Den Dansk Stat Tillidstjenester

Den Dansk Stat Tillidstjenester

Vilkår for signaturer baseret på kvalificerede personcertifikater

Version 1.2

11. oktober 2022

Indholdsfortegnelse

1 Indledning og formål 3

2 Beskrivelse af signeringsløsningen 3

3 Kontaktinformation 4

4 Den juridiske gyldighed af en elektronisk signatur 4

5 Anvendelsesmuligheder 4

5.1 Generel anvendelse 4

5.2 Certifikatets gyldighedsperiode 4

5.3 Spærreliste 4

6 Signaturløsningens tilgængelighed 5

6.1 Signeringsløsningen 5

7 Dine forpligtelser ved afgivelse af en elektronisk signatur 5

7.1 Opdaterede og korrekte oplysninger om dig 5

7.2 Anvendelse af signaturgenereringsdata 5

7.3 Beskyttelse af identifikationsmiddel 5

7.4 Underretning af Digitaliseringsstyrelsen og spærring af certifikat 5

7.5 Beskyttelse på et kvalificeret elektronisk signaturgenereringssystem (QSCD) 6

8 Forpligtelser som modtager af en signatur 6

9 Support 6

10 Digitaliseringsstyrelsens registrering af oplysninger 7

10.1 Registrering af oplysninger ved afgivelse af en signatur 7

10.2 Lagring af data 7

10.3 Oplysninger der ikke registreres 7

10.4 Offentliggørelse af certifikatet 7

11 Behandling af personoplysninger 7

11.1 Privatlivspolitik 7

11.2 Dataansvar 7

12 Elektronisk kommunikation 8

13 Ansvar ved afgivelse og modtagelse af en elektronisk signatur 8

13.1 Ansvar for indehaver af et certifikat 8

13.2 Ansvar for modtager af digitalt underskrevne data 8

13.3 Ansvar ved afgivelse af tidsstempel 8

14 Ændring af vilkår 8

15 Lovvalg og tvister 8

16 Ophør og overdragelse af Den Danske Stats Tillidstjenester 9

1 Indledning og formål

Disse vilkår regulerer privatpersoners afgivelse af en elektronisk signatur (herefter signatur) på dokumenter og andre data hos selvbetjeningsløsninger, der er tilsluttet signeringsløsningen i NemLog-in.

Vilkårene skal accepteres i signeringsløsningen, før der kan afgives en signatur.

Hvor ikke andet er anført, er disse vilkår ligeledes gældende for udstedelsen af tidsstempler, der sammenkobles med signaturen.

Afgivelse af en signatur i signaturløsningen forudsætter, at du som privatperson kan autentificere dig med dit private MitID.

Du skal behandle dit MitID i overensstemmelse med de regler og vilkår (MitID Slutbrugervilkår), der er gældende for dette og som accepteres i forbindelse med udstedelsen et MitID.

Signaturer og tidsstempler i signeringsløsningen er udstedt af Den Danske Stat Tillidstjenester (CA1) ved Digitaliseringsstyrelsen.

2 Beskrivelse af signeringsløsningen

Signeringsløsningen understøtter afgivelse af en signatur på dokumenter og anden data.

Signaturen er en kvalificeret elektronisk signatur, der er anerkendt i EU og EØS. Den danske stat agerer således som kvalificeret tillidstjenesteudbyder som nærmere beskrevet i Europa-Parlamentets og Rådets forordning (EU) Nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (eIDAS forordningen). Den afgivne signatur har derfor retskraft i hele Europa på samme måde som en fysisk underskrift.

Når du benytter løsningen, udstedes et certifikat, der herefter indgår i signaturen. Ud over en række tekniske oplysninger indeholder certifikatet dit navn og et unikt løbenummer, og sikrer at det efterfølgende kan konstateres, at det er dig, der har afgivet signaturen.

Certifikatet kan alene anvendes til afgivelse af én signatur. Næste gang du skal afgive en signatur udstedes et nyt certifikat.

Det anvendte tidsstempel er kvalificeret og er anerkendt i EU og EØS. Tidsstemplingen dokumenterer tidspunktet for afgivelse af signaturen, herunder at et certifikat og de signerede data var til stede på underskriftstidspunktet. Det kvalificerede tidsstempel, der sammenkobles med den elektroniske signatur er udstedt på baggrund af Digitaliseringsstyrelsens Offentlig politik for kvalificeret tidsstempling, version 1.1.

Disse vilkår er udarbejdet i overensstemmelse med den Offentlige certifikatpolitik for kvalificerede personcertifikater version 1.1, der danner grundlaget for Digitaliseringsstyrelsens udstedelse af kvalificerede personcertifikater.

Certifikatpolitikken og politik for tidsstempling kan læses på xxxxxxxxxx.xxx.xx

Den Danske Stat Tillidstjenester udsteder andre certifikattyper til brug i erhvervsmæssig sammenhæng, som er underlagt særskilte vilkår.

En detaljerede beskrivelse af tillidstjenesterne kan læses på xxx.XX0.xxx.xx.

3 Kontaktinformation

Digitaliseringsstyrelsen

Att. Den Danske Stat Tillidstjenester Landgreven 4

1301 København K

Tlf. (x00)0000 0000

xxxx@xx0.xxx.xx CVR: 34051178

4 Den juridiske gyldighed af en elektronisk signatur

En kvalificeret elektronisk signatur fra signaturløsningen afgivet af dig som fysisk person forpligter på samme måde, som din fysiske underskrift. Det er derfor væsentligt, at du er opmærksom på, hvad du skriver under på, når du afgiver signaturen.

Signaturen har ensartet anerkendelse i EU og EØS og ligestilles her med en fysisk underskrift.

Tidsstemplet sikrer, at det kan dokumenteres, hvornår signaturen blev afgivet samt hvilket dokument eller anden data, der blev underskrevet på dette tidspunkt. Et tidsstempel må ikke nægtes retsvirkning og anerkendelse som bevis under retssager, alene af den grund at det er i elektronisk form.

5 Anvendelsesmuligheder

5.1 Generel anvendelse

Signaturer med tilhørende certifikater fra signeringsløsningen kan anvendes til at afgive viljeerklæringer og til aftaleindgåelser med både fysiske og juridiske personer, herunder offentlige myndigheder og offentlige organisationer.

Det er alene muligt at signere dokumenter og anden data online hos tjenesteudbydere, der er tilsluttet til signeringsløsningen. Det er ikke muligt at anvende signeringsløsningen til at signere e-mails eller til hemmeligholdelse (kryptering).

Der er ikke fastlagt begrænsninger til hvilke typer aftaler og forpligtigelser du kan indgå ved anvendelse af en signatur fra signeringsløsningen.

5.2 Certifikatets gyldighedsperiode

Certifikatet har en gyldighedsperiode på 10 dage. Den tekniske løsning sikrer dog, at det ikke er muligt at generere flere signaturer på baggrund af samme certifikat. Certifikatets gyldighedsperiode på 10 dage efter afgivelsen af signaturen, er alene begrundet i tekniske hensyn til de systemer, der efterfølgende skal læse signaturen.

5.3 Spærreliste

Information om status på udstedte certifikater kan til enhver tid tilgås via signaturløsningens spærreliste på: xxxxx://xxx.xx0.xxx.xx/xxxx/

6 Signaturløsningens tilgængelighed

6.1 Signeringsløsningen

Signeringsløsningen og tilknyttede services er tilgængelig døgnet rundt alle årets dage. Digitaliseringsstyrelsen er dog ikke ansvarlig for at ovenstående tilgængelighed leveres.

7 Dine forpligtelser ved afgivelse af en elektronisk signatur

7.1 Opdaterede og korrekte oplysninger om dig

Forud for afgivelse af signaturen præsenteres du i signaturløsningen for dit navn. Signeringsløsningen har denne oplysninger fra dit MitID.

Du skal sikre dig at dit navn fremstår korrekt, da det inkluderes i signaturen og det tilhørende certifikat med henblik på at dokumentere, at signaturen er afgivet af dig.

Ved din godkendelse af den pågældende signering, accepterer du samtidig certifikatet, og at de anførte oplysninger om dit navn er korrekte.

Hvis oplysningerne ikke er korrekte, skal du afbryde signeringsprocessen og opdatere dit MitID i overensstemmelse med de regler, der gælder for dette.

7.2 Anvendelse af signaturgenereringsdata

Du kan ikke anvende signaturgenereringsdata (den private nøgle) til signering af andre certifikater.

7.3 Beskyttelse af identifikationsmiddel

Du skal beskytte dit XxxXX og tilhørende sikkerhedsmekanismer (f.eks. kodeord og MitID App), du anvender til brug for afgivelse af signaturen, i overensstemmelse med de vilkår, der er gældende herfor, således at der er taget rimelige forholdsregler for, at der ikke afgives en signatur i dit navn af andre end dig selv.

Hvis du har mistanke om, at dit MitID er kompromitteret, skal du suspendere eller spærre det i overensstemmelse med MitID Slutbrugervilkår (vilkår og betingelser for MitID) og betingelser for privatpersoners besiddelse af MitID, jf. § 8 i bekendtgørelse om MitID til privatpersoner, således at det hindres, at dit MitID ikke uberettiget kan anvendes af andre end dig selv til at afgive en signatur i dit navn.

7.4 Underretning af Digitaliseringsstyrelsen og spærring af certifikat

Som udgangspunkt behøver du aldrig af spærre et certifikat fra signeringsløsningen.

Du er dog forpligtet til straks at underrette Digitaliseringsstyrelsen og spærre dit certifikat, hvis du konstaterer unøjagtigheder eller ændringer af data, der er inkluderet i certifikatet inden udløb af certifikatets gyldighedsperiode, jf. punkt 5.2.

Spærring af et certifikatkan skal ske via xxxxx://xxxxx.xx0.xxx.xx. Spærring kan ske døgnet rundt. Du kan ligeledes sende anmodning om spærring med fysisk post til Digitaliseringsstyrelsens adresse som oplyst i punkt 3.

Spærring af et tidligere anvendt certifikat er igen hindring for, at du kan få udsted et nyt certifikat til brug for afgivelse af en ny signatur.

7.5 Beskyttelse på et kvalificeret elektronisk signaturgenereringssystem (QSCD)

Signaturløsningen sikrer, at den signatur, som du afgiver, genereres under en høj grad af sikkerhed og kobles til det dokument eller anden data, som du præsenteres for i selvbetjeningsløsningen.

Til brug herfor anvender Digitaliseringsstyrelsen et såkaldt kryptografisk modul (QSCD), hvorefter signaturgenereringsdata forbliver under din kontrol under signeringsprocessen.

8 Forpligtelser som modtager af en signatur

Forud for at have tillid til et certifikat skal modtageren af en signatur fra signeringsløsningen sikre sig følgende:

• At certifikatet er gyldigt og ikke spærret - dvs. ikke opført på Den Danske Stats Tillidstjenesters spærreliste,

• at det formål, certifikatet søges anvendt til, er passende i forhold til evt. anvendelsesbegrænsninger i certifikatet samt

• at anvendelsen af certifikatet i øvrigt er passende i forhold til niveauet af sikkerhed, som er beskrevet i certifikatpolitikken, jf. punkt 2.

Inden et tidsstempel accepteres skal modtageren af en signatur sikre sig følgende:

• at tidsstemplet er korrekt signeret, og at den private nøgle, der bruges til at signere tidsstemplet, ikke er blevet markeret som kompromitteret på kontroltidspunktet,

• at anvendelsen sker inden for eventuelle begrænsninger for brugen af tidsstemplet angivet i tidsstempelpolitikken og

• at andre forholdsregler, der er angivet i aftaler eller lignende, er opfyldte.

Med mindre andre forhold tilsiger andet, vil en signatur fra signeringsløsningen være gyldig, hvorved modtageren kan støtte ret herpå, selv om certifikatet efter afgivelsen af signaturen er udløbet eller spærret.

Detaljeret information om modtagerens forpligtelser fremgår af PKI Disclosure Statement, der er tilgængelig på xxx.xx0.xxx.xx/xxx. Digitaliseringsstyrelsen har desuden indsat nærmere information i certifikatet om anvendelsen heraf, herunder henvisning til PKI Disclosure Statement.

9 Support

Spørgsmål til det dokument eller de data, der underskrives, skal rettes til den tjenesteudbyder, der er ansvarlig herfor. Tilsvarende skal spørgsmål relateret til den anvendte digitale selvbetjeningsløsning rettes til tjenesteudbyder.

Support af selve forløbet i signeringsklienten kan rettes til NemLog-in support (xxxxx://xxx.xxxxxx- xx.xx/xxxxxxx/).

10 Digitaliseringsstyrelsens registrering af oplysninger

10.1 Registrering af oplysninger ved afgivelse af en signatur

Når du afgiver en signatur og der oprettes et certifikat registrer Digitaliseringsstyrelsen en række oplysninger om dig, certifikatet og hvilken tjenesteudbyder, signaturen har været anvendt hos.

Følgende registreres:

• Tidspunkt for signering

• Dit navn (fornavn og efternavn)

• Din alder

• Det NSIS sikringsniveau (Level Of Assurance) du er autoriseret med over for tjenesten

• CPR/session UUID

• Referencetekst

• Tekniske oplysninger relateret til autentifikationen (SAML assertion)

10.2 Lagring af data

Digitaliseringsstyrelsen gemmer data om dig og din anvendelse af Signaturer og certifikater fra signaturløsningen i 7 år fra tidspunktet for afgivelse af en signatur. Oplysninger om de accepterede vilkår ved anvendelsen af signaturen gemmes ligeledes.

Opbevaring sker af hensyn til oprettelse af et højt niveau for privatlivsbeskyttelse, efterforskning og anvendelse som bevismateriale, f.eks. i retssager. Alle data relateret en signatur slettes løbende, når syvårs fristen for certifikatets udløbsdato nås.

10.3 Oplysninger der ikke registreres

Digitaliseringsstyrelsen registrerer ikke de data eller dokumenter, som du har signeret i signaturløsningen.

10.4 Offentliggørelse af certifikatet

Certifikater fra Den Danske Stat Tillidstjeneste offentliggøres ikke i et offentligt tilgængeligt register. Certifikatet eksisterer alene indlejret i signaturen.

11 Behandling af personoplysninger

11.1 Privatlivspolitik

Du kan i Digitaliseringsstyrelsens privatlivspolitik for NemLog-in (xxxxx://xxxxx.xx/xx-xxxxxxxxxx/xxxxxx- in/om-loesningen/persondata/) læse, hvilke oplysninger Digitaliseringsstyrelsen indsamler, opbevarer og behandler om dig i forbindelse med udstedelse af certifikater og afgivelse af signaturer.

11.2 Dataansvar

Digitaliseringsstyrelsen er dataansvarlig for dine personoplysninger, som behandles i signeringsløsningen. Nets DanID A/S er databehandler for Digitaliseringsstyrelsen.

Behandlingen af dine personoplysninger er underlagt databeskyttelsesreglerne, herunder databeskyttelsesforordningen og databeskyttelsesloven.

Personoplysninger slettes efter 7 år.

12 Elektronisk kommunikation

Ved accept af disse vilkår gives der samtidig samtykke til, at Digitaliseringsstyrelsen i forbindelse med drift af signeringsløsningen kan henvende sig til dig via e-mail. Henvendelser kan f.eks. vedrøre driftsrelateret information, sikkerhedsrelaterede forhold, ændringer og ophør.

13 Ansvar ved afgivelse og modtagelse af en elektronisk signatur

13.1 Ansvar for indehaver af et certifikat

Digitaliseringsstyrelsen er efter dansk rets almindelige regler erstatningsansvarlige for manglende opfyldelse af disse vilkår, herunder for tab, der skyldes, at Digitaliseringsstyrelsen har begået fejl i forbindelse med registrering, udstedelse og spærring af certifikatet.

Digitaliseringsstyrelsen er forpligtet til at løfte bevisbyrden for ikke at have handlet forsætligt eller uagtsomt.

13.2 Ansvar for modtager af digitalt underskrevne data

Digitaliseringsstyrelsen er over for den, der med rimelighed forlader sig på en kvalificeret elektronisk signatur fra signaturløsningen, erstatningsansvarlig efter dansk rets almindelige regler, medmindre Digitaliseringsstyrelsen kan løfte bevisbyrden for ikke at have handlet forsætligt eller uagtsomt, herunder at certifikatet ikke er anvendt i overensstemmelse med de i certifikatet indeholdte retningslinjer.

Omfattet af Digitaliseringsstyrelsens ansvar er tab, der skyldes, at Digitaliseringsstyrelsen har begået fejl i forbindelse med registrering, udstedelse og spærring af certifikatet.

Digitaliseringsstyrelsens ansvar over for juridiske personer, herunder offentlige myndigheder og offentlige organisationer er i alle tilfælde begrænset til 100.000 kr. for hver tabsgivende begivenhed, og er i alle tilfælde maksimeret til 100.000 kr. årligt. Ved en tabsgivende begivenhed anses alle forhold, der udspringer af samme fortsatte eller gentagne ansvarspådragende forhold.

13.3 Ansvar ved afgivelse af tidsstempel

Det ovenfor under punkt 13.1 og punkt 13.2 anførte er ligeledes gældende for Digitaliseringsstyrelsens afgivelse af tidsstempler.

14 Ændring af vilkår

Digitaliseringsstyrelsen har ret til uden varsel at ændre disse vilkår for signaturer, der afgives efter ændringen. Såfremt der foretages ændringer, vil du blive bedt om at acceptere opdaterede vilkår næste gang, du ønsker at afgive en signatur.

15 Lovvalg og tvister

Retsforholdet ifølge disse vilkår og fortolkning heraf afgøres efter dansk ret.

Enhver tvist, der måtte udspringe af brugen af signaturer og certifikater udstedt af Digitaliseringsstyringsstyrelsen, skal indbringes for Københavns Byret.

16 Ophør og overdragelse af Den Danske Stats Tillidstjenester

Digitaliseringsstyrelsen er berettiget til at videregive alle oplysninger og forpligtelser efter disse vilkår til en anden juridisk enhed, herunder en offentlig myndighed eller et offentligretligt organ, som får til opgave at varetage den fortsatte forvaltning med eller ophør af Den Danske Stats Tillidstjenester.