Indsigelse mod overgang fra sikkerhedsløsningen NemID til MitID ved brug af indklagedes selvbetjeningssystemer
| Sagsnummer: | 98/2022 |
| Dato: | 20-10-2022 |
| Ankenævn: | Bo Østergaard, Inge Kramer, Mette Lindekvist Højsgaard, Tina Thygesen, Finn Borgquist. |
| Klageemne: |
Netbank - tekniske forhold
|
| Ledetekst: | Indsigelse mod overgang fra sikkerhedsløsningen NemID til MitID ved brug af indklagedes selvbetjeningssystemer |
| Indklagede: | Djurslands Bank |
| Øvrige oplysninger: | |
| Senere dom: | |
| Pengeinstitutter |
Indledning
Sagen vedrører indsigelse mod overgang fra sikkerhedsløsningen NemID til MitID ved brug af indklagedes selvbetjeningssystemer.
Sagens omstændigheder
Klageren var kunde i Djurslands Bank, hvor han blandt andet havde en konto og adgang til bankens selvbetjeningssystemer.
Klageren blev på et ikke nærmere oplyst tidspunkt af banken bedt om at skifte fra sikkerhedsløsningen NemID til MitID i forbindelse med anvendelse af bankens selvbetjeningssystemer.
Herefter indgav klageren en klage til banken, idet han ønskede at fortsætte med at benytte bankens selvbetjeningssystemer ved brug af NemID og ikke ønskede at overgå til MitID.
Banken fastholdt, at klageren skulle overgå til MitID begrundet i det faktum, at NemID udfases og erstattes af Den danske nationale elektroniske identifikationsordning (Mit- ID), jf. lov nr. 783 af 4. maj 2021 om MitID og NemLog-in (Lov om MitID).
Parternes påstande
Den 12. marts 2022 har klageren indbragt sagen for Ankenævnet med påstand om, at Djurslands Bank skal give ham mulighed for at beholde de funktioner og muligheder, som han har i dag med NemID.
Djurslands Bank har principalt nedlagt påstand om afvisning, subsidiært frifindelse.
Parternes argumenter
Klageren har anført, at han ikke ønsker at overgå til MitID. Han bruger og ønsker fortsat at bruge sit NemID til transaktioner i sin bank. Der er ikke argumenter for højere sikkerhed ved brug af MitID. Tværtimod synes der at være alvorlige sikkerhedsbrister i systemet
Banken bedes fremlægge dokumentation for, at MitID er en mere sikker løsning end NemID.
Staten kræver, at han har en bankkonto, det kan hverken være rimeligt eller lovligt af banken, en privat virksomhed, at gå statens ærinde. MitID indeholder andre væsentlige funktioner end blot til identitetsbekræftelse, som intet har med bankvirksomhed at gøre. Det kan ikke være bankens opgave at tvinge ham ind i dette system, for at han kan opretholde sine funktioner til almindelige bankforretninger. Argumentet med at MitID er sikrere end NemID, har han ikke set dokumentation for. NemID er en særdeles sikker ordning. Hans NemID løsning har hele fem koder, hvilket må siges at være et særdeles højt sikkerhedsniveau. Han har aldrig oplevet brister med denne løsning.
Banken har ingen ret til at blande sig i, om han bruger sine penge via den ene eller den anden løsning.
MItID er koblet sammen i et overordnet system, hvilket også indeholder sundhedsoplysninger samt sociale oplysninger om ham som borger. Denne sammenblanding samtykker han ikke til. Det kan og må ikke være sådan, at banken eller staten stiller betingelser for brugen af hans egne penge. Banken bedes fremlægge lovhjemmel for sin ret hertil.
Banken kan ikke fremvise en kontrakt, hvori der står, at den har ret til at ændre en så grundlæggende betingelse for ham som kunde.
Djurslands Bank har til støtte for afvisningspåstanden anført, at Ankenævnet ikke er rette klageinstans vedrørende afgørelser om MitID. Ifølge bekendtgørelse nr. 1778 af 1. september 2021 om MitID til privatpersoner (bekendtgørelsen) § 10, stk. 1, kan sådanne klager påklages til Digitaliseringsstyrelsen, jfr. § 4, stk. 2 i lov om MitID.
Banken har subsidiært anført, at sagen bør afvises i henhold til Ankenævnets vedtægter § 5, stk. 3, nr. 2, idet klageren ikke har konstateret et økonomisk tab. Der er således intet konkret økonomisk mellemværende.
Til støtte for frifindelsespåstanden har banken anført, at lovgiver har fastlagt, at Nem- ID erstattes af MitID. Intet sted i lovgivningen pålægges det banken at acceptere forældede og udfasningsmodne sikringsforanstaltninger.
Endvidere fremgår det af bekendtgørelsen § 2, stk. 3, sidste punktum, at ”Tjenesteudbydere(banken) gennemfører en risikovurdering og fastsætter på den baggrund krav til sikringsniveauet for autentifikation i deres digitale selvbetjeningsløsninger”. Det er således alene banken, der kan fastsætte, hvilke autentifikationsløsninger, der kræves anvendt for fortsat adgang til og brug af bankens selvbetjeningsløsninger.
Ankenævnets bemærkninger
Klagen vedrører indsigelse mod overgang fra sikkerhedsløsningen NemID til MitID ved brug af Djurslands Banks selvbetjeningssystemer.
Det følger af lov nr. 783 af 4. maj 2021 om MitID og NemLog-in, at NemID skal udfases og erstattes af MitID.
Ankenævnet finder ikke grundlag for at pålægge banken at lade klageren anvende bankens selvbetjeningssystemer uden brug af MitID.
Klageren får derfor ikke medhold i klagen.
Ankenævnets afgørelse
Klageren får ikke medhold i klagen.