreven 4, 1301 København, hvor følgende er angivet: ”Indsigt i behandling af NemLog-in personoplysninger”.

Ret til berigtigelse (rettelse)

Du har ret til at få urigtige oplysninger om dig selv rettet.

Hvis du anvender MitID Erhverv modtager vi dine personoplysninger fra den organisation, du repræsenterer. Ønsker du at få urigtige oplysninger om dig berigtiget, skal du derfor kontakte en NemLog-in administrator hos din organisationen.

Anvender du dit private MitID relateret til NemLog-in, kan du læse mere om din ret til berigtigelse i MitID privatlivspolitik via følgende link:

Privatlivspolitik - MitID på mitid.dk

Ret til sletning

Digitaliseringsstyrelsen opbevarer og behandler dine personoplysninger, så længe det er nødvendigt i forhold til formålet, der er relateret til administrtion, forvaltning og drift af NemLog-in og NemLog-ins tjenester.

I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer. Reglerne for sletning følger af persondataforordningens artikel 17.

Ret til begrænsning af behandling

Du har i visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset.

Begrænsning af behandling af dine personoplysninger kan dog betyde, at du ikke kan bruge MitID eller MitID Erhverv, og dermed heller ikke kan benytte serviceområderne i NemLog-in. Hvis du vil anmode om begrænsning af behandling af dine personoplysninger, skal du rette henvendelse til Digitaliseringsstyrelsen.Se kontaktoplysninger ovenfor.

Ret til indsigelse

I særlige situationer har du som bruger ret til at gøre indsigelse mod behandling af de personoplysninger, som Digitaliseringsstyrelsen har registreret om dig.