NemLog-in Privatlivspolitik

Denne side har til formål at oplyse dig om dine rettigheder i forbindelse med den behandling af dine personoplysninger, der finder sted, når du benytter NemLog-in-tjenester. Digitaliseringsstyrelsen er dataansvarlig for behandlingen af dine personoplysninger i forbindelse med NemLog-in.

Indledning

Denne privatlivspolitik for NemLog-in beskriver, hvordan Digitaliseringsstyrelsen behandler dine personoplysninger i forbindelse med NemLog-in-tjenester, og hvad dine rettigheder er i den forbindelse.

1. Vi er den dataansvarlige – hvordan kontakter du os?

Digitaliseringsstyrelsen er dataansvarlig for behandlingen af de personoplysninger, som vi har modtaget om dig. Du finder vores kontaktoplysninger nedenfor.

Digitaliseringsstyrelsen
Landgreven 4
1301 København
CVR-nr.: 34051178
Telefon: 3392 5200
E-mail: digst@digst.dk

2. Kontaktoplysninger på databeskyttelsesrådgiveren

Digitaliseringsministeriets koncern har udpeget en databeskyttelsesrådgiver, som vejleder i reglerne om databeskyttelse inden for Digitaliseringsministeriets område. Databeskyttelses-rådgiverens opgave er at understøtte, at ministeriet overholder reglerne om behandling af personoplysninger.

Databeskyttelsesrådgiveren kan vejlede dig om dine rettigheder i forbindelse med behandlingen af dine personoplysninger inden for ministeriets område. Hvis du ønsker at kontakte databeskyttelsesrådgiveren via e-mail, bedes du undlade at oplyse dit personnummer eller andre følsomme/fortrolige oplysninger.

Digitaliseringsstyrelsen
Att.: Databeskyttelsesrådgiveren
Landgreven 4
1301 København K
E-mail: dpo@digst.dk

3. Formålene med og retsgrundlaget for behandlingen af dine personoplysninger

Formålet med Digitaliseringsstyrelsens behandling af dine personoplysninger er:

  • At stille NemLog-in til rådighed, hvor brugere med MitID eller et andet godkendt identifikationsmiddel kan anvende tjenesterne: Login og autentifikation, Digital Fuldmagt, MitID Erhverv og Digital signering.
  • Digitaliseringsstyrelsen behandler dine personoplysninger til brug for formål, der er relateret til administration, forvaltning og drift af NemLog-in samt forbedring af supportservice.

Retsgrundlaget for vores behandling af dine personoplysninger følger af:

  • Lov om MitID og NemLog-in (Lov 2021-05-04 nr. 783 om MitID og NemLog-in som ændret ved led lov 1559 af 12. december 2023)
  • Databeskyttelsesforordningen Artikel 6, stk. 1, litra e for behandling af almindelige personoplysninger
  • Databeskyttelseslovens § 11, stk. 1 for behandling af cpr-nummer.

3.1. NemLog-in stiller følgende serviceområder til rådighed:

3. 1.1. Login og autentifikation – MitID broker

Log-in er den funktion, der vises i internetbrowseren, når du ønsker at logge ind på en digital selvbetjeningsløsning, der er tilsluttet NemLog-in som fx borger.dk, sundhed.dk og virk.dk.

3.1.2. Digital Fuldmagt

Digital Fuldmagt giver dig mulighed for, at du kan lade dig repræsentere af en anden i en digital selvbetjeningsløsning. Du kan lade dig repræsentere af en privatperson, en erhvervsbruger eller en virksomhed.

3. 1.3. Digital signering

Digital signering gør det muligt, at du som borger eller erhvervsbruger kan signere dokumenter i offentlige og private selvbetjeningsløsninger. Signeringstjenesten indeholder en valideringstjeneste, som kan anvendes til at validere gyldigheden af signaturer og elektroniske segl.

3. 1.4. MitID Erhverv - Erhvervsadministration

MitID Erhverv gør det muligt for brugerorganisationer at administrere deres erhvervsbrugere, udstede identifikationsmidler samt tildele og administrere rettigheder og certifikater til erhvervsbrugerne.

4. Kategorier af personoplysninger

4.1 Ved anvendelse af NemLog-in som privatperson 

Vi behandler potentielt følgende kategorier af personoplysninger om dig, når du anvender NemLog-in som privatperson:

4.1.1 Almindelige personoplysninger

  • Fulde navn
  • Pseudonym
  • Fødselsdato
  • Bruger-id'er og unikke identifikationsnumre (UUID-numre, PID-nummer mv)
  • CPR-nummer og -status
  • Kontaktinformation,
    • Adresse
  • Tilknytninger til virksomheder fra CVR-registret
  • Tekniske oplysninger som IP-adresse, browseroplysninger, og sessionsoplysninger
  • Risikodata modtaget fra MitID:
    • Oplysning om lokation for enheden, som anvendes til log-in, netværksoplysninger og information om identiteten og seneste anvendelse.
  • Tjenester tilsluttet NemLog-in, som du har været logget ind på
  • Udstedte certifikater ifm. signering med MitID, signerede dokumenters fingeraftryk (hashværdi) samt referencetekst til signering
  • Indhold af dokumenter valideret med NemLog-ins valideringstjeneste
  • Tildelte og afgivne digitale fuldmagter i NemLog-ins fuldmagtsløsning

4.1.2 Følsomme personoplysninger

Vi behandler eventuelt følgende følsomme personoplysninger, såfremt de indgår i dokumenter som uploades til validering:

  • Oplysninger om race eller etnisk oprindelse
  • Oplysninger, som indikerer eller kan indikere politisk, religiøs eller filosofisk overbevisning
  • Oplysninger om den registreredes fagforeningsmæssige tilhørsforhold
  • Helbredsoplysninger herunder også genetiske data
  • Biometriske data mhp. identifikation
  • Oplysninger om seksuelle forhold
  • Oplysninger om strafbare forhold
  • Oplysninger om afdøde

4.2 Ved anvendelse af NemLog-in som erhvervsbruger

Vi behandler potentielt følgende kategorier af personoplysninger om dig, når du anvender NemLog-in som erhvervsbruger:

4.2.1 Almindelige personoplysninger

  • Fulde navn
  • Pseudonym
  • Fødselsdato
  • Bruger-id'er og unikke identifikationsnøgler (UUID-numre, RID-nummer mv.)
  • CPR-nummer og -status
  • Kontaktinformation,
    • E-mailadresse
    • Adresse
    • Telefon
  • Tilknytninger til virksomheder i CVR-registret
  • Tekniske oplysninger som IP-adresse, browseroplysninger, og sessionsoplysninger
  • Risikodata modtaget fra MitID:
    • Oplysning om lokation for log-in, enheden, som anvendes til log-in, netværksoplysninger og information om identiteten og seneste anvendelse.
  • Tjenester tilsluttet NemLog-in, som du har været logget ind på
  • Rettigheder tildelt erhvervsbrugere
  • Udstedte persistente certifikater til erhvervsbrug
  • Udstedte certifikater ifm. signering med MitID, fingeraftryk af signerede dokumenter samt referencetekst til signering
  • Indhold af dokumenter valideret med NemLog-ins valideringstjeneste
  • Tildelte digitale fuldmagter i NemLog-in
  • Dokumenter uploadet som dokumentation for identitet og bemyndigelse ved tilslutning af en virksomhed til NemLog-in (pas, kørekort, lønsedler, ansættelseskontrakt mv.)

4.2.2 Følsomme personoplysninger

Vi behandler eventuelt følgende følsomme personoplysninger, såfremt de indgår i digitale fuldmagter, signeringer, dokumenter uploadet som dokumentation for identitet eller bemyndigelser, samt dokumenter som uploades til signaturvalidering:

  • Oplysninger om race eller etnisk oprindelse
  • Oplysninger, som indikerer eller kan indikere politisk, religiøs eller filosofisk overbevisning
  • Oplysninger om den registreredes fagforeningsmæssige tilhørsforhold
  • Helbredsoplysninger herunder også genetiske data
  • Biometriske data mhp. identifikation
  • Oplysninger om seksuelle forhold
  • Oplysninger om strafbare forhold
  • Oplysninger om afdøde

5. Modtagere eller kategorier af modtagere

Digitaliseringsstyrelsen videregiver eller overlader dine personoplysninger til følgende modtagere:

  • Tjenesteudbydere, NemLog-in Brokere og andre aktører tilsluttet NemLog-in.
  • Myndigheder, der er tilkoblet Digital Fuldmagt, kan tilgå data om borgernes fuldmagtsforhold.
  • Erhvervsstyrelsen er vores databehandler i forbindelse med håndtering af support, og kan i forbindelse med supportsager tilgå registrerede data om oprettede virksomheder og erhvervsbrugere via MitID Erhverv
  • POSTNORD STRÅLFORS A/S behandler dine personoplysninger ved afsendelse af fysisk post til Digital Fuldmagt ifm. print og transport af brevet.
  • Nets DanID A/S og Aeven A/S agerer som databehandlere på vegne af Digitaliseringsstyrelsen og forestår den konkrete behandling af personoplysninger i NemLog-in.

Overførslerne er begrænset til de personoplysninger, der er nødvendige for anvendelsen af NemLog-in. NemLog-in modtager som broker oplysninger om dit MitID i form af et autentifikationssvar, når du bruger MitID til at logge ind på digitale selvbetjeningsløsninger.

Digitaliseringsstyrelsen kan i visse tilfælde være forpligtet til at overføre oplysninger til andre offentlige myndigheder. Overførslen vil være begrænset til de personoplysninger, der er nødvendige for myndighedsudøvelsen.

Digitaliseringsstyrelsen overlader dine personoplysninger til Digitaliseringsstyrelsens databehandlere, der bistår med drift og administration af IT-systemer relateret til NemLog-in løsningen.

Digitaliseringsstyrelsen videregiver IP-adresser, URL på besøgte websteder med tidsstempler (med en tilknyttet IP-adresse), geografisk placering baseret på IP-adresse og oplysning om browserversion/-motor og operativsystemversion/-motor til Akamai Italien (Akamai Technologies Italy) til brug for Akamais trafik- og sikkerhedsanalyse af trafikken mod NemLog-in signering og valideringstjenester med henblik på løbende forbedring af deres samlede løsning med det formål at hindre masseangreb på NemLog-in og til problemudbedring/-support. Dette sker navnlig for at sikre, at Akamai kan levere sin service korrekt.

6. Overførsel til modtagere i tredjelande, herunder internationale organisationer

Vi overfører som udgangspunkt ikke dine personoplysninger til modtagere uden for EU og EØS.

Bemærk dog, hvis du benytter MitID Erhverv eller benytter NemLog-in som broker enten i Grønland eller Færøerne, vil Digitaliseringsstyrelsen sikre et overførselsgrundlag.

7. Hvor dine personoplysninger stammer fra

NemLog-in modtager personoplysninger fra MitID.

De personoplysninger, der behandles i Digital Fuldmagt og Digital signering, modtages fra MitID. Yderligere personoplysninger får vi fra dig, hvis disse indtastet i løsningerne eller leveres i form af dokumenter eller anden data.

Personoplysninger, der behandles i MitID Erhverv, bliver registreret, når den organisation du repræsenterer, opretter og tildeler erhvervsidentiteten rettigheder til forskellige digitale selvbetjeningsløsninger og eventuelt tilknytter et dedikeret identifikationsmiddel.

8. Opbevaring af dine personoplysninger

Digitaliseringsstyrelsen opbevarer og behandler dine personoplysninger, så længe det er nødvendigt i forhold til at opfylde formålet om administration og anvendelse af NemLog-in for brugere med MitID eller MitID Erhverv.

9. Personoplysninger, som behandles i forbindelse med support af NemLog-in

Digitaliseringsstyrelsen er også dataansvarlig for de personoplysninger, som vi behandler om dig, hvis du kontakter NemLog-in Supporten. NemLog-in Supporten hjælper brugerne med at finde information om og bruge NemLog-in løsningen. Ved NemLog-in Supporten kan du få hjælpe via telefon, e-mail og skærmdeling.

Formålet med Digitaliseringsstyrelsens behandling af personoplysninger, når du kontakter NemLog-in Supporten, er:

Ydelse af support i forbindelse med brugen af NemLog-in og NemLog-ins serviceområder samt forbedring af supportens service.

Retsgrundlaget for vores behandling af dine oplysninger følger af:

  • Retsgrundlaget for behandlingen af dine oplysninger i forbindelse med henvendelser via telefon eller e-mail følger af databeskyttelsesforordningens artikel 6, stk. 1, litra e om offentlig myndighedsudøvelse
  • Retsgrundlaget for behandlingen af dine personoplysninger i forbindelse med kundetilfredshedsundersøgelser, anonymiseret undersøgelse af opkalds-trends, skærmdeling og/eller i forbindelse med optagelse af telefonsamtaler følger af databeskyttelsesforordningens artikel 6, stk. 1, litra a om samtykke.
  • Retsgrundlaget for behandling af dine oplysninger, hvis du indtaster dit CPR-nummer i supportens telefonmenu, er databeskyttelseslovens § 11, stk. 1 for behandling af CPR-nummer.

Supportmedarbejderen vil i forbindelse med skærmdeling kunne se de personoplysninger, som eventuelt fremgår af den side, hvor du skal have support.

Du kan til enhver tid trække dit samtykke tilbage.

Vi videresender så vidt muligt e-mails, der er fejlsendt til NemLog-in Supporten, til rette myndighed/enhed.

9.1 Opbevaring af dine personoplysninger i forbindelse med support af NemLog-in

Erhvervsstyrelsen er vores databehandler i forbindelse med support.

  • Ved samtykke optages telefonsamtalen og gemmes i 30 dage, hvorefter den slettes. Samtalen optages med henblik på uddannelse og kvalitetssikring.
  • Ved samtykke til modtagelse af kundetilfredshedsundersøgelse slettes dit telefonnummer efter 90 dage og din kommentar slettes efter 180 dage. Kundetilfredshedsundersøgelsen fremsendes på baggrund af din telefoniske henvendelse.
  • Hvis du vælger at indtaste dit CPR-nummer i supportens telefonmenu, vil dit CPR-nummer blive vist for supporteren, når dit kald kommer igennem. Dit CPR-nummer vil ikke blive gemt, og forsvinder fra supporterens skærm, når kaldet afsluttes.
  • I databehandlerens telefonsystem slettes data om opkaldene efter 90 dage (data omfatter telefonnummer, dato og tidspunkt, kaldslængde, valg af kø, evt. genkald, ventetid og navn på supporter)
  • Til brug for statistik gemmes data i anonymiseret form i op til 5 år.
  • Ved samtykke til skærmdeling i skærmdelingsværktøjet, gemmes videosessionen i 90 dage, hvorefter den slettes automatisk. Sessionen optages med henblik på uddannelse og kvalitetssikring.
  • Alle skriftlige henvendelser gemmes i 6 måneder og slettes herefter.
  • Ved samtykke til modtagelse af kundetilfredshedsundersøgelse ifm. skriftlige henvendelser slettes din e-mail efter 90 dage og din kommentar i kundetilfredshedsundersøgelsen slettes efter 180 dage. Kundetilfredshedsundersøgelsen fremsendes på baggrund af din skriftlige henvendelse.
  • Alle skriftlige henvendelser, som NemLog-in Supporten videresender til en anden myndighed, journaliseres og gemmes. Eventuelle klager vil også blive journaliseret og gemt.
  • Databehandleren anvender en underdatabehandler til at undersøge trends i brugeropkald. Dette gøres med henblik på at forbedre supportens serivce. Samtalerne overføres til underdatabehandleren, der umiddelbart efter modtagelse omdanner talen til tekst og anonymiserer teksten. Den anonymiserede tekst anvendes derefter til analyse af trends. Underdatabehandleren opbevarer lydoptagelsen af samtalen i 30 dage, hvorefter den slettes.

10. Personoplysninger, som behandles i forbindelse med brug af hjemmesider

NemLog-in har:

  • nemlog-in.dk, herunder tu.nemlog-in.dk, broker.nemlog-in.dk

Når du som borger besøger en af de ovennævnte hjemmesider, anvendes der cookies til statistiske formål med henblik på at skabe et overblik over, hvor mange besøgende der på hjemmesiden, og hvilke dele af hjemmesiden der besøges. Du har som bruger mulighed for at klikke ”Nej tak til cookies”, hvis du ikke ønsker dine oplysninger indsamles.

Læs mere om cookies, der er brugt på NemLog-in.dk

Læs mere om cookies, der er brugt på tu.nemlog-in.dk

Læs mere om cookies, der er brugt på broker.nemlog-in.dk

11. Dine rettigheder

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af oplysninger om dig.

Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.

Ret til at se oplysninger (indsigtsret)

Du har ret til at få indsigt i de oplysninger, som vi behandler om dig, samt en række yderligere oplysninger.

Du kan til enhver tid se de personoplysninger, som Digitaliseringsstyrelsen har registreret om dig.

Du kan kontakte Digitaliseringsstyrelsen på en af følgende måder:

  • Send Digital Post til Digitaliseringsstyrelsen
  • Almindeligt brev stilet til Digitaliseringsstyrelsen, Landgreven 4, 1301 København, hvor følgende er angivet: ”Indsigt i behandling af NemLog-in personoplysninger”.

Ret til berigtigelse (rettelse)

Du har ret til at få urigtige oplysninger om dig selv rettet.

Hvis du anvender MitID Erhverv modtager vi dine personoplysninger fra den organisation, du repræsenterer. Ønsker du at få urigtige oplysninger om dig berigtiget, skal du derfor kontakte en MitID Erhverv administrator hos din organisationen.

Anvender du dit private MitID relateret til NemLog-in, kan du læse mere om din ret til berigtigelse i MitID privatlivspolitik via følgende link:

Privatlivspolitik - MitID på mitid.dk

Ret til sletning

Digitaliseringsstyrelsen opbevarer og behandler dine personoplysninger, så længe det er nødvendigt i forhold til formålet, der er relateret til administrtion, forvaltning og drift af NemLog-in og NemLog-ins tjenester.

I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer. Reglerne for sletning følger af persondataforordningens artikel 17.

Ret til begrænsning af behandling

Du har i visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset.

Begrænsning af behandling af dine personoplysninger kan dog betyde, at du ikke kan bruge MitID eller MitID Erhverv, og dermed heller ikke kan benytte serviceområderne i NemLog-in. Hvis du vil anmode om begrænsning af behandling af dine personoplysninger, skal du rette henvendelse til Digitaliseringsstyrelsen.Se kontaktoplysninger ovenfor.

Ret til indsigelse

I særlige situationer har du som bruger ret til at gøre indsigelse mod behandling af de personoplysninger, som Digitaliseringsstyrelsen har registreret om dig.

Du kan kontakte Digitaliseringsstyrelsen på en af følgende måder:

  • Send Digital Post til Digitaliseringsstyrelsen
  • Almindeligt brev stilet til Digitaliseringsstyrelsen, Landgreven 4, 1301 København med titlen ”Klage over behandling af NemLog-in personoplysninger”.

Ret til at transmittere oplysninger (dataportabilitet)

Denne rettighed finder ikke anvendelse for NemLog-in, da behandlingen sker som led i myndighedsudøvelse, som den dataansvarlige har fået pålagt ved lov.

Retten til at trække samtykke tilbage

Retten til at trække samtykke tilbage er relevant i forbindelse med support. Når du anmoder om support vil du nogle gange blive bedt om samtykke til, at dine personoplysninger behandles i forbindelse med kundetilfredshedsanalyser, skærmdeling og undersøgelse af opkaldsanalyse. Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af vores behandling af dine personoplysninger på baggrund af dit tidligere meddelte samtykke og op til tidspunktet for tilbagetrækningen. Hvis du tilbagetrækker dit samtykke, har det derfor først virkning fra dette tidspunkt.

Du skal desuden være opmærksom på, at der eksisterer undtagelser til rettighederne, hvorfor du ikke altid vil kunne gøre brug af alle dine rettigheder. Dette skyldes, at vi som offentlige myndigheder i mange tilfælde behandler personoplysninger som led i sin myndighedsudøvelse.

12. Klage til Datatilsynet

Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på. Du finder Datatilsynets kontaktoplysninger på datatilsynets hjemmeside.

Datatilsynets hjemmeside: Kontakt

Du er også velkommen til at rette henvendelse til Digitaliseringsstyrelsen.