Begäran om utlåtande
Arbetsgrupp föreslår åtgärder för att förebygga missbruk av personuppgifter

Arbetsgruppen i anslutning till projektet för att förnya personbeteckningen föreslår flera åtgärder för att förebygga missbruk av personbeteckningen och personuppgifter och för att förbättra praxis för identifiering av personer.

Arbetsgruppens rekommendationer baserar sig på en bakgrundsutredning från våren 2021. Av utredningen framgick att användningen av stark autentisering varierar stort mellan olika sektorer och servicekanaler. Identifieringen av kunder är bristfällig i synnerhet vid telefonkontakt. En annan viktig fråga som lyftes fram var användningen av FPA-kort för identifiering.

Utlåtanden om åtgärdsförslagen begärs i samband med remissbehandlingen av de lagutkast som gäller reformen av personbeteckningen. Remisstiden pågår från den 10 januari till den 4 mars 2022. Beslut om eventuellt genomförande av åtgärderna fattas senare.

Arbetsgruppens viktigaste åtgärdsrekommendationer

Användning av stark autentisering i större utsträckning 

Arbetsgruppen rekommenderar användning av stark autentisering eller något annat tillförlitligt identifieringssätt, om identifieringssätt på lägre nivå eller individualisering med hjälp av personbeteckningen inte räcker till för att hindra risk för missbruk av personbeteckningen och andra personuppgifter. I enlighet med lagen om stark autentisering och betrodda elektroniska tjänster tillhandahålls stark autentisering av de identifieringstjänster som införts i Transport- och kommunikationsverkets register. Arbetsgruppen anser att stark autentisering är den mest hållbara och säkraste lösningen när det gäller att ersätta användningen av personbeteckningen för identifiering.

Staten håller på att ta fram en ny digital identitetshandling vid sidan av pass och identitetskort. Den digitala identitetshandlingen gör det möjligt att styrka identiteten både när man uträttar ärenden fysiskt och när man gör det elektroniskt. En digital identitetshandling utfärdad av polisen gör det smidigare för olika tjänsteleverantörer att kontrollera identiteten. Enligt arbetsgruppen är det viktigt att göra det så enkelt och jämlikt som möjligt för tjänsteleverantörerna att ta i bruk en ny digital identitetshandling och för medborgarna att använda den.

FPA-kortets och identitetskortets framtid

Arbetsgruppen rekommenderar att man inleder en diskussion om planerna för en framtida användning av FPA-kort för identifiering, om sammanslagningen av identitetskortets och FPA-kortets funktioner och om lika tillgång till identitetskort. Användningen av FPA-kort för identifiering utgör enligt utredningen den största risken, eftersom missbruk av kortet kan riskera patientsäkerheten eller leda till misslyckad läkemedelsbehandling.

Enligt arbetsgruppen finns det dock inte tillräckligt med information att tillgå för att den ska kunna rekommendera användning av identitetskort i stället för FPA-kort för identifiering. Det behövs ytterligare utredningar och konsekvensbedömningar innan gruppen kan komma med nya rekommendationer. Det gäller särskilt att utreda om det finns medborgargrupper som inte kan få ett identitetskort av ekonomiska eller andra skäl.

Utveckling av lagstiftningen och översyn av dataskyddslagen

Arbetsgruppen rekommenderar att man inleder en diskussion om att utveckla lagstiftningen och se över dataskyddslagen. Genom att förtydliga dataskyddslagstiftningen kan man förhindra att personbeteckningen används för identifiering.

Arbetsgruppen rekommenderar dessutom att man inleder en omfattande granskning av den sektorspecifika reglering som förpliktar aktörerna att samla in eller använda personbeteckningen för individualisering eller identifiering. Genom speciallagstiftning eller myndighetsanvisningar är det möjligt att precisera vilka identifieringssätt eller identifieringsuppgifter som är tillräckliga för att identifiera en person i olika situationer.

Varningsmärkning gällande hanteringen av egna uppgifter

Arbetsgruppen rekommenderar att man utreder möjligheten att införa en varningsmärkning i befolkningsdatasystemet och koppla märkningen till det positiva kreditupplysningsregistret. Vid beredningen bör man beakta de funktionella behoven i fråga om märkningen, och vid eventuell lagberedning gäller det att göra en omfattande konsekvensbedömning.

Med varningsmärkning avses en anteckning som medborgaren själv gör i befolkningsdatasystemet i fråga om sina egna uppgifter. Medborgaren kan göra en anteckning i systemet till exempel om hen har tappat bort sin identitetshandling eller om hens personuppgifter av andra skäl har hamnat i fel händer. Till exempel i Danmark har detta varit möjligt sedan 2017.

Det ska vara frivilligt för företag och andra organisationer att ta emot och använda varningsmärkningar. Varningsmärkningarna gör till exempel företag som erbjuder krediter särskilt uppmärksamma på att försäkra sig om kreditsökandens identitet. Om märkningen tas i bruk ska myndigheterna ge organisationerna rekommendationer om eventuella åtgärder. Också medborgarna bör informeras i tillräcklig grad om märkningens effekter.

Anvisningar och information

Arbetsgruppen rekommenderar att man i pågående och kommande projekt bedömer både behovet av nya sektorspecifika anvisningar för identifiering av personer och behovet av att uppdatera de nuvarande anvisningarna. Dessutom rekommenderar arbetsgruppen att man reserverar tillräckliga resurser för att utarbeta anvisningar. Enligt arbetsgruppen löser ett tillförlitligt identifieringsverktyg inte ensamt alla problem, om det inte används på rätt sätt. Bakgrundsutredningen visade att många organisationer har svårt att skilja mellan identifiering och individualisering av en person.

Arbetsgruppen rekommenderar att man fäster vikt vid enhetlig kommunikation i projektet för att förnya personbeteckningen och i projektet för att utveckla en digital identitet. Det gäller också att gå ut med information om tjänsterna för stark autentisering enligt lagen om stark autentisering och betrodda elektroniska tjänster. Arbetsgruppen anser att informationen till allmänheten om säker identifieringspraxis bör kopplas till kommunikationen om den servicehelhet som håller på att byggas upp (inklusive tilldelandet av personbeteckningar, tjänsterna till offer för dataläckage och den digitala identitetshandlingen).

Ytterligare information:

Heikki Talkkari, konsultativ tjänsteman, arbetsgruppens ordförande, tfn 0295 530 096, [email protected]