Det er IT- og Telestyrelsen der har udstukket retningslinjerne for omgang med følsomme data i forbindelse med NemID, og de skal nu overholdes af DanID, der administrerer løsningen.
En gang om året gennemgår en ekstern revision, om det så er tilfældet.
Revisionen rapporterer til IT- og Telestyrelsen, der evaluerer resultaterne.
Ifølge IT- og Telestyrelsens personoplysningspolitik, der fremgår af styrelsens webside, er den erklærede målsætning at beskytte dine oplysninger "uanset hvorfra disse oplysninger indsamles, videregives eller opbevares."
Selv om DanID er kommercielt forpligtet over for IT og Telestyrelsen via den kontrakt om at udvikle og udbyde NemID, som de har vundet ved udbud, kan der naturligvis opstå uenigheder.
Hvis der opstår tvister mellem DanID og IT- og Telestyrelsen, er der er ingen fortilfælde fra lignende sager, der kan give en indikation om, hvor ansvaret placeres eller eventuel erstatning, men ifølge Palle H. Sørensen fra IT- og Telestyrelsen gælder de almindelige retslige spilleregler.
Hvad gemmer I så på?
Helt konkret opbevarer DanID dit navn, adresse og dit CPR-nummer sammen med oplysninger om NemID. Hvis du har oplyst dit mobilnummer og din e-mail-adresse, bliver disse oplysninger ligeledes opbevaret.
Har du oprettet NemID via din bank, som mange gør, behandler DanID dine personoplysninger på vegne af banken.
Når du bruger NemID, registrerer DanID tidspunktet, brugeridentiteten og den IP-adresse, du bruger NemID fra.
Desuden kan du vælge at få registreret, hvilke hjemmesider du bruger NemID på, men det er en funktion, man selv skal sætte flueben ved via selvbetjeningsmodulet på NemID's webside.
Herfra er det ligeledes muligt at se alle de oplysninger, som logges i forbindelse med en NemID-konto.
Alle disse oplysninger er ifølge DanID helt personlige, dog kan politiet med en dommerkendelse også få adgang til oversigten, hvis der er mistanke om misbrug.
Statistik eller ej
IT- og Telestyrelsen indsamler desuden brugerinformationer via en cookie i NemID. Ifølge styrelsen er det dog udelukkende i opsummeret form og til statistik-formål, og ikke til at identificere den enkelte bruger.
De tekstbaserede cookies samler blandt andet oplysninger om IP-nummer, browsertype, operativsystem og besøgstidspunkter.
IT- og Telestyrelsen udveksler disse oplysninger til brug for statistik med et eksternt firma, der ikke videregiver informationerne til andre end DanID og IT- og Telestyrelsen.
"IT- og Telestyrelsen videregiver aldrig personoplysninger til øvrige tredjeparter," kan man læse på styrelsens webside.
Hvis man ikke ønsker, at IT- og Telestyrelsen identificerer computeren, kan cookie-funktionen slås fra i browserens sikkerhedsindstillinger.
DanID: Der udveksles ikke oplysninger
Der har været en intens debat, ikke mindst på Computerworld, om hvorvidt de websider, man besøger, mens man er logget på med NemID, kan få information om, hvem du er og om din færden.
Dagbladet Børsen har stillet spørgsmålstegn ved, om NemID's brug af Java-appletter er sikker nok.
Og det er den i øjeblikket, fastslår professor Ivan Bjerre Damgård overfor Computerworld.
Hvis den virksomhed, man besøger er godkendt til at bruge CPR-numre, kan virksomheden få det som en identifikation af dig i forbindelse med et NemID-login. Men der er ikke adgang til hverken dine adgangsoplysninger eller nøgler.
Når man bruger NemID, får virksomheden udelukkende information om, hvem du er.
"De får ikke oplysninger om, hvor du ellers bruger NemID, og de kan heller ikke bruge NemID til at udveksle oplysninger om dig," siger Jette Knudsen, pressechef i DanID.
Du kan ikke slette din NemID
Når man indhenter et OCES-certifikat, der står for Offentlige Certifikater til Elektronisk Service, og knytter det til sin NemID-konto, giver man samtidig samtykke til, at DanID må foretage en række handlinger.
DanID må blandt andet foretage opslag i CPR for at indhente dit navn og din adresse.
DanID må desuden videregiver sammenhængen mellem din offentlige digitale signatur og dit CPR-nummer til den offentlige PID-tjeneste hos IT- og Telestyrelsen. PID-tjenesten bruges til opslag fra offentlige tjenesteudbydere for at identificere dig.
I forbindelse med private webtjenester skal der et samtykke til, før der kan foretages opslag, som er relateret til CPR-nummeret, mens det offentlige altså har direkte adgang.
Hvis du ikke længere ønsker at oplysninger om NemID bliver administreret på denne måde, kan man nedlægge sin NemID ved henvendelse til DanID eller et borgerservicecenter, hvis man ønsker at lukke adgangen til den offentlige adgang eller via sin bank, hvis man ønsker at lukke for bankadgang.
Ønsker man at nedlægge adgangen til både offentlig adgang og bank, skal man henvende sig begge steder.
Ingen slettemulighed
En NemID-konto kan ikke slettes helt. Det er nemlig ikke muligt at nedlægge en identitet.
"Af sikkerheds- og revisionsmæssige årsager kan en bruger ikke få fjernet sine digitale spor helt," fortæller Jette Knudsen fra DanID.
"Vi er bundet af at skulle gemme informationerne i mindst seks år," fortæller hun.
Det skyldes blandt andet, at der skal være mulighed for at dokumentere en bagudrettet hændelse, eksempelvis i forbindelse med en politiefterforskning.
Har man lukke sin konto, kan den ikke genåbnes så man kan genskabe sin historik. I det tilfælde får man en ny brugerprofil.