sou 2019 14

Till statsrådet Mikael Damberg

Regeringen beslutade den 17 augusti 2017 att tillkalla en särskild ut- redare med uppdrag att utreda och lämna förslag till förändringar av de krav som gäller för svenska identitetshandlingar i syfte att minska det ökade antalet bedrägerier som begås med hjälp av förfalskade iden- titetshandlingar.

Som särskild utredare förordnades från och med den 1 oktober 2017 justitierådet Inga-Lill Askersjö.

Som sakkunniga i utredningen förordnades från och med den 1 oktober 2017 kanslirådet Roger Ghiselli (Justitiedepartementet) samt rättssakkunniga Ulrika Stenström (Näringsdepartementet) och Annica Svedberg (Finansdepartementet). Roger Ghiselli entlediga- des från uppdraget från och med den 23 april 2018.

Som experter att biträda utredningen förordnades från och med den 1 oktober 2017 verksjuristen Fredrik Forsanäs (Transportstyrelsen), ekonomen Peter Göransson (Svenska Bankföreningen), dåvarande verksjuristen Anna Månsson Nylén (E-legitimationsnämnden), rätts- liga experten Håkan Grenryd (Skatteverket) och juristen Anna Owens (Polismyndigheten). Anna Månsson Nylén entledigades från uppdraget från och med den 23 april 2018. Från och med den 23 april 2018 förordnades departementssekreteraren Nils Fjelkegård (Finansdepartementet) och rättssakkunniga Sandra Melin (Justitie- departementet) som experter i utredningen.

Som sekreterare i utredningen anställdes från och med den 1 okto- ber 2017 dåvarande hovrättsassessorn Karin Månsson. Karin Månsson avslutade sitt arbete i utredningen den 1 januari 2018. Från och med den 16 januari 2018 förordnades hovrättsassessorn Jonna Wiborn som utredningssekreterare.

Utredningen, som har tagit sig namnet 2017 års ID-kortsutred- ning, överlämnar härmed betänkandet Ett säkert statligt ID-kort – med e-legitimation. Uppdraget är med detta slutfört.

Förkortningar och begrepp

Biometriska	Personuppgifter som erhållits genom
uppgifter/biometriska	en särskild teknisk behandling som rör
data	en fysisk persons fysiska, fysiologiska
	eller beteendemässiga kännetecken och
	som möjliggör eller bekräftar identifie-
	ringen av denna fysiska person.
	Fotografier som inte bearbetas tekniskt
	genom en särskild metod som syftar
	till identifiering faller utanför defini-
	tionen
Brå	Brottsförebyggande rådet
CNP	Card Not Present, bedrägeri som be-
	gås genom att kortuppgifter används
	för att genomföra köp, vanligen via
	internet, utan att bedragaren har
	tillgång till det fysiska betalkortet
CP	Card Present, bedrägeri som begås av
	en fysiskt närvarande köpare med hjälp
	av ett fysiskt betalkort som antingen är
	stulet eller manipulerat och försett
	med stulna kortuppgifter

Dataskyddsförordningen Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Förkortningar och begrepp

SOU 2019:14

Dataskyddslagen	Lagen (2018:218) med kompletterande
	bestämmelser till EU:s dataskyddsför-
	ordning
Det nya dataskydds-	Europaparlamentets och rådets
direktivet	direktiv (EU) 2016/680 av den
	27 april 2016 om skydd för fysiska
	personer med avseende på behöriga
	myndigheters behandling av person-
	uppgifter för att förebygga, förhindra,
	utreda, avslöja eller lagföra brott eller
	verkställa straffrättsliga påföljder, och
	det fria flödet av sådana uppgifter och
	om upphävande av rådets rambeslut
	2008/977/RIF
Det tredje	Europaparlamentets och rådets
körkortsdirektivet	direktiv 2006/126/EG av den
	20 december 2006 om körkort
DNV	DNV GL Business Assurance
	Sweden AB
eIDAS-förordningen	Europaparlamentets och rådets förord-
	ning (EU) nr 910/2014 av den 23 juli
	2014 om elektronisk identifiering och
	betrodda tjänster för elektroniska
	transaktioner på den inre marknaden
	och om upphävande av direktiv
	1999/93/EG
ELOV	Lagen (2013:311) om valfrihetssystem
	i fråga om tjänster för elektronisk
	identifiering
Förslag till	Förslag till Europaparlamentets och
EU:s id-kortsförordning	rådets förordning om säkrare identi-
	tetskort för unionsmedborgare och
	uppehållshandlingar som utfärdas till
	unionsmedborgare och deras familje-
	medlemmar när de utövar rätten till fri
	rörlighet, COM (2018) 212

SOU 2019:14Förkortningar och begrepp

EU:s passförordning	Rådets förordning (EG) nr 2252/2004
	av den 13 december 2004 om standar-
	der för säkerhetsdetaljer och
	biometriska kännetecken i pass och
	resehandlingar som utfärdas av
	medlemsstaterna
Förlitande aktör	Den aktör som har behov av att verifi-
	era en användares uppgifter om sin
	identitet vid identifiering med e-legiti-
	mation i en e-tjänst
IdF	Förordningen (2015:904) om identi-
	tetskort för folkbokförda i Sverige
IdL	Lagen (2015:899) om identitetskort
	för folkbokförda i Sverige
Lagringsmedium	Funktion för lagring av elektronisk
	information, t.ex. det chip som finns
	på pass
LMA-kort	Tillfälligt LMA-kort för utlänning i
	Sverige är ett kort som innehåller ett
	fotografi av innehavaren och som visar
	att denne är asylsökande. LMA står för
	lagen (1994:137) om mottagande av
	asylsökande m.fl.
LOU	Lagen (2016:1145) om offentlig upp-
	handling
NBC	Nationellt bedrägericenter, Polismyn-
	digheten
NFC	Nationellt forensiskt centrum, Polis-
	myndigheten
Olika typer av	Med olika typer avses de olika huvud-
identitetshandlingar	kategorierna av identitetshandlingar
	som finns, såsom pass, nationellt
	identitetskort etc.

Förkortningar och begrepp

SOU 2019:14

Olika versioner av	Med olika versioner avses de olika
identitetshandlingar	modeller som en och samma typ av
	identitetshandling kan förekomma i
	beroende på att olika versioner
	utfärdas vid olika tidpunkter
OSF	Offentlighets- och sekretessförord-
	ningen (2009:641)
OSL	Offentlighets- och sekretesslagen
	(2009:400)
RF	Regeringsformen
Rörlighetsdirektivet	Europaparlamentets och rådets
	direktiv 2004/38/EG av den
	29 april 2004 om unionsmedborgares
	och deras familjemedlemmars rätt att
	fritt röra sig och uppehålla sig inom
	medlemsstaternas territorier och om
	ändring av förordning (EEG)
	nr 1612/68 och om upphävande av
	direktiven 64/221/EEG, 68/360/EEG,
	72/194/EEG, 73/148/EEG,
	75/34/EEG, 75/35/EEG,
	90/364/EEG, 90/365/EEG och
	93/96/EEG
SIS	Swedish Standards Institute
TF	Tryckfrihetsförordningen
Tillitsramverket	Myndigheten för digital förvaltnings
	Tillitsramverk för Svensk e-legitima-
	tion ärendenr. 2018-158

Sammanfattning

Vårt uppdrag

Vårt övergripande uppdrag har varit att utreda och lämna förslag till förändringar av de krav och rutiner som gäller för svenska identitets- handlingar i syfte att minska det ökande antalet bedrägerier som be- gås med användning av förfalskade handlingar. Uppdraget har bl.a. bestått i att analysera hur antalet handlingar och utfärdare kan begrän- sas, hur verifieringen av äktheten och giltigheten av handlingarna kan förbättras, hur de bör utfärdas och utformas för att bli säkrare samt om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå. I uppdraget har även ingått att föreslå en enhetlig reglering av giltiga identitetshandlingar och även i övrigt lämna nöd- vändiga författningsförslag.

Statliga identitetshandlingar

Vi föreslår en ny lag och en ny förordning om statliga identitets- handlingar med bestämmelser om ett statligt identitetskort och en statlig e-legitimation. I lagen avses med statliga fysiska identitets- handlingar de fysiska identitetshandlingar som staten utfärdar, dvs. det nya id-kortet och passet.

Id-kortet kan utfärdas med eller utan funktion som resehandling och ersätter både det nationella identitetskortet och identitetskortet för folkbokförda i Sverige. Att id-kortet utfärdas med funktion som resehandling innebär att det, förutom att användas som identitets- handling, även kan användas som resehandling i stället för pass vid resor inom EU. Det överensstämmer med det som i dag gäller för det nationella identitetskortet. På det nya id-kortet får det också finnas en statlig e-legitimation. Pass kommer även fortsättningsvis att regleras i passlagen.

Sammanfattning

SOU 2019:14

Statliga fysiska identitetshandlingar ger säker identifiering

Det finns i dag många handlingar som accepteras som bevis för någons identitet, vilket försvårar kontrollen av handlingarnas äkthet och giltighet och medför att de kan missbrukas. Pass och det före- slagna statliga identitetskortet uppfyller de säkerhetskrav som bör ställas på identitetshandlingar och täcker de behov av identitetshand- lingar som finns hos landets invånare. Endast dessa handlingar ska därför godtas som fysiska identitetshandlingar i de situationer som kräver en säker identifiering.

En statlig fysisk identitetshandling ska krävas för att styrka iden- titeten i samband med utfärdande av pass, utfärdande av statligt iden- titetskort och i situationer som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism.

Avsikten är dock att handlingarna på sikt ska vara de enda iden- titetshandlingar som används även i andra situationer där det finns behov av att göra säkra identitetskontroller, exempelvis vid utläm- nande av försändelser vid postutlämningsställen.

Körkortet kommer alltså inte att vara en statlig identitetshandling med den föreslagna regleringen. Anledningen till detta är att körkor- tet inte uppfyller de säkerhetskrav som bör ställas på identitetshand- lingar. Körkortet har bl.a. en alltför lång giltighetstid och det krävs inte personlig inställelse i samband med förnyelse. Körkortet är fram- för allt en handling som styrker behörigheten att köra fordon och inte en identitetshandling.

En statlig e-legitimation på det statliga identitetskortet

Den ökade digitaliseringen gör det allt svårare att klara sig i samhället utan tillgång till en e-legitimation. Det är därför viktigt att alla ges möjlighet att skaffa en säker e-legitimation. En säker elektronisk iden- tifiering bidrar också till att motverka den identitetsrelaterade brotts- ligheten. Med en säker grundidentifiering som görs av en myndighet vid ett personligt besök minskar risken för att fel person får tillgång till e-legitimationen.

Vi föreslår att en statlig e-legitimation på högsta tillitsnivå får finnas på det statliga identitetskortet. E-legitimationen ska även

SOU 2019:14

Sammanfattning

kunna användas för att skapa en elektronisk underskrift. Den kan utfärdas till personer som har fyllt 13 år och som är svenska med- borgare eller folkbokförda i landet.

Utfärdandet ska följa processen för utfärdande av id-kortet. Här- igenom uppnås samma höga nivå av säkerhet som för statliga fysiska identitetshandlingar.

Förutom att användas vid identifiering som sker på distans kan den statliga e-legitimationen också användas vid en identitetskontroll som görs vid t.ex. utlämning av paket. En kontroll av e-legitimatio- nen tillsammans med en kontroll av den fysiska identitetshandlingen innebär att identitetskontrollen blir säkrare. För att effektivisera kon- trollen skulle också en kontroll av e-legitimationen kunna ersätta en kontroll av den fysiska handlingen i de fall det bedöms tillräckligt.

Polismyndigheten ska utfärda de statliga identitetshandlingarna

Vi föreslår att Polismyndigheten ska ha det huvudsakliga ansvaret för utfärdandet. Genom att låta en myndighet ansvara för utfärdandet av de statliga identitetshandlingarna uppnås stora samordningsvins- ter. Det skapar förutsättningar att göra processen mer enhetlig och säker, att förbättra handlingarnas säkerhetsnivå och att åstadkomma bättre kontroll. Det leder också till kostnadsbesparingar och till en effektivare utfärdandeverksamhet.

Polismyndigheten har redan en omfattande och väl fungerande verksamhet för utfärdande av pass och nationella identitetskort. Be- gränsningen av antalet utfärdare är dessutom ett led i att bekämpa identitetskapningar och identitetsrelaterad bedrägeribrottslighet vil- ket gör det särskilt lämpligt att Polismyndigheten får ansvaret för att utfärda samtliga statliga identitetshandlingar.

Utlandsmyndigheterna och utrikesdepartementet ska på samma sätt som i dag kunna utfärda pass och identitetskort till svenska med- borgare. Även de statliga identitetskort som utfärdas av utlandsmyn- digheterna kan innehålla en statlig e-legitimation.

Sammanfattning

SOU 2019:14

Processen för utfärdande av de statliga identitetshandlingarna

Den nya lagen, den nya förordningen jämte föreskrifter som med- delas med stöd av dessa kommer heltäckande att reglera processen för utfärdande av statliga identitetskort och e-legitimationer.

Den personliga inställelsen är central för säkerheten i utfärdan- det. Det krävs därför normalt att sökanden inställer sig personligen både vid ansökan och vid utlämnande av id-kortet. För att göra kor- tet tillgängligt för personer som på grund av sjukdom, funktions- nedsättning eller hög ålder inte kan ta sig till den utfärdande myndig- heten finns dock en möjlighet att ansöka genom bud. Förfarandet med bud kan dock inte användas för att få id-kort med funktion som resehandling, utan endast kort utan sådan funktion.

Förfarandet är på grund av att sökanden inte inställer sig per- sonligen kringgärdat av andra säkerhetshöjande föreskrifter. Bland annat gäller att sökanden genom ett skriftligt intyg ska styrka att det finns hinder för inställelse samt att budet ska inställa sig personligen för att lämna in ansökan och hämta ut id-kortet.

Sökanden ska styrka sin identitet med en statlig fysisk identitets- handling när ansökan görs. Om sökanden inte har en sådan kan iden- titeten styrkas med pass från vissa europeiska länder, med hjälp av en intygsgivare eller i sista hand på något annat tillförlitligt sätt. En sökan- de som har beviljats uppehållstillstånd kan styrka sin identitet genom uppgifter som finns hos Migrationsverket i fråga om personens uppe- hållstillstånd. Den utfärdande myndigheten får också kontrollera fingeravtryck och ansiktsbild som finns på uppehållstillståndskortet. Om ansökan görs genom bud ska budet styrka sin identitet med en statlig fysisk identitetshandling. Pass från vissa europeiska länder ska också godtas. Innan identitetskortet lämnas ut ska sökanden på be- gäran styrka sin identitet på samma sätt som vid ansökan.

Id-kortet ska vara giltigt i fem år. Regeringen eller den myndighet regeringen bestämmer ska få meddela föreskrifter om begränsning av giltighetstiden i särskilt angivna fall.

Ett tidigare utfärdat statligt identitetskort ska lämnas in för maku- lering vid utlämnande av ett nytt identitetskort. Detta gäller oavsett om det gamla kortet var utfärdat med eller utan funktion som rese- handling. En och samma person ska alltså endast kunna inneha ett statligt identitetskort.

SOU 2019:14

Sammanfattning

Ett statligt identitetskort ska återkallas om någon väsentlig upp- gift som framgår av kortet är felaktig eller inte längre gäller och om det är trasigt, utslitet eller obehörigen ändrat. Dessutom ska åter- kallelse ske om det fanns hinder mot att utfärda identitetskortet vid tiden för utfärdandet och hindret fortfarande består samt om någon annan än den som identitetskortet är utställt på förfogar över kortet. Om kortet återkallas ska även den statliga e-legitimationen som finns på kortet upphöra att gälla. E-legitimationen ska dessutom återkallas om det är nödvändigt av säkerhetsskäl. En sådan återkall- else kan begränsas till viss bestämd tid, dock högst sex månader.

I syfte att göra även processen för utfärdande av pass säkrare före- slås även några ändringar i passlagstiftningen. Vid ansökan om och utlämnande av pass ska sökanden som huvudregel styrka sin identitet med en statlig fysisk identitetshandling. Motsvarande undantag som föreslås beträffande det statliga identitetskortet ska gälla även vid ansökan om pass. Ett tidigare utfärdat pass ska vidare lämnas in för makulering vid utlämnande av ett nytt pass. Även pass ska kunna åter- kallas om någon väsentlig uppgift som framgår av passet är felaktig eller inte längre gäller.

På samma sätt som i dag ska det finnas register över id-korten. Även uppgifter om den statliga e-legitimationen ska registreras.

Personuppgifterna ska få behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av korten och e-legitimationerna. Personuppgifter som samlats in för den verk- samheten ska även få behandlas om det är nödvändigt för utfärdande av pass, för gränskontroll eller för att lämna ut uppgifter i överens- stämmelse med lag eller förordning. Detsamma gäller om det är nöd- vändigt för att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Uppgifterna ska slutligen få behandlas för andra ända- mål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålet.

Uppgifter och handlingar i registret ska inte få behandlas under längre tid än vad som behövs för ändamålet med behandlingen, dock

Sammanfattning

SOU 2019:14

längst tio år efter att id-kortets giltighetstid har gått ut eller ansökan om id-kort avslagits.

Fingeravtryck och ansiktsbild

Identitetshandlingar som innehåller biometriskt underlag säker- ställer kopplingen mellan handlingen och den person den är utfärdad till. Användningen av biometriska uppgifter är därför ett effektivt sätt att motverka missbruk av identitetshandlingar. Det gör också att möjligheten att förfalska handlingen försvåras. Vi föreslår därför att det i ett lagringsmedium på det statliga identitetskortet ska finnas fingeravtryck och ansiktsbild. Fingeravtrycken och ansiktsbilderna ska kunna kontrolleras både vid ansökan om och utlämnande av ett nytt id-kort eller pass. Kontroll ska även kunna göras i samband med resa till eller från Sverige.

Barn under sex år och personer som av fysiska skäl är förhindrade att lämna fingeravtryck ska undantas från kravet på fingeravtryck. För sökande som har fysiska skador av tillfällig karaktär ska ett iden- titetskort med en kortare giltighetstid kunna utfärdas.

Personer som ansöker om id-kort genom bud ska, i stället för att lämna fingeravtryck och låta den utfärdande myndigheten ta en an- siktsbild, bifoga ett välliknande fotografi till ansökan. Budet och ett vittne ska i en skriftlig försäkran intyga att ansökan gjorts av sökan- den och att det fotografi som bifogas ansökan föreställer sökanden.

I samband med ansökan om id-kort och pass ska det vara möjligt för den utfärdande myndigheten att göra sökningar på ansiktsbilder och biometriska uppgifter i id-kortsregistret och passregistret. Mot- svarande sökning ska få göras vid ansökan om pass. Genom använd- ning av ansiktsigenkänning kan det säkerställas att en person inte får id-kort utfärdade för olika identiteter. I övrigt ska sökning på sådana uppgifter inte få göras. Liksom för ansiktsbilderna ska sekretess gälla för de biometriska uppgifter som tas fram ur dessa och sparas i pass- och id-kortsregistren om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

Fingeravtrycken och de biometriska uppgifter som tas fram ur dessa ska däremot inte få behandlas i id-kortsregistret, utan endast lagras tillfälligt i ärendehanteringssystemet. Uppgifterna får sparas i

SOU 2019:14

Sammanfattning

syfte att kvalitetssäkra identitetshandlingen vid utlämnandet. Upp- gifterna får inte användas vid sökning. De får endast sparas fram till dess att identitetskortet lämnas ut eller då ansökan återkallas eller avslås. Därefter ska uppgifterna omedelbart förstöras.

Kontroll av identitetshandlingars äkthet och giltighet

Vilken kontroll som i olika sammanhang bör göras av identitetshand- lingarnas äkthet och giltighet varierar. Olika verksamheter kräver olika grad av säkerhet. Våra förslag om att begränsa antalet godtag- bara fysiska identitetshandlingar till pass och statliga identitetskort i situationer då särskilt hög grad av säkerhet krävs, kommer dock att leda till att säkrare identitetshandlingar får större spridning, vilket i sin tur möjliggör att krav kan ställas på mer effektiva och säkra kontroller även i andra sammanhang. Även förslagen om att det stat- liga identitetskortet ska innehålla fingeravtryck och ansiktsbild, och att staten ska utfärda en e-legitimation som ska finnas på det statliga identitetskortet, innebär att det blir lättare att kontrollera identitet- en och ger incitament till att utföra säkrare kontroller.

Ikraftträdande och övergångsbestämmelser

Våra förslag föreslås träda i kraft den 1 januari 2022. Den långa tiden till ikraftträdande krävs för att övergången ska bli hanterbar för Polismyndigheten. Av samma skäl krävs övergångsbestämmelser för giltighetstiden för de kort som används i dagsläget. Körkort och SIS- märkt identitetskort ska kunna användas för att styrka identiteten vid ansökan om en statlig identitetshandling under ett år efter ikraft- trädandet. Nationellt identitetskort och identitetskort för folkbok- förda i Sverige ska kunna användas under kortens kvarstående giltig- hetstid både vid ansökan om en statlig identitetshandling och i situationer som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism. Nationellt identitetskort ska även kunna användas vid resa inom EU under den kvarstående giltighetstiden.

Sammanfattning

SOU 2019:14

Konsekvenser

Syftet med våra förslag är att motverka bedrägeribrottslighet som begås med hjälp av identitetshandlingar. Förslagen innebär att de identitetshandlingar som utfärdas blir säkrare. Det motverkar såväl att personer kan skaffa oriktiga identitetshandlingar som att förfals- kade handlingar kan framställas och användas. Förslagen förväntas minska den identitetsrelaterade brottsligheten och medföra positiva effekter för det brottsförebyggande arbetet.

Eftersom våra förslag syftar till att användningen av statliga iden- titetskort ska öka innebär det att antalet ärenden om utfärdande av id-kort kan förväntas öka. Vidare medför våra förslag om fingerav- tryck och ansiktsbild att viss teknisk utrustning behöver inför- skaffas. Även förslaget om statlig e-legitimation medför vissa kost- nader. Eftersom utgångspunkten är att avgiften för id-kortet även i fortsättningen ska vara kostnadstäckande förväntas emellertid inte kostnaden för Polismyndigheten att öka.

När en och samma myndighet utfärdar de statliga identitetshand- lingarna kan samma personal, utrustning och lokaler användas vilket medför samordningsvinster. Det finns därför inte skäl att anta att styckkostnaden för utfärdandet av korten kommer att öka vilket innebär att avgiften för korten kommer att vara i stort sett oföränd- rad.

Våra förslag medför dock en viss kostnad för enskilda som inte har ett id-kort som är utfärdat av Polismyndigheten eller Skattever- ket, och som vid sidan av körkortet måste skaffa ett annat kort. Den merkostnad som enskilda kan drabbas av till följd av detta uppgår dock till endast 400 kronor vart femte år. Detta ska ställas i relation till att syftet med förslagen är att skydda den enskilde mot bl.a. de ekonomiska olägenheter som kan uppstå när enskildas identitet an- vänds i bedrägligt syfte.

För företag som gör identitetskontroller innebär våra förslag att kontrollen av handlingarna underlättas och risken för att utsättas för bedrägeri minskar. Även om våra förslag inte innebär något förbud mot att utfärda andra id-kort än de statliga kan de förväntas få vissa konsekvenser för företag som utfärdar SIS-märkta id-kort. Eftersom dessa kort endast står för en liten andel av de identitetshandlingar som utfärdas bör konsekvenserna för dessa utfärdare bli förhållan- devis begränsade. Både företag som utfärdar andra e-legitimationer

Summary

Our assignment

Our overall assignment has been to investigate and propose changes to the requirements and routines applicable to Swedish identity documents with the aim of reducing the increasing amount of frauds committed using falsified documents. Among other things, this as- signment has consisted of analysing how the number of documents and issuers can be limited, how verification of the authenticity and validity of the documents can be improved, how they should be issued and designed to be more secure, and whether physical identity documents should include electronic identification at the highest authentication level. The assignment has also included proposing a uniform regulation for valid identity documents and submitting necessary legislative proposals.

Government identity documents

We propose a new act and ordinance on government identity docu- ments with provisions for government identity cards and govern- ment electronic identification. In the act, the term government phys- ical identity documents refers to the physical identity documents that are issued by central government, which is to say the new ID card and passport.

The ID card can be issued with or without the travel document function and replaces both the national identity card and the identity card for those registered as residents in Sweden. Issuing ID cards with a travel document function means that, as well as being usable as identity documents, it will also be possible to use them as travel documents, instead of passports, for travel within the EU. This corresponds to the current rules for national identity cards. The new

Summary

SOU 2019:14

ID cards may also carry government electronic identification. Pass- ports will continue to be regulated by the Passport Act.

Government physical identity documents allow for secure identification

At present, many documents are accepted as proof of identity, com- plicating the control of the documents’ authenticity and validity and meaning that these can be abused. Passports and the proposed govern- ment ID cards comply with the security requirements that should be made of identity documents and meet the need for identity docu- ments among the country’s inhabitants. Consequently, only these documents should be accepted as physical identity documents in situations requiring secure identification.

A government physical identity document should be demanded to verify identity in connection with the issuance of passports and government identity cards, and in situations subject to the Act on Money Laundering and Terrorist Financing (Prevention).

However, the intention is also for such documents eventually to be the only identity documents used in other situations where there is a need to perform secure identity checks, for example when collec- ting letters and parcels at postal service points.

This means that, under the proposed legislation, driving licences will not be government identity documents. The reason for this is that driving licences do not comply with the security requirements that should be imposed for identity documents. Among other things, driving licenses have far too long periods of validity and no personal appearance is required for renewal. Above all, driving li- censes are documents that verify competency to drive a vehicle, not identity documents.

Government electronic identification on government identity cards

Increasing digitalisation is making it increasingly difficult to cope with life in society without access to electronic identification. It is therefore important that everybody is given the opportunity to

SOU 2019:14

Summary

obtain secure electronic identification. Secure electronic identifica- tion also contributes towards counteracting identity-related crime. Secure basic identification performed by a government agency via a personal appointment reduces the risk of the wrong person getting access to electronic identification.

We propose that government electronic identification at the high- est authentication level be included on the government identity card. It must also be possible to use electronic identification to create an electronic signature. This can be issued to persons aged 13 or over who are Swedish citizens or registered as Swedish residents.

The issuance of electronic identification will follow the same pro- cess as the issuance of ID cards. The same high level of security as for government physical identity documents will thereby be achieved.

As well as being usable for identification at a distance, govern- ment electronic identification can also be used for identity checks made when collecting letters and parcels, for example. Checking electronic identification at the same time as the physical identity document is checked makes identity checks more secure. To stream- line checks, electronic identification checks could also replace checks of physical documents when this is deemed sufficient.

The Swedish Police Authority will issue government identity documents

We propose that the Swedish Police Authority takes the main responsibility for issuance. Large synergy gains can be achieved by allowing one public authority to take responsibility for issuing government identity documents. This creates conditions to make the process more uniform and secure, to improve the security level of the documents and to achieve better control. It also leads to cost savings and more efficient issuance activities.

The Swedish Police Authority already has a comprehensive and effective operation for the issuance of passports and national iden- tity cards. Restricting the number of issuers also forms part of combating identity theft and identity-related fraud, which makes it particularly appropriate for the Swedish Police Authority to have responsibility for issuing all government identity documents.

Summary

SOU 2019:14

Missions abroad and the Ministry for Foreign Affairs will be able to issue passports and identity cards to Swedish citizens in the same way as at present. The government identity cards issued by the missions abroad can also carry government electronic identification.

The process for issuing government identity documents

The new act and the new ordinance, as well as the provisions an- nounced pursuant to them, will fully regulate the process for issuing government identity cards and electronic identification.

Appearing in person is fundamental for the security of the is- suance process. It is therefore normally required for applicants to make a personal appearance both when applying for and when col- lecting ID cards. However, it is also possible to apply by proxy so that cards are available to persons who are unable to visit the issuing authority due to illness, disability or old age. Proxy applications, how- ever, cannot be used to obtain ID cards able to function as travel documents, but only cards without this function.

Other security-enhancing regulations surround this procedure, as the applicant does not make a personal appearance. Among these, the applicant must verify, in a written certificate, their inability to attend in person and the proxy must report in person to submit the application and collect the ID card.

The applicant must verify their identity with a government physi- cal identity document when the application is made. If the applicant does not have one, their identity can be verified with certain Euro- pean passports, with the help of a certifier or, as a last resort, in an- other reliable way. The identity of an applicant who has been granted a residence permit can be verified using information held by the Swedish Migration Agency regarding that person’s residence permit. The issuing authority can also check the fingerprints and facial image as indicated by the residence permit card. If the application is made by a proxy, the identity of the proxy must be verified with a govern- ment physical identity document. Certain European passports will also be accepted. Before the identity card is issued, the applicant must, upon request, verify their identity in the same way as upon application.

SOU 2019:14

Summary

The ID card will be valid for five years. The Government or the government agency appointed by the Government can announce regulations on the restriction of the period of validity in specifically stated cases.

Previously issued government identity cards must be surrendered for destruction upon the issue of a new identity card. This applies whether or not the old card was issued with the travel document function. Each person may therefore only hold one government identity card.

A government identity card may be withdrawn if any important information on the card is incorrect or is no longer applicable, or if it is damaged or worn out or has been amended without permission. In addition, a card may be withdrawn if there were impediments towards issuing the card at the time of issue and these impediments persist, as well as if another party than the person to whom the identity card was issued has the card at their disposal. If the card is withdrawn, the government electronic identification on the card will also cease to be valid. Electronic identification can also be withdrawn if security reasons make this necessary. Such withdrawal can be limited to a specific period of no longer than six months.

Some amendments are also proposed to passport legislation with the aim of making the process for the issue of passports more secure. Upon application for and collecting a passport, the applicant, as a general rule, must verify their identity with a government physical identity document. Exemptions corresponding to those proposed for government identity cards will also apply to passport applica- tions. Furthermore, any previously issued passport must be surren- dered for destruction when a new passport is issued. Passports may also be withdrawn if any important information on the passport is incorrect or no longer applicable.

There will be a register of ID cards, in the same way as today. Infor- mation on government electronic identification will also be regis- tered.

Summary

SOU 2019:14

Personal data may be processed if it is necessary for the issuing authority’s operations for the issue of cards and electronic identi- fication. Personal data collected for these operations may also be processed if this is necessary for the issue of passports, for border control or to provide data in compliance with laws or ordinances. This also applies if it is considered necessary to prevent, hinder or uncover criminal activities, to investigate or prosecute crimes, or to maintain general order or security. Finally, data may be processed for other purposes, provided that the data is not processed in a manner that is incompatible with the purpose of collection.

Data and documents in the register may not be processed for a time longer than that necessary for the purpose of the processing and no longer than ten years after the expiry of the period of validity of the ID card or the rejection of the application for an ID card.

Fingerprints and facial images

Identity documents containing biometric material ensure the con- nection between the document and the person to whom it was is- sued. The use of biometric data is therefore an effective way of counteracting the abuse of identity documents. It also makes it more difficult to counterfeit the document. We therefore propose that fingerprints and facial images be stored on the government identity cards. It must be possible to check the fingerprints and facial images both when applying for and when collecting a new ID card or pass- port. Checks must also be possible when travelling to or from Sweden.

Children below the age of six and people who cannot provide fingerprints for physical reasons are exempt from the requirement for fingerprints. It must be possible to issue identity cards with shorter periods of validity for applicants with physical injuries of a temporary nature.

Instead of allowing the issuing authority to take fingerprints and a facial photograph, people applying for ID cards via proxies must attach a faithful photograph to their application. Both proxy and a witness must certify, in a written affidavit, that the application has been made by the applicant and that the photograph attached to the application faithfully represents the applicant.

SOU 2019:14

Summary

In conjunction with the application for ID card and passport, it must be possible for the issuing authority to perform searches of facial images and biometric data in the ID card register and passport register. It must be possible to make equivalent searches when pass- port applications are made. The use of facial recognition can ensure that one person does not get ID cards issued for several identities. Searches of such data may not otherwise be performed. Just as for facial images, secrecy will be applied to the biometric data obtained from these and stored in the passport and ID card register unless it is clear that the data can be disclosed without that individual or a person close to them suffering harm.

However, fingerprints and biometric data obtained from these may not be processed in the ID card register but may only be stored temporarily in the case management system. The data may be saved with the aim of performing quality control of the identity document when it is collected. The data may not be used for searches. It may only be saved until the identity card is collected or the application is withdrawn or rejected. After this, the data must be deleted without delay.

Checking identity documents’ authenticity and validity

The checks that should be made of the authenticity and validity of identity documents vary from context to context. Different opera- tions require different degrees of security. However, our proposal to restrict the number of physical identity documents that can be accepted, in situations where a particularly high degree of security is demanded, to passports and government identity cards will lead to a greater distribution of more secure identity documents, making it, in turn, possible to demand more effective and secure checks in other contexts too. The proposals for the government identity card to include fingerprints and facial images, and for central government to issue electronic identification to be included in the government identity cards, mean that it will be easier to check identities and will provide an incentive for more secure checks.

Summary

SOU 2019:14

Entry into force and transitional provisions

It is proposed that our proposals enter into force on 1 January 2022. The long period until entry into force is needed to allow the Swedish Police Authority to manage the transition. For the same reason, transitional provisions are needed for the period of validity of the cards being used at present. It will be possible to use driving licenses and identity cards certified by the Swedish Standards Institute to verify the bearer’s identity when applying for a government identity document for one year following entry into force. It will be possible to use national identity cards and identity cards for those registered as residents in Sweden for the remaining period of validity of the cards when applying for a government identity document and in situ- ations covered by the Act on Money Laundering and Terrorist Fi- nancing (Prevention). It will also be possible to use national identity cards when travelling in the EU.

Consequences

The aim of our proposals is to counteract fraud committed with the use of identity documents. The proposals mean that the identity documents issued will be more secure. This will help prevent people from either obtaining incorrect identity documents or making and using counterfeit documents. The proposals are expected to reduce identity-related crime and have positive effects for crime prevention work.

As our proposals aim to increase the usage of government iden- tity cards, the number of applications for cards can be expected to increase. Furthermore, our proposals concerning fingerprints and facial images mean that some technical equipment will have to be obtained. The proposal for government electronic identification will also entail some costs. However, as our starting point is that the fee for the ID card will also continue to cover all costs, costs for the Swedish Police Authority are not expected to increase.

When government identity documents are all issued by one au- thority, the same staff, equipment and premises can be used, allow- ing synergy gains. Consequently, there is no reason to assume that the unit cost for issuing cards will increase, meaning that the fee for cards will be largely unchanged.

1 Författningsförslag

1.1Förslag till lag om statliga identitetshandlingar

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

1 § Statligt identitetskort och pass (statliga fysiska identitetshand- lingar) är tillsammans med statlig e-legitimation de identitetshand- lingar som staten utfärdar.

Denna lag innehåller bestämmelser om statligt identitetskort och statlig e-legitimation.

Bestämmelser om pass finns i passlagen (1978:302).

2 § Ett statligt identitetskort får utfärdas med eller utan funktion som resehandling och får innehålla en statlig e-legitimation.

Ett identitetskort som utfärdas med funktion som resehandling får användas som resehandling enligt bestämmelserna i 5 § andra stycket 5 och tredje stycket 1 passlagen (1978:302).

Identitetskort med eller utan funktion som resehandling får ut- färdas till svenska medborgare. Ett identitetskort utan funktion som resehandling får även utfärdas till personer som inte är svenska med- borgare men som är folkbokförda i Sverige enligt folkbokförings- lagen (1991:481).

3 § Den statliga e-legitimationen ska finnas i ett lagringsmedium på det statliga identitetskortet. E-legitimationen får utfärdas till en person som har fyllt 13 år.

Författningsförslag

SOU 2019:14

E-legitimationen ska utfärdas på den högsta tillitsnivån enligt tillitsramverket i lagen (20xx:xx) om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshand- ling. Den ska utformas enligt de tekniska specifikationerna i den lagen.

E-legitimationen ska uppfylla de krav som ställs för att kunna skapa en avancerad elektronisk underskrift enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

4 § Statligt identitetskort och statlig e-legitimation utfärdas av de myndigheter som regeringen bestämmer.

5 § Ett statligt identitetskort ska utfärdas med en giltighetstid av fem år om inte annat följer av föreskrifter om begränsning av giltig- hetstiden i särskilt angivna fall som meddelas av regeringen eller den myndighet regeringen bestämmer.

En statlig e-legitimation ska ha samma giltighetstid som det iden- titetskort den finns på.

6 § Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om villkor för när och hur den statliga e-legitima- tionen får användas.

2 kap. Identitetshandlingarnas innehåll

1 § Ett statligt identitetskort med funktion som resehandling ska innehålla uppgift om innehavarens medborgarskap.

2 § Ett statligt identitetskort utan funktion som resehandling ska innehålla uppgift om att det inte kan användas som resehandling.

3 § Ett statligt identitetskort ska innehålla fingeravtryck och ansikts- bild i ett lagringsmedium på identitetskortet om det inte av 3 kap. 9– 10 §§ följer att fingeravtryck inte behöver lämnas.

SOU 2019:14

Författningsförslag

4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka andra uppgifter som det statliga iden- titetskortet och den statliga e-legitimationen ska innehålla.

3 kap. Ansökningsförfarandet

Ansökan

1 § Det statliga identitetskortet och den statliga e-legitimationen utfärdas efter ansökan.

Bestämmelserna om ansökan om statligt identitetskort i detta kapi- tel gäller även för en ansökan om statlig e-legitimation.

2 § En ansökan om ett statligt identitetskort ska avslås om förut- sättningarna enligt 1 kap. 2–3 §§ inte är uppfyllda eller om det som anges i detta kapitel, i kapitel 4 eller i föreskrifter om ansöknings- förfarandet som har meddelats i anslutning till lagen inte har iakt- tagits och sökanden inte har följt en uppmaning att avhjälpa bristen.

Personlig inställelse

3 § Den som ansöker om ett statligt identitetskort ska inställa sig personligen om inte annat följer av 4 §.

4 § En ansökan om ett statligt identitetskort utan funktion som resehandling får göras genom bud om sökanden på grund av sjuk- dom, funktionsnedsättning eller hög ålder inte kan ta sig till den ut- färdande myndigheten. Budet ska inställa sig personligen för att lämna in ansökan.

Sökanden ska styrka att han eller hon är förhindrad att ta sig till den utfärdande myndigheten genom ett skriftligt intyg från en före- trädare för den inrättning för vård eller omsorg som sökanden vistas på eller den som ansvarar för sökandens vård eller omsorg.

Budet och ett vittne ska i en skriftlig försäkran intyga att ansökan gjorts av sökanden och att det fotografi som bifogas ansökan enligt 9 § föreställer sökanden.

Författningsförslag

SOU 2019:14

Styrkande av identitet och andra personuppgifter

5 § Sökanden är skyldig att vid ansökan om ett statligt identitets- kort styrka sin identitet och övriga personuppgifter som krävs för att identitetskort ska kunna utfärdas.

Vid ansökan om ett identitetskort med funktion som resehand- ling ska sökanden styrka sitt svenska medborgarskap.

6 § Identiteten ska styrkas med en statlig fysisk identitetshandling. När ansökan görs genom bud ska både budets och sökandens iden- titet styrkas med statliga fysiska identitetshandlingar i samband med

att ansökan lämnas in.

7 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 6 § när det gäller sökande och bud som inte har en statlig fysisk identitetshandling.

Skyldighet att lämna fingeravtryck och ta ansiktsbild

8 § Sökanden är skyldig att vid ansökan låta den utfärdande myn- digheten ta sökandens fingeravtryck och en bild i digitalt format av sökandens ansikte om inte annat följer av 9–10 §§.

9 § När ansökan görs genom bud och sökanden därför inte kan lämna fingeravtryck eller låta myndigheten ta en digital ansiktsbild ska sökanden i stället ge in ett välliknande fotografi.

10 § Skyldigheten i 8 § att låta den utfärdande myndigheten ta sök- andens fingeravtryck gäller inte för barn under sex år eller för perso- ner som av fysiska skäl är förhindrade att lämna fingeravtryck.

Kontroll av fingeravtryck och ansiktsbild

11 § Om en sökande styrker sin identitet med en identitetshand- ling som innehåller ett lagringsmedium där fingeravtryck eller ansikts- bild är sparade får den utfärdande myndigheten kontrollera att dessa motsvarar de fingeravtryck och den ansiktsbild som tas vid ansök- ningstillfället.

SOU 2019:14

Författningsförslag

12 § Om en sökande som har beviljats uppehållstillstånd i Sverige styrker sin identitet på annat sätt än genom en sådan identitetshand- ling som avses i 11 §, får den utfärdande myndigheten kontrollera att de fingeravtryck och den ansiktsbild som tas vid ansökningstillfället motsvarar de fingeravtryck och den ansiktsbild som finns lagrade i sökandens uppehållstillståndskort.

13 § Den utfärdande myndigheten får, under de förutsättningar som anges i 6 kap. 10 § andra stycket och 37 § andra stycket pass- lagen (1978:302), jämföra den ansiktsbild som tas vid ansöknings- tillfället och de biometriska uppgifter som tas fram ur denna med ansiktsbilder och biometriska uppgifter som finns i det register som ska föras enligt 6 kap. 5 § och i passregistret enligt 35 § passlagen.

4 kap. Utlämnande

1 § Ett statligt identitetskort ska lämnas ut till sökanden person- ligen. Om ansökan har gjorts genom bud i enlighet med 3 kap. 4 § får det statliga identitetskortet lämnas ut till budet personligen.

2 § Om ett statligt identitetskort ska lämnas ut av en utfärdande myndighet utom riket, får myndigheten medge att det görs hos ett ombud för myndigheten.

3 § Innan det statliga identitetskortet lämnas ut är sökanden skyl- dig att på begäran styrka sin identitet med en statlig fysisk identi- tetshandling eller på något av de sätt som anges i föreskrifter om undantag vid ansökan som meddelats med stöd av 3 kap. 7 §. Om det statliga identitetskortet lämnas ut till ett bud ska både budets och sökandens identitet styrkas på något av dessa sätt.

Sökanden är även skyldig att på begäran lämna fingeravtryck och låta en bild i digitalt format tas av ansiktet för kontroll av om dessa motsvarar de fingeravtryck och den ansiktsbild som finns lagrade på det identitetskort som ska lämnas ut.

4 § Om ett statligt identitetskort tidigare har utfärdats för sökan- den och det inte har förstörts, kommit bort eller makulerats, ska kortet ges in för makulering när det nya kortet lämnas ut.

Författningsförslag

SOU 2019:14

5 kap. Återkallelse

1 § Ett statligt identitetskort ska återkallas om

1.det fanns hinder mot att utfärda identitetskortet vid tiden för utfärdandet och hindret fortfarande består,

2.någon väsentlig uppgift som framgår av identitetskortet är fel- aktig eller inte längre gäller,

3.någon annan än den som identitetskortet är utställt på förfogar över kortet, eller

4.identitetskortet är trasigt, utslitet eller obehörigen ändrat.

2 § Om ett statligt identitetskort återkallas enligt 1 § upphör även den statliga e-legitimationen att gälla.

Utan att det påverkar giltigheten av identitetskortet ska e-legiti- mationen återkallas om det är nödvändigt av säkerhetsskäl.

En sådan återkallelse av e-legitimationen kan, om det är lämpligt med hänsyn till omständigheterna, begränsas till viss bestämd tid, dock högst sex månader. Återkallelsen ska hävas så snart de omstän- digheter som påkallat återkallelsen har upphört.

6 kap. Behandling av personuppgifter

Inledande bestämmelser

Förhållandet till annan reglering

1 § Detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s data- skyddsförordning.

Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

SOU 2019:14

Författningsförslag

Personuppgiftsansvar

2 § Den myndighet som för register över statliga identitetskort och statliga e-legitimationer är personuppgiftsansvarig för behand- ling av personuppgifter i registret.

De utfärdande myndigheterna är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet i övrigt utför i verksamheten med statliga identitetskort och statliga e-legi- timationer.

Ändamål

3 § Personuppgifter får behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av statligt iden- titetskort och statlig e-legitimation.

Personuppgifter som behandlas enligt första stycket får även be- handlas

1.om det är nödvändigt för utfärdande av pass,

2.av Polismyndigheten om det är nödvändigt för gränskontroll,

3.av Polismyndigheten om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

4.om det är nödvändigt för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning, och

5.för andra ändamål, under förutsättning att uppgifterna inte be- handlas på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Författningsförslag

SOU 2019:14

5 § Den myndighet som regeringen bestämmer ska med hjälp av automatiserad behandling föra register över statliga identitetskort och statliga e-legitimationer.

Personuppgifter som ska eller får behandlas

6 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas i registret endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det.

7 § Registret ska innehålla en kopia av vid ansökningstillfället tagen ansiktsbild eller inlämnat fotografi enligt 3 kap. 8–9 §§ och de bio- metriska uppgifter som tas fram ur dessa.

Registret får inte innehålla fingeravtryck eller de biometriska upp- gifter som kan tas fram ur dessa.

8 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om vilka uppgifter registret ska eller får innehålla.

Sökbegränsningar

9 § Känsliga personuppgifter som avses i 6 § och uppgifter om lag- överträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte användas som sökbegrepp i registret om inte annat följer av 10 § andra stycket.

10 § Ansiktsbilder och fotografier får inte användas som sökbegrepp om inte annat följer av andra stycket.

Vid ansökan om statligt identitetskort eller om pass får den an- siktsbild som tas eller det fotografi som lämnas in samt de biomet- riska uppgifter som tas fram ur dessa användas som sökbegrepp vid

SOU 2019:14

Författningsförslag

sökning i registret om det är nödvändigt för att kontrollera om an- siktsbilden eller fotografiet motsvarar någon ansiktsbild som finns i registret.

Utlämnande av uppgift om identitetskorts giltighet

11 § Uppgift om giltigheten av ett statligt identitetskort får lämnas ut genom direktåtkomst.

Längsta tid som personuppgifter får behandlas

12 § Personuppgifter och handlingar i registret får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, dock längst tio år efter utgången av det kalender- år då

1.giltighetstiden för ett identitetskort gått ut,

2.en ansökan om identitetskort avslagits, eller

3.en ansökan återkallats.

Regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om att personuppgifter och handlingar får behand- las för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål under längre tid än vad som anges i första stycket.

Tillfällig behandling av fingeravtryck, ansiktsbilder och biometriska uppgifter i samband med utfärdandet

Behandling av fingeravtryck

13 § De fingeravtryck som tas vid ansökan och de biometriska upp- gifter som kan tas fram ur dessa får behandlas under tiden ärendet med anledning av ansökan om ett statligt identitetskort pågår.

Sökbegränsning

14 § Fingeravtryck och biometriska uppgifter som kan tas fram ur dessa får inte användas som sökbegrepp.

Författningsförslag

SOU 2019:14

Längsta tid som personuppgifterna tillfälligt får behandlas

15 § När en kontroll har genomförts vid ansökningstillfället enligt 3 kap. 11 eller 12 § ska de fingeravtryck och den ansiktsbild som då har tagits fram ur den handling som sökanden har lämnat över och de biometriska uppgifter som tagits fram ur dessa omedelbart för- störas.

16 § När en kontroll har genomförts vid utlämnandet enligt 4 kap. 3 § andra stycket ska de fingeravtryck och den ansiktsbild som då har tagits och de biometriska uppgifter som tagits fram omedelbart förstöras.

17 § De fingeravtryck som tas vid ansökningstillfället och de bio- metriska uppgifter som tas fram ur dessa ska omedelbart förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits.

7 kap. Beslut

1 § Beslut enligt denna lag får överklagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

2 § Beslut enligt denna lag gäller omedelbart, om inte något annat anges i beslutet.

1.Denna lag träder i kraft den 1 januari 2022.

2.Genom lagen upphävs lagen (2015:899) om identitetskort för folkbokförda i Sverige.

3.Vid tillämpningen av 3 kap. 6 § och 4 kap. 3 § första stycket ska med statlig fysisk identitetshandling jämställas nationellt identitets- kort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt iden- titetskort.

4.Vid tillämpningen av 4 kap. 4 § ska med statligt identitetskort jämställas nationellt identitetskort och identitetskort för folkbok- förda i Sverige.

Författningsförslag

SOU 2019:14

1.2Förslag till förordning om statliga identitetshandlingar

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § Denna förordning innehåller bestämmelser som kompletterar lagen (20xx:xx) om statliga identitetshandlingar.

2 § Denna förordning är meddelad med stöd av

–1 kap. 4 § lagen (20xx:xx) om statliga identitetshandlingar i fråga om 3 §,

–1 kap. 5 § första stycket lagen om statliga identitetshandlingar i fråga om 16 §,

–3 kap. 7 § lagen om statliga identitetshandlingar i fråga om 8–14 §§,

–6 kap. 5 § lagen om statliga identitetshandlingar i fråga om 24 §,

–6 kap. 12 § andra stycket lagen om statliga identitetshandlingar

ifråga om 28 §,

–8 kap. 11 § regeringsformen i fråga om 33 §, och

–8 kap. 7 § regeringsformen i fråga om övriga bestämmelser.

3 § Polismyndigheten får utfärda statligt identitetskort och statlig e-legitimation enligt lagen (20xx:xx) om statliga identitetshandlingar.

Andra passmyndigheter som avses i 2 § tredje stycket passlagen (1978:302) får utfärda sådana handlingar till svenska medborgare.

Ansökningsförfarandet

Ansökan

4 § Bestämmelserna om ansökan om statligt identitetskort i 5–17 §§ gäller även för en ansökan om statlig e-legitimation.

5 § En ansökan om statligt identitetskort ska göras skriftligen och undertecknas av sökanden i närvaro av den person som tar emot den. Om ansökan görs genom bud enligt 3 kap. 4 § lagen (20xx:xx) om statliga identitetshandlingar ska ansökan undertecknas av sökanden

SOU 2019:14

Författningsförslag

i närvaro av budet och vittnet. Kravet på att ansökan ska underteck- nas gäller inte den som inte kan skriva sitt namn.

Ansökan genom bud

6 § Ett bud enligt 3 kap. 4 § lagen (20xx:xx) om statliga identitets- handlingar ska känna sökanden väl. Budet ska i relation till sökanden vara

1.vårdnadshavare,

2.förälder,

3.barn eller barnbarn över 18 år,

4.hel- eller halvsyskon över 18 år,

5.mor- eller farförälder,

6.make eller maka,

7.registrerad partner,

8.sambo,

9.familjehemsförälder,

10.god man eller förvaltare, eller

11.anställd vid den inrättning som utfärdat det intyg som avses i 3 kap. 4 § andra stycket lagen om statliga identitetshandlingar och ha en yrkesmässig relation till sökanden.

Budet ska på begäran styrka sin relation till sökanden.

7 § Ett vittne enligt 3 kap. 4 § tredje stycket lagen (20xx:xx) om statliga identitetshandlingar ska ha fyllt 18 år.

Styrkande av identitet och andra personuppgifter

8 § Om en sökande inte har en statlig fysisk identitetshandling kan sökanden, trots det som anges i 3 kap. 6 § lagen (20xx:xx) om stat- liga identitetshandlingar, i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 sep- tember 2006.

Författningsförslag

SOU 2019:14

9 § Om sökanden vare sig har en statlig identitetshandling eller en sådan identitetshandling som avses i 8 § kan identiteten styrkas genom att någon som känner sökanden väl (intygsgivare) vid ansök- ningstillfället skriftligen intygar att sökandens uppgifter om identi- teten är riktiga. Ett skriftligt intyg ska vara undertecknat av intygs- givaren.

Intygsgivaren ska i relation till sökanden vara

1.vårdnadshavare,

2.förälder,

3.barn eller barnbarn över 18 år,

4.hel- eller halvsyskon över 18 år,

5.mor- eller farförälder,

6.make eller maka,

7.registrerad partner,

8.sambo,

9.familjehemsförälder,

10.god man eller förvaltare,

11.arbetsgivare som sökanden har varit anställd hos i minst ett år, eller

12.tjänsteman vid en myndighet som har en yrkesmässig relation till sökanden.

10 § En intygsgivare ska vara närvarande vid identitetskontrollen av sökanden och styrka sin egen identitet med en statlig fysisk iden- titetshandling. Om intygsgivaren inte har en sådan handling kan han eller hon i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006. Intygsgivaren ska på begäran styrka sin relation till sökanden.

11 § Om en ansökan görs genom bud får budet även vara intygs- givare.

12 § En sökande som har uppehållstillstånd i Sverige och som sak- nar en statlig fysisk identitetshandling eller en handling som avses i 8 §, ska anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan stämmer överens med vad som har registrerats i fråga om uppehållstillståndet.

SOU 2019:14

Författningsförslag

Identiteten ska dock inte anses ha styrkts på det sätt som anges i första stycket om särskilda skäl talar emot det.

De uppgifter i ansökan om statligt identitetskort som ska stämma överens enligt första stycket är sådana uppgifter som anges i 9 § andra stycket eller 10 § andra stycket utlänningsdataförordningen (2016:30).

13 § Om sökanden vare sig har en statlig fysisk identitetshandling eller en sådan handling som avses i 8 § och inte heller kan styrka sin identitet på något av de sätt som anges i 9–12 §§ får den utfärdande myndigheten godta att identiteten styrks på något annat tillförlitligt sätt.

Vad som anges i första stycket får inte tillämpas när ansökan görs genom bud.

14 § Om budet inte har en statlig identitetshandling kan budet i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006.

Medgivande från vårdnadshavare

15 § En sökande som är under arton år är skyldig att vid ansökan ge in ett skriftligt medgivande från hans eller hennes vårdnadshavare, om det inte finns synnerliga skäl att ändå utfärda ett identitetskort.

Begränsning av giltighetstiden

16 § För sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck ska det statliga identitetskortet ges giltighet endast så lång tid som det fysiska hindret förväntas bestå. Giltighetstiden får dock inte överstiga sju månader.

För sökande som kan antas komma att befrias från eller förlora sitt svenska medborgarskap ska ett identitetskort med funktion som resehandling ges giltighet endast till den tidpunkt då medborgar- skapet beräknas upphöra.

Författningsförslag

SOU 2019:14

Ansökan vid utfärdande myndighet utom riket

17 § När en ansökan om statligt identitetskort har tagits emot av en utfärdande myndighet utom riket ska myndigheten snarast sända ett exemplar av ansökningsblanketten, tillsammans med en ansikts- bild eller ett fotografi, till Polismyndigheten.

Återkallelse

18 § Återkallelse av ett statligt identitetskort som är utfärdat till en svensk medborgare beslutas av

1.Polismyndigheten om kortinnehavaren befinner sig i Sverige när ärendet tas upp,

2.den utfärdande myndigheten på den ort där kortinnehavaren uppehåller sig utom riket när ärendet tas upp, eller

3.den myndighet som har utfärdat kortet.

19 § Återkallelse av identitetskort som är utfärdat till en person som inte är svensk medborgare beslutas av Polismyndigheten.

20 § Återkallelse av enbart den statliga e-legitimationen och hävan- de av sådan återkallelse enligt 5 kap. 2 § andra och tredje styckena lagen (20xx:xx) om statliga identitetshandlingar beslutas av Polis- myndigheten.

21 § En utfärdande myndighet som enligt 18–20 §§ är behörig att besluta i ärenden om återkallelse ska så snart som möjligt ta upp ett sådant ärende om myndigheten får kännedom om att en omstän- dighet som avses i 5 kap. 1 eller 2 § lagen (20xx:xx) om statliga iden- titetshandlingar föreligger. Är även en annan myndighet behörig att besluta om återkallelse, ska den myndigheten underrättas om att ären- det har tagits upp.

22 § En utfärdande myndighet utom riket ska omedelbart under- rätta Polismyndigheten om ett beslut att återkalla ett statligt identi- tetskort.

SOU 2019:14

Författningsförslag

23 § Om ett statligt identitetskort har återkallats, är kortinne- havaren eller den som annars förfogar över kortet skyldig att på be- gäran av en utfärdande myndighet överlämna kortet till myndigheten eller till en annan myndighet.

Om ett sådant återkallat identitetskort redan finns hos eller upp- visas för en utfärdande myndighet, får kortet tas om hand av myn- digheten. Om identitetskortet finns hos en annan myndighet, ska det på begäran av den utfärdande myndigheten överlämnas till denna.

Registerförande myndighet

24 § Polismyndigheten ska föra det register över statliga identi- tetskort och statliga e-legitimationer som avses i 6 kap. 5 § lagen (20xx:xx) om statliga identitetshandlingar.

Registrets innehåll

25 § Utöver de uppgifter som anges i 6 kap. 7 § första stycket lagen (20xx:xx) om statliga identitetshandlingar ska registret även inne- hålla uppgifter om

1.sökandens fullständiga namn, personnummer eller, i förekom- mande fall, samordningsnummer, födelsetid, svenskt medborgarskap, behövliga kontaktuppgifter, längd och kön,

2.dag för utfärdande av identitetskortet, kortnummer och giltig- hetstid,

3.sökandens namnteckning eller, i förekommande fall, anteck- ning om anledningen till att namnteckning saknas,

4.hur sökanden har styrkt sin identitet,

5.intygsgivare, bud, vittne och företrädare för inrättning för vård eller omsorg i förekommande fall,

6.den information som finns i den e-legitimation som finns i lagringsmediet på identitetskortet,

7.beslut om att ansökan har avslagits, skälen för detta beslut och uppgift om att ansökan har återkallats, och

Författningsförslag

SOU 2019:14

8.att identitetskortet eller e-legitimationen har förlustanmälts eller återkallats och vad som har utgjort skäl för beslutet om åter- kallelse.

26 § En handling som har kommit in eller upprättats i ett ärende får behandlas i registret.

27 § Registret får tillföras sådana uppgifter från Skatteverkets folkbokföringsdatabas som anges i 25 §.

Längsta tid som personuppgifter får behandlas

28 § Riksarkivet får, efter att ha inhämtat synpunkter från Polis- myndigheten, meddela föreskrifter om att personuppgifter och hand- lingar får behandlas för arkivändamål av allmänt intresse, vetenskap- liga eller historiska forskningsändamål eller statistiska ändamål under längre tid än vad som anges i 6 kap. 12 § första stycket lagen (20xx:xx) om statliga identitetshandlingar.

Tillgång till uppgifter hos Migrationsverket

29 § En utfärdande myndighet har rätt att ta del av uppgifter som Migrationsverket behandlar enligt 11 § utlänningsdatalagen (2016:27) vid direktåtkomst enligt 19 § samma lag.

Migrationsverket ska på begäran av en utfärdande myndighet lämna ut sådana uppgifter som anges i 9 § andra stycket eller 10 § andra stycket utlänningsdataförordningen (2016:30) och som myndigheten behöver för handläggning av en ansökan om statligt identitetskort.

Tillgången till uppgifter som avses i första stycket ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Makulering

30 § En utfärdande myndighet ska makulera ett statligt identitets- kort när det har återkallats samt när ett nytt statligt identitetskort utfärdas till samma innehavare.

SOU 2019:14

Författningsförslag

Övriga bestämmelser

31 § En innehavare av ett statligt identitetskort har rätt att hos en utfärdande myndighet kontrollera den information som har sparats i lagringsmediet på identitetskortet.

32 § En sökande ska för handläggningen av en ansökan betala en avgift om X kronor, som ska vara betald när ansökan ges in. Om avgiften inte är betald då tillämpas bestämmelserna i 11 § avgifts- förordningen (1992:191).

För avgiften gäller i övrigt bestämmelserna i 12–14 §§ avgiftsför- ordningen.

För identitetskort som utfärdas vid en utfärdande myndighet utom riket tas avgift ut enligt förordningen (1997:691) om avgifter vid utlandsmyndigheterna.

33 § Polismyndigheten får meddela de ytterligare föreskrifter som behövs för verkställigheten av lagen (20xx:xx) om statliga identitets- handlingar och för denna förordning när det gäller identitetskort som utfärdas inom riket. Vid föreskrifter som gäller svenska med- borgare ska Regeringskansliet (Utrikesdepartementet) höras.

Regeringskansliet får, efter att ha hört Polismyndigheten, meddela motsvarande föreskrifter när det gäller identitetskort till svenska med- borgare som utfärdas av myndigheter utom riket.

34 § Regeringskansliet får när det gäller identitetskort med funk- tion som resehandling medge avvikelser från lagen (20xx:xx) om stat- liga identitetshandlingar och denna förordning, när det krävs på grund av särskilda förhållanden.

1.Denna förordning träder i kraft den 1 januari 2022.

2.Genom förordningen upphävs förordningen (2005:661) om natio- nellt identitetskort och förordningen (2015:904) om identitetskort för folkbokförda i Sverige.

3.Vid tillämpningen av 10 § ska med statlig fysisk identitetshand- ling jämställas nationellt identitetskort och identitetskort för folkbok- förda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

SOU 2019:14

Författningsförslag

1.3Förslag till lag om ändring i passlagen (1978:302)

Härigenom föreskrivs i fråga om passlagen (1978:302) dels att 5–7 §§ och 12 § ska ha följande lydelse,

dels att det ska införas nio nya paragrafer, 6 c–6 h §§, 35–37 §§ och närmast före 6 f § och 35 § nya rubriker, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 §1

En svensk medborgare får inte resa ut ur riket utan att medföra giltigt pass.

Första stycket gäller inte

1.mönstrat sjöfolk på fartyg under tjänstgöring ombord på far- tyget eller fiskare under yrkesutövning,

2.medlem av besättning på luftfartyg under tjänstgöring ombord på luftfartyget, om han eller hon har flygcertifikat eller därmed jäm- förlig handling,

3.den som är medborgare även i en annan stat än Sverige och som medför legitimationshandling som gäller som pass och är utfärdad av en myndighet i den staten,

4.den som reser till någon av de stater mot vilka gränskontroll inte genomförs enligt Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna), eller

5. den som reser till en annan	5. den som reser till en annan
stat inom Europeiska unionen än	stat inom Europeiska unionen än
en sådan stat som avses i 4 och	en sådan stat som avses i 4 och
som medför ett giltigt identitets-	som medför ett giltigt statligt iden-
kort utfärdat av en passmyndighet.	titetskort med funktion som rese-
	handling som avses i 1 kap. 2 §
	andra stycket lagen (20xx:xx) om
	statliga identitetshandlingar.

1Senaste lydelse 2018:31.

Författningsförslag

SOU 2019:14

En svensk medborgare ska vid inresa från en annan stat medföra

giltigt pass. Detta gäller dock inte
1. om det svenska medborgar-	1. om det svenska medborgar-
skapet kan styrkas på annat sätt,	skapet kan styrkas på annat sätt,
exempelvis genom uppvisande av	exempelvis genom uppvisande av
ett giltigt identitetskort utfärdat	ett giltigt statligt identitetskort
av en passmyndighet, eller	med funktion som resehandling som
	avses i 1 kap. 2 § andra stycket
	lagen om statliga identitetshand-
	lingar, eller

2.vid inresa från en stat mot vilken gränskontroll inte genomförs enligt kodexen om Schengengränserna.

5 a §2

Polismyndigheten ska övervaka att bestämmelserna i 5 § följs.

Den som enligt 5 § ska med-		Den som enligt 5 § ska med-
föra pass ska på begäran		föra pass eller statligt identitets-
		kort med funktion som resehand-
		ling ska på begäran
1. överlämna passet	till en	1. överlämna passet eller iden-
polisman, en särskilt förordnad		titetskortet till en polisman, en
passkontrollant eller en tjänste-		särskilt förordnad passkontrollant
man vid Kustbevakningen, Tull-		eller en tjänsteman vid Kustbevak-
verket eller Migrationsverket, och		ningen, Tullverket eller Migra-
		tionsverket, och
2. låta en befattningshavare en-		2. låta en befattningshavare en-
ligt 1 ta passinnehavarens	finger-	ligt 1 ta fingeravtryck och en bild
avtryck och en bild i digitalt for-		i digitalt format av hans eller
mat av hans eller hennes ansikte		hennes ansikte för kontroll av att
för kontroll av att dessa motsvarar		dessa motsvarar de fingeravtryck
de fingeravtryck och den ansikts-		och den ansiktsbild som finns
bild som finns sparade i passet.		sparade i passet eller identitets-
		kortet.

2Senaste lydelse 2015:336.

Identiteten ska styrkas med en statlig fysisk identitetshandling, dvs. ett pass eller ett statligt identitets- kort enligt lagen (20xx:xx) om statliga identitetshandlingar.

SOU 2019:14

Författningsförslag

Den som enligt 5 § i stället med- för ett identitetskort utfärdat av en passmyndighet ska på begäran

1.överlämna identitetskortet till en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket, och

2.låta en befattningshavare en- ligt 1 ta en bild i digitalt format av hans eller hennes ansikte för kon- troll av att denna motsvarar den ansiktsbild som finns sparad i iden- titetskortet.

När en kontroll enligt andra stycket 2 eller tredje stycket 2 har genomförts, ska fingeravtrycken och ansiktsbilden samt de biomet- riska data som då har tagits fram omedelbart förstöras.

När en kontroll enligt andra stycket 2 har genomförts, ska fingeravtrycken och ansiktsbilden samt de biometriska uppgifter som då har tagits fram omedelbart för- störas.

6 §3

Passansökan görs hos en passmyndighet. Ansökan ska avges på heder och samvete eller under annan sådan försäkran. Sökanden är skyldig att inställa sig personligen.

Sökanden är skyldig att i samband med passansökan

1.låta passmyndigheten ta sökandens fingeravtryck och en bild i digitalt format av sökandens ansikte, och

2.styrka sin identitet, sitt svenska medborgarskap och övriga per- sonuppgifter.

(för bestämmelserna i tredje och fjärde styckena se 6 e och 6 h §§)

3Senaste lydelse 2009:387.

Författningsförslag

SOU 2019:14

	6 a §4
Fingeravtrycken och ansikts-		Fingeravtrycken och ansikts-
bilden enligt 6 § andra stycket 1		bilden som enligt 6 § andra styck-
ska sparas i ett lagringsmedium i		et 1 kan tas vid ansökningstill-
passet. Fingeravtrycken	och de	fället ska sparas i ett lagrings-
biometriska data som tas fram ur		medium i passet.
dessa och ur ansiktsbilden ska		Fingeravtrycken och de bio-
omedelbart förstöras när passet		metriska uppgifter som tas fram
har lämnats ut eller passansökan		ur dessa, får behandlas under tiden
har återkallats eller avslagits.		ärendet med anledning av pass-
		ansökan pågår, men ska omedel-
		bart förstöras när passet lämnas
		ut eller passansökan återkallas eller
		avslås.
	6 b §5
Fingeravtrycken och	ansikts-	Fingeravtrycken som tas vid
bilden enligt 6 § andra	stycket 1	ansökningstillfället och de biomet-
samt de biometriska data som kan		riska uppgifter som kan tas fram
tas fram ur dessa får inte an-		ur dessa får inte användas som
vändas vid sökning med hjälp av		sökbegrepp.
automatiserad behandling.
		6 c §
		Om en sökande styrker sin iden-
		titet med	en	identitetshandling
		som innehåller ett lagringsmedium
		där fingeravtryck eller ansiktsbild
		är sparade	får	passmyndigheten
		kontrollera att dessa motsvarar de

fingeravtryck och den ansiktsbild som tas vid ansökningstillfället.

När en kontroll enligt första stycket har genomförts ska de finger- avtryck och den ansiktsbild som då har tagits fram ur den handling som sökanden har lämnat över och

4Senaste lydelse 2009:387.

5Senaste lydelse 2009:387.

SOU 2019:14

Författningsförslag

(6 § tredje stycket)

Regeringen eller den myndig- het som regeringen bestämmer får meddela föreskrifter om un- dantag från skyldigheten att lämna fingeravtryck när det gäller barn under tolv år och personer som av fysiska skäl är permanent förhindrade att lämna finger- avtryck. Regeringen eller den myndighet som regeringen be- stämmer får också, när det gäller särskilt pass, meddela föreskrif- ter om att sökanden är skyldig att i samband med passansökan ge in fotografier och om undan- tag från skyldigheterna i första stycket tredje meningen och i andra stycket 1.

de biometriska uppgifter som tagits fram ur dessa omedelbart förstöras.

6 d §

Passmyndigheten får, under de förutsättningar som anges i 37 § andra stycket och 6 kap. 10 § andra stycket lagen (20xx:xx) om statliga identitetshandlingar, jämföra den ansiktsbild som tas vid ansök- ningstillfället och de biometriska uppgifter som tas fram ur denna med ansiktsbilder och biometriska uppgifter som finns i passregistret enligt 35 § och i det register som ska föras enligt 6 kap. 5 § lagen om statliga identitetshandlingar.

6 e §

Regeringen eller den myndig- het som regeringen bestämmer får meddela föreskrifter om un- dantag från skyldigheten enligt 6 § andra stycket 1 att lämna finger- avtryck för barn under tolv år och för personer som av fysiska skäl är permanent förhindrade att läm- na fingeravtryck samt från skyl- digheten enligt 6 § tredje stycket att styrka identiteten med en statlig fysisk identitetshandling för sök- ande som inte har en sådan hand- ling.

Regeringen eller den myndig- het som regeringen bestämmer får också, när det gäller särskilt pass, meddela föreskrifter om att sökanden är skyldig att vid pass- ansökan ge in fotografier och om

Passansökan ska avslås, om

1. bestämmelserna i 6 § inte har iakttagits och sökanden inte har följt uppmaningen att av- hjälpa bristen,

SOU 2019:14

Författningsförslag

(6 § fjärde stycket)

Om det tidigare har utfärdats ett pass för sökanden och detta inte har förstörts, förkommit eller makulerats, ska passet ges in i samband med att ansökan görs, om det inte finns särskilda skäl mot det.

6 h §

Om ett pass tidigare har ut- färdats för sökanden och det inte har förstörts, kommit bort eller makulerats, ska passet ges in för makulering när det nya passet läm- nas ut.

7 §6

1. det som anges om ansök- ningsförfarandet i denna lag eller i föreskrifter som har meddelats i anslutning till lagen inte har iakt- tagits och sökanden inte har följt uppmaningen att avhjälpa bristen,

2.ansökan avser pass för barn under arton år och barnets vård- nadshavare inte har lämnat medgivande och det inte finns synnerliga skäl att ändå utfärda pass,

3.sökanden är anhållen, häktad eller underkastad övervakning enligt 24 kap. 4 § första stycket rättegångsbalken eller reseförbud eller anmälningsskyldighet enligt 25 kap. 1 § samma balk,

4.sökanden är föremål för ett beslut om övervakningsåtgärder enligt 2 kap. 1 § lagen (2015:485) om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åkla- gare inte har lämnat medgivande,

5.sökanden är föremål för en uppföljningsförklaring som avser en övervakningsåtgärd enligt 3 kap. 3 § 3–5 lagen (2015:485) om er- kännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åklagare inte har lämnat medgivande,

6.sökanden är efterlyst och ska omhändertas omedelbart vid an- träffandet,

7.sökanden genom en dom som har fått laga kraft har dömts till frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta att han eller hon har för avsikt att undandra sig verkställigheten,

6Senaste lydelse 2015:486.

Författningsförslag

SOU 2019:14

8.sökanden avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och sökanden inte har villkorligt frigivits,

9.sökanden genomgår sluten ungdomsvård och den samman- lagda vårdtiden är minst ett år,

10.sökanden genomgår rättspsykiatrisk vård med särskild utskriv- ningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård, eller

11.sökanden enligt 2 kap. 12 § eller 6 kap. 6 § konkurslagen (1987:672) är ålagd att lämna ifrån sig sitt pass eller förbud att ut- färda pass för sökanden har meddelats enligt samma bestämmelser.

		12 §7
Passmyndigheten skall		åter-	Passmyndigheten		ska	åter-
kalla gällande pass, om			kalla gällande pass, om
1. passinnehavaren har förlorat			1. någon väsentlig uppgift som
eller efter ansökan har befriats från			framgår av passet är felaktig eller
sitt svenska medborgarskap,			inte längre gäller,
2. passet	avser barn	under	2. passet	avser barn		under
arton år och	barnets vårdnads-		arton år och	barnets	vårdnads-
havare eller, om barnet vistas här			havare eller, om barnet vistas här
i landet och står under vårdnad			i landet och står under vårdnad
av båda föräldrarna, en av dem			av båda föräldrarna, en av dem
begär att passet skall återkallas			begär att passet ska återkallas och
och det inte finns synnerliga skäl			det inte finns synnerliga skäl mot
mot återkallelse,			återkallelse,
3. passinnehavare, som är efter-			3. passinnehavare, som är efter-
lyst och skall omhändertas ome-			lyst och ska omhändertas ome-
delbart vid anträffandet, uppe-			delbart vid anträffandet, uppe-
håller sig utomlands och det av			håller sig utomlands och det av
särskilda skäl är motiverat att			särskilda skäl är motiverat att
passet återkallas,			passet återkallas,

4.passinnehavaren genom en dom som har vunnit laga kraft har dömts till frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta, att han eller hon har för avsikt att undandra sig verkställigheten,

5.passinnehavaren avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och innehavaren inte har villkorligt frigivits,

7Senaste lydelse 2006:434.

SOU 2019:14

Författningsförslag

6.passinnehavaren genomgår sluten ungdomsvård och den sam- manlagda vårdtiden är minst ett år,

7.passinnehavaren genomgår rättspsykiatrisk vård med särskild utskrivningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård,

8.hinder mot bifall till passansökan enligt 7 § förelåg vid tiden för passets utfärdande och hindret fortfarande består, eller

9.annan än den för vilken passet är utställt förfogar över passet.

Särskilt pass skall dessutom	Särskilt pass ska dessutom
återkallas, när de skäl som har	återkallas, när de skäl som har
föranlett passets utfärdande inte	föranlett passets utfärdande inte
längre finns.	längre finns.
Vad som sägs i första styck-	Vad som sägs i första styck-
et 2 skall inte gälla i det fall pass	et 2 ska inte gälla i det fall pass
utfärdats utan vårdnadshavares	utfärdats utan vårdnadshavares
medgivande enligt 11 § andra	medgivande enligt 11 § andra
stycket.	stycket.
	Register
	35 §
	Den passmyndighet som reger-
	ingen bestämmer ska med hjälp av
	automatiserad behandling föra ett
	passregister och ett register med
	uppgifter som avses i 20 § 1 och 3.
	36 §
	Passregistret ska innehålla en
	kopia	av vid ansökningstillfället
	tagen	ansiktsbild eller inlämnat
	fotografi enligt 6 § andra stycket 1

eller föreskrifter som meddelats med stöd av 6 e § andra stycket och de biometriska uppgifter som tas fram ur dessa.

Registret får inte innehålla fing- eravtryck eller biometriska upp- gifter som kan tas fram ur dessa.

Författningsförslag

SOU 2019:14

37 §

Ansiktsbilder och fotografier en- ligt 6 § andra stycket 1 och 36 § första stycket samt biometriska upp- gifter som tas fram ur dessa får inte användas som sökbegrepp om inte annat följer av andra stycket.

Vid ansökan om pass och om statligt identitetskort enligt lagen (20xx:xx) om statliga identitets- handlingar får den ansiktsbild som tas eller det fotografi som lämnas in samt de biometriska uppgifter som tas fram ur dessa användas som sökbegrepp vid sökning i re- gistret om det är nödvändigt för att kontrollera om ansiktsbilden eller fotografiet motsvarar någon ansikts- bild som finns i registret.

1.Denna lag träder i kraft den 1 januari 2022.

2.Vid tillämpningen av 5 § andra stycket 5 och tredje stycket 1 samt 5 a § andra stycket ska med statligt identitetskort jämställas nationellt identitetskort. Om den handling som medförs enligt 5 a § andra stycket är ett nationellt identitetskort gäller inte skyldigheten att låta befattningshavaren ta fingeravtryck.

3.Vid tillämpningen av 6 § tredje stycket och 6 g § första stycket ska med statlig fysisk identitetshandling jämställas nationellt identitets- kort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identi- tetskort.

4.Bestämmelserna om återkallelse och makulering gäller även pass som utfärdats före ikraftträdandet.

SOU 2019:14

Författningsförslag

1.4Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 22 kap. 1 § offentlighets- och sekretess- lagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

22kap. 1 §

Sekretess gäller för uppgift om en enskilds personliga förhåll- anden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och upp- giften förekommer i verksamhet som avser

1.folkbokföringen eller annan liknande registrering av befolk- ningen och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen, eller

2.förande av eller uttag ur sjömansregistret.

Sekretess gäller i verksamhet	Sekretess gäller i verksamhet
som avses i första stycket 1 för	som avses i första stycket 1 för
uppgift i form av fotografisk bild	uppgift i form av fotografisk bild
av den enskilde, om det inte står	av den enskilde och biometrisk
klart att uppgiften kan röjas utan	uppgift som har tagits fram ur bil-
att den enskilde eller någon när-	den, om det inte står klart att
stående till denne lider men.	uppgiften kan röjas utan att den
	enskilde eller någon närstående
	till denne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjut- tio år.

Denna lag träder i kraft den 1 januari 2022.

Författningsförslag

SOU 2019:14

1.5Förslag till lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism

Härigenom föreskrivs att 3 kap. 7 § och 8 kap. 1 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 kap.

7 §

En verksamhetsutövare ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillför- litlig källa.

Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den person- ens identitet och behörighet att företräda kunden.

En person som är personligen närvarande vid kontroll enligt första eller andra styckena, och som är svensk medborgare eller folkbok- förd i Sverige, ska styrka sin iden- titet med ett pass enligt passlagen (1978:302), ett statligt identitets- kort enligt lagen (20xx:xx) om stat- liga identitetshandlingar eller, om det bedöms lämpligt, en statlig e-legitimation enligt samma lag.

8kap. 1 §

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.undantag för vissa speltjänster från tillämpning av lagen eller bestämmelser i den,

SOU 2019:14

Författningsförslag

2.innehållet i och omfattningen av den allmänna riskbedömningen enligt 2 kap. 1 § och om faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

3.undantag från kravet på dokumenterade riskbedömningar en- ligt 2 kap. 2 §,

4.riskklassificering av kunder enligt 2 kap. 3 §, inbegripet faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

5.innehållet i och omfattningen av interna och gemensamma rutiner enligt 2 kap. 8 och 9 §§,

6.innehållet i rutiner för lämplighetsprövning enligt 2 kap. 13 §,

7.dokumentation av genomförda utbildningar och vilken infor- mation och utbildning som ska tillhandahållas anställda enligt 2 kap. 14 §,

8.nödvändiga åtgärder och rutiner för att skydda anställda och andra företrädare enligt 2 kap. 15 §,

9. åtgärder för identitetskon-	9. åtgärder för identitetskon-
troll enligt 3 kap. 7 och 8 §§,	troll enligt 3 kap. 7 och 8 §§, med
	undantag för de situationer som
	avses i 3 kap. 7 § tredje stycket,

10.vad som avses med förenklade åtgärder för kundkännedom och

ivilka situationer som förenklade åtgärder är tillåtna enligt 3 kap. 15 §,

11.vad som avses med skärpta åtgärder för kundkännedom och i vilka situationer som skärpta åtgärder ska vidtas enligt 3 kap. 16 och 17 §§,

12.hur rapportering till Polismyndigheten ska göras enligt 4 kap. 3 §,

13.hur uppgifter ska lämnas till Polismyndigheten enligt 4 kap. 6 §,

14.system för uppgiftslämning enligt 4 kap. 7 §,

15.bevarande av handlingar och uppgifter enligt 5 kap. 3 §,

16.förutsättningarna för förlängt bevarande av handlingar och uppgifter enligt 5 kap. 4 §,

17.innehållet i och omfattningen av rutiner för intern kontroll och modellriskhantering enligt 6 kap. 1 §,

18.kriterierna för när funktioner som avses i 6 kap. 2 § första stycket ska inrättas samt de krav som ska gälla i fråga om funk- tionernas organisation, befogenheter och oberoende,

19.organisation, kompetens, befogenheter, funktion och obero- ende för den centrala kontaktpunkten enligt 6 kap. 3 §,

20.det särskilda rapporteringssystemet enligt 6 kap. 4 §, och

SOU 2019:14

Författningsförslag

1.6Förslag till förordning om ändring i passförordningen (1979:664)

Härigenom föreskrivs i fråga om passförordningen (1979:664)8 dels att 21 § ska upphöra att gälla,

dels att 1, 12, 23 och 28 §§ ska ha följande lydelse,

dels att rubriken närmast före 20 § ska lyda ”Utfärdande av pass m.m.”,

dels att det ska införas fyra nya paragrafer, 1 a–1 d §§, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §9

Passansökan ska göras skriftligen och undertecknas av den sök- ande i närvaro av den person som tar emot den. Kravet på att ansökan ska undertecknas gäller inte den som inte kan skriva sitt namn.

Följande handlingar ska ges in tillsammans med ansökan.

1.Tidigare utfärdat och allt- jämt gällande pass för den sök- ande, om det inte har förstörts eller förkommit. Har passet förstörts eller förkommit, ska det i ansökan lämnas uppgift på heder och sam- vete om hur det har skett och, i de fall då passet har förkommit, om vilka åtgärder som har vidtagits för att återfå det. Om den sökande av särskilda skäl har behov av det tidigare passet under handlägg- ningstiden, behöver det inte ges in förrän i samband med att det nya passet lämnas ut.

8Senaste lydelse av

21§ 1997:1202

rubriken närmast före 20 § 2005:659.

9Senaste lydelse 2009:386.

Författningsförslag

SOU 2019:14

2.För barn som är under ar- ton år, handling som styrker upp- gift om vem som är vårdnads- havare, om denna uppgift inte framgår av för passmyndigheten tillgängliga uppgifter.

3.Vårdnadshavares medgivan- de, om sådant ska lämnas enligt 7 § 2 passlagen (1978:302).

Den sökande är skyldig att på ett tillförlitligt sätt styrka sin iden- titet i samband med ansökan.

1. För barn som är under ar- ton år, handling som styrker upp- gift om vem som är vårdnads- havare, om denna uppgift inte framgår av för passmyndigheten tillgängliga uppgifter.

2. Vårdnadshavares medgivan- de, om sådant ska lämnas enligt 7 § 2 passlagen (1978:302).

1 a §

Om en sökande inte har en statlig fysisk identitetshandling kan sökanden, trots det som anges i 6 § tredje stycket passlagen (1978:302), i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006.

1 b §

Om sökanden vare sig har en statlig identitetshandling eller en sådan handling som avses i 1 a § kan identiteten styrkas genom att någon som känner sökanden väl (intygsgivare) vid ansökningstill- fället skriftligen intygar att sökan- dens uppgifter om identiteten är riktiga. Ett skriftligt intyg ska vara undertecknat av intygsgivaren.

Intygsgivaren ska i relation till sökanden vara

1. vårdnadshavare,

SOU 2019:14

Författningsförslag

2.förälder,

3.barn eller barnbarn över 18 år,

4.hel- eller halvsyskon över 18 år,

5.mor- eller farförälder,

6.make eller maka,

7.registrerad partner,

8.sambo,

9.familjehemsförälder,

10.god man eller förvaltare,

11.arbetsgivare som sökanden har varit anställd hos i minst ett år, eller

12.tjänsteman vid en myndig- het som har en yrkesmässig rela- tion till sökanden.

1 c §

En intygsgivare som avses i 1 b § ska vara närvarande vid identitetskontrollen av sökanden och styrka sin egen identitet med en statlig fysisk identitetshandling. Om intygsgivaren inte har en sådan handling kan han eller hon i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass ut- färdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006.

Intygsgivaren ska på begäran styrka sin relation till sökanden.

1 d §

Om sökanden vare sig har en statlig fysisk identitetshandling eller en sådan handling som avses i 1 a § och inte heller kan styrka sin

FörfattningsförslagSOU 2019:14

identitet genom en intygsgivare enligt 1 b § får passmyndigheten godta att identiteten styrks på något annat tillförlitligt sätt.

12 §10

En passmyndighet utom riket kan i fråga om provisoriskt pass medge att inställelse sker hos ett ombud för myndigheten eller, om det finns särskilda skäl, efterge kravet på personlig inställelse.

Det som föreskrivs i 1 och	Det som föreskrivs i 1 och
3 §§ gäller även i fråga om pro-	3 §§ gäller även i fråga om pro-
visoriskt pass med följande undan-	visoriskt pass med det undantaget
tag.	att passmyndigheter utom riket
1. Tidigare utfärdat pass behöver	inte behöver begära kontroll som
inte ges in vid ansökan.	avses i 3 § första stycket.

2.Passmyndigheter utom riket behöver inte begära kontroll som avses i 3 § första stycket.

Regeringskansliet (Utrikesdepartementet) får, för passmyndig- heter utom riket, meddela föreskrifter om att den sökande ska skriva sitt namn i passformuläret i samband med att passet lämnas ut och i närvaro av den som lämnar ut passet. Polismyndigheten får meddela motsvarande föreskrifter när det gäller pass som utfärdas inom riket. Föreskrifterna får dock inte avse den som inte kan skriva sitt namn.

23 §11

Polismyndigheten ska föra ett	Polismyndigheten ska föra de
passregister och ett register över	register som avses i 35 § passlagen
omständigheter som avses i 20 § 1	(1978:302).
och 3 passlagen (1978:302).

Polismyndigheten ska på begäran lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndig- heten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kust- bevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten.

10Senaste lydelse 2014:1130.

11Senaste lydelse 2014:1130.

SOU 2019:14

Författningsförslag

28§12

En passmyndighet ska maku-	En passmyndighet ska maku-
lera ett gällande pass	lera ett pass
1. om passet har återkallats	1. om passet har återkallats
eller dragits in,	eller dragits in, eller
2. när innehavaren ansöker om	2. när ett nytt pass av annan typ
ett nytt pass av annan typ än pro-	än provisoriskt pass eller extra
visoriskt pass eller extra pass eller,	pass lämnas ut.
om han eller hon av särskilda skäl
har behov av det tidigare passet
under handläggningstiden, när det
nya passet lämnas ut.

1.Denna förordning träder i kraft den 1 januari 2022.

2.Vid tillämpningen av 1 c § ska med en statlig fysisk identitets- handling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

3.Bestämmelserna om makulering gäller även pass som utfärdats före ikraftträdandet.

12Senaste lydelse 2014:1130.

SOU 2019:14

Författningsförslag

1.8Förslag till förordning om ändring i förordningen (2009:92) om åtgärder mot penningtvätt och finansiering av terrorism

Härigenom föreskrivs att 18 § förordningen (2009:92) om åtgärder mot penningtvätt och finansiering av terrorism ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

18§14

När det gäller lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism får Finansinspektionen, Spelinspektionen, Fastighetsmäklarinspektionen samt länsstyrelserna i Stockholms, Västra Götalands och Skåne län, för de verksamhetsutövare som står under respektive myndighets tillsyn, meddela föreskrifter om

1.innehållet i och omfattningen av den allmänna riskbedömningen enligt 2 kap. 1 § och om faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

2.undantag från kravet på dokumenterade riskbedömningar en- ligt 2 kap. 2 §,

3.riskklassificering av kunder enligt 2 kap. 3 §, inbegripet fakto- rer som kan tyda på låg eller hög risk för penningtvätt eller finan- siering av terrorism,

4.innehållet i och omfattningen av interna och gemensamma ru- tiner enligt 2 kap. 8 och 9 §§,

5.innehållet i rutiner för lämplighetsprövning enligt 2 kap. 13 §,

6.dokumentation av genomförda utbildningar och vilken infor- mation och utbildning som ska tillhandahållas anställda enligt 2 kap. 14 §,

7.nödvändiga åtgärder och rutiner för att skydda anställda och andra företrädare enligt 2 kap. 15 §,

8. åtgärder för identitetskon-	8. åtgärder för identitetskon-
troll enligt 3 kap. 7 och 8 §§,	troll enligt 3 kap. 7 och 8 §§, med
	undantag för situationer som avses
	i 3 kap. 7 § tredje stycket,

9.vad som avses med förenklade åtgärder för kundkännedom och

ivilka situationer förenklade åtgärder är tillåtna enligt 3 kap. 15 §,

14Senaste lydelse 2018:1484.

SOU 2019:14

Författningsförslag

1.9Förslag till förordning om ändring i förordningen (2009:315) om samtjänst vid medborgarkontor

Härigenom föreskrivs att 3 § förordningen (2009:315) om samtjänst vid medborgarkontor ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3§15

En arbets- eller uppdragstagare som omfattas av ett särskilt avtal enligt 5 § lagen (2004:543) om samtjänst vid medborgarkontor får i respektive statlig myndighets namn

1. i enklare fall besluta i ären-	1. i enklare fall besluta i ären-
den om äldreförsörjningsstöd eller	den om äldreförsörjningsstöd eller
bostadstillägg enligt socialförsäk-	bostadstillägg enligt socialförsäk-
ringsbalken,	ringsbalken, och
2. i enklare fall besluta i ären-	2. i enklare fall besluta i ären-
den om resebidrag i form av er-	den om resebidrag i form av er-
sättning för resa och logi enligt	sättning för resa och logi enligt
förordningen (2015:500) om rese-	förordningen (2015:500) om rese-
bidrag, och	bidrag.
3. i enklare fall besluta i ären-
den om utfärdande av identitetskort
enligt lagen (2015:899) om identi-
tetskort för folkbokförda i Sverige.

Denna förordning träder i kraft den 1 januari 2022.

15Senaste lydelse 2015:928.

Verksamheten avser centrala hundregistret fastighetsregistret kommunala fastighetsregister passregister och register över

statliga identitetskort och statliga e-legitimationer

röstlängdsregister

Socialstyrelsens register över hälso- och sjukvårdspersonal

Statens tjänstepensionsverks pensionsregister

Författningsförslag

SOU 2019:14

1.10Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att 6 § offentlighets- och sekretessförord- ningen (2009:641) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6§16

Sekretess gäller i nedan angiven verksamhet, som avser registre- ring av betydande del av befolkningen, för

1.uppgift om en enskilds personliga förhållanden, om det av sär- skild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs, och

2. uppgift i form av fotogra-	2. uppgift i form av fotogra-
fisk bild av den enskilde, om det	fisk bild av den enskilde och bio-
inte står klart att uppgiften kan	metrisk uppgift som har tagits fram
röjas utan att den enskilde eller	ur bilden, om det inte står klart
någon närstående till honom eller	att uppgiften kan röjas utan att
henne lider men.	den enskilde eller någon närstå-
	ende till honom eller henne lider
	men.

För uppgift i en allmän handling gäller sekretessen i högst sjut- tio år.

Verksamheten avser centrala hundregistret fastighetsregistret kommunala fastighetsregister passregister och register över

nationella identitetskort

röstlängdsregister Skatteverkets databas över iden-

titetskort för folkbokförda i Sverige Socialstyrelsens register över

hälso- och sjukvårdspersonal Statens tjänstepensionsverks

pensionsregister

16Senaste lydelse 2014:1369.

Polismyndighetens direkt- åtkomst ska begränsas till de per- sonuppgifter som myndigheten behöver för de ändamål som anges i 11 § 1–4 och 15 § andra stycket 2 utlänningsdatalagen (2016:27) samt för handläggning av en ansökan enligt lagen (20xx:xx) om statliga identitetshandlingar.

Direktåtkomst vid handlägg- ning av en ansökan enligt lagen om statliga identitetshandlingar får endast avse uppgift om

1. namn och personnummer,

2. längd,

3. fotografi,

4. underskrift,

5. typ av resehandling, resehand- lingens nummer och giltighetstid, och 6. bevis om uppehållstillstånd.

Författningsförslag

SOU 2019:14

1.11Förslag till förordning om ändring

i utlänningsdataförordningen (2016:30)

Härigenom föreskrivs i fråga om utlänningsdataförordningen (2016:30) dels att 13 § ska upphöra att gälla,

dels att 9 och 10 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9 §17

10 §

Utlandsmyndigheternas direkt-	Utlandsmyndigheternas direkt-
åtkomst ska begränsas till de per-	åtkomst ska begränsas till de per-
sonuppgifter som myndigheterna	sonuppgifter som myndigheterna
behöver för de ändamål som an-	behöver för de ändamål som an-
ges i 11 § 1 utlänningsdatalagen	ges i 11 § 1 utlänningsdatalagen
(2016:27).	(2016:27) samt för handläggning av

17Senaste lydelse 2018:1612.

Författningsförslag

SOU 2019:14

1.12Förslag till förordning om ändring i förordningen (2017:154) med instruktion för Skatteverket

Härigenom föreskrivs i fråga om förordningen (2017:154) med in- struktion för Skatteverket

dels att 3 § ska upphöra att gälla, dels att 38 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

38 §

Skatteverket ska disponera intäkter från avgifter som myndigheten tar ut enligt bestämmelser som finns i

1.lagen (2009:1289) om prissättningsbesked vid internationella transaktioner,

2.förordningen (2015:904) om

identitetskort	för folkbokförda		i
Sverige,
3. lagen (2001:181) om be-				2. lagen	(2001:181) om be-
handling av uppgifter i Skatte-				handling av uppgifter i Skatte-
verkets beskattningsverksamhet,				verkets beskattningsverksamhet,
4. lagen (2001:182) om be-				3. lagen	(2001:182) om be-
handling av	personuppgifter		i	handling	av personuppgifter i
Skatteverkets folkbokföringsverk-				Skatteverkets folkbokföringsverk-
samhet,				samhet,
5. förordningen		(2015:905)		4. förordningen		(2015:905)
om behandling av personuppgif-				om behandling av personuppgif-
ter i Skatteverkets äktenskaps-				ter i Skatteverkets äktenskaps-
register- och boupptecknings-				register- och boupptecknings-
verksamheter,				verksamheter,
6. förordningen		(1998:1234)		5. förordningen		(1998:1234)
om det statliga personadress-				om det statliga personadress-
registret, och				registret, och
7. förordningen (2017:120) om				6. förordningen (2017:120) om
personnamn.				personnamn.

2Utredningens uppdrag och arbete

2.1Uppdraget

Vårt uppdrag har varit att utreda och lämna förslag till skärpta krav och rutiner för svenska identitetshandlingar i syfte att minska det ökande antalet bedrägerier som begås med hjälp av förfalskade iden- titetshandlingar. Uppdraget har bl.a. bestått i att föreslå hur antalet identitetshandlingar och utfärdare ska begränsas, analysera och vid behov föreslå en enhetlig reglering av giltiga identitetshandlingar, analysera och föreslå hur verifieringen av äktheten och giltigheten av identitetshandlingar kan förbättras, utreda och vid behov föreslå hur identitetshandlingar bör utfärdas och utformas för att bli säkrare, analysera och ta ställning till om fysiska identitetshandlingar bör inne- hålla en e-legitimation på högsta tillitsnivå samt lämna nödvändiga författningsförslag. Utredningens direktiv finns intagna som bilaga till detta betänkande.

2.2Avgränsningar

Vårt uppdrag har endast omfattat frågan om åtgärder för att göra själva identitetshandlingarna och utfärdandet av dessa säkrare. Fel- aktiga uppgifter kan emellertid av olika anledningar registreras i folk- bokföringen och leda till att identitetshandlingar med felaktiga upp- gifter utfärdas. Det har inte ingått i uppdraget att säkerställa att dessa grunddata är korrekta. Vi har därför inte behandlat denna proble- matik. Vissa av de förslag vi lämnar kan dock få positiva effekter även när de gäller att säkerställa grunddata.

Utredningens uppdrag och arbete

SOU 2019:14

Vårt uppdrag har inte heller omfattat att se över passbestämmel- serna, annat än i de fall de har betydelse för passet som identitets- handling. Förutom vissa förslag som rör sistnämnda frågor lämnar

viockså förslag som syftar till att utfärdandeprocessen för pass och andra identitetshandlingar ska bli mer enhetlig.

2.3Identitetsbegreppet

Vårt uppdrag handlar alltså om skärpta krav och rutiner för identi- tetshandlingar. Det kan därför vara på sin plats att inledningsvis kort nämna något om begreppen identitet, identifiering och identitets- kontroll.

Med begreppet identitet avses i detta sammanhang i huvudsak en persons namn och personnummer eller samordningsnummer. Även andra uppgifter om en person, såsom födelsetid, medborgarskap och bostadsadress kan hänföras till identitetsbegreppet.

En identitetshandling används för att en person ska kunna iden- tifiera sig, eller styrka sin identitet. Identitetshandlingen innehåller vissa identitetsuppgifter.

En kontroll av en persons identitet syftar till att utreda om per- sonen är den han eller hon utger sig för att vara. Identitetskontrollen kan bestå av två delar. Det kan vara fråga om att göra en kontroll av att vissa uppgivna personuppgifter verkligen utgör en identitet och att uppgifterna inte är falska. En sådan kontroll görs som regel ge- nom slagning i register. Det kan också handla om att kontrollera om en viss fysisk person stämmer överens med en viss (registrerad) iden- titet, dvs. vissa personuppgifter. Den sistnämnda kontrollen kan göras genom en jämförelse mellan en person och en identitetshand- ling.

2.4Utredningsarbetet

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna expertgruppssammanträden och andra kontakter med experter och sakkunniga. Utredningen har hållit sammanlagt tolv sammanträden med experter och sakkunniga. Utredningsarbetet har även i övrigt bedrivits i nära samarbete med experter och sakkunniga.

SOU 2019:14

Utredningens uppdrag och arbete

Utredaren och den dåvarande sekreteraren samrådde i novem- ber 2017 med Utredningen om effektiv styrning av nationella digitala tjänster (N 2016:01). Syftet var att diskutera den omständigheten att utredningarnas direktiv överlappade i fråga om på vilken fysisk bära- re en statlig e-legitimation ska finnas och vilken myndighet som ska utfärda den.

I januari 2018 hade utredaren och sekreteraren möten med led- ningen för Skatteverket respektive Polismyndigheten i syfte att få del av myndigheternas syn på utredningens uppdrag och var ansvaret för att utfärda identitetshandlingar bör placeras.

Sekreteraren närvarade i februari 2018 vid E-legitimationsdagen som anordnades av E-legitimationsnämnden.

Utredningens expertgrupp hade i februari 2018 ett internat i syfte att inhämta kunskap om nuläget när det gällde både utfärdande av identitetshandlingar och problembilden. Vid internatet medverkade representanter från Nationellt Forensiskt Centrum (NFC) och Na- tionellt bedrägericenter (NBC) vid Polismyndigheten, Skatteverket, Transportstyrelsen, Finansiell ID-Teknik BID AB och E-legitima- tionsnämnden. Kortare presentationer med information av relevans för vårt arbete hölls av de medverkande.

I maj 2018 träffade utredaren och sekreteraren Statens service- center för att diskutera gemensamma frågor inför myndighetens övertagande av Skatteverkets verksamhet att utfärda identitetskort för folkbokförda i Sverige.

Utredaren och sekreteraren var i juni 2018 på studiebesök på pass- expeditionen i polisområde Stockholm city där vi fick närmare infor- mation om processen för utfärdande av pass och nationella identi- tetskort.

Utredaren och sekreteraren besökte i augusti 2018 Polisstyrelsen i Finland. Vid mötet informerade representanter från Polisstyrelsen om pass- och id-kortsverksamheten i Finland. Vid mötet deltog även en företrädare för Befolkningsregistercentralen som informerade om den e-legitimation som finns på de finska id-korten.

I september 2018 träffade utredaren och sekreteraren Skatteverket med anledning av myndighetens regeringsuppdrag om kopplingar mellan utländska e-legitimationer och svenska person- och samord- ningsnummer. Frågan om registrering av koppling vid personlig in- ställelse diskuterades.

Utredningens uppdrag och arbete

SOU 2019:14

Vi har även haft kontakt med några större utlämningsföretag som skriftligen ombetts besvara ett antal frågor om sina rutiner för iden- titetskontroll och sin syn på behovet av förändringar. Tre av de fyra tillfrågade företagen återkom med svar.

Under hösten 2018 hade sekreteraren kontakt med Politidirekto- ratet i Norge med anledning av att de arbetar med att införa natio- nella identitetskort varvid vissa gemensamma frågor diskuterades.

Sekreteraren hade i november 2018 kontakt med Migrationsver- ket för att diskutera frågan om direktåtkomst till uppgifter om uppe- hållstillstånd och kontroll av ansiktsbild och fingeravtryck i uppe- hållstillståndskort.

Under hösten 2018 hade sekreteraren löpande kontakt med med- arbetare vid Justitiedepartementet med anledning av det interna arbe- tet med en författningsreglering av den behandling av personupp- gifter som sker i passverksamheten.

Utredningsarbetet har bedrivits i nära samråd med experter och sakkunniga som i allt väsentligt ställt sig bakom utredningens över- väganden och förslag. Betänkandet är därför skrivet i vi-form.

2.5Betänkandets disposition

Betänkandet är indelat i 16 kapitel. I kapitel 1 redovisar vi våra för- fattningsförslag. Därefter behandlas i detta kapitel vårt uppdrag och arbete. Kapitel 3–7 innehåller bakgrundsbeskrivningar. I kapitel 3 redogör vi för bedrägeribrottsligheten och dess koppling till miss- bruk av identitetshandlingar. De svenska fysiska identitetshandling- ar som finns i dag beskrivs i kapitel 4. E-legitimation behandlas i kapitel 5. Några reformer på området redovisas i kapitel 6. I kapitel 7 gör vi en internationell utblick. Våra överväganden och förslag finns i kapitel 8–13. Frågorna om begränsning av antalet fysiska identitets- handlingar och utfärdare behandlas i kapitel 8 och 9. I kapitel 10 och 11 lämnar vi förslag på en enhetlig reglering av utfärdandeprocessen och på hur identitetshandlingarna ska bli säkrare. Frågan om en stat- lig e-legitimation på fysiska identitetshandlingar behandlas i kapi- tel 12. I kapitel 13 redovisar vi de förslag som syftar till en bättre kontroll av identitetshandlingars äkthet och giltighet. I betänkan-

3Bedrägeribrottslighet och missbruk av identitetshandlingar

3.1Bedrägeribrottslighetens utveckling

Under den senaste tioårsperioden har det skett en kraftig ökning av antalet anmälda bedrägeribrott. Totalt sett har antalet anmälda be- drägeribrott ökat med 141 procent under perioden 2009–2018. Under 2018 anmäldes omkring 259 000 bedrägeribrott vilket är en ökning med 25 procent sedan föregående år.1

Bidragsbrotten har också ökat, men inte lika kraftigt. Sedan 2008 har antalet anmälda bidragsbrott ökat med 30 procent. Under 2017 anmäldes cirka 13 000 bidragsbrott.2

Brottsförebyggande rådet (Brå) har i rapporten Bedrägeribrotts- ligheten i Sverige konstaterat att det är ett centralt moment vid många bedrägerier att utge sig för att vara någon annan. Identitets- missbruk kan ske antingen genom att gärningspersonen utger sig för att vara en person som inte existerar eller genom att någon annans identitetsuppgifter olovligen används. Det senare kallas i vardagligt tal för identitetskapning och är sedan 2016 kriminaliserat genom bestämmelsen om olovlig identitetsanvändning i 4 kap. 6 b § brotts- balken. Förutom identitetskapning förekommer det också att en person lånar ut sina identitetsuppgifter och på så sätt fungerar som en målvakt. Enligt Brå finns det indikationer på att användningen av stulna och falska identiteter ökar i Sverige och att det inte sällan har kopplingar till organiserad brottslighet.3

1Brottsförebyggande rådet Kriminalstatistik 2018 Anmälda brott Preliminär statistik.

2www.bra.se/brott-och-statistik/statistik-utifran-brottstyper/bedragerier-och- ekobrott.html. Hämtad 2018-06-04.

3Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 148 f.

Bedrägeribrottslighet och missbruk av identitetshandlingar

SOU 2019:14

Bakgrunden till det ökade missbruket av identiteter är enligt Brå den tekniska utvecklingen med ökat internetanvändande i kombina- tion med att enskildas personuppgifter är lättillgängliga för allmän- heten i Sverige. Vidare gör det stora antalet godkända identitetshand- lingar i Sverige att det är svårare att kontrollera handlingarna och enklare att förfalska dem. Det är dessutom enkelt att kartlägga en person på internet. Även ändrade köp- och betalningsvanor som inne- bär att köp, beviljande av lån och betalningar i dagofta sker utan direkt fysisk kontakt har betydelse för utvecklingen.4

3.2Olika former av missbruk av identitetshandlingar

Identitetsmissbruk kan ske både med och utan användande av iden- titetshandlingar. Vårt uppdrag är begränsat till att föreslå åtgärder för att minska den bedrägeribrottslighet som sker med hjälp av iden- titetshandlingar. Identitetshandlingar kan komma till användning på tre olika sätt i samband med bedrägeribrottslighet. Det kan för det första röra sig om användning av förfalskade identitetshandlingar, dvs. där det aldrig har skett något utfärdande utan själva framställ- ningen är falsk. För det andra kan någon använda sig av en äkta iden- titetshandling som tillhör en annan person. Handlingen kan vara stulen eller på annat sätt åtkommen utan personens vetskap eller med- givande. Det förekommer också att personer frivilligt eller under på- tryckning lånar ut eller säljer sina identitetshandlingar till bedragare. För det tredje kan det röra sig om identitetshandlingar som i och för sig har utfärdats på ett riktigt sätt men där den identitet som anges på handlingen är falsk.

3.3Bedrägeri enligt brottsbalken

3.3.1Inledning

Bedrägeri är straffbelagt enligt 9 kap. 1 § brottsbalken och innebär att någon medelst vilseledande förmår någon till handling eller underlåtenhet, som innebär vinning för gärningsmannen och skada för den vilseledde eller någon i vars ställe denne är. För bedrägeri

4Ibid. s. 149.

SOU 2019:14

Bedrägeribrottslighet och missbruk av identitetshandlingar

döms också den som genom att lämna oriktig eller ofullständig upp- gift, genom att ändra i program eller upptagning eller på annat sätt olovligen påverkar resultatet av en automatisk informationsbehand- ling eller någon annan liknande automatisk process, så att det inne- bär vinning för gärningsmannen och skada för någon annan.

Brå har i sin rapport utifrån en granskning av 400 bedrägerier som polisanmäldes under 2013 gjort en indelning av bedrägeribrottslig- heten i olika kategorier. Utöver polisanmälningarna har även 113 tings- rättsdomar granskats. De flesta av de bedrägerier som granskades, cirka tre fjärdedelar, kunde hänföras till två huvudkategorier, bedräg- lig försäljning respektive bedrägliga köp m.m. Majoriteten av bedrä- gerierna var alltså kopplade till någon form av köp- och säljprocess.

3.3.2Bedrägligt köp, lån eller uttag

Bedrägliga köp, lån eller uttag motsvarar 43 procent av de anmälda bedrägerierna. Denna kategori består framför allt av kortbedrägerier (22 procent) och kreditbedrägerier (17 procent). Tillvägagångssättet vid dessa bedrägerier innebär att gärningspersonen köper en vara eller tjänst på någon annans bekostnad.5

Kortbedrägeri begås med hjälp av någon annans kontokort, kredit- kort eller kortuppgifter. Det finns två olika typer av kortbedrägerier. Vid s.k. Card present (CP) är köparen fysiskt närvarande och ett fysiskt betalkort används. Korten kan antingen vara stulna eller manipulerade och försedda med stulna kortuppgifter (exempelvis genom skimning). Bedrägerierna rör såväl automatuttag som köp. Card not present (CNP) innebär att elektroniska kortuppgifter an- vänds för att genomföra köp, vanligen via internet. CP-bedrägerier föregås ofta av rena stölder av kort medan gärningspersonerna kom- mer över kortuppgifter vid CNP-bedrägerier genom exempelvis skimning eller genom den organiserade svarta marknad för stulna kortuppgifter som finns på internet. Flera härvor där stora mängder kortuppgifter från diverse dataintrång har använts för bedrägliga köp har avslöjats. Det är framför alltprivatpersoner som drabbas av att någon använder deras kort eller kortuppgifter. De belopp gärnings- personerna kommer åt vid enskilda bedrägerier varierar, men me- dianvärdet i de granskade ärendena är cirka 3 500 kronor. Utifrån de

5Ibid. s. 56.

Bedrägeribrottslighet och missbruk av identitetshandlingar

SOU 2019:14

domar som undersökts konstaterar dock Brå att de sammanlagda beloppen för samma gärningspersoner avser relativt stora belopp.6

Kreditbedrägeri innebär att gärningspersonen köper en vara eller tjänst på kredit alternativt tar lån i någon annans namn. Det handlar ofta om tecknande av mobilabonnemang eller köp av varor på kredit, men det förekommer även banklån eller sms-lån i annans namn. Vid denna typ av bedrägeri ingår i stort sett alltid någon form av identi- tetsmissbruk. Vid tecknandet av ett låneavtal eller vid köp på kredit som sker vid ett fysiskt möte behöver kunden identifiera sig, vilket innebär att den här typen av brottslighet ofta kräver en stulen, falsk eller manipulerad identitetshandling. Kreditbedrägerier kan också genomföras med hjälp av att helt falska identiteter skrivs in i Bolags- verkets register eller folkbokföringen på grundval av felaktiga iden- titetshandlingar. Vid distansköp på kredit, vilket oftast sker via in- ternet, är den fysiska identitetskontrollen senarelagd till tidpunkten då varan lämnas ut vid ett utlämningsställe eller vid leverans till be- ställarens hem- eller företagsadress. Om varan lämnas ut vid ett ut- lämningsställe krävs en identitetshandling, vilket innebär att stulna, falska eller manipulerade identitetshandlingar används även vid denna typ av brottslighet. Vid leverans till en hem- eller företags- adress görs inte alltid någon identitetskontroll utan mottagaren skriver under på att varan har mottagits från leverantören. Både omfattningen och komplexiteten varierar vid denna typ av bedrägeri. De belopp gärningspersonerna kommer över varierar men median- beloppet i de granskade anmälningarna är cirka 2 800 kronor. Medi- anvärdet i de granskade domarna är cirka 80 000 kronor. 7

Enligt uppgift från Polismyndigheten har det förekommit brotts- upplägg som varit organiserat på så sätt att varor beställts i kredit- värdiga personers namn för vilka falska identitetshandlingar inför- skaffats. Målvakter har sedan använt de falska identitetshandlingarna för att teckna krediter eller hämta ut de beställda varorna. Ett sådant nätverk har under en sexmånadersperiod begått över 100 brott till ett sammanlagt värde om 1,6 miljoner kronor. Falska identitets- handlingar var en förutsättning för att bedrägerierna skulle kunna utföras.

6Ibid. s. 79–89.

7Ibid. s. 90–100.

SOU 2019:14

Bedrägeribrottslighet och missbruk av identitetshandlingar

3.3.3Bedräglig försäljning

Bedräglig försäljning motsvarar cirka en tredjedel av samtliga bedrä- geribrott. Denna kategori består enligt Brås terminologi främst av två stora underkategorier, annonsbedrägerier (16 procent) och fak- turabedrägerier (12 procent). Bedräglig försäljning kännetecknas av att gärningspersonen använder försäljningsprocessen för att vilse- leda någon för egen vinning.8

Med annonsbedrägerier menas att någon, via en internetannons, låtsas ha för avsikt att sälja en vara eller en tjänst som, trots betalning, aldrig levereras alternativt är falsk eller på något sätt inte motsvarar vad som stod i annonsen. Annonsering sker genom att gärnings- mannen använder en annan persons namn och adressuppgifter eller en helt påhittad identitet. Denna typ av bedrägeri rör som regel inte så stora belopp, medianvärdet avseende de granskade polisanmäl- ningarna är drygt 1 700 kronor medan medianvärdet i de granskade domarna är cirka 40 000 kronor. Det är oftast privatpersoner som drabbas av bedrägerierna.9

Fakturabedrägerier kan ha flera olika och ibland mer komplicerade upplägg. Bedrägeriet består ofta av att någon genom faktura kräver någon annan på betalning för en vara eller tjänst som denne aldrig beställt eller att fakturan avser ett högre belopp än vad parterna kom- mit överens om. Bedrägerierna begås ofta med hjälp av ett företag för att bedragarna på så sätt ska få tillgång till ett företagskonto för inbetalning av pengarna. Såväl företag som enskilda drabbas av denna typ av bedrägeri. De fakturerade beloppen ligger vanligen under 10 000 kronor. Medianvärdet för de granskade ärendena är cirka 4 400 kronor.10

3.3.4Övriga bedrägerier

23 procent av bedrägerierna har ingen koppling till försäljning, köp, lån eller uttag. Det rör sig framför allt om en kategori som Brå kallar övriga telefon- och internetbedrägerier (cirka 16 procent).11

Vid telefon- och internetbedrägerier används internet eller tele- fonkontakter för att på olika sätt vilseleda personer att föra över

8Ibid. s. 55.

9Ibid. s. 60–67.

10Ibid. s. 68–78.

11Ibid. s. 57.

Bedrägeribrottslighet och missbruk av identitetshandlingar

SOU 2019:14

pengar eller att lämna ut känsliga uppgifter, t.ex. kortuppgifter. I kategorin återfinns s.k. nätfiske som ofta innebär att gärningsper- sonen skickar ett mejl i syfte att få någon att lämna ifrån sig känslig information. Bedragarna kan också använda sig av telefon för att få del av informationen. Det kan också röra sig om bedrägerier som genomförs med hjälp av olika former av skadlig kod. Den skadliga koden sprids till datorer, mobiltelefoner och surfplattor genom att användare exempelvis öppnar en infekterad bilaga till ett mejl eller klickar på en länk. Den skadliga koden kan kryptera innehållet i datorn så att användaren inte längre får tillgång till det samtidigt som ett meddelande som kräver en lösensumma för att låsa upp datorn visas. Det förekommer också bedrägerier som sker efter att någon gjort intrång i en persons e-post- eller Facebook-konto och därefter skickat ett mejl till kontohavarens kontakter som beskriver hur avsändaren befinner sig i en svår situation och är i behov av pengar. Medianvärdet för de granskade ärendena är cirka 4 000 kronor.12

En särskild typ av bedrägerier som inte tas upp i Brås rapport men som blivit allt vanligare på senare tid är att bedragare via telefon lurar personer att använda sitt BankID, som är den e-legitimation som utfärdas av bankerna, och på så sätt får tillgång till personens inter- netbank. Det går till så att bedragaren ringer upp en person och utger sig för att vara från banken eller någon myndighet. Bedragaren får sedan personen att använda sin bankdosa eller sitt BankID. Bedraga- ren påstår ofta att det är bråttom och anger som skäl att denne ska hjälpa till att stoppa en misstänkt överföring. På så sätt får bedra- garen tillgång till personens internetbank och kan göra överföringar efter att personen godkänt dessa med sitt BankID. Det förekommer också att bedragaren förmår personen att skapa ett nytt mobilt BankID för att bedragaren sedan ska kunna göra olika överföringar. Särskilt äldre personer har utsatts för bedrägerierna.13

12Ibid. s. 101–111.

13Se t.ex. polisen.se/aktuellt/nyheter/2018/maj/polisen-varnar-for-telefonbedragerier/ och www.dn.se/ekonomi/over-trettio-domda-i-stor-bedrageriharva/. Hämtad 2019-01-23.

100

SOU 2019:14

Bedrägeribrottslighet och missbruk av identitetshandlingar

3.4Bidragsbrott

3.4.1Inledning

Bidragsbrott innebär enligt 2 § bidragsbrottslagen (2007:612) att någon lämnar oriktiga uppgifter eller inte anmäler ändrade förhåll- anden som han eller hon är skyldig att anmäla enligt lag eller för- ordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp. Med eko- nomisk förmån avses bidrag, ersättningar, pensioner och lån för per- sonligt ändamål som enligt lag eller förordning beslutas av Försäk- ringskassan, Pensionsmyndigheten, Centrala studiestödsnämnden, Migrationsverket, Arbetsförmedlingen, kommunerna eller arbets- löshetskassorna.

3.4.2Brottsligheten

Brå har granskat 50 anmälda bidragsbrott. Det är främst Försäk- ringskassan, arbetslöshetskassorna och kommunerna som anmäler sådana brott. Brott begås genom att en sökande lämnar felaktig in- formation för att få ett för högt bidrag eller annan utbetalning från välfärdssystemen. Det kan också handla om att sökanden inte under- rättar den utbetalande myndigheten eller organisationen om ändrade förhållanden, vilket också leder till att personen får för mycket ut- betalt. Det rör sig framför alltom att felaktig information lämnas om inkomster. De belopp som betalas ut felaktigt varierar men median- värdet var cirka 14 000 kronor. Det högsta beloppet var närmare 19 miljoner kronor. I ungefär hälften av fallen rörde det sig om upp- repad brottslighet.

Många av gärningspersonerna är inte sedan tidigare kriminellt belastade utan snarare bidragstagare som har befunnit sig i en svår situation i livet eller haft svårt att förstå regelverket. Det förekom- mer dock också mer planerade och kvalificerade gärningspersoner som lärt sig hur man utnyttjar systemen exempelvis genom använd- ande av flera olika identiteter för att kombinera arbete och bidrag. Bidragsbrott begås också inom ramen för mer omfattande ekono- misk brottslighet eller organiserad brottslighet där företag ofta an- vänds.

101

Bedrägeribrottslighet och missbruk av identitetshandlingar

SOU 2019:14

Det förekommer att falska eller kapade identiteter används av arbetsgivare vid rapportering av anställda för att tillskansa sig bi- drag.14 Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden har konstaterat att när det gäller brotts- lighet som särskilt riktas mot välfärdssystemen förekommer det att oriktiga uppgifter om identiteter eller bosättning blir registrerade i folkbokföringsdatabasen på grundval av förfalskade eller manipu- lerade identitetshandlingar. De falska identiteterna används därefter för att begå brott.15

3.5Missbruk av identitetshandlingar i samband med bedrägeri och bidragsbrott

Brå har konstaterat att det vid många bedrägerier är ett centralt mo- ment att utge sig för att vara någon annan. När det gäller bedrägerier enligt brottsbalken ingår någon form av identitetsmissbruk i 63 pro- cent av fallen.16

Identitetsmissbruk kan innefatta användning av förfalskade, stulna eller felaktigt utfärdade identitetshandlingar men behöver inte göra det. Det finns ingen statistik som visar i hur många fall identitets- handlingar har använts för att begå brott. Det hänger samman med att brottskoderna inte är indelade på ett sådant sätt att det kan ut- läsas. Det finns dock uppgifter som pekar på att användning av iden- titetshandlingar är vanligt förekommande vid vissa typer av bedräge- rier.

Av Brås rapport framgår alltså att missbruk av identiteter är van- ligt förekommande vid kreditbedrägerier, dvs. när någon tar lån eller genomför ett köp på kredit i någon annans namn. Som anges i av- snitt 3.3.2 ingår i stort sett alltid någon form av identitetsmissbruk vid denna typ av bedrägeri eftersom det i princip är en förutsättning för att brott ska kunna begås. Ofta används en fysisk identitetshand- ling när dessa brott begås.

Av uppgifter från Polismyndigheten framgår att det varje år an- mäls omkring 25 000–30 000 kreditbedrägerier. I majoriteten av fallen levereras den beställda varan till ett utlämningsställe där den som hämtar ut varan måste visa upp en giltig identitetshandling för att få

14Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 112–128.

15SOU 2017:37 s. 267.

16Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 148 ff.

102

SOU 2019:14

Bedrägeribrottslighet och missbruk av identitetshandlingar

ut sitt paket. Gärningspersoner som beställer varor som levereras till utlämningsställen eller tar lån i annans namn måste alltså ha tillgång till en falsk, stulen eller oriktigt utfärdad identitetshandling för att kunna genomföra bedrägeriet. Enligt en mycket grov uppskattning av Polismyndigheten är det cirka 10 000–20 000 paket som hämtas ut med hjälp av en falsk, stulen eller oriktigt utfärdad identitetshand- ling per år.

Vid kontakt med Polismyndigheten har framkommit att falska, stulna eller oriktigt utfärdade identitetshandlingar också används vid vissa kortbedrägerier, de s.k. CNP-bedrägerierna. I samband med att köp gjorts på internet med stulna kortuppgifter måste nämligen, i de fall varan levereras till ett utlämningsställe, även i detta fall en iden- titetshandling visas upp för att varan ska kunna hämtas ut.

Vid bidragsbrott vilseleder gärningspersonen ofta med hjälp av andra uppgifter än identitetsuppgifter. Enligt Brå förekommer dock även här missbruk av identiteter. Användande av olika identiteter innebär att samma person antingen kan kombinera arbete och bidrag eller ansöka om bidrag ur olika system parallellt och på så sätt få ut ersättning felaktigt.17 Det är dock oklart i hur stor omfattning iden- titetshandlingar används i samband med bidragsbrott. Att oriktiga uppgifter om identiteter eller bosättning som registreras i folkbok- föringsdatabasen på grundval av förfalskade eller manipulerade iden- titetshandlingar används för att begå brott konstaterades av Utred- ningen om organiserad och systematisk ekonomisk brottslighet mot välfärden. Utredningen kunde dock inte bedöma i hur stor omfatt- ning oriktiga identiteter förekommer vid kvalificerad välfärdsbrotts- lighet.18

De förfalskade identitetshandlingar som används för att begå be- drägerier köper gärningspersonerna enligt Polismyndigheten ofta på nätverk på internet som inte är synliga för allmänheten och som inte nås med vanliga sökmotorer.

17Ibid. s. 122 och 159.

18SOU 2017:37 s. 261 och 267.

103

Bedrägeribrottslighet och missbruk av identitetshandlingar

SOU 2019:14

3.6Aktörer som drabbas av identitetsmissbruket

Bedrägeribrottsligheten drabbar många olika delar av samhället. Även om det ofta är privatpersoner som upptäcker och anmäler bedräge- rierna är det ofta andra som drabbas av de direkta ekonomiska kon- sekvenserna.

Vid kreditbedrägerier är det främst kreditföretag, fakturerings- bolag, finansbolag, banker eller företag inom handel som drabbas ekonomiskt av bedrägerierna. Enskilda drabbas främst på andra sätt än ekonomiskt genom de olika konsekvenser som en identitetsstöld kan leda till. Även konsumenterna drabbas dock indirekt genom höjda priser.

Detsamma gäller vid kortbedrägerierna där det framför allt är banker, kortutgivare och företag inom handel som står för den eko- nomiska förlusten medan privatpersoner får sina identiteter eller kort utnyttjade. Det förekommer även företag vars kontokort miss- brukas.

I samband med bidragsbrott är det de utbetalande myndigheterna och organisationerna som drabbas av brottsligheten. Eftersom brotten avser felaktigt utbetalade skattemedel drabbar denna brottslighet även indirekt allmänheten.19

3.7Konsekvenser av identitetsmissbruket

Eftersom det saknas statistik över bedrägeribrott som begås med hjälp av falska, stulna eller oriktigt utfärdade identitetshandlingar är det inte möjligt att göra någon beräkning av de totala ekonomiska konsekvenserna av brottsligheten. Med beaktande av antalet bedrä- gerier, de belopp som bedragaren har kommit över och det faktum att vissa typer av bedrägerier förutsätter användande av identitets- handlingar kan det dock antas att det rör sig om stora summor. De ekonomiska konsekvenserna drabbar, som anges ovan, främst när- ingslivet. Den brottslighet som är riktad mot välfärdssystemen drab- bar dock staten och i förlängningen även allmänheten.

För den enskilde som drabbas av att någon använder sig av dennes identitetshandling kan bedrägeribrotten få allvarliga konsekvenser.

19Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 131 f.

104

SOU 2019:14

Bedrägeribrottslighet och missbruk av identitetshandlingar

Det rör sig som regel inte om några direkta ekonomiska konse- kvenser i längden eftersom den enskilde vanligtvis undgår betal- ningsansvar om köpet eller fakturan bestrids, personnumret spärras för nya kreditköp och händelsen polisanmäls. Kortvarigt kan emel- lertid den enskilde drabbas av likviditetsproblem som i sin tur kan komma att påverka den enskildes ekonomi allvarligt. Den enskildes konton kan komma att tömmas och den enskilde kan bli skyldig att betala vissa belopp i avvaktan på utredning för att inte bli föremål för inkassokrav. Framför alltpåverkas den enskilde av att bedrägeriet medför stor olägenhet och stort obehag. Köpet måste bestridas och identitetshandlingen spärras hos utfärdaren eller tillverkaren. Dess- utom kan personnumret behöva spärras för kreditupplysning hos kreditupplysningsföretagen. Det finns cirka 20 olika kreditupplys- ningsföretag som är godkända av Datainspektionen. Bedragarna har ofta god kännedom om vilka företag som använder mindre kredit- upplysningsföretag och utnyttjar detta. Det stora antalet kreditupp- lysningsföretag gör det oöverskådligt och tidskrävande för den en- skilde. Det förekommer dock samarbete mellan flera av de stora kreditupplysningsföretagen vilket gör att en spärr hos ett av dessa företag även registreras hos de övriga företag som ingår i samarbetet. Även om både identitetshandlingen och möjligheten till kreditköp spärras, kan dock bedragaren använda den stulna identiteten i andra sammanhang, t.ex. vid kontakt med myndigheter eller sjukvården. Att personnumret är spärrat för kreditköp skapar även problem vid köp som den enskilde själv vill göra så länge spärren ligger kvar.20

Konsumenterna kan dessutom indirekt drabbas även av de eko- nomiska konsekvenserna av bedrägerierna. Detta eftersom priserna på varor och tjänster kan behöva höjas för att täcka de förluster företagen drabbas av på grund av bedrägerierna.21

Enligt den nationella trygghetsundersökningen som genomförts av Brå utsattes 4,8 procent av befolkningen för försäljningsbedrägeri och 5,1 procent för kort- eller kreditbedrägeri under år 2017. Det är en liten ökning från år 2016 då andelen var 4,5 respektive 4,9 pro- cent. Enligt undersökningen har 25 procent av de tillfrågade uppgett att de ofta oroar sig för att utsättas för bedrägeri på internet. Detta

20Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 160, www.creditsafe.se/vanliga-fraagor/spaerra-ditt-personnummer/ och polisen.se/utsatt-for- brott/olika-typer-av-brott/bedrageri/identitetsintrang/ Hämtad 2019-01-23.

21Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 228.

105

4Svenska fysiska identitetshandlingar

4.1Inledning

Som utgångspunkt gäller att det är den som en identitetshandling visas upp för som måste ta ställning till om den aktuella handlingen kan godtas som bevis om en persons identitet. Det brukar dock sägas att det finns fem svenska identitetshandlingar som allmänt accepte- ras som bevis på innehavarens identitet. De fem handlingarna är pass, nationellt identitetskort, identitetskort för folkbokförda i Sverige, körkort och SIS-märkt id-kort (SIS står för Swedish Standards Insti- tute). Identitetshandlingarna behandlas närmare i avsnitt 4.2–4.6. För- utom dessa fysiska identitetshandlingar finns det också elektroniska identitetshandlingar (e-legitimationer). Dessa behandlas i kapitel 5.

Utöver de fem allmänt accepterade fysiska identitetshandlingarna finns det en mängd olika handlingar av skiftande kvalitet som ibland kan användas för att identifiera sig. Som exempel kan nämnas tjänste- kort utan SIS-märkning, medlemskort, passerkort, kundkort och det s.k. LMA-kortet, dvs. det kort som Migrationsverket utfärdar till asyl- sökande. Sådana handlingar godtas inte allmänt som identitetshand- lingar, men kan i vissa sammanhang anses som tillräckligt identitets- bevis. Några av de handlingar som inte är allmänt accepterade iden- titetshandlingar behandlas översiktligt i avsnitt 4.7.

Slutligen kan även utländska identitetshandlingar accepteras i vissa fall. Dessa berörs kortfattat i avsnitt 4.8.

Staten har tidigare inte tagit något övergripande ansvar för att ut- färda identitetshandlingar till invånarna. I stället har det sedan 1970- talet ansetts vara en fråga för marknaden att lösa. Under 2000-talet togs vissa initiativ till ett ökat ansvar för staten att säkerställa att det finns möjlighet för invånare i Sverige att få id-kort. Detta till följd av att det då blev svårare för vissa personer att få id-kort på grund av

107

Svenska fysiska identitetshandlingar

SOU 2019:14

skärpta krav på marknaden, som tillkommit för att motverka att per- soner och intygsgivare lämnade oriktiga uppgifter vid ansökan om identitetshandlingar. Bl.a. av det skälet infördes under år 2009 iden- titetskort för folkbokförda i Sverige. Införandet av det kortet inne- bär att det i dag finns en handling som enbart har som funktion att styrka identitet och som staten har ansvar för att tillhandahålla. Ge- nom införandet av identitetskort för folkbokförda i Sverige får sta- ten sägas ha tagit ett visst ansvar för att se till att de som bor i Sverige kan få ett id-kort som är allmänt accepterat.

I övrigt är de dokument som staten tillhandahåller inte identitets- handlingar som enbart har den funktionen. Pass är primärt en rese- handling. Det nationella identitetskortet tillkom delvis i syfte att underlätta resandet inom EU. Körkort är i första hand ett bevis om en persons förarbehörighet. Dessa handlingar används dock även som identitetshandlingar och accepteras allmänt som sådana, både av marknaden och samhället.

4.2Pass

Pass regleras i passlagen (1978:302) och passförordningen (1979:664). Kompletterande föreskrifter finns när det gäller Polismyndighetens hantering i Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14). Inom Polismyndigheten pågår ett arbete med att revidera föreskrifterna. Regeringskansliets föreskrifter om handlägg- ningen av ärenden om pass, Europeiska unionens provisoriska rese- handling och nationellt identitetskort (UF 2009:9) gäller för pass- myndigheter utom riket.

Ett svenskt pass uppfyller både EU-rättsliga krav och den civila luftfartens FN-organs, International Civil Aviation Organisation (ICAO), rekommendationer om säkerhetsstandard.1 Den centrala gemenskapsrättsliga rättsakten är rådets förordning (EG) nr 2252/2004 av den 13 december 2004 om standarder för säkerhets- detaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna (EU:s passförordning). Förordningen reglerar i första hand skyddet mot förfalskning. Den innehåller bl.a. bestämmelser om utformning, tillverkning, säkerhetsdetaljer och

1Machine Readable Travel Documents (dokument 9303) del 3.

108

SOU 2019:14Svenska fysiska identitetshandlingar

kopieringsskydd. Förordningen är utformad med beaktande av ICAO:s rekommendationer.

Pass är internationellt sett det dokument som i störst utsträck- ning accepteras som identitetshandling. Pass är först och främst en resehandling som ska medföras vid resa ut ur och in i Sverige med vissa undantag (5 § passlagen). Passet ska visas upp på begäran och passinnehavaren ska lämna sina fingeravtryck och låta sitt ansikte bli fotograferat digitalt för att det ska vara möjligt att kontrollera att dessa motsvarar de uppgifter som finns lagrade i passet (5 a § pass- lagen).

Av 1 § passlagen följer att svenskt pass utfärdas till svenska med- borgare. Pass utfärdas enligt 3 § passlagen som vanligt pass eller sär- skilt pass. Särskilt pass kan utfärdas som provisoriskt pass, extra pass, tjänstepass eller diplomatpass. Vanliga pass är som huvudregel giltiga i fem år. Om den som ansöker om passet inte har fyllt tolv år är giltighetstiden i stället tre år.

Förutom pass har svenska passmyndigheter utom riket möjlighet att utfärda en provisorisk resehandling till medborgare i EU-länder som inte har någon diplomatisk eller konsulär representation i det land där denne befinner sig. Detta regleras i förordningen (1997:698) om Europeiska unionens provisoriska resehandling. Inom EU pågår ett arbete med att förhandla ett nytt direktiv om provisoriska rese- handlingar.2

Pass utfärdas enligt 2 § passlagen av passmyndigheten. Inom riket är det Polismyndigheten som är passmyndighet. Polismyndigheten har haft denna uppgift sedan 1979. Dessförinnan var länsstyrelsen tillsammans med de största polismyndigheterna i landet passmyn- dighet, men även då handlades ansökningarna vid polismyndig- heterna som vidarebefordrade ärendena till länsstyrelsen för beslut.3 Pass utfärdas på omkring 110 platser runt om i landet. Därutöver finns det ytterligare cirka 40 utlämningsställen.

Utom riket fullgör, i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer, beskickningar och karriärkonsulat uppgifter som passmyndighet. Även ett honorär-

2Förslag till rådets direktiv om införande av en provisorisk EU-resehandling och om upp- hävande av beslut 96/409/Gusp COM (2018) 358 final.

3SOU 2001:87 s. 121.

109

Svenska fysiska identitetshandlingar

SOU 2019:14

konsulat kan i begränsad utsträckning fullgöra uppgifter som pass- myndighet. Under särskilda omständigheter får även Utrikesdeparte- mentet utfärda pass (2 och 31 §§ passlagen).

Passansökan görs enligt 6 § passlagen hos en passmyndighet. An- sökan görs på heder och samvete eller annan sådan försäkran. Vid ansökan ska sökanden komma personligen till passmyndigheten. Ansökan ska enligt 1 § passförordningen göras skriftligen och som utgångspunkt undertecknas av sökanden i närvaro av den person som tar emot ansökan. Sökanden är skyldig att låta passmyndigheten ta fingeravtryck och en bild i digitalt format av ansiktet.

Sökanden måste styrka sin identitet, sitt svenska medborgarskap och övriga personuppgifter. Polismyndigheten ska kontrollera iden- titeten noggrant (6 § passlagen och 4 kap. 1 § RPSFS 2009:14). Iden- titeten kan styrkas på de sätt som anges i 4 kap. 2 § i RPSFS 2009:14. Det vanligaste sättet att styrka sin identitet är genom uppvisande av en giltig identitetshandling. Sökanden kan styrka sin identitet genom ett giltigt svenskt vanligt eller extra pass, ett nationellt identitets- kort, ett identitetskort för folkbokförda i Sverige, ett svenskt kör- kort eller ett av statlig myndighet utfärdat eller av behörigt organ certifierat och giltigt tjänste- eller identitetskort.

Om det inte är möjligt kan vissa kategorier av anhöriga, vissa företrädare och arbetsgivare skriftligen försäkra att sökandens upp- gifter om identiteten är korrekta. Den som lämnar en sådan försäk- ran måste vara närvarande vid identitetskontrollen och kunna styrka sin egen identitet genom någon av de identitetshandlingar som god- tas. Om sökanden inte kan styrka sin identitet varken genom en identitetshandling eller genom någon annans försäkran får Polis- myndigheten godta att identiteten styrks på något annat tillförlitligt sätt.

Om det finns ett tidigare utfärdat pass ska det enligt 1 § passför- ordningen bifogas ansökan. Om det passet förstörts eller förkommit ska sökanden i ansökan på heder och samvete lämna uppgift om hur och, i de fall då passet har förkommit, om vilka åtgärder som sökan- den har vidtagit för att återfå det. Om sökanden av särskilda skäl har behov av det tidigare passet under handläggningstiden, behöver det inte ges in förrän i samband med att det nya passet lämnas ut.

Om sökanden är under 18 år, ska han eller hon även ge in ett per- sonbevis eller någon annan handling som visar vem som är vårdnads- havare. Numera behöver dock sökanden sällan ge in några sådana

110

SOU 2019:14

Svenska fysiska identitetshandlingar

handlingar eftersom dessa uppgifter kan hämtas direkt från Skatte- verkets folkbokföringsdatabas. Vårdnadshavaren måste lämna ett medgivande till passansökan om det inte finns synnerliga skäl att än- då utfärda pass (1 § passförordningen och 7 § 2 passlagen).

Ett pass ska enligt 21 § passförordningen lämnas ut till sökanden personligen.

Fingeravtrycken och ansiktsbilden ska sparas i ett lagringsmedium i passet. Fingeravtrycken och de biometriska data som tas fram ur dessa och ur ansiktsbilden ska omedelbart förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits (6 a § pass- lagen).

Av passet framgår att innehavaren är svensk medborgare. Vidare innehåller passet uppgifter om bl.a. utfärdande myndighet, giltighets- tid, passnummer, innehavarens namn, personnummer, kön, födelse- datum och födelseplats. Det händer att en svensk medborgare som inte fått personnummer ansöker om pass, t.ex. svenska barn födda utomlands. I sådant fall ska passet i stället för personnummer inne- hålla uppgift om samordningsnummer. Passet innehåller också upp- gifter om innehavarens längd och namnteckning.

Det finns vissa begränsningar i rätten att få ett pass. I vilka situa- tioner en ansökan om pass ska avslås framgår av 7 § passlagen. Det gäller bl.a. om de krav som ställs på sökanden om personlig inställ- else, medgivande att ta en digital bild av ansiktet och fingeravtryck, styrkande av identiteten samt medgivande av vårdnadshavare inte uppfylls. Därutöver finns vissa regler om att en sökande som exem- pelvis är underkastad vissa tvångsåtgärder eller är frihetsberövad inte kan få ett pass. En passansökan ska också enligt 7 a § passlagen som huvudregel avslås om det inom de senaste fem åren har utfärdats tre pass för sökanden.

Ett pass ska enligt 12 § passlagen återkallas under vissa förutsätt- ningar. Passet ska t.ex. återkallas om innehavaren inte längre är svensk medborgare, om vårdnadshavare för barn under 18 år begärt det, eller om innehavaren är föremål för vissa straffrättsliga åtgärder. Passet ska även återkallas om hinder mot bifall till passansökan före- låg vid tiden för passets utfärdande och hindret fortfarande består eller om någon annan än den för vilket passet är utfärdat förfogar över det. Om det finns särskilda skäl och innehavaren av passet begär det kan passmyndigheten enligt 14 § passlagen i stället för att åter- kalla passet förkorta giltighetstiden eller begränsa giltighetsområdet.

111

Svenska fysiska identitetshandlingar

SOU 2019:14

De flesta beslut som fattas av passmyndigheten får enligt 27 § passlagen överklagas hos allmän förvaltningsdomstol. Vid överklag- ande till kammarrätten krävs prövningstillstånd. Beslut enligt pass- lagen gäller enligt 30 § som huvudregel omedelbart.

Polismyndigheten ska enligt 23 § passförordningen föra ett pass- register och ett register över vissa uppgifter avseende krav på pass- tillstånd för personer intagna för psykiatrisk tvångsvård eller rättspsykiatrisk vård. Polismyndigheten ska på begäran från vissa uppräknade myndigheter lämna ut ett fotografi av en enskild från passregistret.

Ansökningsavgiften för ett vanligt pass är 350 kronor. För pröv- ning av ansökan gäller i övrigt bestämmelserna i 11–14 §§ avgiftsför- ordningen (1992:191). Det innebär bl.a. att avgiften ska betalas när ansökan ges in, att ansökan får avvisas om avgiften inte betalas trots att sökanden förelagts att betala avgiften, att avgiften under vissa omständigheter kan återbetalas helt eller delvis och att passmyndig- hetens avgiftsbeslut får överklagas på samma sätt som övriga beslut i ärendet. För pass som utfärdas vid passmyndighet utom riket tas avgift ut enligt förordningen (1997:691) om avgifter vid utlands- myndigheterna (30 § passförordningen).

4.3Nationellt identitetskort

Det nationella identitetskortet infördes den 1 oktober 2005. Id-kor- tet infördes delvis i syfte att underlätta resandet inom Schengen- området där det råder passfrihet. Avsikten vid införandet var dock inte att kortet skulle användas som en resehandling, utan för att per- soner vid behov skulle kunna styrka sitt svenska medborgarskap och därigenom sin rätt att uppehålla sig i ett Schengenland.4 Från och med den 1 juli 2015 kan kortet användas vid resa inom hela EU.

Det nationella identitetskortet fungerar som ett id-kort i Sverige. Till skillnad från vissa andra länder finns det i Sverige inte något krav på att alla ska ha ett nationellt identitetskort.

4Jfr Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmed- borgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlems- staternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (rörlighetsdirektivet).

112

SOU 2019:14

Svenska fysiska identitetshandlingar

Det nationella identitetskortet regleras av förordningen (2005:661) om nationellt identitetskort. Polismyndigheten och Regeringskans- liet har utfärdat kompletterande föreskrifter. De regleras i samma föreskrifter som pass.5

Det nationella identitetskortet utfärdas enligt 1 § förordningen om nationellt identitetskort endast till svenska medborgare. Kortet utfärdas av passmyndigheten, dvs. inom riket av Polismyndigheten. Liksom pass kan kortet utom riket utfärdas av utlandsmyndigheter. Giltighetstiden är enligt 5 § normalt fem år.

Den som ansöker om ett nationellt identitetskort ska enligt 2 § förordningen om nationellt identitetskort inställa sig personligen. För id-kort som utfärdas utomlands finns vissa undantag från kravet på personlig inställelse. En ansökan ska enligt 3 § vara skriftlig och som huvudregel undertecknas i närvaro av den som tar emot ansökan.

Sökanden är skyldig att styrka sin identitet, sitt svenska med- borgarskap och övriga personuppgifter. Identiteten kan styrkas på samma sätt som gäller för pass.

Sökanden är också skyldig att låta passmyndigheten ta en bild i digitalt format av sitt ansikte. Vid ansökan vid en passmyndighet utom riket får Regeringskansliet meddela föreskrifter om att sökan- den är skyldig att ge in ett välliknande fotografi i stället för att låta myndigheten ta en bild.

Om sökanden är under 18 år ska ett skriftligt medgivande från vårdnadshavare ges in. Om det finns synnerliga skäl kan passmyn- digheten, trots att något sådant medgivande inte finns, ändå utfärda ett id-kort.

Ett tidigare utfärdat id-kort som fortfarande är giltigt ska som huvudregel, om det inte förstörts, förkommit eller makulerats, ges in för makulering i samband med ansökan.

Kortet ska lämnas ut till sökanden personligen. Vid utlämnande av en passmyndighet utom riket får myndigheten medge att kortet lämnas ut hos ett ombud för myndigheten (6 §).

Den ansiktsbild som tas av passmyndigheten används till id-kor- tet. Bilden sparas även i ett lagringsmedium på kortet (4 §). De bio- metriska data som tas fram ur bilden ska däremot förstöras omedel- bart när kortet lämnats ut eller ansökan återkallats eller avslagits.

5Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14) och Regeringskansliets föreskrifter om hand- läggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort (UF 2009:9).

113

Svenska fysiska identitetshandlingar

SOU 2019:14

Om sökanden inte uppfyller de krav som ställs för att få ett id-kort ska ansökan enligt 8 § avslås. Det gäller bl.a. om de krav som ställs på sökanden om personlig inställelse, medgivande till fotografering, styrkande av identiteten och medgivande av vårdnadshavare inte upp- fylls.

Ett nationellt identitetskort ska vidare enligt 9 § återkallas i vissa fall. Det gäller om innehavaren har förlorat eller efter ansökan har befriats från sitt svenska medborgarskap. Ett kort ska också åter- kallas om hinder mot bifall till ansökan förelåg vid tiden för id-kor- tets utfärdande och hindret består. Därutöver ska kortet återkallas när någon annan än den för vilket id-kortet är utställt förfogar över kortet. Beslutet om återkallelse fattas av passmyndigheten på den ort där kortinnehavaren befinner sig när ärendet tas upp. Ett sådant beslut får dock också meddelas av den passmyndighet som utfärdat kortet (10 §). Ett ärende om återkallelse ska tas upp så snart som möj- ligt om myndigheten får kännedom om en sådan omständighet som ska leda till återkallelse (11 §). Om ett nationellt identitetskort åter- kallas är kortinnehavaren eller den som annars förfogar över kortet skyldig att på begäran av passmyndigheten överlämna kortet till i första hand passmyndigheten (13 § första stycket).

Polismyndighetens beslut i ärenden om nationella identitetskort överklagas hos allmän förvaltningsdomstol. I förordningen erinras om att bestämmelser om överklagande finns i 40 § förvaltningslagen (2017:900). Ett beslut som meddelas av passmyndigheten gäller ome- delbart (23 §).

Polismyndigheten ska föra ett register över nationella identitets- kort med hjälp av automatiserad behandling (14 §). Registret ska inne- hålla uppgifter om sökandens namn, personnummer, längd och kön. Det ska också innehålla uppgift om dag för utfärdande, kortnummer och giltighetstid. Vidare ska det finnas uppgift om namnteckning och en kopia av den ansiktsbild som kortet försetts med. Slutligen ska registret innehålla beslut om avslag eller återkallelse samt vilken grunden för det beslutet varit (16 §). Ändamålet med registret är att ge information om sådana uppgifter som behövs i verksamheten för utfärdande av nationella identitetskort (15 §). Uppgifter i registret ska gallras senast sex månader efter det att giltighetstiden för ett iden- titetskort gått ut (17 §). Ansiktsbilden och de biometriska data som kan tas fram ur bilden får inte användas vid sökning med hjälp av automatiserad behandling (18 § första stycket). Om en myndighet har

114

SOU 2019:14

Svenska fysiska identitetshandlingar

genomfört en kontroll av om kortinnehavarens ansikte motsvarar ansiktsbilden i lagringsmediet, ska den ansiktsbild och de biometris- ka data som tagits fram omedelbart förstöras (18 § andra stycket).

Avgiften för en ansökan om nationellt identitetskort är enligt

25 § förordningen om nationellt identitetskort 400 kronor. För pröv- ning av ansökan gäller i övrigt bestämmelserna i 11–14 §§ avgiftsför- ordningen (1992:191). Det innebär bl.a. att avgiften ska betalas när ansökan ges in, att ansökan får avvisas om avgiften inte betalas trots att sökanden förelagts att betala avgiften, att avgiften under vissa omständigheter kan återbetalas helt eller delvis och att passmyndig- hetens avgiftsbeslut får överklagas på samma sätt som övriga beslut

iärendet. För id-kort som utfärdas vid passmyndighet utom riket tas avgift ut enligt förordningen (1997:691) om avgifter vid utlandsmyn- digheterna.

4.4Identitetskort för folkbokförda i Sverige

Skatteverket utfärdar sedan den 1 juni 2009 identitetskort för folk- bokförda i Sverige. Kortet kan inte användas som resehandling. Id-kor- tet innehåller också en e-legitimation (se avsnitt 5.5). När någon an- söker om ett id-kort hos Skatteverket får personen alltså samtidigt en e-legitimation.

Regler om utfärdande av id-kortet finns i lagen (2015:899) om identitetskort för folkbokförda i Sverige (IdL) och förordningen (2015:904) om identitetskort för folkbokförda i Sverige (IdF). Kom- pletterande föreskrifter finns i Skatteverkets föreskrifter om iden- titetskort (SKVFS 2009:14).

Id-kortet utfärdas enligt 1 § IdL till personer som har fyllt 13 år och är folkbokförda i landet enligt folkbokföringslagen (1991:481). Det krävs däremot inte att sökanden är svensk medborgare. Kortet är enligt 8 § IdF giltigt i högst fem år.

Ansökan om id-kort kan göras på 27 av de servicekontor som Skatteverket driver tillsammans med Försäkringskassan och Pen- sionsmyndigheten. Det finns ytterligare 18 kontor där det är möjligt att på begäran hämta ut färdiga id-kort. Den som ansöker om ett identitetskort är enligt 3 § IdF skyldig att inställa sig personligen vid

115

Svenska fysiska identitetshandlingar

SOU 2019:14

ett av de 27 servicekontoren som utfärdar id-kort. Servicekontors- verksamheten kommer att övergå till Statens servicecenter den 1 juni 2019, se avsnitt 6.5.1.

I samband med ansökan måste sökanden enligt 2 § IdL låta myn- digheten ta en ansiktsbild i digitalt format. Om det finns synnerliga skäl är det möjligt att i stället lämna in ett eget fotografi. Ansökan ska enligt 4 § IdF vara skriftlig och som huvudregel undertecknas av sökanden i närvaro av den person som tar emot den.

Sökanden ska också enligt 2 § IdL styrka sin identitet och övriga personuppgifter. Som huvudregel ska detta göras genom uppvisande av en godtagbar identitetshandling (3–4 § SKVFS 2009:14). Godtag- bar identitetshandling är giltigt identitetskort utfärdat av Skattever- ket, vanligt svenskt pass, svenskt nationellt identitetskort, svenskt körkort, svenskt tjänstekort utfärdat av statlig myndighet, SIS-märkt företagskort, tjänstekort eller identitetskort, EU-pass utfärdat från och med den 1 september 2006 samt pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006. Om sökanden inte har en godtagbar identitetshandling kan uppgifterna styrkas genom att någon som känner sökanden väl i en skriftlig försäkran intygar att sökanden är den han eller hon uppger sig vara. Intygsgivare kan vissa anhöriga, god man eller förvaltare, familjehemsföräldrar, arbetsgivare eller vissa myndighetstjänstemän vara. Om sökanden inte kan styrka sin identitet och övriga person- uppgifter på något av dessa sätt har Skatteverket möjlighet att göra en sammanvägd bedömning av handlingar som åberopas av sökanden (3 och 5 §§ SKVFS 2009:14). Om sökanden har uppehållstillstånd i Sverige ska han eller hon enligt 3 § IdL anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet. Identiteten ska dock inte anses styrkt på detta sätt om särskilda skäl talar emot det.

Den som är under 18 år måste enligt 5 § IdF ha vårdnadshavares medgivande för att få id-kort om det inte finns synnerliga skäl att ändå utfärda ett id-kort.

Ett tidigare utfärdat identitetskort av samma slag som fortfarande är giltigt ska enligt 6 § IdF som huvudregel ges in för makulering i samband med ansökan.

Id-kortet ska enligt 9 § IdF lämnas ut till sökanden personligen.

116

SOU 2019:14

Svenska fysiska identitetshandlingar

Den bild som tas i samband med ansökan är den som används till id-kortet. Det färdiga kortet innehåller vidare personens fullständiga namn, personnummer, födelsetid, kön, längd och namnteckning.

Under vissa förutsättningar ska en ansökan avslås eller ett utfär- dat kort återkallas. Avslag ska enligt 4 § IdL bl.a. meddelas om sök- anden inte uppfyller kraven för att få ett id-kort eller om de krav som ställs på sökanden om personlig inställelse, medgivande till fotogra- fering, styrkande av identiteten samt medgivande av vårdnadshavare inte uppfylls. Ett utfärdat kort ska enligt 6 § IdF återkallas bl.a. om det fanns hinder mot att utfärda kortet vid tidpunkten för utfär- dandet och hindret består eller om någon annan än den kortet är utställt på förfogar över det.

Beslut som Skatteverket meddelar gäller direkt om inte något annat sägs i beslutet (20 § IdL). Besluten kan överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten krävs pröv- ningstillstånd (19 § IdL).

Skatteverket ska föra en databas innehållande uppgifter om id-kor- ten. Bestämmelser om databasen finns i 8–18 §§ IdL och 11–14 §§ IdF. Bestämmelserna om behandling av personuppgifter komplet- terar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), i fort- sättningen kallad dataskyddsförordningen, som också ska tillämpas på behandlingen. Vid behandlingen av personuppgifter ska även lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning (dataskyddslagen) och föreskrifter som har med- delats i anslutning till den lagen tillämpas, om inte annat följer av IdL eller föreskrifter som meddelats i anslutning till lagen. Personupp- gifter får behandlas i databasen om det behövs i verksamheten för utfärdande av identitetskort. Personuppgifter som behandlas för det ändamålet får också behandlas om det behövs för att fullgöra upp- giftsutlämnande som sker i överensstämmelse med lag eller förord- ning. Sådana personuppgifter får behandlas även för andra ändamål, under förutsättning att de inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Känsliga person- uppgifter får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.

117

Svenska fysiska identitetshandlingar

SOU 2019:14

Databasen ska innehålla sökandens fullständiga namn, person- nummer, födelsetid, postadress och andra behövliga kontaktupp- gifter, längd och kön, dag för utfärdandet av identitetskortet, kort- nummer och giltighetstid, sökandens namnteckning eller, i före- kommande fall, anteckning om anledningen till att namnteckning saknas, kopia av den ansiktsbild som identitetskortet har försetts med, uppgift om hur sökanden har styrkt sin identitet, beslut om att ansökan har avslagits och skälen för detta beslut samt uppgift om att identitetskortet har förlustanmälts eller återkallats och vad som har utgjort skäl för beslutet om återkallelse. Uppgifterna får tillföras från Skatteverkets folkbokföringsdatabas. En handling som har kom- mit in eller upprättats i ett ärende får behandlas i databasen.

Uppgift om ett identitetskorts giltighet får lämnas ut genom direkt- åtkomst. Ansiktsbilden får inte användas vid sökning med hjälp av automatiserad behandling. Känsliga personuppgifter och uppgifter om lagöverträdelser får inte användas som sökbegrepp. Den registre- rade har inte rätt att göra invändningar mot behandling som är till- låten enligt lagen.

Skatteverket har rätt att ta del av uppgifter som Migrationsverket behandlar enligt 11 § utlänningsdatalagen (2016:27) vid direktåtkomst enligt 19 § samma lag. Tillgången till uppgifterna ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbets- uppgifter. Migrationsverket ska på begäran av Skatteverket lämna ut sådana uppgifter till Skatteverket som anges i 13 § andra stycket ut- länningsdataförordningen (2016:30) och som Skatteverket behöver för handläggning av en ansökan om identitetskort.

Uppgifter och handlingar i databasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft. Riksarkivet får dock meddela föreskrifter om längre be- varandetid.

Ansökningsavgiften för id-kortet är enligt 16 § IdF 400 kronor. Avgiften ska vara betald när ansökan ges in. Om avgiften inte är betald då tillämpas 11 § avgiftsförordningen som bl.a. innebär att ansökan får avvisas om avgiften inte betalas trots att sökanden före- lagts att betala avgiften. För prövning av ansökan tillämpas i övrigt 12–14 §§ avgiftsförordningen vilket bl.a. innebär att avgiften under

118

SOU 2019:14

Svenska fysiska identitetshandlingar

vissa omständigheter kan återbetalas helt eller delvis och att Skatte- verkets avgiftsbeslut får överklagas på samma sätt som övriga beslut i ärendet.

4.5Körkort

Det primära syftet med ett körkort är att det ska utvisa behörigheten att köra vissa körkortspliktiga fordon. Av 2 kap. 1 § körkortslagen (1998:488) följer att personbil, lastbil, buss, motorcykel och moped klass I endast får köras av den som har ett gällande körkort för for- donet. Körkortet är dock även sedan länge en allmänt accepterad iden- titetshandling i Sverige.6

Internationellt sett är det emellertid inte vanligt att körkort kan användas som fullgott alternativ till den internationellt accepterade identitetshandlingen passet. Det finns dock några andra länder som accepterar körkort som identitetshandling. Enligt uppgift från Trans- portstyrelsen godtas körkort som identitetshandling i bl.a. Neder- länderna och vissa stater i USA.

Det är Transportstyrelsen som utfärdar körkort. Myndigheten hanterar också ansökan om körkortstillstånd och förarbevis, utbyte av utländskt körkort, körkort med villkor, läkarintyg, varning och återkallelse av körkort samt alkolås. (7 kap. 2 § körkortslagen) Trafik- verket har hand om kunskapsprov och körprov för körkort och fotografering för körkort.

Reglerna för svenska körkort finns framför allt i körkortslagen och körkortsförordningen (1998:980). Transportstyrelsen har ut- färdat vissa kompletterande föreskrifter.7 Körkortslagen innehåller, såvitt här är av intresse, bl.a. bestämmelser om vilka handlingar som ger behörighet att köra motorfordon. Lagen reglerar inte körkortets användning som identitetshandling. Den svenska regleringen är an- passad till den EU-rättsliga regleringen i Europaparlamentets och

6Se t.ex. SOU 1970:26 s. 28.

7Transportstyrelsens föreskrifter om körkortets utformning och innehåll (TSFS 2012:60), Transportstyrelsens föreskrifter och allmänna råd om förarprov, gemensamma bestämmelser (TSFS 2012:41), Transportstyrelsens föreskrifter om ansökan om körkort på elektronisk väg (TSFS 2013:114), Transportstyrelsens föreskrifter om utlämnande av körkort vid utlands- myndighet (TSFS 2017:22) och Transportstyrelsen föreskrifter om utlämnande av körkort (TSFS 2017:120). Därutöver finns föreskrifter och allmänna råd om medicinska krav för inne- hav av körkort m.m. samt om innehav av körkort med villkor om alkolås.

119

Svenska fysiska identitetshandlingar

SOU 2019:14

rådets direktiv 2006/126/EG av den 20 december 2006 om körkort (det tredje körkortsdirektivet).

Förutsättningarna för utfärdande av körkort regleras i 3 kap. i körkortslagen. Personen som körkortet ska utfärdas för måste ha ett körkortstillstånd och vara permanent bosatt i Sverige eller sedan minst sex månader studera här. Vidare måste vissa ålderskrav vara upp- fyllda. Sökanden måste också ha avlagt godkänt förarprov (3 kap. 1 § första stycket körkortslagen). Körkort får inte utfärdas för den som har ett körkort utfärdat i en annan stat inom Europeiska ekonomiska samarbetsområdet (EES) eller som har ett körkort som i en sådan stat är föremål för en åtgärd som är att likställa med återkallelse eller omhändertagande enligt lagen (3 kap. 1 § andra stycket körkortslagen).

Inför att förarprov ska genomföras sker fotografering vid Trafik- verket. Det fotografi som tas i samband med det första förarprovet används enligt Transportstyrelsen som ett stöd vid den identitets- kontroll som görs vid senare förarprov. Det är också det fotografiet som används vid utfärdande av körkortet.

I samband med fotograferingen sker en identitetskontroll. Sökan- den måste identifiera sig med hjälp av en giltig och godtagbar iden- titetshandling vid varje förarprov (2 kap. 1 § TSFS 2012:41). God- tagbara identitetshandlingar är SIS-märkt företagskort, tjänstekort eller identitetskort, svenskt nationellt identitetskort, identitetskort utfärdat av Skatteverket, svenskt körkort, svenskt EU-pass, annat EU-pass utfärdat från och med den 1 september 2006 och pass ut- färdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006 (2 kap. 2 § TSFS 2012:41). Den som saknar en godtagbar identitetshandling kan hos Trafikverket ansöka om undan- tag från kravet. Beslutet om undantag ska tas med till provtillfället. Sökanden måste, om ett sådant undantag meddelats, i stället styrka sin identitet genom att någon anhörig skriftligen försäkrar att läm- nade uppgifter om sökandens identitet är riktiga. Intygsgivaren ska närvara vid provtillfället och måste kunna styrka sin egen identitet (2 kap. 6 § TSFS 2012:41).

Ansökan om utfärdande av körkort med anledning av förarprov görs på elektronisk väg hos Trafikverket. En ansökan får bara lämnas om sökandens identitet har fastställts. Sökanden ska vid ansökan visa en godtagbar, giltig identitetshandling som styrker sökandens iden- titet. Samma handlingar godtas som vid identifiering i samband med

120

SOU 2019:14

Svenska fysiska identitetshandlingar

förarprov. Sökanden ska vidare skriva sin namnteckning på en digital signaturpanel (TSFS 2013:114).

Ett utländskt körkort som är utfärdat i en stat inom EU, EES, Schweiz eller Japan kan, om sökanden är permanent bosatt i Sverige, under vissa förutsättningar bytas ut mot ett svenskt enligt 6 kap. 7 § körkortslagen. Om det utländska körkortet förstörts eller kommit bort kan det i stället ersättas med ett svenskt körkort. Det är Trans- portstyrelsen som handlägger dessa ärenden. Transportstyrelsen ska utreda det utländska körkortets giltighet och kan i vissa fall förelägga sökanden att ge in utredning som styrker att det utländska körkortet är giltigt i den andra staten (6 kap. 7 b § körkortsförordningen). Efter beslut om utbyte måste sökanden göra en ansökan på elek- tronisk väg hos Trafikverket på det sätt som beskrivs ovan (2 § första stycket TSFS 2013:114). Där genomförs en identitetskontroll. Det utländska körkortet ska normalt lämnas in till Transportstyrelsen i samband med ansökan om utbyte (6 kap. 7 § körkortsförordningen).

Vid förnyelse av körkort kan sökanden antingen ansöka på en särskild blankett (grundhandling) och skicka in ett välliknande foto- grafi eller göra en ansökan på elektronisk väg hos Trafikverket på det sätt som beskrivs ovan (3 kap. 15 § körkortsförordningen och 2 § andra stycket TSFS 2013:114). Väljer sökanden att fotografera sig hos Trafikverket måste identiteten styrkas med en godtagbar och giltig identitetshandling.

Om den som ansöker om körkort har ett körkort sedan tidigare gör Transportstyrelsen en jämförelse mellan det fotografi som sökan- den ger in tillsammans med ansökan och det fotografi som finns på det gamla körkortet. Syftet med kontrollen är att säkerställa att det är rätt person som är avbildad på det nya fotografiet.

Regeringen eller den myndighet regeringen bestämmer får över- lämna uppgiften att lämna ut körkort åt företag som har tillstånd enligt postlagen (2010:1045) att bedriva postverksamhet (tillstånds- havare), dotterföretag till sådana tillståndshavare och företag som på uppdrag av en tillståndshavare eller dennes dotterföretag lämnar ut postförsändelser till mottagare (postombud). Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om över- lämnandet och om utlämnande av körkort (10 kap. 2 § körkorts- lagen). Transportstyrelsen har meddelat sådana föreskrifter. Av före- skrifterna framgår vilka företag som får utföra identitetsprövning och även i övrigt medverka i samband med att körkort lämnas ut.

121

Svenska fysiska identitetshandlingar

SOU 2019:14

Körkortet skickas med rekommenderad post och lämnas ut vid något av Postnords utlämningsställen. Det finns totalt cirka 1 450 utlämningsställen. Utomlands kan utlandsmyndigheter lämna ut kör- kort. Den som körkortet gäller för måste hämta ut det personligen och som huvudregel kunna styrka sin identitet med hjälp av en god- tagbar och giltig identitetshandling. Godtagbara identitetshandlingar är svenskt körkort, identitetskort utfärdat av Skatteverket, SIS- märkt företagskort, tjänstekort eller identitetskort, svenskt natio- nellt identitetskort, svenskt EU-pass, utländskt nationellt identi- tetskort utfärdat av vissa länder inom Schengenområdet, utländskt EU-pass och utländskt pass från land utanför EU med innehavarens fotografi, uppgift om utfärdandeland och handlingens nummer (4 och 5 §§ TSFS 2017:120 samt 5–7 §§ TSFS 2017:22).

I 2 kap. körkortsförordningen finns vissa bestämmelser om kör- kortets utformning. Ytterligare föreskrifter finns i TSFS 2012:60. Det svenska körkortet har en utformning som möter de krav som ställs i det tredje körkortsdirektivet, bl.a. ska det av körkortet framgå att det är ett svenskt körkort. Vidare ska exempelvis innehavarens namn, födelsedatum, fotografi, namnteckning och giltighetstid fram- gå. Körkortet ska också innehålla ett körkortsnummer, vilket mot- svarar innehavarens person- eller samordningsnummer.

Ett körkort kan återkallas. Den återkallelsegrund som här är av intresse är den omständigheten att det fanns hinder mot att utfärda körkort vid tiden för utfärdandet och hindret fortfarande består (5 kap. 3 § 9 körkortslagen).

Ett körkort ska förnyas inom tio år efter att det utfärdats eller senast förnyats eller om det förstörts, kommit bort eller någon upp- gift i det har ändrats. Högre behörigheter ska dock förnyas vart femte år (3 kap. 14 § körkortslagen). Även vid förnyelse gäller att kör- kortshavaren måste vara permanent bosatt i Sverige eller studera här sedan minst sex månader (3 kap. 14 a § körkortslagen).

Ett beslut enligt körkortslagen gäller omedelbart, om inte annat anges (7 kap. 7 § första stycket). De beslut som får överklagas ska överklagas till allmän förvaltningsdomstol (8 kap. 1 § körkortslagen). Vid överklagande till kammarrätten krävs prövningstillstånd (8 kap. 3 § tredje stycket körkortslagen).

Transportstyrelsen för vägtrafikregister enligt lagen (2001:558) om vägtrafikregister. Registret ska när det gäller behörighet enligt

122

SOU 2019:14

Svenska fysiska identitetshandlingar

körkortslagen att föra fordon innehålla uppgifter som avser förar- utbildning och förarprov samt det som i övrigt behövs för tillämp- ningen av körkortslagen och av föreskrifter som meddelats i anslut- ning till lagen (6 §). Vägtrafikregistret ska bl.a. ha till ändamål att tillhandahålla uppgifter om den som ansöker om, har eller har haft behörighet att framföra fordon enligt körkortslagen (5 §). Komplet- terande bestämmelser till lagen finns i förordningen (2001:650) om vägtrafikregister. Där anges vilka uppgifter som ska föras in i regist- ret. När det gäller körkort ska bl.a. vissa identitetsuppgifter i form av namn, personnummer eller samordningsnummer och folkbok- föringsadress eller, om körkortshavaren inte är folkbokförd, annan adress i landet föras in. Även uppgifter om körkortstillverkning, så- som foto, namnteckning, samtliga uppgifter i utfärdat körkort, leve- ransdatum och referensnummer ska registreras. Registret ska även innehålla vissa körkortsuppgifter, belastningsuppgifter och förarprovs- uppgifter. (2 kap. 1 § 2 och bilaga 2). Förordningen reglerar även vilka sökbegrepp som får användas vid sökning i vägtrafikregistret. Av regleringen framgår bl.a. att det inte är tillåtet att söka på foto- grafi (4 kap. 1 § 2 jämförd med 10 § lagen om vägtrafikregister). Lagen och förordningen innehåller också bestämmelser om direkt- åtkomst, samkörning, bevarande och gallring m.m. Ett förslag till ny vägtrafikdatalag som ska ersätta lagen om vägtrafikregister behand- las för närvarande i riksdagen.8

Utfärdande eller förnyelse av körkort kostar 250 kronor enligt Transportstyrelsens föreskrifter om avgifter (TSFS 2016:105). Trafik- verkets avgifter tillkommer.

4.6SIS-märkta id-kort

Det s.k. SIS-märkta id-kortet är en identitetshandling som tillverkas av en licensierad tillverkare och utfärdas av en godkänd utfärdare en- ligt vissa standarder (SS 61 43 14 och SBC 151-U9).

Det SIS-märkta id-kortet utfärdas av privata aktörer och är inte till någon del författningsreglerat. Statens inflytande över kortets utformning och utfärdande är alltså mycket begränsat. Hur id-kortet

8Prop. 2018/19:33.

9SBC 151 finns i två utgåvor. Dels SBC 151-U som gäller för utfärdare, dels SBC 151-T som gäller för tillverkare.

123

Svenska fysiska identitetshandlingar

SOU 2019:14

ska utformas och utfärdas bestäms i stället av andra aktörer, näm- ligen Swedish Standards Institute (SIS) och DNV GL Business Assurance Sweden AB (DNV). SIS är en fristående ideell förening som har ett generellt uppdrag från staten att utforma standarder för en mängd olika områden, bl.a. för tillverkning av id-kort. Även om SIS utformar standarder enligt ett statligt uppdrag lyder inte fören- ingen under staten på annat sätt än att det i och för sig står staten fritt att göra ändringar i uppdragsbeskrivningen. Den svenska stan- dardiseringsorganisationen är dock inte utformad på så sätt att staten kan detaljreglera specifika standarder. Snarare är systemet uppbyggt på så sätt att intressenter inom respektive bransch får bestämma sin standard. Staten kan i egenskap av aktör inom en bransch uttrycka sin åsikt, men denna behöver inte nödvändigtvis ha större tyngd än andras. DNV är ett privat företag som fått statlig ackreditering som certifieringsorgan inom många olika områden. DNV har förvärvat certifieringsrätten av SIS. Det innebär att tillverkare och utfärdare måste godkännas av DNV för att få tillverka och utfärda SIS-märkta id-kort. För tillverkare talar man om att det fordras licens och för utfärdare fordras det tillstånd.

Vanliga utfärdare av SIS-märkta id-kort är bankerna. De utfärdar korten som en tjänst till sina kunder. Det förekommer även att stör- re företag, organisationer eller myndigheter i egenskap av arbetsgi- vare har tillstånd att utfärda SIS-märkta id-kort till sina anställda. Antal utfärdade SIS-kort sjunker och utgör i dag endast cirka 1–2 pro- cent av det totala antalet utfärdade identitetshandlingar per år.

SS61 43 14 anger tekniska krav på certifierade id-kort. Id-korten och tillverkningstekniken ska utformas på ett sätt som ger ett mycket gott skydd mot bedrägerier genom obehörig tillverkning, ändring eller förfalskning. Standarden innehåller krav på bl.a. foto- grafiet, angivande av personuppgifter, teckensnitt, maskinläsbara media samt dispositionen av kortytan. SIS-märkta id-kort innehåller bl.a. uppgifter om innehavarens namn, personnummer eller liknan- de, namnteckning, fotografi och eventuellt nationalitet samt upp- gifter om id-kortets nummer, giltighetstid, certifieringsorgan samt utfärdare. Det ska vara angivet att det är certifierat av DNV samt ha ett SIS-märke.

Avgiften för ett id-kort kan variera något från bank till bank, men är vanligen 400 kronor eller mer. Det förekommer även att id-kortet

124

SOU 2019:14

Svenska fysiska identitetshandlingar

tillhandahålls gratis, t.ex. i erbjudanden som riktar sig till yngre per- soner.

SBC 151-U innehåller minimikrav avseende utfärdandet och ut- färdarna kan även ha egna kompletterande föreskrifter Ett SIS-märkt id-kort får enligt SBC 151-U endast utfärdas till den som har en direkt anknytning till utfärdaren, genom exempelvis anställning. Kortets giltighetstid får vara högst fem år.

Beställningsblanketten ska undertecknas elektroniskt eller för hand av den sökande i närvaro av handläggare eller registeransvarig. Sökanden kan lämna in ett eget fotografi, som ska vara välliknande.

Id-kort får endast utfärdas sedan sökanden styrkt sin identitet. Detta kan ske genom uppvisande av svenskt körkort, svenskt vinrött pass, svenskt nationellt identitetskort, Skatteverkets identitetskort samt SIS-märkt företags-, tjänste- och identitetskort. För att en identitetshandling ska godtas krävs att den är giltig. Ett SIS-märkt identitetskort får dock användas om giltighetstiden inte gått ut tidi- gare än tre månader före beställningen. Ett id-kort med samord- ningsnummer är inte tillräckligt. Inte heller anses utländska identi- tetshandlingar utgöra fullgod bevisning för sökandens identitet. Den uppvisade identitetshandlingen ska kontrolleras noggrant beträffan- de äkthet. Kontrollprocessen ska åtminstone motsvara kontroll en- ligt broschyren De 7 stegen, som ges ut av Kronan Säkerhet AB på uppdrag av Svenska Bankföreningen.

Om fullgod identitetshandling saknas krävs i stället att sökanden uppvisar personbevis eller att slagning i Navet (aviseringssystem för folkbokföringsuppgifter) eller SPAR (det statliga personadressregist- ret) görs samt ett skriftligt intyg från en trovärdig intygsgivare som är personligen närvarande vid beställningen. Intygsgivaren ska kunna visa upp en godkänd identitetshandling. Vid utfärdande till personer som är under 18 år krävs att vårdnadshavare är intygsgivare. Det finns inte någon uttrycklig regel som anger att endast släktingar kan vara intygsgivare.

Om det är fråga om en utländsk medborgare som saknar per- sonnummer gäller vissa särskilda regler. Endast utländska medbor- gare som stadigvarande vistas i Sverige kan få id-kort om person- nummer saknas. Kortets giltighetstid ska motsvara vistelsetiden i Sverige men får inte understiga sex månader eller överstiga tre år. Sökanden ska uppge sitt samordningsnummer. Saknar sökanden så-

125

Svenska fysiska identitetshandlingar

SOU 2019:14

dant nummer ska i stället födelsetiden anges. Vidare måste en sökan- de som saknar personnummer alltid uppvisa skriftligt intyg av en intygsgivare som är personligen närvarande vid ansökningstillfället. Intygsgivare ska i dessa fall vara en arbetsgivare, en uppdragsgivare i Sverige eller någon annan som på motsvarande säkra sätt kan styrka identitet och vistelsetid i Sverige. Samordningsnumret ska styrkas med ett registerutdrag från Skatteverket eller med en identitetshand- ling som är godkänd i Sverige.

Vid utlämnande av identitetskort ska uppgifter och foto på kortet kontrolleras.

4.7Andra svenska handlingar

Utöver de fem allmänt accepterade identitetshandlingarna finns det en mängd olika handlingar av skiftande kvalitet som ibland kan an- vändas för att identifiera sig. Som exempel kan nämnas medlemskort, passerkort och kundkort. Sådana handlingar godtas inte allmänt som identitetshandlingar, men kan i vissa sammanhang anses som till- räckligt identitetsbevis. Ett kundkort kan t.ex. godtas i kontakten med det utfärdande företaget.

Motsvarande gäller för tillfälligt LMA-kort för utlänning i Sverige, det s.k. LMA-kortet. LMA-kortet utfärdas av Migrations- verket. LMA-kortet regleras i Migrationsverkets föreskrifter om till- fälligt LMA-kort för utlänning i Sverige och dokument som intygar att innehavaren är asylsökande (MIGRFS 08/2015). Kortet utfärdas till utlänningar som har rätt till bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. LMA-kortet innehåller det foto- grafi av personens ansikte, dossiernummer och de personuppgifter som finns i den centrala utlänningsdatabasen samt uppgift om utlän- ningens rättsliga ställning (status). I föreskrifterna anges att LMA- kortets giltighetstid varierar med hänsyn till Migrationsverkets be- dömning av hur länge personen kommer att omfattas av lagen om mottagande av asylsökande m.fl. Giltighetstiden får dock inte vara längre än sex månader. När giltighetstiden gått ut kan ett nytt kort utfärdas vid behov. LMA-kortet ska som huvudregel återlämnas när uppehållstillstånd beviljas och personen folkbokförs.

LMA-kortet är inte ett identitetskort utan ett bevis på att inne- havaren är asylsökande och får vara i Sverige i avvaktan på beslut.

126

SOU 2019:14

Svenska fysiska identitetshandlingar

LMA-kortet godtas dock som identitetsbevis i vissa myndighets- kontakter. LMA-kortet kan också i vissa fall användas vid uthämt- ning av postpaket från utlandet eller rekommenderad post från Migrationsverket. LMA-kortet kan också användas i kontakter med hälso- och sjukvård och apotek.10 Under vissa förutsättningar accep- teras det också vid öppnande av bankkonto.

Migrationsverket utfärdar även vissa resehandlingar, nämligen främlingspass enligt 2 kap. 1 a § utlänningslagen (2005:716) och rese- dokument enligt 4 kap. 4 § utlänningslagen.

Det finns även tjänstekort som utfärdas av en myndighet, men som inte är SIS-märkta. Tjänstekorten regleras i förordning (1958:272) om tjänstekort. Ett tjänstekort ska som huvudregel innehålla uppgift om innehavarens namn, personnummer och tjänst eller uppdrag och vara försett med ett fotografi av innehavaren och med hans eller hennes namnteckning. På kortet ska det anges vilken myndighet som har utfärdat det, var kontroll av kortet kan göras samt kortets nummer och giltighetstid. Det finns också bestämmelser om förlust- anmälan, utfärdande av nytt kort när det gamla har förstörts eller förkommit, återlämnande och återkallelse av kort m.m. Tjänstekort utfärdade av myndigheter godtas ibland som identitetsbevis. Sådana tjänstekort räknas exempelvis upp som godtagbar identitetshandling i de föreskrifter som gäller vid utfärdande av identitetskort för folk- bokförda i Sverige, se avsnitt 4.4. Bankerna godtar dock endast tjäns- tekort som är SIS-märkta.

Det finns också handlingar som generellt sett inte godtas som be- vis om identitet, men som enskilda ibland vill åberopa för att styrka sin identitet. Som exempel kan nämnas medborgarskapsbevis, stu- dentlegitimation och uppehållstillståndskort.

Handlingar som inte är allmänt accepterade identitetshandlingar behandlas endast undantagsvis i den fortsatta framställningen.

4.8Utländska identitetshandlingar

Även utländska identitetshandlingar accepteras i vissa fall som ett bevis om någons identitet. Exempelvis godtas pass utfärdade av an- dra EU-länder samt Island, Liechtenstein, Norge och Schweiz som

10www.migrationsverket.se/Privatpersoner/Skydd-och-asyl-i-Sverige/Medan-du- vantar/LMA-kort.html. Hämtad 2019-01-24.

127

5 E-legitimation

5.1Vad är e-legitimation?

En e-legitimation är en elektronisk identitetshandling som kan an- vändas för att identifiera innehavaren på elektronisk väg. Med hjälp av en e-legitimation kan innehavaren identifiera sig och myndigheter eller andra aktörer som har e-tjänster få en bekräftelse på vem perso- nen är (identitetsintyg).

En e-legitimation innehåller, liksom en fysisk identitetshandling, uppgifter som entydigt kan kopplas till en viss person. Den inne- håller alltså endast identitetsuppgifter och inte uppgifter om vilken behörighet personen har. Uppgifter om personens behörighet finns i stället i e-tjänsten eftersom det är innehavaren av e-tjänsten som avgör vilken behörighet användaren ska ha.

En e-legitimation kan finnas som en applikation i en mobiltelefon eller surfplatta eller som en fil på en dator. Den kan också finnas på en fysisk bärare, såsom ett kort. Kortet innehåller ett chip där infor- mationen lagras.

E-legitimation är det begrepp som normalt används som benäm- ning på en elektronisk identitetshandling. Utredningen om effektiv styrning av nationella digitala tjänster har dock använt begreppet elek- tronisk identitetshandling i stället för e-legitimation. Anledningen är att en identitetshandling syftar till att visa en individs identitet och används för att kontrollera att individen är den som han eller hon utger sig för att vara medan begreppet legitimation säger något om personens behörighet. Utredningen menar att begreppet e-legitima- tion är missvisande eftersom det antyder att det rör sig om uppgifter som utvisar både identitet och behörighet.1 E-legitimation är dock ett inarbetat begrepp som bl.a. används i det tillitsramverk som Myn- digheten för digital förvaltning ansvarar för och som gäller för det

1SOU 2017:114 s. 171 f.

129

E-legitimation

SOU 2019:14

kvalitetsmärke som för närvarande benämns Svensk e-legitimation. Det är även det begrepp som huvudsakligen används av de nuvarande svenska utfärdarna av e-legitimation. Vi använder oss därför av be- greppet e-legitimation.

5.2Reglering om elektronisk identifiering

5.2.1Gällande rätt

Inom EU gäller Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och be- trodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS-förordningen). Syftet med förordningen är att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för e-legitimationer och betrodda tjänster. I förordningen fastställs därför de villkor som ska gälla för att en medlemsstat ska erkänna en annan medlemsstats e-legitimationer. Vidare fastställs i förordningen regler för betrodda tjänster och en rättslig ram för elektroniska underskrifter, elektroniska stämplar, elektronisk tidsstämpling, elektroniska dokument, elektro- niska tjänster för rekommenderade leveranser och certifikattjänster för autentisering av webbplatser. I lagen (2016:561) med komplette- rande bestämmelser till EU:s förordning om elektronisk identifiering finns bestämmelser som kompletterar eIDAS-förordningen. Kom- pletterande bestämmelser finns också i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Lagen (2013:311) om valfrihetssystem i fråga om tjänster för elek- tronisk identifiering (ELOV) innehåller bestämmelser om valfrihets- system när det gäller tjänster för elektronisk identifiering. Lagen tillämpas i stället för lagen (2016:1145) om offentlig upphandling (LOU) när en myndighet har beslutat att tillämpa valfrihetssystem i fråga om tjänster för elektronisk identifiering av enskilda i myndig- hetens elektroniska tjänster, har anslutit sig till ett system för säker elektronisk identifiering som tillhandahålls av Myndigheten för digi- tal förvaltning och uppdragit åt Myndigheten för digital förvaltning att i myndighetens namn administrera valfrihetssystemet. Lagen inne- håller endast allmänna bestämmelser om annonsering, upphandlings-

130

SOU 2019:14

E-legitimation

dokument, ansökan, godkännande av sökande och ingående av kon- trakt m.m. Regleringen av de krav som ställs på e-legitimationerna och på hur den elektroniska identifieringen ska gå till finns alltså inte i lagen utan framgår av det upphandlingsdokument som Myndig- heten för digital förvaltning tar fram.

Det finns också bestämmelser om elektronisk identifiering i 111 kap. 5 § andra stycket socialförsäkringsbalken. Där anges att kon- troll av användares identitet i självbetjäningstjänster ska ske med certifikat till vilka en säker identifieringsfunktion är knuten, om det är fråga om tillgång till personuppgifter. Vidare följer av 111 kap. 6 § första stycket att en annan metod för identifiering får användas om den är tillräckligt säker med hänsyn till risken för integritetsintrång eller annan skada.

Det finns inte någon reglering av vad som krävs för att få en e-legi- timation utfärdad eller vilka krav en sådan handling ska uppfylla.

Istället har E-legitimationsnämnden tagit fram ett tillitsramverk för Svensk e-legitimation i syfte att skapa samsyn. Svensk e-legitimation är ett kvalitetsmärke som är baserat på internationella standarder. Sedan E-legitimationsnämnden lades ner den 1 september 2018 är det Myndigheten för digital förvaltning som ansvarar för tillitsram- verket. Myndigheten har bl.a. i uppgift att ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering, främja användningen av elektronisk identifiering och tillhandahålla och administrera valfrihetssystem enligt ELOV. Myn- digheten för digital förvaltning granskar och godkänner svenska e-legi- timationer för kvalitetsmärket utifrån nationella och internationella säkerhetskriterier. Till tillitsramverket hör en vägledning som mer utförligt beskriver de krav som ställs. Myndigheten för digital för- valtning tar även fram ett tekniskt ramverk.

5.2.2Pågående lagstiftningsarbete

Utredningen om effektiv styrning av nationella digitala tjänster över- lämnade i januari 2018 ett slutbetänkande i vilket det bl.a. föreslogs att det bör finnas en statlig elektronisk identitetshandling (e-legiti- mation). Förslaget innebär att den statliga elektroniska identitets- handlingen ska utfärdas av en statlig myndighet och finnas på fysiska identitetshandlingar som utfärdas av den ansvariga myndigheten.

131

E-legitimation

SOU 2019:14

Med anledning av vårt uppdrag avstod utredningen från att lämna förslag på vilken eller vilka myndigheter som ska utfärda den statliga elektroniska identitetshandlingen och vilken eller vilka identitets- handlingar som ska vara bärare av den. Utredningen föreslog en lag om statlig elektronisk identitetshandling som bl.a. skulle innehålla bestämmelser om vilka uppgifter en statlig elektronisk identitets- handling ska innehålla, till vem den kan utfärdas och om ansökan.2

5.3Tillitsnivåer

Enligt internationell standard, som även Myndigheten för digital förvaltning tillämpar, finns det fyra tillitsnivåer för elektronisk iden- tifiering med olika grader av säkerhet. Ju högre tillitsnivå en e-legiti- mation har, desto säkrare är den, både vad gäller teknik och iden- tifiering. I det tillitsramverk för Svensk e-legitimation och den tillhörande vägledningen3 som Myndigheten för digital förvaltning ansvarar för beskrivs vilka krav som gäller för tillitsnivå 2, 3 och 4. Tillitsnivå 1 kan vara ett användarkonto som någon själv registrerar på internet utan att styrka sin identitet.4 Den nivån omfattas inte av tillitsramverket. För nivå 2, 3 och 4 krävs s.k. flerfaktorsautentise- ring. Det finns tre huvudkategorier av autentiseringsfaktorer; ”något man vet” (koder), ”något man är” (biometriska egenskaper) eller ”något man har” (t.ex. en dator, koddosa, mobiltelefon eller aktivt kort). Med koder avses lösenord, lösenfraser, sifferkombinationer eller liknande. Utgångspunkten enligt tillitsramverket är att koder kombineras med innehav av en lagrad datastruktur.

En e-legitimation på tillitsnivå 2 och 3 ska utformas enligt en sådan tvåfaktorsprincip som består dels av elektroniskt lagrad infor- mation som användaren ska inneha, dels av något som användaren ska bruka för att aktivera e-legitimationen. Det kan t.ex. vara en e-legi- timation i mobiltelefonen som aktiveras genom en pinkod. E-legiti- mationer på dessa nivåer kan utfärdas efter identifiering av sökanden på distans i enlighet med de närmare bestämmelser som föreskrivs i tillitsramverket.

2SOU 2017:114.

3Myndigheten för digital förvaltnings Tillitsramverk för Svensk e-legitimation ärendenr. 2018-158 och Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation version 2018-02-01.

4elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/omtillitsnivaerforelegiti mering.4.4498694515fe27cdbcf101.html. Hämtad 2019-01-24.

132

SOU 2019:14

E-legitimation

E-legitimation på tillitsnivå 4 ska utformas enligt en sådan två- faktorsprincip som består dels av en personlig säkerhetsmodul som användaren ska inneha, dels av något som användaren ska bruka för att aktivera säkerhetsmodulen. En sådan enhet skyddar de uppgifter som är lagrade i e-legitimationen från att någon annan kommer åt dem. Vanligen är det fråga om ett så kallat aktivt kort. Aktivering sker med hjälp av någon form av kod. För att en e-legitimation på tillitsnivå 4 ska utfärdas krävs som regel att utfärdaren har identifi- erat sökanden vid ett personligt besök.

Enligt eIDAS-förordningen finns det tre olika tillitsnivåer; låg, väsentlig och hög. Tillitsnivåerna i eIDAS-förordningen och det svenska tillitsramverket bygger på samma internationella standard. Enligt den bedömning som gjorts av Myndigheten för digital för- valtning motsvarar eIDAS-förordningens tillitsnivåer i stort sett de svenska. Tillitsnivå låg ställer dock lägre krav än tillitsnivå 2 enligt tillitsramverket. Nivån väsentlig motsvarar tillitsnivå 3. Nivån hög motsvarar den svenska tillitsnivån 4, med undantag för att ett per- sonligt besök krävs vid förnyelse av en e-legitimation på den svenska tillitsnivån 4.5

Det är innehavaren av en e-tjänst som måste göra en bedömning av vilken tillitsnivå som ska krävas för identifiering i tjänsten. Vilken nivå som är lämplig beror på hur känslig informationen i e-tjänsten är och vilka konsekvenser det får om någon obehörig får del av den.

5.4Utfärdandeprocessen

Processen för utfärdande av e-legitimation är inte reglerad i författ- ning. I tillitsramverket och den tillhörande vägledningen anges vilka krav som ställs på utfärdandeprocessen för Svensk e-legitimation.6

Utfärdandeprocessen enligt tillitsramverket skiljer sig åt beroen- de på vilken tillitsnivå som avses. Vårt uppdrag består i att överväga om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå. Framställningen i denna del avgränsas därför till att beskriva de mest väsentliga delarna av processen för utfärdande

5elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/omtillitsnivaerforelegiti mering.4.4498694515fe27cdbcf101.html. Hämtad 2019-01-24.

6Myndigheten för digital förvaltnings Tillitsramverk för Svensk e-legitimation ärendenr. 2018-158 och Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation version 2018-02-01.

133

E-legitimation

SOU 2019:14

av e-legitimation på tillitsnivå 4 i enlighet med tillitsramverket och den tillhörande vägledningen. Tillitsramverket och vägledningen upp- dateras i takt med den tekniska utvecklingen och uppkomsten av nya risker i samhället. Nedan beskrivs utfärdandeprocessen i enlighet med den version som nu är gällande.

Tillitsramverket bygger på att utfärdaren ingår ett avtal med den som vill använda en e-legitimation. Sökanden ska få del av villkoren för e-legitimationen innan denne ingår avtal med utfärdaren. Svensk e-legitimation får som huvudregel endast utfärdas på begäran av sökanden eller genom annat likvärdigt acceptförfarande. Syftet är att e-legitimation inte ska utfärdas per automatik utan att detta ska vara tydligt för användaren. Utfärdaren ska kontrollera att uppgifterna i ansökan är fullständiga och stämmer överens med uppgifter som finns registrerade i ett officiellt register. Sökandens identitet ska kon- trolleras vid ett personligt besök. Detta ska ske på ett sätt som är likvärdigt med förfarandet vid utfärdande av en fullgod identitets- handling. Med detta menas att identifieringen ska genomföras med stöd av en dokumenterad process och av särskilt utbildad personal i betrodd ställning inom utfärdarens organisation. Sökanden ska styr- ka sin identitet genom att visa upp en fullgod identitetshandling. Som fullgod identitetshandling räknas svenskt körkort, svenskt pass, SIS-märkt identitetskort, nationellt identitetskort och identitets- kort för folkbokförda i Sverige. De alternativa sätt att styrka sin identitet som tillämpas vid utfärdande av fysiska identitetshand- lingar till personer som saknar fullgod identitetshandling bör enligt vägledningen i normalfallet inte tillämpas vid utfärdande av e-legiti- mation. Saknas fullgod identitetshandling bör det i stället tills vidare förutsättas att sökanden skaffar en sådan, innan e-legitimation kan utfärdas.

E-legitimation på tillitsnivå 4 ska, som anges ovan, utformas en- ligt en sådan tvåfaktorsprincip som består av en personlig säkerhets- modul som användaren ska inneha och något som användaren ska bruka för att aktivera säkerhetsmodulen. En sådan enhet skyddar de kritiska nyckelparametrarna från såväl logiska som fysiska försök att röja dem. Den personliga säkerhetsmodulen lagrar nyckelmaterialet och utför de kryptografiska operationerna på ett sådant sätt att de kritiska nyckelparametrarna aldrig lämnar säkerhetsmodulen. Ut- gångspunkten är att koder kombineras med innehav av en lagrad

134

SOU 2019:14

E-legitimation

datastruktur som exempelvis kan finnas på ett fysiskt kort. I vägled- ningen anges dock att även andra lösningar kan godtas om säker- heten i övrigt upprätthålls genom andra kompletterande kontroller. Aktiveringsmekanism och personlig kod ska utformas så att det är osannolikt att en utomstående kan forcera skyddet, ens på maskinell väg.

Utfärdaren ska säkerställa att de uppgifter som registreras för elektronisk identifiering av innehavaren av e-legitimationen unikt representerar sökanden och tillskrivs personen i fråga vid utfärdan- det av e-legitimationshandlingen. Det ska alltså inte vara möjligt att sammanblanda två e-legitimationers identifikationsuppgifter.

E-legitimationshandlingen ska lämnas ut vid personligt besök efter att utfärdaren har genomfört en identitetskontroll. Den del som användaren ska bruka för att aktivera e-legitimationen ska läm- nas ut separat och säkerhetsmässigt oberoende från utlämnandet av e-legitimationshandlingen. Detta ska ske på grundval av kontaktupp- gifter förda i ett officiellt register eller andra uppgifter av motsvaran- de trovärdighet. Att utlämnandet sker genom två separata kanaler syftar till att möjliggöra fler säkerhetshöjande kontroller. Detta kan ske genom att utlämnande av säkerhetsmodulen och koden görs av olika funktioner hos utfärdaren eller genom att säkerhetsmodulen, exempelvis kortet, lämnas ut vid personligt besök medan koden skickas till sökandens folkbokföringsadress.

Giltighetstiden för e-legitimationen får vara högst fem år. Ut- färdaren ska tillhandahålla en spärrtjänst med god tillgänglighet där användaren kan spärra sin e-legitimation. Identifiering av den som begär spärren kan t.ex. ske genom tidigare angivet mobiltelefonnum- mer eller e-post.

En utfärdare av Svensk e-legitimation ska säkerställa att det vid användningen av e-legitimationen sker tillförlitliga kontroller avse- ende äkthet och giltighet. Tekniska säkerhetskontroller vid kontroll av elektronisk identitet ska genomföras så att det är osannolikt att utomstående kan forcera skyddsmekanismerna.

Utfärdare av Svensk e-legitimation som även tillhandahåller tjäns- ten att ställa ut identitetsintyg till förlitande aktörers e-tjänster, ska säkerställa att tjänsten för utställande av identitetsintyg har god till- gänglighet och att utlämnande av identitetsintyg föregås av en till- förlitlig identifiering. Identitetsintyget ska bara vara giltigt så länge som krävs för att användaren ska kunna beredas tillgång till den

135

E-legitimation

SOU 2019:14

aktuella e-tjänsten. Identitetsintyget ska skyddas så att informatio- nen endast är läsbar för den avsedda mottagaren.

Utfärdare av Svensk e-legitimation ska, med beaktande av tillämp- liga regler för persondataskydd, föra register över anslutna använd- are och de tilldelade e-legitimationerna.

I tillitsramverket finns även vissa övergripande krav på utfärda- rens verksamhet. Det ställs också krav på informationssäkerhet, fysisk, administrativ och personorienterad säkerhet samt teknisk säkerhet. Det anges bl.a. att innan en person tilldelas arbetsuppgifter som är av särskild betydelse för säkerheten, ska utfärdaren genom- föra en bakgrundskontroll i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra arbetsuppgifterna. När de gäller teknisk säkerhet anges bl.a. att utfärdaren ska se till att det finns tekniska kontroller som är tillräckliga för att uppnå den skyddsnivå som bedöms nöd- vändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter samt att dessa kontroller fungerar och är effektiva.

5.5Dagens e-legitimationer och utfärdare

BankID utfärdas av bankerna och är den e-legitimation som domi- nerar på den svenska marknaden. BankID utvecklas av Finansiell ID- teknik BID AB som ägs av sju banker. Antalet innehavare av BankID är, enligt statistik från Finansiell ID-teknik BID AB, cirka 7,9 mil- joner och antalet användningstillfällen var under år 2018 cirka 3,3 mil- jarder. Det finns tre olika varianter av BankID. Merparten av använd- arna (cirka 7 miljoner) har mobilt BankID. Mobilt BankID innebär att användaren har sin e-legitimation i en mobiltelefon eller surf- platta. För att kunna hämta och använda mobilt BankID krävs att användaren har installerat en app i mobiltelefonen eller på surf- plattan. BankID på kort är en e-legitimation som är lagrad på ett s.k. smartkort. Förutom kortet och BankID-programmet krävs även att man har en kortläsare. BankID på fil är en e-legitimation i en dator. För att kunna hämta och använda BankID på fil krävs att användaren har installerat ett särskilt program på datorn. BankID på fil är den minst vanligt förekommande varianten av BankID. Det finns cirka

136

SOU 2019:14

E-legitimation

tio banker som utfärdar BankID. BankID är inte granskad av Myn- digheten för digital förvaltning men anses enligt uppgift på myndig- hetens webbsida motsvara tillitsnivå 3 enligt tillitsramverket.

AB Svenska Pass utfärdar den e-legitimation som sedan septem- ber 2017 finns på identitetskort för folkbokförda i Sverige som ut- färdas av Skatteverket. Av den information som finns på Skattever- kets webbsida framgår att det behövs en kortläsare och ett särskilt program som installeras på datorn för att kunna använda e-legitima- tionen. AB Svenska Pass e-legitimation är godkänd enligt tillitsram- verket för Svensk e-legitimation och uppfyller kraven för tillitsnivå 4.

Även Telia utfärdar en e-legitimation. Den finns på identitetskort för folkbokförda i Sverige som utfärdats före september 2017. Även denna e-legitimation kräver enligt Skatteverket en kortläsare och ett särskilt program som installeras på datorn. Telias e-legitimation är inte granskad men anses enligt uppgift på webbsidan för Myndig- heten för digital förvaltning motsvara tillitsnivå 3.

Företaget Verisec utfärdar en e-legitimation som kallas Freja eID+. Den e-legitimationen finns i mobiltelefonen. För att kunna använda den behöver användaren, enligt uppgift på webbsidan, ladda ner en app i mobiltelefonen. Freja eID+ är godkänd på tillitsnivå 3.7 Förutom de e-legitimationer som utfärdas till enskilda förekom- mer det också e-legitimationer som arbetsgivare tillhandahåller sina anställda. Syftet med dessa är att de ska användas i tjänsten. Exem- pelvis utvecklar Huddinge kommun, Försäkringskassan och Inera sådana e-legitimationer för användning inom den offentliga sektorn.8

5.6Användning av e-legitimation

E-legitimation används framför allt vid identifiering i samband med att en person vill använda en e-tjänst, antingen i datorn eller i en app

imobiltelefonen. E-legitimation kan också användas vid telefonkon- takt med kundtjänst t.ex. i samband med bostadslån. Även vid iden- tifiering i samband med ett personligt besök kan elektronisk iden- tifiering vara aktuell, t.ex. när en person har behov av hjälp till själv- service med stöd av e-tjänster på ett servicekontor.

7elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/godkandaelegitimationer.4.4 498694515fe27cdbcf1a3.html. Hämtad 2019-01-29.

8E-legitimationsnämndens rapport Fortsatt försörjning av tjänster för e-legitimering och e- underskrift dnr 131 645711-15/9513 2016-10-25.

137

E-legitimation

SOU 2019:14

Av statistik från Finansiell ID-teknik BID AB framgår att det under år 2017 genomfördes cirka 3,3 miljarder transaktioner med BankID vilket motsvarar cirka 100 transaktioner per sekund. Av dessa stod internet- och mobilbankstjänster, betaltjänster och finan- siella tjänster i övrigt för cirka 84 procent.9 En stor del av använd- ningen sker enligt uppgift från E-legitimationsnämnden i internet- banker och betaltjänsten Swish.

Användningen inom den offentliga sektorn utgjorde cirka 7 pro- cent av BankID-transaktionerna under år 2018.10 En stor del av an- vändningen skedde i Skatteverkets och Försäkringskassans e-tjäns- ter. Under år 2016 utgjorde användningen i dessa båda myndigheters tjänster totalt 62 procent av användningen av e-legitimation inom den offentliga sektorn. Tillsammans stod dessa myndigheter för över 75 miljoner användningar. Andra stora aktörer var 1177.se, Arbets- förmedlingen, Centrala studiestödsnämnden, Stockholms stad, Pen- sionsmyndigheten och Bolagsverket. Användningen i övriga myn- digheters e-tjänster utgjorde tillsammans 2 procent.11 Enligt de en- kätundersökningar E-legitimationsnämnden genomförde har många kommuner, alla landsting, alla länsstyrelser och ett 40-tal statliga myndigheter behov av att användare ska kunna identifiera sig elek- troniskt. Behovet förväntades enligt E-legitimationsnämnden öka i takt med digitaliseringen.12

5.7Processen för elektronisk identifiering

5.7.1Roller

I processen för elektronisk identifiering finns det flera olika roller. För att elektronisk identifiering ska fungera krävs det att dessa olika roller samverkar. Nedan beskrivs de mest centrala rollerna. Vi an- vänder oss av samma begrepp som Utredningen om effektiv styrning av nationella digitala tjänster.

Användaren är den som har en e-legitimation som han eller hon vill använda för att identifiera sig elektroniskt med i en e-tjänst.

9www.bankid.com/assets/bankid/stats/2018/statistik-2018-12.pdf. Hämtad 2019-01-24.

10Ibid.

11elegnamnden.se/download/18.4498694515fe27cdbcf1557/1517417623320/Resultat-fran-e- legitimationsenkaten-2017.pdf. Hämtad 2019-01-24.

12E-legitimationsnämnden rapport Fortsatt försörjning av tjänster för e-legitimering och e- underskrift, dnr 131 645711-15/9513 2016-10-25.

138

SOU 2019:14

E-legitimation

Den förlitande aktören är den aktör som har behov av att verifiera en användares uppgifter om sin identitet vid identifiering i en e-tjänst.

Utfärdaren är den som utfärdar en e-legitimation till användaren. Utfärdaren tillhandahåller också en funktion för identitetskontroll åt förlitande aktörer. När avtal slutits mellan utfärdaren och en förlitande aktör om en funktion för identitetskontroll kallas utfärda- ren för leverantör. Utfärdaren ansvarar gentemot användaren för att utfärdandet sker på ett tillräckligt säkert sätt. Gentemot förlitande aktör som ingått avtal om funktion för identitetskontroll ansvarar utfärdaren för att den elektroniska identifieringen är tillförlitlig.

Identitetsintygsutfärdaren kan utföra den elektroniska identifie- ringen om det inte görs av utfärdaren själv.

5.7.2Processen

I detta avsnitt görs en kort beskrivning av processen för elektronisk identifiering. För en mer detaljerad beskrivning hänvisas till slutbe- tänkandet av Utredningen om effektiv styrning av nationella digitala tjänster.13 Processen inleds med att användaren anger vilken e-legi- timation som han eller hon vill använda för att identifiera sig genom att klicka på anvisad plats i en e-tjänst hos en förlitande aktör, t.ex. en myndighet. Den förlitande aktören skickar då en begäran om ett s.k. identitetsintyg, dvs. en fråga om användarens uppgifter stäm- mer, till utfärdaren av den aktuella e-legitimationen. För att en för- litande aktör ska kunna erbjuda användare att identifiera sig elektro- niskt måste den förlitande aktören ha slutit avtal om en funktion för elektronisk identitetskontroll med en eller flera utfärdare av e-legi- timationer, se avsnitt 5.8. När sådana avtal sluts kallas utfärdaren för leverantör. Utfärdaren kontrollerar vem användaren är och skickar ett svar i form av ett identitetsintyg till e-tjänsten. Identitetsintyget innehåller de uppgifter som den förlitande aktören behöver för att kunna lita på att användaren är den som han eller hon utger sig för att vara. Den förlitande aktören behöver inte göra egna kontroller av vem som har identifierat sig eller om e-legitimationen är spärrad utan det är tillräckligt att ta del av identitetsintyget. Därefter kan använd- aren släppas in i e-tjänsten.

13SOU 2017:114 s. 213 ff.

139

E-legitimation

SOU 2019:14

Ibland är det en annan aktör än utfärdaren, en identitetsintygs- utfärdare, som skickar identitetsintyget. I Sverige är det, särskilt vid myndigheter, dessutom vanligt att det finns ytterligare en aktör som tar emot identitetsintyget, kontrollerar att det är äkta och konver- terar uppgifterna till ett intyg som är anpassat för den förlitande aktörens it-miljö.14

5.8Avtal som krävs i processen för elektronisk identifiering

5.8.1Avtalsförhållanden

När en e-legitimation utfärdas ingås ett avtal mellan användaren och utfärdaren. För att användaren ska kunna använda sin e-legitimation i en förlitande aktörs e-tjänst krävs att den förlitande aktören har ett avtal med utfärdaren av e-legitimationen. Detta eftersom den för- litande aktören måste kunna skicka en fråga om en e-legitimation och få ett identitetsintyg tillbaka. Det är ofta samma aktör som ut- färdar e-legitimationen som levererar identitetsintyg men det kan också vara olika aktörer. Om det inte är utfärdaren utan en särskild identitetsintygsutfärdare som levererar identitetsintyget måste det även finnas ett avtal mellan identitetsintygsutfärdaren och utfär- daren. Det behövs alltså en fullständig avtalskedja som reglerar an- svarsförhållandena hela vägen mellan användare och förlitande aktör.

I de fall det finns ytterligare en aktör som tar emot identitets- intyget, kontrollerar att det är äkta och konverterar uppgifterna till ett intyg som är anpassat för den förlitande aktörens it-miljö, vilket är vanligt vid svenska myndigheter, tillkommer ytterligare en avtals- relation. Ofta har den aktör som tar emot identitetsintyget och an- passar det till e-tjänsten avtal med den förlitande aktören både om att leverera själva e-tjänsten och identitetsintyget. En sådan aktör måste också ha avtal med en utfärdare om att leverera identitets- intyg. De olika aktörerna i processen kan dessutom ha avtal med olika underleverantörer.15

14SOU 2017:114 s. 213 ff. och E-legitimationsnämndens promemoria Legala förutsättningar för myndigheters försörjning av e-legitimering dnr. 200507710-17/9511 2017-09-29.

15E-legitimationsnämndens promemoria Legala förutsättningar för myndigheters försörjning av e-legitimering dnr. 200507710-17/9511 2017-09-29.

140

SOU 2019:14

E-legitimation

5.8.2Särskilt om avtalet mellan den förlitande aktören och utfärdaren

För att en användare ska kunna identifiera sig mot en e-tjänst krävs alltså att den som har e-tjänsten, den förlitande aktören, anskaffar en funktion för elektronisk identitetskontroll från utfärdaren av e-legi- timationen. När sådana avtal sluts kallas utfärdaren av e-legitima- tionen för leverantör. Den förlitande aktören behöver ha möjlighet att erbjuda användarna att kunna identifiera sig med flera olika e-legi- timationer eftersom det inte på förhand är känt vilken e-legitimation användarna kommer att vilja använda. Den förlitande aktören be- höver därför ha avtal med flera utfärdare/leverantörer parallellt. Vilka e-legitimationer som är tillgängliga på marknaden varierar över tid vilket innebär att det är svårt för den förlitande aktören att för- utse vilka e-legitimationer som denne behöver tillhandahålla möjlig- het att identifiera sig med i e-tjänsten. Det finns därför ett behov av att göra anpassningar över tid och av att kunna ansluta nya utfär- dare/leverantörer löpande.

Statliga myndigheter, kommuner och landsting med behov av funktioner för elektronisk identitetskontroll i sina e-tjänster har i dag tre valmöjligheter. De kan upphandla en funktion för elektro- nisk identifiering på egen hand, avropa en funktion för elektronisk identifiering på ramavtal som Kammarkollegiet tillhandahåller eller ansluta sig till de valfrihetssystem som Myndigheten för digital för- valtning tillhandahåller. De två första alternativen omfattas av LOU, medan det tredje alternativet regleras i ELOV.

Vid upphandling ska den upphandlande myndigheten enligt

16 kap. 1 § LOU tilldela den leverantör vars anbud är det ekono- miskt mest fördelaktiga ett kontrakt. Innehavaren av en e-tjänst be- höver kunna erbjuda användning av flera olika e-legitimationer sam- tidigt. Av den anledningen upphandlas ofta en återförsäljare som i sin tur har avtal med flera olika utfärdare. Eftersom det inte går att på förhand veta vilka e-legitimationer som kommer att finnas på marknaden under avtalstiden måste den upphandlande myndigheten ställa krav på återförsäljaren att nya utfärdare av e-legitimationer ska kunna anslutas. Enligt 17 kap. 8 § LOU får dock ändringar i ett kon- trakt göras utan ny upphandling endast under vissa förutsättningar. Ändringar får bl.a. göras i enlighet med en ändrings- eller options- klausul om kontraktets eller ramavtalets övergripande karaktär inte

141

E-legitimation

SOU 2019:14

ändras (17 kap. 10 § LOU). Klausulen ska ha angetts i något av upp- handlingsdokumenten i den ursprungliga upphandlingen. Klausulen ska klart, exakt och entydigt beskriva under vilka förutsättningar den kan tillämpas och ange omfattningen och arten av ändringarna som kan komma att göras. Eftersom det inte går att förutse hur många e- legitimationer som den upphandlande myndigheten behöver erbjuda identifiering med, finns det en risk att de förändringar som behöver göras hamnar utanför vad som är tillåtet utan ny upphandling. Det finns även en risk att olika upphandlande myndigheter, beroende på val av upphandlad återförsäljare, erbjuder stöd för olika e-legitimati- oner i sina digitala tjänster. Om en och samma e-legitimation inte kan användas i samtliga tjänster leder det till problem med använd- barhet och enhetlighet i offentlig sektors digitala tjänster. Den upp- handlande myndigheten behöver även i övrigt kunna konkretisera och specificera kravställningen. Detta gäller både vid egen upphand- ling och vid avrop från Kammarkollegiets ramavtal. Ramavtalet är nämligen inte specifikt inriktat på funktioner för elektronisk identi- fiering. Många leverantörer tillhandahåller helhetslösningar där avtal med utfärdare av e-legitimationer ingår som en del.

Med valfrihetssystem avses, enligt 2 § ELOV, ett förfarande där den enskilde har rätt att välja leverantör som ska utföra tjänsten bland de leverantörer som en upphandlande myndighet har godkänt och tecknat kontrakt med. Det innebär att den enskilde kan använda en e-legitimation från valfri utfärdare som Myndigheten för digital förvaltning har godkänt och tecknat avtal med. I valfrihetsystem godkänns samtliga leverantörer som uppfyller de krav som ställs i upphandlingsdokumenten (12 § ELOV). Syftet med ELOV är att det ska vara möjligt för en myndighet att erbjuda identifiering med flera olika e-legitimationer samtidigt och att leverantörer ska kunna anslutas löpande. Den stora skillnaden mellan ett valfrihetssystem och traditionell offentlig upphandling är att det i ett valfrihetssystem inte finns någon konkurrenssituation mellan leverantörerna vid tidpunkten för tilldelningsbeslutet. Priset fastställs redan i upphand- lingsdokumentet och samtliga leverantörer som godkänns får teckna kontrakt med den upphandlande myndigheten. Eftersom det är den enskilda användaren som väljer vem som ska utföra tjänsten uppstår i stället konkurrens mellan leverantörerna efter att ett kontrakt har tecknats och pågår sedan under hela avtalsperioden. Valfrihetssy- stemen innehåller endast tjänster för elektronisk identifiering, till

142

SOU 2019:14

E-legitimation

skillnad från Kammarkollegiets ramavtal. Det innebär att myndig- heterna behöver vidta vissa andra åtgärder, såsom anpassningar av e-tjänsten, antingen på egen hand eller genom att upphandla en leve- rantör.16

5.9Elektronisk underskrift

Som beskrivits ovan är e-legitimationens huvudsakliga syfte att iden- tifiera användaren på elektronisk väg. Som regel kan emellertid e- legitimationer även användas för att framställa en elektronisk under- skrift (e-underskrift). En mycket stor del av de förlitande aktörerna i såväl offentlig som privat sektor använder sig av denna funktion för att möjliggöra underskrift av exempelvis ansökningar, blanketter och olika former av ekonomiska och rättsliga transaktioner.

Med e-underskrift menas uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form för att säkerställa de senares ursprung och dataintegritet. Handlingar skrivs under elektroniskt för att ge skydd mot förfalskning och för- nekande på motsvarande sätt som när handlingar undertecknas på papper. E-underskriftens funktion är framför allt säkerhetsrelaterad och syftar till att ge underlag för bl.a. äkthetsprövning, bevissäkring och säkerställande av originalkvalitet. Den fyller även andra viktiga skyddsfunktioner såsom att markera att ett visst innehåll är fullstän- digt och förenligt med avsikten hos användaren samt att säkerställa att användaren tänker sig för och förstår åtgärdens innebörd.17

E-underskriften kan antingen skapas direkt med användarens e-legitimation, eller indirekt genom användning av e-legitimationen i kombination med en fristående underskriftstjänst. Det förstnämnda fallet kräver att e-legitimationen har ett särskilt underskriftscertifi- kat.18 I det indirekta förfarandet behöver inte e-legitimationen ha några särskilda sådana egenskaper och blir således mer teknikobero- ende. Det indirekta förfarandet kräver dock att den förlitande aktö- ren har tillgång till en särskild underskriftstjänst som kan skapa den

16SOU 2017:114 s. 219 ff. och E-legitimationsnämndens promemoria Legala förutsättningar för myndigheters försörjning av e-legitimering dnr. 200507710-17/9511 2017-09-29.

17eSam:s vägledning Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1 2018 s. 22 f.

18Ibid. s. 25 f.

143

E-legitimation

SOU 2019:14

elektroniska underskriften med stöd av e-legitimationen. Direkt e-un- derskrift är vanligast förekommande i dagsläget, men det finns även möjlighet att avropa en fristående underskriftstjänst på Kammar- kollegiets ramavtal. Hanteringen av e-underskrift av utländska använd- are i svenska e-tjänster underlättas om ett indirekt förfarande an- vänds.19

E-underskrift är en s.k. betrodd tjänst som regleras i eIDAS-för- ordningen. E-underskrift hanteras där helt frikopplat från frågan om elektronisk identifiering. I eIDAS-förordningen görs en uppdelning i avancerade elektroniska underskrifter och kvalificerade elektro- niska underskrifter. En avancerad elektronisk underskrift ska enligt artikel 26 i eIDAS-förordningen uppfylla följande krav. Den ska vara unikt knuten till undertecknaren. Undertecknaren ska kunna iden- tifieras genom den. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska slutligen vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. En kvalificerad elektronisk underskrift ska, utöver kraven för avancerade elektroniska under- skrifter, vara baserad på ett kvalificerat certifikat för elektroniska underskrifter (artikel 28) och skapas med en särskild anordning för skapande av kvalificerade elektroniska underskrifter (artikel 29). En kvalificerad elektronisk underskrift ska enligt artikel 25 ha mot- svarande rättsliga verkan som en handskriven underskrift och ska erkännas som en kvalificerad elektronisk underskrift i alla andra medlemsstater. En utländsk avancerad eller kvalificerad elektronisk underskrift ska även accepteras i medlemsstaternas offentliga e- tjänster om e-tjänsten kräver en avancerad elektronisk underskrift nationellt.

De svenska e-legitimationerna, såsom BankID, bedöms generellt uppfylla kraven på avancerade elektroniska underskrifter enligt eIDAS-förordningen.20 I de svenska författningsreglerade formkrav som finns avseende elektronisk underskrift ställs inte krav på kvali-

19SOU 2017:114 s. 383.

20SOU 2017:114 s. 384 och prop. 2015/16:72 s. 52 f.

144

6 Reformer på området

6.1Inledning

Vårt uppdrag är att samlat se över existerande identitetshandlingar i Sverige i syfte att minska bedrägeribrottsligheten. Förutom att be- gränsa antalet identitetshandlingar och utfärdare ska vi också föreslå förbättringar av verifieringen av äktheten och giltigheten av hand- lingarna. Vidare ska vi utreda hur identitetshandlingar bör utformas och utfärdas för att bli säkrare och ta ställning till om fysiska iden- titetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå.

Något sådant samlat grepp över identitetshandlingar och de frå- gor som är kopplade till sådana handlingars säkerhet har inte tagits i någon tidigare utredning. Däremot har t.ex. körkort och pass över tid varit föremål för olika utredningar. Fokus i många av utredning- arna har emellertid inte varit handlingarnas funktion som identitets- handling utan deras funktion som resehandling eller bevis om förar- behörighet.

En del av utredningarna har dock handlat om vilka säkerhetskrav som bör ställas på handlingarna. Ibland har ändringarna föranletts av nya krav, ofta EU-rättsliga, ibland har de i stället föranletts av att det uppmärksammats säkerhetsproblem genom användning av t.ex. falska handlingar. Utredningar med inriktning på den typen av frågor har dock givetvis också fått återverkningar på handlingens säkerhet som identitetshandling. Identitetshandlingar har även i vidare översyner ibland identifierats som en riskfaktor för möjligheten att begå bedrä- geribrott. Andra lagstiftningsarbeten har handlat om behov av att in- föra nya typer av identitetshandlingar. Det nationella identitetskor- tet och identitetskortet för folkbokförda i Sverige är sådana exempel.

Nedan redogörs kort för några av de utredningar som lett till re- former av betydelse för identitetshandlingar. Några tidigare arbeten

147

Reformer på området

SOU 2019:14

som innehåller förslag för att motverka identitetsrelaterad brotts- lighet gås också igenom. Framställningen innefattar även en redogö- relse för en utredning som bl.a. handlar om förutsättningarna för att använda digitala tjänster, som t.ex. e-legitimation. Vidare redovisas en utredning om hur servicekontoren i den offentliga förvaltningen bör vara organiserade i framtiden vilken är av betydelse eftersom Skatteverket, som är en av utfärdarna i dag, är anslutna till systemet med servicekontor. Slutligen nämns en utredning om inrättande av en ny myndighet för digitalisering av den offentliga sektorn som bl.a. ska ansvara för vissa frågor om e-legitimation och därför be- döms ha viss relevans för vårt arbete. Redogörelsen nedan är inte ut- tömmande.

6.2Fysiska identitetshandlingar

6.2.1Pass

Reglerna för pass har setts över och ändrats flera gånger. Under 2000-talet har ett antal utredningar tillsatts med syfte att öka säker- heten i passen. Utredningarna har bl.a. lett till att passen numera inne- håller både ansiktsbild och fingeravtryck som kan utgöra underlag för datorstödda jämförelser och identifiering. Vidare har, också i syfte att öka säkerheten, giltighetstiden för vanligt pass begränsats till fem år.1

Som en följd av kravet på ansiktsbild gäller numera att alla Sveriges beskickningar och karriärkonsulat inte längre obligatoriskt har uppgiften att vara passmyndighet. Regeringen eller den myndig- het regeringen bestämmer får i stället avgöra i vilken utsträckning dessa myndigheter ska fullgöra uppgifter som passmyndighet.2

Under år 2016 begränsades antalet pass som kan beviljas för en person till tre vanliga pass under en femårsperiod. Det infördes ock- så en bestämmelse om att ett vanligt pass ska återkallas när ett pro- visoriskt pass utfärdas för passinnehavaren. Dessutom begränsades giltighetstiden för vanligt pass till barn till tre år. Åtgärderna syftade till att motverka missbruk bestående i att äkta pass används av andra

1Prop. 2004/05:119 och 2008/09:132.

2Prop. 2007/08:66.

148

SOU 2019:14

Reformer på området

än de egentliga passinnehavarna, vilket bl.a. innebär en stor säker- hetsrisk i och med att personer med kopplingar till organiserad brottslighet och terrororganisationer kan resa anonymt och kringgå reseförbud genom att använda andra pass än sina egna.3

I promemorian Passdatalag som överlämnades år 2015 gjordes en översyn över regleringen av behandlingen av personuppgifter i verk- samheten avseende både pass och nationellt identitetskort. I prome- morian föreslogs en lag om behandling av personuppgifter i passverk- samheten, passdatalagen. Promemorian innehåller även ett förslag till förordning om behandling av personuppgifter i verksamheten av- seende nationellt identitetskort.4 Inom Regeringskansliet pågår för närvarande ett arbete med förslagen i promemorian.

6.2.2Nationellt identitetskort

Den 1 oktober 2005 blev det möjligt för svenska medborgare att hos en passmyndighet ansöka om och få utfärdat ett nationellt identi- tetskort. Identitetskorten infördes delvis i syfte att underlätta resan- det inom det gränslösa Schengenområdet. Avsikten vid införandet var dock inte att identitetskorten skulle användas som en resehand- ling, utan endast för att vid behov kunna styrka sitt svenska med- borgarskap.

Kortet kan från och med den 1 juli 2015 användas som resehand- ling även vid resa till EU-medlemsstater som inte fullt ut deltar i Schengensamarbetet. Ändringarna syftade till att bättre anpassa lagen till Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas terri- torier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (rörlighetsdirektivet).5

3Prop. 2015/16:81.

4Ds 2015:44.

5Prop. 2014/15:69.

149

Reformer på området

SOU 2019:14

6.2.3Identitetskort för folkbokförda i Sverige

Identitetskort för folkbokförda i Sverige infördes år 2009. Syftet med den utredning som tillsattes för att utreda frågan om id-kort för personer som inte är svenska medborgare men som har rätt att vara bosatta i Sverige var att säkerställa att dessa personer har möjlighet att få ett id-kort utfärdat.6

I oktober 2010 infördes en ny möjlighet för sökanden att styrka sin identitet. Ändringen innebär att en sökande kan styrka sin identitet genom att Skatteverket gör en jämförelse av uppgifterna i ansökan om id-kort med uppgifter som finns hos Migrationsverket avseende det beviljade uppehållstillståndet.7

Regleringen avseende id-kortet fanns ursprungligen i förordning men fr.o.m. år 2016 finns stora delar av regleringen i stället i lag.8

6.2.4Körkort

Bestämmelserna om körkort, som främst är en handling som utvisar förarbehörighet för ett visst fordon, har setts över och ändrats flera gånger.

Den 1 oktober 1998 trädde den nu gällande körkortslagen i kraft.9 Lagen har sedan dess varit föremål för ett antal ändringar. Bl.a. ge- nomfördes ändringar i samband med genomförandet av det tredje körkortsdirektivet. Det föreslogs t.ex. nya harmoniserade bestäm- melser om giltighetstid och förnyelse av körkort och en ny möjlighet att återkalla körkort som utfärdats trots att det fanns hinder för utfärdande.10

I propositionen diskuterades även frågan om själva behörigheten att köra ett fordon kan skiljas från den handling som utvisar behö- righeten eller uttryckt på ett annat sätt: är körkortet en bärare av rätten att köra motordrivna fordon eller bara ett bevis på denna rätt. Denna fråga om körkortets rättsliga betydelse och hur körkorts- handlingen förhåller sig till körkortsbehörigheten har behandlats i ett antal utredningar. Som exempel kan nämnas kommittén Körkort

6SOU 2007:100.

7Finansdepartementets promemoria Vissa id-kortsfrågor 2010-04-21.

8Prop. 2015/16:28.

9Prop. 1997/98:124.

10Prop. 2011/12:25.

150

SOU 2019:14

Reformer på området

2000 (Körkortskommittén), 1994 års körkortsutredning och 2007 års körkortsutredning.

Körkortskommittén fann att begreppet körkort var dubbeltydigt och föreslog därför att körkort endast skulle beteckna själva kör- kortshandlingen medan behörigheten skulle knytas till en anteck- ning om innehavet av behörighet i körkortsregistret. Körkortskom- mitténs förslag ledde inte till lagstiftning.11

1994 års körkortsutredning analyserade frågan på nytt, vilket resulterade i slutsatsen att det kunde hävdas att körkortet är bärare av behörigheten och inte endast ett bevis om den. Utredningen ansåg att Körkortskommitténs förslag att separera körkort och behörighet visserligen verkade tilltalande men konstaterade också att dess för- slag till lagtext visade svårigheten att konsekvent upprätthålla en sådan uppdelning. Utredningen påtalade också bl.a. att det enligt artikel 3 i det andra körkortsdirektivet är körkortet som ger behö- righet. Utredningens bedömning var att behörigheten alltjämt borde knytas till innehav av körkort.12

2007 års körkortsutredning föreslog en reform som i väsentliga delar överensstämde med Körkortskommitténs förslag. Reformen innebar att förarbehörigheten skulle upphöra att vara knuten till själva innehavet av körkort. I stället skulle behörigheten knytas till det faktum att beslutet om behörigheten antecknats i vägtrafik- registret. Ett körkort eller förarbevis skulle därefter utfärdas som bevis om behörigheten. Som skäl för reformen anfördes i huvudsak att tillämpande myndigheter önskade att förhållandet mellan kör- kort och behörighet skulle förtydligas och att det genom den före- slagna uppdelningen skulle bli en ökad tydlighet för såväl enskilda som myndigheter.13

Regeringen var dock av uppfattningen att en genomgång av relevanta svenska och EU-rättsliga bestämmelser gav det bestämda intrycket att körkortet inte bara är ett bevis på behörigheten utan att rätten att köra motordrivna fordon är knuten till innehavet av kör- kortet. Regeringen fann i likhet med Körkortskommittén att inne- börden av begreppet körkort inte var klar och entydig. Regeringen ansåg dock att det var problematiskt i förhållande till EU-rätten att

11SOU 1991:39 s. 178.

12SOU 1996:114 s. 64 f.

13SOU 2008:130 s. 142 f.

151

Reformer på området

SOU 2019:14

göra en uppdelning i behörighet och körkortshandling och knytan- det av behörigheten till registrering i vägtrafikregistret eftersom det skulle betyda att sambandet mellan behörighet och körkortsinnehav skulle brytas, dvs. att det som konstituerar körkortsbehörighet inte längre är innehavet av ett körkort. Ett sådant system skulle inte stå i överensstämmelse med körkortsdirektiven.14

Regeringen pekade på att skillnaden i systematik mellan å ena sidan körkortsdirektiven och å andra sidan utredningens lagförslag skulle leda till att svenska och utländska körkort skulle betraktas och behandlas på olika sätt. Medan de svenska körkorten i huvudsak skulle behandlas som rena bevis på behörigheten skulle det i fråga om de utländska körkorten vara innehavet av körkortet som med- förde behörigheten att köra i Sverige. Det var enligt regeringen tvek- samt om det var en direktivsenlig ordning att innehav av ett svenskt körkort till skillnad från övriga EES-körkort inte gav, utan bara var bevis på, behörigheten att framföra fordon. Regeringen pekade ock- så på de lagstiftningstekniska konsekvenser som uppdelningen i kör- kort och behörighet fick för utredningens lagförslag i fråga om bestämmelserna om administrativ giltighetstid. Enligt regeringens bedömning innebar direktivets bestämmelser om regelbunden för- nyelse av körkort, som en konsekvens av att körkortet i artikel 4.1 anges medföra behörigheten, även en omprövning av körkortshava- rens behörighet. Om ett körkort i stället skulle ses som ett bevis om behörigheten skulle utfallet av omprövningen primärt endast avgöra om körkortet, såsom bevis på behörigheten, får ersättas och endast indirekt om själva behörigheten skulle fortsätta att gälla. Reger- ingens uppfattning var att det logiska är att behörighetsbevisets giltig- het är beroende av att behörigheten fortfarande gäller, inte tvärtom. Regeringen ansåg därför, även om rätten att köra inte ovillkorligen förutsätter innehav av körkort i den meningen att körkortshand- lingen finns i körkortshavarens besittning, att det inte var lämpligt att göra en formell uppdelning i behörighet och körkort.15

14Prop. 2011/12:25, s. 48.

15Ibid. s. 49.

152

SOU 2019:14

Reformer på området

6.3E-legitimationer

6.3.1Utredningen om Effektiv styrning av nationella digitala tjänster

Utredningen om effektiv styrning av nationella digitala tjänster över- lämnade i januari 2018 ett slutbetänkande i vilket bl.a. föreslogs att det bör finnas en statlig elektronisk identitetshandling (e-legitima- tion) som ska utfärdas av en statlig myndighet och finnas på fysiska identitetshandlingar som utfärdas av den ansvariga myndigheten. Med anledning av vårt uppdrag avstod utredningen från att lämna förslag på vilken myndighet som ska utfärda den statliga elektroniska iden- titetshandlingen och vilken eller vilka identitetshandlingar som ska vara bärare av den. Utredningen föreslog en lag om statlig elektro- nisk identitetshandling som bl.a. reglerar vad en statlig elektronisk identitetshandling ska innehålla, till vem den kan utfärdas och hur ansökan ska gå till.16

6.4Användning av identitetshandlingar i samband med brottslighet

6.4.1Straffrättsligt skydd mot olovlig identitetsanvändning

Olovlig identitetsanvändning, dvs. det som i vardagligt tal kallas för identitetskapning, kriminaliserades den 1 juli 2016 genom en ny be- stämmelse i 4 kap. 6 b § brottsbalken. Straffbestämmelsen syftar till att motverka missbruk av identitetsuppgifter och ge skydd mot den integritetskränkning det innebär att få dessa utnyttjade. För straff- ansvar krävs att någon utger sig för att vara en annan person genom att olovligen använda den personens identitetsuppgifter och därigen- om ger upphov till skada eller olägenhet för honom eller henne.17 Bakgrunden till bestämmelsen är den utredning som Egendoms- skyddsutredningen överlämnade år 2013. I utredningen redovisas olika tillvägagångssätt för att begå identitetskapning. Ett tillväga- gångssätt som beskrivs där är att gärningsmannen använder sig av för- falskade identitetshandlingar eller felaktiga äkta sådana handlingar.18

16SOU 2017:114.

17Prop. 2015/16:150.

18SOU 2013:85 s. 192.

153

Reformer på området

SOU 2019:14

6.4.2Brottsförebyggande rådets rapport om bedrägeribrottsligheten

Brå fick 2014 i uppdrag av regeringen att genomföra en studie om bedrägerier och arbetet mot sådan brottslighet. I rapporten konsta- terade Brå bl.a. att någon form av identitetsmissbruk förekom vid många bedrägerier och att det fanns indikationer på att användning- en av stulna eller falska identiteter ökade. Brå pekade i rapporten på att ett av skälen till den ökade användningen är det stora antalet identitetshandlingar som godtas i Sverige, något som gör det svårare att kontrollera handlingarna och lättare att förfalska dem. Brå före- slog i rapporten att identitetsfrågan skulle ses över. Förutom att garantera en säker ursprungsidentifiering föreslogs en ökad använd- ning av biometriska uppgifter såväl vid ursprungsidentifiering som vid identitetskontroll. Brå framförde också behovet av att en myn- dighet får ansvaret för att utfärda identitetshandlingar.19

6.4.3Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden

En utredning med uppdrag att göra en översyn av välfärdsstatens förmåga att stå emot organiserad och systematisk ekonomisk brotts- lighet tillsattes år 2015.

I utredningen, som överlämnades i maj 2017, lyfts bl.a. vikten av att motverka användningen av oriktiga identitetshandlingar. Utred- ningen föreslog att en särskild utredning skulle tillsättas för att ta ett samlat grepp över bl.a. den frågan genom att minska antalet utfärdare av identitetshandlingar och koncentrera ansvaret till en myndighet. Utredningen menade att det dessutom borde göras en översyn av be- hovet av och förutsättningarna för ett gemensamt regelverk. Utred- ningen ansåg också att det borde övervägas ändringar för att biomet- riska data i större utsträckning ska kunna användas för att säkerställa att registrerade uppgifter speglar verkliga förhållanden. Utredningen framhöll också vikten av att Transportstyrelsen får i uppdrag att se över sina rutiner vid utlämnande av körkort för att förhindra att de används vid bedrägeri.20

19Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 148 f. och

224f.

20SOU 2017:37.

154

SOU 2019:14

Reformer på området

6.5Organisatoriska förändringar

6.5.1Servicekontorsutredningen

I september 2017 fick en särskild utredare i uppdrag att föreslå hur den lokala serviceverksamheten, som i dag bedrivs genom samverkan mellan Skatteverket, Försäkringskassan och Pensionsmyndigheten, kan organiseras på ett mer sammanhållet sätt. Utgångspunkten an- gavs vara att Statens servicecenter ska ansvara för en mer samlad organisation för lokal statlig service från och med den 1 januari 2019. Utredaren skulle bl.a. ta ställning till vilket serviceutbud som bör finnas vid serviceorganisationens lokala kontor och presentera en plan för när de lokala kontoren ska tillhandahålla den service som bl.a. avser Skatteverkets verksamhet. Servicekontorsutredningen föreslog i sitt delbetänkande i december 2017 att den statliga service- kontorsverksamheten skulle övergå till Statens servicecenter den 1 januari 2019. Vissa servicekontor ska precis som i dag utfärda id- kort. Servicekontorsutredningen bedömde att nuvarande ordning med fortsatt möjlighet att ansöka om id-kort vid åtminstone 27 servicekontor och möjlighet till utlämning av färdiga id-kort vid ytterligare minst 18 servicekontor skulle kvarstå i avvaktan på att vår utredning slutförs.21 Övergången av verksamheten har därefter senarelagts till den 1 juni 2019.22

6.5.2Inrättande av Myndigheten för digital förvaltning

Utredningen om inrättande av en myndighet för digitalisering av den offentliga sektorn fick i december 2017 i uppdrag att förbereda och genomföra bildandet av en ny myndighet för digitalisering av den offentliga sektorn.23 Organisationskommitténs arbete mynnade ut i att Myndigheten för digital förvaltning inrättades den 1 september 2018. Till myndigheten överfördes bl.a. ansvaret för de uppgifter som E-legitimationsnämnden tidigare utförde. Samtidigt lades E-legi- timationsnämnden ner. Den nya myndigheten ska bl.a. ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift, främja användningen

21SOU 2017:109 s. 59 f. och 77 f.

22Prop. 2018/19:47.

23Dir. 2017:117.

155

7 Internationell utblick

7.1Finland

I Finland finns reglering i lag avseende pass och identitetskort.1 Lagarna kompletteras av en gemensam förordning.2 Polisstyrelsen meddelar närmare föreskrifter. Både pass och id-kort utfärdas av poli- sen. Även ambassader och andra utlandsmyndigheter kan utfärda pass och id-kort för finska medborgare som befinner sig utomlands.

Pass är en personlig resehandling som utfärdas för finska med- borgare. På passet finns ett chip som, i enlighet med den EU-rätts- liga regleringen, bl.a. innehåller fingeravtryck och ansiktsbild. Per- soner som är misstänkta för brott på vilket kan följa fängelse i minst ett år och personer som väntar på att avtjäna fängelsestraff är för- hindrade att få pass utfärdat. Det finns även andra passhinder. Gil- tighetstiden för passet är som huvudregel fem år. I passregistret lagras fingeravtryck, ansiktsbild och övriga personuppgifter.

Identitetskort kan utfärdas till finska medborgare och utlänningar som vistas i Finland (identitetskort för utlänningar). Identitetskort för utlänningar utfärdas om sökanden har ett giltigt uppehållstill- stånd, uppehållskort eller sökandens uppehållsrätt är registrerad, sökanden har hemkommun i Finland och uppgifter om sökanden har registrerats i befolkningsdatasystemet. Ett id-kort som utfärdas för en finsk medborgare kan användas som resedokument i stället för pass vid resor inom EU. Ett id-kort som inte är giltigt som rese- dokument kan, förutom till utländska medborgare, också utfärdas till finska medborgare som inte har rätt att resa. Det kan t.ex. röra sig om en person som är misstänkt för brott på vilket kan följa fängelse i minst ett år eller väntar på att avtjäna fängelsestraff.

1Passlagen (671/2006) och lagen om identitetskort (663/2016).

2Statsrådets förordning om pass och identitetskort (1167/2016).

157

Internationell utblick

SOU 2019:14

På identitetskortet finns ett chip som innehåller ett s.k. medbor- garcertifikat, en e-legitimation som utfärdas av Befolkningsregister- centralen. I chipet är det också möjligt att lagra de personuppgifter som finns på kortet och, på innehavarens begäran, tekniska tillämp- ningar och uppgifter. På begäran av en myndighet kan det vidare för myndighetsanställda lagras sådan information som behövs för den anställdes arbetsuppgifter. Det lagras inte några fingeravtryck i chipet.

De olika typerna av identitetskort innehåller samma uppgifter för- utom att uppgift om nationalitet endast anges för finska medbor- gare. För att undvika förväxling har id-kortet för utländska medbor- gare en annan färg än det kort som utfärdas till finska medborgare. På id-kortet för utländska medborgare anges dessutom att kortet inte är giltigt som resedokument.

Giltighetstiden är som huvudregel fem år. Ansiktsbild och övriga personuppgifter lagras i ett register.

Ansökan om pass och id-kort ska göras hos polisen eller, om an- sökan rör en finsk medborgare som vistas utomlands, hos en utlands- myndighet. Till ansökan ska sökandens ansiktsbild fogas. Den utfärd- ande myndigheten tar inte några fotografier utan dessa överförs till polisens server av den fotograf som sökanden tar bilden hos. Ansö- kan om medborgarcertifikat är samordnad med ansökan om identi- tetskort.

Identifieringen av sökanden ska ske på ett tillförlitligt sätt. Sökan- den ska identifiera sig med ett giltigt finskt pass eller identitetskort utfärdat av polisen. Även främlingspass och resedokument för flykt- ing kan användas under förutsättning att de inte har försetts med anteckning om att identiteten inte har kunnat styrkas. Om sökanden inte kan visa upp en giltig identitetshandling, görs identifieringen av den utfärdande myndigheten. Hur det ska gå till anges inte i lagen eller förordningen. Det kan t.ex. vara fråga om att jämföra sökandens fingeravtryck med de som finns i passregistret eller ställa kontroll- frågor utifrån uppgifter i olika register. Om en person som ansöker om ett identitetskort för utlänningar inte kan visa upp en giltig iden- titetshandling ska personen visa upp ett giltigt uppehållstillstånds- kort eller uppehållskort. Den utfärdande myndigheten får då ta sökan- dens fingeravtryck och jämföra med de avtryck som är lagrade i uppehållstillståndskortet eller uppehållskortet.

Ansökan kan under vissa förutsättningar göras på elektronisk väg utan att sökanden behöver inställa sig hos polisen. Detta är möjligt

158

SOU 2019:14

Internationell utblick

om ansökan görs inom sex år från utfärdandet av det tidigare passet eller id-kortet och sökanden i samband med den ansökan var per- sonligen närvarande hos den utfärdande myndigheten. Det innebär att personlig inställelse krävs vid ungefär varannan ansökan en per- son gör. Sökanden måste också ha lämnat namnteckningsprov och, när det gäller pass, fingeravtryck i samband med den tidigare ansökan. Sökanden kan dock behöva inställa sig personligen hos polisen om det behövs för att identifiera sökanden, lämna nytt namntecknings- prov, lämna nya fingeravtryck eller av någon annan särskild orsak. Om ansökan görs på elektronisk väg måste sökanden identifiera sig genom en e-legitimation som når upp till tillitsnivån väsentlig eller hög enligt eIDAS-förordningen.

Innan ett pass eller identitetskort utfärdas ska den utfärdande myndigheten kontrollera sökandens personuppgifter i befolknings- datasystemet. Vid ansökan om identitetskort för utlänningar ska upp- gifterna även kontrolleras i utlänningsregistret.

Pass och id-kort lämnas ut av ett privat företag som anlitats av polisen. Identitetshandlingen skickas som rekommenderat brev eller motsvarande spårbar försändelse. Passet eller id-kortet överlämnas i förslutet kuvert till sökanden eller en person som sökanden har gett fullmakt. Den person som identitetshandlingen överlämnas till ska identifieras på ett tillförlitligt sätt. Det kan ske genom att ett pass eller id-kort visas upp men även körkort kan användas. Numret på den identitetshandling som visas upp antecknas och kan vid behov kontrolleras i efterhand. Personen måste även visa upp försändelse- koden och ha med sig det utgångna passet eller identitetskortet. Om det finns skäl för det kan pass eller id-kort i stället lämnas ut av den utfärdande myndigheten.

I Finland finns inte någon lagstadgad skyldighet att identifiera sig med pass eller identitetskort utfärdat av polisen annat än i vissa spe- ciella situationer. Det gäller som framgått ovan i samband med ansök- an om pass och identitetskort. Detsamma gäller vid ansökan om en e-legitimation som motsvarar tillitsnivån väsentlig eller hög enligt eIDAS-förordningen hos exempelvis en bank.3 I många andra situa- tioner används körkort.

Enligt uppgift från Polisstyrelsen har antalet ansökningar om identitetskort ökat under de senaste åren. Sannolikt beror detta på möjligheten att ansöka elektroniskt via e-tjänsten samt att avgiften

3Lagen om stark autentisering och betrodda elektroniska tjänster (617/2009).

159

Internationell utblick

SOU 2019:14

är lägre såväl när ansökan görs elektroniskt som när ansökan om pass och identitetskort görs samtidigt. Även ett nytt tidbokningssystem har framhållits som en omständighet som fått positiva effekter. Om ansökan görs elektroniskt slussas sökanden direkt till boknings- systemet för det fall denne behöver inställa sig personligen för att komplettera ansökan.

Polisstyrelsen utvecklar för närvarande ett mobilt identitetskort och en mobil elektronisk identitetshandling. Id-kortet ska finnas i innehavarens mobiltelefon eller surfplatta och användas tillsammans med en pinkod. Den som id-kortet visas upp för läser av den QR- kod som finns i innehavarens mobiltelefon och får genom en direkt uppkoppling mot aktuellt register upp innehavarens personupp- gifter. Syftet är att det ska vara möjligt att på ett säkert sätt identi- fiera sig utan att behöva ha med sig det fysiska id-kortet.

Den e-legitimation, medborgarcertifikatet, som finns på de finska id-korten kan användas för identifiering i e-tjänster som tillhör såväl myndigheter som privata företag. Bankernas e-legitimationer domi- nerar dock och medborgarcertifikatet används endast vid cirka 1 pro- cent av transaktionerna i Finland.

7.2Norge

Regler om pass finns i en lag och en kompletterande förordning.4 Pass utfärdas till norska medborgare. Polisen och vissa utlandsmyn- digheter utfärdar pass. I passet lagras fingeravtryck och ansiktsbild. Passhinder föreligger t.ex. om sökanden är efterlyst eller dömd för brott till frihetsberövande påföljd. Giltighetstiden är som huvudre- gel tio år. I passregistret lagras ansiktsbild, namnteckning och övriga personuppgifter. Fingeravtryck lagras inte i registret.

Den som ansöker om pass ska inställa sig personligen hos den utfärdande myndigheten om det inte finns särskilda skäl. Den utfär- dande myndigheten tar sökandens fotografi och fingeravtryck. Sökan- den ska även lämna sin namnteckning och lämna in sitt gamla pass. Sökanden ska styrka sin identitet och sitt medborgarskap. Vid för- nyelse av pass som inte görs senare än tre månader efter att giltig- hetstiden för det gamla passet har gått ut ska sökanden i första hand visa upp det gamla passet. Om det gamla passet är äldre eller om det

4Lov om pass (LOV-1997-06-19-82) och forskrift om pass (FOR-1999-12-09-1263).

160

SOU 2019:14

Internationell utblick

är första gången en ansökan görs ska i stället ett norskt körkort eller annat lika säkert id-kort försett med sökandens fotografi och födel- senummer (såsom ett bankkort med sökandens fotografi) visas upp. Den utfärdande myndigheten kan dessutom kräva ytterligare doku- mentation som utvisar sökandens identitet. Sådan dokumentation kan också krävas om sökanden inte har någon identitetshandling. Den utfärdande myndigheten kan också kräva en skriftlig försäkran från en myndig norsk medborgare om att sökandens uppgifter är korrekta. Den som intygar sökandens uppgifter ska vara närvarande vid identitetskontrollen av sökanden och styrka sin identitet med giltigt norskt pass. Den utfärdande myndigheten ska kontrollera sökan- dens uppgifter mot ett register över befolkningen.

Passinnehavaren ska förvara passet på ett betryggande sätt. Om passet förkommer är innehavaren är skyldig att snarast anmäla detta till den utfärdande myndigheten. Ett pass som har förlustanmälts får inte tas i bruk på nytt.

Det finns ännu inte något nationellt identitetskort i Norge. En lag om nationellt identitetskort är beslutad men har ännu inte trätt i kraft.5 Arbete pågår med införandet som är planerat till år 2020 och en kompletterande förordning är under framtagande. Polisen ska utfärda id-kortet. Id-kortet ska utfärdas till norska medborgare och ska kunna användas som resehandling inom EU. Motsvarande hind- er som gäller för utfärdande av pass ska gälla för id-kort med rätt att resa. Medborgare som inte har rätt att resa ska kunna få ett id-kort som inte kan användas för att resa. Föreskrifter om att även utländ- ska medborgare ska kunna ansöka om ett nationellt identitetskort och villkoren för det ska få meddelas i förordning. Id-kortet får bara innehålla uppgifter som är nödvändiga för att kontrollera kortets äkthet och bekräfta innehavarens identitet. Fingeravtryck och ansikts- bild får lagras i korten. Uppgifter om nationella identitetskort ska finnas i ett register som får kopplas mot passregistret. I registret ska bl.a. ansiktsbild och underskrift lagras. Närmare bestämmelser om kortets och registrets innehåll meddelas i förordning. I förordning ska även bestämmelser om att förse id-kortet med en e-legitimation få meddelas. Även kortets giltighetstid kommer att framgå av för- ordning.

Den som ansöker om nationellt identitetskort ska inställa sig personligen hos polisen om det inte finns särskilda skäl. Sökanden

5Lov om nasjonalt identitetskort (LOV-2015-06-05-39).

161

Internationell utblick

SOU 2019:14

ska styrka sin identitet och sitt medborgarskap genom att lämna de uppgifter och visa upp de handlingar som den utfärdande myndig- heten anser är nödvändiga. Ansiktsbild och fingeravtryck får inhäm- tas i syfte att senare kontrollera kortinnehavarens identitet. Ett tidigare utfärdat nationellt identitetskort ska lämnas in innan det nya lämnas ut.

Innehavaren ska förvara det nationella identitetskortet på ett be- tryggande sätt. Om kortet förkommer är innehavaren skyldig att snarast anmäla detta till den utfärdande myndigheten. Ett id-kort som har förlustanmälts får inte tas i bruk på nytt.

7.3Danmark

Pass regleras i en lag med tillhörande förordning.6 Kommunerna ut- färdar pass till danska medborgare som uppehåller sig i Danmark. Utlandsmyndigheterna kan utfärda pass till medborgare som befin- ner sig utomlands. Passet innehåller sökandens fingeravtryck och andra uppgifter om innehavaren. Passhinder föreligger t.ex. om sökan- den dömts till en frihetsberövande påföljd som ännu inte är avtjänad. Passet är som huvudregel giltigt i tio år.

Sökanden ska inställa sig personligen vid kommunens kontor för medborgarservice i samband med ansökan. Till ansökan ska sökan- den själv bifoga ett fotografi som uppfyller vissa krav. Sökanden ska lämna sina fingeravtryck och underteckna ansökan i kommunens när- varo. Identiteten ska styrkas genom att det senast utfärdade passet visas upp. Om sökanden inte har något sådant ska dop-, namn- eller födelseattest, sjukförsäkringskort eller annan lämplig legitimation och fotoförsedd legitimation visas upp. Dessa krav kan dock frångås om kommunen känner sökanden eller om denne styrker sin identitet genom att svara på kontrollfrågor. I särskilda fall kan sökanden styr- ka sin identitet genom att en person, som kan styrka sin egen iden- titet genom uppvisande av de dokument som anges ovan, skriftligen intygar sökandens uppgifter.

Även identitetskort regleras i lag och förordning.7 Alla personer över 15 år som är registrerade i ett register över den danska befolk- ningen kan få ett identitetskort utfärdat av kommunen. Id-kortet är

6Bekendtgørelse af lov om pas til danske statsborgere m.v. och Bekendtgørelse om pas m.v.

7Lov om udstedelse af legitimationskort och Bekendtgørelse om udstedelse af legitimations- kort.

162

8Begränsning av antalet fysiska identitetshandlingar

8.1Vårt uppdrag

Vilka handlingar som generellt ska accepteras som identitetshand- lingar regleras inte i författning. Det förekommer dock att det i myn- dighetsföreskrifter anges vilka identitetshandlingar som godtas för att identiteten ska anses styrkt inom några få specifika områden. I övrigt gäller som utgångspunkt att det är den som identitetshand- lingen visas för, som avgör om den kan godtas som bevis för någons identitet. Inom vissa branscher finns emellertid en gemensam stan- dard för vilka handlingar som godtas.

Det finns som tidigare framgått fem allmänt accepterade svenska fysiska identitetshandlingar. Det rör sig om pass, nationellt identitets- kort, identitetskort för folkbokförda i Sverige, körkort och SIS-märkt id-kort. Handlingarna förekommer i både äldre och nyare versioner vilket innebär att det totalt är cirka 13 olika versioner som nu är gäll- ande. Utöver dessa identitetshandlingar finns det en mängd hand- lingar av skiftande kvalitet som i vissa sammanhang anses tillräckliga som bevis för någons identitet, såsom LMA-kort, medlemskort, kund- kort, passerkort och tjänstekort.

Att det finns så många olika typer av identitetshandlingar, som dessutom förekommer i olika versioner, medför att det är svårt för den för vilken handlingen visas upp att kontrollera om den är äkta eller falsk. Eftersom det är många personer i samhället som i olika situationer ska kontrollera identiteter ökar risken för att oriktiga iden- titetshandlingar inte upptäcks. I våra direktiv anges att en ordning med färre giltiga identitetshandlingar skulle förbättra möjligheterna att kontrollera en handlings äkthet och giltighet. Vi ska därför före- slå hur antalet identitetshandlingar ska begränsas och särskilt över-

165

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

väga om det bör regleras i författning vilka handlingar som ska ut- göra giltiga fysiska identitetshandlingar och vilka krav som ska ställas på en giltig identitetshandling. Vi ska också lämna nödvändiga författningsförslag.

8.2Föreskrifter om vilka identitetshandlingar som godtas

Myndighetsföreskrifter om vilka identitetshandlingar som godtas för att styrka identiteten förekommer framför allt när det gäller an- sökan om de identitetshandlingar som utfärdas av staten. Rikspolis- styrelsen och Skatteverket föreskriver vilka identitetshandlingar som godtas när identiteten ska styrkas i samband med ansökan om pass och nationellt identitetskort respektive identitetskort för folkbok- förda i Sverige.1 För de utlandsmyndigheter som utfärdar pass och nationella identitetskort gäller föreskrifter som meddelats av Reger- ingskansliet.2 Föreskrifterna avseende utlandsmyndigheterna har, när det gäller vilka handlingar som godtas för att styrka identiteten, samma lydelse som Rikspolisstyrelsens föreskrifter.

Transportstyrelsen har meddelat föreskrifter om vilka handlingar som accepteras i samband med förarprov och utlämnande av kör- kort.3 Även för identifiering i samband med ansökan om utfärdande av körkort på elektronisk väg (dvs. utfärdande av körkort med anled- ning av förarprov, utbyte eller ersättande av utländskt körkort samt i de fall sökanden vid förnyelse eller utfärdande av körkort utan krav på förarprov väljer att göra ansökan hos Trafikverket) utfärdar Trans- portstyrelsen föreskrifter.4

14 kap. 2 § Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hante- ring av pass och nationellt identitetskort (RPSFS 2009:14) och 4 § Skatteverkets föreskrifter om identitetskort (SKVFS 2009:14).

215 § Regeringskansliets föreskrifter om handläggningen av ärenden om pass, Europeiska uni- onens provisoriska resehandling och nationellt identitetskort (UF 2009:9).

32 kap. 1 och 2 §§ Transportstyrelsens föreskrifter och allmänna råd om förarprov, gemen- samma bestämmelser (TSFS 2012:41), 5 § Transportstyrelsens föreskrifter om utlämnande av körkort (TSFS 2017:120) samt 6 och 7 §§ Transportstyrelsens föreskrifter om utlämnande av körkort vid utlandsmyndighet (TSFS 2017:22).

43 § Transportstyrelsens föreskrifter om ansökan om körkort på elektronisk väg

(TSFS 2013:114).

166

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Det finns även föreskrifter om vilka handlingar som godtas vid de identitetskontroller som görs av bl.a. banker som en åtgärd mot penningtvätt och finansiering av terrorism. I lagen (2017:630) om åt- gärder mot penningtvätt och finansiering av terrorism uppställs krav på i vilka situationer banker, fastighetsmäklare, spelbolag, handlare och vissa andra aktörer måste ha kundkännedom och kontrollera kundens identitet. I Finansinspektionens föreskrifter, som bl.a. gäller för bank- erna, anges vilka identitetshandlingar som godtas.5 Länsstyrelserna och Fastighetsmäklarinspektionen har meddelat liknande föreskrifter för de verksamheter som står under dessa myndigheters tillsyn.6

I tabellen nedan görs en förenklad redovisning av vilka identitets- handlingar som accepteras i olika situationer enligt de föreskrifter som finns.

Tabell 8.1 Godtagbara identitetshandlingar enligt gällande föreskrifter

	Ansökan om	Ansökan om	Förarprov/	Utlämnande av	Åtgärder mot
	pass och	id-kort för	ansökan om	körkort	penningtvätt
	nationellt	folkbokförda	körkort
	id-kort
Pass	X	X	X	X	X
Nationellt id-kort	X	X	X	X	X

Id-kort för	X	X	X	X	X
folkbokförda
Körkort	X	X	X	X	X
SIS-kort	X	X	X	X	X
Statligt tjänstekort	X	X

EU-pass		X	X	X	X
Pass från		X	X	X	X
EES/Schweiz
Pass från övriga				X	X
länder utanför EU
Nat. id-kort från				X	X
Schengenländer
Övriga utländska					X
id-handlingar

53 kap. 2 § Finansinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism (FFFS 2017:11).

6Se t.ex. Länsstyrelsen i Skåne läns föreskrifter och allmänna råd om åtgärder mot penning- tvätt och finansiering av terrorism (12FS 2017:22) och Fastighetsmäklarinspektionens före- skrifter och allmänna råd om åtgärder mot penningtvätt och finansiering av terrorism (KAMFS 2016:1).

167

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

I föreskrifterna anges alternativa sätt att styrka identiteten i de fall personen inte har någon godtagbar identitetshandling. Det kan röra sig om skriftliga intyg från närstående, arbetsgivare eller myndig- hetstjänstemän som i sin tur ska identifiera sig genom en godtagbar identitetshandling. I flera fall finns också möjlighet att göra en be- dömning på grundval av andra handlingar eller uppgifter som sökan- den åberopar.

Utöver de ovan uppräknade myndighetsföreskrifterna finns det även författningar om skyldigheten att styrka sin identitet i andra situationer utan att det regleras på vilket sätt det ska ske eller vilka handlingar som godtas. Som exempel kan nämnas 7 § lagen (1999:271) om handel med begagnade varor som anger att en handlare inte får ta emot begagnade varor av den som inte på ett tillförlitligt sätt styr- ker sin identitet eller är känd. Till den bestämmelsen finns inte några föreskrifter om på vilket sätt identiteten ska styrkas. Däremot har Rikspolisstyrelsen i ett allmänt råd angett att en identitet i denna situation kan styrkas genom att pass, körkort eller annan godkänd identitetshandling företes.7 Krav på att identiteten ska styrkas finns också i t.ex. pantbankslagen (1995:1000), lagen (2001:82) om svenskt medborgarskap och vallagen (2005:837).

8.3Branschstandard om vilka identitetshandlingar som godtas

I andra situationer än de som omfattas av de ovan redovisade före- skrifterna gäller alltså att det är den som identitetshandlingen visas upp för som själv avgör om handlingen kan godtas som bevis för någons identitet. I handboken De 7 stegen, som ges ut av Kronan Säker- het AB på uppdrag av Svenska Bankföreningen, listas de 13 svenska identitetshandlingar som bankerna godtar som bevis för någons iden- titet. Det är fråga om äldre och nyare versioner av svenska pass (en version), nationellt identitetskort (en version), identitetskort för folkbokförda i Sverige (tre versioner), svenskt körkort (fem versio- ner) och SIS-märkta identitetskort (tre versioner). Giltighetstiden för några av handlingarna har dock gått ut varför antalet godkända handlingar i realiteten är något lägre. Handboken fungerar som en

7Allmänna råd till 6 § Rikspolisstyrelsens föreskrifter och allmänna råd om handel med begagnade varor (RPSFS 2009:3).

168

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

branschstandard för vilka identitetshandlingar som godtas och hur en identitetskontroll ska gå till och används förutom av bankerna också av posten och handeln. Den innehåller endast information om svenska identitetshandlingar men även utländska identitetshandlingar godtas i vissa fall.

Vid utlämning av paket, rekommenderat brev eller postförskott kan identiteten styrkas med något fler handlingar är de som anges i De 7 stegen. Av information på Postnords hemsida framgår att bl.a. vissa utländska handlingar och LMA-kort utfärdat av Migrationsver- ket godkänns. LMA-kort kan dock endast användas vid uthämtande av försändelser från Migrationsverket och utrikes paket där avsända- ren är en privatperson. Postnord har nyligen även lanserat möjlig- heten att identifiera sig genom mobilt BankID i en app i mobiltele- fonen.8

8.4Närmare om problemet med att så många identitetshandlingar accepteras

8.4.1Antalet identitetshandlingar försvårar kontroll och underlättar förfalskning

I dag finns det cirka 13 olika identitetshandlingar som är allmänt accepterade. Den stora mängden identitetshandlingar försvårar iden- titetskontroll och minskar möjligheten att upptäcka missbruket av identitetshandlingar. Problemet har lyfts i olika rapporter och skri- velser. Det tas upp i såväl Brås rapport9 som i betänkandet av Utred- ningen om organiserad och systematisk ekonomisk brottslighet mot välfärden10. I en skrivelse från Svenska Bankföreningen till reger- ingen nämns även ett minskat antal godtagbara identitetshandlingar som exempel på åtgärd när det gäller att minska antalet identitets- stölder.11

Det förhållandet att det finns många olika typer av identitets- handlingar som utfärdas av flera olika aktörer leder till att handling-

8www.postnord.se/ta-emot/hamta-brev-och-paket/legitimering/godkanda-legitimationer och www.postnord.se/vara-losningar/artiklar/e-handel/hamta-paket-med-hjalp-av-mobilt- bankid. Hämtad 2019-01-25.

9Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 165 f.

10SOU 2017:37 s. 295 ff.

11Dnr Ju2015/05176/L4.

169

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

arna ser olika ut. Det är många personer i samhället som i olika situa- tioner ska hantera och kontrollera identiteter, t.ex. personal vid folkbokföringsverksamheten, posten, banken och handeln. Den som gör en identitetskontroll måste ha kunskap om de olika säkerhets- detaljerna som finns på varje version av de olika typerna av identi- tetshandlingar. Det krävs också kunskap om hur giltighetskontroll för de olika handlingarna ska göras. Ju fler handlingar som den som utför kontrollen måste hålla reda på desto svårare blir det att bedöma om handlingarna är äkta. Därmed ökar också risken att oriktiga iden- titetshandlingar inte upptäcks. Beroende på hur ofta en kortutfärd- are byter version och hur lång giltighetstid identitetshandlingen har kan samma typ av handling förekomma i flera olika versioner vilket ytterligare förstärker svårigheterna.

Flera av de aktörer vi har haft kontakt med under utredningen har bekräftat denna bild. Såväl Nationellt bedrägericenter (NBC) som Nationellt forensiskt centrum (NFC) vid Polismyndigheten är av uppfattningen att antalet godkända identitetshandlingar bör min- skas. Med färre antal godkända identitetshandlingar behöver den som kontrollerar inte ha kunskap om lika många handlingar vilket underlättar den fysiska kontrollen av identitetshandlingen och dess säkerhetsdetaljer. Om färre identitetshandlingar godtas förenklar det också kontrollen av om handlingen är giltig eftersom den som tar emot handlingen har färre utfärdare att vända sig till för att göra kon- trollen. Att minska antalet fysiska identitetshandlingar som accep- teras har också, enligt uppgift från Finansiell ID-Teknik BID AB, betydelse för säkerheten vid utfärdande av e-legitimationer eftersom det alltid är en fysisk identitetshandling som ligger till grund för utfärd- andet. Färre godkända fysiska identitetshandlingar medför således också mindre risk för bedrägerier genom användande av e-legitima- tion. Även företrädare för PostNord har vid kontakt med utred- ningen uppgett att de välkomnar en begränsning av antalet identi- tetshandlingar.

Det har också påtalats att identitetshandlingarna och processen för hur de utfärdas håller olika kvalitet vilket innebär att vissa iden- titetshandlingar är lättare att förfalska än andra. NFC har upplyst om att det förekommer förfalskningar som är mycket bra gjorda och som därför är svåra att upptäcka vid en identitetskontroll. Det är framför allt en version av de SIS-märkta id-korten och en av de äldre versionerna av körkorten som enligt NFC:s erfarenhet har varit

170

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

föremål för förfalskning. Av de totalt 1 090 svenska identitetshand- lingar som undersökts av NFC mellan 2012 och 2017 har nästan 80 procent bedömts vara falska. Av de falska handlingarna var

58procent SIS-märkta id-kort och 37 procent körkort. 3 procent av de förfalskade handlingarna var identitetskort för folkbokförda i Sverige. Nationella identitetskort och pass utgjorde knappt 1 pro- cent vardera. Det är mycket ovanligt att svenska pass förfalskas. NBC har upplyst om att det är få av de falska identitetshandlingar som använts vid bedrägeribrott som hamnar hos NFC för analys. Det finns alltså handlingar som undersöks av polisen som NFC inte har kännedom om. Antalet identitetshandlingar som har undersökts av NFC ger därför inte en rättvisande bild av hur utbredd använd- ningen av falska handlingar är. Enligt vår uppfattning ger uppgifterna dock en bild av vilka handlingar som ofta är föremål för förfalskning.

8.4.2Särskilt om problemet med att körkort accepteras som identitetshandling

Det svenska körkortet är i första hand en behörighetshandling men fungerar av tradition även som en identitetshandling. Att körkortet av hävd accepteras som en identitetshandling konstaterades av Kör- kortsutredningen redan år 1970.12 Den omständigheten att körkor- tet, vid sidan av sin egentliga funktion som behörighetshandling, redan på 1970-talet i stor utsträckning användes som identitetshand- ling var en av de viktigaste anledningarna till att körkortet då be- dömdes ha behov av ett effektivt förfalskningsskydd. Körkortsut- redningen menade att det vore principiellt mest riktigt att körkortet endast användes som behörighetsbevis och att identifiering skedde genom en särskild identitetshandling. Eftersom det inte fanns någon allmän identitetshandling bedömde dock utredningen att den enda lösningen var att körkortet utformades för att även kunna gälla som identitetshandling. Körkortet skulle därför ha en teknisk utformning som motverkade förfalskning. Körkortets status som identitetshand- ling har därefter upprätthållits genom att körkortet har följt med i utvecklingen avseende säkerhet för identitetshandlingar.

12SOU 1970:26 s. 28 f.

171

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

På senare tid har det dock framförts kritik mot att det svenska körkortet accepteras som en identitetshandling. Problemen tas upp både i Brås rapport13 och av Utredningen om organiserad och syste- matisk ekonomisk brottslighet mot välfärden14 och har bekräftats vid våra kontakter med bl.a. NFC och NBC. Kritiken har huvudsak- ligen sin grund i körkortets långa giltighetstid och den omständig- heten att det inte krävs personlig inställelse i samband med förny- else.

Körkortet är, bortsett från när det gäller de högre behörigheterna, giltigt i tio år och har alltså dubbelt så lång giltighetstid som pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige. Vid kontakt med NFC har framkommit att den långa giltig- hetstiden påverkar körkortets lämplighet som identitetshandling av flera skäl. Det utvecklas hela tiden nya säkerhetsdetaljer som nyare handlingar kan förses med men som saknas på de äldre körkorten. Dessutom innebär den omständigheten att en körkortsversion finns på marknaden under tio år att förfalskarna har lång tid på sig att för- söka förfalska handlingen. När förfalskarna väl lärt sig hur en viss version av körkortet kan förfalskas kan den versionen ha en fortsatt lång giltighetstid vilket medför att förfalskningen kan användas under lång tid. En lång giltighetstid innebär alltså ett större problem när det gäller förfalskningar. Som angetts ovan står körkorten för över en tredjedel av de förfalskade svenska identitetshandlingar som undersökts av NFC. Den långa giltighetstiden medför också att det förekommer flera versioner av körkortet som är giltiga samtidigt vilket försvårar identitetskontrollen.

Körkortets giltighetstid styrs av reglerna i det tredje körkorts- direktivet. Enligt direktivet ska den administrativa giltighetstiden för körkort avseende de lägre behörigheterna vara tio år. Endast kör- kort för vissa högre behörigheter får ha en giltighetstid på fem år. Direktivet tillåter att giltighetstiden för körkort med de lägre behö- righeterna utökas i upp till fem år. Direktivet ger också medlems- staterna vissa möjligheter att begränsa giltighetstiden men endast i speciella situationer. Begränsning får bl.a. ske i syfte att tillämpa sär- skilda trafiksäkerhetshöjande åtgärder. Det är till följd av EU-regler- ingen inte möjligt att, i andra fall än de särskilda situationer som

13Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 166.

14SOU 2017:37 s. 298 f.

172

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

tillåts enligt direktivet, utfärda körkort med en giltighetstid under- stigande tio år för de lägre behörigheterna.

En annan omständighet som påverkar körkortets lämplighet som identitetshandling är att även körkortets fysiska utformning styrs av EU-regler. Regleringen innehåller bl.a. krav på vilken modell kör- kortet ska ha, vilka åtgärder som ska vidtas mot förfalskning och vil- ken information som ska finnas på körkortet. Eftersom körkortet måste uppfylla de EU-rättsliga kraven på format och vilka uppgifter som ska finnas på kortet är utrymmet för ytterligare säkerhetsdetal- jer begränsat. Detta är delvis skälet till att inte heller nyare körkort innehåller samtliga säkerhetsdetaljer som finns på övriga identitets- handlingar. Körkorten saknar i dag en s.k. perforerad bild, något som enligt uppgift från NFC är en mycket bra säkerhetsdetalj. Säkerhets- detaljen finns på pass, nationella identitetskort och identitetskort för folkbokförda i Sverige.

Ett annat problem som nämnts av NFC och i Brås rapport är att utländska körkort under vissa förutsättningar kan bytas in mot ett svenskt körkort, se avsnitt 4.5. Rätten att begära utbyte följer också av tvingande EU-reglering. Internationellt sett är det inte lika vanligt att körkort kan användas som identitetshandling. Ett utländskt kör- kort är ofta därför inte utfärdat i syfte att gälla som identitetshand- ling. Transportstyrelsen ställer samma krav på att identiteten ska fastställas i samband med utbyte som vid ansökan om körkort efter förarprov. I länder där körkortet endast är en handling som utvisar förarbehörighet är däremot den ursprungliga identitetskontrollen inte alltid av samma tyngd som vid utfärdande av en identitetshand- ling. Det är därför inte säkert att det andra landet har gjort en tillräck- lig identitetskontroll i samband med utfärdandet.15 Om ett utländskt körkort byts in mot ett svenskt körkort erhåller dock sökanden ett körkort som även kan användas som en identitetshandling.

Utredningen om organiserad och systematisk ekonomisk brotts- lighet mot välfärden har även nämnt de nya rutinerna för utlämnande av körkort som ett problem. Tidigare gällde enligt ett avtal mellan Posten och Transportstyrelsen att Posten vanligen utförde en s.k. utökad identitetskontroll vid utlämning av körkort. Det innebar att personen som hämtade ut körkortet visade upp en identitetshand- ling och att särskilt utbildad personal vid Posten öppnade försändel-

15Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 166.

173

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

sen i närvaro av personen. Posten kontrollerade därefter att perso- nen och fotot på körkortet var välliknande samt att namnteckning- arna på körkortshandlingen och kvittensen stämde överens. Den utökade identitetskontrollen gjordes i cirka två tredjedelar av fallen. I övriga fall lämnades körkorten ut som rekommenderat brev efter vanlig kontroll av identiteten genom uppvisande av en identitets- handling. Det gällde de fall då körkortshavaren hade fotograferats digitalt på något av Trafikverkets förarprovskontor och i samband med det varit föremål för en identitetskontroll, dvs. i huvudsak i samband med att körkortet utfärdats efter godkänt förarprov. Kör- kort kunde hämtas ut vid något av Postens cirka 300 företagscenter. I samband med en omorganisation vid Posten upphörde möjligheten att hämta ut körkort vid företagscentren. Sedan 2014 lämnas körkort i stället ut av något av de cirka 1 500 postombuden. Körkort lämnas numera alltid ut som vanligt rekommenderat brev. De nya rutinerna innebär att kuvertet med det nya körkortet inte längre öppnas och att det inte görs någon jämförelse mellan fotografiet på det nya kör- kortet och den person som hämtar ut det. I samband med den nya rutinen för utlämnande utökade Transportstyrelsen kraven på obli- gatorisk identifiering och fotografering vid Trafikverkets förarprovs- kontor till att omfatta även utbyte och ersättande av ett utländskt körkort.16

Personlig inställelse för fotografering och identifiering är däre- mot inte ett krav vid förnyelse av körkort. När ett körkort ska för- nyas skickar Transportstyrelsen en särskild ansökningsblankett som kallas för grundhandling till körkortshavaren, se avsnitt 4.5. En grund- handling skickas exempelvis ut om ett körkort har förlustanmälts. Det finns ingen begränsning av hur många förlustanmälningar som kan göras för en och samma person. Grundhandlingen skickas till den adress där körkortshavaren är folkbokförd. Ansökan ska vara egenhändigt undertecknad och åtföljas av ett välliknande fotografi av körkortshavaren. Genom att den som skickar in ansökan själv tillåts ta det fotografi som ska bifogas finns det en risk att personen på fotot är en annan än körkortshavaren. Transportstyrelsen gör visserligen en manuell jämförelse av det gamla och det nya fotot, men det finns dock en risk att ett foto på en person som liknar kör- kortshavaren ändå kommer att godtas vid kontrollen.

16Prop. 2013/14:64 s. 5 f., SOU 2017:37 s. 298 och Transportstyrelsens föreskrifter om ansö- kan om körkort på elektronisk väg (TSFS 2013:114).

174

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Ytterligare ett problemområde som påtalats under utredningen är körkort som utfärdas för personer med samordningsnummer, dvs. personer som inte är eller har varit folkbokförda i Sverige. Anled- ningen är att den kontroll av en persons identitet som föregår till- delningen av samordningsnumret inte alltid görs lika grundligt.

8.5Antalet fysiska identitetshandlingar ska begränsas

Utredningens bedömning: Endast pass och statliga identitets- kort, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, bör godtas som fysiska identitetshandlingar i situationer som kräver en säker identifiering.

8.5.1Pass och statligt utfärdade identitetskort

Som vi konstaterat i avsnitt 8.4, är pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige de handlingar som har högst dokumentsäkerhet av de fem identitetshandlingar som i dag är all- mänt accepterade som identitetshandlingar i Sverige. Det är också dessa handlingar som har varit föremål för minst antal förfalskningar.

För att pass och de statligt utfärdade id-korten ska utfärdas krävs att den sökande personligen inställer sig vid såväl ansökan som ut- lämnande och att fotografi tas på plats av utfärdaren. Genom att så- dana krav uppställs kan en kontroll av sökandens identitet göras av utfärdarens personal och det kan säkerställas att fotografiet före- ställer sökanden. Detta är omständigheter som höjer kvaliteten och säkerheten i utfärdandeprocessen.

Giltighetstiden för pass, nationellt identitetskort och identitets- kort för folkbokförda i Sverige är begränsad till fem år vilket innebär att innehavarens utseende inte hinner förändras i så stor utsträck- ning. Den femåriga giltighetstiden medför också att risken för att det samtidigt finns flera olika versioner av samma identitetshandling tillgängliga på marknaden minskar. Den korta giltighetstiden gör också att det finns goda förutsättningar för att handlingarna ska kunna innehålla de senaste säkerhetsdetaljerna vilket motverkar förfalsk- ningar.

175

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

Även om pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige bedöms hålla hög säkerhet har dock andra mindre säkra identitetshandlingar del i utfärdandeprocessen och minskar därigenom säkerheten i utfärdandet. Anledningen är att de mindre säkra identitetshandlingarna accepteras när sökanden ska styrka sin identitet i samband med ansökan. Genom att begränsa an- talet identitetshandlingar som accepteras i samband med utfärdande av pass och de statligt utfärdade id-korten förbättras därför säker- heten avseende de handlingarna.

Pass är internationellt sett det dokument som i störst utsträck- ning accepteras som identitetshandling. Passet är i första hand en rese- handling och behövs vid resa in i och ut ur Sverige. Några synpunkter på att passet även accepteras som identitetshandling har inte fram- förts under utredningens gång.

Det nationella identitetskortet har införts i syfte att underlätta resandet inom EU, men fungerar också som ett id-kort. Några syn- punkter på att detta kort accepteras som identitetshandling har inte heller framförts under utredningens gång.

Identitetskort för folkbokförda i Sverige har, även om det också kan utfärdas för svenska medborgare, införts i det huvudsakliga syf- tet att säkerställa att personer som inte är svenska medborgare men som är bosatta i Sverige ska ha möjlighet att få ett id-kort utfärdat. Avsaknad av id-kort innebär att dessa personer inte kan få tillgång till viktiga samhällsfunktioner såsom exempelvis möjligheten att öppna bankkonto, kontakt med sjukvård, apotek och post.

Vi anser mot denna bakgrund att pass, och de statligt utfärdade identitetskorten, dvs. de kort som i dag benämns nationellt iden- titetskort och identitetskort för folkbokförda i Sverige, liksom i dag, bör godtas i alla situationer som kräver säker identifiering. Dessa kort bör alltså även fortsättningsvis godtas när det gäller styrkande av identitet vid ansökan om en av dessa identitetshandlingar. I av- snitt 10.2.1 föreslår vi att regleringen avseende nationellt identitets- kort och identitetskort för folkbokförda i Sverige ska sammanföras och att båda korten ska betecknas statligt identitetskort. Statligt identitetskort ska kunna utfärdas med eller utan funktion som rese- handling. Vi kommer därför fortsättningsvis i betänkandet att med statligt identitetskort avse sistnämnda kort och inga andra kort som utfärdas av staten.

176

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

8.5.2Körkort

Körkortet är den handling som flest personer i dag använder som identitetshandling i Sverige. Körkortet är dock i första hand en be- hörighetshandling. De regelverk som styr körkortet som behörig- hetshandling är därför inte anpassade till dess användning som iden- titetshandling. Som framgått av redogörelsen i avsnitt 8.4.2 är det förknippat med en rad problem att körkortet accepteras som iden- titetshandling. Vid bedömningen av om körkort fortsättningsvis bör godtas som identitetshandling måste dock dessa problem vägas mot den enskildes tillgång till en identitetshandling.

En stor anledning till problemen med körkortet är den långa giltighetstiden. Att körkortet är giltigt i tio år medför både att doku- mentsäkerheten försämras och att identitetskontrollen försvåras. Eftersom körkortets giltighetstid styrs av regleringen i det tredje kör- kortsdirektivet är det i dagsläget inte möjligt att begränsa denna. EU-regleringen gör det också svårare att föra på ytterligare säker- hetshöjande detaljer på körkortet. Även bestämmelserna om utbyte av körkort utfärdade av andra EU-länder styrs av EU-regleringen. Det innebär alltså att det finns hinder mot att föreslå förändringar inom flera av de områden där det finns ett stort behov av att vidta åtgärder för att förbättra körkortets säkerhet.

Utöver de problemområden som har samband med de EU-rätts- liga kraven har vi också funnit en rad andra omständigheter som talar emot att körkortet ska gälla som identitetshandling. Det gäller sättet för utlämnande av körkort, förnyelse av körkort utan personlig in- ställelse och hantering av samordningsnummer. Genom åtgärder så- som att förändra rutinerna för utlämnande, kräva personlig inställ- else vid förnyelse av körkort, begränsa antalet nya körkort som kan utfärdas för samma person efter förlustanmälan och förbättra han- teringen av samordningsnummer skulle man i och för sig kunna komma till rätta med vissa av de problem som framkommit. Detta skulle emellertid kräva omfattande förändringar av både lagstiftning- en och myndigheternas rutiner.

Oavsett om de åtgärder som är möjliga att vidta för att öka säker- heten genomförs kommer körkortet dock inte att kunna bli lika säkert som pass och statliga identitetskort, så länge det inte är möj- ligt att komma till rätta med de problem som hänger samman med

177

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

den långa giltighetstiden. Vi menar därför att de problem som fram- kommit med att godta körkortet som identitetshandling är av sådan tyngd att det på goda grunder kan ifrågasättas om körkortet upp- fyller de krav som bör ställas på identitetshandlingar.

Som anges i kapitel 3 har antalet bedrägeribrott ökat kraftigt under de senaste åren vilket har påverkat stora delar av samhället. Identitetsmissbruk får bl.a. allvarliga konsekvenser för den enskilde som drabbas av en identitetskapning. Förutom det obehag det kan innebära för en enskild att någon annan använder sig av identiteten är det svårt att överblicka de olika åtgärder som behöver vidtas och tidskrävande att utföra dessa. När ett personnummer spärras för kreditupplysning medför det även att den enskilde själv inte kan ge- nomföra kreditköp så länge spärren finns kvar. I det nämnda kapitlet framgår också att en stor andel av befolkningen, en fjärdedel av de tillfrågade i Brås nationella trygghetsundersökning, oroar sig för att bli utsatta för bedrägeri. Att motverka missbruket av identitetshand- lingar genom att begränsa antalet handlingar som godtas är således inte bara till nytta för samhället i stort utan gagnar i allra högsta grad den enskildes säkerhet.

När det gäller de ekonomiska konsekvenserna av den identitets- relaterade brottsligheten är det framför allt det privata näringslivet såsom handeln, bankerna och kreditföretagen som drabbas. Den brottslighet som är riktad mot välfärdssystemen drabbar staten men i förlängningen även allmänheten. Som anges i avsnitt 3.7 finns det inte någon beräkning av de totala ekonomiska konsekvenserna av bedrägeribrott som begås med hjälp av falska eller oriktiga identi- tetshandlingar. Med beaktande av antalet bedrägerier, de belopp som bedragarna har kommit över och det faktum att i vart fall vissa av de olika typerna av bedrägerier ofta görs med hjälp av identitetshand- lingar som är falska eller tillhör någon annan kan det dock antas att det rör sig om mycket stora belopp. En begränsning av antalet god- tagbara identitetshandlingar motverkar bedrägerier och kan således leda till att samhällets kostnader kopplade till sådan brottslighet min- skar.

Det finns således starka skäl som talar för att körkortet inte ska accepteras som identitetshandling i situationer som kräver hög grad av säkerhet.

178

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Det finns dock också omständigheter som talar för att körkortet även fortsättningsvis ska godtas som identitetshandling. Det främsta skälet är att det i dag finns drygt 6,5 miljoner körkortshavare varav merparten sannolikt även använder körkortet för att identifiera sig. Om körkortet inte längre godtas som identitetshandling kan det få till följd att många personer måste skaffa sig en godtagbar identi- tetshandling. Avgiften för de statliga identitetskorten är i dag 400 kro- nor. Eftersom id-korten behöver förnyas vart femte år innebär det en merkostnad om 80 kronor per år och person med dagens avgifts- nivå. Den kostnaden kan enligt vår uppfattning inte väga upp de nackdelar med körkortet som identitetshandling som framkommit.

Förutom den ökade kostnaden innebär de krav som ställs för ut- färdande av statliga identitetskort att den enskilde måste inställa sig personligen vart femte år för att förnya sitt id-kort. Vi menar dock att kravet på personlig inställelse är av central betydelse för säker- heten i utfärdandeprocessen. Att sökanden inställer sig personligen möjliggör för utfärdaren att göra en noggrann kontroll av identiteten och förhindrar att identitetshandlingar utfärdas på felaktiga grunder. Fördelarna med den personliga inställelsen väger enligt vår uppfatt- ning klart över nackdelarna för den enskilde. Det är dessutom möj- ligt för svenska medborgare att ansöka om ett id-kort samtidigt som pass. Drygt 1,5 miljoner personer ansöker om pass varje år. Över en femårsperiod hanterar alltså Polismyndigheten över 7,5 miljoner an- sökningar. Sifforna tyder på att en stor del av befolkningen förnyar sitt pass regelbundet vart femte år. Om ansökan om id-kort görs samtidigt kommer dessa personer alltså inte att behöva inställa sig fler gånger än de gör i dag. För personer som inte kan ta sig till den utfärdande myndigheten på grund av sjukdom, funktionsnedsätt- ning eller hög ålder föreslår vi i avsnitt 10.2.7 en särskild reglering.

Ytterligare en aspekt som bör beaktas är tillgängligheten för den enskilde. Körkort kan i dag hämtas ut på något av Postnords cirka 1 500 utlämningsställen. Fram till år 2014 kunde körkort dock en- dast hämtas ut på cirka 300 platser i landet. Hos Skatteverket kan ansökan om id-kort göras på 27 platser och utlämning ske på ytter- ligare 18 platser. Polismyndigheten har omkring 110 platser där an- sökan om pass och id-kort kan göras och ytterligare cirka 40 utläm- ningsställen. Tillgängligheten för den enskilde blir alltså försämrad om körkortet inte kan användas som id-kort. Det finns dock som

179

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

anges ovan skäl att ifrågasätta om dagens utlämningsrutiner för kör- kort är tillräckligt säkra. Även den omständigheten att antalet utläm- ningsställen har utökats från cirka 300 till cirka 1 500 kan i sig antas ha medfört en mer osäker utlämnandeprocess. Personlig inställelse vid en myndighet som gör en kontroll i samband med att identitets- handlingen lämnas ut utgör enligt vår mening en viktig åtgärd för att säkerställa att handlingen lämnas ut till rätt person. Fördelarna med denna ordning väger därför enligt vår uppfattning klart över nack- delarna för den enskilde. Vi föreslår dessutom i avsnitt 10.2.7 att for- merna för utlämnande ska ses över i syfte att öka tillgängligheten med bibehållen säkerhet.

I detta sammanhang kan nämnas att det inte kan uteslutas att det i framtiden inte längre kommer att krävas ett fysiskt körkort för att visa behörigheten att köra bil. Vissa länder inom EU arbetar för att ta fram ett digitalt körkort som kan finnas i en mobiltelefon. De digitala körkorten kommer sannolikt under ett antal år att utgöra ett komplement till de fysiska korten eftersom bl.a. EU-regleringen ställer krav på körkortets utformning, men på sikt är avsikten att det fysiska körkortet inte ska behövas. Enligt gällande regelverk kan dock inte digitala körkort användas i internationell vägtrafik. Fin- land, som är det land som kommit längst, har nyligen infört ett mobilt körkort. Det möjliggör för förare att visa sin rätt att köra bil även digitalt. Det mobila körkortet kan laddas ner i mobila enheter som en frivillig och avgiftsfri tilläggstjänst som kompletterar det tra- ditionella körkortet.17 Även i Sverige pågår vid Transportstyrelsen en förstudie som syftar till att undersöka möjligheten att införa en digital lösning som ska kunna erbjudas som ett komplement till det fysiska körkortet inom Sverige. Dessutom pågår ett internationellt standardiseringsarbete avseende hur ett mobilt körkort ska se ut och fungera för att kunna användas globalt.

Ett annat alternativ som undersöks är att helt avskaffa både fysiska och digitala körkort. För att avgöra om någon har behörighet att köra eller inte kan polisen göra en kontroll direkt mot körkorts- registret. Bilföraren skulle då enbart behöva identifiera sig med en giltig identitetshandling.18 Om sådana lösningar kommer till stånd kommer konsekvenserna för den enskilde av att körkortet inte längre

17valtioneuvosto.fi/sv/artikeln/-/asset_publisher/mobiiliajokortti-perinteisen-ajokortin- rinnal-2. Hämtad 2019-01-25.

18Slingrig väg till digitalt körkort, Dagens nyheter 2018-10-06.

180

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

godtas som identitetshandling att blir mindre eftersom denne då inte behöver ha med sig två fysiska kort. Att inte behöva bära med sig två handlingar innebär även fördelar ur ett säkerhetsperspektiv.

Redan år 1970 gjorde Körkortsutredningen den bedömningen att det principiellt mest riktiga var att körkortet endast skulle betraktas som ett behörighetsbevis och att identifiering skulle göras med en särskild identitetshandling. Eftersom det vid den tiden inte fanns någon allmän identitetshandling fanns det dock inte något annat alter- nativ än att utforma körkortet på ett sätt som gjorde att det även kunde godtas som identitetshandling.19 I dag är situationen en annan. Det finns redan id-kort som utfärdas av statliga myndigheter och med våra förslag kommer det framöver att finnas endast ett statligt identitetskort som utfärdas efter en mycket säker process och som är tillgängligt för både svenska medborgare och personer som är folkbokförda i landet. De skäl som låg bakom ställningstagandet att körkortets status som identitetshandling skulle upprätthållas är där- för inte längre aktuella.

Mot bakgrund av vad som framkommit gör vi bedömningen att körkort inte längre bör betraktas som en identitetshandling. Enligt vår bedömning uppfyller det inte de krav som vi menar bör ställas på identitetshandlingar. Körkortet bör därför endast betraktas som en handling som utvisar behörigheten att köra ett körkortspliktigt for- don och inte godtas som identitetshandling. De nackdelar det kan innebära för den enskilde uppväger enligt vår mening inte de omfatt- ande fördelar en sådan ordning medför.

8.5.3SIS-märkt id-kort

Användningen av de SIS-märkta id-korten är inte lika utbredd som användningen av de andra identitetshandlingar som accepteras i dag.

Isammanhanget kan nämnas att SIS-märkta id-kort enligt uppgift från Skatteverket användes för identifiering vid cirka 1 800 av de cirka 162 000 ansökningar om id-kort som gjordes under 2017, vil- ket motsvarar 1 procent. Motsvarande siffra för intygsgivarna är 600 av 15 000 personer eller 4 procent. Användningen av de SIS-märkta id-korten har minskat de senaste åren. Ett par av de större bankerna har dessutom nyligen upphört med att utfärda SIS-märkta id-kort.

19SOU 1970:26 s. 29.

181

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

Invändningarna mot de SIS-märkta id-korten är inte lika omfatt- ande som beträffande körkorten. En förklaring kan vara att korten inte används lika ofta. Ju färre identitetshandlingar som accepteras desto lättare blir det dock att göra en korrekt identitetskontroll. De ovan beskrivna konsekvenserna av att så många identitetshandlingar godtas utgör därför skäl för att inte heller acceptera de SIS-märkta id-korten.

Av uppgifterna från NFC har dessutom framkommit att det före- kommer en hel del förfalskningar även beträffande de SIS-märkta id-korten. Över hälften av de förfalskade identitetshandlingar som har undersökts av NFC har utgjorts av SIS-märkta id-kort. Det är en hög andel, särskilt mot bakgrund av att användningen av dessa kort inte är så utbredd.

Ytterligare en anledning att inte acceptera de SIS-märkta id-kor- ten är att goda skäl talar för att identitetshandlingar som ska godtas

ialla sammanhang bör utfärdas av staten. De SIS-märkta id-korten utfärdas av privata aktörer och staten har begränsade möjligheter att påverka processen.

Det har inte heller framkommit att det finns något behov av dessa kort för landets invånare som inte tillgodoses genom möjligheten att få ett statligt identitetskort utfärdat. De tydligt påvisbara vinster som en begränsning av antalet identitetshandlingar innebär för bekämp- ningen av de identitetsrelaterade bedrägerierna talar enligt vår upp- fattning starkt för att de SIS-märkta id-korten inte bör godtas som identitetshandlingar i situationer som kräver en säker identifiering.

De konsekvenser det kan komma att få för den enskilde att SIS- märkta id-kort inte accepteras i alla situationer är inte lika stora som när det gäller körkort eftersom användningen av dessa kort inte är lika spridd. Det rör sig dessutom endast om konsekvenser under en övergångsperiod eftersom den enskilde kan ersätta ett SIS-märkt id- kort med ett annat id-kort, till skillnad från vad som gäller beträff- ande körkortet. Kostnaden för att införskaffa ett statligt identitets- kort är ungefär densamma som för de SIS-märkta id-korten. Det förekommer dock att banker erbjuder exempelvis yngre personer SIS-märkta id-kort utan kostnad. För dessa personer rör det sig alltså om en extra kostnad att skaffa ett annat id-kort. På samma sätt som för de statligt utfärdade id-korten krävs personlig inställelse vart femte år för att förnya det SIS-märkta id-kortet. Konsekven- serna för den enskilde bedöms därmed i de flesta fall vara marginella.

182

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Att SIS-märkta id-kort inte godtas bedöms, liksom när det gäller körkorten, vara en viktig åtgärd för att motverka den ökande identi- tetsrelaterade bedrägeribrottsligheten. Fördelarna med en sådan be- gränsning överstiger de få nackdelar det innebär för den enskilde. Vi är därför av uppfattningen att SIS-märkta id-kort inte längre bör vara godtagbara som identitetshandlingar i situationer där det finns be- hov av en säker identifiering.

8.5.4Tillgång till identitetshandlingar för personer som vistas i Sverige utan att vara folkbokförda

Som vi ovan har konstaterat kommer svenska medborgare och per- soner som är folkbokförda i Sverige som i dag använder körkort eller SIS-märkt id-kort att kunna ansöka om ett statligt identitetskort. Körkort och SIS-märkta id-kort kan emellertid utfärdas även till personer som vistas i Sverige men inte är folkbokförda här. Det kan vara fråga om asylsökande eller personer som vistas i Sverige för att arbeta här under en kortare period.

För körkort krävs enligt 3 kap. 1 § körkortslagen permanent bo- sättning eller studier i Sverige sedan minst sex månader. Med perma- nent bosättning avses enligt 1 kap. 3 § körkortslagen som huvud- regel bosättning under minst 185 dagar varje kalenderår till följd av personlig och yrkesmässig anknytning. Körkort utfärdas med sam- ordningsnummer i stället för personnummer för personer som inte är folkbokförda.

För att få ett SIS-märkt id-kort krävs enligt SBC 151-U att per- sonen stadigvarande vistas i Sverige. Vad som avses med stadigvarande vistelse anges inte i standarden. Som en jämförelse kan nämnas att motsvarande begrepp i 3 kap. 3 § inkomstskattelagen (1999:1229) enligt praxis i princip har ansetts innebära en sammanhängande tids- period på minst sex månader utan annat än tillfälliga avbrott.20 Om en person inte är folkbokförd kan ett SIS-märkt id-kort utfärdas an- tingen med samordningsnummer eller födelsetid.

Av uppgifter från Transportstyrelsen framgår att det under år 2017 utfärdades 34 körkort i samband med förarprov för behörighet B där körkortshavaren hade samordningsnummer. Det kan också finnas körkort som utfärdats med samordningsnummer efter att ett utländskt

20Prop. 2004/05:19 s. 30.

183

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

körkort bytts ut. Det är enligt vår uppfattning svårt att veta om några av dessa personer har ansökt om körkort enbart i syfte att skaffa en identitetshandling. Det får antas att de flesta av de personer det är fråga om tar körkort eller byter ut sitt utländska körkort för att de har behov av ett bevis för sin förarbehörighet.

För att bli folkbokförd, och därmed få möjlighet att ansöka om ett statligt identitetskort krävs enligt 3 § folkbokföringslagen att en person är bosatt i Sverige. Med det avses att personen kan antas kom- ma att regelmässigt tillbringa sin dygnsvila i landet under minst ett år. När det exempelvis gäller personer som vistas i landet för att arbeta under en kortare tid och som inte har för avsikt att vistas i landet under minst ett år skulle dessa, under förutsättning att de upp- fyller kravet på permanent bosättning eller stadigvarande vistelse, kunna få ett körkort eller ett SIS-märkt id-kort utfärdat men inte ett statligt identitetskort. Personerna måste dock även uppfylla övriga krav som ställs för att dessa handlingar ska utfärdas. Sannolikt rör det sig därför inte om särskilt många personer vilket också siffrorna från Transportstyrelsen indikerar.

Id-kortsutredningen konstaterade i sitt betänkande att statens ansvar för att tillhandahålla en allmänt accepterad identitetshandling borde omfatta personer som är folkbokförda i Sverige. För att en utländsk medborgare ska bli folkbokförd i Sverige måste denne nor- malt antingen ha uppehållsrätt eller uppehållstillstånd. Utredningen menade att statens ansvar däremot inte borde omfatta en asylsökan- de eftersom det, så länge något uppehållstillstånd inte beviljats, inte med någon säkerhet går att säga om denne i framtiden kommer att ingå i det svenska samhället. Dessutom konstaterades att Migrations- verkets identitetsutredning pågår så länge personen är asylsökande. Utredningen var av uppfattningen att LMA-kortet i det skedet utgör en adekvat handling som får anses vara tillräcklig. Id-kortsutred- ningen ansåg inte heller att statens ansvar skulle omfatta personer som har samordningsnummer och som bor och arbetar i Sverige, exempelvis personer som arbetar i landet under kortare tid än ett år samt diplomater m.fl., jämför 5 § folkbokföringsförordningen (1991:749).21

21SOU 2007:100 s. 78 ff.

184

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Vi delar Id-kortsutredningens uppfattning att, förutom svenska medborgare, endast personer som har en sådan anknytning till Sverige att de är folkbokförda, bör kunna erhålla en statlig fysisk identitets- handling. När det gäller personer som bor och arbetar här i landet under kortare tid är det rimligt att anta att de har tillräckligt goda möjligheter att identifiera sig när det behövs och för asylsökande finns LMA-kortet. De eventuella konsekvenser det kan få för dessa personer att körkort och SIS-märkt id-kort inte längre godtas som identitetshandlingar i alla sammanhang utgör därför enligt vår me- ning inte skäl mot att införa en sådan ordning.

8.5.5Sammanfattande bedömning

Mot bakgrund av vad vi redogjort för ovan gör vi den bedömningen att pass och statligt identitetskort, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, uppfyller de krav som bör ställas på identitetshandlingar. Dessa hand- lingar täcker också enligt vår bedömning de behov av identitetshand- lingar som finns hos landets medborgare och invånare. Vi menar där- för att endast pass och statligt identitetskort (de statliga fysiska identitetshandlingarna) bör godtas som fysiska identitetshandlingar i situationer som kräver säkerhet vid identifieringen.

8.6På vilket sätt ska begränsningen av antalet fysiska identitetshandlingar göras?

Utredningens förslag: Statligt identitetskort och pass ska vara de enda fysiska identitetshandlingar som staten utfärdar (statliga fy- siska identitetshandlingar).

En statlig fysisk identitetshandling ska krävas för att styrka identiteten i samband med

•utfärdande av pass,

•utfärdande av statligt identitetskort, samt

•etablering av affärsförbindelser och utförande av transaktioner som omfattas av regleringen om åtgärder mot penningtvätt och finansiering av terrorism.

185

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

8.6.1Användningen av andra fysiska identitetshandlingar än de statliga ska begränsas

Vi har i avsnitt 8.5 gjort bedömningen att endast pass och statliga identitetskort, dvs. de kort som i dag benämns nationellt identitets- kort och identitetskort för folkbokförda i Sverige, bör vara godtag- bara som identitetshandlingar i sammanhang där det krävs en säker identifiering. Vi har också bedömt att körkort inte bör godtas som en identitetshandling utan endast som en handling som utvisar be- hörigheten att köra ett körkortspliktigt fordon.

Att körkortet är en behörighetshandling följer redan av 1 kap. 1 § första stycket 2 körkortslagen som anger att lagen bl.a. innehåller bestämmelser om handlingar som ger behörighet att köra körkorts- pliktiga fordon, t.ex. körkort. För att förtydliga att avsikten inte är att körkortet dessutom ska godtas som en identitetshandling bör det i den lag om statliga identitetshandlingar som vi föreslår i av- snitt 10.2.2 i en inledande bestämmelse slås fast att det statliga iden- titetskortet tillsammans med pass är de enda fysiska identitetshand- lingar som staten utfärdar (statliga fysiska identitetshandlingar). Motsatsvis innebär bestämmelsen alltså att körkortet inte är en stat- lig identitetshandling. Att avsikten inte är att körkortet ska betraktas som en identitetshandling innebär att staten inte tar ansvar för att kör- kortet når upp till den säkerhetsnivå som gäller för de identitets- handlingar som staten utfärdar.

Utöver de två fysiska identitetshandlingarna föreslår vi också i avsnitt 12.3 att staten ska utfärda en statlig e-legitimation. De fysiska identitetshandlingarna och e-legitimationen ska tillsammans utgöra de identitetshandlingar som staten utfärdar.

Att endast de statliga fysiska identitetshandlingarna bör vara god- tagbara i alla sammanhang, innebär dock inte att andra handlingar aldrig ska kunna godtas. I många vardagliga situationer krävs inte sådan säkerhet vid identifieringen att det är motiverat att uppställa ett krav på att en statlig fysisk identitetshandling ska användas. Det är därför inte rimligt att kräva att identifiering ska ske med dessa handlingar i alla tänkbara situationer. Exempelvis kan ett kundkort vara tillräckligt för att identifiera en person vid kontakt med det företag som utfärdat det. Vi är därför av uppfattningen att det inte är en lämplig ordning att införa en reglering som innebär att andra fysiska identitetshandlingar än de statliga inte får utfärdas. I stället bör

186

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

användningen av mindre säkra handlingar begränsas genom att det uppställs krav på användande av de statliga fysiska identitetshand- lingarna i situationer där det är särskilt viktigt med en säker identifie- ring.

Det finns olika sätt att åstadkomma en begränsning som innebär att endast statliga fysiska identitetshandlingar godtas i sådana situa- tioner. I dag finns det som framgått inte någon reglering som anger vilka identitetshandlingar som är allmänt accepterade. Förutom in- om de områden det finns myndighetsföreskrifter som anger vilka handlingar som godtas för identifiering är det upp till den som iden- titetshandlingen visas upp för att bedöma om handlingen kan accep- teras. Ett alternativ är att även i fortsättningen låta denna ordning råda. Myndigheterna skulle då kunna ändra sina föreskrifter och branschen sina rekommendationer.

För att våra förslag ska få tydligare genomslag i arbetet med att motverka den identitetsrelaterade brottsligheten och för att åstad- komma den förändring som behövs, krävs det dock enligt vår be- dömning viss reglering i lag eller förordning. Vi har övervägt olika alternativ för hur det rent lagstiftningsmässigt bör genomföras och stannat för att föreslå att bestämmelser om vilka handlingar som ska godtas för att styrka identiteten ska införas i de författningar som reglerar de förfaranden där vi menar att det är av störst vikt att säkra identifieringsprocessen.

Vi anser att detta är en bättre ordning än att införa en mer sam- manhållen reglering av handlingarna som pekar ut vilka identitets- handlingar som ska vara allmänt accepterade och anger i vilka situa- tioner dessa handlingar ska användas. Den ordning vi föreslår ligger närmast vad som gäller i dag med myndighetsföreskrifter för vissa specifika områden. Det är en flexibel lösning där sättet att styrka identiteten kan anpassas efter den situation som är aktuell. Även om endast pass och statligt identitetskort godtas kommer det nämligen även fortsatt att finnas behov av att identifiera sig på andra sätt i vissa situationer och detta kommer att kräva författningsstöd. En sådan lösning möjliggör också att krav på styrkande av identitet genom uppvisande av pass och statligt identitetskort läggs till i andra för- fattningar efterhand som behov uppstår. Vidare underlättar det för den som ska tillämpa bestämmelserna om regleringen finns i den för- fattning som i övrigt reglerar den situation i vilken identiteten ska styrkas.

187

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

8.6.2Områden där krav på identifiering med statliga fysiska identitetshandlingar föreslås

Utfärdande av statliga fysiska identitetshandlingar

Det allra mest centrala området att överväga en begränsning som innebär att endast statliga fysiska identitetshandlingar ska användas för identifiering är vid utfärdande av pass och statligt identitetskort. Om handlingar som bedöms mindre säkra godtas vid utfärdande av pass och statligt identitetskort minskar säkerheten i utfärdandepro- cessen även för de statliga fysiska identitetshandlingarna. Genom att färre och säkrare handlingar godtas i utfärdandeprocessen blir den identitetskontroll som görs enklare och sannolikheten för att falska och felaktiga handlingar upptäcks större. Identifieringen i samband med utfärdandet av de statliga fysiska identitetshandlingarna blir därmed säkrare och möjligheterna att få tillgång till en felaktig iden- titetshandling som kan användas i brottsligt syfte minskar. Genom att säkra utfärdandet av de statliga fysiska identitetshandlingarna blir också efterföljande identifiering med handlingarna mer tillförlitlig. Det framstår därför som klart att det som huvudregel bör krävas identifiering med en statlig fysisk identitetshandling vid ansökan om pass och statligt identitetskort, dvs. de kort som i dag betecknas natio- nellt identitetskort och identitetskort för folkbokförda i Sverige.

Vi föreslår i avsnitt 12.4 att det ska finnas en statlig e-legitimation på det statliga identitetskortet. E-legitimation kan inte bara använd- as vid identifiering på distans utan också i situationer då innehavaren är personligen närvarande. På grund av våra förslag om kontroll av fingeravtryck och ansiktsbild i avsnitt 11.6.1 ser vi dock inte något behov av att dessutom föreskriva krav på att den statliga e- legitimationen ska användas för att styrka identiteten i samband med utfärdande av de statliga fysiska identitetshandlingarna.

Det kommer dock att finnas personer som ansöker om pass och statligt identitetskort som inte redan har en statlig fysisk identitets- handling. Det kan exempelvis vara fråga om ett barn som ska skaffa sin första identitetshandling eller en utländsk medborgare som fått uppehållstillstånd och för första gången ska ansöka om en svensk identitetshandling. Det kommer därför även framöver att finnas ett behov av att godta andra sätt att identifiera sig. Vi återkommer till denna fråga i avsnitt 10.2.8. Som huvudregel föreslår vi dock att

188

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

identifiering med pass eller statligt identitetskort ska krävas vid an- sökan om pass och statligt identitetskort. Bestämmelser om detta bör införas i pass- och id-kortslagstiftningen.

Affärsförbindelser och transaktioner som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism

Av den beskrivning av bedrägeribrottsligheten som finns i kapitel 3 framgår att falska eller felaktiga identitetshandlingar framför allt används i samband med kreditbedrägerier, dvs. när någon tar lån eller genomför ett köp på kredit i någon annans namn. De verksamheter som är utsatta för dessa typer av bedrägerier är framför allt kreditin- stituten och handeln.

För banker och andra kreditinstitut finns regler om kundkänne- dom och identitetskontroll i lagen om åtgärder mot penningtvätt och finansiering av terrorism och de föreskrifter som är meddelade med stöd av den lagen. Lagstiftningen omfattar inte bara kreditinsti- tut utan även ett stort antal andra verksamheter inom flera olika delar av samhället. Av 1 kap. 2 § lagen om åtgärder mot penningtvätt och finansiering av terrorism framgår att lagen även gäller för exem- pelvis vissa livförsäkringsrörelser, fastighetsmäklare, spelbolag, pant- banker och revisorer. Även handlare och advokater omfattas i vissa fall.

I 3 kap. lagen om åtgärder mot penningtvätt och finansiering av terrorism uppställs krav på att en verksamhetsutövare som omfattas av lagstiftningen måste ha tillräcklig kundkännedom för att kunna hantera risken för penningtvätt och finansiering av terrorism och kunna övervaka och bedöma kundens aktiviteter. Bestämmelserna i lagen gäller endast i vissa situationer. Verksamhetsutövaren måste bl.a. ha kundkännedom för att få etablera och upprätthålla en affärs- förbindelse. Detsamma gäller vid utförandet av en enstaka transak- tion under förutsättning att transaktionen uppgår till ett visst belopp som är olika beroende på vilken situation det rör sig om. Oavsett vilket belopp en transaktion uppgår till ska åtgärder för kundkänne- dom vidtas om verksamhetsutövaren inser eller borde inse att den har samband med andra transaktioner som tillsammans uppgår till det föreskrivna beloppet.

189

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

En av åtgärderna som ska vidtas för kundkännedom är identifi- ering av kunden. En verksamhetsutövare ska enligt 3 kap. 7 § identi- fiera kunden och kontrollera kundens identitet genom identitets- handlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden före- träds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behö- righet att företräda kunden. I dag finns myndighetsföreskrifter för de flesta av de områden som omfattas av lagstiftningen. Föreskrif- terna anger vilka identitetshandlingar som krävs i samband med den identitetskontroll som ska göras som ett led i processen att skaffa sig kundkännedom.

Av olika bestämmelser i 3 kap. följer att de åtgärder som krävs för att få kundkännedom kan variera med hänsyn till kundens riskprofil och övriga omständigheter. Om risken för penningtvätt eller finansi- ering av terrorism bedöms som låg får förenklade åtgärder vidtas. Identitetskontrollen kan då vara av mer begränsad omfattning än vad som anges i 3 kap. 7 §. Är risken hög ska i stället mer omfattande kontroller göras.

Vi menar att det är lämpligt att i normalfallet kräva identifiering med pass eller statligt identitetskort i samband med den identitets- kontroll som ska göras av en fysisk person. I de fall personen vars identitet ska kontrolleras är personligen närvarande bör det därför krävas att identiteten styrks med en statlig fysisk identitetshandling om personen uppfyller villkoren för att få en sådan handling.

Den statliga e-legitimation vi i avsnitt 12.4 föreslår ska finnas på det statliga identitetskortet skulle dock också kunna användas. Efter- som den utfärdas på högsta tillitsnivå efter samma kontroller som de statliga fysiska identitetshandlingarna håller den en mycket hög säker- hetsnivå. Vi kan därför inte se något hinder mot att den används för identifiering som sker vid personlig närvaro om verksamhetsutöv- aren bedömer att det är lämpligt och har de tekniska förutsättning- arna för att göra en sådan kontroll, se avsnitt 13.4.

Har en svensk medborgare eller en person som är folkbokförd i Sverige inte en statlig identitetshandling bör han eller hon i stället ansöka om en sådan för att kunna identifiera sig hos banken eller hos någon annan av de verksamhetsutövare som omfattas av lagstiftning- en. En bestämmelse bör därför införas som innebär att en fysisk person som är svensk medborgare eller folkbokförd i landet och som

190

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

är personligen närvarande ska styrka sin identitet med pass, statligt identitetskort eller, om verksamhetsutövaren bedömer att det är lämpligt, statlig e-legitimation. På samma sätt som i dag bör dock förenklade kontroller kunna vidtas om risken för penningtvätt eller finansiering av terrorism bedöms vara låg. Någon ändring när det gäller den riskbedömning som ska göras – och som kan resultera i att de åtgärder som krävs för att få kundkännedom inte alltid är lika omfattande – är alltså inte avsedd.

Även affärsförbindelser och transaktioner som utförs av personer som varken är medborgare eller folkbokförda i Sverige kan omfattas av lagstiftningen. Det kan vidare i vissa situationer vara lämpligt att godta elektronisk identifiering på distans, t.ex. med hjälp av den stat- liga e-legitimation som vi föreslår i avsnitt 12.3. Det kommer således även framöver att finnas ett behov av att möjliggöra andra sätt att identifiera sig. I de myndighetsföreskrifter som gäller på området i dag finns bestämmelser som reglerar vilka andra identifieringssätt som godtas. Det rör sig bl.a. om identifiering genom utländska iden- titetshandlingar eller kontroll av andra tillförlitliga dokument. I vissa fall kan elektronisk identifiering göras. Föreskrifter som avser per- soner som inte uppfyller kraven för att få en statlig fysisk identitets- handling bör även fortsättningsvis kunna meddelas av myndigheterna. Detsamma gäller föreskrifter som tillåter elektronisk identifiering på distans. Lagstiftningen omfattar ett antal skilda områden och det är därför inte säkert att regleringen bör se likadan ut inom alla områ- den. Regeringen eller den myndighet regeringen bestämmer bör där- för ha samma möjlighet som i dag att meddela föreskrifter om åtgär- der för identitetskontroll i andra situationer än när kontrollen avser en fysisk person som är svensk medborgare eller folkbokförd i landet och som är personligen närvarande. Det är dock viktigt att i samband med framtagande av sådana föreskrifter beakta att de iden- tifieringssätt som föreskrifterna medger håller en hög nivå av säker- het. Exempelvis bör de utländska handlingar som godtas uppnå en tillräckligt hög säkerhetsnivå.

191

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

8.6.3Områden där vi inte föreslår krav på identifiering med statliga fysiska identitetshandlingar

Utfärdande av körkort

Enligt vår bedömning ska körkort alltså inte betraktas som en statlig identitetshandling. Ett skäl som ändå talar för att överväga att införa ett krav i lag eller förordning på att använda en statlig fysisk identi- tetshandling i samband med att identiteten ska styrkas i körkorts- processen är att körkortet, i vart fall under en tid, trots vår bedöm- ning kan komma att användas som en identitetshandling i olika situationer. Syftet med våra förslag är dock att det statliga identitets- kortet på sikt ska få en utbredd användning. I andra delar av betänk- andet lämnar vi förslag som syftar till att skapa incitament för en ökad användning av det kortet. Behovet av att i lag eller förordning säkra upp identifieringen i samband med utfärdande av körkort kan därför inte anses vara lika påtagligt som när det gäller de statliga fysiska identitetshandlingarna, i vart fall inte av skäl som har att göra med att minska bedrägeribrottsligheten. Vi föreslår därför inte att ett krav på identifiering med en statlig fysisk identitetshandling vid utfärdande av körkort ska införas i lag eller förordning.

Transportstyrelsen har dock angett att det ur trafiksäkerhetssyn- punkt kan vara befogat att säkerställa identifieringen vid utfärdande av körkort. Det finns därför all anledning för Transporstyrelsen att, mot bakgrund av vår bedömning att körkortet inte ska utgöra en statlig fysisk identitetshandling, överväga att i föreskrift uppställa krav på att identifiering ska göras med pass eller statligt identitetskort. Eftersom avsikten är att körkortet inte ska godtas som identitets- handling bör den enligt vår uppfattning inte godtas vid identitets- kontroller som görs inom ramen för statlig verksamhet i situationer där det är viktigt med en säker identifiering.

Handel och utlämningsställen

Som framgått i avsnitt 3.6 drabbas även handeln av bedrägeribrotts- ligheten som begås med hjälp av falska eller felaktiga identitetshand- lingar. Identitetshandlingar används även vid uthämtande av varor hos postutlämningsställen i samband med kortbedrägerier.

192

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Handeln omfattas till viss del av lagen om åtgärder mot penning- tvätt och finansiering av terrorism. I enlighet med 1 kap. 2 § första stycket 15 lagen om åtgärder mot penningtvätt och finansiering av terrorism omfattas dock handeln endast om det kan antas att det i verksamheten eller en del av verksamheten genomförs eller kommer att genomföras transaktioner som innebär att utbetalt eller mottaget belopp uppgår till motsvarande totalt 5 000 euro eller mer i kontan- ter. Verksamhet som inte bedriver kontant handel omfattas alltså inte. Inte heller verksamhet avseende utlämnande av paket och andra försändelser omfattas av penningtvättslagstiftningen.

Vi menar att det är viktigt att det införs begränsningar avseende vilka identitetshandlingar som accepteras även vid de identitetskon- troller som görs inom handeln och när beställda varor lämnas ut. Den omständigheten att körkortet enligt vårt förslag inte ska vara en statlig fysisk identitetshandling gör att det inte heller bör accep- teras som ett bevis på någons identitet i dessa sammanhang. Det bedöms dock i dagsläget inte lämpligt att utanför det område som regleras genom penningtvättslagstiftningen införa reglering som gäller för privata näringsidkare. Detta tillsammans med att vi inte har tillräckligt underlag för att bedöma hur omfattande användningen av falska identitetshandlingar är i dessa sammanhang gör att vi inte föreslår någon sådan reglering. Vi menar också att det är en fördel om initiativet kommer från branschen själv. Om verksamheterna själva får inflytande över vilka rutiner som ska införas ökar förutsättningarna för att de blir väl avpassade utifrån respektive bransch. Branschen torde tjäna på att införa riktlinjer som innebär att identifiering ska ske med de statliga fysiska identitetshandlingarna. Det inte bara mot- verkar bedrägerier utan underlättar också kontrollen av handling- arna. Vi lämnar också i avsnitt 12.4 ett förslag om att en statlig e-legi- timation ska finnas på det statliga identitetskortet. Därigenom öpp- nar vi också upp för att e-legitimationen kan användas som enkel och effektiv identifiering i andra fall än på distans, t.ex. för kontroll med pinkod i kortläsare vid utlämnande av paket över disk. Även detta menar vi bör utgöra ett incitament för säkrare kontroller. Vi utgår därför ifrån att branschen själva tar fram nya rekommendationer för hur identitetskontroll ska gå till och vilka handlingar som ska godtas. Skulle det visa sig att våra förslag inte får genomslag på dessa om- råden kan det emellertid bli aktuellt att på nytt överväga om en be- gränsning bör införas i författning.

193

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

Välfärdssystemen

Även välfärdssystemen utsätts, som framgår av avsnitt 3.4, till viss del av identitetsrelaterad brottslighet. Det är dock svårt att bedöma i hur stor omfattning falska identitetshandlingar används i dessa sammanhang. Det är sannolikt vanligare att oriktiga uppgifter om identiteter som registrerats i folkbokföringsdatabasen på grundval av förfalskade eller manipulerade identitetshandlingar därefter an- vänds för att begå brott mot välfärdssystemen än att sådana hand- lingar används hos de utbetalande myndigheterna.

Vid ansökan om ersättning från de olika myndigheter som ingår i välfärdssystemet uppställs nämligen som regel inte krav på att sökanden ska inställa sig personligen och styrka sin identitet. När det exempelvis gäller socialförsäkringsförmånerna ska en skriftlig ansökan lämnas in. Ansökan ska vara egenhändigt undertecknad och sökanden ska lämna uppgifterna på heder och samvete, se 110 kap. 4 § socialförsäkringsbalken. Sökanden kan också i många fall använda självbetjäningstjänster via internet där en elektronisk underskrift görs, se 111 kap. socialförsäkringsbalken. Att uppställa krav på iden- tifiering genom uppvisande av en statlig fysisk identitetshandling i samband med ansökan om sådana förmåner skulle medföra att ett personligt besök vid myndigheten skulle krävas i samband med varje ansökan om en förmån. Det skulle inte vara hanterbart för myndig- heterna att införa ett sådant krav. Detta tillsammans med att det inte framkommit uppgifter som tyder på att de falska handlingarna an- vänds i någon större omfattning vid de utbetalande myndigheterna gör att vi inte lämnar något sådant förslag.

I de sammanhang en riktig identitetskontroll behöver göras av de utbetalande myndigheterna utgår vi från att dessa kommer att införa rutiner som stämmer överens med de förslag vi lämnar och de be- dömningar vi gör. Mot bakgrund av vår bedömning att körkort inte ska anses vara en statlig identitetshandling bör dessa således inte accepteras av de utbetalande myndigheterna. Personer som uppfyller villkoren för att få en statlig fysisk identitetshandling bör alltså som huvudregel styrka sin identitet med en sådan handling.

194

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Andra områden

Förutom de områden där det i dag uppställs krav på visst identifie- ringssätt i myndighetsföreskrifter finns det också annan lagstiftning som innehåller krav på att identiteten ska styrkas utan att det anges vilka handlingar som godtas. Så är t.ex. fallet i lagen om handel med begagnade varor, pantbankslagen och kasinolagen (1999:355). Även lagen om svenskt medborgarskap och vallagen innehåller sådana be- stämmelser. Det finns också ett antal andra författningar som inne- håller krav på identifiering.

Dessa områden har inte pekats ut som särskilt utsatta när det gäller bedrägeribrott. Att införa krav på identifiering genom upp- visande av en statlig fysisk identitetshandling på områden där det inte i dag finns någon reglering om hur identitetskontrollen ska gå till skulle dessutom innebära att konsekvenserna på varje område behöver övervägas mer noggrant än vad det finns utrymme till inom ramen för denna utredning. Det rör sig om vitt skilda områden vilket innebär att olika överväganden behöver göras för varje område. Vi lämnar därför inte några förslag i dessa delar.

Vi utgår dock från att de myndigheter som inom olika områden antingen själv gör identitetskontroller eller har rätt att meddela före- skrifter om hur sådana kontroller ska gå till inför krav som stämmer överens med de förslag vi lämnar och de bedömningar vi gör, i de fall det bedöms nödvändigt av säkerhetsskäl. Det kan också finnas skäl för regeringen att inom vissa mer centrala områden ta initiativ till sådan reglering. Att införa krav på identifiering med statliga fysiska identitetshandlingar även på andra områden än de som har ett direkt samband med att motverka bedrägeribrottslighet kan dessutom få den effekten att genomslaget av vårt förslag om att endast pass och statligt identitetskort bör godtas som identitetshandlingar ökar. Ju fler situationer som kräver att identifiering sker med dessa hand- lingar desto större anledning har den enskilde att skaffa en sådan handling som då även kommer att kunna användas i andra samman- hang.

Det kan även finnas områden som inte nämnts här där sådana krav är lämpliga att ställa. Ett exempel på en situation som i dag inte regleras i författning är utfärdande av e-legitimation. Eftersom det alltid är en fysisk identitetshandling som ligger till grund för den ur- sprungligen utfärdade e-legitimationen på de högsta tillitsnivåerna

195

Begränsning av antalet fysiska identitetshandlingar

SOU 2019:14

menar vi att det är lämpligt att överväga krav på identifiering med pass eller statligt identitetskort.

8.7Genomslaget av våra förslag

Utredningens bedömning: För att ytterligare öka spridningen av det statliga identitetskortet bör den utfärdande myndigheten utreda om avgiften för ansökan bör vara lägre om den görs sam- tidigt med en ansökan om pass.

Det primära syftet för oss är att begränsa antalet godtagbara iden- titetshandlingar och säkra utfärdandet av dessa. Genom sådana åt- gärder kan också efterföljande identifiering med dessa handlingar i olika situationer bli säkrare och identitetskontrollen förenklas. På så sätt motverkas den bedrägeribrottslighet som begås med hjälp av falska identitetshandlingar. Detta förutsätter dock att handlingarna införskaffas och används.

Vi har föreslagit begränsningar av vilka identitetshandlingar som ska få användas inom några områden som vi menar är mest centrala. Vi har också föreslagit en bestämmelse som slår fast att endast pass och statligt identitetskort är statliga fysiska identitetshandlingar. Detta är ett första steg när det gäller att minska antalet fysiska iden- titetshandlingar. Syftet med våra förslag i stort är att det statliga iden- titetskortet på sikt ska få en utbredd användning. Även om våra för- fattningsförslag om vilka identitetshandlingar som ska godtas endast omfattar vissa områden kommer den omständigheten att det krävs vissa typer av identitetshandlingar i vissa situationer sannolikt leda till att många av landets invånare kommer att skaffa en statlig fysisk identitetshandling. Särskilt förslaget som avser krav i samband med affärsförbindelser och transaktioner som omfattas av penningtvätts- lagstiftningen tror vi bidrar till ett ökat genomslag.

Vi lämnar också i andra delar av betänkandet förslag som medför att det skapas ytterligare incitament för en ökad spridning och användning av det statliga identitetskortet. Vårt förslag i avsnitt 12.4 att en statligt utfärdad e-legitimation ska finnas på det statliga iden- titetskortet utgör enligt vår bedömning ett sådant incitament.

196

SOU 2019:14

Begränsning av antalet fysiska identitetshandlingar

Även det arbete som pågår för att utreda möjligheten att på sikt avskaffa det fysiska körkortet är av betydelse. För att det ska vara möjligt att genomföra en sådan förändring måste körkortshavare inneha en annan säker handling att identifiera sig med. Det statliga identitetskortet kan i och med detta komma att få en ökad betydelse.

Vidare utgår vi, som ovan nämnts, ifrån att myndigheterna på de olika områden där det är aktuellt att utföra identitetskontroller går igenom sina föreskrifter och rutiner samt anpassar dem utifrån våra förslag om att endast de statliga fysiska identitetshandlingarna ska godtas. Våra förslag hindrar inte heller att krav på identifiering med statliga fysiska identitetshandlingar läggs till i andra lagar eller för- ordningar efter hand som behov uppstår.

Vi utgår också ifrån att banker och övriga aktörer som använder sig av riktlinjerna i De 7 stegen så småningom följer efter och ändrar rekommendationen avseende vilka handlingar som godtas. Svenska Bankföreningen, som står bakom handboken, har i den skrivelse till regeringen som tidigare nämnts framfört att staten enligt deras upp- fattning bör ta ansvar för utfärdandet av svenska identitetshandlingar genom att det införs en nationell gemensam utfärdandeprocess och genom att antalet godkända handlingar begränsas.22 Då våra förslag syftar till att åstadkomma just detta får det förutsättas att riktlinjerna i De 7 stegen framöver anpassas utifrån de förslag vi lämnar om vilka handlingar som bör godtas. På så sätt kan förslagen få genomslag i stora delar av samhället.

Avgiften för ansökan om identitetskort bygger på principen om full kostnadstäckning. Ett sätt att ytterligare öka genomslaget och se till att det finns incitament att skaffa det statliga identitetskortet är att sänka priset för ansökan om statligt identitetskort om ansökan görs samtidigt med pass. Den tid handläggaren lägger ner vid ansök- an bör rimligen vara ungefär densamma om en ansökan avser endast pass eller om den även avser statligt identitetskort eftersom de kon- troller som ska göras endast behöver göras en gång. Det bör också bli en mer effektiv hantering för den utfärdande myndigheten om ansökningarna görs samtidigt i stället för vid två separata tillfällen. Vi menar därför att det är lämpligt att den utfärdande myndigheten utreder om avgiften bör differentieras. Ett sådant system med olika avgifter har införts i Finland. Detta synes ha varit en av de bidragande orsakerna till att antalet ansökningar om id-kort har ökat i Finland.

22Dnr Ju2015/05176/L4.

197

9 Begränsning av antalet utfärdare

9.1Vårt uppdrag

Utfärdande av identitetshandlingar är en central funktion i samhället. Ansvaret för de statligt utfärdade handlingar som i dag godtas som identitetshandlingar är i huvudsak fördelat på tre myndigheter; Polis- myndigheten, Skatteverket och Transportstyrelsen. Polismyndig- heten utfärdade under år 2017 cirka 1,8 miljoner pass och nationella identitetskort. Skatteverket utfärdade under samma tid cirka 160 000 id-kort. Transportstyrelsen utfärdar cirka 1 miljon körkort per år. Ut- över dessa tre myndigheter utfärdar utlandsmyndigheter som även är passmyndigheter pass och nationella identitetskort. Även Utrikes- departementet utfärdar pass i vissa situationer. Därutöver utfärdar bankerna SIS-märkta id-kort. Det finns också företag och myndig- heter som utfärdar SIS-märkta id-kort till sina anställda.

I våra direktiv påtalas att den omständigheten att identitetshand- lingar utfärdas av en rad olika aktörer innebär att handlingarna kan se mycket olika ut och vara av skiftande kvalitet. Att det finns flera utfärdare innebär också att det ställs olika krav på ansökningspro- cess, bakgrundskontroll av sökanden, tillverkning och utlämning. En ordning med färre utfärdare skulle förbättra möjligheterna att kon- trollera en handlings äkthet och giltighet och skapa bättre förutsätt- ningar för en enhetlig hantering av hela processen från ansökan till utlämnande. Vi ska därför föreslå hur antalet utfärdare av identitets- handlingar ska begränsas och lämna förslag på utfärdare. I avsnitt 8.6 föreslår vi att endast de statliga fysiska identitetshandlingarna, dvs. pass och statliga identitetskort (statliga identitetskort motsvarar de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige), ska vara godtagbara som identitetshand- lingar i alla sammanhang. Det är därför utfärdande av dessa hand- lingar vi behandlar i detta kapitel.

199

Begränsning av antalet utfärdare

SOU 2019:14

9.2Närmare om problemet med att det finns flera utfärdare

Problemet med att utfärdande av identitetshandlingar är utspritt på flera aktörer har uppmärksammats i flera rapporter och skrivelser av olika myndigheter och andra aktörer.

Brå har i sin rapport om bedrägeribrottslighet angett att det sak- nas en central aktör som garanterar säkra identitetshandlingar. Brå upplyser att en aktör, gärna en myndighet, som garanterar säkra iden- titetshandlingar är en åtgärd som har efterfrågats av flera berörda myndigheter och delar av näringslivet. De menar att ansvarsfrågan är grundläggande när det gäller identitetsmissbruk.1

Även Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden har konstaterat att färre utfärdare av iden- titetshandlingar minskar risken för att oriktiga identiteter används i brottsligt syfte. Utredningen anger som ett problem med att identi- tetshandlingar utfärdas av en rad olika aktörer att handlingarna ser olika ut och är av skiftande kvalitet. Det ökar svårigheterna för den som ska bedöma riktigheten i uppgifterna på handlingen. Utred- ningen anser att det i dag finns för många utfärdare av identitets- handlingar och att vissa av dessa inte håller tillräckligt hög kvalitet. I stället bör en ordning med en myndighet med ett övergripande an- svar för identitetsrelaterade frågor kunna leda till enhetliga processer och kompetenskrav för handläggarna vilket medför högre kvalitet och bättre förutsättningar att upptäcka och spåra identitetsrelatera- de brott.2

E-legitimationsnämnden har i en rapport till regeringen föreslagit att endast en statlig myndighet ska ha som uppgift att utfärda iden- titetshandlingar. Nämnden menar att risken för id-kapningar skulle minska på ett avgörande sätt om utgivningen av fullvärdiga fysiska identitetshandlingar skulle samlas hos en enda statlig myndighet. I rapporten anges att det är svårt för den enskilde att skydda sig mot id-kapningar varför staten bör ta ett större ansvar för id-korten.3

Svenska Bankföreningen har i en skrivelse till regeringen föresla- git att staten bör ta på sig ansvaret för en nationell gemensam utfär- dandeprocess av svenska identitetshandlingar i samtliga faser. Detta

1Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 166 f. och 225.

2SOU 2017:37 s. 297 ff.

3E-legitimationsnämndens rapport Fortsatt försörjning av tjänster för e-legitimering och e-underskrift dnr 131 645711-15/9513 2016-10-25 s. 30.

200

SOU 2019:14

Begränsning av antalet utfärdare

bör ske genom krav på personlig inställelse och bakgrundskontroll av den sökande i ansöknings- och utlämningsprocessen, krav på tillverkningsprocessen och möjlighet att verifiera identitetshand- lingen.4

De representanter från NFC och NBC vid Polismyndigheten som vi har haft kontakt med har bekräftat den bild som framkommit ovan. De menar att en begränsning som innebär att endast en aktör utfärdar svenska identitetshandlingar är en viktig åtgärd för att min- ska den identitetsrelaterade bedrägeribrottsligheten.

Även företrädare för PostNord har uppgett att endast en myndig- het bör ansvara för utfärdande av identitetshandlingar. För dem är det viktigt att giltighetskontroll mot utfärdarens register kan göras i realtid, något som underlättas av om endast en aktör utfärdar iden- titetshandlingar.

Problemet med att det finns flera utfärdare av identitetshandlingar är alltså framför allt att utfärdandeprocessen inte är samordnad. Pro- cessen ser olika ut hos de olika aktörerna och är av skiftande kvalitet. Olika krav ställs på ansökan, bakgrundskontroll av sökanden, tillverk- ning och utlämning. Färre utfärdare skapar bättre förutsättningar för en enhetlig hantering av hela processen från ansökan till utlämnande.

Antalet utfärdare försvårar också kontrollen av identitetshand- lingarnas giltighet. Färre utfärdare innebär färre ställen att vända sig till för den som ska kontrollera handlingens giltighet och bättre möj- ligheter till automatiserade giltighetskontroller.

Att ansvaret är spritt på flera aktörer innebär också att antalet identitetshandlingar som utfärdas av de olika aktörerna varierar. För en aktör som inte utfärdar ett så stort antal identitetshandlingar kan det medföra svårigheter när det gäller att upprätthålla den kompe- tens som krävs för att åstadkomma tillräckligt hög kvalitet i alla led i processen. Som exempel kan nämnas att det enligt uppgifter från Skatteverket fanns servicekontor som under år 2017 endast utfär- dade cirka 200 identitetskort för folkbokförda i Sverige.

4Dnr Ju2015/05176/L4.

201

Begränsning av antalet utfärdare

SOU 2019:14

9.3Endast en myndighet bör utfärda statliga fysiska identitetshandlingar

Utredningens bedömning: Endast en myndighet bör ha det huvud- sakliga ansvaret för utfärdande av statliga fysiska identitetshand- lingar.

Enligt vår uppfattning bör staten ta ett samlat ansvar för utfärdande av de fysiska identitetshandlingar som ska vara godtagbara i alla situ- ationer. Bara om det görs finns det möjlighet att verkligen göra pro- cessen enhetlig och säker, förbättra identitetshandlingarnas säker- hetsnivå och åstadkomma bättre kontrollmöjligheter. Detta är åtgär- der som behöver komma till stånd för att motverka den identitets- relaterade brottsligheten. Utgångspunkten för de överväganden som görs nedan är således att ansvaret för att utfärda de fysiska identi- tetshandlingar som ska vara godtagbara i alla sammanhang ska ligga hos staten. Fråga är då vidare om en eller flera myndigheter ska vara utfärdare.

Vi har i avsnitt 8.6 föreslagit att endast pass och statligt identi- tetskort, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, ska vara godtagbara identitetshandlingar i situationer som kräver en säker identifiering. Pass och nationella identitetskort utfärdas i dag av Polismyndig- heten medan Skatteverket utfärdar identitetskort för folkbokförda i Sverige. Redan det förslaget medför alltså en begränsning av antalet utfärdare till två eftersom det innebär att Transportstyrelsen och de aktörer som utfärdar SIS-märkta id-kort och tjänstekort inte längre kommer att vara utfärdare av identitetshandlingar som accepteras i alla sammanhang. Det finns dock anledning att överväga om ansvaret för utfärdandet ska begränsas än mer, dvs. om endast en myndighet ska ha ansvaret.

Som anges ovan innebär en begränsning av antalet utfärdare bätt- re förutsättningar för en enhetlig hantering av hela processen från ansökan till utlämnande. Om endast en myndighet ansvarar för ut- färdandet förenklas arbetet med att skapa en mer enhetlig process väsentligt. Samma eller liknande rutiner kan användas oavsett vilken identitetshandling som ska utfärdas och alla som arbetar med utfär-

202

SOU 2019:14

Begränsning av antalet utfärdare

dandet kan få samma utbildning. Om myndigheterna delar på an- svaret är det nödvändigt att, som i dag, upprätthålla parallella system, bl.a. när det gäller processen, utrustning och utbildning. Att samla utfärdandet vid en myndighet innebär att samma personal kommer att hantera en större mängd ansökningar vilket bidrar till att kompe- tensen kan upprätthållas på ett annat sätt än i dag. Om ansvaret delas mellan två myndigheter är risken för att det förekommer skillnader i hur samma eller liknande bestämmelser tillämpas större.

Utfärdandeverksamheten underlättas också om en och samma myn- dighet förfogar över registren för identitetshandlingarna eftersom myndigheten då har tillgång till fler uppgifter som kan vara av bety- delse vid identifieringen av de sökande. Om det exempelvis råder oklarheter kring en handlings äkthet eller en sökandes identitet vid ansökan om ett id-kort är det möjligt att det finns uppgifter av bety- delse i registret för pass.

Att endast en myndighet har huvudansvaret för utfärdandet under- lättar också vid kontroll av identitetshandlingens giltighet. Den som identitetshandlingen visas upp för behöver då bara vända sig till en aktör för att kontrollera handlingen. Att begränsa utfärdandet till en myndighet underlättar dessutom utvecklingen av effektiva e-tjänster för kontroll av giltigheten.

Koncentration av verksamheten att utfärda identitetshandlingar till en myndighet leder även till kostnadsbesparingar. Att använda samma personal, utrustning och process för utfärdandet leder till ett effektivare utnyttjande av resurserna. Det finns också stora vinster att göra om upphandlingarna av de olika identitetshandlingarna kan samordnas. Även om det kommer att finns vissa mindre skillnader i vilka krav som ställs för de olika handlingarna leder det till stora effek- tivitetsvinster att samordna kravställningsarbetet.

Det är dessutom en fördel för den enskilde att bara behöva vända sig till en myndighet när det gäller frågor om identitetshandlingar och identifiering. Att allmänheten på ett och samma ställe kan an- söka, hämta och få information om samtliga statliga fysiska identi- tetshandlingar är en samhällsservice som bör eftersträvas.

En möjlig nackdel med att koncentrera ansvaret till endast en myndighet kan vara att tillgängligheten för den enskilde kan komma att minska. Vi har redan i avsnitt 8.5.2 konstaterat att tillgänglig- heten kommer att försämras på grund av vårt förslag att körkortet

203

Begränsning av antalet utfärdare

SOU 2019:14

inte ska vara en statlig identitetshandling. Om antalet utfärdare dess- utom minskar från två till en skulle det kunna innebära ytterligare försämring när det gäller tillgången till identitetshandlingar. Mål- grupperna för de olika id-korten ser dock olika ut. Även om det inte finns något hinder mot att den som är svensk medborgare ansöker om det id-kort som i dag benämns identitetskort för folkbokförda i Sverige och utfärdas av Skatteverket kan det antas att dessa personer även i fortsättningen i huvudsak kommer att ansöka om det id-kort som även kan användas som resehandling som Polismyndigheten ut- färdar. Om våra förslag skulle innebära att någon annan myndighet än Polismyndigheten skulle få ansvaret skulle det leda till en försäm- rad tillgänglighet för de personer som söker id-kort som kan använd- as som resehandling. Skatteverket t.ex. utfärdar id-kort på färre antal platser än Polismyndigheten och de flesta andra svenska myndig- heter har ännu sämre tillgänglighet. Om vi å andra sidan skulle före- slå att Polismyndigheten ska få ansvaret, så ökar tillgängligheten för dem som i dag är hänvisade till Skatteverket med sin ansökan. Om tillgängligheten påverkas är således snarare en fråga om vilken myn- dighet som får ansvaret än en fråga om det bör vara en eller flera myndigheter som utfärdar korten.

Det finns enligt vår uppfattning stora fördelar med att låta endast en myndighet ha huvudansvaret för att utfärda de statliga fysiska identitetshandlingarna. Det är också den lösningen som förespråkas i flera av de rapporter och skrivelser vi redogjort för ovan och av olika aktörer vi har haft kontakt med under utredningen. Mot bak- grund av de skäl som redovisats ovan, och då vi inte har funnit några bärande skäl emot, föreslår vi därför att huvudansvaret för utfärdan- det läggs på endast en myndighet.

9.4Polismyndigheten ska ansvara för att utfärda statliga fysiska identitetshandlingar

Utredningens förslag: Polismyndigheten ska ansvara för utfär- dande av statliga fysiska identitetshandlingar.

Utlandsmyndigheterna och Utrikesdepartementet ska dock under samma förutsättningar som i dag kunna utfärda identitets- handlingar.

204

SOU 2019:14

Begränsning av antalet utfärdare

9.4.1Aktuella myndigheter

För att åstadkomma en begränsning som innebär att endast en myn- dighet utfärdar de statliga fysiska identitetshandlingarna finns flera tänkbara lösningar. Ansvaret kan läggas antingen på en av de myn- digheter som redan i dag ansvarar för utfärdandet av identitetshand- lingar, på en annan befintlig myndighet som tar över ansvaret eller på en ny myndighet som inrättas för uppgiften.

Inledningsvis kan konstateras att det kräver ett stort omställ- ningsarbete av en myndighet som i dag inte utfärdar identitetshand- lingar att överta uppgiften. Om en sådan myndighet skulle överta ansvaret är det nödvändigt att bygga upp en ny organisation för verk- samheten från grunden, vilket skulle innebära stora kostnader. Det skulle krävas en helt ny process, omfattande utbildningsinsatser och ny utrustning. Detta gäller såväl alternativet att inrätta en helt ny myndighet som att lägga uppgiften på en myndighet som inte har denna uppgift i dag. Skatteverket, som har erfarenhet av att bygga upp en ny verksamhet för utfärdande av id-kort, har uppgett att verk- samheten till en början hade en hel del problem. Svårigheterna hängde till en del samman med att det var svårt att göra en korrekt krav- ställning i upphandlingen eftersom Skatteverket saknade erfarenhet på området. Vårt förslag att körkort inte ska vara en statlig identi- tetshandling kan i förlängningen komma att leda till att en stor andel av de cirka 6,5 miljoner körkortshavarna kommer att behöva skaffa en annan identitetshandling. Den myndighet som ansvarar för ut- färdandet måste ha en stabil organisation som kan hantera över- gången. De myndigheter som redan i dag utfärdar identitetshand- lingar har enligt vår bedömning bättre förutsättningar att lyckas med detta.

Vi anser mot denna bakgrund att det finns klara fördelar med att ansvaret läggs på en myndighet som redan i dag utfärdar identitets- handlingar. På så sätt kan kvaliteten och kontinuiteten i utfärdandet upprätthållas och de kostnadsmässiga konsekvenserna begränsas. Fråga är då vidare vilken av dessa myndigheter som är lämpligast.

205

Begränsning av antalet utfärdare

SOU 2019:14

9.4.2Transportstyrelsen

Transportstyrelsen utfärdar körkort, som är den handling som flest personer i dag använder för att identifiera sig. Redan det skälet att vi i avsnitt 8.6 föreslår att körkort inte ska vara en statlig fysisk iden- titetshandling gör att det inte är lämpligt att lägga ansvaret för utfär- dandet på Transportstyrelsen. Transportstyrelsens verksamhet ligg- er dessutom relativt långt ifrån den verksamhet som utfärdande av identitetshandlingar innebär. Visserligen utfärdar Transportstyrel- sen körkort som i dag även används som identitetshandling, men det primära syftet med körkortet är att det ska vara en behörighets- handling. Myndighetens erfarenhet av bevisvärderingsfrågor och iden- titetsbedömningar torde vidare vara mer begränsad än både Polis- myndighetens och Skatteverkets. Transportstyrelsens verksamhet är dessutom uppbyggd kring körkortsprocessen och styrs delvis av EU-reglering. Myndigheten skulle därför behöva bygga upp en ny process för att utfärda identitetshandlingar. Vi bedömer därför att det inte är lämpligt att Transportstyrelsen ansvarar för utfärdande av de statliga fysiska identitetshandlingarna.

9.4.3Polismyndigheten eller Skatteverket?

Polismyndigheten utfärdar som passmyndighet pass och nationellt identitetskort. Skatteverket har sedan år 2009 ansvar för att utfärda identitetskort för folkbokförda i Sverige. Servicekontorsutredningen har föreslagit att Statens servicecenter, på uppdrag av Skatteverket, från och med den 1 januari 2019 ska ta över utfärdandet av id-kort på servicekontoren.5 Överföringen till Statens servicecenter har flyttats fram till den 1 juni 2019. Id-kortsutredningen6 föreslog ursprung- ligen att identitetskort för folkbokförda i Sverige skulle utfärdas av Polismyndigheten. Under beredningen av utredningens förslag gjorde regeringen dock den bedömningen att Polismyndighetens arbete borde koncentreras till det som ligger inom myndighetens kärnverk- samhet.7 Id-kortsutredningen framförde dock flera skäl som talade för att Polismyndigheten skulle ansvara för utfärdande av identitets-

5SOU 2017:109 s. 59 ff.

6SOU 2007:100.

7Regeringsbeslut 2008-09-25, Fi 2008/5394.

206

SOU 2019:14

Begränsning av antalet utfärdare

kort för folkbokförda i Sverige som vi menar fortfarande är rele- vanta. Vi återkommer till dessa nedan.

Skatteverket utfärdade under år 2017 cirka 160 000 id-kort. I jäm- förelse med Polismyndigheten som utfärdade cirka 1,8 miljoner pass och nationella identitetskort framstår antalet som blygsamt. Vid enskilda servicekontor är antalet utfärdade id-kort dessutom så lågt att det torde vara svårt att upprätthålla den kompetens som krävs. Skatteverket utfärdar således inte alls identitetshandlingar i samma omfattning som Polismyndigheten. Detta gör, tillsammans med den omständigheten att Skatteverkets id-kortsverksamhet har pågått för- hållandevis kort tid, att Skatteverkets erfarenhet av att utfärda iden- titetshandlingar inte är i närheten av den som finns vid Polismyn- digheten.

Polismyndigheten har, som även Id-kortutredningen påpekade, stor erfarenhet av identitetsbedömningar även i den polisiära verk- samheten. Identitetsbedömningar är t.ex. ett inte ovanligt inslag vid sådana inre utlänningskontroller som anges i 9 kap. 9 § utlännings- lagen (2005:716). Polismyndigheten bör tillhöra de myndigheter som har bäst kompetens när det gäller att avgöra om en person styrkt sin identitet. Även Skatteverket gör identitetsbedömningar i vissa ären- den. Förutom i id-kortsärenden görs detta t.ex. i vissa folkbokför- ingsärenden. De identitetsbedömningar som görs i folkbokförings- ärendena är dock av delvis annat slag och har ett annat syfte än den identitetsbedömning som görs i samband med utfärdande av en iden- titetshandling. Att låta Polismyndigheten ansvara för identifieringen i samband med ansökan om de statliga fysiska identitetshandlingarna bidrar bl.a. av det skälet enligt vår mening till att säkerställa utfärdan- deprocessen.

Det finns även ur säkerhetssynpunkt en särskild fördel med att det sker en oberoende granskning av den identifiering som gjorts i tidigare led av Migrationsverket och Skatteverket, något som även Id-kortsutredningen konstaterade. Migrationsverkets identitetsutred- ning genomförs som en del av utredningen i tillståndsprocessen. Sökanden behöver i många fall bara göra sin identitet sannolik.8 Det primära är dock att klargöra om sökanden är i en sådan situation att han eller hon måste få skydd i Sverige. Det förekommer därför att uppehållstillstånd beviljas även för personer som anses ha ett skydds- behov, men vars identitet inte är bekräftad. Både Skatteverket och

8Se t.ex. Migrationsöverdomstolens dom MIG 2007:12.

207

Begränsning av antalet utfärdare

SOU 2019:14

Migrationsverket har således ett något annat syfte med sina identi- tetskontroller än den kontroll som görs vid utfärdande av identitets- handlingar. Om ansvaret för att utfärda identitetshandlingar läggs på Polismyndigheten kan den myndigheten göra en egen fristående be- dömning av om identiteten är styrkt.

Polismyndighetens verksamhet med utfärdande av nationella identitetskort och pass bedöms effektiv och tillförlitlig. Skillnaderna mellan att utfärda id-kort med eller utan funktion som resehandling är, som också Id-kortsutredningen påpekade, knappast så stora att det skulle saknas möjligheter att använda sig av den befintliga struk- turen. Att däremot lägga över ansvaret för att utfärda resehandlingar på Skatteverket skulle medföra ett större omställningsarbete, inte minst eftersom det skulle bli en avsevärt större ökning av antalet ärenden än om ansvaret läggs på Polismyndigheten.

En viktig omständighet som tillkommit sedan Id-kortsutred- ningen lämnade sitt förslag, vilket också är anledningen till vårt upp- drag, är den ökade bedrägeribrottsligheten där missbruk av identiteter och identitetshandlingar spelar en stor roll. Polismyndigheten har det huvudsakliga ansvaret för arbetet med att motverka bedrägeri- brottsligheten. Sambandet mellan identitetshandlingar och bedräge- ribrottslighet talar enligt vår mening starkt för att Polismyndigheten bör tilldelas ansvaret för att utfärda de statliga fysiska identitets- handlingarna. Polismyndighetens erfarenheter från det brottsbe- kämpande arbetet, där falska eller felaktiga identitetshandlingar används i bedrägligt syfte, är värdefull för att utveckla och säkra ut- färdandeprocessen. Kunskapen om och erfarenheterna från utfär- dandeverksamheten kan även gagna brottsbekämpningen. Att ge Polismyndigheten ansvaret för utfärdandet kan således förväntas leda till samordningsvinster för båda delarna av verksamheten. En sådan ordning har därför goda förutsättningar att verka i brottsföre- byggande riktning.

En annan fördel med att lägga ansvaret hos Polismyndigheten är att myndigheten redan har lanserat en e-tjänst för kontroll av giltig- heten när det gäller de identitetshandlingar som utfärdas av myn- digheten. E-tjänsten, som beskrivs i avsnitt 13.2, kan användas av exempelvis banker eller andra som gör identitetskontroll för att på ett enkelt sätt kontrollera giltigheten av svenska pass och nationella identitetskort. Tjänsten har inneburit att kontrollen av identitets- handlingarnas giltighet har förenklats och effektiviserats avsevärt.

208

SOU 2019:14

Begränsning av antalet utfärdare

Det är av stor vikt att det finns ett effektivt sätt att kontrollera en identitetshandlings giltighet. En enkel kontroll mot utfärdaren min- skar risken för missbruk av identitetshandlingar samtidigt som den medför stora effektivitetsvinster. Det finns alltså redan en väl fun- gerande e-tjänst för kontroll hos Polismyndigheten vilket inte finns hos Skatteverket. E-tjänsten bör kunna användas även för kontroll av id-kort som inte kan användas för resa. Om Polismyndigheten blir enda utfärdare möjliggörs dessutom en vidareutveckling av kon- trollen så att den på sikt skulle kunna bli helt automatiserad. Exem- pelvis skulle det vid en avläsning av uppgifter på kortet kunna skickas en automatisk förfrågan till e-tjänsten varvid svar erhålls utan att den som utför kontrollen själv behöver slå in några uppgifter. En sådan lösning försvåras av att det i dag finns flera utfärdare.

Ansökan om de id-kort som utfärdas av Skatteverket kan göras på 27 platser. Därutöver finns det ytterligare 18 kontor där det är möj- ligt att hämta ut färdiga id-kort. Servicekontorsutredningen har, som framgått i avsnitt 6.5.1, föreslagit att dessa ska vara kvar i avvaktan på att vi redovisar våra förslag. Pass och nationellt identitetskort ut- färdas av Polismyndigheten på omkring 110 platser. Därutöver finns det ytterligare cirka 40 utlämningsställen. Tillgängligheten för all- mänheten är alltså väsentligt bättre hos Polismyndigheten än hos Skatteverket.

Vi föreslår i avsnitt 11.4.4 att både ansiktsbild och fingeravtryck ska sparas på ett lagringsmedium i de statliga identitetskorten precis som gäller för pass i dag. Hantering av sådana uppgifter är särskilt känslig och kräver särskild säkerhet i processen. Polismyndigheten hanterar redan i dag ansiktsbild och fingeravtryck som sparas i ett lagringsmedium i passen samt ansiktsbild som sparas i de nationella identitetskortens lagringsmedium. Myndigheten har dessutom stor vana vid att hantera sådana uppgifter i den polisiära verksamheten. Polismyndigheten har alltså redan den erfarenhet och kunskap som krävs medan Skatteverket inte har samma vana vid att hantera sådana uppgifter.

Ett annat argument som talar för Polismyndigheten som utfär- dare är att myndigheten har goda förutsättningar för att bedriva det informationsarbete som vi ser behov av. En av förklaringarna till de brister som i vissa fall finns i kontrollen av en persons identitet är okunskap om vad man ska titta på och varför. Det är därför av stor vikt att öka kunskapen om hur kontroller ska utföras och förståelsen

209

Begränsning av antalet utfärdare

SOU 2019:14

för varför kontroller behöver göras hos den personal som utför iden- titetskontroller i olika verksamheter. Inom Polismyndigheten finns en stor kunskap om såväl de bedrägerier som utförs med användning av identitetshandlingar som utfärdandeprocessen. Det är värdefullt för verksamheter som ägnar sig åt identitetskontroller att få del av den kunskapen. Genom att öka kunskapen om hur bedrägerier går till kan risken för att bedrägerier genomförs minskas.

Sammantaget finns det alltså enligt vår uppfattning mycket starka skäl som talar för att Polismyndigheten ska utfärda de statliga fysiska identitetshandlingarna.

Som skäl emot denna ordning kan anföras att Polismyndighetens verksamhet bör renodlas i syfte att frigöra resurser för att förstärka kärnverksamheten, dvs. att upprätthålla allmän ordning och säker- het. Detta angavs som skäl för beslutet att Skatteverket skulle ut- färda identitetskort för folkbokförda i Sverige, trots att Id-kortsut- redningen på goda grunder föreslog att ansvaret skulle läggas på Polismyndigheten. Frågan om renodling av polisens verksamhet har genom åren varit föremål för olika utredningar. Polisverksamhets- utredningen gjorde år 2001 den bedömningen att passhanteringen varken krävde polismans befogenheter eller kunskap eller kunde mo- tiveras av polisens uppgift att upprätthålla allmän ordning och säker- het och att passhanteringen därmed till stor del saknade polisiär rele- vans. Utredningen kom trots det fram till att polisen fortfarande borde vara passmyndighet. Det huvudsakliga skälet var att ett över- förande av passärendena till någon annan myndighet skulle innebära så stora konsekvenser för framför allt poliskontoren i glesbebyggda områden, som skulle kunna tvingas lägga ner, att det skulle få orim- liga konsekvenser ur servicesynpunkt.9

Det skäl som gjorde att Polisverksamhetsutredningen inte före- slog att passverksamheten skulle föras över till en annan myndighet är alltjämt gällande. Det finns orter där det skulle vara svårt att upp- rätthålla en receptionsverksamhet om Polismyndigheten inte längre skulle bedriva pass- och id-kortsverksamhet eftersom övrig recep- tionsverksamhet inte har så stor omfattning. Om verksamheten flyt- tas från Polismyndigheten finns det därför en risk att ett antal polis- kontor skulle behöva stänga. Även om inte avgiftsintäkterna från pass- och id-kortsverksamheten finansierar annan receptionsverk- samhet så motiverar verksamheten att det även finns en mottagning

9SOU 2001:87 s. 125 ff. och SOU 2002:70 s. 172 f.

210

SOU 2019:14

Begränsning av antalet utfärdare

för andra ärenden, exempelvis tillståndsärenden. Många medborgare har dessutom bara kontakt med Polismyndigheten i samband med ansökan om pass eller id-kort. Verksamheten blir då en viktig del för att skapa förtroende för myndigheten. Ett bra bemötande och ser- vicemottagande i ett passärende kan öka förtroendet för Polismyn- digheten vilket kan bli avgörande för om medborgaren i ett annat sammanhang väljer att göra en anmälan, ställa upp som vittne eller liknande.

Argumentet att en överflyttning av pass- och id-kortshanteringen till Skatteverket skulle medföra en renodling av Polismyndighetens verksamhet och medföra att resurser frigörs till Polismyndighetens övriga verksamhet är inte helt adekvat. Rimligen skulle, som också Polisverksamhetsutredningen konstaterade, resurser som motsvarar pass- och id-kortshanteringen behöva föras över från Polismyndig- heten till Skatteverket. Verksamheten är dessutom avgiftsfinansie- rad. Om verksamheten skulle flytta från Polismyndigheten flyttas även avgiftsintäkterna. Det är således svårt att se att det brottsbe- kämpande arbetet skulle komma att gynnas av att pass- och id-korts- verksamheten flyttas bort från Polismyndigheten. Tvärtom gör vi, som ovan framgått, snarare bedömningen att det brottsförebyggan- de arbetet gynnas av att myndigheten har denna verksamhet.

Det kan visserligen hävdas att utfärdande av identitetshandlingar inte tillhör Polismyndighetens kärnverksamhet, men det kan å andra sidan inte heller sägas vara främmande för den verksamheten. Vi menar i stället att den rådande samhällsutvecklingen med en kraftig ökning av bedrägeribrottsligheten och där brott många gånger begås med hjälp av förfalskade eller felaktiga identitetshandlingar gör att det numera finns starka skäl att verksamheten avseende utfärdande av identitetshandlingar är samordnad med Polismyndighetens brotts- bekämpande verksamhet. Polismyndigheten bör genom en sådan ordning få ökade förutsättningar att förebygga bedrägeribrott. Upp- giften att utfärda pass och id-kort kan därför i dag, på ett annat sätt än då Polisverksamhetsutredningen tog ställning i frågan, motiveras av Polismyndighetens kärnuppgift att upprätthålla allmän ordning och säkerhet.

Det finns således enligt vår uppfattning starka skäl för att Polis- myndigheten ska ansvara för utfärdande av de statliga fysiska iden- titetshandlingarna. Vi har funnit få skäl som talar emot en sådan ord- ning. Vid de kontakter som utredningen har haft med ledningen för

211

Begränsning av antalet utfärdare

SOU 2019:14

Polismyndigheten och Skatteverket har framkommit att båda myn- digheterna är positiva till att Polismyndigheten tar detta ansvar. Polis- myndigheten ser fördelar ur ett brottsförebyggande perspektiv med att arbetet med att bekämpa bedrägeribrott kan samordnas med ut- färdande av identitetshandlingar. Vi föreslår därför att Polismyndig- heten ska ha huvudansvaret för att utfärda de statliga fysiska identi- tetshandlingarna, dvs. pass och statligt identitetskort.

Behovet av att utlandsmyndigheterna kan utfärda pass och id-kort till svenska medborgare kvarstår. Detsamma gäller Utrikesdeparte- mentets möjlighet att utfärda pass i vissa fall. Våra förslag innebär inte någon förändring beträffande den hantering som i dag sker vid dessa myndigheter.

9.4.4Behov av författningsändringar

Att Polismyndigheten tar över id-kortsverksamheten från Skatte- verket föranleder en del författningsändringar av mer formellt slag. I de författningar som reglerar utfärdande av id-kort bör det till en början framgå att Polismyndigheten är utfärdare. Någon ändring be- höver dock inte göras i förordningen (2014:1102) med instruktion för Polismyndigheten eftersom det i 1 § anges att myndighetens uppgifter och ansvar framgår av polislagen (1984:387), polisförord- ningen (2014:1104) och av andra författningar. Däremot bör bestäm- melsen om att Skatteverket utfärdar identitetskort för folkbokförda i Sverige i 3 § förordningen (2017:154) med instruktion för Skatte- verket upphävas. Detsamma gäller bestämmelsen i 3 § 3 förordning- en (2009:315) om samtjänst vid medborgarkontor som möjliggör utfärdande av id-kort på servicekontoren, för det fall bestämmelsen alltjämt kvarstår efter att de författningsändringar som har samband med övergången av servicekontorsverksamheten till Statens service- center genomförts.10

Även bestämmelsen i 38 § första stycket 2 i Skatteverkets instruk- tion, som anger att Skatteverket ska disponera intäkter från avgifter som myndigheten tar ut i id-kortsverksamheten, bör upphävas. Någon motsvarande bestämmelse finns inte i Polismyndighetens in- struktion. Det följer i stället av budgetpropositionen och reglerings-

10Jämför prop. 2018/19:47.

212

SOU 2019:14

Begränsning av antalet utfärdare

brevet för myndigheten att avgiften för pass och nationellt identi- tetskort disponeras av myndigheten. Om detta är en lämplig ordning även framgent eller om det i stället bör införas en reglering av av- gifterna i förordning tar vi inte ställning till. Det är en fråga som bäst lämpar sig för regeringen att ta ställning till i ett senare skede.

Vidare bör bestämmelsen i 13 § utlänningsdataförordningen (2016:30) som tillåter att Skatteverket har direktåtkomst till uppgif- ter hos Migrationsverket som behövs för handläggningen av en an- sökan om id-kort upphävas. Eftersom detta är uppgifter som Polis- myndigheten och de utlandsmyndigheter som är passmyndigheter kommer att behöva bör det i stället införas en bestämmelse om direkt- åtkomst för dessa myndigheter. Bestämmelser om direktåtkomst och uppgiftsskyldighet för Migrationsverket finns i dag också i 14 § IdF men föreslås i avsnitt 10.2.3 föras in i en ny förordning om stat- liga identitetshandlingar. Anpassning krävs även av bestämmelsen i 6 § offentlighets- och sekretessförordningen (2009:641) som i dag reglerar sekretessen i Skatteverkets databas över identitetskort för folkbokförda i Sverige och Polismyndighetens register över natio- nella identitetskort. Bestämmelsen bör framöver gälla för samma upp- gifter i Polismyndighetens register över de statliga identitetskorten. Eftersom direktåtkomsten kommer att avse samma uppgifter som ska få behandlas för samma ändamål som i dag gäller för Skatteverket är de överväganden som tidigare gjorts beträffande behovet och integ- ritetsskyddsaspekten alltjämt aktuella. Detsamma gäller de övervägan- den som gjorts beträffande sekretess.11 Någon ny bedömning i dessa avseenden behöver därför inte göras.

11Finansdepartementets promemoria Vissa id-kortsfrågor 2010-04-21 och prop. 2015/16:65 s. 88–91.

213

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

10.2En ny lag om statliga identitetshandlingar

10.2.1Ett statligt identitetskort med eller utan funktion som resehandling

Utredningens förslag: De identitetskort som i dag betecknas nationellt identitetskort och identitetskort för folkbokförda i Sverige ska ersättas av ett statligt identitetskort med eller utan funktion som resehandling. Endast svenska medborgare ska kunna få ett kort med funktion som resehandling, men de ska kunna välja att i stället ansöka om att få ett kort utan sådan funktion.

En gemensam författning om statligt utfärdade identitetskort

Pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige regleras i dag i separata författningar. Pass och identitetskort för folkbokförda i Sverige regleras i lag med kompletterande bestäm- melser i förordning medan bestämmelser om nationellt identitets- kort endast finns på förordningsnivå. Merparten av bestämmelserna om utfärdande i de olika författningarna ser likadana eller liknande ut. Ett effektivt sätt att se till att regelverken blir enhetliga är att reglera samtliga statliga fysiska identitetshandlingar i samma författ- ning. Eftersom vi föreslår att en och samma myndighet ska utfärda handlingarna skulle en sådan ordning även underlätta för tillämparen som då endast skulle ha ett regelverk att förhålla sig till.

Passet är primärt en resehandling och passlagstiftningen innehåller, förutom bestämmelser om utfärdandet, även bestämmelser om skyl- digheten att medföra pass vid in- och utresa samt de kontroller som då ska göras. Passregleringen innehåller dessutom ett antal bestäm- melser kopplade till passhinder som inte är aktuella beträffande id- korten. Det verkar därför mindre lämpligt att sammanföra den regler- ingen med bestämmelserna om id-kort.

Även det nationella identitetskortet kan användas vid resa till andra EU-länder. Det är dock inte primärt en resehandling utan en identitetshandling med vilken innehavaren även kan styrka sitt med- borgarskap i syfte att visa att denne har rätt att uppehålla sig i en annan medlemsstat. Kortet används också, på samma sätt som iden-

216

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

titetskort för folkbokförda i Sverige, som ett id-kort i Sverige. Skill- naden mellan de båda id-korten när det gäller kortets innehåll är liten, i huvudsak består den av att uppgift om medborgarskap endast framgår av det nationella identitetskortet. Att sammanföra regler- ingen avseende dessa båda id-kort skulle göra det enklare att få utfär- dandeprocessen mer överskådlig och enhetlig. Det skulle också under- lätta för utfärdaren som då endast behöver tillämpa ett och samma regelverk. Eftersom det är på dessa båda id-kort som vi i avsnitt 12.4 föreslår att det ska finnas en statlig e-legitimation skulle en gemen- sam författning även underlätta regleringen av e-legitimationen.

Även om bestämmelserna förs samman kommer det dock att finnas ett behov av att ha kvar viss särreglering. De bestämmelser som krävs för att reglera avvikelserna är dock inte fler än att fördel- arna med en sammanhållen reglering väger över denna nackdel. Vi menar därför att de statligt utfärdade id-korten bör regleras i en gemensam författning.

Identitetskortens beteckning

Om id-korten regleras i samma författning och utfärdas av samma myndighet är skälen för att korten ska ha olika beteckning inte längre lika starka. Att endast kort som utfärdas för svenska med- borgare kan användas vid resor inom EU bör kunna markeras fysiskt på korten på liknande sätt som i Finland.

Begreppet nationellt identitetskort används inte i rörlighetsdirek- tivet. Inte heller i det förslag till Europaparlamentets och rådets för- ordning om säkrare identitetskort för unionsmedborgare och uppe- hållshandlingar som utfärdas till unionsmedborgare och deras famil- jemedlemmar när de utövar rätten till fri rörlighet COM (2018) 212 som lämnades av EU-kommissionen under 2018 (EU:s id-kortsför- ordning) används begreppet. Det finns således inte några EU-rätts- liga krav på att korten benämns på det sättet. Av förslaget till EU:s id-kortsförordning, som om det antas kommer att vara tillämplig på de id-kort som kan användas som resehandling, framgår i stället att benämningen identitetskort ska anges på kortet. Detta ska anges på ytterligare minst ett officiellt EU-språk.

217

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Både regleringen och den praktiska hanteringen förenklas om korten benämns på samma sätt. Vi föreslår att de ska betecknas statliga identitetskort. På så sätt går de att särskilja från identitets- kort som utfärdas av andra aktörer. Det statliga identitetskortet kan utfärdas med eller utan funktion som resehandling beroende på om det avser en svensk medborgare eller inte. Att kortet utfärdas med funktion som resehandling innebär att det, precis som det nationella identitetskortet, kan användas vid resor inom EU. Även om kortet i författning benämns statligt identitetskort hindrar det givetvis inte att det på det fysiska kortet endast anges identitetskort om det be- döms lämpligt eller nödvändigt mot bakgrund av kommande EU- reglering.

En person – ett identitetskort

Det är som framgått ovan endast svenska medborgare som kan få ett identitetskort med funktion som resehandling utfärdat. Om id-kor- ten utfärdas av samma myndighet och regleras i samma författning finns det anledning att på nytt överväga om svenska medborgare både ska kunna få ett kort med funktion som resehandling och ett utan sådan funktion utfärdat med giltighet under samma tid.

Att begränsa antalet identitetshandlingar som utfärdas är av stor vikt för att motverka missbruk och det ligger också i våra direktiv att undersöka hur det ska kunna ske. En person kan enligt gällande lag- stiftning endast inneha en identitetshandling av samma slag samti- digt. Det följer av bestämmelserna om att en tidigare utfärdad hand- ling av samma slag ska lämnas in för makulering i samband med ansökan (se t.ex. 3 § fjärde stycket förordningen om nationellt iden- titetskort). Det har emellertid inneburit att en person har kunnat ha både ett nationellt identitetskort och ett kort för folkbokförda sam- tidigt eftersom de inte ansetts vara av samma slag.

Vi föreslår i avsnitt 10.2.9 att en liknande bestämmelse ska finnas i den nya lagen. Eftersom vi föreslår att de båda tidigare korten ska ses som ett kort medför det att en person inte kommer att kunna inneha både ett id-kort som kan användas som en resehandling och ett som inte har denna funktion samtidigt. Det finns som vi ser det inget skäl varför en svensk medborgare förutom pass skulle behöva två identitetshandlingar. Dubbleringen motverkar syftet med våra

218

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

förslag, dvs. att minska antalet identitetskort som är i omlopp sam- tidigt, och bör därför inte tillåtas.

Frågan är då om en svensk medborgare ska kunna välja vilket av dessa kort som ansökan ska omfatta. Vi kan i och för sig inte se att det finns något större behov för svenska medborgare att inneha ett kort utan funktion som resehandling. Det finns dock, som framgått, svenska medborgare som innehar identitetskort för folkbokförda i Sverige i dag. En förklaring kan vara att det kortet, till skillnad från det nationella identitetskortet, innehåller en e-legitimation. Det kan också vara så att det inte är känt för alla att det finns ett nationellt identitetskort. Det kan emellertid även finnas andra förklaringar till varför svenska medborgare väljer att ansöka om ett sådant kort

istället för ett nationellt identitetskort som gör att det bör övervägas om en möjlighet att ansöka om ett id-kort utan funktion som rese- handling bör kvarstå.

Id-kortsutredningen övervägde inför införandet av identitetskort för folkbokförda i Sverige om svenska medborgare endast skulle kunna ansöka om nationellt identitetskort och inte identitetskort för folkbokförda i Sverige.1 Utredningen anförde att en central ut- gångspunkt för integrationspolitiken är att särlösningar som riktar sig till personer med utländsk bakgrund som grupp bör begränsas till insatser och åtgärder som kan behövas under den första tiden i Sverige. Därefter ska dessa personer endast få insatser från den generella politiken och dess generella insatser. Anledningen är framför allt att samhället inte ska peka ut personer med utländsk bakgrund som annorlunda. Vårt förslag om att det statliga identitetskortet ska ses som ett kort, med eller utan funktion som resehandling, innebär emellertid att skillnaden mellan de båda korten minskar vilket i sin tur leder till att de särlösningar för personer med utländsk bakgrund som skulle undvikas genom att svenska medborgare fick ansöka om identitetskortet för folkbokförda i Sverige försvinner. Det talar för att svenska medborgares id-kort alltid skulle ha funktion som rese- handling.

Id-kortsutredningen menade dock att det inte kunde uteslutas att det finns svenska medborgare som har skäl att föredra identitetskort för folkbokförda i Sverige före det nationella identitetskortet. Dess- utom menade utredningen att om även svenska medborgare kan få identitetskort för folkbokförda i Sverige finns det större möjligheter

1SOU 2007:100 s. 81 f. och 103 f.

219

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

att vid behov införa regler om återkallelse av det nationella identi- tetskortet när det gäller bl.a. personer som är intagna på kriminal- vårdsanstalt, på samma sätt som gäller för pass, eftersom dessa då kan få ett annat id-kort. Att ha tillgång till en identitetshandling är viktigt i arbetet med att förbereda personer som avtjänar fängelse- straff för tillvaron utanför anstalten. Utredningen gjorde mot den bakgrunden bedömningen att det var en bättre lösning att låta alla som är folkbokförda i landet, dvs. även svenska medborgare, få an- söka om identitetskort för folkbokförda i Sverige. Det kan i sam- manhanget noteras att regeringen, i samband med att möjligheten att resa med det nationella identitetskortet utvidgades till att avse resa till samtliga EU-medlemsstater, gjorde bedömningen att det inte var motiverat att införa sådana bestämmelser om återkallelse och hinder mot att få nationellt identitetskort som finns beträffande pass. Regeringen avsåg dock att följa utvecklingen i frågan.2

Ytterligare en omständighet som talar för att även svenska med- borgare bör ges möjlighet att ansöka om ett identitetskort utan funk- tion som resehandling är att dessa kort kan antas vara mindre stöld- begärliga. Om en person inte har behov av en resehandling finns det därför även ur ett säkerhetsperspektiv anledning att tillåta att denne i stället får inneha en identitetshandling som inte har denna funk- tion. Som framgår av avsnitt 10.2.7 kommer vi att föreslå ett för- farande med ansökan genom bud när personer på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan komma till den utfär- dande myndighetens lokaler för att ansöka om id-kort. Vi anser att det även i dessa fall finns skäl att inte förse korten med funktionen resehandling.

Mot bakgrund av ovanstående har vi har inte anledning att göra en annan bedömning än Id-kortsutredningen i frågan om även svens- ka medborgare ska få ansöka om identitetskort som inte kan an- vändas vid resa. Svenska medborgare som av någon anledning önskar ansöka om ett id-kort utan funktion som resehandling bör därför kunna få ett sådant utfärdat i stället för ett identitetskort som sam- tidigt utgör en resehandling.

I dag kan inte en person som är svensk medborgare utan att vara folkbokförd i Sverige få ett kort som inte fungerar som resehandling utfärdat. Även svenska medborgare som inte bor i Sverige kan dock ha behov av ett id-kort som inte samtidigt är en resehandling. Det

2Prop. 2014/15:69 s. 14 f.

220

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

förfarande med ansökan genom bud som nämns ovan bör exem- pelvis omfatta även dessa personer. Det kan också finnas andra skäl som gör att ett sådant behov finns. Även svenska medborgare som inte är folkbokförda i landet bör därför kunna få ett identitetskort utan funktion som resehandling.

10.2.2En ny lag med bestämmelser om statligt identitetskort införs

Utredningens förslag: Det statliga identitetskortet ska regleras i en ny lag om statliga identitetshandlingar. Lagen ska komplette- ras med en ny förordning.

Identitetskort för folkbokförda i Sverige reglerades till en början i förordningen (2009:284) om identitetskort för folkbokförda i Sverige. Med anledning av införandet av bestämmelsen i 2 kap. 6 § andra stycket regeringsformen (RF) gjordes en översyn i syfte att bedöma om bestämmelserna måste eller borde tas in i lag.

Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det all- männa skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartlägg- ning av den enskildes personliga förhållanden. Inskränkningar kan enligt 2 kap. 20 § RF endast göras genom lag och bara under de för- utsättningar som anges i 2 kap. 21 § RF. Av den bestämmelsen följer att begränsningar endast får göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

I förarbetena till bestämmelsen i 2 kap. 6 § andra stycket RF an- ges att en åtgärd som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas förhållanden. Så torde enligt för- arbetena vara fallet i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. Uppgifter i register och databaser med information som är knuten till en myndighets ärendehantering är i

221

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

många fall tillgängliga för myndigheten på ett sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kart- läggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.

Av förarbetena framgår också att bestämmelsen endast omfattar sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes pri- vata sfär. Stor vikt ska vid bedömningen läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt sett anses vara. Även ändamålet med behand- lingen har stor betydelse vid bedömningen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Därutöver kan mäng- den uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen.3

Regeringen gjorde i det ovan nämnda lagstiftningsärendet be- dömningen att vissa bestämmelser om identitetskort för folkbok- förda i Sverige skulle föras in i lag. Regeringen kom fram till att det var lämpligt att i lag reglera de mest centrala kriterierna för att ut- färda ett identitetskort, vissa krav i samband med ansökan, grunder för återkallelse och grundläggande bestämmelser om den databas som förs i verksamheten med id-korten.4 Översynen resulterade därför i en ny lag om identitetskort för folkbokförda i Sverige som trädde i kraft den 1 januari 2016 och som kompletteras av en förord- ning.

När det gäller tillämpligheten av 2 kap. 6 § andra stycket RF gör

viföljande överväganden. I det register över identitetskort som be- rörs i avsnitt 10.3 behandlas sådana uppgifter om enskildas person- liga förhållanden som avses i bestämmelsen. Eftersom den enskilde inte har något annat val än att låta den utfärdande myndigheten be- handla vissa av hans eller hennes personuppgifter för att kunna få ett statligt identitetskort kan behandlingen av personuppgifterna inte anses ske med ett sådant samtycke som avses i bestämmelsen. Som

3Prop. 2009/10:80 s. 180 ff. och 250.

4Prop. 2015/16:28 s. 57 f.

222

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

framgår av avsnitt 10.3.1 är samtycke inte heller den rättsliga grund som behandlingen stöder sig på enligt dataskyddsförordningen.

När det gäller frågan om behandlingen av personuppgifterna i registret kan anses innebära kartläggning är alltså inte syftet med behandlingen avgörande utan vilken effekt åtgärden har. Id-korts- registret innehåller uppgifter om bl.a. namn, personnummer, längd och kön. Registret innehåller även ansiktsbilder och kommer, i en- lighet med vårt förslag i avsnitt 11.4.4, även att innehålla biometriska uppgifter som tas fram ur ansiktsbilderna. Även om syftet med be- handlingen av personuppgifterna i registret är ett helt annat får den därmed anses innefatta en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket RF.

Frågan är då om behandlingen innebär ett betydande intrång i den personliga integriteten. Det är som nämnts bara vissa kvalificerade intrång som omfattas av grundlagsskyddet. I registret behandlas en förhållandevis stor mängd personuppgifter. Registret kommer att innehålla ansiktsbilder och biometriska uppgifter som tas fram ur dessa. Vi föreslår också att biometriska jämförelser av ansiktsbilder ska få göras i samband med ansökan om id-kort. Detta är omstän- digheter som skulle kunna tala för att intrånget i den enskildes per- sonliga integritet ska anses vara betydande.

Även ändamålet med behandlingen av personuppgifterna måste dock beaktas. Uppgifterna i registret behandlas för att id-kort ska kunna utfärdas och id-kortsverksamheten i sig kan inte betraktas som särskilt integritetskänslig. De flesta av de personuppgifter som behandlas är inte av känslig karaktär. De biometriska uppgifter som tas fram ur ansiktsbilderna ska endast i begränsad omfattning kunna användas som sökbegrepp. Vidare har den enskilde kännedom om att personuppgifterna behandlas, eftersom han eller hon har ansökt om id-kort och därvid lämnat sina uppgifter.

Behandlingen av personuppgifter i id-kortsregistret får mot denna bakgrund anses innebära ett visst intrång i den enskildes personliga integritet, men inte så betydande att det omfattas av grundlagsskyd- det i 2 kap. 6 § andra stycket RF. Det innebär att behandlingen av personuppgifter i registret inte på grund av den bestämmelsen be- höver regleras i lag.

Eftersom id-kortsregistret som framgått innehåller uppgifter om ett stort antal personer och vissa av uppgifterna är av mer integri- tetskänsligt slag framstår det dock ändå som lämpligt att i huvudsak

223

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

ta in bestämmelserna om behandling av personuppgifter i lag. I sam- manhanget kan också nämnas att både riksdagen och regeringen har uttalat att myndighetsregister som innehåller ett stort antal registre- rade och har ett särskilt känsligt innehåll bör regleras i lag.5 Även de mest centrala kriterierna för att utfärda ett id-kort, vissa krav i sam- band med ansökan och grunder för återkallelse är, som konstatera- des i det tidigare lagstiftningsärendet, lämpliga att reglera i lag. Vi kommer därmed till samma slutsats när det gäller frågan om regle- ringen bör tas in i lag eller förordning som i det tidigare lagstiftnings- arbetet. Den sammanhållna regleringen avseende identitetskorten bör således införas i en ny lag som innehåller de mest centrala be- stämmelserna. Mer detaljerade bestämmelser bör föras in i en kom- pletterande förordning.

Eftersom vi i avsnitt 12.6 även föreslår att bestämmelser om den statliga e-legitimationen ska tas in i de nya författningarna bör dessa benämnas lagen respektive förordningen om statliga identitetshand- lingar. Att även passen är en statlig identitetshandling, som regleras i en separat lag, framgår av den bestämmelse som anger att statligt identitetskort och pass är de fysiska identitetshandlingar som staten utfärdar, som vi föreslår i avsnitt 8.6.

Som en följd av att de nya författningarna införs bör IdL, IdF och förordningen om nationellt identitetskort upphävas.

10.2.3Övergripande om den nya regleringen

Utredningens förslag: De bestämmelser som finns i de författ- ningar som i dag reglerar nationellt identitetskort och identi- tetskort för folkbokförda i Sverige förs med i huvudsak oföränd- rat innehåll in i den nya lagen eller i den nya förordningen om statliga identitetshandlingar.

Vissa bestämmelser som i dag finns i förordning förs in i lag.

De bestämmelser som finns i de författningar som i dag reglerar na- tionellt identitetskort och identitetskort för folkbokförda i Sverige bör med i huvudsak samma innehåll föras in i lagen och förordningen om statliga identitetshandlingar. Bestämmelserna som i samband med

5Bet. 1990/91:KU11 s. 11 och prop. 1990/91:60 s. 58.

224

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

det i avsnitt 10.2.2 nämnda lagstiftningsarbetet avseende IdL place- rades i lag föreslår vi, om inget annat anges, ska föras över till den nya lagen om statliga identitetshandlingar och omfatta även iden- titetskort med funktion som resehandling. På motsvarande sätt bör de bestämmelser som är placerade i förordning med några undantag föras in i den nya förordningen om statliga identitetshandlingar. Vissa bestämmelser som i dag finns på förordningsnivå föreslår vi dock ska föras in i lag. Det rör sig framför allt om bestämmelser som reglerar krav på personlig inställelse och id-kortets giltighetstid. Skä- let till det är att sådana bestämmelser är centrala för säkerheten i utfärdandet. De bestämmelser vi föreslår i avsnitt 11.4.4 om att den utfärdande myndigheten vid den personliga inställelsen ska ta sökan- dens fingeravtryck innebär dessutom en sådan olägenhet för den en- skilde att det utgör skäl för lagreglering. I vilka avseenden bestäm- melser som i dag finns i förordning bör föras in i lag återkommer vi till i de kommande avsnitten.

De bestämmelser som föreslås föras in i den nya lagen oföränd- rade eller med endast redaktionella ändringar berörs inte i avsnitten nedan. Det gäller bestämmelserna om att id-kortet ska utfärdas efter ansökan, att sökanden ska styrka sin identitet, övriga personupp- gifter och medborgarskap, att den utfärdande myndigheten ska ta sökandens ansiktsbild, under vilka förutsättningar en ansökan ska avslås samt att beslut enligt lagen ska gälla omedelbart. Inte heller berörs de bestämmelser som vi föreslår ska föras in i princip oför- ändrade i den nya förordningen. Det gäller krav på att ansökan ska göras skriftligen och undertecknas i närvaro av utfärdarens personal samt att en underårig sökande ska ge in medgivande från vårdnads- havare om det inte finns synnerliga skäl. Förutom dessa bestäm- melser bör även bestämmelserna som innehåller särskilda rutiner för utlandsmyndigheterna när det gäller översändande av information och återkallelse föras in i förordning. Detsamma gäller bestämmel- serna om skyldighet att överlämna ett identitetskort som har åter- kallats, tillgång till uppgifter hos Migrationsverket, makulering av identitetskort och avgift.

I IdL finns i dag ett antal bestämmelser som anger att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela ytterligare föreskrifter. Föreskrifterna får bl.a. avse ansökan och utfärdande av id-kort och förfarandet vid åter- kallelse. Det följer dock redan av bestämmelsen i RF att regeringen

225

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

får meddela föreskrifter om verkställighet av lag. Sådana bemyndi- ganden införs ibland i informationssyfte men är alltså inte nödvän- diga. Passlagen innehåller inte några motsvarande bestämmelser. Vi menar att bestämmelserna är överflödiga och att de därför inte bör föras in i den nya lagen om statliga identitetshandlingar.

När det gäller övriga bestämmelser än de som räknats upp ovan bör innehållet anpassas något för att regleringen av de båda id-korten ska bli enhetlig och för att utfärdandet ska bli säkrare. Dessa för- ändringar behandlas i avsnitten nedan.

10.2.4Åldersgräns

Utredningens bedömning: Det bör inte införas någon ålders- gräns för att få det statliga identitetskortet.

Identitetskort för folkbokförda i Sverige kan enligt 1 § IdL endast utfärdas till personer som har fyllt 13 år. För det nationella identi- tetskortet finns ingen åldersgräns vilket sannolikt har att göra med att det också kan användas som resehandling. Id-kortsutredningen angav att behovet av identitetskort för folkbokförda i Sverige var kopplat till behovet av att kunna utöva sin rättshandlingsförmåga. Id-kortsutredningen föreslog med hänvisning till en bestämmelse i 9 kap. 3 § föräldrabalken, som innebär att den som har fyllt 16 år själv får råda över vad han eller hon förvärvat genom eget arbete, att per- soner som fyllt 16 år skulle kunna få id-kortet.6 Åldersgränsen sattes dock till 13 år.

Behovet av att kunna identifiera sig torde inte vara så stort bland barn som är yngre än 13 år. I vissa situationer kan det dock finnas ett sådant behov, exempelvis vid uthämtande av en beställd vara.

Svenska medborgare har möjlighet att skaffa pass eller statligt identitetskort med funktion som resehandling oavsett ålder. Sådana handlingar får, som vi redan konstaterat, antas vara mer stöldbegär- liga än ett id-kort utan funktion som resehandling. Ur ett säkerhets- perspektiv är det därför mer lämpligt att tillåta att en yngre person som inte har behov av en resehandling i stället får inneha ett id-kort utan funktion som resehandling. Genom att ta bort åldersgränsen

6SOU 2007:100 s. 104.

226

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

blir också regleringen densamma för svenska medborgare och per- soner som är folkbokförda i landet. Vi anser därför att den nya lagen inte bör innehålla någon åldersgräns för att få id-kortet, oavsett om det rör sig om ett kort med eller utan funktion som resehandling. På samma sätt som i dag bör det i förordning regleras att en ansökan av en underårig person måste medges av vårdnadshavare om det inte finns synnerliga skäl.

10.2.5Id-kortets giltighetstid

Utredningens förslag: Att det statliga identitetskortet ska vara giltigt i fem år ska regleras i den nya lagen och inte längre anges i förordning. Regeringen eller den myndighet regeringen bestäm- mer ska få meddela föreskrifter om begränsning av giltighetstiden i särskilt angivna fall.

Giltighetstiden för såväl det nationella identitetskortet som iden- titetskortet för folkbokförda är högst fem år. Detta regleras i dag i förordning (5 § förordningen om nationellt identitetskort och 8 § IdF). Att giltighetstiden är begränsad till fem år är, som framgår av avsnitt 8.5.1, av stor betydelse ur ett säkerhetsperspektiv. Det inne- bär att innehavarens utseende inte hinner förändras i så stor utsträck- ning under giltighetstiden. Vidare minskar risken för att det samti- digt finns flera olika versioner av id-kortet tillgängligt på marknaden vilket försvårar kontrollen. Det gör också att det finns goda förut- sättningar för att handlingarna ska kunna innehålla de senaste säker- hetsdetaljerna vilket motverkar förfalskningar. Att id-kortet inte ska kunna utfärdas med en längre giltighetstid än fem år är enligt vår mening av så central betydelse att det finns skäl att reglera det i den nya lagen och inte, som i dag, i förordning.

Undantag som innebär en begränsning av giltighetstiden bör dock i särskilt angivna fall kunna föreskrivas av regeringen eller den myn- dighet regeringen bestämmer. I dag finns det i 5 § förordningen om nationellt identitetskort ett undantag när det gäller sökande som kan antas komma att förlora eller befrias från sitt svenska medborgar- skap. För dessa sökande ska kortet endast gälla till den tidpunkt då medborgarskapet beräknas upphöra. Det undantaget bör föras in i den nya förordningen. Även den bestämmelse om begränsning av

227

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

giltighetstiden som vi i avsnitt 11.4.4 föreslår för sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck bör föras in i förordning.

10.2.6Det statliga identitetskortets innehåll

Utredningens förslag: Ett identitetskort med funktion som rese- handling ska innehålla uppgift om innehavarens medborgarskap och ett kort utan funktion som resehandling en upplysning om att kortet inte har den funktionen.

Båda typerna av identitetskort ska i ett lagringsmedium på kortet innehålla en e-legitimation samt kortinnehavarens ansikts- bild och fingeravtryck.

Regeringen eller den myndighet som regeringen bestämmer ska kunna meddela föreskrifter om vilka andra uppgifter som det statliga identitetskortet ska innehålla.

Som anges i avsnitt 10.2.1 bör den omständigheten att endast kort som utfärdas för svenska medborgare kan användas vid resor inom EU markeras fysiskt på korten. Syftet med en sådan markering är att de id-kort som inte kan användas vid resa inte ska förväxlas med rese- handlingar. Det bör därför anges på id-kort utan funktion som rese- handling att de inte kan användas för att resa. En bestämmelse om detta bör föras in i den nya lagen. Texten bör anges på engelska efter- som informationen framför allt riktar sig till myndigheter i andra länder. Det kan också vara lämpligt att korten tillverkas i olika färger. Eftersom id-kort med funktion som resehandling ska kunna an- vändas för att styrka innehavarens rätt att uppehålla sig i ett annat EU-land bör det även regleras att sådana kort ska innehålla uppgift om innehavarens medborgarskap.

I lag bör också regleras att det i ett lagringsmedium på id-kortet ska finnas en statlig e-legitimation som vi föreslår i kapitel 12.4 samt kortinnehavarens fingeravtryck och ansiktsbild som vi föreslår i av- snitt 11.4.4. Se vidare övervägandena i dessa kapitel.

Det statliga identitetskortet måste naturligtvis också innehålla upp- gifter om innehavarens identitet, såsom namn och personnummer. De flesta personer som kommer att kunna få ett statligt identitets- kort har ett personnummer. Eftersom id-kortet ska kunna utfärdas

228

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

till alla svenska medborgare finns det dock ett behov av att de även innehåller samordningsnummer i vissa fall. Svenska medborgare som är födda utomlands och som aldrig har varit folkbokförda i Sverige har nämligen inte något personnummer. Kortet måste därför utfärdas med samordningsnummer för dessa personer. Enligt vår bedömning är det dock inte nödvändigt att i lag detaljreglera id-kortets innehåll. För det fall det uppstår behov av att uppställa krav på kortets inne- håll i övrigt bör detta kunna göras genom föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.

10.2.7Personlig inställelse

Utredningens förslag: Kravet på att sökanden ska inställa sig per- sonligen vid ansökan om och utlämnade av identitetshandlingar ska föras in i den nya lagen.

Personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten kan genom bud ansöka om identitetskort utan funktion som rese- handling. Att hinder föreligger ska styrkas med ett intyg från en företrädare för den inrättning för vård eller omsorg som sökan- den vistas på eller den som ansvarar för sökandens vård eller om- sorg. Till ansökan ska också bifogas ett välliknande fotografi.

Budet ska ansöka genom personlig inställelse och styrka sin identitet med en statlig fysisk identitetshandling eller ett pass från vissa länder i Europa. Budet och ett vittne ska i en skriftlig för- säkran intyga att det är sökanden som har gjort ansökan och att fotografiet föreställer sökanden. Identitetskortet får även lämnas ut till budet.

Personlig inställelse i samband med ansökan

I 3 § IdF och 2 § förordningen om nationellt identitetskort finns bestämmelser som innehåller krav på personlig inställelse vid ansök- an om id-kort. Som vi anfört i avsnitt 8.5.1 är det av stor vikt att sökanden inställer sig personligen när ansökan görs. På så sätt ökar förutsättningarna att fastställa sökandens identitet och därigenom

229

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

förhindra att id-kort utfärdas till fel person. Kravet på personlig in- ställelse vid ansökan om identitetskort är enligt vår mening av så central betydelse att det finns skäl att ta in det i den nya lagen och inte, som i dag, i förordning. Denna ordning gäller redan i dag för ansökan om pass (6 § första stycket passlagen). Vi föreslår dessutom i avsnitt 11.4.4 bestämmelser om att den utfärdande myndigheten ska ta sökandens fingeravtryck. Att vid en personlig inställelse låta myndigheten göra sådana kontroller innebär en sådan olägenhet för den enskilde att det även av det skälet är lämpligt att ta in kravet på personlig inställelse i lag. Kravet på personlig inställelse bör därför regleras i den nya lagen.

Personlig inställelse i samband med utlämnande

Sökanden ska enligt 9 § IdF och 6 § förordningen om nationellt identitetskort inställa sig personligen även vid utlämnande av identi- tetskortet. Även dessa bestämmelser har införts av säkerhetsskäl. Kra- vet på personlig inställelse i samband med utlämnande av identitets- kort bör, av de skäl som angetts ovan beträffande ansökan, föras in i den nya lagen. Detsamma gäller bestämmelsen i 6 § förordningen om nationellt identitetskort som ger utrymme för en utlandsmyndighet att medge att identitetskortet lämnas ut hos ett ombud för myndig- heten, eftersom det fortfarande finns behov av en sådan bestämmelse.

En personlig inställelse är emellertid resurskrävande för den ut- färdande myndigheten eftersom det krävs både personal och lokaler för att hantera de personliga besöken. Våra förslag kommer att med- föra ett ökat antal ansökningar om id-kort. Det kommer därmed att krävas ytterligare resurser hos den utfärdande myndigheten. Kravet på personlig inställelse både vid ansökan och vid utlämnande innebär dessutom att personer som bor långt ifrån någon av den utfärdande myndighetens lokaler vid två tillfällen måste resa en lång sträcka för att få sina identitetshandlingar. Sammantaget gör detta att det finns anledning att, både av effektivitetsskäl och av serviceskäl, överväga om det är möjligt att hantera utlämnandet på andra sätt än i dag. Det är dock viktigt att detta kan ske utan att det görs avkall på säker- heten.

Risken för att identitetshandlingar utfärdas på felaktiga grunder finns framför allt i det första steget i utfärdandeprocessen. Det är

230

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

därför av största vikt att ansökningsprocessen är kringgärdad av olika säkerhetsåtgärder. Ansökningsförfarandet skyddas förutom av kravet på personlig inställelse även av ett antal andra säkerhetshöj- ande föreskrifter. Bestämmelserna om att den utfärdande myndig- heten ska ta sökandens ansiktsbild och fingeravtryck (se avsnitt 11.4.4), att identiteten ska styrkas och att ansökan ska undertecknas i när- varo av myndighetens personal utgör exempel på sådana regler. Sam- mantaget medför denna reglering att ansökningsförfarandet uppnår en mycket hög nivå av säkerhet.

Av uppgifter från Polismyndigheten framgår att det i dag inte iden- tifierats som ett problemområde att personer försöker få ut iden- titetshandlingar som någon annan har ansökt om. Det är således inte i utlämnandesteget som de stora riskerna finns. Vi menar mot denna bakgrund att Polismyndigheten bör undersöka om utlämnandet skulle kunna effektiveras ytterligare utan att det därmed blir osäkert.

Vi föreslår i avsnitt 11.6.1 att Polismyndigheten i samband med utlämnandet ska kunna kontrollera sökandens fingeravtryck och ansiktsbild och jämföra dessa med de uppgifter som är lagrade i identitetshandlingens chip. Det förslaget möjliggör ett mer flexibelt utlämnande som också kan baseras på en riskbedömning. Det inne- bär att Polismyndigheten kan ersätta eller komplettera en kontroll av sökandens identitetshandling med en kontroll av fingeravtryck eller ansiktsbild. Förslaget öppnar dessutom för införandet av ett mer automatiserat utlämnande. Vi lämnar inte några ytterligare för- fattningsförslag i denna del eftersom vi bedömer att redan den be- fintliga regleringen ger utrymme för viss utveckling av utlämnande- processen. Frågan kan dock behöva övervägas på nytt beroende på vad Polismyndighetens utvecklingsarbete visar.

För att förbättra servicen till de som har långt till närmaste polis- station där id-kort utfärdas skulle man även kunna tänka sig att ut- lämnandet sker med hjälp av andra myndigheter. Utlämnande skulle då kunna ske på fler orter. Statens servicecenter, som enligt nuva- rande planering från och med den 1 juni 2019 kommer att ta över de servicekontor som i dag drivs gemensamt av Skatteverket, Försäk- ringskassan och Pensionsmyndigheten, skulle t.ex. kunna vara en lämp- lig myndighet att samverka med. Vi menar därför att Polismyndig- heten bör överväga om en sådan lösning är lämplig. Vi kan inte se att de förslag till reglering av id-kortsverksamheten som vi lämnar utgör hinder mot en sådan utveckling. Det finns däremot anledning att

231

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

överväga om det krävs andra författningsändringar för att en sådan samverkan ska vara möjlig. En sådan analys är dock inte möjlig att göra inom ramen för vårt uppdrag utan bör göras först då Polismyn- digheten bedömer att det finns förutsättningar för sådan samverkan.

Undantag från kravet på personlig inställelse för äldre, sjuka och personer med funktionsnedsättning

Tillgången till id-kortet för äldre, sjuka och personer med funktionsnedsättning

En konsekvens av vårt förslag att körkort inte ska godtas som iden- titetshandling i alla situationer är, som anges i avsnitt 8.5.2, att den enskilde kan behöva inställa sig personligen vart femte år för att för- nya sitt id-kort. För den som i dag använder körkortet som identi- tetshandling innebär detta en skillnad eftersom förnyelse av körkort inte kräver personlig inställelse. På grund av den personliga inställ- elsens centrala betydelse för säkerheten i utfärdandet har vi i det ovan nämnda avsnittet gjort bedömningen att fördelarna med den personliga inställelsen klart överväger nackdelarna för den enskilde.

Det finns dock personer som särskilt skulle kunna drabbas av vårt förslag. Det gäller t.ex. äldre personer eller personer som är allvarligt sjuka eller har någon fysisk eller psykisk funktionsnedsättning som gör att de inte kan ta sig till Polismyndighetens lokaler. Det finns i dag inte någon möjlighet att göra undantag från kravet på den per- sonliga inställelsen när ansökan om id-kort görs i Sverige. Det har kommit till utredningens kännedom att detta redan i dag förorsakar problem för personer med svåra fysiska eller psykiska funktionsned- sättningar. Eftersom personerna inte kan ta sig till utfärdaren har de inte någon möjlighet att få id-kort. För att göra id-kortet tillgängligt för alla menar vi att det bör övervägas om det är möjligt att införa en särskild process för de situationer då en person på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till utfärdarens lokaler.

232

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

Alternativa lösningar

Vi har övervägt om det skulle vara lämpligt att låta dessa personer göra en elektronisk ansökan. Vi har därför tittat närmare på det fins- ka systemet som innebär att en sökande vid ansökan om förnyelse av sitt id-kort varannan gång har möjlighet att göra ansökan elektro- niskt utan att inställa sig personligen. Detta gäller oavsett om perso- nen har möjlighet att ta sig till utfärdarens lokaler eller inte. För att kunna göra en ansökan elektroniskt i Finland måste sökanden ha lämnat namnteckningsprov och, när ansökan gäller pass, fingerav- tryck vid ett personligt besök hos myndigheten i samband med före- gående ansökan. Identifiering sker genom användning av e-legitima- tion. Sökanden tar sitt fotografi hos en fotograf som laddar upp detta på polisens server. Det finska förfarandet förutsätter att sökanden vid något tidigare tillfälle har gjort en ansökan vid ett personligt be- sök och då lämnat namnteckningsprov och i förekommande fall fingeravtryck som kan återanvändas vid ett senare tillfälle. Det måste också finnas ett foto som tagits tidigare infört i den utfärdande myn- dighetens register för att det ska kunna göras en jämförelse med det nya foto som skickas in. Dessa förutsättningar kommer sannolikt inte att vara uppfyllda när det gäller de personer som här är aktuella eftersom det framför allt handlar om personer som i dag använder körkort som identitetshandling. Merparten av personerna finns inte i id-kortsregistret. Troligen saknas det också tillräckligt aktuella upp- gifter i passregistret för många av dem. Det är dessutom osäkert om dessa sökande har en e-legitimation som skulle kunna användas för identifiering. Av statistik från Finansiell ID-Teknik BID AB framgår att andelen personer som innehar BankID är betydligt lägre bland den äldre delen av befolkningen.

Den lösning som valts i Finland är därför enligt vår mening inte möjlig för närvarande. Det brister både när det gäller de praktiska förutsättningarna och förutsättningarna för att säkerställa att risken för missbruk minimeras. Det kan dock inte uteslutas att det, i takt med att utfärdandeverksamheten utvecklas, senare kan finnas skäl att överväga en sådan lösning.

Ett annat alternativ skulle kunna vara att den utfärdande myn- dighetens personal tar upp ansökan om id-kort på exempelvis boen- den för äldre eller personer med funktionsnedsättning med hjälp av

233

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

mobila id-kortstationer. Vid vissa utlandsmyndigheter finns det re- dan i dag mobila passtationer som används för att medborgare med långt avstånd till ambassaden ska kunna ansöka om resehandlingar. En sådan lösning innebär att sökanden sammanträffar personligen med personal från den utfärdande myndigheten. Ansökan kan göras på samma sätt som när den görs i utfärdarens ordinarie lokaler och säkerhetsnivån motsvarar därmed den som gäller för det vanliga an- sökningsförfarandet. Att införa en sådan modell även i Sverige kräver enligt vår bedömning inte någon särskild författningsregle- ring. Kravet på personlig inställelse innebär endast att sökanden måste sammanträffa personligen med den utfärdande myndighetens repre- sentanter och kräver inte att det måste ske i myndighetens ordinarie lokaler. Polismyndigheten bör därför utan särskilt författningsstöd kunna införa mobila stationer om myndigheten anser det lämpligt. Ett sådant förfarande medför dock sannolikt merkostnad för utrust- ning och personal.

Det finns därför skäl att överväga om det finns något annat alter- nativ för personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till Polismyndigheten.

Utlandsmyndigheterna har enligt 2 § förordningen om nationellt identitetskort en möjlighet att medge att sökanden inställer sig hos ett ombud för myndigheten eller, om det finns särskilda skäl, efterge kravet på personlig inställelse vid ansökan om nationellt identitets- kort. Av uppgifter från Utrikesdepartementet framgår att undan- taget framför allt tillämpas beträffande äldre personer som inte har möjlighet att ta sig till passmyndigheten. Det rör sig om personer som inte ska resa men som är i behov av en gällande svensk identi- tetshandling eftersom de som regel inte kan få en handling utfärdad i bosättningslandet på grund av att de inte är medborgare där. Efter- som det inte finns någon möjlighet att göra undantag från kravet på personlig inställelse när det gäller ansökan om vanligt pass kan dessa personer inte få pass. De kan som regel inte heller förnya ett even- tuellt svenskt körkort eftersom de inte uppfyller kravet på bosätt- ning i Sverige. Ansökan om id-kort sker i dessa fall enligt Utrikesde- partementet med hjälp av t.ex. sjukhus, läkare eller lokal myndighet som även hjälper till att ta foto på sökanden. Till ansökan bifogas ett läkarintyg. Undantaget tillämpas restriktivt. En liknande modell bör vara möjlig i Sverige. Det bör dock noga övervägas under vilka förut- sättningar ett sådant förfarande ska vara tillåtet för att det inte ska

234

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

kunna missbrukas. Det är betydligt fler personer som skulle kunna vara aktuella än vad som är fallet för utlandsmyndigheterna. För- farandet bör därför regleras i lag och förordning och inte överlåtas till den utfärdande myndigheten att bestämma på det sätt som gäller för utlandsmyndigheterna i dag.

Vi har undersökt om den ordning som gäller i samband med bud- röstning vid val skulle kunna vara en möjlig lösning även vid ansökan om id-kort. Röstningsreglerna vid val är kringgärdade av särskilda bestämmelser som syftar till att förfarandet ska vara säkert.

Enligt 7 kap. 4 § vallagen (2005:837) är det möjligt för den som på grund av sjukdom, funktionsnedsättning eller ålder inte själv kan ta sig till ett röstmottagningsställe att lämna sina valsedlar där genom bud. Väljarens make eller sambo och väljarens, makens eller sambons barn, barnbarn, föräldrar eller syskon får enligt 7 kap. 5 § vallagen vara bud. Även de som yrkesmässigt eller på liknande sätt ger väljaren vård eller som annars brukar hjälpa väljaren i personliga angelägenheter kan agera bud.

I vallagen finns även bestämmelser om hur förfarandet med bud- röstning går till. Väljaren ska enligt 7 kap. 7 § själv lägga ner val- sedeln i valkuvertet och därefter i närvaro av budet och ett vittne lägga valkuverten i ett särskilt ytterkuvert. På ytterkuvertet ska väl- jaren ange sitt namn och personnummer och intyga att den före- skrivna proceduren iakttagits. Väljaren ska vidare på ytterkuvertet intyga att han eller hon på grund av sjukdom, funktionsnedsättning eller ålder inte kan ta sig till ett röstmottagningsställe. Även vittnet och budet ska på ytterkuvertet intyga att allt gått rätt till. Budet ska i samband med att kuvertet lämnas på ett röstmottagningsställe legi- timera sig eller på annat sätt styrka sin identitet (8 kap. 8 §). Syftet med bestämmelserna är att förfarandet ska vara säkert och att risken för att väljarna utsätts för otillbörlig påverkan vid röstningen ska minskas.

En möjlighet att ansöka genom bud bör införas

Att använda bud på liknande sätt som i samband med val bör kunna vara ett lämpligt tillvägagångssätt även vid ansökan om id-kort. Genom användning av bud skulle även äldre, sjuka och personer med funk- tionsnedsättning som har behov av ett id-kort kunna få tillgång till

235

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

ett sådant. Eftersom detta innebär ett avsteg från den viktiga prin- cipen om personlig inställelse bör ett sådant undantag dock tillämpas mycket restriktivt. Det bör främst vara fråga om sökande som till följd av fysisk funktionsnedsättning är förhindrade att ta sig till den utfärdande myndigheten. Det bör i princip vara fråga om personer som inte kan förflytta sig alls. Enbart t.ex. det förhållandet att någon är rullstolsburen hindrar inte denne från att komma till myndigheten även om det måste ske med hjälp av en annan person. Även personer med grav psykisk funktionsnedsättning kan under vissa omständig- heter vara förhindrade att ta sig till den utfärdande myndigheten.

För att förhindra missbruk bör det krävas att någon oberoende person intygar att sökanden är förhindrad att ta sig till den utfärd- ande myndigheten. Att sökanden är förhindrad bör styrkas genom intyg från den inrättning som sökanden vistas på. Det kan exempel- vis vara ett sjukhem, äldreboende eller boende för personer med funktionsnedsättning. För det fall sökanden ges vård eller omsorg i hemmet bör intyget skrivas av den som ansvarar för sökandens vård eller omsorg. Intyget ska skrivas av en representant för vårdinrätt- ningen eller boendet, men bör inte skrivas av den som ger sökanden den faktiska vården eller omsorgen. Det kan vara en läkare eller annan legitimerad personal som kan göra den medicinska bedöm- ningen men även exempelvis verksamhetschefen för ett boende eller annan administrativ personal som har kännedom om sökandens hälso- tillstånd bör kunna lämna intyg. I intyget ska en försäkran att sökan- den inte kan ta sig till den utfärdande myndigheten på grund av sjukdom, funktionsnedsättning eller ålder lämnas. Eftersom intygs- givandet begränsas till att omfatta personer som företräder vårdin- rättningar och boenden ges den myndighet som utfärdar id-kortet möjlighet att kontrollera intygets äkthet genom kontakt med inrätt- ningen.

En förutsättning för att ett ansökningsförfarande med hjälp av bud ska kunna fungera är, förutom att undantag görs från den per- sonliga inställelsen, även att det görs undantag från bestämmelsen om att den utfärdande myndigheten ska ta sökandens ansiktsbild. Sökan- den måste i stället tillåtas att lämna in ett eget fotografi. Fotografiet ska vara välliknande och uppfylla de krav som ställs på de bilder som tas av utfärdaren. Ytterligare föreskrifter om fotografiet och i vilket format det ska lämnas in bör meddelas av regeringen eller den ut- färdande myndigheten. I avsnitt 11.4.4 föreslår vi även undantag från

236

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

den skyldighet att lämna fingeravtryck som vi menar bör införas. Denna kategori av personer omfattas dock inte av något undantag från kravet på att lämna fingeravtryck i förslaget till EU:s id-korts- förordning. Av det skälet och då ansökningsförfarandet inte kom- mer att kringgärdas av samma säkerhet som gäller i övrigt bör id- korten inte gälla som resehandling.

För att väga upp den sänkta säkerhetsnivån som det innebär att sökanden inte själv sammanträffar med personal hos utfärdaren som tar sökandens ansiktsbild måste det ställas höga krav på förfarandet. Processen måste vara så pass säker att risken för missbruk mini- meras. Vissa säkerhetshöjande föreskrifter om hur ansökan med hjälp av bud ska gå till bör därför införas.

Vi menar till en början att budet, på motsvarande sätt som gäller enligt vallagen, bör känna sökanden väl. Detta eftersom budet måste kunna intyga att det är rätt person som ansöker. Endast personer som har en viss närmare relation till sökanden bör därför godtas. Det ligger nära till hands att låta några av de kategorier av personer agera som bud som vi i avsnitt 10.2.8 föreslår ska kunna vara intygsgivare för det fall sökanden inte kan identifiera sig med en identitetshand- ling. En nära anhörig till sökanden (vårdnadshavare, förälder, barn eller barnbarn över 18 år, hel- eller halvsyskon över 18 år, mor- eller farförälder, make eller maka, registrerad partner eller sambo) bör så- ledes kunna vara bud. Relationen bör kunna styrkas genom en kon- troll av folkbokföringsuppgifter eller andra tillförlitliga uppgifter. Även god man, förvaltare och familjehemsförälder bör kunna vara bud. Dessa bör då styrka sitt uppdrag genom beslut om förordnande. En anställd vid den vårdinrättning eller det boende som sökanden vistas på eller får vård av som har nära kontakt med personen bör också kunna agera som bud. Det bör då vara någon annan hos in- rättningen än den som utfärdat intyget om att personen inte kan ta sig till den utfärdande myndigheten, exempelvis den som vårdar sökan- den.

Ansökan bör undertecknas av sökanden i närvaro av budet och ett vittne. På så sätt säkerställs att det är rätt person som gör ansökan och att ansökan har gjorts på ett korrekt sätt. Budet och vittnet bör genom en skriftlig försäkran intyga att ansökan gjorts av sökanden och att det fotografi som bifogas ansökan föreställer sökanden. Vittnet bör, liksom budet, ha fyllt 18 år.

237

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Budet bör därefter inställa sig personligen hos den utfärdande myndigheten för att lämna in ansökan. Sökandens identitet bör styr- kas på motsvarande sätt som när sökanden själv är närvarande vid ansökningstillfället, se avsnitt 8.6.2 och 10.2.8. Budet bör därför som huvudregel visa upp en statlig fysisk identitetshandling som tillhör sökanden. Även pass från andra EU-länder samt pass utfärdat av Island, Liechtenstein, Norge och Schweiz bör godtas. Har sökanden inte en sådan handling bör identiteten kunna styrkas genom att budet intygar att sökandens uppgifter om identiteten är riktiga. Sökande som beviljats uppehållstillstånd bör även kunna styrka sin identitet genom en jämförelse med uppgifter som finns registrerade hos Migrationsverket i fråga om personens uppehållstillstånd, se av- snitt 10.2.8. Eftersom ansökan ska göras genom ett bud som känner sökanden väl finns det däremot inte något behov av att låta den ut- färdande myndigheten godta att sökandens identitet styrks på något annat tillförlitligt sätt, på det sätt som vi i avsnitt 10.2.8 föreslår beträffande sökande som är närvarande vid ansökan.

Budet bör styrka sin identitet genom att visa upp en statlig fysisk identitetshandling. Av de skäl som anges i avsnitt 10.2.8 när det gäll- er sökanden bör även pass från andra EU-länder samt pass utfärdat av Island, Liechtenstein, Norge och Schweiz godtas.

Att ansökan görs genom bud bör sannolikt föranleda Polismyn- digheten att göra en mer fördjupad kontroll än i andra ärenden. Kon- trollen kan exempelvis bestå i att kontakt tas med den som skrivit intyget om att sökanden är förhindrad att inställa sig för att säker- ställa att intyget är korrekt. Kontakt kan även behöva tas med vittnet för en kontroll av att intyget om att ansökan gjorts på föreskrivet sätt är riktigt. I tveksamma fall kan också ytterligare kontakt behöva tas med budet. Det är därför viktigt att uppgifter om vem som agerat bud samt kontaktuppgifter till budet registreras, se avsnitt 10.3.4. Även uppgifter om vårdinrättningen och dess företrädare samt vitt- net behöver finnas i registret. Om identitetskort eller pass tidigare har utfärdats för sökanden bör naturligtvis även en noggrann jäm- förelse mellan fotografiet som fogas till ansökan och ansiktsbilden som finns i registret göras. Kontrollen kan med fördel göras elektro- niskt för att säkerställa att det är samma person på bilderna. Närmare föreskrifter om hur dessa ärenden ska hanteras bör meddelas av Polis- myndigheten.

238

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

För att möjligheten att ansöka genom bud ska fungera måste budet även tillåtas hämta ut det färdiga id-kortet. Av säkerhetsskäl bör det vara samma bud som bistått vid ansökan. Även i samband med att id-kortet hämtas ut bör budets och sökandens identitet styr- kas på samma sätt som vid ansökan.

Ansökan genom bud bör enligt vår bedömning tillämpas även vid ansökan som görs vid en utfärdande myndighet utom riket i stället för det mer generellt utformade undantag som i dag finns i 2 § för- ordningen om nationellt identitetskort. Hanteringen vid utlandsmyn- digheterna bör bli ännu säkrare genom en tydligare reglering. Genom att samma regler tillämpas blir hanteringen också mer enhetlig.

Budet bör också, på samma sätt som gäller vid en vanlig ansökan, ha med sig ett identitetskort som tidigare utfärdats för sökanden och ge in det för makulering.

Eftersom förfarandet att ansöka genom bud innebär ett avsteg från det centrala kravet på personlig inställelse bör det regleras i lag. Detaljerade föreskrifter om exempelvis vem som kan vara bud bör dock föras in i förordning.

10.2.8Undantag från huvudregeln om styrkande

av identitet för personer som saknar en statlig fysisk identitetshandling

Utredningens förslag: Sökande som inte har ett pass eller statligt identitetskort ska kunna styrka sin identitet med pass från vissa europeiska länder. Har den sökande inte heller ett sådant pass ska identiteten kunna styrkas med hjälp av en intygsgivare eller i sista hand på något annat tillförlitligt sätt.

Sökande som har beviljats uppehållstillstånd, och som inte har en godtagbar identitetshandling, ska även kunna styrka sin iden- titet genom en jämförelse med uppgifter som finns registrerade hos Migrationsverket i fråga om uppehållstillståndet.

Sökande ska innan ett statligt identitetskort lämnas ut vara skyldig att på begäran styrka sin identitet på samma sätt som vid ansökan.

239

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Övergripande om regleringen av styrkande av identitet

Både IdL och förordningen om nationellt identitetskort innehåller bestämmelser om att sökanden ska styrka sin identitet i samband med ansökan. Vi föreslår att kravet på att identiteten ska styrkas förs in i den nya lagen om statliga identitetshandlingar. Motsvarande reglering finns i passlagen. På vilket sätt identiteten ska styrkas anges i dag varken i lag eller i förordning utom i ett särskilt fall som avser sökande som har uppehållstillstånd i Sverige. Sökanden ska i sist- nämnda fall anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har regi- strerats i fråga om uppehållstillståndet.

Istället för reglering i lag eller förordning har de utfärdande myn- digheterna tagit fram föreskrifter som anger hur identiteten ska styr- kas. Skatteverkets och Polismyndighetens föreskrifter innehåller be- stämmelser som i stort sett liknar varandra men som skiljer sig åt i vissa avseenden.

Vi föreslår i avsnitt 8.6.2 att det i lag införs krav på att pass eller statligt identitetskort ska användas för att styrka identiteten i sam- band med ansökan om pass och statligt identitetskort. Det kommer dock att finnas personer som inte har tillgång till dessa handlingar. Det kan exempelvis vara fråga om ett barn som ska skaffa sin första identitetshandling eller en utländsk medborgare som har fått uppe- hållstillstånd och blivit folkbokförd i Sverige och för första gången ska ansöka om en svensk identitetshandling. Även i fortsättningen kommer det därför att finnas ett behov av att godta andra sätt att identifiera sig. För att göra utfärdandeprocessen mer enhetlig bör dessa alternativa sätt att styrka sin identitet i möjligaste mån sam- ordnas.

Bestämmelser om styrkande av identitet är centrala för att garan- tera att utfärdandet av id-korten sker på en hög säkerhetsnivå. Enligt vår mening bör därför regleringen tas in i författningar på högre nivå än myndighetsföreskrifter. Huvudregeln om att endast statliga fysis- ka identitetshandlingar ska tillåtas för att styrka identiteten bör, som anges ovan, tas in i lag. Eftersom de undantag som kan komma i fråga behöver regleras på en relativt detaljerad nivå bedömer vi att det är mest lämpligt att ta in dessa i förordning. Regeringen bör därför ges möjlighet att meddela undantag från huvudregeln om hur identiteten

240

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

ska styrkas. Vi behandlar de olika undantag som vi menar bör införas i avsnitten nedan.

Utländska pass

Identitetskort för folkbokförda i Sverige kan utfärdas till personer som är folkbokförda i Sverige oavsett medborgarskap. Detsamma kommer enligt vårt förslag att gälla för identitetskort utan funktion som resehandling. Enligt 4 § 7 och 8 i Skatteverkets föreskrifter om identitetskort (SKVFS 2009:14) godtas vid utfärdande av identitets- kort för folkbokförda i Sverige även pass från andra EU-länder samt pass utfärdat av Island, Liechtenstein, Norge och Schweiz för att styrka sökandens identitet. Eftersom pass som utfärdas av dessa län- der har en säkerhetsstandard som uppfyller den minimisäkerhetsnivå som gäller inom EU har dessa ansetts godtagbara som identitets- handlingar. En bestämmelse som medger identifiering med sådana pass bör därför kunna införas. Identifiering med sådana pass bör dock endast godtas om sökanden inte har en svensk statlig fysisk identi- tetshandling.

Någon motsvarande bestämmelse finns inte i de föreskrifter som avser nationellt identitetskort. Eftersom nationellt identitetskort endast utfärdas till svenska medborgare kan det antas att det inte har funnits något större behov av att möjliggöra identifiering med ut- ländska pass. Det kan dock inte uteslutas att en person som precis har blivit svensk medborgare och även är medborgare i en annan EU- medlemsstat endast har ett pass från det andra landet. En identifi- ering med ett EU-pass bedöms uppnå högre säkerhet än de andra förfaranden som beskrivs i avsnitten nedan. Bestämmelsen bör där- för omfatta även identitetskort med funktion som resehandling. På så sätt blir också regleringen mer enhetlig.

I sammanhanget kan nämnas att Europaparlamentet i sitt betänk- ande om EU-kommissionens förslag till EU:s id-kortsförordning har föreslagit att medlemsstaterna ska erkänna nationella identitets- kort som medlemsstaterna utfärdar till sina medborgare som iden- titetskort.7 Eftersom EU-förordningen inte är färdigförhandlad går

7Europaparlamentets betänkande om förslaget till Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet (COM(2018)0212 – C8-0153/2018 – 2018/0104(COD)) A8-0436/2018.

241

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

det inte att veta hur den slutligen kommer att se ut. Skulle det visa sig att en sådan bestämmelse införs får det i det fortsatta författ- ningsarbetet övervägas om det även bör införas en bestämmelse om att id-kort utfärdade av andra EU-länder ska godtas.

Intygsgivare

Isåväl Skatteverkets föreskrifter om id-kort som i Rikspolisstyrel- sens föreskrifter och allmänna råd om polismyndigheternas han- tering av pass och nationellt identitetskort (RPSFS 2009:14) finns bestämmelser som möjliggör för personer som inte har en godtagbar identitetshandling att styrka sin identitet genom att någon som kän- ner sökanden väl intygar att sökandens uppgifter är korrekta. Även om detta sätt att identifiera sig inte är lika säkert som genom upp- visande av en identitetshandling behöver det finnas en sådan möj- lighet. Personer som ansöker om en svensk identitetshandling första gången, och som inte har ett godtagbart utländskt pass, saknar annars möjlighet att styrka sin identitet. Genom vårt förslag i avsnitt 11.6.1, att en person som har beviljats uppehållstillstånd i Sverige och styr- ker sin identitet på annat sätt än genom att visa upp en statlig fysisk identitetshandling ska vara skyldig att låta den utfärdande myndig- heten jämföra dennes fingeravtryck med de som finns i uppehålls- tillståndkortet, höjs dessutom säkerheten i förfarandet ytterligare när det gäller identitetskort för dessa personer. En bestämmelse om intygsgivning bör därför införas i förordning.

Vissa krav måste dock ställas på intygsförfarandet för att det ska vara tillräckligt säkert. Intygsgivaren bör, för att förfarandet ska vara tillförlitligt, känna personen väl. På samma sätt som gäller i dag bör därför endast personer som har en viss relation till sökanden godtas. Relationen mellan sökanden och intygsgivaren måste styrkas. Om relationen inte framgår av folkbokföringen bör krävas att sökanden styrker den på annat sätt. Det har varken framkommit något behov av att utvidga eller inskränka kretsen av de personer som enligt gäll- ande föreskrifter kan intyga sökandens uppgifter. Intyg bör således kunna lämnas av en nära anhörig till sökanden (vårdnadshavare, förälder, barn eller barnbarn över 18 år, hel- eller halvsyskon över 18 år, mor- eller farförälder, make eller maka, registrerad partner eller sambo). Även god man, förvaltare och familjehemsförälder bör

242

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

fortsättningsvis kunna vara intygsgivare. Dessa bör styrka sitt upp- drag genom att visa upp ett beslut om förordnande. Ett intyg från en arbetsgivare bör även framöver godtas. Det bör dock inte, som anges i Polismyndighetens föreskrifter, krävas att det är behörig firma- tecknare som lämnar intyget eftersom det inte är säkert att det är denne som känner sökanden bäst. I stället är det lämpligt att t.ex. sökandens chef lämnar intyget. Sökanden bör dock liksom i dag ha varit anställd minst ett år för att en försäkran från arbetsgivaren ska godtas. Relationen kan styrkas genom uppvisande av arbetsgivar- intyg, anställningsbevis eller liknande handling där anställningstiden framgår. Slutligen bör en försäkran från en tjänsteman vid en myn- dighet som har en yrkesmässig relation till sökanden kunna intyga sökandens uppgifter. Tjänstemän vid såväl statliga myndigheter som kommuner på både lokal och regional nivå kan komma i fråga. För att tjänstemannen ska anses känna sökanden väl krävs att relationen har pågått under en viss tid. Även denna typ av relation bör styrkas med en handling.

För att uppnå en så stor säkerhet i utfärdandet som möjligt bör intygsgivaren på samma sätt som i dag vara personligen närvarande vid identitetskontrollen av sökanden. Intygsgivaren bör vidare genom en skriftlig försäkran intyga att sökandens uppgifter om identiteten är korrekta. Intygsgivaren måste även styrka sin egen identitet med en statlig fysisk identitetshandling. Om intygsgivaren inte har en sådan handling bör, av samma skäl som anges ovan beträffande iden- tifiering av sökanden, även vissa europeiska pass godtas.

För att Polismyndigheten ska ha möjlighet att vid behov göra en fördjupad kontroll av dessa ärenden är det viktigt att uppgifter om intygsgivaren registreras, se avsnitt 10.3.4 nedan.

Uppgifter i uppehållstillståndet

Utöver möjligheten att identifiera sig med hjälp av en identitets- handling eller intygsgivare kan en sökande som har uppehållstill- stånd i enlighet med 3 § IdL styrka sin identitet genom en jämförelse av de uppgifter som finns registrerade hos Migrationsverket i fråga om personens uppehållstillstånd. Detta gäller under förutsättning att inte särskilda skäl talar emot det. Sökanden ska ange om han eller

243

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

hon vill styrka identiteten på detta sätt. De uppgifter som ska stäm- ma överens med de som lämnas i ansökan är enligt 7 § IdF de uppgifter som anges i 13 § andra stycket utlänningsdataförordningen (2016:30), dvs. namn, personnummer, längd, fotografi, underskrift, typ av rese- handling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd.

Bestämmelsen har införts med anledning av svårigheterna att styrka sin identitet för vissa asylsökande som saknar såväl identitets- handling som någon nära anhörig som kan vara intygsgivare. Den innebär att den bedömning som har gjorts beträffande identiteten i ärendet om uppehållstillstånd ska kunna godtas av den myndighet som utfärdar id-kortet. Detta gäller även om identiteten vid Migra- tionsverkets prövning endast gjorts sannolik, vilket i många fall är tillräckligt för att uppehållstillstånd ska beviljas. En förutsättning för att bevilja ansökan om id-kort är dock att det måste vara klarlagt att det är samma person som beviljats uppehållstillstånd som ansöker om id-kort.8

Regleringen lämnar dock utrymme för den utfärdande myndig- heten att inte lägga Migrationsverkets uppgifter till grund för sin be- dömning om det finns särskilda skäl. Den utfärdande myndigheten kan t.ex. ha fått kännedom om att de uppgifter som är registrerade hos Migrationsverket av någon anledning är felaktiga. Tillståndet kan också vara återkallat.9

När denna möjlighet att identifiera sig infördes gjordes bedöm- ningen att det skulle ge en bättre tillgång till id-kort med bibehållen säkerhet. I promemorian angavs dock att det skulle kunna medföra en större risk för att personer skulle kunna få id-kort utfärdat under fel namn. Det kunde inge betänkligheter om det t.ex. var fråga om någon som begått grova kriminella handlingar. Mot bakgrund av att en person som har ett id-kort kan agera mer öppet i samhället, och därigenom också bör vara enklare att nå, bedömdes dock fördelarna med att utfärda id-kort till personer som beviljats uppehållstillstånd överväga eventuella nackdelar. Vidare gjordes bedömningen att den föreslagna lösningen inte var mindre säker än styrkande av identitet genom det vedertagna sättet med intygsgivning.10

8Finansdepartementets promemoria 2010-04-21 Vissa id-kortsfrågor Fi 2010/02345/S3.

9Prop. 2015/16:28 s. 55.

10Finansdepartementets promemoria 2010-04-21 Vissa id-kortsfrågor Fi 2010/02345/S3.

244

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

De skäl som föranledde införandet av denna möjlighet att identi- fiera sig är fortfarande aktuella. Enligt uppgift från Skatteverket an- vänds detta identifieringssätt vid ungefär hälften av ärendena om ansökan om identitetskort. Om denna identifieringsmöjlighet skulle tas bort kommer det åter att finnas ett antal personer som har be- viljats uppehållstillstånd som inte kan få id-kort utfärdat. En sådan utveckling är inte önskvärd. Regleringen innebär dock att även en person vars identitet vid Migrationsverkets prövning endast gjorts sannolik kan få ett id-kort. En förutsättning för att bevilja ansökan om id-kort är dock att det klarlagts att det är samma person som beviljats uppehållstillstånd som ansöker om id-kort. Genom vårt för- slag i avsnitt 11.6.1, att personer som har beviljats uppehållstillstånd i Sverige och styrker sin identitet på annat sätt än genom att visa upp en statlig fysisk identitetshandling ska vara skyldig att låta den ut- färdande myndigheten jämföra dennes fingeravtryck och ansiktsbild med de som finns i uppehållstillståndskortet, kommer säkerheten i förfarandet att höjas betydligt. Det kan därmed säkerställas att det är samma person som beviljats uppehållstillstånd som ansöker om id-kort. Med detta tillägg för att öka säkerheten bedömer vi att kon- troll mot Migrationsverkets uppgifter även fortsättningsvis bör kunna användas som en metod för att styrka identiteten. Även vårt förslag i avsnitt 11.4.4 om att tillåta jämförelse med ansiktsbilder som är sparade i det register över id-kort som den utfärdande myndigheten ska föra hindrar personer att få id-kort för olika identiteter. Det för- slaget innebär således ytterligare en höjning av säkerheten i förfaran- det.

För att en sökande ska få styrka sin identitet på detta sätt krävs i dag inte att sökanden saknar möjlighet att identifiera sig på något av de andra sätt som angetts ovan. Det innebär att en sökande som har en godtagbar identitetshandling trots det skulle kunna välja att använda uppgifterna hos Migrationsverket för att identifiera sig. Mot bakgrund av att vi menar att identifiering med hjälp av en statlig fysisk identitetshandling är det säkraste sättet att identifiera sig bör det emellertid vara huvudregeln även för personer som har beviljats uppehållstillstånd.

Om sökanden saknar en identitetshandling finns det däremot inte någon anledning att kräva att sökanden använder sig av en intygs- givare även om det är möjligt. Som anges i den ovan nämnda pro- memorian bedöms säkerheten när det gäller identifiering med hjälp

245

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

av uppgifter från Migrationsverket motsvara den som gäller vid intygs- givning. Oavsett på vilket av dessa sätt identiteten styrks är sökanden dessutom enligt vårt förslag i avsnitt 11.6.1 skyldig att låta den ut- färdande myndigheten jämföra dennes fingeravtryck och ansiktsbild med de som finns i uppehållstillståndskortet. Det synes dessutom medföra stora svårigheter att bevisa att det inte finns någon som kan intyga uppgifterna. Det bör därför fortfarande vara möjligt för sök- anden att själv välja om identifiering ska göras genom en intygsgivare eller genom en jämförelse med uppgifterna som finns hos Migra- tionsverket.

En bestämmelse som möjliggör identifiering genom användning av uppgifter hos Migrationsverket bör därför införas i den nya regle- ringen. Enligt den nuvarande bestämmelsen i IdL ska sökanden ange om han eller hon vill styrka identiteten på detta sätt. Det är enligt vår uppfattning naturligt att sökanden oavsett på vilket sätt han eller hon avser att styrka sin identitet talar om det för den utfärdande myndigheten. Någon reglering i detta avseende synes dock inte nöd- vändig.

Annan tillförlitlig identifiering

Det finns slutligen i såväl Polismyndighetens som Skatteverkets före- skrifter en möjlighet att styrka identiteten på annat sätt än de som nämns i avsnitten ovan. För nationellt identitetskort gäller att om sökanden inte kan styrka sin identitet på något av de ovan angivna sätten får myndigheten godta att identiteten styrks på något annat tillförlitligt sätt. När det gäller identitetskort för folkbokförda i Sverige anges i stället att sökanden får åberopa andra officiella hand- lingar utfärdade av myndigheter och organisationer. Skatteverket gör en sammanvägd bedömning av om de åberopade handlingarna styrker sökandens identitet och övriga personuppgifter. Enligt Skatte- verkets föreskrifter krävs det alltså att någon form av dokumentation visas upp. Den sammanvägda bedömningen kan dock förstärkas genom att en tillförlitlig person bekräftar sökandens identitet.11 Polis- myndighetens föreskrifter lämnar utrymme för att identiteten i ett enskilt fall kan styrkas genom en tillförlitlig intygsgivare som inte

11Skatteverkets ställningstagande Utfärda id-kort version maj 2018.

246

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

har den relation till sökanden som anges ovan i avsnittet om intygs- givare. Det kan också vara fråga om att ställa kontrollfrågor utifrån registeruppgifter.

Bestämmelserna som möjliggör annan tillförlitlig identifiering är nödvändiga för att personer som både saknar identitetshandling och någon som kan vara intygsgivare ska kunna få identitetskort. Det kan t.ex. vara en äldre person som inte längre har några anhöriga kvar i livet. Vi ser därför ett behov av att behålla denna möjlighet. En be- stämmelse som innebär att myndigheten, om identiteten inte kan styrkas på annat sätt, får godta att identiteten styrks på något annat tillförlitligt sätt bör därför införas. Det innebär att den utfärdande myndigheten själv kan avgöra på vilket sätt identiteten kan styrkas i dessa fall, så längre identifieringen bedöms tillförlitlig. Bestämmel- sen bör dock tillämpas restriktivt. För att identiteten ska anses styrkt bör bedömningen ge ett mycket starkt stöd för att sökandens upp- gifter stämmer.

Styrkande av identitet i samband med utlämnande av id-kort

Det finns inte något författningsreglerat krav på att sökanden ska styrka sin identitet i samband med att en identitetshandling lämnas ut. En kontroll av att det är rätt person som hämtar ut handlingen görs dock regelmässigt både av Polismyndigheten och Skatteverket. Myndigheterna har infört egna rutiner för utlämnandet och det skil- jer sig åt hur kontrollen går till.

Vid Polismyndigheten går kontrollen till på i stort sett samma sätt som vid ansökan. I första hand sker identifiering med en iden- titetshandling men även intygsgivning och annan tillförlitlig iden- tifiering kan bli aktuellt. Skatteverket kontrollerar i första hand den kvittens för ansökan som sökanden fick vid ansökningstillfället och gör en jämförelse mellan sökandens utseende och namnteckning på kvittensen och uppgifterna i ansökan. Vid behov kan ytterligare kon- troller göras.

För att stärka säkerheten vid utfärdande av de statliga identitets- korten bör sökanden styrka sin identitet även när identitetshand- lingen lämnas ut på motsvarande sätt som krävs i samband med an- sökan. På så sätt ökar förutsättningarna för att det är rätt person som hämtar ut handlingen. Det innebär att sökanden som huvudregel ska

247

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

visa upp en statlig fysisk identitetshandling. Om sökanden inte har en sådan handling kan de alternativa sätt som beskrivs ovan, som t.ex. intygsgivning, användas. Bestämmelser om att identiteten ska styr- kas även vid utlämnandet bör, på grund av dess centrala betydelse, införas i den nya lagen. För att, på sätt som anges i avsnitt 10.2.7, möjliggöra förändringar av utlämnandeförfarandet av skäl som är hänförliga till effektivitet eller tillgänglighet bör kravet dock inte vara ovillkorligt. Det bör därför anges att identiteten ska styrkas på begäran. På så sätt kan myndigheten framöver välja att lämna ut id- kort på andra sätt än i dag. Detta under förutsättning att säkerheten i utlämnandet upprätthålls.

10.2.9Inlämning av ett tidigare utfärdat id-kort

Utredningens förslag: Om ett statligt identitetskort tidigare har utfärdats för sökanden och det inte har förstörts, kommit bort eller makulerats, ska kortet ges in för makulering vid utlämnande av ett nytt identitetskort.

Av 6 § IdF och 3 § fjärde stycket förordningen om nationellt iden- titetskort framgår att ett tidigare utfärdat id-kort ska lämnas in för makulering i samband med ansökan om det inte har förstörts, kom- mit bort eller makulerats. Detta gäller inte om kortet inte längre är giltigt eller om det finns andra särskilda skäl. Av 15 § IdF och 21 § förordningen om nationellt identitetskort följer att makulering ska ske när innehavaren ansöker om ett nytt id-kort eller, om innehava- ren har behov av det tidigare id-kortet under handläggningstiden, när det nya kortet lämnas ut. Det torde vara mer regel än undantag att sökandens gamla id-kort inte ges in för makulering förrän det nya kortet lämnas ut. Vanligen behöver sökanden det gamla id-kortet till dess att det nya lämnas ut. En regel som anger att det gamla id-kortet ska lämnas in vid ansökan ter sig därför mindre lämplig. Id-kortet bör i stället ges in för makulering när det nya kortet lämnas ut.

För att minska antalet id-kort i omlopp menar vi att det finns anledning att makulera även ett id-kort vars giltighetstid har gått ut när det nya kortet lämnas ut. Visserligen är kortet inte längre gäll- ande. Det hindrar dock inte att det kan komma till användning i en situation där kontrollen av kortet inte görs med den noggrannhet

248

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

som behövs. Om kortet däremot makuleras syns det tydligt att det inte längre gäller. Vi menar därför att det inte längre bör göras undan- tag från makulering när det gäller id-kort som inte längre är giltiga. Bestämmelser om detta bör föras in i den nya lagen och förordning- en om statliga identitetshandlingar.

10.2.10 Återkallelse

Utredningens förslag: Ett statligt identitetskort ska återkallas

1.om någon väsentlig uppgift som framgår av identitetskortet är felaktig eller inte längre gäller,

2.om det är trasigt, utslitet eller obehörigen ändrat,

3.om det fanns hinder mot att utfärda det vid tiden för utfärdan- det och hindret består, eller

4.om någon annan än den som identitetskortet är utställt på för- fogar över det.

För såväl nationellt identitetskort som identitetskort för folkbok- förda i Sverige gäller att id-kortet ska återkallas om det fanns hinder mot att utfärda det vid tiden för utfärdandet och hindret består eller om någon annan än den som id-kortet är utställt på förfogar över det (9 § förordningen om nationellt identitetskort och 6 § IdL). Dessa grunder för återkallelse bör föras in i den nya regleringen.

Ett nationellt identitetskort ska vidare återkallas om innehavaren har förlorat eller efter ansökan befriats från sitt svenska medborgar- skap. För identitetskort för folkbokförda i Sverige gäller i stället att det ska återkallas om någon väsentlig uppgift som framgår av id-kor- tet är felaktig eller inte längre gäller. I den utredning som föregick införandet av identitetskort för folkbokförda i Sverige angavs att det inte var lämpligt att en person som byter namn eller personnummer har ett id-kort som inte utvisar rätt personuppgifter och att det var viktigt att det gick att lita på id-kortet.12 Av det skälet föreslogs be- stämmelsen om återkallelse på grund av att någon väsentlig uppgift är felaktig. Samma skäl gör sig enligt vår uppfattning gällande när det gäller det identitetskort som har funktion som resehandling. Även

12SOU 2007:100 s. 113 f.

249

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

ett kort som kan användas vid resa bör därför återkallas om någon väsentlig uppgift som framgår av identitetskortet är felaktig eller inte längre gäller. Svenskt medborgarskap är en förutsättning för att ett sådant identitetskort ska kunna utfärdas och är således en väsentlig uppgift som framgår av id-kortet. Även en ändring beträffande med- borgarskapet omfattas därmed av den återkallelsegrunden. Någon särskild återkallelsegrund beträffande medborgarskap när det gäller identitetskort med funktion som resehandling är därför inte nöd- vändig.

För pass finns det, utöver bestämmelser om återkallelse, även en bestämmelse i 27 § passförordningen om att pass under vissa förut- sättningar kan dras in. Indragning kan ske om passet är förslitet, tra- sigt eller obehörigen ändrat eller om det innehåller en uppenbar fel- skrivning. Innehavaren är i ett sådant fall berättigad att utan avgift få ett nytt pass med det indragna passets återstående giltighetstid.

Av säkerhetsskäl bör inte heller trasiga, utslitna eller obehörigen ändrade id-kort gälla som identitetshandlingar. Vi anser dock inte att det är rimligt att i alla sådana fall låta innehavaren få ett nytt id-kort utan avgift. Han eller hon kan ju själv vara ansvarig för att kortet har ändrats, gått sönder eller slitits ut. Innehavaren bör därför ansöka om ett nytt id-kort och betala ansökningsavgift på vanligt sätt. Om id-kortet gått sönder på grund av fabrikationsfel eller liknande får frågan om vem som slutligen ska stå kostnaden för det nya kortet hanteras som ett skadeståndsärende. Vi gör därför den bedömningen att ett statligt identitetskort bör återkallas om det är trasigt, utslitet eller obehörigen ändrat.

Id-kort som innehåller uppenbara felskrivningar omfattas som regel av den grund för återkallelse som föreslagits ovan, dvs. att en väsentlig uppgift som framgår av identitetskortet är felaktig. Någon särskild återkallelsegrund i det avseendet bedöms därför inte behövas.

10.2.11 Överklagande

Utredningens förslag: Beslut enligt lagen får överklagas till all- män förvaltningsdomstol. Prövningstillstånd krävs vid överkla- gande till kammarrätten.

250

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

I 22 § förordningen om nationellt identitetskort finns det i dag en hänvisning till 40 § förvaltningslagen (2017:900). En sådan hänvis- ning fanns även i 18 § i den tidigare gällande förordningen om iden- titetskort för folkbokförda i Sverige. I samband med att den regle- ringen togs in i lag uttalade regeringen att eftersom en lagreglering infördes borde det i stället framgå direkt av lagen att beslut enligt lagen får överklagas till allmän förvaltningsdomstol och att det krävs prövningstillstånd vid överklagande till kammarrätten. Det är därför lämpligt att föra in en bestämmelse i den nya lagen som motsvarar 19 § IdL och låta den omfatta överklaganden av beslut avseende båda typerna av id-kort. Bestämmelsen bör föreskriva att beslut enligt lagen får överklagas till allmän förvaltningsdomstol och att pröv- ningstillstånd krävs vid överklagande till kammarrätten.

10.3Behandling av personuppgifter i id-kortsverksamheten

10.3.1Ett nytt id-kortsregister

Utredningens förslag: Polismyndigheten ska föra och vara per- sonuppgiftsansvarig för ett id-kortsregister. Innehållet i följande bestämmelser som i dag endast gäller för identitetskort för folk- bokförda i Sverige förs i princip oförändrat in i den nya regler- ingen och kommer därmed att omfatta både identitetskort med och utan funktion som resehandling.

•Bestämmelsen om lagens förhållande till annan dataskydds- reglering.

•Bestämmelsen om att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. inte får användas som sökbegrepp.

•Bestämmelsen om att uppgift om giltigheten av ett statligt iden- titetskort får lämnas ut genom direktåtkomst.

•Bestämmelsen som anger att rätten att göra invändningar mot behandling av personuppgifter inte gäller.

251

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Bestämmelserna om förhållandet till annan dataskyddsreglering och begränsning av rätten att göra invändningar ska även omfatta sådan behandling av personuppgifter i id-kortsverksamheten som sker utanför id-kortsregistret.

Polismyndigheten ska föra id-kortsregister

Polismyndigheten ska enligt 14 § förordningen om nationellt iden- titetskort med hjälp av automatiserad behandling föra och vara per- sonuppgiftsansvarig för ett register över nationella identitetskort. En liknande bestämmelse finns i 8 § IdL som anger att Skatteverket med hjälp av automatiserad behandling ska föra en databas med en sam- ling uppgifter om identitetskort för folkbokförda i Sverige. Olika begrepp används alltså i de olika författningarna när det gäller den samling med uppgifter om identitetskorten som den utfärdande myndigheten ska behandla.

Begreppet register har ibland kritiserats eftersom det för tankarna till på visst sätt organiserade eller systematiserade samlingar av upp- gifter, vilket inte längre är ett helt relevant sätt att se på alla samlingar av uppgifter i elektronisk form. Det finns dock enligt förarbetsutta- landen flera elektroniska samlingar av personuppgifter som fortfar- ande måste ses som register i ordets egentliga bemärkelse. Det gäller samlingar då uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Det kan därför finnas anledning att inte helt frångå registerbegreppet. Som exempel på register i mer traditionell mening har nämnts misstankeregistret och belastningsregistret.13

Registreringen av nationella identitetskort förs i resehandlings- systemet (RES). RES är ett kombinerat system som består av dels ett ärendehanteringssystem, dels uppgifter om utfärdade nationella iden- titetskort.14 RES innehåller alltså två olika uppgiftssamlingar när det gäller identitetskorten.

Behandlingen av personuppgifter i ärendehanteringssystemet re- gleras inte i förordningen om nationella identitetskort, utan det är endast uppgifterna om utfärdade id-kort som regleras. Det får anses

13Prop. 2004/05:164 s. 60 f.

14Ds 2015:44 s. 90 och 98.

252

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

ingå i vårt uppdrag att se över bestämmelserna i sistnämnda regle- ring. För den uppgiftssamlingen menar vi att det är mest lämpligt att använda begreppet register. Det är det begrepp som regeringen tidi- gare ansett bäst beskriver den uppgiftssamling som innehåller upp- gifter om utfärdade id-kort i Polismyndighetens verksamhet. Det är också det begrepp som används för motsvarande uppgiftssamling beträffande pass. Passregistret finns också i RES. Vi kommer därför fortsättningsvis att benämna den uppgiftssamling som innehåller upp- gifter om utfärdade id-kort som id-kortsregistret. I id-kortsregistret kommer det, som framgår av avsnitt 12.16, även att finnas vissa upp- gifter om den statliga e-legitimationen.

Polismyndigheten bör liksom i dag vara registerförande myndig- het. Det är därför naturligt att myndigheten också är personupp- giftsansvarig för den behandling som sker i id-kortsregistret. Efter- som flera olika myndigheter är involverade i id-kortsverksamheten framstår det som lämpligt att tydliggöra detta i den nya lagen. Att bestämmelser om personuppgiftsansvar kan införas i nationell rätt, om ändamålen och medlen för behandlingen också bestäms av den nationella rätten, följer av artikel 4.7 i dataskyddsförordningen. Se vidare avsnitt 10.3.2.

Att göra en total översyn av den behandling av personuppgifter som i övrigt görs i id-kortsverksamheten, i den delen av RES som innehåller ärendehanteringssystemet, kan däremot inte anses ingå i vårt uppdrag. Vi föreslår dock att några bestämmelser ska gälla även behandling utanför id-kortsregistret.

I vårt uppdrag ingår inte heller att se över behandlingen av per- sonuppgifter inom passverksamheten. Ett sådant arbete pågår inom Justitiedepartementet. Avsikten är att i en promemoria lägga fram ett förslag om en ny lag som ska reglera personuppgiftsbehandlingen inom passverksamheten, passdatalagen. Om både detta förslag och vårt förslag genomförs kommer alltså Polismyndigheten och de andra passmyndigheterna att få tillämpa olika bestämmelser om be- handling av personuppgifter i två mycket närliggande verksamheter. Om bestämmelserna är liknande kommer det sannolikt inte att inne- bära några svårigheter. Det kan emellertid finnas fördelar med att senare föra samman regleringen i en gemensam författning som gäller för behandling av personuppgifter i både pass- och id-kortsverksam- heten. Ett alternativ kan då vara föra in den reglering vi föreslår beträffande id-kortsregistret i passdatalagen och anpassa den så att

253

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

den kan gälla även för behandlingen av personuppgifter i verksam- heten med statliga identitetskort.

Rättslig grund för behandling av personuppgifter

För att personuppgifter ska få behandlas i id-kortsregistret måste det enligt dataskyddsförordningen finnas en rättslig grund för behand- lingen. För behandling som utförs av myndigheter är det framför allt de rättsliga grunderna som anges i artikel 6.1 c och e i dataskydds- förordningen som är aktuella. Där anges att behandling får utföras om den är nödvändig för att fullgöra en rättslig förpliktelse (arti- kel 6.1 c) eller för utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). När det gäller behandling som sker med stöd av dessa grunder måste grunden för behandlingen enligt artikel 6.3 i dataskyddsförordningen fastställas i nationell rätt eller EU-rätt.

En rättslig förpliktelse kan enligt 2 kap. 1 § dataskyddslagen följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Vidare måste syf- tet med behandling som grundar sig på en rättslig förpliktelse framgå av författningen, beslutet eller kollektivavtalet. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifterna ska ske.

En uppgift av allmänt intresse kan enligt 2 kap. 2 § dataskydds- lagen följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. För myndighetsutövning gäller att denna ska ha stöd i lag eller annan författning. Regeringen har i förarbetena angett att all den verksam- het som en myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Myndigheternas uppdrag och åligganden fram- går av författningar och regeringsbeslut, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund. Myn- dighetsutövning kan enligt RF aldrig utövas utan stöd i gällande rätt. Till skillnad från vad som gäller behandling som grundas på en rätts- lig förpliktelse behöver syftet med behandling som grundar sig på en uppgift av allmänt intresse eller myndighetsutövning inte framgå av

254

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

författning. Däremot måste syftet med behandlingen vara nödvän- digt för ändamålet. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i myndig- hetsutövning ger uttryck för det samband som måste finnas mellan behandlingen och uppgiften av allmänt intresse eller myndighetsut- övningen och innebär en spärr mot helt onödig behandling av per- sonuppgifter.15

Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som efter- strävas.

En översyn av regleringen avseende den databas med uppgifter om identitetskort för folkbokförda i Sverige som ska föras enligt IdL gjordes inför att dataskyddsförordningen skulle börja tillämpas i maj 2018. Översynen av IdL ingick i det lagstiftningsarbete som om- fattade författningar inom skatt, tull och exekution. I förarbetena uttalade regeringen att den behandling som avsågs i de aktuella för- fattningarna regelmässigt sker för att utföra en uppgift av allmänt intresse. I vissa fall är det fråga om att fullgöra rättsliga förpliktelser. Det kan t.ex., enligt förarbetena till den nya dataskyddslagen, vara fallet om en myndighet ges i uppdrag att föra ett visst register. För myndigheternas del innefattar uppgifterna dessutom ofta myndig- hetsutövning. Därutöver menade regeringen att grunderna i artikel 6.1 har sina motsvarigheter i det tidigare gällande dataskyddsdirektivet från 1995. Regeringens bedömning var därför att dataskyddsförord- ningen i de nu aktuella fallen inte innebär att utrymmet för tillåten behandling har blivit mindre. Den behandling av personuppgifter som får eller måste utföras enligt IdL bedömdes således ha rättslig grund enligt artikel 6.1 i dataskyddsförordningen.16 Någon motsvarande översyn har ännu inte gjorts beträffande registret över nationella identitetskort varför det saknas uttalanden om behandlingens stöd i dataskyddsförordningen.

Uppgiften att utfärda id-kort är av allmänt intresse och för att kunna fullgöra den uppgiften på ett säkert sätt krävs att det finns ett register över utfärdade kort. Utfärdaren måste kunna kontrollera att inte samma person innehar flera kort med olika identiteter och att den sökande inte ansöker om att få ett kort med en annan persons

15Prop. 2017/18:105 s. 55–63.

16Prop. 2017/18:95 s. 44 och prop. 2017/18:105 s. 53.

255

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

identitet. Den rättsliga grunden för behandlingen som avses i arti- kel 6.1 e är fastställd i författningarna avseende utfärdande av id-kort. Behandlingen i id-kortsregistret är helt nödvändig för att kunna upp- fylla det allmänna intresset. Även övriga krav enligt artikel 6 bedöms vara uppfyllda. Behandlingen har således stöd i dataskyddsförord- ningen.

Vid behandlingen måste även övriga bestämmelser i dataskydds- förordningen och dataskyddslagen tillämpas. Hänsyn måste exem- pelvis tas till de allmänna principerna i artikel 5. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt. De ska samlas in för särskilda uttryckligen angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara adekvata, relevanta och inte för omfatt- ande i förhållande till ändamålet samt korrekta och om nödvändigt uppdaterade. Behandlingen ska inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet och det ska ske på ett säkert sätt. Även regleringen avseende den registrerades rättigheter och bestämmelserna om säkerhet för personuppgifter måste beaktas.

Förhållandet till annan dataskyddsreglering

I 10 § IdL finns en bestämmelse som upplyser om förhållandet till annan dataskyddsreglering. I bestämmelsen anges att lagen inne- håller kompletterande bestämmelser till EU:s dataskyddsförordning och att dataskyddslagen är subsidiär till IdL. Någon motsvarande bestämmelse finns inte i förordningen om nationellt identitetskort och behövs egentligen inte eftersom det som anges i bestämmelsen ändå gäller. Bestämmelser av det slaget finns trots det i många regist- erförfattningar som en upplysning till tillämparen om att det finns andra dataskyddsbestämmelser som är tillämpliga. Av tydlighetsskäl föreslår vi därför att en sådan bestämmelse förs in i den nya lagen. Bestämmelsen bör även omfatta behandling av personuppgifter i id- kortsverksamheten som sker utanför id-kortsregistret.

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tid- punkt gällande lydelsen. Eftersom dataskyddsförordningen är direkt

256

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

tillämplig och syftet med hänvisningen endast är att upplysa om att förordningen gäller bör en dynamisk hänvisning göras. Hänvisningen kommer således att omfatta även eventuella framtida ändringar i data- skyddsförordningen.

Sökbegränsningar

Känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får enligt 17 § andra stycket IdL inte användas som sökbegrepp. Med känsliga personuppgifter avses de uppgifter som anges i artikel 9 i dataskyddsförordningen, nämligen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlem- skap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. I data- skyddsförordningen benämns uppgifterna som särskilda kategorier av personuppgifter men den svenska lagstiftaren har valt att behålla det inarbetade begreppet känsliga personuppgifter, se t.ex. 3 kap. 1 § dataskyddslagen.

Någon bestämmelse om sökförbud finns inte avseende registret över nationella identitetskort. Eftersom det i förordningen om na- tionellt identitetskort inte finns några bestämmelser om behandling av känsliga personuppgifter gäller bestämmelserna i 3 kap. 3 § data- skyddslagen för sådan behandling. Av första stycket i den bestäm- melsen följer att känsliga personuppgifter får behandlas av en myn- dighet om uppgifterna har lämnats till myndigheten och behand- lingen krävs enligt lag, om behandlingen är nödvändig för handlägg- ningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otill- börligt intrång i den registrerades personliga integritet. Vid behand- ling av känsliga personuppgifter som sker enbart med stöd av be- stämmelsen i första stycket är det enligt andra stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Behandlingen av känsliga personuppgifter i registret avseende nationella identitetskort omfattas således i dag av ett liknande sökförbud som finns i IdL.

257

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Eftersom vi i avsnitt 10.3.3 föreslår att behandlingen av känsliga personuppgifter i id-kortsregistret ska omfattas av en uttrycklig be- stämmelse i den nya lagen kommer behandlingen av känsliga person- uppgifter inte att utföras med stöd av bestämmelsen i dataskydds- lagen. Därmed kommer inte heller sökförbudet i dataskyddslagen att gälla. Sökförbudet avseende känsliga personuppgifter som finns i IdL bör därför föras in i den nya lagen och omfatta även behand- lingen av känsliga personuppgifter avseende identitetskort med funk- tion som resehandling. I avsnitt 11.4.4 föreslår vi dock ett undantag för viss sökning avseende biometriska uppgifter som tas fram ur an- siktsbilder.

Polismyndigheten behandlar i enlighet med vad som anges i pro- memorian Passdatalag17 inte uppgifter om lagöverträdelser i verk- samheten avseende nationella identitetskort. Myndigheten har inte heller något behov av att behandla sådana uppgifter när det gäller nationella identitetskort. Det finns därför inte heller något egentligt behov av att begränsa behandlingen av sådana uppgifter. En bestäm- melse som förbjuder sökning med hjälp av uppgifter om lagöver- trädelser finns dock när det gäller identitetskort för folkbokförda i Sverige. Av uppgifter från Skatteverket framgår att det inte hör till vanligheterna att sådana uppgifter behandlas men att det inte kan uteslutas att det någon gång uppstår ett sådant behov. Sökbegräns- ningen avseende uppgifter om lagöverträdelser bör därför föras in i den nya lagen. För att undvika onödig särreglering bör den omfatta både identitetskort med och utan funktion som resehandling.

Direktåtkomst till uppgift om giltighet av identitetskort

Uppgift om giltigheten av ett identitetskort för folkbokförda i Sverige får enligt 16 § IdL lämnas ut genom direktåtkomst. Någon motsva- rande bestämmelse finns inte beträffande nationella identitetskort. Det innebär dock inte att direktåtkomst inte är tillåten utan endast att en bedömning av en sådan åtkomst måste göras av den person- uppgiftsansvarige bl.a. med beaktande av tillämpliga dataskyddsbestäm- melser.18

17Ds 2015:44 s. 228.

18Jfr SOU 2012:90 s. 210 ff.

258

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

Vi bedömer att det är lämpligt att föra in bestämmelsen om direkt- åtkomst i den nya lagen och låta den omfatta både identitetskort med och utan funktion som resehandling. Med en sådan bestämmelse underlättas utvecklingen av e-tjänster för kontroll av giltighet. Ge- nom sådana kontrollmöjligheter kan missbruket av identitetshand- lingar motverkas.

Utlämnande genom direktåtkomst anses typiskt sett vara en integritetskänslig åtgärd. Direktåtkomsten är dock i detta fall be- gränsad till att endast avse uppgift om giltigheten av ett id-kort. En åtkomst som endast avser sådana uppgifter är inte av särskilt integ- ritetskänslig karaktär. Integritetsriskerna för den enskilde är således försumbara. Det kan dessutom hävdas att syftet med åtkomsten är just att minska det integritetsintrång det innebär att någon använder ett id-kort som tillhör en annan person.

Enligt 22 kap. 1 § OSL och 6 § OSF gäller sekretess för uppgift om en enskilds personliga förhållanden i id-kortsregistren, om det av särskild anledning kan antas att den enskilde eller någon närstå- ende till honom eller henne lider men om uppgiften röjs. En uppgift om ett identitetskorts giltighet torde inte omfattas av sekretess en- ligt bestämmelsen.

Varken dataskyddsregleringen eller sekretessregleringen bör där- för utgöra något hinder mot en bestämmelse om direktåtkomst som även omfattar identitetskort med funktion som resehandling. En bestämmelse om direktåtkomst till uppgift om id-korts giltighet bör därför föras in i den nya lagen.

Ingen rätt att invända mot behandlingen

Av 18 § IdL följer att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar mot behandling av personuppgifter inte gäller vid behandling som är tillåten enligt IdL eller föreskrifter som har meddelats i anslutning till lagen. Någon motsvarande bestäm- melse finns inte i förordningen om nationellt identitetskort.

När personuppgiftslagen gällde ansågs det i vissa fall behövas en uttrycklig bestämmelse om att den registrerade inte hade rätt att motsätta sig den behandling som reglerades i en viss registerförfatt- ning. Bestämmelsen i 12 § andra stycket personuppgiftslagen som stadgade att den registrerade inte hade rätt att motsätta sig sådan

259

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

behandling som skedde på annan grund än samtycke och som var tillåten enligt personuppgiftslagen ansågs nämligen svår att hänvisa till när det gällde behandling som skedde med stöd av en register- författning. I många registerförfattningar har det därför även innan dataskyddsförordningen började tillämpas tagits in bestämmelser om att den registrerade inte hade rätt att invända. I andra fall har en sådan bestämmelse ansett obehövlig eftersom det har ansetts följa direkt av ändamålsbestämmelserna att behandling utan samtycke var tillåten.19 Till en början fanns det inte heller någon reglering avse- ende den registrerades inställning när det gäller registret över iden- titetskort för folkbokförda i Sverige. Den ursprungliga bestämmel- sen om att den registrerade inte har rätt att motsätta sig behandling tillkom i samband med att bestämmelserna infördes i lag. I förarbe- tena uttalade regeringen att någon uttrycklig bestämmelse om att den registrerade inte kan invända mot behandlingen av personupp- gifter i registret egentligen inte behövdes men att en sådan bestäm- melse trots det infördes i klargörande syfte.20

Det finns inte skäl att tro att bedömningen i denna fråga skulle skilja sig beroende på om det är fråga om registret över nationella identitetskort eller registret över identitetskort för folkbokförda i Sverige. Det kan också noteras att en bestämmelse om att den regi- strerade inte kan motsätta sig behandling som sker i registret över nationella identitetskort har föreslagits i promemorian Passdatalag.21

Rätten att göra invändningar regleras numera i artikel 21 i data- skyddsförordningen. Vid behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse, som ett led i myndig- hetsutövning eller efter en intresseavvägning (dvs. behandling enligt artikel 6.1 e eller f i dataskyddsförordningen) ska den registrerade enligt artikel 21.1 ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behand- lingen. Den personuppgiftsansvarige får då inte längre behandla per- sonuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intres- sen, rättigheter och friheter eller om det sker för fastställande, utöv- ande eller försvar av rättsliga anspråk. Begränsningar i rätten att göra

19Se t.ex. prop. 2000/01:33 s. 346 och prop. 2015/16:65 s. 46.

20Prop. 2015/16:28 s. 64 f.

21Ds 2015:44 s. 224.

260

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

invändningar får dock göras under de förutsättningar som anges i artikel 23.

Som anges ovan behandlas personuppgifterna i registren på den grunden att det är nödvändigt för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Rätten att göra invändningar enligt artikel 21.1 gäller vid sådan behandling.

Begränsningar av rätten att göra invändningar får enligt artikel 23.1 göras i syfte att säkerställa bl.a. ett viktigt mål av generellt allmänt intresse för medlemsstaten. Det krävs också att begränsningen upp- fyller krav på nödvändighet och proportionalitet. Vidare måste lag- stiftningen enligt artikel 23.2 innehålla specifika bestämmelser om bl.a. ändamål, kategorier av uppgifter, omfattningen av begränsning- en, skyddsåtgärder, personuppgiftsansvar, lagringstid, riskerna för de registrerades rättigheter och friheter samt rätten att bli informe- rad om begränsningen, när så är relevant.

I det lagstiftningsärende där bl.a. lagstiftningen beträffande iden- titetskort för folkbokförda i Sverige sågs över med anledning av dataskyddsförordningen anförde regeringen att det är av stor bety- delse att personuppgifter får behandlas oberoende av den registrera- des inställning i de aktuella verksamheterna. Behandlingen är en förutsättning för att myndigheterna ska kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Den personuppgifts- ansvariga myndigheten får närmast undantagslöst anses kunna på- visa skäl för fortsatt behandling som väger tyngre än den registre- rades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna att behandla relevanta personuppgifter menade regeringen att den registrerade inte heller fortsättningsvis bör ha någon rätt att motsätta sig sådan personupp- giftsbehandling som är tillåten enligt lagen. En sådan begränsning ansågs utgöra en nödvändig och proportionell åtgärd i syfte att säker- ställa ett viktigt mål av generellt allmänt intresse. Lagstiftningen innehåller dessutom ett flertal olika integritetsskyddande bestäm- melser såsom ändamål med behandlingen och kategorier av uppgifter som får behandlas. Regleringen innebär en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Regeringen ansåg därför att lagstiftningen uppfyllde de krav på bl.a. skyddsåtgärder som upp- ställs i artikel 23.2 i dataskyddsförordningen.22

22Prop. 2017/18:95 s. 85 f.

261

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Det finns inte något skäl att göra en annan bedömning beträff- ande de identitetskort som kan användas som resehandling. Utöver de skäl som regeringen anförde kan tilläggas att det för ett säkert utfärdande av id-korten är av stor vikt att myndigheten kan kontroll- era att inte samma person innehar flera kort med olika identiteter och att en person inte ansöker om ett id-kort i en annan persons identitet. Det är därför viktigt att det finns ett register med uppgifter om utfärdade id-kort i vilket personuppgifter får behandlas obero- ende av den registrerades inställning. En bestämmelse om att be- handling av personuppgifter i registret får utföras även om den regi- strerade invänder mot behandlingen är därmed enligt vår bedömning förenlig med dataskyddsförordningen. En sådan bestämmelse bör därför föras in i den nya lagen om statliga identitetshandlingar och omfatta båda typerna av id-kort. Bestämmelsen bör även omfatta sådan behandling av personuppgifter i id-kortsverksamheten som sker utanför id-kortsregistret.

Dataskyddsförordningen är direkt tillämplig. Undantaget moti- veras av behovet av balans mellan det skydd som dataskyddsför- ordningen ger den registrerade och verksamhetens behov. För att säkerställa att balansen består även vid en eventuell ändring av data- skyddsförordningen bör hänvisningen göras dynamisk. Den kom- mer därmed att avse förordningen i dess vid varje tidpunkt gällande lydelse.

10.3.2Ändamål

Utredningens förslag: Personuppgifter ska få behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av statligt identitetskort och statlig e-legitimation.

Personuppgifter som har samlats in i utfärdandeverksamheten ska även få behandlas

1.om det är nödvändigt för utfärdande av pass,

2.av Polismyndigheten om det är nödvändigt för gränskontroll,

3.av Polismyndigheten om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lag- föra brott eller upprätthålla allmän ordning och säkerhet,

262

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

4.om det är nödvändigt för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning, och

5.för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Ändamålsbestämmelserna ska även omfatta sådan behandling av personuppgifter i id-kortsverksamheten som sker utanför id-korts- registret.

Beträffande identitetskort för folkbokförda i Sverige får person- uppgifter enligt 12 § IdL behandlas i databasen om det behövs i den utfärdande myndighetens utfärdandeverksamhet. När det gäller regist- ret över nationella identitetskort anges i 15 § förordningen om natio- nellt identitetskort att det ska ha till ändamål att ge information om sådana uppgifter som behövs i den utfärdande myndighetens utfär- dandeverksamhet. Bestämmelserna reglerar de primära ändamålen för behandlingen och syftar till att tillgodose behoven av att behand- la personuppgifter i de utfärdande myndigheternas id-kortsverksam- het, till skillnad från sekundära ändamål som i första hand syftar till att tillgodose behov utanför den verksamheten. Regleringen innebär att personuppgifter inte får samlas in för några andra ändamål. Ända- målsbestämmelserna såg från början likadana ut beträffande båda registren. Bestämmelsen avseende identitetskort för folkbokförda i Sverige ändrades dock i samband med att den fördes in i lag. I för- arbetena angavs att någon skillnad i sak inte var avsedd.23 Vi föreslår därför att den primära ändamålsbestämmelsen i den nya lagen for- muleras på det förenklade sätt som anges i IdL. Personuppgifter bör således få behandlas om det är nödvändigt för den utfärdande myn- dighetens verksamhet för utfärdande av statligt identitetskort.

Uppgifter om de statliga identitetskorten kan också ha betydelse vid utfärdande av pass och vice versa. Om det exempelvis råder oklar- het kring en handlings äkthet eller en sökandes identitet vid ansökan om pass kan det finnas uppgifter i registret för id-kort som under- lättar kontrollen. För att få vetskap om att inte samma person inne- har flera identitetshandlingar med olika identiteter eller att den sök- ande inte ansöker om att få ett pass med en annan persons identitet

23Prop. 2015/16:28 s. 61.

263

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

krävs kontroll i id-kortsregistret. Det bör därför även vara tillåtet att behandla personuppgifter om det är nödvändigt för passverksam- heten. Behovet av sådan behandling väger enligt vår bedömning tyng- re än den eventuella risk för integritetsintrång som en sådan behand- ling kan innebära för den enskilde. För att det inte ska råda någon oklarhet i fråga om sådan behandling är tillåten eller inte bör en be- stämmelse om behandling för det ändamålet införas. Eftersom det inte bör vara tillåtet att samla in uppgifter för andra ändamål än för id-kortsverksamheten bör bestämmelsen utformas som ett sekun- därt ändamål. Bestämmelsen bör därför ange att personuppgifter, som får behandlas i id-kortsverksamheten, även får behandlas om det är nödvändigt för att utfärda pass.

I promemorian Passdatalag föreslogs att uppgifterna i registret över de nationella identitetskorten även skulle få behandlas vid gräns- kontroll. Förslaget motiverades med att det nationella identitets- kortet kan användas som en resehandling vid resor inom EU. Det fanns således ett behov av att i samband med sådan gränskontroll kunna kontrollera identitetsuppgifter och uppgifter om själva iden- titetskortet, t.ex. uppgifter om ett identitetskort är återkallat. Detta behov ansågs väga tyngre än den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde.24 Det statliga iden- titetskortet med funktion som resehandling ska kunna användas vid resor inom EU och kontrolleras på samma sätt som det nationella identitetskortet. Polismyndigheten ansvarar enligt 5 a § passlagen och 9 kap. 1 § utlänningslagen (2005:716) för kontroll av personer som passerar Sveriges gränser eller Schengengränserna.

Den behandling som krävs i samband med gränskontroll ryms inte inom det primära ändamålet att utfärda id-kort. Behandlingen kan visserligen i och för sig anses vara förenlig med det primära ända- målet, eftersom det statliga identitetskortet med funktion som rese- handling utfärdas delvis för att kunna fungera som resehandling. För att undvika otydlighet i detta avseende menar vi dock att det bör införas en sekundär ändamålsbestämmelse som anger att de person- uppgifter som har samlats in för att de behövs i utfärdandeverksam- heten även får behandlas av Polismyndigheten om det är nödvändigt för gränskontroll. Behovet av att behandla personuppgifterna i syfte att utföra en effektiv gränskontroll får anses väga tyngre än den risk för integritetsintrång som behandlingen kan medföra.

24Ds 2015:44 s. 222.

264

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

Polismyndigheten biträds i verksamheten med gränskontroll av Kustbevakningen, Tullverket och Migrationsverket, se 5 a § pass- lagen och 9 kap. 1 § utlänningslagen. Även dessa myndigheter kan vid gränskontrollen behöva ta del av de personuppgifter som finns i id-kortsregistret. Detta behov kan tillgodoses bl.a. genom den sekun- dära ändamålsbestämmelse vi föreslår nedan om behandling som är nödvändig för att fullgöra uppgiftsutlämnande som sker i överens- stämmelse med lag eller förordning.

I promemorian Passdatalag föreslogs att personuppgifter som be- handlas i verksamheten avseende nationellt identitetskort skulle få behandlas i andra delar av Polismyndighetens verksamhet. I prome- morian angavs att fotografierna t.ex. behövs i samband med foto- konfrontationer och som ett led i spaningsarbete och att de används i dessa syften redan i dag. I promemorian bedömdes därför Polis- myndigheten ha ett behov av att, i sin brottsförebyggande och brotts- bekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten, kunna behandla sådana per- sonuppgifter som behandlas i verksamheten avseende nationella iden- titetskort. Behovet ansågs väga tyngre än den risk för integritetsin- trång som en sådan behandling kan innebära för den enskilde.25

Vi är också av uppfattningen att Polismyndigheten även i fram- tiden bör få använda sig av personuppgifter från id-kortsverksam- heten för att bekämpa och lagföra brott samt upprätthålla allmän ordning och säkerhet. Det är centrala samhällsintressen som kan för- väntas underlättas väsentligt om uppgifterna i id-kortregistret får an- vändas. Uppgifterna har naturligtvis störst värde vid utredning av identitetsrelaterad brottslighet, men även i utredningar som rör andra typer av brott är det väsentligt att identiteten på de inblandade kan fastställas.

Personuppgifterna är ofta harmlösa, eller i vart fall inte av särskilt integritetskänsligt slag. När uppgifterna behandlas i Polismyndighe- tens brottsbekämpande verksamhet kommer de att omfattas av brotts- datalagen (2018:1177) och lagen (2018:1693) om polisens behand- ling av personuppgifter inom brottsdatalagens område. Regelverken innehåller bestämmelser som syftar till att skydda den enskildes personliga integritet.

25Ibid. s. 222 f.

265

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Mot bakgrund av ovanstående menar vi därför att de person- uppgifter som har samlats in för utfärdande av statligt identitetskort bör få behandlas av Polismyndigheten även när det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

För att det inte ska vara oklart om en sådan behandling är förenlig med det ursprungliga ändamålet bör det införas en sekundär ända- målsbestämmelse som uttryckligen tillåter behandling för dessa ända- mål. Ändamålen i den sekundära bestämmelsen motsvarar vad som anges i 1 kap. 1 § lagen om polisens behandling av personuppgifter inom brottsdatalagens område, dvs. den lag som tillsammans med brottsdatalagen kommer att gälla för den fortsatta behandlingen av personuppgifterna.

De behov av att ta del av uppgifter från id-kortsregistret som kan finnas hos andra brottsbekämpande myndigheter kan tillgodoses bl.a. genom den sekundära ändamålsbestämmelse vi föreslår nedan om behandling som är nödvändig för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.

När det gäller identitetskort för folkbokförda i Sverige anges i den nuvarande regleringen att personuppgifter som behandlas enligt det primära ändamålet också får behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ända- mål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Bestämmelserna tillkom i samband med att ändamålsbestämmelsen fördes in i lag. Syftet var att undvika osäker- het kring hur sådant utlämnande förhöll sig till bestämmelserna i lagen samt att i förtydligande syfte upplysa om att även behandling som inte strider mot finalitetsprincipen är tillåten. Någon sådan be- stämmelse finns inte när det gäller de nationella identitetskorten. Det ändamål som anges i förordningen om nationellt identitetskort synes dock inte vara uttömmande varför detta torde gälla ändå. Mot- svarande bestämmelser har också föreslagits beträffande registret över nationella identitetskort i promemorian Passdatalag.26 Mot denna bakgrund menar vi att det finns skäl att låta behandlingen av personuppgifter beträffande både id-kort med och utan funktion som resehandling omfattas av motsvarande bestämmelser som redan

26Ibid. s. 223.

266

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

gäller för identitetskort för folkbokförda i Sverige. På så sätt förtyd- ligas att sådan vidarebehandling är tillåten beträffande uppgifter om båda korten.

Att uppgiftslämnandet ska ske i överensstämmelse med lag eller förordning innebär att det ska ske med stöd av bestämmelser som antingen påbjuder eller tillåter utlämnande. Som ett exempel kan näm- nas att det när det gäller uppgifter som inte omfattas av sekretess finns en allmän skyldighet i 6 kap. 5 § OSL för en myndighet att på begäran av en annan myndighet lämna ut uppgifter, om det inte skulle hindra arbetets behöriga gång. Regeringen har ansett att upp- gifter i passärenden i de flesta fall måste betraktas som harmlösa.27 Detsamma får antas gälla för uppgifter om identitetskort. Bortsett från de fotografier som kommer att sparas i registret kommer det enligt 22 kap. 1 § OSL och 6 § OSF att råda en presumtion för offentlighet när det gäller uppgifter om en enskilds personliga för- hållanden på samma sätt som i dag, se avsnitt 11.7. För fotografierna råder i stället en presumtion för sekretess. När det gäller många av uppgifterna i id-kortsverksamheten är Polismyndigheten således skyl- dig att lämna ut uppgifterna till den myndighet som begär det, om det inte hindrar arbetets gång.

Ändamålsbestämmelserna bör formuleras i enlighet med den ter- minologi som används i dataskyddsförordningen. De bör därför an- ge att behandling är tillåten om den är nödvändig i förhållande till ändamålen. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att bedriva id-kortsverksamheten utan att person- uppgifterna behandlas. Det unionsrättsliga begreppet nödvändig har inte denna strikta innebörd. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster. I dagsläget bör det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på auto- matisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ.28

Bestämmelserna som innebär en begränsning av de ändamål för vilka personuppgifter får behandlas bör omfatta all behandling i id- kortsverksamheten och inte bara den som sker i id-kortsregistret. Den kommer därmed att omfatta även den tillfälliga behandling av

27Prop. 2004/05:119 s. 44.

28Prop. 2017/18:105 s. 46 f. och 189.

267

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

biometriska uppgifter som berörs i avsnitt 11.4.4. På så sätt höjs skyd- det av uppgifterna i hela id-kortsverksamheten.

10.3.3Känsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter ska få behandlas i id-kortsregistret endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Med känsliga personuppgifter avses som nämnts de uppgifter som anges i artikel 9 i dataskyddsförordningen, nämligen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sex- ualliv eller sexuella läggning.

Känsliga personuppgifter får enligt 13 § IdL behandlas i databasen över identitetskort för folkbokförda i en handling som har lämnats i ett ärende. Sådana uppgifter får också behandlas i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand- läggning.

För att känsliga personuppgifter ska få behandlas är det inte till- räckligt att det finns en rättslig grund enligt artikel 6 i dataskyddsför- ordningen. Vid sådan behandling måste även artikel 9 i dataskyddsför- ordningen beaktas. Av artikel 9.1 i dataskyddsförordningen framgår att behandling av känsliga personuppgifter som huvudregel är för- bjuden. Känsliga personuppgifter får dock enligt artikel 9.2 g i data- skyddsförordningen behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen gjorde vid översynen av IdL med anledning av dataskyddsförordningens tillkomst, bedömningen att verksamheten avseende identitetskort är ett sådant viktigt all- mänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Reger- ingen anförde att kraven på viktigt allmänt intresse dessutom gällde

268

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

även enligt 1995 års dataskyddsdirektiv och alltså inte var nytt. I för- fattningen finns vidare särskilda bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till upp- gifter som lämnats i ett ärende eller är nödvändiga för handlägg- ningen av det och regler om förbud mot att söka på känsliga person- uppgifter. Regleringen i IdL bedömdes därmed uppfylla dataskydds- förordningens krav på lämpliga och särskilda åtgärder för att säker- ställa den registrerades grundläggande rättigheter och intressen.29

Någon bestämmelse om behandling av känsliga personuppgifter finns inte i förordningen om nationellt identitetskort och inte heller i det förslag till förordning om behandling av personuppgifter i verk- samhet avseende nationellt identitetskort som lämnats i promemo- rian Passdatalag. I promemorian anges att känsliga personuppgifter normalt inte behandlas i verksamhet avseende nationella identitets- kort. Av 3 § andra stycket 2 förordningen om nationellt identitets- kort följer dock att sökanden i samband med ansökan är skyldig att styrka sin identitet och sitt svenska medborgarskap. I samband här- med behandlas t.ex. uppgifter om sökandens namn och medborgar- skap. Vid ansökan tas också en ansiktsbild på sökanden. En isolerad uppgift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. De uppgifter som anges ovan skulle dock i undan- tagsfall kunna avslöja en persons ras eller etniska ursprung. I prome- morian konstaterades därför att personuppgifter som kan avslöja någons ras eller etniska tillhörighet, framför allt sökandens namn och medborgarskap samt hans eller hennes ansiktsbild, behöver be- handlas i verksamheten avseende nationellt identitetskort. Eftersom uppgifterna normalt lämnas av sökanden vid ansökningstillfället torde behandlingen enligt uttalanden i promemorian därmed kunna ske med hans eller hennes samtycke. I annat fall torde behandlingen kun- na ske med stöd av 8 § personuppgiftsförordningen (1998:1191) som angav att känsliga personuppgifter fick behandlas av en myn- dighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I promemorian gjordes där- för bedömningen att det inte fanns något behov av att ytterligare begränsa passmyndigheternas möjlighet att behandla känsliga per- sonuppgifter.30

29Prop. 2017/18:95 s. 62 f.

30Ds 2015:44 s. 226 f. jämförd med prop. 2008/09:70 s. 142.

269

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

Personuppgiftsförordningen är numera upphävd. I förhållande till den nu gällande generella regleringen av behandling av känsliga personuppgifter enligt dataskyddslagen gjordes i samband med över- synen av IdL en annan bedömning än den som gjordes i förhållande till bestämmelsen i personuppgiftsförordningen i promemorian Pass- datalag. Av 3 kap. 3 § dataskyddslagen följer att känsliga personupp- gifter får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om be- handlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. När det gäller behandlingen av känsliga personuppgifter i verksamheten avseende identitetskort för folkbokförda i Sverige har regeringen ansett att det skulle innebära en utvidgning av möjlig- heterna att behandla känsliga personuppgifter jämfört med vad som gäller enligt IdL att i stället låta den generella regleringen om be- handling av känsliga personuppgifter gälla. Av den anledningen be- höll man bestämmelsen om behandling av känsliga personuppgifter i IdL och den utgör därmed en i förhållande till 3 kap. 3 § dataskydds- lagen avvikande reglering som ska tillämpas i stället för den lagen.31

Av de skäl som redovisats beträffande IdL gör vi bedömningen att den behandling av känsliga personuppgifter som behöver göras beträffande både identitetskorten som har funktion som resehand- ling och de som inte har en sådan funktion är nödvändig av hänsyn till ett viktigt allmänt intresse och att de krav som i övrigt följer av artikel 9.2 g i dataskyddsförordningen är uppfyllda.

De känsliga personuppgifter som behöver behandlas är uppgifter som normalt lämnas av sökanden vid ansökningstillfället. Det kan alltså vara fråga även om uppgifter som inte finns i en handling. En bestämmelse som tillåter sådan behandling, och inte enbart behand- ling av uppgifter som finns i handlingar bör därför föras in i den nya lagen.

Polismyndigheten kommer enligt våra förslag i avsnitt 11.4.4 även att behandla vissa biometriska uppgifter som tas fram ur ansiktsbilder i id-kortsregistret. Vi har i det avsnittet bedömt att även den behand- ling vi föreslår i det avseendet är förenlig med dataskyddsförord- ningen.

31Prop. 2017/18:95 s. 63.

270

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

I förtydligande syfte bör det i bestämmelsen göras en hänvisning till definitionen av känsliga personuppgifter i artikel 9.1 i dataskydds- förordningen. Eftersom den terminologi som används i lagen måste följa den begreppsutveckling som sker inom EU bör hänvisningen till dataskyddsförordningen göras dynamisk. Det innebär att hänvis- ningen kommer att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

10.3.4Registrets innehåll

Utredningens förslag: Vilka uppgifter id-kortsregistret ska inne- hålla ska regleras både i den nya lagen och förordningen. Registret ska bl.a. innehålla uppgifter om sökanden, utfärdade identitets- kort och uppgifter från handläggningen av ärenden om identitets- kort.

Vi föreslår i avsnitt 11.4.4 att den ansiktsbild som tas av sökanden vid ansökan om statligt identitetskort och biometriska uppgifter som tas fram ur denna ska sparas i id-kortsregistret och att detta ska regleras i den nya lagen. Bestämmelser om id-kortsregistrets innehåll i övrigt bör inte tas in i den nya lagen utan meddelas av regeringen.

Vilka uppgifter som ska finnas i registren regleras i dag i 11 § IdF och 16 § förordningen om nationella identitetskort. En bestämmelse med motsvarande innehåll bör föras in i den nya förordningen. Upp- räkningarna av vilka uppgifter som ska finnas i registren skiljer sig åt i några avseenden. Uppgifter om födelsetid, postadress och andra kontaktuppgifter, eventuell anledning till att namnteckning inte kan göras, uppgift om hur sökanden har styrkt sin identitet och uppgift om förlustanmälan som ska finnas i registret över identitetskort för folkbokförda i Sverige finns inte reglerade för de nationella identi- tetskorten. Detsamma gäller handlingar som kommit in eller upp- rättats i ett ärende. Dessa uppgifter är dock enligt vår bedömning lika relevanta att registrera beträffande båda typerna av identitets- kort. Flera av uppgifterna registreras också redan i dag även avseende de nationella identitetskorten.32 Den uppräkning av uppgifter som ska finnas i registret över identitetskort för folkbokförda i Sverige

32Ds 2015:44 s. 94–99.

271

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

bör därför omfatta både identitetskort med och utan funktion som resehandling. Även uppgift om att en ansökan har återkallats bör registreras på samma sätt som redan i dag gäller för nationella iden- titetskort.

Utöver de uppgifter som redan i dag ska finnas i registret bör även uppgift om att sökanden har svenskt medborgarskap i förekomman- de fall registreras. Den uppgiften är av betydelse för frågan om sökan- den kan få ett id-kort med funktion som resehandling.

Vidare finns det behov av att i vissa fall ta in uppgift om samord- ningsnummer i id-kortsregistret. Det finns nämligen svenska med- borgare som är födda utomlands som aldrig har varit folkbokförda i Sverige och därför inte har något personnummer. Även medborgare som bor utomlands kan få ett statligt identitetskort. Har personen inte något personnummer utfärdas id-kortet med samordningsnum- mer i stället för personnummer. Samordningsnummer bör därför finnas med i uppräkningen av de uppgifter som ska finnas i id-korts- registret.

I de fall ansökan om id-kort görs genom bud bör, som anges i avsnitt 10.2.7, även uppgifter om budet, vittnet och företrädaren för den inrättning som intygat att sökanden inte kan ta sig till den ut- färdande myndigheten registreras. Detta för att Polismyndigheten ska ha möjlighet att göra en kontroll av de uppgifter som lämnats i ansökan. Det kan i dessa ärenden exempelvis finnas behov av att ta kontakt med inrättningen för att säkerställa att intyget om att sökan- den är förhindrad att inställa sig är korrekt. Ytterligare kontakt kan också behöva tas med vittnet eller budet.

Även i ärenden där sökanden styrker sin identitet genom en in- tygsgivare kan en fördjupad kontroll i vissa fall behöva göras. Som an- ges i avsnitt 10.2.8 bör därför uppgifter om intygsgivaren registreras.

Databasen över identitetskort för folkbokförda i Sverige får enligt

12 § IdF tillföras sådana uppgifter från Skatteverkets folkbokför- ingsdatabas som anges i 11 § första stycket, dvs. de uppgifter som ska finnas i databasen över id-korten. Vid ansökningstillfället hämtas de uppgifter som anges i bestämmelsen ur folkbokföringsregistret och visas på handläggarens skärm varvid en kontroll kan göras. Polis- myndigheten har med stöd av 2 kap. 8 § lagen (2001:182) om behand- ling av personuppgifter i Skatteverkets folkbokföringsverksamhet direktåtkomst till vissa uppgifter i folkbokföringsdatabasen. Polis- myndigheten hämtar folkbokföringsuppgifter vid handläggningen av

272

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

en ansökan om nationellt identitetskort. Det kan även finnas ett be- hov av att hämta folkbokföringsuppgifter och uppdatera id-korts- registret när Skatteverket registrerar nya uppgifter som kan ha bety- delse för t.ex. återkallelse. För att tydliggöra att id-kortsregistret får tillföras sådana uppgifter bör en bestämmelse motsvarande den i 12 § IdF föras in i den nya förordningen och omfatta både identitetskort med och utan funktion som resehandling.

10.3.5Längsta tid för behandling av personuppgifter

Utredningens förslag: Uppgifter och handlingar i id-kortsregist- ret ska inte få behandlas under längre tid än vad som är nödvändigt för ändamålet med behandlingen, dock längst tio år efter utgången av det kalenderår då giltighetstiden för ett identitetskort gått ut eller ansökan om identitetskort avslagits eller återkallats.

Riksarkivet ges möjlighet att meddela föreskrifter om att upp- gifter och handlingar får bevaras under längre tid.

I 17 § förordningen om nationellt identitetskort anges att en uppgift i registret ska gallras senast sex månader efter att giltighetstiden för ett identitetskort har gått ut. Samma gallringsfrist har föreslagits i promemorian Passdatalag dock med det tillägget att Riksarkivet får meddela föreskrifter om bevarande.33

Enligt 13 § IdF gäller i stället en gallringsfrist om ett år för upp- gifter och handlingar i databasen. Vidare anges att om ansökan om identitetskort för folkbokförda i Sverige har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslags- beslutet har fått laga kraft. Riksarkivet får, efter att ha inhämtat syn- punkter från Skatteverket, när det gäller identitetskort för folkbok- förda i Sverige meddela föreskrifter om att uppgifter och handlingar får bevaras under längre tid. Bestämmelserna gäller endast för upp- gifter i registren och, när det gäller bestämmelsen i IdF, handlingar i registret.

Riksarkivet har med stöd av 13 § IdF meddelat föreskrifter om bevarande av uppgifter och handlingar i databasen.34 Av föreskrif- terna följer bl.a. att ansökningshandlingar inklusive underskrift och

33Ds 2015:44 s. 234 ff.

34Riksarkivets föreskrifter om bevarande och gallring hos Skatteverket (RA-MS 2011:33).

273

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

ansiktsbild i ärenden om identitetskort som har beviljats och mer- parten av de uppgifter som ska finnas i databasen enligt 11 § IdF ska bevaras. Övriga handlingar i ärenden om identitetskort som beviljats och handlingar i ärenden om identitetskort som har avslagits ska gallras efter tio år. Regleringen medför att det i praktiken inte är några uppgifter eller handlingar som gallras inom den frist på ett år som anges i IdF. För registret över nationella identitetskort finns inte någon föreskriftsrätt för Riksarkivet.

Föreskriftsrätten för Riksarkivet när det gäller uppgifter och handlingar i databasen om identitetskort för folkbokförda i Sverige infördes sedan Skatteverket framfört behov av att kunna bevara handlingar och uppgifter för längre tid än ett år. Anledningen var att man såg ett behov av att exempelvis kunna ta del av skälen till ett beslut om avslag eller återkallelse. Dessutom hade leverantören av den e-legitimation som finns på id-kortet behov av att vissa uppgifter bevarades i tio år till följd av gallringsfristen i bokföringslagen. Även bankerna framförde behov av att kunna kontrollera bankhändelser i tio år efter genomförd transaktion varvid uppgifter om utfärdandet av den identitetshandling som använts för att styrka identiteten också kunde behöva kontrolleras. Även ur ett brottsbekämpande per- spektiv ansågs det finnas behov av att kontrollera handlingar rörande id-kort som utfärdats till en person som t.ex. var misstänkt för be- drägeri.

För uppgifter och handlingar som inte finns i registren, exempel- vis pappershandlingar, finns inga gallringsbestämmelser i de författ- ningar som reglerar id-korten. För dessa uppgifter gäller därför arkiv- lagen. Huvudprincipen enligt arkivlagen är att allmänna handlingar ska bevaras. Statliga myndigheter får enligt 14 § arkivförordningen gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Riksarkivet har med stöd av arkivförordningen meddelat föreskrifter om gallring av pappershandlingar i ärenden om identitetskort för folkbokförda i Sverige.35 Riksarkivet har även med- delat föreskrifter beträffande nationella identitetskort när det gäller annat än uppgifter i registret.36

35Riksarkivets föreskrifter om bevarande och gallring hos Skatteverket (RA-MS 2011:33).

36Riksarkivets föreskrifter om bevarande och gallring hos Polismyndigheten (RA-MS 2017:45).

274

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

Informationssamlingar som innehåller ett stort antal personupp- gifter innebär integritetsrisker för den enskilde. Det är anledningen till att det i registerförfattningar är vanligt med bestämmelser som, tvärtemot arkivlagens huvudprincip om bevarande, anger att gallring ska ske på visst sätt eller som anger en längsta tid för behandling av uppgifterna. Om sådana bestämmelser inte skulle finnas gäller arkiv- lagens huvudregel om bevarande. Vi menar därför att bestämmelser som anger under hur lång tid uppgifterna får sparas i id-kortsregist- ret bör föras in i den nya lagstiftningen.

Gallring enligt det arkivrättsliga regelverket syftar till att be- gränsa arkivens omfattning, medan gallring i lagstiftning om behand- ling av personuppgifter syftar till att skydda enskildas personliga integritet. När syftet med bestämmelserna är att skydda den person- liga integriteten bör regleringen, i enlighet med regeringens bedöm- ning när det gäller den lagstiftning som kompletterar brottsdata- lagen, i stället för gallring ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Detta för att begreppen bevarande och gallring enbart ska användas i den betydelse de har i arkivlag- stiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och regler om dataskydd. Avsikten är dock inte att den änd- rade terminologin ska innebära några ändringar i sak.37 Även be- stämmelserna avseende id-kortsregistret bör därför formuleras så att de anger den längsta tid som uppgifterna får behandlas.

Vid utformningen av sådana bestämmelser måste en avvägning göras mellan å ena sidan intresset av skyddet för den personliga in- tegriteten och å andra sidan verksamhetens behov. Som framgått behandlas uppgifter och handlingar avseende identitetskort för folk- bokförda i Sverige i realiteten under betydligt längre tid än den som anges i IdF. Behovet av att behandla uppgifter och handlingar torde vara detsamma oavsett om de gäller identitetskort med eller utan funktion som resehandling. Förutom de behov som redovisats ovan är det av stor vikt för säkerheten i utfärdandeprocessen att den ut- färdande myndigheten kan kontrollera uppgifter i registret i sam- band med att en person ansöker om ett nytt id-kort. Uppgifterna behövs således bl.a. för att kunna kontrollera att inte samma person innehar flera kort med olika identiteter och att den sökande inte ansöker om att få ett kort med en annan persons identitet. Detta gäller inte minst de ansiktsbilder och biometriska data som vi i

37Prop. 2017/18:269 s. 120 f.

275

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

avsnitt 11.4.4 föreslår ska sparas i id-kortsregistret i syfte att möjlig- göra sökning på dessa uppgifter. Många uppgifter kan av det skälet behöva sparas under lång tid. Vi menar att det är en lämpligare ord- ning att utforma lagregleringen så att den bättre återspeglar den be- handling som faktiskt sker än att enbart låta detta framgå av myn- dighetsföreskrifter.

Olika typer av uppgifter kan behöva sparas under olika lång tid. Det har dock inte varit möjligt att inom ramen för vårt arbete fullt ut utreda hur lång tid olika uppgifter behöver behandlas. Vi bedömer därför att det är lämpligt att införa en bestämmelse som knyter an till ändamålet med behandlingen i stället för att ange en viss tid för behandling. Personuppgifter som behandlas i id-kortsregistret bör därför inte få behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det kan diskuteras om en sådan bestämmelse verkligen behövs eftersom detta följer redan av de allmänna principerna i artikel 5 i dataskyddsförordningen. Bestäm- melsen kan också tyckas vara alltför vag för att tillföra något ur integ- ritetsskyddsintresse. Regeringen har dock ansett att en bestämmelse som knyter an till ändamålet med behandlingen, i stället för bestäm- da tidsfrister, är tillräcklig för att tillgodose integritetsskyddsintres- set.38 För att ytterligare avgränsa den behandling som är tillåten kan bestämmelsen förenas med en yttersta tidsfrist.

Frågan är då hur lång denna tidsfrist ska vara. Som framgått gäller enligt Riksarkivets föreskrifter om identitetskort för folkbokförda i Sverige att ansökningshandlingar, inklusive underskrift och ansikts- bild i ärenden som har beviljats, och merparten av de uppgifter som ska finnas i databasen ska bevaras utan någon tidsgräns. Ur verksam- hetens perspektiv kan det dock knappast finnas skäl att spara upp- gifterna så länge. Övriga uppgifter får enligt Riksarkivets föreskrif- ter behandlas i tio år.

Enligt tillitsramverket för Svensk e-legitimation ska tiden för be- varande av uppgifter om utfärdade e-legitimationer inte understiga tio år. Uppgifter om ansökan, utlämnande och spärr av den statliga e-legitimation som vi i avsnitt 12.3 föreslår ska utfärdas kommer allt- så att behöva sparas under minst tio år. Tidsfristen bör därför inte sättas kortare än så. Några tydliga behov av att behandla uppgifter under ännu längre tid har inte framkommit. Uppgifterna i registret bör därför få behandlas under längst tio år.

38Se t. ex. prop. 2002/03:135 s. 121 f.

276

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

Att det sätts en yttersta tidsgräns innebär naturligtvis inte att alla uppgifter i registret ska behandlas under så lång tid. Polismyndig- heten måste som personuppgiftsansvarig göra en bedömning av be- hovet av olika typer av uppgifter och utifrån det behovet ta fram rutiner för hur länge olika uppgifter ska behandlas.

I avsnitt 11.4.4 och 11.6.1 föreslår vi att vissa bestämmelser om förstörande av biometriska uppgifter ska föras in i den nya lagen om statliga identitetshandlingar. Även den bestämmelse avseende under hur lång tid uppgifter och handlingar i registret får behandlas som vi nu föreslår bör föras in lag, för att bestämmelserna om tidsbegräns- ning för behandling ska vara samlade.

I lagen bör också anges att regeringen eller den myndighet reger- ingen föreskriver får meddela föreskrifter om att uppgifter och hand- lingar får behandlas under längre tid, på motsvarande sätt som i dag gäller enligt IdF. Bestämmelsen bör utformas i enlighet med data- skyddsförordningens terminologi och således ange att föreskrifter får meddelas om att personuppgifter får behandlas under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Sådana föreskrifter kan ges för att understödja rätten att ta del av allmänna handlingar samt för att tillgodose rättskipningens, förvaltningens och forskningens behov. Motsvarande formuleringar återfinns i andra registerförfatt- ningar. Föreskriftsrätten bör i förordningen delegeras till Riksarkivet.

10.4Ändringar i passregleringen

10.4.1Personlig inställelse vid utlämnande av pass

Utredningens förslag: Kravet på att sökanden ska inställa sig per- sonligen i samband med utlämnade av pass ska föras in i passlagen och inte längre regleras i förordning. Detsamma gäller undantaget som ger utlandsmyndigheterna möjlighet att medge sökanden rätt att inställa sig hos ett ombud för myndigheten.

Vi föreslår i avsnitt 10.2.7 att kravet på att sökanden inställer sig personligen för att hämta ut det statliga identitetskortet ska föras in i den nya lagen om statliga identitetshandlingar och inte som i dag regleras i förordning. Även kravet på personlig inställelse när det

277

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

gäller utlämnande av pass finns i dag i förordning (21 § passför- ordningen). I passförordningen regleras också möjligheten för en passmyndighet utom riket att medge att utlämnande sker hos ett om- bud för myndigheten. Bestämmelser om personlig inställelse finns av säkerhetsskäl. Kravet på personlig inställelse i samband med ut- lämnande är som anges i det ovan nämnda avsnittet av så central be- tydelse att goda skäl talar för att det bör föras in i lag och inte som i dag regleras i förordning.

Vi föreslår dessutom i avsnitt 11.6.1 att det av passlagen ska fram- gå att den utfärdande myndigheten vid behov kan ta sökandens finger- avtryck och ansiktsbild vid utlämnandet. Att vid en personlig inställelse låta myndigheten göra sådana kontroller innebär en sådan olägenhet för den enskilde att det även av det skälet är lämpligt att ta in kravet på personlig inställelse i lag. Kravet på personlig inställelse bör därför tas in i passlagen. Även bestämmelsen som möjliggör för utlands- myndigheterna att medge att utlämnandet sker hos ett ombud bör föras över till passlagen.

10.4.2Undantag från huvudregeln om styrkande

av identitet för personer som saknar en statlig fysisk identitetshandling

Utredningens förslag: Sökande som inte har ett pass eller statligt identitetskort kan styrka sin identitet med pass från vissa euro- peiska länder. Har sökanden inte heller ett sådant pass kan iden- titeten styrkas med hjälp av en intygsgivare eller i sista hand på något annat tillförlitligt sätt.

Sökanden ska innan ett pass lämnas ut vara skyldig att på be- gäran styrka sin identitet på samma sätt som vid ansökan.

Passlagen innehåller, precis som författningarna beträffande id-kort, bestämmelser om att sökanden ska styrka sin identitet i samband med ansökan. Det anges dock inte heller i passlagen på vilket sätt identi- teten ska styrkas. Detta framgår i stället av de i avsnitt 4.2 nämnda före- skrifterna som Polismyndigheten har utfärdat och som är gemensamma för pass och id-kort.

278

SOU 2019:14

En enhetlig reglering av utfärdandeprocessen

Vi föreslår i avsnitt 8.6.2 att pass och statligt identitetskort ska användas för att styrka identiteten i samband med ansökan om pass och statligt identitetskort. Som anges i avsnitt 10.2.8 beträffande id- kort kommer det dock även i fortsättningen finnas ett behov av att godta andra sätt att identifiera sig. För att göra utfärdandeprocessen enhetlig bör de alternativa sätten att styrka sin identitet som vi före- slår ska godtas när det gäller ansökan om statligt identitetskort, även gälla vid ansökan om pass. Av samma skäl som anges i det avsnittet bör endast huvudregeln om på vilket sätt identiteten ska styrkas tas in i lag, medan undantagen kan meddelas av regeringen i förordning.

De bestämmelser om identifiering med utländska pass, intygs- givare och annan tillförlitlig identifiering som vi i avsnitt 10.2.8 före- slår ska gälla vid ansökan om statligt identitetskort bör därmed föras in även i passlagstiftningen. Det finns dock inte något behov av att möjliggöra identifiering genom jämförelse med de uppgifter som finns registrerade hos Migrationsverket i fråga om personens uppe- hållstillstånd, eftersom det endast är svenska medborgare som kan få pass utfärdade.

Även när det gäller styrkande av identitet i samband med att pass lämnas ut gör vi samma bedömning som i avsnitt 10.2.8 beträffande statligt identitetskort. En bestämmelse om att sökanden på begäran ska styrka sin identitet på motsvarande sätt som i samband med an- sökan även när passet lämnas ut, bör därför införas i passlagen.

10.4.3Inlämning av ett tidigare utfärdat pass

Utredningens förslag: Om ett pass tidigare har utfärdats för sökanden och det inte har förstörts, kommit bort eller makulerats, ska passet ges in för makulering vid utlämnande av ett nytt pass.

Ett tidigare utfärdat pass ska enligt 6 § fjärde stycket passlagen lämnas in för makulering i samband med ansökan om det inte har förstörts, kommit bort eller makulerats om det inte finns särskilda skäl. Om sökanden av särskilda skäl har behov av passet under hand- läggningstiden behöver det enligt 1 § andra stycket 1 passförordning- en inte ges in förrän i samband med att det nya passet lämnas ut. I avsnitt 10.2.9 har vi i stället föreslagit att ett tidigare utfärdat stat- ligt identitetskort alltid ska ges in för makulering vid utlämnande av

279

En enhetlig reglering av utfärdandeprocessen

SOU 2019:14

det nya kortet eftersom sökanden vanligen behöver det gamla id- kortet till dess att det nya lämnas ut. Bestämmelserna i passlagen och passförordningen bör av samma skäl ändras på det sättet att det fram- går att passet i stället ska ges in för makulering när det nya passet lämnas ut.

För att minska antalet pass som finns tillgängliga i samhället be- dömer vi, på samma sätt som beträffande id-kort, att det finns anled- ning att föreskriva att även ett pass vars giltighetstid har gått ut ska makuleras.

10.4.4Återkallelse av pass

Utredningens förslag: Pass ska kunna återkallas om någon väsent- lig uppgift som framgår av passet är felaktig eller inte längre gäller.

I 12 § passlagen anges i vilka situationer ett pass kan återkallas. Det rör sig t.ex. om när passinnehavaren har förlorat eller efter ansökan befriats från sitt svenska medborgarskap, vårdnadshavaren begär att ett barns pass ska återkallas, passinnehavaren är föremål för olika frihetsberövande påföljder, det fanns hinder mot att bifalla passan- sökan vid utfärdandet och hindret fortfarande består eller någon annan än den för vilket passet är utställt förfogar över det.

I avsnitt 10.2.10 föreslår vi att det statliga identitetskortet ska kunna återkallas om någon väsentlig uppgift som framgår av id-kortet är felaktig eller inte längre gäller. Precis som när det gäller det statliga identitetskortet är det viktigt att det går att lita på att uppgifterna i passet är riktiga. Det är inte lämpligt att en person som exempelvis byter namn eller personnummer har ett pass som inte anger rätt personuppgifter. Även pass bör därför kunna återkallas om någon väsentlig uppgift som framgår av detta är felaktig eller inte längre gäller.

Svenskt medborgarskap är en förutsättning för att ett pass ska kunna utfärdas. Det svenska medborgarskapet är således en väsentlig uppgift som framgår av passet. En ändring beträffande medborgar- skapet omfattas därmed av den nya återkallelsegrunden. Någon sär- skild återkallelsegrund beträffande medborgarskap behövs därför inte längre när det gäller pass.

280

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

11.2Dagens säkerhetsnivå

11.2.1Biometri

Definitioner

Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd iden- titet är riktig. Den baseras på mätning av fysiska karaktärsdrag eller beteenden hos den som ska identifieras. Genom mätningen kan sär- skiljande egenskaper hos olika personer hittas. Med biometri avses i detta sammanhang tekniker som läser av en persons unika drag och översätter dem till en datakod i syfte att använda koden vid maskinell och automatisk identifiering. Förutom mätning av fingeravtryck och ansiktsbilder finns det också teknik som innebär mätning av andra fysiska egenskaper såsom iris, näthinna, ögonbotten, hand- och finger- geometri. Även vissa beteendemässiga kännetecken såsom tangent- bordsrytm, signaturbiometri och gångstil kan användas.1 Gemen- samt för teknikerna är att kroppen mäts elektroniskt.

Med biometriskt underlag avses rådata om en persons fysiska karak- tärsdrag, t.ex. ett digitalt fotografi av ett ansikte eller av ett finger- avtryck. Biometriska uppgifter eller data är den information som kan tas fram ur ett biometriskt underlag. De biometriska uppgifter som tas fram (extraheras) ur ett biometriskt underlag utgörs av de särdrag som systemet lokaliserat i bilden. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.

Biometriska uppgifter definieras enligt artikel 4.14 i dataskydds- förordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräf- tar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Motsvarande definition finns i artikel 3.13

idet nya dataskyddsdirektiv2 som gäller i brottsbekämpande verk- samhet.

1SOU 2016:41 s. 583 ff.

2Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysis- ka personer med avseende på behöriga myndigheters behandling av personuppgifter för att före- bygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

282

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

I såväl dataskyddsförordningen som det nya dataskyddsdirekti- vet som gäller i den brottsbekämpande verksamheten anges alltså att ansiktsbilder är ett exempel på biometriska uppgifter. I skäl 51 till dataskyddsförordningen anges dock att behandling av foton inte systematiskt bör anses utgöra behandling av biometriska uppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller auten- tisering av en fysisk person. Regeringen har vidare i förarbetena till brottsdatalagen, som är den svenska reglering som huvudsakligen genomför det nya dataskyddsdirektivet, angett att den omständlig- heten att ansiktsbilder anges som ett exempel på en biometrisk upp- gift kan leda tanken till att vanliga fotografier skulle omfattas av definitionen. Om fotografierna inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de dock utanför definitionen. Om de däremot bearbetas i exempelvis ett ansiktsigen- känningsprogram så att det går att identifiera personer på bilden om- fattas de av definitionen. Regeringen har också anmärkt att de per- sonuppgifter, t.ex. fingeravtryck, som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska uppgifter inte i sig utgör biometriska uppgifter.3

Dagens användning av biometri

Pass och nationella identitetskort innehåller redan i dag ett biome- triskt underlag i det lagringsmedium (chip) som finns på identitets- handlingarna. Pass innehåller både fingeravtryck och ansiktsbild. Nationella identitetskort innehåller endast ansiktsbild. Fingerav- trycken och bilden i digitalt format av sökandens ansikte tas av pass- myndigheten i samband med ansökan. Barn under sex år och per- soner som av fysiska skäl är permanent förhindrade att lämna finger- avtryck är undantagna från skyldigheten att lämna fingeravtryck (2 § passförordningen). Avtryck tas i första hand av båda pekfingrarna (2 kap. 4 § RPSFS 2009:14).

3Prop. 2017/18:232 s. 85 f.

283

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

Vid utlämnande av passet eller id-kortet görs en kontroll av att chipet fungerar genom att chipets information läses av. När passet eller id-kortet har lämnats ut eller ansökan har återkallats eller av- slagits ska de fingeravtryck som tillfälligt lagrats i resehandlingssyste- met (RES) och de biometriska data som tas fram ur fingeravtrycken och ur ansiktsbilden förstöras (6 a § passlagen och 4 § förordningen om nationellt identitetskort). Det finns alltså inte något register över de fingeravtryck som tagits i samband med ansökan om pass utan dessa mellanlagras endast i RES från ansökningstillfället till dess att de sparas ner i passets lagringsmedium och det lämnas ut. Den digitala ansiktsbilden sparas i RES. Även uppgift om från vilka fing- rar fingeravtryck tagits finns i RES. Uppgiften går dock inte att söka på utan visas endast vid utskrift. Varken fingeravtrycken, ansikts- bilden eller de biometriska data som kan tas fram ur dessa får an- vändas vid sökning med hjälp av automatiserad behandling (6 b § passlagen och 18 § förordningen om nationellt identitetskort).

Fingeravtrycken och ansiktsbilderna i de svenska passen och na- tionella identitetskorten kan kontrolleras vid in- och utresa. En svensk medborgare som reser ut ur eller in i landet ska på begäran av behörig befattningshavare lämna över sitt pass eller sitt nationella identitetskort för kontroll av uppgifterna i handlingen. Innehavaren av handlingen är också skyldig att på begäran låta kontrollanten ta innehavarens fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns lagrade i passet eller identitetskortet. När en sådan kontroll har genomförts ska fingeravtrycken, ansikts- bilden och de biometriska data som då har tagits fram omedelbart förstöras (5 och 5 a §§ passlagen). Någon lagring av kontrollunder- laget får alltså inte ske. Syftet med kontrollen är att fastställa att det är rätt person som innehar passet eller identitetskortet. Fingerav- trycken och ansiktsbilderna kontrolleras inte i andra sammanhang än vid in- och utresa.

De fingeravtryck som finns lagrade i passet kan inte läsas av vem som helst. För att kunna läsa av informationen behövs särskilda cer- tifikat eller nycklar. Dessa nycklar tillhandahålls av Polismyndig- heten och lämnas endast ut till myndigheter i andra länder med vilka

284

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

Polismyndigheten har ett samarbete.4 Ansiktsbilden är dock inte skyddad utan går att läsa utan tillgång till någon nyckel.5

På identitetskort för folkbokförda i Sverige finns inte någon digi- tal ansiktsbild i något lagringsmedium på kortet, utan endast en bild av innehavarens ansikte på det fysiska id-kortet. En kopia av den an- siktsbild som tas vid ansökan sparas också i det register som förs över id-korten.

11.2.2Andra säkerhetsdetaljer

Pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige innehåller ett antal synliga säkerhetsdetaljer som kan kon- trolleras relativt enkelt utan att någon utrustning används. Vissa kontroller underlättas dock om lupp eller förstoringsglas används. Samtliga handlingar innehåller t.ex. reliefer, dvs. upphöjda detaljer, av olika slag. På handlingarna finns också en yta med växlande motiv som skiftar när man rör på handlingen. Vidare har handlingarna ett perforerat foto av innehavaren. Handlingarna innehåller också detal- jer som skiftar färg.6

Andra detaljer kan, liksom de biometriska uppgifterna, endast kontrolleras med hjälp av viss utrustning. Pass, nationellt identi- tetskort och identitetskort för folkbokförda i Sverige innehåller exempelvis olika UV-mönster som syns vid belysning med UV-ljus.7 Dessa säkerhetsdetaljer kan kontrolleras av alla som en identitets- handling visas upp för i syfte att avgöra om handlingen är äkta eller falsk. Eftersom pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige innehåller flera olika säkerhetsdetaljer uppnår dessa enligt NFC en hög dokumentsäkerhet. Enligt NFC:s bedöm- ning behövs inte några ytterligare detaljer för att kunna avgöra om handlingen är äkta eller inte. Till skillnad mot vad som gäller t.ex. lagring av ansiktsbilder och fingeravtryck, så ger dessa detaljer inte något stöd för att bedöma om det är rätt person som innehar hand- lingen. För att säkerheten vid identifieringen ska kunna höjas krävs

således andra åtgärder.

4Ds 2015:44 s. 112.

5Ds 2015:12 s. 147.

6Kontroll av ID-handlingar 2018 Dokumentanalysgruppen NFC.

7De 7 stegen utgåva september 2017.

285

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

I handboken De 7 stegen som ges ut av Kronan Säkerhet AB på uppdrag av Svenska Bankföreningen finns rekommendationer om vilka åtgärder som bör vidtas vid en identitetskontroll. Där anges bl.a. vilka säkerhetsdetaljer som ska kontrolleras för de olika hand- lingarna. På Polismyndighetens och Skatteverkets webbplatser finns också information om säkerhetsdetaljer som kan kontrolleras för att avgöra om de identitetshandlingar som utfärdas av dessa myndig- heter är äkta.

11.3Närmare om problemet

Som framgått ovan varierar alltså säkerhetsnivån beträffande pass, nationella identitetskort och identitetskort för folkbokförda i Sverige när det gäller användningen av biometri. Pass innehåller både finger- avtryck och ansiktsbild, nationella identitetskort innehåller endast ansiktsbild och identitetskort för folkbokförda i Sverige innehåller inget biometriskt underlag alls. När det däremot gäller de säkerhets- detaljer som kan kontrolleras för att bedöma om en identitetshand- ling är äkta innehåller samtliga handlingar alla de olika detaljer som nämnts ovan.

Behovet av att använda biometri i större omfattning har lyfts från olika håll. I Brås rapport om bedrägeribrottslighet anges att använd- ningen av biometriska uppgifter är den mest effektiva metoden både när det gäller att säkra handlingens ursprung och förbättra identi- tetskontrollen. I rapporten nämns lagring av fingeravtryck, ansikts- bild och iris med hjälp av chip, som exempel på lösningar som har diskuterats. Det har bedömts nödvändigt att förse identitetshand- lingar med ytterligare säkerhetshöjande detaljer i takt med att för- falskningarna blir svårare att genomskåda.8

Även Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden påtalade att den tekniska utvecklingen gör att det är möjligt att använda biometriska uppgifter för att göra identifieringen säkrare. Utredningen ansåg att det borde utredas om det vore lämpligt om identitetshandlingar innehöll biometriska upp- gifter i större utsträckning, bl.a. för att förhindra missbruk av iden- titetshandlingar och bedrägerier. Utredningen ansåg att en utökad användning av biometri leder till säkrare identifiering men även till

8Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 163 f.

286

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

att identifieringsprocessen blir enklare, snabbare och bekvämare för den enskilde.9

E-legitimationsnämnden har också pekat på behovet av att lagra biometriska uppgifter i fysiska identitetshandlingar för att kunna användas vid utfärdande av identitetshandlingar och vid andra iden- titetskontroller. Nämnden menar att biometriska metoder bidrar till en säker kontroll både av om handlingen är äkta och om den används av rätt person.10

11.4Biometriskt underlag på statliga identitetskort

11.4.1Inledning

I vårt uppdrag ingår att utreda och ta ställning till om det bör ställas krav på att identitetshandlingar ska innehålla ett biometriskt under- lag. Användningen av biometriska uppgifter innebär ett inte obe- tydligt intrång i den enskildes personliga integritet. Det kan också medföra ett sådant kroppsligt ingrepp som skyddas av grundlagen. Regeringsformens och Europakonventionens bestämmelser om grund- läggande fri- och rättigheter måste därför beaktas. Införande av ytterligare biometriskt underlag på identitetshandlingar innebär att automatiserad behandling av sådana personuppgifter kommer att be- höva utföras. Bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen måste därför också beaktas.

11.4.2Regeringsformen och Europakonventionen

Enligt 2 kap. 6 § första stycket RF är var och en skyddad gentemot det allmänna mot påtvingat kroppsligt ingrepp. Att ta fingeravtryck är ett sådant kroppsligt ingrepp som omfattas av bestämmelsen. Att fotografera någon utgör däremot inte ett kroppsligt ingrepp i den mening som avses i bestämmelsen.11

Även bestämmelsen i 2 kap. 6 § andra stycket RF bör beaktas. Av den bestämmelsen framgår att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det

9SOU 2017:37 s. 300 f.

10E-legitimationsnämndens rapport Fortsatt försörjning av tjänster för e-legitimering och e-underskrift 2016-10-25 dnr 131 645711-15/9513 s. 30.

11Se t.ex. prop. 2017/18:35 s. 12.

287

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är enligt förarbe- tena inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Som exempel anges att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, många gånger kan anses innebära kartläggning av en- skildas förhållanden även om det inte var avsikten med åtgärden. Förutom mängden uppgifter som behandlas kan uppgifternas karak- tär ha betydelse i bedömningen av vad som utgör ett betydande in- trång. En hantering av känsliga uppgifter kan innebära ett betydande intrång i den personliga integriteten även om det rör sig om ett fåtal uppgifter. Även ändamålet med en behandling är av betydelse vid be- dömningen. En hantering som syftar till att utreda brott anses nor- malt vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättring av kvaliteten i hand- läggningen. Omfattningen av utlämnande av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan också vara av betydelse vid bedömningen.12

Skyddet enligt 2 kap. 6 § RF är inte absolut utan kan begränsas under vissa förutsättningar. En begränsning måste dock enligt 2 kap. 20 § RF ske genom lag och får enligt 2 kap. 21 § RF göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt sam- hälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan åskådning.

Genom lagen (1994:1219) om den europeiska konventionen an- gående skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller Europakonventionen som lag i Sverige. Av 2 kap. 19

§RF följer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Av artikel 8.1 i Europakonventionen framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Denna

12Prop. 2009/10:80 s. 180, 183–184 och 250.

288

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

rättighet inbegriper bl.a. i vissa fall en rätt till skydd mot att bli foto- graferad.13 Det får också antas att fingeravtryckstagning omfattas av skyddet enligt artikel 8.1.14 Enligt artikel 8.2 får en offentlig myn- dighet inte inskränka dessa rättigheter annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska väl- stånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Motsvarande rätt till respekt för privat- och familjelivet, hemmet och korrespondensen gäller enligt artikel 7 i EU:s stadga om de grund- läggande rättigheterna.

11.4.3Dataskyddsförordningen

För att personuppgifter ska få behandlas krävs, som anges i av- snitt 10.3.1, att det finns en rättslig grund enligt artikel 6.1 i data- skyddsförordningen. Behandlingen i id-kortsregistret sker i huvud- sak med stöd av artikel 6.1 e i dataskyddsförordningen eftersom den är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska fastställas i den nationella rätten. En uppgift av allmänt intresse kan enligt 2 kap. 2 § dataskyddslagen följa av lag eller annan författning, av kollektivavtal eller av beslut som har med- delats med stöd av lag eller annan författning. Syftet med behand- lingen ska vara nödvändigt för att utföra uppgiften av allmänt intresse. Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste också uppfylla ett mål av all- mänt intresse och vara proportionell mot det legitima mål som efter- strävas.

Biometriska uppgifter är känsliga personuppgifter enligt data- skyddsförordningen. Som anges i avsnitt 11.2.1 faller fotografier utanför definitionen av känsliga personuppgifter. Om de bearbetas tekniskt genom en särskild metod som syftar till identifiering till- skapas dock biometriska uppgifter. Detsamma får anses gälla för fingeravtryck. Av artikel 9.1 i dataskyddsförordningen framgår att behandling av känsliga personuppgifter som huvudregel är förbju-

13Danelius, Mänskliga rättigheter i europeisk praxis, 5 uppl. 2015 s. 377.

14Prop. 2014/15:32 s. 26.

289

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

den. Känsliga personuppgifter får dock enligt artikel 9.2 g i data- skyddsförordningen behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

11.4.4Fingeravtryck och ansiktsbild

Utredningens förslag: Den som ansöker om ett statligt identi- tetskort ska vara skyldig att låta den utfärdande myndigheten ta fingeravtryck och en bild i digitalt format av ansiktet. Finger- avtrycken och ansiktsbilden ska sparas i ett lagringsmedium på identitetskortet.

Fingeravtrycken och de biometriska uppgifter som tas fram ur dessa får inte behandlas i id-kortsregistret. De får lagras tillfälligt i ärendehanteringssystemet, men inte användas som sökbegrepp. När identitetskortet lämnas ut eller då ansökan återkallas eller avslås ska uppgifterna omedelbart förstöras.

Ansiktsbilden och de biometriska uppgifter som tas fram ur denna ska sparas i id-kortsregistret, men får endast användas som sökbegrepp vid ansökan om pass eller id-kort för att då kontroll- era om sökandens ansiktsbild finns i registret.

Innehavare av ett identitetskort ska ha rätt att hos den utfär- dande myndigheten kontrollera den information som har sparats i lagringsmediet på identitetskortet.

Barn under sex år, personer som av fysiska skäl är förhindrade att lämna fingeravtryck samt personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfär- dande myndigheten och därför ansöker om identitetskort genom bud ska undantas från kravet att lämna fingeravtryck.

Sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck ska kunna få ett identitetskort med en giltighetstid som motsvarar den tid som det fysiska hindret förväntas bestå. Giltighetstiden får dock inte överstiga sju månader.

290

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

Fingeravtryck och ansiktsbild på statliga identitetskort

Behovet av att förse id-korten med fingeravtryck och ansiktsbild

I dag lagras ansiktsbild i pass och nationella identitetskort. Pass inne- håller även fingeravtryck. Användningen av ansiktsbild och finger- avtryck är väl beprövad och det har inte framkommit annat än att kontroll av sådana uppgifter är ett säkert sätt att fastställa att inne- havaren av identitetshandlingen också är den som handlingen utfär- dades till. Vidare finns det redan utrustning och en process för han- teringen av ansiktsbilder och fingeravtryck hos Polismyndigheten. Att pass innehåller ansiktsbild och fingeravtryck har sitt ursprung i EU:s passförordning. Det har inte framkommit att det för närvar- ande finns behov av ytterligare någon typ av biometriskt underlag. Vi avgränsar därför våra överväganden i denna del till att bedöma om även det statliga identitetskortet bör innehålla både fingeravtryck och ansiktsbild.

Det finns i dag inte någon EU-reglering avseende biometriska uppgifter när det gäller identitetskort. Det förslag till EU:s id-korts- förordning som kommissionen la fram i april 2018 syftar till att höja säkerheten i id-kort som medlemsstaterna utfärdar till sina med- borgare. Förordningen kommer att vara tillämplig på statliga iden- titetskort med funktion som resehandling. Förslaget förhandlas för närvarande. Kommissionens förslag bär stora likheter med EU:s passförordning. Kommissionen föreslår att det ska bli obligatoriskt att införa fingeravtryck och ansiktsbild i ett lagringsmedium på id- korten. Syftet med förslaget är att begränsa användningen av bedräg- liga handlingar som bl.a. kan användas av terrorister och brottslingar för att resa in i EU. Barn under tolv år föreslås kunna undantas från kravet på att lämna fingeravtryck. Även personer som av fysiska skäl är förhindrade att lämna fingeravtryck undantas. Förslaget innehåller också bestämmelser om hur insamlingen av det biometriska under- laget ska gå till, bl.a. uppställs krav på att den personal som tar fing- eravtryck och ansiktsbild ska vara kvalificerad. Fingeravtrycken och ansiktsbilden ska endast få användas för att kontrollera handlingens äkthet eller innehavarens identitet när uppvisande av identitetskort krävs enligt lag.

291

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

Identitetshandlingar som innehåller biometriskt underlag säker- ställer kopplingen mellan handlingen och den person den är utfärdad till. Genom att id-kortets innehavare kan kontrolleras mot den infor- mation som finns på kortet kan exempelvis den identitetskontroll som görs vid utfärdande av id-kort bli väsentligt bättre. Använd- ningen av biometriska uppgifter är därför ett effektivt sätt att mot- verka missbruk av identitetshandlingar. Det gör också att den enskilde har bättre möjlighet att skydda sin identitet. Identitetskorten inne- håller visserligen redan i dag sådana säkerhetsdetaljer att de enligt NFC uppnår en hög dokumentsäkerhet. Dessa säkerhetsdetaljer bidrar till att motverka förfalskningar men förhindrar inte att någon annan än den id-kortet är utfärdat till använder handlingen. Inför- andet av biometriskt underlag som kan kontrolleras är ett effektivt sätt att motverka att id-kort utfärdas till fel person eller används av personer som liknar innehavaren. Detta förutsätter dock att den som ska kontrollera handlingen har tillgång till den utrustning som krävs och har rätt att kontrollera uppgifterna som finns på handlingen. Att förse id-kort med sådana uppgifter försvårar även möjligheten att förfalska id-kortet.

Nationella identitetskort innehåller redan i dag ansiktsbild. Att använda två olika typer av biometriskt underlag innebär en ökad säkerhet jämfört med om bara en slags uppgift används. Det gör också att det finns fler valmöjligheter när det gäller teknik för veri- fiering av innehavarens identitet. Att, förutom ansiktsbild, införa fingeravtryck på id-korten möjliggör också att det i samband med en ansökan om id-kort kan göras en kontroll av att sökandens finger- avtryck stämmer överens med fingeravtryck som finns i andra doku- ment som sökanden har, t.ex. pass och uppehållstillståndskort, se vidare i avsnitt 11.6.1. Flera EU-länder har redan fingeravtryck på sina nationella id-kort.15 Om även fingeravtryck lagras på id-korten kommer säkerhetsnivån för id-korten att motsvara den som gäller för pass och ligga i linje med ovan nämnda förslag till tvingande EU- förordning. Det är därför lämpligt att de statliga identitetskorten, oavsett om de har funktion som resehandling eller inte, innehåller både fingeravtryck och ansiktsbild.

15Commission staff working document Impact assessment accompanying the document Pro- posal for a regulation of the European Parliament and of the Council on strengthening the security of identity cards of Union citizens and of residence documents issued to Union citizens and their family members exercising their right of free movement COM (2018) 212.

292

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

Behovet av att spara ansiktsbild och fingeravtryck i register

En annan fråga är vilka av dessa uppgifter som ska sparas i id-korts- registret och vilken behandling som ska få göras av uppgifterna där. Ansiktsbilder sparas i dag i såväl passregistret som registren över id- kort. Fingeravtrycken sparas endast tillfälligt i ärendehanterings- systemet till dess att passet lämnas ut och förstörs därefter. Vare sig ansiktsbilderna eller de biometriska data som kan tas fram ur dessa får användas för sökning med hjälp av automatiserad behandling. Med det menas att det inte är tillåtet att använda en ansiktsbild som tagits exempelvis i samband med ansökan för att söka i registret med hjälp av ansiktsigenkänning i syfte att se om det blir träff på någon av alla de bilder som redan finns i registret.

Ansiktsbilderna i registret används i den verksamhet som utfär- dar id-korten när en ny ansökan görs. En manuell jämförelse kan då göras mellan sökanden och en bild som tagits tidigare av sökanden och som finns i registret. Ansiktsbilderna fyller således en viktig funktion i den identitetsbedömning som görs i samband med utfär- dande av identitetshandlingarna. Genom att jämföra sökanden med ansiktsbilden som finns i registret kan en bedömning göras av om det är samma person.

Eftersom den utfärdande myndigheten inte får göra automatise- rade sökningar på samtliga ansiktsbilder i registret och jämföra med sökandens ansikte är det däremot inte möjligt att upptäcka om en person ansöker om identitetshandlingar för flera identiteter. Det kan därmed inte garanteras att det inte för en och samma person utfärdas flera identitetshandlingar för olika identiteter. I samband med inför- andet av ansiktsbilder i pass angav regeringen att det inte skulle vara tillåtet att använda ansiktsbilden eller de biometriska data som kan tas fram ur den vid sökning med hjälp av automatiserad behandling, t.ex. för identifiering av någon okänd person.16 Sökförbudet infördes som en av flera åtgärder för att tillgodose integritetsskyddsaspek- terna. Mot bakgrund av den ökade bedrägeribrottsligheten som be- gås med hjälp av falska och felaktiga identitetshandlingar, och att det är mycket svårt att upptäcka om samma person gör flera ansökningar under olika identiteter, har det påtalats att det finns ett stort behov av att kunna använda ansiktsbilden och de biometriska uppgifter

16Prop. 2004/05:119 s. 25.

293

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

som kan tas fram ur den vid sökning i syfte att kontrollera inne- havarens identitet i samband med ansökan. Det finns därför enligt vår uppfattning anledning att göra nya överväganden i förhållande till integritetsriskerna.

Integritetsskyddsaspekter

Att införa en skyldighet för sökanden att låta den utfärdande myn- digheten ta både sökandens fingeravtryck och en digital ansiktsbild vid ansökan innebär att automatiserad behandling av sådana person- uppgifter kommer att behöva utföras. Behandlingen blir mer om- fattande än i dag eftersom ansiktsbilden kommer att sparas i ett lag- ringsmedium även på det statliga identitetskortet som utfärdas utan funktion som resehandling. Fingeravtryck ska dessutom sparas i ett lagringsmedium såväl på det statliga identitetskortet med funktion som resehandling som på kortet utan sådan funktion. Om en möj- lighet att söka med hjälp av biometriska uppgifter införs medför även det en utökad behandling av personuppgifter av integritetskänsligt slag. En bedömning måste därför göras av riskerna för den personliga integriteten utifrån tillämpliga dataskyddsbestämmelser.

Att utfärda säkrare identitetshandlingar i syfte att motverka för- falskningar och annat missbruk av identitetshandlingar är av stort samhälleligt intresse. Brottslig verksamhet som har koppling till iden- titetsproblematik har ständigt ökat. Syftet med att behandla de biometriska uppgifterna är att identifieringen ska bli säkrare. Iden- titetshandlingar som innehåller fingeravtryck och ansiktsbild säker- ställer kopplingen mellan handlingen och den person den är utfärdad till. Användningen av sådana uppgifter är därför ett mycket effektivt sätt att motverka missbruk av identitetshandlingar. Det finns inte något alternativt mindre integritetskänsligt sätt att säkerställa kopp- lingen och förhindra missbruket. Den behandling som behöver göras av uppgifterna är således nödvändig för att utföra en uppgift av all- mänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Även kravet på proportionalitet, liksom övriga villkor enligt artikel 6.3 i dataskyddsförordningen är enligt vår mening uppfyllda.

Med hänsyn till de starka skäl som anges i föregående stycke bör behandlingen av de biometriska uppgifterna också anses vara nöd- vändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i

294

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

dataskyddsförordningen. Trots att det är fråga om känsliga uppgifter bör de alltså få behandlas. Mot bakgrund av att det är fråga om en omfattande insamling av känsliga uppgifter bör dock en förutsätt- ning vara att behandlingen kringgärdas av skyddsåtgärder.

Lagstiftningen beträffande pass och nationella identitetskort inne- håller redan i dag bestämmelser om skyddsåtgärder som krävs för att sådan behandling ska vara tillåten.

I 6 a § passlagen anges att fingeravtryck och biometriska data som kan tas fram ur dessa och ur ansiktsbilden omedelbart ska förstöras när passet har lämnats ut eller passansökan har återkallats eller av- slagits. Detsamma gäller enligt 4 § förordningen om nationellt iden- titetskort för de biometriska data som tas fram ur ansiktsbilden. Vidare gäller enligt 6 b § passlagen att fingeravtrycken samt de bio- metriska data som kan tas fram ur dessa inte får användas vid sökning med hjälp av automatiserad behandling. Även det sökförbud som i dag finns beträffande ansiktsbilden och de biometriska data som kan tas fram ur den enligt 6 b § passlagen och 18 § förordningen om nationellt identitetskort har införts av integritetsskyddsskäl.

I samband med införandet av ansiktsbilder i pass uttalade reger- ingen att det på grund av informationens känsliga karaktär var viktigt att den inte lagrades i onödan. I förarbetena konstaterades att det finns behov av att innan passet lämnas ut ta fram biometriska data ur ansiktsbilden i passets lagringsmedium och jämföra med det digitala fotografi som togs vid ansökningstillfället för att kontrollera att uppgifterna i passet har en sådan kvalitet att de kan användas vid en automatisk gränskontroll. Däremot menade regeringen att de bio- metriska data som togs fram vid kontrollen omedelbart borde för- störas när passet har lämnats ut. Det anfördes också, som nämnts ovan, att det inte borde vara tillåtet att använda ansiktsbilden eller de biometriska data som kan tas fram ur den vid sökning med hjälp av automatiserad behandling, t.ex. för identifiering av någon okänd per- son. Genom sökförbudet förhindras att ett register byggs upp med de biometriska data som kan tas fram ur ansiktsbilden efter att passet utfärdats, när ansiktsbilden sparas i registret. Genom införandet av dessa begränsningar menade regeringen att integritetsskyddsaspek- terna blev tillgodosedda.17

När det därefter blev aktuellt att införa fingeravtryck i pass fram- fördes synpunkten att passäkerheten skulle förbättras om de digitala

17Prop. 2004/05:119 s. 25 och 51.

295

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

ansiktsbilderna och/eller fingeravtrycken sparades i passregistret och fick användas för sökning. Genom att möjliggöra en sökning mot lagrade ansiktsbilder eller fingeravtryck vid en ny ansökan om pass skulle man kunna förhindra att en person kan skaffa två eller flera pass i olika identiteter. Regeringen instämde i att en sådan lösning skulle minska möjligheterna till missbruk men menade att riskerna för den personliga integriteten gjorde att det inte fanns anledning att göra någon annan bedömning än den som gjordes i samband med införande av ansiktsbilder. Fingeravtrycken och de biometriska data som kan tas fram ur dessa skulle därför förstöras efter att passet lämnats ut och inte få användas för sökning med hjälp av automati- serad behandling.18

Frågan om lagring av fingeravtryck har därefter behandlats i departementspromemorian Missbruk av svenska pass. I promemo- rian diskuterades om det fanns en risk att intresset för personer att ansöka om pass i någon annans identitet och då lämna sina egna fingeravtryck som därefter sparas i passet skulle öka om den i pro- memorian föreslagna obligatoriska kontrollen av fingeravtryck vid gränskontroll infördes. Införandet av en sådan kontroll skulle näm- ligen försvåra användningen av någon annans pass eftersom den andra personens fingeravtryck finns lagrade i passet. I promemorian gjordes bedömningen att det visserligen kunde finnas en sådan risk men att den inte var så överhängande att den övervägde det integ- ritetsintrång som är skälet till att fingeravtryck inte lagras i dag. Det bedömdes därför inte finnas skäl att införa en sådan ordning.19

De fingeravtryck och ansiktsbilder som ska samlas in i samband med ansökan om id-kort bör, som konstaterats i de tidigare för- arbetena, inte lagras längre än vad som är nödvändigt. Det kan, av samma skäl som när det gäller pass, vara nödvändigt att ta fram bio- metriska uppgifter ur ansiktsbilden och fingeravtrycken i lagrings- mediet och jämföra med de som togs vid ansökningstillfället innan id-kortet lämnas ut. På så sätt kan det säkerställas att uppgifterna har en sådan kvalitet att de kan användas vid en senare kontroll.

Frågan är hur uppgifterna ska hanteras därefter. Ansiktsbilder lagras som ovan nämnts redan i dag i registren över pass och id-kort. Bilderna fyller en viktig funktion bl.a. i den identitetsbedömning som görs i samband med utfärdandet. För att möjliggöra kontroller

18Prop. 2008/09:132 s. 12 f.

19Ds 2015:12 s. 187.

296

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

i samband med senare ansökningar bör de ansiktsbilder som tas eller de fotografier som lämnas in vid ansökningstillfället alltjämt sparas i id-kortsregistret. Det gäller inte bara bilder som finns på utfärdade id-kort, utan även bilder som tas i ärenden som leder till att ansökan avslås.

Att spara fingeravtryck i id-kortsregistret och möjliggöra sök- ning på dessa eller att möjliggöra sökning på de ansiktsbilder som finns i registret skulle i princip omöjliggöra att samma person kan skaffa sig flera identitetshandlingar i olika identiteter. Ett register med möjlighet att söka bland ansiktsbilder och/eller fingeravtryck avseende en stor del av befolkningen i Sverige medför dock stora risker för den personliga integriteten.

När det gäller ansiktsbilderna kan emellertid konstateras att de redan lagras i syfte att användas bl.a. i den identitetskontroll som görs vid ansökan. Att tillåta viss sökning på dessa medför inte att något ytterligare biometriskt underlag sparas utan enbart att ansikts- bilderna får behandlas på ett nytt sätt. För att en sådan sökning ska vara möjlig behöver även vissa biometriska uppgifter kopplade till ansiktsbilderna sparas i id-kortsregistret. Bedrägeribrottsligheten som begås med hjälp av falska och felaktiga identitetshandlingar får stora konsekvenser för både den enskilde, privata aktörer och sam- hället. Brottsligheten har som framgått ökat under de senaste åren. För att kunna stävja den brottslighet som beror på att identitets- handlingar utfärdas för en och samma person i flera identiteter finns ingen annan effektiv metod än sökning på ansiktsbilderna. Vi anser mot denna bakgrund att det finns tungt vägande skäl som talar för att möjliggöra sådana sökningar. För att uppnå syftet att inte samma person ansöker om identitetshandlingar i flera olika identiteter bör sökning på ansiktsbilder i id-kortsregistret även få göras vid en ansök- an om pass.

Sökmöjligheten måste dock förenas med effektiva säkerhetsåt- gärder för att undvika att sökningar görs i andra syften än de av- sedda. Det bör därför bara vara tillåtet att använda ansiktsbilden och de biometriska uppgifter som kan tas fram ur den för att göra en sökning vid ansökan i syfte att kontrollera om sökandens ansikte finns i registret, dvs. för att kontrollera om ansiktsbilden har före- kommit i en annan ansökan. Sökning bör endast tillåtas om det är nödvändigt för detta syfte.

297

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

Att sökning på ansiktsbilder görs innebär inte att den manuella kontroll som görs i dag kan underlåtas. Automatiska ansiktsigen- känningsprogram kan användas som ett hjälpmedel vid identitets- kontrollen men kan inte ersätta den kontroll som handläggaren gör. Även om det i dag finns program för ansiktsigenkänning som har mycket hög träffsäkerhet kan ett förändrat utseende på grund av exempelvis åldrande eller sjukdom göra att en person av det auto- matiska systemet felaktigt klassificeras som två olika personer. Det kan också förekomma att två personer, exempelvis nära släktingar, av systemet av misstag klassificeras som samma person. Det är därför viktigt att handläggaren inte enbart litar till den automatiska kon- trollen utan att även andra kontroller görs. Den utfärdande myndig- heten behöver ta fram rutiner för hur detta ska gå till och hur de ärenden som beskrivits ovan ska hanteras.

Ansiktsbilderna och de biometriska uppgifterna kopplade till bilderna bör inte lagras i registret länge än vad som är nödvändigt. Detta följer av de allmänna principerna i dataskyddsförordningen. Behandlingen av uppgifterna kommer också att omfattas av den be- stämmelse vi i avsnitt 10.3.5 föreslår ska gälla för uppgifterna i id- kortsregistret. Det innebär att uppgifterna inte får behandlas under längre tid än vad som behövs för ändamålet med behandlingen, längst tio år efter utgången av det kalenderår då giltighetstiden för ett identitetskort gått ut eller ansökan om identitetskort avslagits eller återkallats.

Att lagra fingeravtryck i id-kortsregistret skulle medföra behand- ling av ytterligare en typ av biometriskt underlag avseende en stor del av befolkningen. Det skulle visserligen öppna för en mycket effektiv sökmetod men mot bakgrund av det stora integritetsintrång det medför, och vårt förslag avseende sökning på ansiktsbilder i id- kortsregistret, anser vi att det för närvarande inte är motiverat att lagra även fingeravtryck. Integritetsskyddsintresset överväger enligt vår bedömning behovet av sådan behandling. De fingeravtryck som samlas in och de biometriska uppgifter som kan tas fram ur dessa bör därför endast få lagras tillfälligt under tiden som ärendet om id- kort pågår, liksom vad gäller för pass, och därefter förstöras efter det att id-kortet lämnats ut eller ansökan har återkallats eller avslagits. Fingeravtrycken bör inte heller få användas som sökbegrepp vid sök- ning med hjälp av automatiserad behandling.

298

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

Sökanden bör, av de skäl vi angett i avsnitt 10.3.1 inte kunna invända mot den tillfälliga behandlingen av fingeravtrycken.

För att ytterligare höja skyddet av uppgifterna menar vi att den tillfälliga behandlingen av fingeravtrycken och de biometriska upp- gifterna bör omfattas av den ändamålsbegränsning som vi i av- snitt 10.3.2 föreslår ska gälla för uppgifterna i id-kortsregistret. Be- gränsningen innebär att uppgifterna som regel endast får behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av statligt identitetskort och statlig e-legitimation. De personuppgifter som har samlats in i den verksamheten ska bara få behandlas för andra ändamål om de inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Vi bedömer att begränsningarna i tid, sökmöjlighet och ändamål uppfyller kravet på skyddsåtgärder i artikel 9.2 g i dataskyddsförord- ningen. Regleringen är också enligt vår mening proportionerlig i för- hållande till syftet att förbättra identitetshandlingarnas säkerhet.

Att ta fingeravtryck innebär som framgått ovan ett sådant kropps- ligt ingrepp som omfattas av skyddet i 2 kap. 6 § första stycket RF. En begränsning av det skyddet måste således ske genom lag. Vi har ovan redovisat skälen för varför vi anser det är nödvändigt att införa regleringen. Mot bakgrund av de skyddsåtgärder som kommer att omgärda behandlingen menar vi att skyddet av personuppgifterna tillgodoses. Begränsningen av grundlagsskyddet går därmed inte ut- över vad som är nödvändigt med hänsyn till ändamålet. Även den hantering vi föreslår ska tillåtas när det gäller ansiktsbilderna utgör en så integritetskänslig behandling att den lämpligen bör regleras i lag.

Avslutande bedömning

Sammanfattningsvis menar vi alltså att det statliga identitetskortet i ett lagringsmedium på kortet bör innehålla både fingeravtryck och ansiktsbild. Fingeravtrycken bör inte få sparas i id-kortsregistret utan endast lagras tillfälligt under handläggningen av ansökan om id- kort. När identitetskortet lämnas ut eller ansökan har återkallats eller avslagits bör de fingeravtryck som lagrats tillfälligt i Polismyn- dighetens ärendehanteringssystem och de biometriska uppgifter som kan tas fram ur dessa omedelbart förstöras. Fingeravtrycken och de biometriska uppgifter som kan tas fram ur dessa bör inte få

299

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

användas som sökbegrepp vid sökning med hjälp av automatiserad behandling. Att biometriska uppgifter inte får användas som sök- begrepp framgår redan av den bestämmelse om förbud mot att an- vända känsliga personuppgifter som vi föreslår i avsnitt 10.3.1. Efter- som fingeravtrycket i sig inte är en känslig personuppgift måste det införas en särskild reglering om sökförbudet för det.

Ansiktsbilden och de biometriska uppgifter som tas fram ur den- na bör däremot sparas i id-kortsregistret. Dessa uppgifter bör kunna användas som sökbegrepp för att kontrollera om den ansiktsbild som tas vid ansökan om id-kort eller pass motsvarar någon ansikts- bild som finns i registret. Sådan sökning bör endast få göras i sam- band med ansökan och om det är nödvändigt. I övrigt bör sådana sökningar inte tillåtas. De biometriska uppgifterna omfattas av sök- förbudet avseende känsliga personuppgifter. Av samma skäl som för fingeravtrycken krävs dock även för ansiktsbilden en särskild regler- ing som förbjuder sökning.

Bestämmelserna bör införas i den nya lagen om statliga identitets- handlingar. I syfte att följa dataskyddsförordningens terminologi bör begreppet biometriska uppgifter användas i stället för biomet- riska data som i dag anges i förordningen om nationellt identitets- kort och passlagen.

När det gäller vilka fingrar som ska användas för avtryck bör någon reglering inte införas i lag utan sådana meddelas lämpligast genom verkställighetsföreskrifter, liksom redan i dag gäller för pass. Sådana föreskrifter bör utformas med beaktande av relevant EU- rättslig reglering.

Eftersom fingeravtrycken och de biometriska uppgifter som kan tas fram ur dessa inte ska sparas i det id-kortsregister som Polismyn- digheten är personuppgiftsansvarig för omfattas inte behandlingen av dessa uppgifter av den bestämmelse om personuppgiftsansvar vi föreslår i avsnitt 10.3.1. Det följer av artikel 4.7 i dataskyddsförord- ningen att den som ensam eller tillsammans med andra bestämmer ändamålen eller medlen med behandlingen av personuppgifter är personuppgiftsansvarig för behandlingen. Varje utfärdande myndig- het ansvarar själv för sin id-kortsverksamhet, inom de ramar lagstift- ningen ställer upp, varför de enligt vår bedömning också ansvarar för den behandling av personuppgifter som görs i samband med utfär- dandet. Detta gäller även den behandling vi föreslår att de ska göra när det gäller fingeravtryck m.m. Eftersom flera olika myndigheter

300

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

är involverade i utfärdandeverksamheten bör det tydliggöras i lagen att respektive myndighet är personuppgiftsansvarig för den behand- ling som utförs. Att bestämmelser om personuppgiftsansvar kan införas i nationell rätt, om ändamålen och medlen för behandlingen också bestäms av den nationella rätten, följer också av artikel 4.7 i dataskyddsförordningen.

På samma sätt som redan i dag gäller för nationella identitetskort enligt 20 § förordningen om nationellt identitetskort bör innehava- ren av ett statligt identitetskort ha rätt att kontrollera den informa- tion som har sparats i lagringsmediet i identitetskortet hos utfär- daren. Bestämmelsen kan föras in i den nya förordningen.

Undantag från kravet på ansiktsbild

För identitetskort för folkbokförda i Sverige finns det i dag enligt 2 § 1 IdL en möjlighet för den utfärdande myndigheten att, om det finns synnerliga skäl, låta sökanden ge in ett välliknande fotografi i stället för att myndigheten tar en ansiktsbild. Eftersom kravet på personlig inställelse i dag är utan undantag kan det ifrågasättas om det finns något behov av bestämmelsen. Möjligen skulle den kunna tillämpas om fotostationen vid något tillfälle inte fungerar. Det skulle dock sannolikt vara enklare och mindre kostsamt för sökan- den att återkomma vid ett annat tillfälle än att uppsöka en fotograf för att ta ett fotografi. Det finns, som vi tidigare har nämnt, också stora fördelar framför allt när det gäller säkerheten men även när det gäller kvaliteten med att den utfärdande myndigheten tar den an- siktsbild som används till id-korten. Skatteverket har uppgett att myndigheten inte ser något behov av bestämmelsen. Vi menar därför att möjligheten att låta sökanden ge in ett välliknande fotografi om det finns synnerliga skäl bör tas bort. Som vi berört i avsnitt 10.2.7 ser vi dock ett behov av att tillåta att personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten i stället ger in ett eget foto.

Regeringskansliet får enligt 3 § tredje stycket förordningen om nationellt identitetskort meddela föreskrifter om att sökanden vid en passmyndighet utom riket är skyldig att i samband med ansökan om ett nationellt identitetskort ge in ett välliknande fotografi. Undan- taget torde höra samman med utlandsmyndigheternas möjlighet att

301

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

efterge kravet på personlig inställelse vid ansökan som vi behandlat i avsnitt 10.2.7. I enlighet med våra överväganden i det avsnittet be- hövs inte längre något särskilt undantag beträffande hanteringen vid utlandsmyndigheterna. Bestämmelsen som möjliggör att sökanden ger in ett välliknande fotografi behöver därmed inte heller föras in i den nya regleringen.

Undantag från kravet på fingeravtryck

Av 6 § tredje stycket passlagen framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från skyldigheten att lämna fingeravtryck vid ansökan om pass när det gäller barn under tolv år och personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck. Regeringen har meddelat sådana föreskrifter i 2 § passförordningen. Av den be- stämmelsen följer att barn under sex år och personer som är perma- nent förhindrade att lämna fingeravtryck är undantagna från skyl- digheten att lämna fingeravtryck. Polismyndigheten har meddelat föreskrifter om att fingeravtryck primärt ska tas av båda pekfingrarna. I föreskrifterna anges också vilka fingeravtryck som ska tas om sökanden är förhindrad att lämna avtryck från dessa fingrar, se 2 kap. 4 § RPSFS 2009:14.

Undantagen baseras på artikel 1.2 a i EU:s passförordning. I för- ordningen anges att barn under tolv år ska undantas från kravet på att lämna fingeravtryck. Medlemsstaterna har dock getts möjlighet att tillämpa en lägre åldersgräns under en övergångsperiod. Ålders- gränsen får under övergångsperioden vara lägst sex år. I artikel 1.2 b i EU:s passförordning anges också att provisoriskt pass med en gil- tighetstid på högst tolv månader ska utfärdas om det är tillfälligt omöjligt att ta fingeravtryck på sökanden.

Även enligt förslaget till EU:s id-kortsförordning ska barn under tolv år och personer för vilka det är fysiskt omöjligt att ta fingerav- tryck kunna undantas från kravet på fingeravtryck.

Liksom gäller för pass bör barn undantas från kravet på att lämna fingeravtryck vid ansökan om id-kort. Vi bedömer att det är en för- del om åldersgränsen blir samstämmig med den som gäller för pass. Den bör därför sättas till sex år. Eftersom EU-förordningen inte är färdigförhandlad är det inte känt exakt hur undantaget beträffande

302

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

barn kommer att se ut. Skulle det visa sig att en sådan åldersgräns inte är förenlig med kommande EU-reglering får åldersgränsen över- vägas på nytt. Det kan också nämnas att Europaparlamentet i sitt betänkande om förslaget till EU:s id-kortsförordning har föreslagit att id-kort som utfärdas till barn och som inte innehåller fingerav- tryck ska upphöra att vara giltiga senast sex månader efter det att innehavaren har uppnått den ålder då fingeravtryck krävs.20 Om en sådan bestämmelse införs bör därför giltighetstiden för id-kort som utfärdas till barn och som inte innehåller fingeravtryck begränsas.

Undantag måste vidare medges personer som av fysiska skäl inte kan lämna fingeravtryck. Detta motsvarar vad som föreslås av kom- missionen och som redan gäller beträffande pass. Id-kort för per- soner som av fysiska skäl är permanent förhindrade att lämna finger- avtryck bör gälla i fem år, liksom andra id-kort.

För personer som av fysiska skäl endast är tillfälligt förhindrade att lämna fingeravtryck bör ett tillfälligt id-kort med kortare giltig- hetstid kunna utfärdas, på motsvarande sätt som gäller provisoriskt pass. Ett sådant id-kort bör endast gälla för den tid som sökanden av fysiska skäl inte kan lämna fingeravtryck. Giltighetstiden bör vara väsentligt kortare än fem år. Vi bedömer preliminärt att id-kortet bör kunna utfärdas med en giltighetstid om högst sju månader. Mot- svarande tidsgräns gäller för provisoriska pass enligt 13 § passför- ordningen. Visar det sig att en sådan tidsgräns inte stämmer överens med kommande EU-reglering bör den ändras i enlighet med denna. Hur lång giltighetstiden ska vara i det enskilda fallet bör dock av- göras av utfärdaren beroende på omständigheterna.

Vi föreslår i avsnitt 10.2.7 ett undantag från den personliga in- ställelsen som innebär att den som på grund av sjukdom, funktions- nedsättning eller hög ålder inte kan ta sig till den utfärdande myndig- heten ska kunna göra en ansökan om id-kort genom bud. Eftersom dessa personer inte kommer att inställa sig vid den utfärdande myn- digheten har de inte heller någon möjlighet att lämna fingeravtryck. Det är därför nödvändigt att göra undantag från kravet på att lämna fingeravtryck även för dessa personer. Som anges i avsnitt 10.2.7 bör dessa id-kort inte gälla som resehandling. I det avsnittet anges också

20Europaparlamentets betänkande om förslaget till Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet (COM(2018)0212 – C8-0153/2018 – 2018/0104(COD)) A8-0436/2018.

303

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

att förfarandet att ansöka genom bud innebär ett avsteg från det centrala kravet på personlig inställelse. Undantaget bör därför regleras i lag.

I avsnitt 10.2.7 behandlar vi utlandsmyndigheternas möjlighet att efterge kravet på personlig inställelse vid ansökan. Som framgått i det avsnittet finns det till följd av vårt förslag om ansökan genom bud inte längre ett behov av att behålla den möjligheten. Det behövs därmed inte heller något särskilt undantag från skyldigheten att lämna fingeravtryck i dessa situationer.

Utlämnande av ansiktsbild

I 23 § andra stycket passförordningen finns en bestämmelse som reglerar att Polismyndigheten på begäran ska lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyn- digheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyn- digheten. I promemorian Passdatalag föreslås att bestämmelsen förs in i lag.21 Bestämmelsen om utlämnande av fotografier bryter den sekretess som normalt råder för fotografierna i passregistret enligt

22kap. 1 § OSL och 6 § OSF. Andra myndigheters behov av ansikts- bilder torde vara detsamma när det gäller de bilder som sparas i id- kortsregistret. Det har dock inte varit möjligt att utreda behovet av utlämnande av ansiktsbilder till de myndigheter som räknas upp i bestämmelsen i passförordningen inom ramen för denna utredning. Det kan dock finnas skäl att framöver överväga om en motsvarande bestämmelse bör införas när det gäller de ansiktsbilder som sparas i id-kortsregistret.

11.5Utökad sökmöjlighet i passregistret

Utredningens förslag: Ansiktsbilden och de biometriska upp- gifter som tas fram ur denna ska behandlas i passregistret. Dessa uppgifter får endast användas som sökbegrepp vid ansökan om pass eller statligt identitetskort och då endast om det är nödvän- digt för att kontrollera om sökandens ansiktsbild finns i registret.

21Ds 2015:44 s. 203.

304

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

Enligt 6 b § passlagen får den ansiktsbild som tas i samband med ansökan samt de biometriska data som kan tas fram ur denna inte användas vid sökning med hjälp av automatiserad behandling. Vi föreslår i avsnitt 11.4.4 att den ansiktsbild som sparas i registret över statliga identitetskort och de biometriska uppgifter som kan tas fram ur den ska kunna användas vid sökning, men endast i samband med ansökan om statligt identitetskort eller pass och under förutsättning att det är nödvändigt för att kontrollera om sökandens ansiktsbild finns i registret.

För att möjliggöra sådana sökningar behöver vissa biometriska uppgifter kopplade till ansiktsbilderna sparas i registret. Vi har i det av- snittet gjort avvägningar mellan intresset av att kunna utföra sådana sökningar och de integritetsrisker en sådan möjlighet innebär. Sam- ma intressen gör sig gällande i passverksamheten. Den bedömning som gjorts beträffande sökningar i registret över de statliga identitets- korten är lika relevant beträffande passregistret. Sådana sökningar bör därför tillåtas även i passverksamheten. För att möjliggöra kon- troll av att inte samma person ansöker om identitetshandlingar i flera olika identiteter bör sökning på ansiktsbilder i passregistret även få göras vid en ansökan om statligt identitetskort. En bestämmelse om att ansiktsbilderna och de biometriska uppgifter som tas fram ur dessa ska sparas i registret bör därför införas i passlagen. Vidare bör en bestämmelse som tillåter sökning på ansiktsbilderna och de bio- metriska uppgifterna på motsvarande sätt som vi föreslår beträffande de statliga identitetskorten införas som ett undantag till det sökförbud som nu gäller.

I promemorian Passdatalag föreslås att bestämmelsen om sök- förbud ska föras in i den föreslagna passdatalagen. Ett arbete med att ta fram en ny lag som ska reglera personuppgiftsbehandlingen inom passverksamheten, passdatalagen, pågår för närvarande inom Justitie- departementet. Om det arbetet leder till att en separat lag om be- handling av personuppgifter i passverksamheten införs bör de nu föreslagna bestämmelserna tas in i den lagen.

305

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

11.6Kontroll av biometriska uppgifter

i lagringsmedium på statliga fysiska identitetshandlingar

11.6.1Kontroll i samband med utfärdande av statliga fysiska identitetshandlingar

Utredningens förslag: Vid ansökan om en statlig fysisk identi- tetshandling får den utfärdande myndigheten kontrollera om sökan- dens fingeravtryck och ansiktsbild motsvarar dem som finns på den handling som sökanden använder för att styrka sin identitet eller – om sökanden har beviljats uppehållstillstånd och saknar en godtagbar identitetshandling – på sökandens uppehållstillstånds- kort.

När en kontroll har genomförts vid ansökan ska de fingerav- tryck och den ansiktsbild som då har tagits fram ur den handling som sökanden identifierar sig med och de biometriska uppgifter som tagits fram ur dessa omedelbart förstöras.

Vid utlämnandet av handlingen får den utfärdande myndig- heten kontrollera om sökandens fingeravtryck och ansiktsbild mot- svarar dem som finns lagrade på den identitetshandling som ska lämnas ut.

När en kontroll har genomförts vid utlämnandet ska de fingeravtryck och den ansiktsbild som då har tagits för att kunna göra kontrollen och de biometriska uppgifter som tagits fram då omedelbart förstöras.

För att ytterligare förbättra säkerheten i utfärdandeprocessen be- träffande pass och statligt identitetskort kan de kontroller av sökan- dens identitet som görs vid utfärdandet utökas. Detta kan ske genom att en kontroll av fingeravtryck och/eller ansiktsbild i andra hand- lingar som innehas av sökanden görs i samband med ansökan om en identitetshandling. Dessa uppgifter kan jämföras med de fingerav- tryck och den ansiktsbild som tas vid ansökan för att på så sätt säker- ställa att det är rätt person som ansöker.

Merparten av de svenska medborgarna innehar ett pass där det redan i dag finns både fingeravtryck och ansiktsbild lagrade. De upp- gifterna ska enligt EU:s passförordning samlas in och lagras i syfte att utfärda pass och resehandlingar. Uppgifterna får enligt artikel 4.3

306

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

i EU:s passförordning användas för att kontrollera passets äkthet och innehavarens identitet genom direkt tillgängliga jämförbara kännetecken, när uppvisande krävs enligt lag. Enligt vår bedömning hindrar inte EU-regleringen att de fingeravtryck och den ansiktsbild som finns i passen används i syfte att identifiera sökanden vid ansökan om en identitetshandling. En liknande bestämmelse finns i förslaget till EU:s id-kortsförordning. Med våra förslag kommer båda de identitetshandlingar vi menar ska vara godtagbara i alla situa- tioner att innehålla fingeravtryck och ansiktsbild. Det är också dessa handlingar som enligt huvudregeln ska användas för att styrka iden- titeten i samband med ansökan om sådana identitetshandlingar, se avsnitt 8.6.2. Genom en kontroll av biometriska uppgifter säkerställs att det är samma person som den identitetshandling som används för identifiering är utfärdad för som ansöker om en ny identitetshand- ling.

För utländska medborgare som beviljas uppehållstillstånd i Sverige utfärdas uppehållstillståndskort. Uppehållstillståndskortet är inte en identitetshandling utan ett bevis på att personen har uppehållstill- stånd i Sverige. På uppehållstillståndskortet finns ett lagringsmedi- um där fotografi och fingeravtryck lagras, se 9 kap. 8 a § utlännings- lagen. Bestämmelsen är införd med anledning av en EU-förordning om enhetlig utformning av uppehållstillstånd. Den finska lagstift- ningen innehåller en bestämmelse om att en person som ansöker om identitetskort och som inte kan visa upp en giltig handling som styr- ker personens identitet, ska visa upp ett giltigt uppehållstillstånds- kort. Den utfärdande myndigheten får då verifiera sökandens iden- titet genom att ta sökandens fingeravtryck och jämföra med de fingeravtryck som lagras i uppehållstillståndskortet.22 Av EU-regler- ingen följer att de biometriska kännetecknen i uppehållstillstånds- korten endast får användas för att kontrollera handlingens autenti- citet och innehavarens identitet genom direkt tillgängliga jämförbara kännetecken, när uppvisande av uppehållstillstånd krävs enligt natio- nell lagstiftning.23 Det är således möjligt att i samband med ansökan om en identitetshandling kontrollera fingeravtryck och ansiktsbild även beträffande personer som folkbokförts i landet efter beviljat

222 kap. 11 § tredje stycket lagen (663/2016) om identitetskort.

23Artikel 4 tredje stycket i rådets förordning (EG) nr 1030/2002 av den 13 juni 2002 om en enhetlig utformning av uppehållstillstånd för medborgare i tredjeland.

307

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

uppehållstillstånd. Genom en sådan kontroll säkerställs att det är den person som beviljats uppehållstillstånd som ansöker om id-kort.

EU-medborgare som är folkbokförda i Sverige har som regel till- gång till ett pass från sitt hemland innehållande fingeravtryck och ansiktsbild. Vi föreslår i avsnitt 10.2.8 att pass som är utfärdade av vissa andra europeiska länder godtas för att styrka identiteten vid ansökan om pass och id-kort om sökanden inte redan har ett svenskt pass eller statligt identitetskort. Genom en jämförelse med finger- avtryck och ansiktsbild i det utländska passet säkerställs att det är samma person som passet har utfärdats för som ansöker om den svenska identitetshandlingen.

Flertalet av de personer som kommer att ansöka om pass och statligt identitetskort innehar alltså redan i dag en handling som innehåller fingeravtryck och ansiktsbild vilket möjliggör en jämför- else med de uppgifter som samlas in vid ansökningstillfället. Polis- myndigheten uppfattar att det är ett växande problem att personer försöker skaffa pass eller id-kort med hjälp av en identitetshandling som tillhör en person som liknar sökanden, s.k. ”lookalike”. Någon statistik finns inte men passverksamheten i Stockholm uppskattar det till cirka 50 tillfällen per år. Genom att göra en biometrisk kon- troll i samband med ansökan förbättras identifieringen av sökanden och möjligheten att ansöka om en identitetshandling med hjälp av någon annans handlingar minskar.

Det finns också anledning att överväga möjligheten att låta Polis- myndigheten göra en jämförelse mellan sökandens biometri och upp- gifterna som lagras i den nya identitetshandlingen när handlingen ska lämnas ut. På så sätt kan det säkerställas att den person som ansökt om identitetshandlingen också är den som hämtar ut den. EU:s pass- förordning hindrar inte heller en sådan kontroll. Av uppgifter från Polismyndigheten framgår dock att det för närvarande inte upplevs som ett stort problem att en person försöker hämta ut ett pass som någon annan har ansökt om. Problemet ligger i stället framför allt i det första steget, i samband med ansökan. Däremot skulle en möjlig- het att kontrollera sökandens biometriska kännetecken och jämföra dessa med de uppgifter som är lagrade på chipet möjliggöra ett mer flexibelt utlämnande. Det möjliggör också att risken i det enskilda fallet kan vägas in i bedömningen av vilka kontroller som bör göras vid utlämnandet. Polismyndigheten skulle kunna ersätta en kontroll av sökandens identitetshandling med en kontroll av fingeravtryck

308

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

och/eller ansiktsbild. På så sätt behöver en sökande som i samband med ansökan identifierat sig med hjälp av en intygsgivare inte ta med sig intygsgivaren till Polismyndigheten vid utlämnandet. Även för en sökande med en identitetshandling vars giltighetstid gått ut mellan ansökan och utlämnande skulle en sådan lösning vara positiv. Om det i något fall finns behov av ytterligare säkerhetsmoment i utläm- nandet skulle en kontroll av sökandens identitetshandling kunna kompletteras med en kontroll av biometriska uppgifter. En möjlig- het till biometrisk jämförelse skulle dessutom öppna för införandet av ett mer automatiserat utlämnande på sikt. På så sätt skulle utläm- nandeprocessen kunna effektiviseras. Genom att möjliggöra en så- dan kontroll i samband med att identitetshandlingen lämnas ut för- bättras identifieringen av sökanden. Det skapar även möjlighet till ett utlämnade som är mer flexibelt för både den enskilde och den utfärdande myndigheten.

Fördelarna med att göra biometriska kontroller vid såväl ansök- ningstillfället som vid utlämnandet måste dock vägas mot integri- tetsintrånget som förfarandet medför. I dessa fall är det emellertid endast fråga om en jämförelse mellan sökandens ansikte och finger- avtryck och de uppgifter som finns lagrade på handlingen. Det rör sig alltså inte om behandling av ett stort antal uppgifter. De skäl som

vihar redovisat i avsnitt 11.4.4 angående behovet av att säkra utfär- dandeprocessen för att undvika missbruk av identitetshandlingar väger enligt vår bedömning tyngre än det integritetsintrång som be- handlingen kan tänkas medföra. Att möjliggöra en biometrikontroll

isamband med utlämnandet skulle dessutom kunna underlätta för sökanden. Som anges i avsnitt 11.4.4 krävs det dock att lagstiftning- en innehåller vissa skyddsåtgärder för att behandlingen av biomet- riska uppgifter ska vara tillåten. Fingeravtrycken och ansiktsbilden som har tagits för kontroll av sökandens identitet bör inte få an- vändas för andra ändamål. För att kontrollen ska kunna tillåtas bör därför fingeravtrycken och ansiktsbilden och de biometriska data som har tagits fram vid de nu aktuella kontrollerna, både vid ansökan och vid utlämnandet förstöras omedelbart efter att kontrollen har genomförts. Genom dessa skyddsåtgärder menar vi att skyddet av personuppgifterna tillgodoses. Bestämmelserna uppfyller därmed de krav som ställs såväl i dataskyddsregleringen som i grundlagen.

Som framgått pågår ett arbete med en särskild lag om personupp- giftsbehandling inom passverksamheten inom Regeringskansliet. De

309

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

bestämmelser vi föreslår avseende förstöring av fingeravtryck, ansikts- bild och biometriska data som har tagits fram vid kontrollen kan när det gäller pass, om det bedöms lämpligare, i stället föras in i den lagen.

11.6.2Kontroll i samband med in- och utresa

Utredningens förslag: Den som reser med ett statligt identitets- kort med funktion som resehandling ska i en gränskontroll på begäran, förutom att låta behörig befattningshavare ta dennes an- siktsbild, även låta befattningshavaren ta dennes fingeravtryck för kontroll av att dessa motsvarar de fingeravtryck som finns lagrade på identitetskortet.

När en sådan kontroll har genomförts ska ansiktsbilden, fingeravtrycken och de biometriska data som tagits fram omedel- bart förstöras.

En svensk medborgare som reser in i och ut ur landet ska på begäran av en polisman, en särskilt förordnad passkontrollant eller en tjänste- man vid Kustbevakningen, Tullverket eller Migrationsverket lämna över sitt pass eller nationella identitetskort. Passinnehavaren är skyl- dig att på begäran låta kontrollanten ta dennes fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns lag- rade i passet. Den som i stället medför ett nationellt identitetskort är på samma sätt skyldig att låta behörig befattningshavare ta en bild i digitalt format av hans eller hennes ansikte för kontroll av att den motsvarar den ansiktsbild som finns lagrad på identitetskortet. När en sådan kontroll har genomförts ska fingeravtrycken, ansiktsbilden och de biometriska data som har tagits fram omedelbart förstöras (5 och 5 a §§ passlagen).

Vi menar att regleringen bör ge stöd för samma kontroller av den som reser med statligt identitetskortet som när det gäller pass. Att använda både ansiktsbild och fingeravtryck innebär att säkerheten i kontrollen kan höjas ytterligare. På så sätt möjliggörs också alter- nativa sätt att göra kontrollen. Att möjliggöra kontroll av finger- avtryck innebär att säkerheten motsvarar den som gäller för pass. För den som medför ett statligt identitetskort med funktion som resehandling bör det därför också finnas en skyldighet att låta en

310

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

behörig befattningshavare ta dennes fingeravtryck för att kontrollera att dessa stämmer överens med de fingeravtryck som lagras på id- kortet.

Även när det gäller denna typ av kontroll menar vi att intresset av en säker identifiering väger över de integritetsrisker som kan upp- komma. Det rör sig i detta fall om uppgifter i en handling som den enskilde själv förfogar över. Inte heller här är det alltså aktuellt med behandling av ett större antal uppgifter. Det saknas därför skäl att göra någon annan bedömning när det gäller id-korten än den reger- ingen gjort beträffande kontroll av fingeravtryck i pass.24 Som anges i avsnitt 11.4.4 krävs dock att lagstiftningen innehåller vissa skydds- åtgärder. Fingeravtrycken och de biometriska uppgifter som har tagits fram vid kontrollen bör därför, precis som gäller för fingerav- tryck i pass, förstöras omedelbart efter att kontrollen har genom- förts. Genom att en sådan skyddsåtgärd införs uppfylls, enligt vår bedömning, kraven både i dataskyddsregleringen och i grundlagen.

11.6.3Kontroll av biometriska uppgifter i andra sammanhang

Utredningens bedömning: Det bör för närvarande inte införas någon skyldighet för den som innehar ett pass eller ett statligt identitetskort att i andra sammanhang lämna fingeravtryck och låta ansiktsbild tas för kontroll av om dessa motsvarar dem som finns lagrade på identitetshandlingen.

Kontroll av en persons identitet görs i flera andra sammanhang än de vi berört ovan. Identitetskontroll görs exempelvis i samband med utfärdande av körkort, utförande av olika banktjänster och utläm- ning av paket. Införande av fingeravtryck och ansiktsbilder på de stat- liga identitetskorten öppnar för en möjlighet att göra biometriska kontroller även i sådana sammanhang.

Vi har i avsnitt 8.6.2 föreslagit att pass eller statligt identitetskort som huvudregel ska användas i samband med identitetskontroller som görs inom ramen för sådana åtgärder för kundkännedom som krävs av verksamhetsutövare som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism. Identitetskontroll görs

24Prop. 2004:05/119 s. 26 ff.

311

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

vid etablering av affärsförbindelser och utförande av vissa trans- aktioner. En möjlighet att ta fingeravtryck och ansiktsbild och jäm- föra med de fingeravtryck och den ansiktsbild som finns i passet eller identitetskortet i dessa situationer skulle innebära att säkerheten i identifieringen höjdes ytterligare. Samtidigt innebär en sådan möjlig- het risker för den personliga integriteten. Sökanden skulle behöva lämna sina fingeravtryck och ansiktsbild hos en privat aktör utan stat- lig kontroll. Det rör sig om mycket känsliga uppgifter som kräver stor säkerhet vid hanteringen. Integritetsskyddsintresset väger där- för enligt vår uppfattning över fördelarna med att införa en möjlig- het till sådana kontroller. Enligt vår uppfattning bör sådana kon- troller därför inte tillåtas för närvarande.

Utöver de situationer vi berört i de tidigare avsnitten lämnar vi inte några förslag om krav på att visa upp pass eller statligt identitets- kort. Det kan dock, som vi anger i avsnitt 8.6.3, finnas anledning att senare överväga om krav på identifiering med en statlig fysisk iden- titetshandling ska införas även i andra situationer. Innan det införs sådana krav inom andra områden är det inte heller aktuellt att över- väga om det i något annat sammanhang bör införas skyldighet att lämna fingeravtryck och låta en bild av ansiktet tas.

De förslag vi lämnar ovan om biometrikontroller i samband med utfärdande av pass och statligt identitetskort medför dock tillsam- mans med övriga förslag som verkar i säkerhetshöjande riktning att dessa identitetshandlingar kommer att bli mycket säkra. Därmed blir också den identifiering som görs med hjälp av dessa handlingar i and- ra sammanhang säkrare. Förslagen i detta kapitel innebär därför även en förbättring av den identifiering som görs på områden där biomet- riska uppgifter inte kontrolleras.

11.7Sekretessfrågor

Utredningens förslag: Sekretess ska gälla för de biometriska uppgifter som tas fram ur ansiktsbilden och sparas i pass- och id- kortsregistret om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men.

Av 22 kap. 1 § första stycket OSL följer att sekretess gäller för upp- gift i verksamhet som avser folkbokföringen eller annan liknande

312

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

registrering av befolkningen och, i den utsträckning regeringen med- delar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen. Sekretessen gäller för enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om upp- giften röjs.

Regeringen har i 6 § OSF föreskrivit att såväl passregistret, regist- ret över nationella identitetskort och databasen över identitetskort för folkbokförda i Sverige omfattas av sekretessregleringen.

Sekretess gäller vidare enligt 22 kap. 1 § andra stycket OSL och 6 § andra stycket OSF i samma verksamheter för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

De ansiktsbilder som redan i dag lagras i id-kortsregistren om- fattas alltså av denna sekretessreglering. I avsnitt 9.4.4 föreslår vi att bestämmelserna i 22 kap. 1 § OSL och 6 § OSF ska omfatta även upp- gifter i registret över statliga identitetskort.

Vi föreslår i avsnitt 11.4.4 och 11.5 att även biometriska uppgifter som kan tas fram ur ansiktsbilderna ska få lagras i pass- och id-korts- registren. Dessa uppgifter bör omfattas av samma sekretesskydd som ansiktsbilderna. Ett tillägg bör därför göras i 22 kap. 1 § OSL och 6 § OSF som innebär att sekretess ska gälla även för dessa upp- gifter om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men. Tillägget inne- bär att samma sekretess kommer att gälla om det skulle vara aktuellt att spara biometriska uppgifter kopplade till ansiktsbilder i något av de andra register som omfattas av bestämmelserna. Eftersom det rör sig om uppgifter som är minst lika skyddsvärda som ansiktsbilder bör de omfattas av samma sekretessreglering.

Fingeravtrycken och de biometriska uppgifter som kan tas fram ur dessa ska inte sparas i id-kortsregistret utan endast lagras tillfälligt under handläggningen av ansökan. Efter att Polismyndigheten vid ansökningstillfället tagit sökandens fingeravtryck och ansiktsbild framställs ett underlag som tillverkaren använder för att kunna till- verka identitetshandlingen. I förarbetena till passlagens bestämmel- ser om införande av ansiktsbild i pass uttalade regeringen att hela detta underlag, inklusive de biometriska data som tas fram i syfte att göra en kvalitetskontroll, får anses utgöra en mellanprodukt till det

313

Fysiska identitetshandlingars säkerhetsnivå

SOU 2019:14

färdiga passet. Sådana handlingar blir inte allmänna om de inte expe- dieras eller tas om hand för arkivering. I förarbetena till 2 kap. 6 § tryckfrihetsförordningen (TF) anfördes att om en myndighet sänder över en handling till någon utomstående endast för teknisk bearbet- ning är det naturligt att se det som att handlingen aldrig har befunnit sig utanför myndigheten. De biometriska data som tas fram för kva- litetskontroll och därefter omedelbart förstörs när passet har läm- nats ut arkiveras inte heller hos myndigheten. Det blir således inte fråga om allmänna handlingar varför inte heller frågan om sekretess blir aktuell.25 Samma bedömning måste enligt vår uppfattning kunna göras beträffande fingeravtrycken och de biometriska uppgifter som tas fram ur dessa eftersom det även i detta fall endast är fråga om en mellanprodukt som ska förstöras när identitetshandlingen har läm- nats ut. Någon särskild sekretessregel infördes inte heller i samband med att fingeravtryck började sparas i passen. Mot denna bakgrund gör vi bedömningen att frågan om sekretess inte blir aktuell beträff- ande hanteringen av fingeravtryck och de biometriska uppgifter som tas fram ur dessa i samband med ansökan om statligt identitetskort.

Vi föreslår i avsnitt 11.6.1 och 11.6.2 nya möjligheter att göra biometrikontroller. Kontroller ska kunna göras i id-kortsverksam- heten och vid gränskontroll. De biometriska uppgifter som tas fram vid sådana kontroller ska förstöras omedelbart. Eftersom inte heller dessa uppgifter arkiveras blir sekretessfrågan inte heller aktuell för dessa uppgifter.

11.8Andra säkerhetshöjande lösningar

Utredningens bedömning: Pass och statliga identitetskort bör inte förses med en pinkod som innehavaren kan identifiera sig med. Den e-legitimation som kortet ska innehålla kan användas i samma syfte.

Som anges ovan innehåller pass och statliga identitetskort så många olika säkerhetsdetaljer att de enligt NFC uppnår en tillräckligt hög dokumentsäkerhet. Några ytterligare detaljer som endast kan an- vändas för att avgöra om handlingen är äkta synes därmed inte behövas.

25Prop. 2004/05:119 s. 46.

314

SOU 2019:14

Fysiska identitetshandlingars säkerhetsnivå

Våra förslag ovan innebär att pass och statliga identitetskort kom- mer att innehålla både fingeravtryck och ansiktsbild, vilket ytter- ligare försvårar möjligheten att förfalska identitetshandlingarna. De medför dessutom att det med stor säkerhet går att kontrollera att innehavaren av handlingen är den som handlingen har utfärdats till. Förslagen om kontroll av biometriska uppgifter i samband med ut- färdande av pass och statligt identitetskort medför en väsentlig höj- ning av säkerheten i utfärdandeprocessen. Det innebär att de pass och statliga identitetskort som utfärdas kommer att bli ännu säkrare. Säkrare handlingar gör att även efterföljande identifiering med hand- lingarna blir säkrare.

Vi föreslår inte någon mer generell möjlighet att kontrollera bio- metriska uppgifter. Privata aktörer, såsom banker och postutläm- ningsställen, kommer därför inte att göra sådana kontroller.

De aktörer som i olika sammanhang kontrollerar enskildas iden- titet kommer däremot att ha möjlighet att, utöver den kontroll som görs i dag, även låta den enskilde identifiera sig genom att använda den statliga e-legitimationen, som vi i avsnitt 12.4 föreslår ska finnas på statliga identitetskort, tillsammans med en kod. E-legitimationen kan alltså, förutom att användas för att identifiera användare på di- stans i olika e-tjänster, även användas som en extra säkerhet i sam- band med identifiering som sker vid ett personligt möte, förutsatt att den som kontrollerar identiteten upprättar en relation med den utfärdande myndigheten i syfte att elektronisk identifiering ska kunna göras. Det krävs också viss teknisk utrustning. Vårt förslag i den delen innebär alltså, förutom att staten tar ansvar för att utfärda en säker e-legitimation som kan användas vid identifiering på distans, även en möjlighet att öka säkerheten i den kontroll av identiteten som görs vid ett personligt möte.

I våra direktiv anges som ett exempel på andra säkerhetshöjande åtgärder än användning av biometriska uppgifter, att identitetshand- lingar förses med en pinkod som innehavaren kan identifiera sig med på samma sätt som när bankkort används. Detta är en lösning som har förespråkats av NBC. Mot bakgrund av vårt förslag om att en statlig e-legitimation ska finnas på statliga identitetskort menar vi att det saknas skäl att överväga en sådan lösning. I stället kan den stat- liga e-legitimationen, som används tillsammans med kod, användas för att förbättra säkerheten vid identifiering som sker vid ett person- ligt besök.

315

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

12.2Digitaliseringen och behovet av e-legitimation

Regeringens mål för digitaliseringen av den offentliga förvaltningen är en enklare vardag för medborgarna, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivi- tet i verksamheten. Regeringen har gjort bedömningen att digitala tjänster ska vara förstahandsval i den offentliga förvaltningens verk- samhet och i kontakter med privatpersoner och företag. Det innebär att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lösningar vid utformningen av sin verksamhet. Samtidigt ska säker- heten och skyddet för den personliga integriteten säkerställas.1

I regeringens digitaliseringsstrategi, som anger inriktningen för regeringens digitaliseringspolitik, betonas att en förutsättning för fortsatt utveckling av digital service till privatpersoner och företag är att medborgarna har en digital identitet. Att kunna styrka sin identitet digitalt på ett enkelt och säkert sätt är avgörande för möjlig- heten att kunna ta del av digitala tjänster inom såväl den privata som den offentliga sektorn. Identitetskapningar och bedrägerier på internet är ett stort samhällsproblem som får stora konsekvenser både för den enskilde och för samhällsekonomin.2

En grundläggande förutsättning för att kunna uppfylla regeringens mål är att det är möjligt att säkerställa att den person som får tillgång till en e-tjänst hos exempelvis en myndighet också är den som han eller hon utger sig för att vara. En väl fungerande och säker elektro- nisk identifiering är alltså en förutsättning för en väl fungerande digi- tal förvaltning.

En stor andel av Sveriges befolkning har redan i dag tillgång till en e-legitimation. BankID är den e-legitimation som dominerar på den svenska marknaden, se avsnitt 5.5.

Staten har hittills inte tagit ansvar för att medborgarna ska ha till- gång till en statligt utfärdad säker e-legitimation. I regeringsupp- draget till Skatteverket att ta fram ett identitetskort för folkbok- förda i Sverige angavs att kortet skulle vara förberett för att kunna bära e-legitimationer och därför borde innehålla ett chip motsvar- ande det som finns på det nationella identitetskortet.3 Skatteverket har därefter på eget initiativ sett till att det finns en e-legitimation på

1Prop. 2017/18:1 utgiftsområde 2 s. 93.

2För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi dnr. N2017/03643/D.

3Regeringsbeslut Fi 2008/5394, delvis, Uppdrag till Skatteverket att ta fram ett id-kort för folkbokförda i Sverige 2008-09-25.

318

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

id-kortet. Den e-legitimation som finns på id-kortet utfärdas dock inte av Skatteverket utan av AB Svenska Pass. Bolaget har avtal med Skatteverket om att förse det fysiska id-kortet med en e-legitima- tion. Det innebär att det är AB Svenska Pass och inte Skatteverket som har det juridiska ansvaret gentemot både innehavaren av e-legi- timationen och de förlitande aktörer som ingått avtal med AB Svenska Pass.

I regeringsuppdraget till dåvarande Rikspolisstyrelsen att ta fram ett nationellt identitetskort angavs endast att kortet skulle innehålla en funktion för lagring av elektronisk information som i framtiden skulle kunna användas för att lagra t.ex. elektroniska signaturer.4

Det finns i dagsläget således inte någon e-legitimation som ut- färdas av en statlig myndighet och som är tillgänglig för alla.

12.3En statlig e-legitimation

Utredningens förslag: En statlig e-legitimation på högsta tillits- nivå ska utfärdas av staten.

I och med den ökade digitaliseringen är det allt svårare att klara sig i samhället utan tillgång till en e-legitimation. Det är av stor vikt att alla invånare har möjlighet att skaffa en säker e-legitimation som ger tillgång till samhällsfunktionerna. Samtidigt bidrar också en säker elektronisk identifiering till att motverka den identitetsrelaterade brottsligheten. Den betydelse som en säker e-legitimering har för samhällsfunktionerna och brottsbekämpningen gör att det bör över- vägas om inte staten bör ta ett större ansvar för att tillförsäkra alla invånare en sådan identitetshandling.

Många personer i Sverige har som framgått redan en e-legitima- tion. Det finns emellertid vissa betänkligheter mot att endast en pri- vat aktör ges en så dominerande ställning på den svenska marknaden för e-legitimationer. Att endast privata aktörer utfärdar e-legitima- tion medför att staten inte kontrollerar villkoren för e-legitimation- erna. Staten har därmed också begränsade möjligheter till insyn och påverkan. Det finns behov av alternativa lösningar för e-legitimation utifrån flera perspektiv, särskilt när det gäller säkerhet, robusthet och

4Regeringsbeslut 2003-09-25 Uppdrag att ta fram ett nationellt identitetskort Ju2003/7370/PO.

319

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

tillgänglighet. I dag finns det inte något reellt alternativ att använda sig av om de privat utfärdade e-legitimationerna av någon anledning inte skulle fungera. Det finns därför behov av en säker lösning som kan användas om de privata e-legitimationerna upphör att fungera. Ett enskilt företag kan också gå i konkurs eller ändra inriktning av något skäl. Det finns därför ur ett beredskaps- och kontinuitets- perspektiv behov av ett komplement till de e-legitimationer som i dag dominerar på marknaden.

Som framgått av våra direktiv är den största risken med elektro- nisk identifiering kopplad till identifieringen av sökanden i samband med utfärdandet. Det är därför av stor vikt att säkerställa identiteten vid den tidpunkten. Med en säker grundidentifiering som görs av en myndighet vid ett personligt besök minskar risken för att fel person får tillgång till e-legitimationen. Motsvarande bedömning gjordes av Utredningen om effektiv styrning av nationella digitala tjänster.5

Det som också motiverar ett införande av en statlig e-legitimation är att tillgången till en e-legitimation som är anmäld enligt eIDAS- förordningen för att möjliggöra identifiering i andra EU-länders digitala tjänster bör säkerställas. För att en e-legitimation ska kunna anmälas för gränsöverskridande identifiering måste vissa villkor vara uppfyllda. Utredningen om effektiv styrning av nationella digitala tjänster har gjort bedömningen att det finns behov av att anmäla minst en svensk e-legitimation för gränsöverskridande identifiering. Personer som har behov av att använda en e-legitimation i e-tjänster i Europa är t.ex. utlandsstudenter, patienter som behöver vård utom- lands, företagare som vill etablera sig i en annan medlemsstat, pen- sionärer som bor utomlands, arbetssökande i andra medlemsstater och boende i gränstrakter till andra länder.6

Det är visserligen tillåtet att enligt eIDAS-förordningen anmäla även e-legitimationer som utfärdas av privata aktörer men bedöm- ningen av om en viss e-legitimation bör anmälas blir enklare när det gäller en handling som utfärdas av staten. Det är inte heller säkert att de privata aktörerna kan tillgodose de behov som finns. Den privat utfärdade e-legitimation som dominerar i Sverige, BankID, anses mot- svara tillitsnivå 3 i tillitsramverket för Svensk e-legitimation.7 Tillits- nivå 3 är en för låg nivå vid transaktioner där den högsta tillitsnivån

5SOU 2017:114 s. 175 ff.

6Ibid. s. 357 f.

7elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/godkandaelegitimationer.4.4 498694515fe27cdbcf1a3.html. Hämtad 2019-02-08.

320

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

enligt eIDAS-förordningen krävs. Som framgått av avsnitt 5.3 är det den som har e-tjänsten, t.ex. en myndighet i ett annat EU-land, som bedömer vilken tillitsnivå som krävs. För att säkerställa att svenska invånare får tillgång till e-tjänster i andra EU-länder finns det därför ett behov av att anmäla en e-legitimation på tillitsnivå 4.

Utredningen om effektiv styrning av nationella digitala tjänster framhåller vidare att det faktum att det är staten som ansvarar för eventuella säkerhetsincidenter och skador även när det gäller e-legi- timationer som utfärdats av en privat aktör talar för att staten be- höver ha största möjliga kontroll över de e-legitimationer som anmäls enligt eIDAS-förordningen.8

Det kan även finnas e-tjänster i Sverige där det egentligen finns ett behov av att användarna identifierar sig med en e-legitimation på tillitsnivå 4 men där det i nuläget inte går att ställa det kravet efter- som det inte utfärdas några e-legitimationer som är allmänt spridda på den nivån. Behovet gör sig särskilt gällande vid e-tjänster där mycket integritetskänsliga uppgifter är tillgängliga. Det kan exempel- vis röra sig om vissa särskilt känsliga tjänster på hälso- och sjukvårds- området. Det finns därför även av detta skäl ett behov av en e-legi- timation på tillitsnivå 4 som utfärdas av staten.

En e-legitimation som utfärdas av en statlig myndighet efter en grundidentifiering av en myndighet vid ett personligt besök kan ut- göra underlag vid utfärdande av andra e-legitimationer (s.k. id-växling). Det får till följd att även utfärdandeprocessen beträffande andra e- legitimationer som utfärdas med stöd av den statliga blir säkrare. Därmed minskar risken att någon med brottsliga avsikter på felak- tiga grunder får tillgång till en e-legitimation. Väsentligt i samman- hanget är också att det är tillåtet enligt eIDAS-förordningen att använda en e-legitimation för att få en annan utfärdad. Bankerna till- låter dock inte att BankID används på det sättet.9 Att staten ansvarar för den grundläggande identifieringen som sedan kan utnyttjas vid tillhandahållande av andra e-legitimationer underlättar också för andra utfärdare. Det är både kostsamt och svårt att utföra grund- identifiering. Kravet i Tillitsramverket för Svensk e-legitimation10, på fysisk identitetskontroll innebär att utfärdaren måste finnas på

8SOU 2017:114 s. 358 ff.

9Förstudierapport på uppdrag av E-legitimationsnämnden Framtida spelplan för e-legitimering version 1.0 2017-02-23.

10Myndigheten för digital förvaltnings Tillitsramverk för Svensk e-legitimation

ärendenr 2018-158.

321

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

många ställen i landet och ha personal som kan utföra en identitets- kontroll på ett tillförlitligt sätt. Om utfärdare i stället kan förlita sig på identifiering som görs av en statlig myndighet i samband med ut- färdande av den statliga e-legitimationen underlättar det vid nyutgiv- ning av innovativa och säkra e-legitimationer.11

En annan viktig aspekt är att bankerna som regel utfärdar BankID endast till sina kunder. De har inte någon skyldighet att utfärda en e-legitimation till alla som vill ha en sådan. Det finns därför personer som inte kan få BankID. Med en statligt utfärdad e-legitimation kan fler tillförsäkras tillgång till en sådan handling.

En statlig e-legitimation skulle även kunna användas som en extra säkerhetsåtgärd när den enskilde i olika sammanhang identifierar sig vid ett personligt besök. En kontroll av e-legitimationen tillsammans med en kontroll av den fysiska identitetshandlingen innebär att säker- heten i den identitetskontroll som görs vid det personliga mötet höjs. En kontroll av e-legitimationen skulle också kunna ersätta en kontroll av den fysiska handlingen i de fall det bedöms tillräckligt. Kontrollen skulle på så vis kunna effektiviseras. Eftersom en sådan kontroll innebär att en giltighetskontroll sker i realtid mot ett re- gister skulle en kontroll av enbart e-legitimationen i många fall kunna anses säkrare än enbart en kontroll av en fysisk identitetshandling. Det förutsätter dock att den som kontrollerar identiteten har den utrustning som krävs samt upprättar en relation till utfärdaren för att kunna utnyttja utfärdarens funktion för identitetskontroll.

Det finns som nämnts redan i dag en e-legitimation på identitets- kort för folkbokförda i Sverige. E-legitimationen utfärdas inte av Skatteverket utan av företaget AB Svenska Pass. Det är dock Skatte- verket som utför den identifiering av sökanden som föregår utfärd- andet. AB Svenska Pass har som utfärdare det juridiska ansvaret gent- emot innehavaren och de förlitande aktörerna. Detta är enligt vår bedömning inte tillräckligt för att staten ska få den kontroll som krävs för att kunna säkerställa att invånarna har tillgång till en säker e-legitimation.

En e-legitimation på tillitsnivå 4 måste finnas på en personlig säker- hetsmodul som skyddar uppgifterna från obehörig åtkomst, vanligen ett kort, se avsnitt 5.3. För att e-legitimationen ska vara enkel att

11E-legitimationsnämnden rapport Fortsatt försörjning av tjänster för e-legitimering och e- underskrift dnr 131 645711-15/9513 2016-10-25.

322

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

bära med sig är det naturligt att placera den på en fysisk identitets- handling. Det underlättar för den enskilde som endast behöver ha en handling med sig. Det är också mer effektivt att utfärda den fysiska identitetshandlingen och e-legitimationen samordnat eftersom samma process kan användas.

E-legitimationer på fysiska kort är visserligen i dag ofta krång- ligare för användaren än mobila lösningar eftersom det krävs någon form av tekniskt hjälpmedel för att använda dem. Man kan därför ställa sig frågan om en statlig e-legitimation som finns på en fysisk identitetshandling kommer att användas i någon större utsträckning. En statlig e-legitimation på ett fysiskt kort som komplement till mobila varianter bidrar dock till att systemet som helhet blir mer stabilt eftersom det finns en alternativ lösning på en stabil bärare. Att endast ha en mobil e-legitimation är en sårbar lösning. Om mobiltelefonen exempelvis blir stulen eller slutar fungera krävs en reservlösning för att den enskilde inte ska stå utan e-legitimation under den tid det tar till dess att en ny finns tillgänglig. Av det skälet och mot bakgrund av den omfattande användningen av e-legitima- tion som sker i dag behöver det finnas en säker och stabil e-legitima- tion att använda som ett alternativ. Det finns också tekniska lös- ningar som kan underlätta användandet, se nedan.

Mot bakgrund av de skäl som angetts ovan, menar vi att det är av stor vikt att staten säkerställer tillgången till en säker och stabil lös- ning för elektronisk identifiering som inte är beroende av privata aktörer eller mobila lösningar. I ett allt mer digitaliserat samhälle är det viktigt att medborgarnas elektroniska identitet kan skyddas från missbruk. Vi bedömer därför, i likhet med Utredningen om effektiv styrning av nationella digitala tjänster12, att staten bör ta ansvar för att utfärda en e-legitimation på högsta tillitsnivå som ska finnas på någon eller några av de statliga fysiska identitetshandlingarna. Att e- legitimationen utfärdas av en statlig myndighet innebär att myndig- heten har det juridiska ansvaret både gentemot innehavaren och de förlitande aktörerna.

Det är av stor vikt att det säkerställs att den statliga e-legitima- tionen kan användas på ett enkelt sätt. För att e-legitimationen ska komma till användning är det angeläget att underlätta för den en- skilde så långt det är möjligt. För att kunna använda en e-legitima-

12SOU 2017:114 s. 187 ff.

323

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

tion som finns på ett id-kort behövs någon form av kortläsare. Kort- läsare finns inbyggd i många datorer. Det finns också fristående kortläsare som kan kopplas till en dator. I dag finns det dessutom tekniska lösningar som skulle kunna användas som alternativ till en traditionell kortläsare. Ett alternativ kan vara en applikation i mobil- telefonen som läser av informationen på kortets chip genom s.k. NFC-teknik13. Genom att läsa av kortet i en sådan applikation kan användaren, precis som vid användning av en mobil e-legitimation, identifiera sig i en e-tjänst. De tekniska lösningarna och deras till- gänglighet är under ständig utveckling. En fördjupad analys av frågor kopplade till användbarhetsaspekter behöver därför göras. Analysen bör omfatta hur den statliga e-legitimationen ska utformas för att säkerställa en hög användbarhet vid användning i e-tjänster. En så- dan analys är varken möjlig eller lämplig att göra i denna utredning. Det är därför av stor vikt att den myndighet som kommer att ansvara för utfärdandet av den statliga e-legitimationen noga överväger vilka alternativ för läsning av e-legitimationen som ska finnas tillgängliga för användarna.

Särskilt möjligheterna till användning av kortläsning genom mobil- telefon bör analyseras. Tekniska lösningar kan exempelvis upphand- las av samma leverantör som levererar e-legitimationen och behöver självklart inte utvecklas av personal hos den utfärdande myndighe- ten. En annan sak är att ansvaret för att de tas fram ligger hos myn- digheten. Om det förutsätts att särskilda kortläsare används bör myndigheten särskilt analysera hur en bred spridning och enkel an- vändning av sådana kan åstadkommas på ett säkert och kostnads- effektivt sätt.

Att det införs en statlig e-legitimation på en fysisk identitets- handling hindrar inte att staten i framtiden även utfärdar en e-legi- timation som finns i exempelvis en mobiltelefon, om det bedöms lämpligt. Den skulle då kunna utfärdas på grundval av identifiering med den statliga e-legitimation som finns på den fysiska identitets- handlingen, precis som e-legitimationer som utfärdas av andra aktörer.

Genomförandet sker naturligen i nära samarbete eller samråd med andra myndigheter såsom Myndigheten för digital förvaltning och myndigheter som tillhandahåller e-tjänster i stor omfattning.

13NFC står för Near Field Communication och innebär kontaktlös överföring av data på kort avstånd.

324

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

12.4Den statliga e-legitimationen ska finnas på det statliga identitetskortet

Utredningens förslag: Den statliga e-legitimationen ska finnas på det statliga identitetskortet.

Vi har i avsnitt 8.6 föreslagit att endast pass och statligt identitets- kort (statliga fysiska identitetshandlingar) ska vara godtagbara fysis- ka identitetshandlingar i alla situationer. Det är alltså endast dessa handlingar som kan vara aktuella som bärare av den statliga e-legiti- mationen. Utredningen om effektiv styrning av nationella digitala tjänster har, mot bakgrund av vårt uppdrag, inte lämnat förslag när det gäller frågan om på vilka fysiska identitetshandlingar den statliga e-legitimationen ska finnas. Den utredningen har föreslagit att den statliga e-legitimationen ska kunna utfärdas till personer som kan få de identitetshandlingar som staten utfärdar och vars huvudsakliga syfte inte är att utvisa en behörighet. De har bedömt att e-legitima- tionen ska kunna utfärdas både till svenska medborgare och personer som är folkbokförda i Sverige. Detta motiveras med att dessa per- soner har sådan anknytning till Sverige som bör krävas för att få en statlig e-legitimation.14

De fysiska identitetshandlingar som kan vara aktuella som bärare av den statliga e-legitimationen enligt den utredningens ställnings- taganden är alltså pass och det id-kort som vi i avsnitt 10.2.1 föreslår ska benämnas statligt identitetskort. Den avgränsning som har gjorts av Utredningen om effektiv styrning av nationella digitala tjänster stämmer överens med den bedömning vi har gjort när det gäller frå- gan om för vilken personkrets staten bör ansvara för utfärdandet av fysiska identitetshandlingar, se avsnitt 8.5.4. Det är rimligt att sta- tens ansvar för att tillhandahålla e-legitimationer omfattar samma personkrets som de statliga fysiska identitetshandlingarna (se dock i avsnitt 12.7 angående våra bedömningar när det gäller ålder). Vi in- stämmer därför i utredningens bedömning.

Både det statliga identitetskortet med och utan funktion som rese- handling bör således innehålla en statlig e-legitimation. Härigenom kommer både personer som är folkbokförda i Sverige och svenska medborgare att omfattas. För att omfatta den personkrets som bör

14SOU 2017:114 s. 195 f.

325

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

omfattas krävs det inte att passen förses med en e-legitimation. Det är inte heller önskvärt. Passets format gör att det är mindre lämpligt som bärare. Passet är inte är lika smidigt att bära med sig och det kan inte användas i en vanlig kortläsare.

Som anges i avsnitt 12.11 bör det krävas att en ansökan om en statlig e-legitimation görs för att en sådan ska kunna utfärdas. Vidare menar vi att det bör krävas att sökanden uppnått en viss ålder för att få en statlig e-legitimation, se avsnitt 12.7. Regleringen av den stat- liga e-legitimationen bör därför lämna utrymme för att ett statligt identitetskort kan utfärdas även utan att innehålla en e-legitimation eftersom en sådan inte kommer att kunna utfärdas i samtliga fall då ett identitetskort utfärdas. Av andra bestämmelser i lagen kommer det sedan att framgå vad som krävs för att e-legitimationen ska kunna utfärdas.

Som anges i avsnitt 11.4.4 har EU-kommissionen i april 2018 lagt fram förslag om en id-kortsförordning som syftar till att höja säker- heten i id-kort som utfärdas till unionsmedborgare. Förslaget inne- bär att fingeravtryck och ansiktsbild ska lagras i ett lagringsmedium på id-korten. Förslaget hindrar inte att medlemsstaterna, i enlighet med nationell lagstiftning, även lagrar en e-legitimation i ett lagrings- medium på id-kortet. Sådana uppgifter måste dock enligt förslaget vara fysiskt eller logiskt separerade från fingeravtrycken och ansikts- bilden.

12.5Utfärdare

Utredningens förslag: Polismyndigheten ska utfärda den statliga e-legitimationen.

I avsnitt 9.4 har vi föreslagit att de statliga fysiska identitetshand- lingarna, dvs. pass och statligt identitetskort, ska utfärdas av Polis- myndigheten. Frågan är om Polismyndigheten även ska utfärda den statliga e-legitimationen eller om ansvaret ska läggas på någon annan myndighet. Utredningen om effektiv styrning av nationella digitala tjänster har, på grund av vårt uppdrag, inte lagt något förslag i fråga om vilken statlig myndighet som ska utfärda den statliga e-legitima- tionen.

326

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

Att Polismyndigheten träffar avtal med en privat aktör som utfär- dar en e-legitimation som läggs på id-korten, på det sätt Skatteverket har gjort med den e-legitimation som finns på identitetskort för folkbokförda i Sverige, är enligt vår mening inte tillräckligt för att staten ska få den kontroll som krävs för att kunna säkra invånarnas rätt till tillgänglighet. Om en privat aktör är utfärdare av e-legitima- tionen är det den privata aktören, och inte myndigheten, som har det juridiska ansvaret. För att staten ska kunna få den kontroll som krävs måste det juridiska ansvaret gentemot innehavaren och de förlitande aktörerna ligga på staten och då måste det också vara en statlig myn- dighet som är utfärdare.

Att en myndighet ska utfärda den statliga e-legitimationen inne- bär naturligtvis inte att myndigheten också måste utveckla den eller hantera alla andra aspekter av den löpande förvaltningen av e-legiti- mationen, exempelvis användarsupport. Myndigheten kan upphandla själva handhavandet av e-legitimationen från en leverantör.

Det som måste finnas hos den utfärdande myndigheten är emell- ertid kompetens att utforma kraven vid upphandlingen av e-legiti- mationen. Myndigheten måste också kontinuerligt följa upp hanter- ingen, särskilt säkerheten, för att kunna åtgärda eventuella risker kopplade till e-legitimationen. I övrigt bör upphandlingen kunna utformas på olika sätt beroende på hur stor del av arbetet som läggs ut på en leverantör och omfatta exempelvis utveckling, förvaltning, support och elektronisk identitetskontroll. Även tekniska hjälp- medel som underlättar användningen av e-legitimationen skulle kun- na omfattas av en sådan upphandling.

Skillnaden mellan att en utfärdande myndighet upphandlar e-legi- timationen och den lösning Skatteverket har i dag är att det juridiska ansvaret gentemot innehavaren och de förlitande aktörerna ligger på en statlig myndighet och inte som i dag på en privat aktör. Det inne- bär att det är myndigheten som ansvarar för e-legitimationen under hela dess livslängd. Myndigheten ansvarar inte bara för att säkerställa att e-legitimationen utfärdas på rätt sätt utan också för den identi- tetskontroll som görs vid varje användningstillfälle. Den privata e- legitimationsleverantören kan naturligtvis vara ansvarig gentemot den utfärdande myndigheten för sådant som leverantören åtagit sig enligt avtalet men det är myndigheten som har det skadeståndsrätts- liga ansvaret gentemot innehavare och förlitande aktörer. En annan

327

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

sak är att den utfärdande myndigheten kan ha regressrätt mot leve- rantören.

Man kan också tänka sig att den utfärdande myndigheten uppdrar åt en annan myndighet att ta fram e-legitimationen. Oavsett vem som är leverantör av e-legitimationen måste dock den ansvariga myn- digheten vara utfärdare och bestämma villkoren för den.

Eftersom vi föreslår att Polismyndigheten ska utfärda de statliga fysiska identitetshandlingarna, ligger det närmast till hands att den myndigheten också ansvarar för utfärdande av den statliga e-legiti- mationen. Det finns stora samordningsvinster med att en och samma myndighet utfärdar såväl den fysiska identitetshandlingen som den elektroniska. Den största fördelen är att samma utfärdandeprocess kan användas. Det innebär att endast en myndighet utför det mest centrala momentet i utfärdandeprocessen, nämligen identifieringen. Detta medför inte bara vinster ur ett säkerhetsperspektiv, utan är även det alternativ som är minst resurskrävande. Att upprätthålla ytterligare en process för utfärdande av identitetshandlingar hos en annan myndighet bedöms både mer kostsamt och mindre lämpligt.

Att lägga ansvaret för utfärdande på två olika myndigheter mot- verkar också vår ambition att begränsa antalet utfärdare i syfte att höja kvaliteten i utfärdandeprocessen, se avsnitt 9.3. Att endast en myndighet ansvarar för utfärdandet medför bättre förutsättningar för en enhetlig hantering av hela processen från ansökan till utläm- nande. Samma eller liknande rutiner kan användas och alla som ar- betar med utfärdandet kan få samma utbildning. Risken att det före- kommer skillnader i bedömningen av om en identitet är styrkt är större om ansvaret läggs på olika myndigheter. Det är dessutom en fördel för den enskilde att bara behöva vända sig till en myndighet.

Tillgängligheten hos Polismyndigheten är god, identitetshand- lingar utfärdas i dag på över 100 platser i landet. Polismyndigheten har vidare stor erfarenhet av att utfärda identitetshandlingar och göra identitetsbedömningar.

En stor fördel med att lägga ansvaret på Polismyndigheten är att det möjliggör för myndigheten att få bättre insyn och arbeta före- byggande när det gäller brottslighet kopplad till användande av e-legi- timation på ett sätt som inte är möjligt i dag. Det har på senare tid förekommit att bedragare via telefon lurar personer att använda sitt BankID och på så sätt får tillgång till personens internetbank. Polis- myndigheten arbetar därför redan i dag intensivt med dessa frågor.

328

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

De riskanalyser som behöver göras inom ramen för det löpande säkerhetsarbetet är även till nytta i den brottsbekämpande verksam- heten. På motsvarande sätt är de kunskaper om risker som finns inom den polisiära verksamheten värdefulla för utfärdandeverksam- heten. Om Polismyndigheten utfärdar den statliga e-legitimationen kan det alltså leda till samordningsvinster i båda delarna av verk- samheten. Det är därför enligt vår uppfattning en stor fördel om Polismyndighetens kontroll och närvaro på området kan öka.

Det finns andra alternativ än att låta Polismyndigheten utfärda den statliga e-legitimationen. Två myndigheter som ligger långt fram när det gäller digitalisering och e-förvaltningsfrågor är Skatteverket och Försäkringskassan. Båda dessa myndigheter tillhandahåller ett stort antal e-tjänster på sina webb-sidor i vilka e-legitimation används för att identifiera användaren. Försäkringskassan utvecklar vidare e- legitimationer för anställda inom offentlig sektor. Detta skulle kun- na tala för att i stället lägga ansvaret på någon av dessa myndigheter.

En lösning med två statliga utfärdare har valts i Finland. Där utfärdar Polismyndigheten id-korten medan e-legitimationen som finns på korten utfärdas av Befolkningsregistercentralen. Polismyn- dighetens utfärdandeprocess används dock även för e-legitimationen vilket innebär att identifieringen av sökanden endast görs av en myn- dighet. Processen påminner om den ordning som i dag gäller för e- legitimationen på identitetskort för folkbokförda i Sverige med den skillnaden att det i Finland alltså är en statlig myndighet och inte en privat aktör som utfärdar e-legitimationen. Genom att på detta sätt dra nytta av den utfärdandeprocess som gäller för det fysiska id-kortet även vid utfärdandet av e-legitimationen skulle många av de samord- nings- och säkerhetsvinster vi pekat på ovan uppnås. Även detta alternativ skulle därför kunna vara en möjlig lösning.

Vi har trots det stannat för att föreslå att Polismyndigheten ska utfärda även den statliga e-legitimationen. Genom att lägga ansvaret på Polismyndigheten kan kvaliteten och säkerheten som kringgärdar utfärdandet av de fysiska identitetshandlingarna utnyttjas fullt ut och de kostnadsmässiga konsekvenserna begränsas. Detta alternativ medför inte heller samma behov av samordning som skulle uppstå om ansvaret att utfärda e-legitimationen i stället skulle läggas på en annan myndighet. Ett system med två olika utfärdare motverkar också syftet med vårt uppdrag att minska antalet utfärdare.

329

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

Vi ser dessutom stora fördelar för det brottsförebyggande arbetet om Polismyndigheten är utfärdare av den statliga e-legitimationen. Därtill kommer det som Utredningen om effektiv styrning av natio- nella digitala tjänster har påtalat om att processen för utfärdande av de statliga identitetshandlingarna bör utnyttjas vid utfärdande av e- legitimationen.

I en förstudierapport från E-legitimationsnämnden har dessutom gjorts bedömningen att Polismyndigheten är den myndighet som bör ansvara för en statlig e-legitimation. Som skäl har bl.a. anförts att myndigheten redan utfärdar pass och id-kort och därför är väl lämpad att göra identitetsbedömningar samt att den dessutom har god tillgänglighet.15

Det kan även tilläggas att både Polismyndigheten och Skatte- verket är av uppfattningen att ansvaret för att utfärda såväl de statliga fysiska identitetshandlingarna som den statliga e-legitimationen bör läggas på Polismyndigheten. Polismyndigheten bör därför utfärda den statliga e-legitimationen.

Som anges ovan kan ansvaret som utfärdare utföras på olika sätt. Polismyndigheten kan antingen utveckla e-legitimationen i egen regi eller uppdra åt någon annan aktör att göra detta. Även andra former av samarbete med andra myndigheter kan vara aktuella. Hur mycket av arbetet med den statliga e-legitimationen som Polismyndigheten själv ska utföra och hur mycket som kan eller bör läggas på en annan aktör bör dock analyseras vidare av myndigheten.

Polismyndigheten får genom vårt förslag en ny arbetsuppgift. Någon ändring behöver dock inte göras i Polismyndighetens in- struktion. Enligt 1 § förordningen (2014:1102) med instruktion för Polismyndigheten framgår nämligen att Polismyndighetens huvud- sakliga uppgifter och ansvar framgår av polislagen (1984:387). Myn- dighetens uppgifter och ansvar framgår också av polisförordningen (2014:1104) och av andra författningar. Bestämmelser om att Polis- myndigheten ska utfärda den statliga e-legitimationen kommer enligt vårt förslag att finnas i de nya författningarna om statliga iden- titetshandlingar.

Som anges i avsnitt 9.4.3 kommer utlandsmyndigheterna även fortsättningsvis att kunna utfärda id-kort till svenska medborgare. Även dessa id-kort bör kunna innehålla en statlig e-legitimation.

15Förstudierapport på uppdrag av E-legitimationsnämnden Framtida spelplan för e-legitimering version 1.0 2017-02-23.

330

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

12.6Regleringen av den statliga e-legitimationen förs in i lagen om statliga identitetshandlingar

Utredningens förslag: Den statliga e-legitimationen ska regleras i den nya lagen om statliga identitetshandlingar.

Vi ska enligt utredningsdirektiven även lämna nödvändiga författ- ningsförslag. Utredningen om effektiv styrning av nationella och digitala tjänster har lämnat förslag på en ny lag om statlig elektronisk identitetshandling. I den lagen föreslås följande regleras. Den stat- liga elektroniska identitetshandlingen ska kunna utfärdas till den som är svensk medborgare eller folkbokförd i Sverige och innehålla innehavarens namn, födelsedatum och personnummer. Den ska ut- färdas på den högsta svenska tillitsnivån enligt tillitsramverket i den av den utredningen föreslagna lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshand- ling. Den ska också utformas enligt de tekniska specifikationerna i sistnämnda lag och ha samma giltighetstid som den fysiska identi- tetshandling som den finns på, dvs. som huvudregel fem år. Den ska godtas vid elektronisk identifiering inom den offentliga sektorn och få användas som underlag vid ansökan om en annan elektronisk identitetshandling. I sistnämnda fallet ska den utfärdande myndig- heten informeras om användningen. Den utfärdande myndigheten ska registrera uppgift om den andra elektroniska identitetshandling- en i syfte att kunna informera den andra utfärdaren om en eventuell spärr av den statliga elektroniska identitetshandlingen. Det föreslås även bestämmelser om ansökan som i stora delar stämmer överens med vad som gäller för fysiska identitetshandlingar och regler om under vilka förutsättningar den statliga elektroniska identitetshand- lingen ska spärras som påminner om regleringen om återkallelse av fysiska identitetshandlingar. Det föreslås också vissa processuella be- stämmelser. Förslaget innehåller inte några bestämmelser om utfär- dare eller bärare av den statliga elektroniska identitetshandlingen eftersom utredningen avstått från att lämna sådana förslag i avvaktan på vår utrednings slutsatser.

Som skäl för en särskild reglering har utredningen anfört att den statliga e-legitimationen ska utgöra en egen handling, som dock an- vänder en fysisk identitetshandling som bärare. Ett annat skäl som

331

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

anförts är att en e-legitimation, till skillnad från en fysisk handling, kräver tekniska hjälpmedel för att uppfattas. Utredningen menar att detta utgör goda skäl för att särreglera den statliga e-legitimationen och inte låta den ingå som en delmängd i informationen på fysiska identitetshandlingar.16

Vi är också av uppfattningen att den statliga e-legitimationen utgör en egen handling, även om den lagras på det fysiska id-kortet. Enligt vår uppfattning saknar detta dock betydelse vid bedömningen av om regler om handlingen bör införas i en egen lag eller i den för- fattning som reglerar det fysiska id-kortet. Det är i stället en fråga om vad som blir mest överskådligt och hanterligt när bestämmel- serna ska införas och utformas.

Ett stort antal av de bestämmelser som finns i den föreslagna lagen om statlig elektronisk identitetshandling avser bestämmelser om ansökningsförfarandet. Bestämmelserna har i stort sett samma innehåll som bestämmelserna som finns både i nuvarande reglering av fysiska identitetshandlingar och i den av oss föreslagna lagen om statliga identitetshandlingar. Eftersom utfärdandet av den statliga e- legitimationen ska följa processen för utfärdande av det statliga iden- titetskortet och ske i ett samordnat förfarande menar vi att utfär- dandet av e-legitimationen i huvudsak bör omfattas av samma regel- system som gäller för det fysiska kortet.

En gemensam reglering underlättar också för utfärdaren som då endast behöver tillämpa ett och samma regelverk. Regler kring den statliga e-legitimationen bör därför tas in i den nya lagen om statliga identitetshandlingar. Genom detta undviks onödig dubbelreglering eftersom endast de bestämmelser som specifikt gäller för e-legiti- mationen, och som avviker från vad som gäller för det fysiska id- kortet, behöver föras in i lagen.

Ett skäl som skulle kunna anföras emot en sådan lösning är att det inte nu går att förutse om den statliga e-legitimationen i fram- tiden kan komma att finnas på andra bärare. En framtida utveckling av den statliga e-legitimationen skulle möjligen kunna underlättas av att regleringen inte är så tätt sammankopplad med regleringen av det statliga identitetskortet. Enligt vår mening torde dock innehållet i bestämmelserna sannolikt vid en sådan utveckling ändå behövas an- passas. Vi kan därför inte se att en eventuell framtida förändring av

16SOU 2017:114 s. 194.

332

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

hanteringen medför att vi nu inte bör föreslå att regleringen av e- legitimationen inordnas i lagen om statliga identitetshandlingar.

I de följande avsnitten berör vi frågan om vilka bestämmelser om den statliga e-legitimationen som bör finnas i den nya lagen om stat- liga identitetshandlingar.

12.7Personer som kan få en statlig e-legitimation

Utredningens förslag: En statlig e-legitimation kan utfärdas till en person som har fyllt 13 år.

Som anges i avsnitt 12.4 ska den statliga e-legitimationen kunna ut- färdas till svenska medborgare och personer som är folkbokförda i Sverige. I det förslag till lag som Utredningen om effektiv styrning av nationella digitala tjänster lämnat finns en bestämmelse om att den statliga e-legitimationen ska kunna utfärdas till den person- kretsen. Som en följd av att den statliga e-legitimationen ska regleras genom bestämmelserna i lagen om statliga identitetshandlingar be- höver några särskilda bestämmelser om vem som kan få e-legitima- tionen inte införas. Detta kommer i stället att framgå genom de be- stämmelser som anger vem som kan få ett statligt identitetskort.

Någon åldersgräns för att få den statliga e-legitimationen har inte föreslagits av Utredningen om effektiv styrning av nationella digitala tjänster. Vi har i avsnitt 10.2.4 föreslagit att det inte ska finnas någon åldersgräns för att få det statliga identitetskortet. Det bör dock över- vägas om en åldersgräns för den statliga e-legitimationen ska införas.

I den utredning som föregick införandet av identitetskort för folkbokförda i Sverige angavs att behovet av det id-kortet var kopp- lat till behovet av att kunna utöva sin rättshandlingsförmåga. Id- kortsutredningen föreslog med hänvisning till en bestämmelse i 9 kap. 3 § föräldrabalken, som innebär att den som har fyllt 16 år själv får råda över vad han eller hon förvärvat genom eget arbete, att personer som fyllt 16 år skulle kunna få id-kortet.17 Åldersgränsen kom dock att sättas till 13 år. Även behovet av den statliga e-legi- timationen kan kopplas till den rättsliga handlingsförmågan. För- utom den situation som Id-kortsutredningen hänvisade till finns det

17SOU 2007:100 s. 104.

333

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

även andra situationer i vilka underåriga tillerkänns viss rättshand- lingsförmåga utan att det föreskrivs någon nedre åldersgräns. Exem- pel på en sådan situation är det som föreskrivs i 9 kap. 1 § föräldra- balken om underårigs rätt att råda över egendom på grund av villkor vid förvärv genom gåva m.m. Underåriga kan alltså i vissa fall ha behov av en e-legitimation. Samtidigt måste det beaktas att den underårige bör ha uppnått en sådan mognad att han eller hon kan hantera en e-legitimation på ett säkert sätt. Den e-legitimation som i dag finns på identitetskort för folkbokförda i Sverige utfärdas till samma personkrets som kan få id-kortet, dvs. till personer som har fyllt 13 år. Åldersgränsen för BankID bestäms av de utfärdande bank- erna men normalt utfärdas den till personer från 13 eller 18 års ålder.18 Det har inte framkommit några synpunkter på åldersgränsen för den e-legitimation som finns på identitetskort för folkbokförda i Sverige. Enligt vår bedömning utgör den en lämpligt avvägd ålders- gräns med beaktande av de behov och risker som finns. Den statliga e-legitimationen bör därför kunna utfärdas till personer som har fyllt 13 år.

Eftersom utfärdandet av den statliga e-legitimationen ska följa processen för utfärdande av det statliga identitetskortet kommer det att krävas medgivande från vårdnadshavare om ansökan görs av sökande som är under 18 år. Det innebär att vårdnadshavarna har möjlighet att välja att endast medge ansökan om id-kort för det fall dessa anser att den underårige i något fall inte uppnått den mognad som krävs för att hantera e-legitimationen på ett omsorgsfullt sätt.

12.8Tillitsnivå

Utredningens förslag: Den statliga e-legitimationen ska utfärdas på den högsta tillitsnivån enligt tillitsramverket i lagen om infra- struktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Den ska utformas enligt de tek- niska specifikationerna i den lagen.

18www.bankid.com/om-bankid/privatpersoner-som-kan-fa-bankid. Hämtad 2019-02-12.

334

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

I den av Utredningen om effektiv styrning av nationella digitala tjänster föreslagna lagen anges att en statlig e-legitimation ska utfärdas på den högsta svenska tillitsnivån enligt tillitsramverket i den av utred- ningen föreslagna lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Den ska vidare utformas enligt de tekniska specifikationerna i samma lag. Det tillitsramverk som avses är det som i dag benämns tillitsramverket för Svensk e-legitimation och som förvaltas av Myndigheten för digi- tal förvaltning.19 Utredningen har föreslagit att tillitsramverket ska författningsregleras.

Den föreslagna bestämmelsen innebär att den utfärdande myndig- heten ska följa de krav som tillitsramverket ställer upp för den högsta nivån, inte bara när det gäller den tekniska säkerheten i e-legitima- tionen utan även när det gäller informationssäkerhet samt fysisk, administrativ och personorienterad säkerhet. I tillitsramverket finns också ytterligare krav beträffande utfärdandeprocessen, spärrtjänst och tillhandahållande av elektronisk identitetskontroll vid verifie- ring av användarens identitet.

Som anges i avsnitt 12.3 ska den statliga e-legitimationen utfärdas på den högsta tillitsnivån. Det är inte lämpligt att i lagen specificera vad det innebär eftersom tillitsnivåerna ständigt utvecklas. Bedöm- ningen av hur tillitsnivåerna ska beskrivas bör i stället, som också Ut- redningen om effektiv styrning av nationella digitala tjänster har anfört, vara en fråga för Myndigheten för digital förvaltning som utvecklar och förvaltar tillitsramverket. Det är däremot lämpligt att i lagen om statliga identitetshandlingar föra in en bestämmelse mot- svarande den som Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit. Skulle det visa sig att den lag om infra- struktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling inte införs måste bestämmelsen an- passas till det som i stället kommer att gälla. Om nuvarande ordning ska upprätthållas, dvs. utan reglering av tillitsramverket, kan då en lämplig lösning vara att direkt i bestämmelsen hänvisa till det tillits- ramverk som förvaltas av Myndigheten för digital förvaltning. Ett annat alternativ skulle kunna vara att i stället föreskriva att den stat- liga e-legitimationen ska utfärdas på den högsta tillitsnivån enligt eIDAS-förordningen.

19Myndigheten för digital förvaltning Tillitsramverk för Svensk e-legitimation ärendenr 2018-158.

335

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

Tillitsramverket är framtaget utifrån den nu rådande situationen på marknaden för elektronisk identifiering. Viss anpassning av tillits- ramverket kan därför behöva göras inför att den statliga e-legitima- tionen ska börja utfärdas. Som exempel kan nämnas att tillitsram- verket bygger på att ett avtal ingås mellan användaren och utfärdaren om utfärdande av e-legitimationen. Utfärdande av den statliga e-legi- timationen kommer däremot att ske i form av myndighetsbeslut. Myndigheten för digital förvaltning bör därför göra en översyn av tillitsramverket och göra de anpassningar som införandet av en stat- lig e-legitimation föranleder med beaktande av de internationella stan- darder som tillitsramverket baseras på.

12.9Elektronisk underskrift

Utredningens förslag: Den statliga e-legitimationen ska kunna användas för att skapa en avancerad elektronisk underskrift enligt eIDAS-förordningen.

Som framgår av avsnitt 5.9 fyller e-legitimationen även en viktig funktion för framställande av elektroniska underskrifter. En mycket stor andel av de förlitande aktörerna i såväl offentlig som privat sektor använder sig av e-legitimationens funktion för e-underskrift i sina digitala tjänster. Statistik från E-legitimationsnämnden visar att 40 procent av de tillfrågade myndigheterna, kommunerna och landstingen har digitala tjänster som användaren kan skriva under i. Av de tillfrågade som hade sådana digitala tjänster, hade 30 procent anskaffat en fristående underskriftstjänst för hantering av e-under- skrifter via det indirekta förfarande som beskrivs översiktligt i av- snitt 5.9.20 Majoriteten hanterar således fortsatt e-underskrifter i sina e-tjänster via det direkta förfarandet där ett särskilt underskrifts- certifikat på e-legitimationen används för att framställa e-under- skriften.

En statlig e-legitimation som inte kan framställa en e-underskrift skulle således inte möta de behov och förväntningar som finns. Det är därför rimligt att uppställa krav på att den statliga e-legitimationen

20E-legitimationsnämnden Resultat från e-legitimationsenkäten 2017 2017-09-11.

336

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

bör utformas på ett sådant sätt att den även kan användas för att framställa e-underskrifter.

Frågan är då vidare vilken nivå e-underskriften ska uppnå. Som framgår av avsnitt 5.9 görs det i eIDAS-förordningen en uppdelning i avancerade och kvalificerade elektroniska underskrifter. Det finns i dag inga författningsreglerade krav på användning av kvalificerade elektroniska underskrifter i svensk rätt. De formkrav som finns tar antingen sikte på avancerade elektroniska underskrifter eller elektro- niska underskrifter i mer allmän bemärkelse utan att nivån specifi- ceras (se avsnitt 5.9). Det finns inte heller några aktiva svenska ut- färdare av kvalificerade elektroniska certifikat för att framställa kvalificerade elektroniska underskrifter.21 Sett till svenska e-tjänster sträcker sig därmed inte behoven av elektronisk underskrift i dags- läget rimligtvis längre än till nivån avancerad elektronisk underskrift. Utgångspunkten bör därför vara att den statliga e-legitimationen i vart fall ska leva upp till de krav som ställs i eIDAS-förordningen på avancerade elektroniska underskrifter.

Det finns dock vissa skäl som talar för att den e-underskrift som ska kunna framställas ändå bör uppfylla den högre nivån. Inom EU är kvalificerade elektroniska underskrifter vanligt förekommande. Om den statliga e-legitimationen även uppfyller de krav som ställs på framställande av kvalificerade elektroniska underskrifter möjlig- görs elektronisk underskrift i sådana utländska e-tjänster. Både den finska och den estniska statliga e-legitimationen uppfyller kraven för kvalificerade elektroniska underskrifter.22

För att utfärda kvalificerade elektroniska certifikat krävs att ut- färdaren beviljas status som kvalificerad tillhandahållare av betrodda tjänster av den nationella tillsynsmyndigheten (artikel 20 och 21 i eIDAS-förordningen). Den kvalificerade tillhandahållaren av betrodda tjänster står därefter under tillsyn av den nationella tillsynsmyndig- heten, Post- och telestyrelsen, och ska bl.a. löpande genomgå för- nyade bedömningar. Som framgår av avsnitt 5.9 ställs även särskilda krav på de tekniska egenskaperna för framställning av kvalificerade elektroniska underskrifter.

21Europeiska unionens eIDAS Trusted list https://webgate.ec.europa.eu/tl-browser/#/ Hämtad 2019-02-12.

22Europeiska unionens eIDAS Trusted list https://webgate.ec.europa.eu/tl-browser/#/ Hämtad 2019-02-12.

337

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

Om Polismyndigheten som utfärdare av den statliga e-legitima- tionen blir en kvalificerad tillhandahållare av betrodda tjänster och står under tillsyn och krav på löpande revision innebär det en till- kommande kostnad. Även kostnaden för varje enskild e-legitimation ökar eftersom den behöver uppfylla särskilda tekniska krav.

Mot bakgrund av den nuvarande behovsbilden när det gäller elek- troniska underskrifter i svenska e-tjänster är det enligt vår mening svårt att motivera den ökade komplexitet och kostnad som följer av kraven på särskilda tekniska och säkerhetsmässiga egenskaper i e- legitimationen för att kunna framställa kvalificerade elektroniska underskrifter.

Ett mer kostnadseffektivt alternativ kan i stället vara att myndig- heten vid särskilt behov kan utfärda den statliga e-legitimationen med ett kvalificerat elektroniskt certifikat och anordning för skap- ande av kvalificerade elektroniska underskrifter. Då kan en kvalifi- cerad elektronisk underskrift vid användning av utländska digitala tjänster tillhandahållas de personer och företag som har behov av det, utan att det orsakar onödiga kostnader för utfärdande av majori- teten av e-legitimationerna. En fördjupad analys vid utvecklingen av den statliga e-legitimationen kan dock visa att kostnaden för att förse samtliga e-legitimationer med förmåga att framställa kvalifi- cerade elektroniska underskrifter är så pass låg att det ändå kan vara samhällsekonomiskt motiverat trots den nuvarande behovsbilden.

Vi föreslår mot denna bakgrund att det uppställs ett krav på att den statliga e-legitimationen ska kunna användas för att skapa en avancerad elektronisk underskrift enligt eIDAS-förordningen. Det är dock lämpligt att Polismyndigheten i enlighet med vad vi anfört ovan utreder förutsättningarna för att utfärda en statlig e-legitimation som kan användas för att framställa en kvalificerad e-underskrift.

Det är viktigt att den terminologi som används i den nationella regleringen följer begreppsutvecklingen inom EU och att e-under- skriften uppfyller de krav som vid var tid uppställs i eIDAS-förord- ningen. Hänvisningen till eIDAS-förordningen bör därför göras dynamisk vilket innebär att den avser förordningen i dess vid varje tidpunkt gällande lydelse.

338

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

12.10 Den statliga e-legitimationens innehåll

Utredningens förslag: Regeringen eller den myndighet som reger- ingen bestämmer ska kunna meddela föreskrifter om vilka upp- gifter som den statliga e-legitimationen ska innehålla.

Den statliga e-legitimationen ska enligt det förslag till lag som Ut- redningen om effektiv styrning av nationella digitala tjänster lämnat innehålla uppgift om innehavarens nuvarande efternamn och för- namn, födelsedatum samt personnummer. Detta är uppgifter som, enligt minimikrav som gäller enligt en genomförandeförordning till eIDAS-förordningen23, ska finnas vid gränsöverskridande identifie- ring. Eftersom syftet är att den statliga e-legitimationen ska kunna anmälas för användning inom EU enligt eIDAS-förordningen är det nödvändigt att den innehåller de uppgifter som krävs enligt det regel- verket.

De flesta personer som kommer att kunna få en statlig e-legiti- mation har ett personnummer. Eftersom e-legitimationen ska kunna utfärdas till alla svenska medborgare finns det dock ett behov av att den även innehåller samordningsnummer i vissa fall. Svenska med- borgare som är födda utomlands och som aldrig har varit folkbok- förda i Sverige har nämligen inte något personnummer. Den statliga e-legitimationen måste därför utfärdas med samordningsnummer i stället för personnummer för dessa personer.

Enligt vår bedömning är det dock inte nödvändigt att i lag reglera e-legitimationens innehåll. För det fall det uppstår behov av att upp- ställa krav på e-legitimationens innehåll bör detta kunna göras ge- nom föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.

23Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transak- tioner på den inre marknaden.

339

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

12.11 Ansökningsförfarandet

Utredningens förslag: En statlig e-legitimation ska utfärdas efter ansökan. Ansökningsförfarandet ska följa processen för ansökan om statligt identitetskort.

Av tillitsramverket följer att en e-legitimation får utfärdas endast på begäran av sökanden eller genom annat likvärdigt acceptförfarande och först sedan sökanden har uppmärksammats på villkoren för ut- färdandet och det ansvar som kan komma att vila på sökanden. Syftet med att utfärdandet ska ske på sökandens initiativ är att motverka att någon tilldelas en e-legitimation per automatik utan att det står klart för personen att så sker. Mot den bakgrunden anser vi att det i lagen om statliga identitetshandlingar bör införas ett krav om att utfärdande endast får ske efter ansökan.

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit bestämmelser som innehåller krav på den ansökan som ska göras. Det föreskrivs bl.a. att sökanden ska inställa sig person- ligen och styrka sin identitet. Att sökanden ska identifieras vid ett personligt besök följer av de krav som ställs enligt tillitsramverket. Där anges att utfärdaren ska kontrollera sökandens identitet vid ett personligt besök, på likvärdigt sätt som vid utgivning av en fullgod identitetshandling. I den vägledning24 som kompletterar tillitsram- verket anges att kravet innebär att det förväntas att sökanden styrker sin identitet med en fullgod identitetshandling som han eller hon redan innehar. De alternativa sätt som utfärdare av fysiska identitets- handlingar tillämpar för att identifiera personer som saknar en full- god identitetshandling bör i normalfallet inte tillämpas. Saknas full- god identitetshandling bör i stället sökanden skaffa en sådan innan e-legitimationen utfärdas.

Vi föreslår att utfärdande av den statliga e-legitimationen ska följa processen för utfärdande av det statliga identitetskortet. Lagen om statliga identitetshandlingar kommer enligt vårt förslag att innehålla krav på personlig inställelse och styrkande av identiteten. Om sök- anden inte har en statlig fysisk identitetshandling föreslår vi att iden- titeten ska kunna styrkas på andra sätt. Bedömningen i vägledningen

24E-legitimationsnämndens Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation version 2018-02-01.

340

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

att sådana alternativa sätt att identifiera sig normalt inte ska tillämpas vid utfärdande av e-legitimation utan att sökanden normalt bör skaffa en identitetshandling innan en e-legitimation utfärdas är inte relevant i den situation som nu är aktuell. Skrivningen torde handla om situationer där det inte är samma aktör som utfärdar identitets- handlingen och e-legitimationen. Eftersom utfärdandet av den stat- liga e-legitimationen ska göras i samma förfarande som utfärdandet av det statliga identitetskortet åstadkoms den säkerhet som är syftet med skrivningen i vägledningen. Det gäller även den e-legitimation som i dag finns på identitetskort för folkbokförda i Sverige. Det inne- bär att även alternativa sätt att styrka identiteten tillämpas vid utfär- dande av den e-legitimationen. Vi bedömer att identitetskontrollen kommer att uppnå den säkerhet som krävs enligt tillitsramverket.

Som framgått ovan uppställer alltså tillitsramverket krav på att utfärdaren ska kontrollera sökandens identitet vid ett personligt be- sök, på likvärdigt sätt som vid utgivning av en fullgod identitets- handling. Vi har i avsnitt 10.2.7 föreslagit att personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten under vissa förutsättningar ska kunna göra en ansökan om statligt identitetskort genom bud. Dessa per- soner kommer alltså inte själva besöka den utfärdande myndigheten.

Det är enligt vår mening av stor vikt att staten tar ansvar för att se till att de som har behov av en e-legitimation ska kunna få en stat- lig e-legitimation utfärdad. Det är sannolikt så att personer som på grund av svårighet att röra sig utanför hemmet eller vårdinrättningen har störst behov att ta del av samhällets tjänster digitalt med hjälp av e-legitimation. Det kan t.ex. gälla beställning av medicin och andra varor på internet, bankärenden eller ärenden hos Försäkringskassan och Skatteverket.

Även om de personer det nu är fråga om inte själva kommer att inställa sig hos den utfärdande myndigheten har vi gjort bedöm- ningen att det förfarande vi föreslår i avsnitt 10.2.7 uppnår en sådan säkerhet att ett statligt identitetskort ska kunna utfärdas. Förfaran- det innebär bl.a. att budet kommer att inställa sig personligen i sam- band med att ansökan lämnas in varvid dennes identitet ska kon- trolleras. Sökandens identitet kontrolleras bl.a. genom granskning av den identitetshandling som budet visar upp och de handlingar som bifogas ansökan.

341

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

Tillitsramverkets krav på identitetskontroll vid personligt besök på likvärdigt sätt som vid utgivning av en identitetshandling bör enligt vår bedömning tolkas mot bakgrund av vad som anges i genom- förandeförordningen till eIDAS-förordningen.25 När det gäller styrk- ande och kontroll av identitet anges i 2.1.2 i bilagan att för att upp- fylla den högsta tillitsnivån enligt eIDAS-förordningen ska samma förfaranden som används på nationell nivå i medlemsstaten av den enhet som ansvarar för registreringen för att erhålla ett erkänt foto- grafiskt eller biometriskt identifieringsbevis tillämpas. En ansökan genom bud kan därmed enligt vår bedömning godtas enligt genom- förandeförordningen eftersom det sker enligt samma förfarande som vid utfärdande av en fullgod identitetshandling. Tillitsramverket bör tolkas på samma sätt som genomförandeförordningen. Även de per- soner som gör ansökan genom bud bör därför kunna få en statlig e- legitimation utfärdad. Det kan dock övervägas om en justering bör göras i tillitsramverket och den tillhörande vägledningen för att för- tydliga att det förfarande vi föreslår är godkänt enligt ramverket.

Utfärdande av den statliga e-legitimationen ska alltså följa pro- cessen för utfärdande av det statliga identitetskortet. Några särskilda bestämmelser om ansökan om en statlig e-legitimation är mot bak- grund av vad som anförts ovan inte nödvändiga. I lagen om statliga identitetshandlingar bör i stället införas en bestämmelse om att det som anges om ansökan om identitetskort gäller både för en ansökan om statligt identitetskort och för en ansökan om statlig e-legiti- mation. De övriga krav som ställs enligt tillitsramverket, som t.ex. kontroll mot ett officiellt register, måste naturligtvis också beaktas vid ansökan. Det följer av de bestämmelser vi föreslår i avsnitt 12.8.

25Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transak- tioner på den inre marknaden.

342

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

12.12 Utlämnande

Utredningens bedömning: En statlig e-legitimation ska lämnas ut enligt den process som gäller för statligt identitetskort.

En e-legitimation på högsta tillitsnivån ska enligt tillitsramverket till- handahållas vid ett personligt besök efter en identitetskontroll som motsvarar den som görs vid utgivning av en fullgod identitetshand- ling. Vidare anges att den kod som ska användas för att aktivera e- legitimationen av säkerhetsskäl ska tillhandahållas separat från själva identitetshandlingen.

Även utlämnandet av den statliga e-legitimationen kommer att följa processen för det statliga identitetskortet. Lagen om statliga identitetshandlingar kommer enligt vårt förslag att innehålla krav på personlig inställelse och bestämmelser om styrkande av identitet. Genom dessa bestämmelser uppnås den säkerhet som krävs enligt tillitsramverket. Några särskilda bestämmelser om utlämnande av en statlig e-legitimation bedömer vi därför inte är nödvändiga. Att även tillitsramverkets krav på att koden till e-legitimationen inte ska läm- nas ut vid samma förfarande som utlämnande av själva handlingen ska följas, framgår redan av vårt förslag i avsnitt 12.8.

12.13Föreskrifter om användning av den statliga e-legitimationen

Utredningens förslag: Regeringen eller den myndighet som reger- ingen bestämmer ska få meddela föreskrifter om villkor för när och hur den statliga e-legitimationen får användas.

Genom att använda sig av den statliga e-legitimationen möjliggörs ett helt elektroniskt ansökningsförfarande för andra utfärdares e- legitimationer på de tillitsnivåer det är tillåtet. Genom införandet av en statlig e-legitimation på den högsta tillitsnivån som utfärdas av en myndighet efter samma säkra process som det statliga identitetskortet skapas förutsättningar även för andra aktörer att kunna lita på iden- titetshandlingen. För att den statliga e-legitimationen ska kunna an-

343

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

vändas måste det etableras en relation mellan den som behöver kon- trollera innehavarens identitet (den förlitande aktören) och utfär- daren. Detta krävs eftersom utfärdaren vid varje användning under identitetshandlingens hela giltighetstid måste utföra en identitets- kontroll.

Även om avsikten är att den statliga e-legitimationen ska kunna användas inom stora delar av samhället bedömer vi att det finns ett behov av att kunna meddela föreskrifter om villkor avseende i vilka situationer eller hos vilka aktörer den statliga e-legitimationen ska kunna användas. Det kan t.ex. behöva regleras vilka krav som ska ställas för att en aktör ska få använda identifiering med den statliga e-legitimationen i sin e-tjänst. Sådana villkor kan exempelvis behöva ställas upp för att säkerställa att den statliga e-legitimationen inte kan användas i oseriösa sammanhang. Regeringen eller den myndig- het regeringen bestämmer bör därför få meddela föreskrifter om vill- kor för när den statliga e-legitimationen får användas.

Syftet är att den statliga e-legitimationen ska kunna användas för att identifiera användare i olika e-tjänster hos både myndigheter och privata aktörer. Som anges i avsnitt 12.3 bör den även kunna användas vid s.k. id-växling, dvs. vid identifiering som görs vid utfärdande av en annan e-legitimation. På så sätt blir även utfärdandet av den andra e-legitimationen säkrare. Det underlättar också för utfärdaren efter- som denne i många fall annars skulle behöva utföra en egen grund- identifiering med fysisk identitetskontroll.

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit att det i lag ska regleras att den statliga e-legitimatio- nen ska få användas vid identifiering som sker vid utfärdande av en annan e-legitimation.26 Vi bedömer dock inte att det är nödvändigt att reglera en skyldighet för den utfärdande myndigheten att tillåta sådan användning i lag. Det finns inte något förbud mot sådan an- vändning. Om någon reglering inte införs gäller därför att den stat- liga e-legitimationen får användas i dessa sammanhang. För det fall det framöver trots allt finns behov av en författningsreglering bör en sådan bestämmelse kunna meddelas i förordning.

Utredningen om effektiv styrning av nationella digitala tjänster har även föreslagit att det i lag ska regleras att myndigheter ska er- känna identifiering med den statliga e-legitimationen. Utredningen

26SOU 2017:114 s. 202 ff.

344

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

anför som skäl att den statliga e-legitimationen ska vara en grundbult i den offentliga förvaltningen.27 Även vi är av uppfattningen att den statliga e-legitimationen ska kunna användas vid identifiering i e-tjäns- ter i den offentliga sektorn. Vi utgår ifrån att myndigheterna i sam- arbete med den utfärdande myndigheten ser till att möjliggöra en sådan identifiering. Någon lagreglerad skyldighet ser vi dock för när- varande inte behov av att införa. För det fall det framöver trots allt uppkommer ett behov av styrning i frågan bedömer vi att det kan ske på annat sätt.

12.14 Giltighetstid

Utredningens förslag: En statlig e-legitimation ska ha samma giltighetstid som det statliga identitetskort den finns på.

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit att en bestämmelse om att den statliga e-legitimationen ska ha samma giltighetstid som den fysiska identitetshandling som den finns på ska tas in i lag. Giltighetstiden för e-legitimationer ska enligt tillitsramverket begränsas med hänsyn till handlingens säker- hetsegenskaper och riskerna för missbruk. Giltighetstiden får vara högst fem år. I den vägledning som kompletterar tillitsramverket anges att det för de typer av e-legitimationer vars koder löper större risk att röjas till obehöriga är rimligt att begränsa giltighetstiden till kortare tid än fem år. Det rör sig framför allt om e-legitimationer som innebär enfaktorsautentisering med personlig kod eller som inte baseras på en personlig säkerhetsmodul.

Den statliga e-legitimationen innebär autentisering med hjälp av två faktorer, dels e-legitimationen på id-kortet (den personliga säker- hetsmodulen), dels den personliga koden. Vi bedömer därför att det normalt inte finns anledning att begränsa giltighetstiden till kortare tid än fem år. Att e-legitimationen är giltig i fem år innebär också att den får samma giltighetstid som det statliga identitetskort den finns på vilket är en klar fördel.

27Ibid. s. 201.

345

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

Vi har i avsnitt 11.4.4 föreslagit att identitetskort som utfärdas för sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck och sökande som kan antas komma att förlora eller befrias från sitt svenska medborgarskap ska ha kortare giltighetstid än fem år. Även för dessa sökande bör den statliga e-legitimationen ges samma giltighetstid som id-kortet.

En bestämmelse om att den statliga e-legitimationen ska ha samma giltighetstid som det identitetskort den finns på bör därför införas i den nya lagen om statliga identitetshandlingar.

12.15 Återkallelse

Utredningens förslag: Den statliga e-legitimationen ska upphöra att gälla om det statliga identitetskort som den finns på återkallas.

Den statliga e-legitimationen ska dessutom återkallas av Polis- myndigheten om det är nödvändigt av säkerhetsskäl.

Om det är lämpligt med hänsyn till omständigheterna kan återkallelsen begränsas till viss bestämd tid, dock högst sex måna- der. Återkallelsen ska hävas så snart de omständigheter som på- kallat den har upphört.

Utredningen om effektiv styrning av nationella digitala tjänster har lämnat förslag på bestämmelser som reglerar under vilka förutsätt- ningar den statliga e-legitimationen ska spärras. Enligt förslaget ska e-legitimationen spärras om det fanns hinder mot att utfärda den vid tiden för utfärdandet och hindret fortfarande består, någon väsentlig uppgift som framgår av e-legitimationen är felaktig och inte längre gäller eller någon annan förfogar över e-legitimationen. Förutsätt- ningarna för att spärra e-legitimationen motsvarar i huvudsak de förutsättningar vi föreslagit för återkallelse av det statliga identitets- kortet.

Behovet av att återkalla e-legitimationen torde oftast sammanfalla med behovet av att återkalla det fysiska id-kortet. Eftersom det med våra förslag inte är möjligt att inneha en statlig e-legitimation utan att samtidigt ha ett giltigt statligt identitetskort, ska e-legitimationen upphöra att gälla om det statliga identitetskortet återkallas. En be- stämmelse om detta bör införas i lagen om statliga identitetshand- lingar.

346

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

Utöver de återkallelsegrunder som gäller för det fysiska id-kortet kan det finnas situationer då en säkerhetsrisk upptäcks som enbart påverkar e-legitimationen och inte det fysiska kortet. Det kan t.ex. röra situationer med bedräglig användning av e-legitimationen som rör ett stort antal användare. Det kan också vara fråga om att en enskild e-legitimation används på ett sätt som gör att misstanke om bedräglig användning uppstår. Sådana säkerhetsrisker innebär inte nödvändigtvis att existensen av det fysiska id-kortet behöver ifråga- sättas. Enligt vår bedömning finns det därför ett behov av en särskild grund för återkallelse som enbart gäller den statliga e-legitimationen. Den statliga e-legitimationen bör därför kunna återkallas utan att den fysiska handlingen återkallas om säkerhetsskäl påkallar det. En bestämmelse om detta bör införas i den nya lagen om statliga identi- tetshandlingar.

Mot bakgrund av de omständigheter som kan föranleda en åter- kallelse av enbart e-legitimationen får det antas att Polismyndigheten är bäst lämpad att fatta ett sådant beslut. Utlandsmyndigheterna bör således inte besluta i dessa ärenden. En bestämmelse som reglerar detta bör införas i förordningen om statliga identitetshandlingar.

En statlig e-legitimation som har återkallats eller upphört att gälla bör, på samma sätt som en fysisk identitetshandling, göras obrukbar. Det kan ske genom att den spärras elektroniskt så att den inte längre kan användas. Något krav på att handlingen ska lämnas in i de fall endast den statliga e-legitimationen återkallas, på det sätt som gäller när det fysiska id-kortet återkallas, är däremot inte lämpligt att in- föra. Detta eftersom det fysiska identitetskortet i dessa fall bör kunna användas trots att e-legitimationen är återkallad och spärrad.

Om en säkerhetsbrist upptäcks skulle det i något fall kunna vara nödvändigt att återkalla e-legitimationen mycket skyndsamt och utan att fullständigt underlag finns. Behovet kan uppstå antingen för en enstaka handling eller för ett stort antal handlingar samtidigt. Vi ser därför ett behov av att möjliggöra en tillfällig återkallelse av e-legi- timationen när det finns en misstanke om att en situation som möj- liggör bedräglig användning av e-legitimationen har uppstått. Om det efter en mer utförlig utredning visar sig att säkerhetsbristen inte var så allvarlig som inledningsvis befarats bör det vara möjligt att häva återkallelsen. Bestämmelser om återkallelse under viss begrän- sad tid bör därför införas. En sådan tillfällig återkallelse bör begrän- sas till högst sex månader.

347

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

Den tillfälliga återkallelsen bör hävas så snart de omständigheter som påkallat återkallelsen har upphört. Efter att återkallelsen hävts ska e-legitimationen kunna användas på nytt. Om innehavaren inte längre önskar använda e-legitimationen kan han eller hon spärra den, se nedan.

Av 25 § första stycket 3 förvaltningslagen framgår att en myndig- hets beslut får meddelas omedelbart utan föregående kommunika- tion med parten om ett väsentligt allmänt eller enskilt intresse kräver det. Ett beslut om återkallelse under begränsad tid bör därför ofta kunna fattas utan att parten underrättas i förväg.

Även vid en återkallelse under begränsad tid måste åtgärder vidtas av den utfärdande myndigheten för att se till att identitetshandlingen inte kan användas. Spärren måste dock göras på ett sätt som möjlig- gör att handlingen åter kan användas om återkallelsen hävs. Om säker- hetsbristen däremot visar sig vara av sådant slag att e-legitimationen inte längre bör få användas får i stället ett beslut om permanent åter- kallelse fattas och handlingen göras permanent obrukbar.

Den statliga e-legitimationen måste naturligtvis också kunna spär- ras efter anmälan av innehavaren på samma sätt som är möjligt beträff- ande de fysiska identitetshandlingarna, se t.ex. 3 kap. 1 § Rikspolis- styrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14). En spärr kan exempelvis aktualiseras om e-legitimationen kommit bort eller blivit stulen. En sådan åtgärd sker på initiativ av innehavaren och utgör inte återkallelse i den mening som avses i lagen. Att ut- färdaren ska tillhandahålla en spärrtjänst följer också av tillitsram- verket. I den mån det finns behov att utöver det som anges i tillits- ramverket reglera förfarandet vid spärr på innehavarens begäran kan detta ske genom myndighetsföreskrifter.

12.16 Behandling av personuppgifter

Utredningens förslag: Det register som ska finnas enligt den nya lagen om statliga identitetshandlingar ska innehålla uppgift om den information som finns i den statliga e-legitimationen och om att e-legitimationen har förlustanmälts eller återkallats och vad som har utgjort skälet till detta.

348

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

Personuppgifterna i registret ska, förutom om det behövs i den utfärdande myndighetens verksamhet för utfärdande av statligt iden- titetskort, även få behandlas om de behövs för utfärdande av stat- lig e-legitimation.

Utredningens bedömning: Något krav på att den utfärdande myndigheten ska föra register över andra e-legitimationer som utfärdats på grundval av identifiering med den statliga bör inte införas.

Rättslig grund för behandling av personuppgifter som avser den statliga e-legitimationen

Elektronisk identifiering förutsätter att personuppgifter behandlas. Polismyndigheten kommer därför att behöva behandla vissa person- uppgifter kopplade till de e-legitimationer som utfärdas. Den statliga e-legitimationen kommer att innehålla personuppgifter såsom namn och personnummer. Det finns också behov av att behandla vissa and- ra uppgifter som t.ex. uppgift om återkallelse, spärr och giltighetstid. Uppgifterna behöver exempelvis behandlas i samband med att Polis- myndigheten tar emot ansökningar, registrerar uppgifter, utfärdar och lämnar ut e-legitimationer samt tillhandahåller spärrfunktioner. Ett register innehållande uppgifter om användare och utfärdade e- legitimationer ska vidare föras enligt tillitsramverket. Personuppgif- ter kommer också att behandlas i samband med att e-legitimationen används för att myndigheten ska kunna göra identitetskontroll och skicka identitetsintyg till den förlitande aktören.

Utredningen om effektiv styrning av nationella digitala tjänster har gjort bedömningen att den statliga e-legitimationen bör omfattas av de bestämmelser om behandling av personuppgifter som gäller för den fysiska identitetshandlingen som är bärare av e-legitimationen. Utredningen har inte lämnat några författningsförslag i denna del.28

Den nya lagen om statliga identitetshandlingar kommer enligt våra förslag att innehålla bestämmelser om att den utfärdande myn- digheten ska föra register med uppgifter om id-korten. Vi föreslår också bl.a. bestämmelser om för vilka ändamål personuppgifter får behandlas och vilka uppgifter som ska finnas i registren. Utöver dessa

28SOU 2017:114 s. 205 ff.

349

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

bestämmelser finns inte någon särskild reglering avseende den be- handling av personuppgifter som sker inom verksamheten avseende utfärdande av id-kort. Den behandling av personuppgifter som ut- förs vid den utfärdande myndigheten, som inte avser registret, om- fattas därmed i huvudsak av den generella regleringen i dataskydds- förordningen. Detsamma kommer att gälla för den behandling av personuppgifter som Polismyndigheten kommer att behöva utföra med anledning av utfärdande av e-legitimation.

I avsnitt 10.3.1 har vi i relevanta delar redogjort för vilka krav dataskyddsförordningen ställer för att behandling av personuppgif- ter ska få utföras. Som anges där krävs att det finns en rättslig grund för behandlingen enligt artikel 6.1 i dataskyddsförordningen. Behand- lingen i registret över id-korten sker huvudsakligen med stöd av artikel 6.1 e i dataskyddsförordningen eftersom den är nödvändig för att utföra en uppgift av allmänt intresse. För att det överhuvud- taget ska vara möjligt att utfärda och använda en e-legitimation måste personuppgifter behandlas. Den behandling som behöver göras i sam- band med utfärdande och användning av den statliga e-legitima- tionen är nödvändig för att Polismyndigheten ska kunna uppfylla sitt ansvar som utfärdare. Även denna behandling får därför anses nödvändig för att utföra en uppgift av allmänt intresse.

Grunden för behandlingen kommer enligt våra förslag att vara fastställd i författning på det sätt som krävs med hänsyn till arti- kel 6.3 i dataskyddsförordningen. Även kravet på proportionalitet, liksom övriga villkor enligt artikel 6.3 i dataskyddsförordningen be- döms vara uppfyllda. Vid behandlingen måste även övriga bestäm- melser i EU:s dataskyddsförordning och dataskyddslagen tillämpas. Hänsyn måste exempelvis tas till de allmänna principerna i artikel 5, regleringen avseende den registrerades rättigheter och bestämmel- serna om säkerhet för personuppgifter.

Som anges ovan uppställer tillitsramverket krav på att utfärdaren, med beaktande av tillämpliga regler för persondataskydd, ska föra register över användare och e-legitimationer. Syftet med registret är att utfärdaren ska kunna fullfölja de förpliktelser som följer av tillits- ramverket. Vi har i avsnitt 10.3.4 föreslagit att det i förordningen om

350

SOU 2019:14

En statlig e-legitimation på fysiska identitetshandlingar

statliga identitetshandlingar ska tas in en bestämmelse om vilka upp- gifter som ska finnas i id-kortsregistret. Flera av de uppgifter som anges där, t.ex. uppgifter om sökandens namn, personnummer, dag för utfärdande och giltighetstid, kommer att vara gemensamma för id-kortet och e-legitimationen. För att tydliggöra att även uppgifter om utfärdade e-legitimationer ska registreras bör den föreslagna be- stämmelsen utformas så att även uppgift om den information som finns i e-legitimationen som identitetskortet har försetts med ska registreras. Även uppgift om att e-legitimationen har förlustanmälts eller återkallats och skälen för detta bör, på samma sätt som för det statliga identitetskortet, finnas i registret.

Genom dessa förslag kommer behandlingen av uppgifter om den statliga e-legitimationen i registret att omfattas av samma bestäm- melser som gäller för det statliga identitetskortet. Den i avsnitt 10.3.2 föreslagna ändamålsbestämmelsen bör även omfatta den behandling som behövs i den utfärdande myndighetens verksamhet för utfär- dande av statlig e-legitimation.

Uppgifter om andra e-legitimationer som har utfärdats efter identifiering med den statliga

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit lagreglering av vissa informationsplikter. Det första fallet gäller en situation då en statlig e-legitimation används som underlag vid ansökan om en annan e-legitimation. Utredningen föreslår i det fallet att den andra utfärdaren då ska informera den utfärdande myn- digheten, som i sin tur ska föra register över informationen. Utred- ningen har vidare föreslagit att den utfärdande myndigheten ska informera de andra utfärdarna om den statliga e-legitimationen spärras. Syftet med förslagen är att kopplingen mellan den statliga e-legi- timationen och handlingar som utfärdas på grundval av identifiering med denna ska vara intakt för att härigenom skapa ett tillförlitligt system.29

De förslag som lämnats i dessa delar har den fördelen att även andra e-legitimationer som utfärdats på grundval av en identifiering med en statlig e-legitimation, som exempelvis utfärdats på felaktiga grunder, kan dras in om den statliga handlingen återkallas. Det är

29Ibid. s. 204.

351

En statlig e-legitimation på fysiska identitetshandlingar

SOU 2019:14

givetvis viktigt att andra utfärdare kan lita på den statliga e-legiti- mationen.

Även om vi ser fördelar med förslaget ur ett säkerhetsperspektiv, finns det enligt vår uppfattning flera skäl som talar emot att införa en sådan skyldighet.

Ett skäl som talar emot är de integritetsrisker som följer med ett sådant förslag. Andra utfärdare av e-legitimationer måste föra egna register över utfärdade handlingar. Om Polismyndigheten också ska registrera uppgifter om dessa handlingar innebär det en omfattande behandling av personuppgifter. En stor mängd registreringar av in- tegritetskänsliga personuppgifter innebär i sig en integritetsrisk.

Frågan är också hur de underrättelser som ska göras enligt för- slaget ska gå till i praktiken. Det rör sig om integritetskänslig infor- mation som måste förmedlas på ett säkert sätt mellan utfärdaren och Polismyndigheten. Eftersom inte fler personuppgifter än vad som be- hövs ska behandlas finns det ett behov av att hålla registret aktuellt och exempelvis gallra uppgifter om andra e-legitimationer som senare spärrats eller upphört att gälla. Detta medför att ytterligare uppgifter behöver överföras till Polismyndigheten från de andra utfärdarna.

Det är vidare inte säkert att det finns anledning att spärra en annan e-legitimation bara för att den statliga spärras. En säkerhets- brist eller en senare inträffad omständighet kan vara av sådant slag att den endast utgör skäl att återkalla den statliga e-legitimationen medan den andra handlingen kan fortsätta att användas utan att det innebär någon risk. En spärr som exempelvis görs för att innehav- aren har tappat sitt id-kort har ingen betydelse för säkerheten i den andra e-legitimationen. För att underrättelserna från Polismyndig- heten om att den statliga e-legitimationen har spärrats ska vara av nytta för den andra utfärdaren behöver därför även uppgifter om skälet till spärren överföras vilket leder till en än mer omfattande personuppgiftsbehandling.

Förslaget medför inte bara integritetsmässiga utmaningar utan även en omfattande administrativ börda för såväl andra utfärdare som för Polismyndigheten. Vi är mot denna bakgrund inte övertygade om att nyttan med ett sådant register väger upp de integritetsrisker och den ökade administration det innebär. Något krav på att regi- strera och informera om spärr av e-legitimationen finns inte heller i tillitsramverket. Vi lämnar därför i nuläget inte något sådant förslag.

352

13Kontroll av identitetshandlingars äkthet och giltighet

13.1Vårt uppdrag

Vi har i uppdrag att kartlägga hur verifieringen av identitetshand- lingars äkthet och giltighet görs i dag. Vi beskriver därför nedan hur kontroller av de fysiska identitetshandlingar som i dag är allmänt accepterade görs. Redogörelsen avser alltså kontroll av pass, natio- nellt identitetskort, identitetskort för folkbokförda i Sverige, kör- kort och SIS-märkt identitetskort.

Förutom att göra denna kartläggning har vi även i uppdrag att ana- lysera och föreslå hur verifiering av äkthet och giltighet av identitets- handlingar kan förbättras och lämna nödvändiga författningsförslag. Sådana förslag lämnas i olika delar av detta betänkande och samman- fattas nedan. Eftersom vi i avsnitt 8.6 har föreslagit att endast pass och statligt identitetskort (de statliga fysiska identitetshandling- arna) ska vara godtagbara fysiska identitetshandlingar i alla situationer begränsas framställningen i denna del till att avse de handlingarna.

Det kan inledningsvis konstateras att det inte är alldeles enkelt att särskilja den kontroll som görs av handlingarnas äkthet och giltig- het från kontrollen av identiteten. Kontrollerna görs i ett samman- hang och rekommendationerna i handboken De 7 stegen avser såväl identitetskontrollen som verifieringen av handlingens äkthet och giltig- het. Vissa kontroller kan dessutom avse äkthet, giltighet och identi- tet på samma gång. Vi har försökt avgränsa detta avsnitt till just kon- troll av äkthet och giltighet men det är oundvikligt att vi i några sammanhang även kommer in på sådant som är att hänföra till kon- troll av identiteten.

353

Kontroll av identitetshandlingars äkthet och giltighet

SOU 2019:14

13.2Dagens kontroll av äkthet och giltighet

Det finns inte någon infrastruktur för kontroll av fysiska identitets- handlingar i realtid hos utfärdaren till skillnad från när det gäller både e-legitimation och bankkort. Det är i stället den som identitetshand- lingen visas upp för som själv ansvarar för att bedöma om handlingen är äkta och giltig. Kontroll av om en identitetshandling är äkta kan i huvudsak endast göras genom att de säkerhetsdetaljer som finns på handlingen granskas manuellt. För att ta reda på om handlingen är giltig kan en kontroll göras hos utfärdaren.

I handboken De 7 stegen finns rekommendationer om vilka åt- gärder som bör vidtas för att kontrollera identitetshandlingens äkt- het och giltighet. Handboken fungerar som en branschstandard och används förutom av bankerna även av handeln.

Enligt De 7 stegen ska en kontroll av om en identitetshandling är äkta göras på följande sätt. För det första ska personalen göra en kontroll av att handlingen inte är ändrad eller skadad genom att klämma, känna och vippa på handlingen. Vidare ska en kontroll av att UV-trycket är korrekt göras med hjälp av en UV-lampa. Om den som kontrollerar handlingen har tillgång till id-kortsskanner används den i stället för UV-lampa för kontrollen. Skannern läser av de op- tiska säkerhetsdetaljerna på handlingen. Förutom UV-trycket finns det ytterligare ett antal synliga säkerhetsdetaljer på de olika identi- tetshandlingarna som kan kontrolleras vid behov. Säkerhetsdetaljer- na kan kontrolleras relativt enkelt utan att någon utrustning används. Vissa kontroller underlättas dock av om lupp eller förstoringsglas används. Det rör sig bl.a. om reliefer, dvs. upphöjda detaljer, av olika slag. På handlingarna finns också en yta med växlande motiv som skiftar när man rör på handlingen. Vidare har flera av handlingarna ett perforerat foto av innehavaren. Handlingarna innehåller också detaljer som skiftar färg.1

En kontroll görs också av om en identitetshandling med de upp- visade uppgifterna har utfärdats och fortfarande är giltig. Detta för- farande kallas vanligen för giltighetskontroll men är egentligen endast en kontroll av om en handling med de aktuella uppgifterna har utfär- dats och att handlingen är giltig och inte har spärrats. Kontrollen validerar alltså inte själva handlingen. Kontrollen omfattar inte heller frågan om det är rätt person som identifierar sig med handlingen.

1Kontroll av ID-handlingar 2018 Dokumentanalysgruppen NFC.

354

SOU 2019:14

Kontroll av identitetshandlingars äkthet och giltighet

Bedömningen av om det är rätt person måste göras av den som iden- titetshandlingen visas upp för.

Beroende på vilken handling det är fråga om görs giltighetskon- trollen genom ett telefonsamtal antingen till utfärdaren eller tillver- karen. Detta görs via tonvalstelefon när det gäller alla utfärdare och tillverkare utom Polismyndigheten. Aktuella telefonnummer framgår av De 7 stegen. Körkortets giltighet kontrolleras hos Transportstyrel- sen. Pass och nationellt identitetskort kontrolleras hos Polismyn- digheten. Identitetskort för folkbokförda i Sverige kontrolleras hos tillverkaren. Eftersom flera olika versioner av identitetskortet är giltiga samtidigt och dessa har olika tillverkare behöver olika till- verkare kontaktas beroende på när id-kortet som ska kontrolleras är utfärdat. De SIS-märkta id-korten kontrolleras också hos tillverk- aren. Även beträffande sådana kort finns det olika telefonnummer beroende på vem som tillverkat det aktuella kortet.

När det gäller de identitetshandlingar som utfärdas av Polismyn- digheten, dvs. pass och nationellt identitetskort, är det numera även möjligt att göra kontrollen genom att använda den e-tjänst som myn- digheten lanserade i januari 2018. E-tjänsten, som nås via Polismyn- dighetens webbsida, kan användas av exempelvis banker eller andra som gör identitetskontroll för att på ett snabbt och enkelt sätt kon- trollera pass och nationella identitetskort. Kontrollen görs genom att identitetshandlingens nummer, personnummer eller samordnings- nummer och giltighetstid skrivs in. Handlingen kontrolleras mot Polismyndighetens resehandlingssystem (RES) och användaren av e-tjänsten får därefter svaret giltig, spärrad eller inget resultat. Inget resultat innebär antingen att identitetshandlingen inte är utfärdad av Polismyndigheten eller att den är förfalskad. E-tjänsten är utformad så att den inte lämnar ut några uppgifter som användaren inte redan förfogar över. Användaren måste fylla i samtliga fält och tjänsten fyller alltså inte i exempelvis fältet för personnummer om det lämnas tomt. E-tjänsten har inneburit att kontrollen av pass och nationella identitetskort har förenklats och effektiviserats. E-tjänsten innebär också en minskad arbetsbelastning för Polismyndighetens växelperso- nal vilket leder till att allmänheten får lättare att nå myndigheten via telefon i andra ärenden.

355

Kontroll av identitetshandlingars äkthet och giltighet

SOU 2019:14

SIS har nyligen tagit fram en standard för webbaserad giltighets- kontroll av identitetshandlingar. Tanken är att utfärdare som till- handahåller giltighetskontroll, liknande den som tagits fram av Polis- myndigheten, ska kunna knytas till en gemensam tjänst.

Förutom den information som finns i De 7 stegen finns det på Polismyndighetens och Skatteverkets webbplatser ytterligare upplys- ningar om de säkerhetsdetaljer som kan kontrolleras för att avgöra om de identitetshandlingar som utfärdas av dessa myndigheter är äkta.

13.3Närmare om problemet

Som framgår av beskrivningen i avsnittet ovan finns det inte någon uppbyggd infrastruktur för automatiserad kontroll av identitets- handlingar i realtid mot utfärdaren. Det är i stället upp till den som identitetshandlingen visas upp för att göra manuella kontroller av handlingen. Kontrollmöjligheterna skiljer sig markant från de kon- troller som kan göras vid användningen av bankkort. Vid betalning med bankkort görs en kontroll i realtid av innehavaren och av hand- lingens giltighet. Vid användning av bankkort i exempelvis en betal- terminal i butik kontrolleras kortets giltighet mot utfärdaren sam- tidigt som användningen av pinkod innebär en kontroll av att det är rätt innehavare. Kontrollerna går mycket snabbt och sker utan hand- larens medverkan. Det är i stället utfärdaren som sköter kontrollen. Detsamma gäller vid användningen av e-legitimation.

Det är visserligen möjligt att avgöra om en identitetshandling är äkta eller falsk genom att granska de säkerhetsdetaljer som ska finnas på handlingen. Eftersom det i dagsläget är många olika handlingar som godtas och därmed många olika säkerhetsdetaljer att hålla reda på är det dock svårt, särskilt för en ovan person eller om situationen är stressad, att göra en sådan kontroll av handlingen eftersom för- falskningar ofta är skickligt gjorda.

Av de tre aktörer som lämnar ut paket och andra försändelser som vi haft kontakt med har två av dem uppgett att de tillämpar branschstandarden i De 7 stegen vid sina utlämningsställen. En aktör har uppgett att man endast skannar identitetshandlingen utan att göra en äkthetskontroll. På vissa ställen används id-kortsskanner.

356

SOU 2019:14

Kontroll av identitetshandlingars äkthet och giltighet

Av Brås rapport om bedrägeribrottslighet framgår att det är oklart hur användandet av De 7 stegen fungerar i praktiken vid utlämning av försändelser vid olika utlämningsställen. Det har framkommit att det ofta anses tillräckligt att titta på fotot på identitetshandlingen och jämföra det med personen. Det kan vara svårt för personalen att i en stressad situation noggrant följa alla steg och göra rätt bedöm- ning. Det upplevs också som oklart vad man ska titta efter och vad uppgifterna på handlingen ska kontrolleras mot. Personalen på utläm- ningsställena upplever därför att de har begränsade möjligheter att avgöra om det är rätt person som hämtar ut en försändelse.2

Att granska identitetshandlingens säkerhetsdetaljer manuellt och att kontakta utfärdaren är tidskrävande. Det finns i och för sig en möjlighet att använda en id-kortsskanner för att kontrollera om en identitetshandling är äkta. Användningen av skanner både förbättrar och effektiviserar kontrollen. Användningen av tekniska lösningar bygger dock på att det finns ett intresse av att köpa in tjänsterna till verksamheten. Skannern är dessutom endast ett hjälpmedel när det gäller äkthetskontrollen vilket innebär att kontroll av giltighet och identitet behöver göras separat. När det gäller giltighetskontrollen finns det, som nämnts ovan, en möjlighet till en enklare kontroll genom att använda den e-tjänst som Polismyndigheten lanserat. Det är dock endast pass och nationella identitetskort som kan kontrolleras

iden nya tjänsten. Även om e-tjänsten används för att kontrollera giltigheten behöver även i detta fall handlingens äkthet och personens identitet kontrolleras.

Ett problem när det gäller kontroll av identitetshandlingar är att det ofta saknas incitament att göra kontrollerna säkrare. I Brås rapport beskrivs de motstående intressen som finns inom näringslivet mellan å ena sidan hög service och försäljning och å andra sidan höjd säker- het. Säkerheten inom näringslivet spelar enligt rapporten en viktig roll eftersom de system som möjliggör handel, är desamma som möjliggör bedrägerier. Att hitta en balans mellan säkerhet och för- säljning upplevs som en utmaning. Upprätthållande av en god service för seriösa kunder innebär att företaget behöver ha viss tillit till sina kunder, samtidigt som företaget inte vill bli för sårbart för bedräge- rier. Företrädare för näringslivet har uttryckt att en höjd säkerhet inte bara leder till att bedragare, utan även seriösa kunder, går till konkurrenter med lägre kontroll vilket leder till minskad försäljning.

2Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 169–180.

357

Kontroll av identitetshandlingars äkthet och giltighet

SOU 2019:14

Andra menar dock att kunder i allmänhet har förståelse för att kon- troller behöver göras, och att det till och med uppskattas. Det är framför allt i branscher med hård konkurrens i kombination med låg samordning av säkerhetsarbetet inom branschen som det finns ett motstånd mot ökad kontroll. Det finns en risk att en låg säkerhets- nivå blir ett sätt att konkurrera om kunderna. Det finns också en större risk för minskade kontroller när det gäller försäljare med pro- visionsbaserad lön.3

Det kan också finnas ett motstånd mot att informera om varför identitetskontrollen behöver skärpas eftersom företagen inte vill för- knippas med risk för brottslighet. Att det inte är företagen som i första hand har den brottsförebyggande funktionen är ytterligare ett skäl som lyfts fram som orsak till varför det saknas incitament att motverka identitetsmissbruk.4

Ytterligare en anledning till att det inte finns så starka incitament för enskilda aktörer att öka kontrollerna är den omständigheten att det ekonomiska ansvaret för varor som hämtas ut av bedragare kan vara delat mellan flera aktörer. Om det är visat att butiken som lämnat ut varan brustit i sin identitetskontroll blir butiken ansvarig. Eftersom det är svårt att bevisa blir det ofta någon annan aktör som står det ekonomiska ansvaret. Detta kan leda till att utlämnings- ställena inte har incitament att skärpa kontrollen. Kostnaden drabbar ofta banken, kreditgivaren eller fraktleverantören. Beroende på hur avtalen ser ut kan kostnaden också delas mellan olika aktörer. Före- trädare för handeln har framfört att fraktleverantörerna och utläm- ningsställena möjliggör bedrägerier genom att ibland ha otillräckliga identitetskontroller.5 Att det ekonomiska ansvaret som regel drabbar näringslivet, som dessutom inte informerar om hur stora kostnad- erna är, medför också att det finns en risk att kunderna inte märker att de drabbas av de ökande bedrägerierna. Kunderna drabbas dock indirekt till följd av att priserna på varor och tjänster kan behöva höjas för att täcka företagens kostnader på grund av bedrägerierna. Att kunderna inte känner till att de drabbas på detta sätt medför att deras förståelse för ökad kontroll kan minska.6

3Ibid. s. 174 f.

4Ibid. s. 169.

5Ibid. s. 169 och s. 180.

6Ibid. s. 228.

358

SOU 2019:14

Kontroll av identitetshandlingars äkthet och giltighet

13.4Förslag som leder till en bättre kontroll av identitetshandlingar

Utredningens bedömning: Följande förslag som lämnas i betänk- andet möjliggör en bättre kontroll av identitetshandlingarnas äkt- het och giltighet.

•Förslaget om att begränsa antalet identitetshandlingar som godtas i situationer som kräver en säker identifiering till pass och statliga identitetskort (statliga fysiska identitetshandlingar).

•Förslaget om att endast Polismyndigheten ska utfärda de stat- liga fysiska identitetshandlingarna.

•Förslaget om att nationellt identitetskort och identitetskort för folkbokförda i Sverige slås samman till ett statligt identi- tetskort.

•Förslaget om att det statliga identitetskortet ska innehålla fingeravtryck och ansiktsbild.

•Förslaget om att staten ska utfärda en e-legitimation som ska finnas på det statliga identitetskortet.

Vårt huvudsakliga uppdrag är att lämna förslag på åtgärder för att skärpa kraven på och rutinerna för svenska identitetshandlingar. Merparten av våra förslag medför därför att möjligheterna att kon- trollera identitetshandlingarna förbättras. I detta avsnitt samman- fattar vi de förslag som lämnas i betänkandet som syftar till att för- bättra kontrollen av identitetshandlingars äkthet och giltighet.

I avsnitt 8.6 föreslår vi att endast pass och statligt identitetskort ska vara statliga fysiska identitetshandlingar och godtas i alla situa- tioner. Förslaget är ett första steg i en utveckling mot att de statliga fysiska identitetshandlingarna på sikt ska vara de enda handlingar som godtas vid kontroller där en persons identitet behöver säker- ställas. Genom en sådan begränsning behöver den som kontrollerar identitetshandlingar ha kunskap om färre handlingar och säkerhets- detaljer. Därmed förenklas och förbättras kontrollen av om hand- lingarna är äkta och ökar sannolikheten att oriktiga identitetshand- lingar upptäcks. Att antalet identitetshandlingar begränsas underlättar också giltighetskontrollen eftersom kontakt då behöver tas med

359

Kontroll av identitetshandlingars äkthet och giltighet

SOU 2019:14

färre utfärdare. Begränsningen av antalet identitetshandlingar är så- ledes en viktig åtgärd för att underlätta kontrollen av identitetshand- lingarnas äkthet och giltighet och därmed minska antalet bedrägerier som utförs med hjälp av förfalskade identitetshandlingar.

Vi föreslår i avsnitt 9.4 att endast Polismyndigheten ska utfärda de statliga fysiska identitetshandlingarna. Genom att endast en myn- dighet utfärdar identitetshandlingarna ökar förutsättningarna för en enhetlig hantering av hela processen från ansökan till utlämnande. Samma rutiner kan användas oavsett vilken identitetshandling som ska utfärdas och personalen kan få samma utbildning. Personalen kommer att hantera en större mängd ansökningar vilket bidrar till att kompetensen kan upprätthållas på ett annat sätt än i dag. Kvali- teten och säkerheten i utfärdandeprocessen kommer därmed att öka vilket leder till att de handlingar som utfärdas blir säkrare. Det gör att även efterföljande användning av handlingarna blir säkrare. Dess- utom innebär förslaget att kontrollen av om handlingen är giltig för- enklas eftersom den som tar emot identitetshandlingen endast be- höver vända sig till Polismyndigheten för att göra kontrollen. Polis- myndigheten har en effektiv e-tjänst vilket möjliggör en snabb och enkel kontroll av handlingens giltighet. Att endast Polismyndig- heten utfärdar handlingarna medför dessutom möjligheter att vidare- utveckla tjänsten så att den på sikt blir helt automatiserad, se av- snitt 9.4.3.

Förslaget i avsnitt 10.2.1 om att nationellt identitetskort och identitetskort för folkbokförda i Sverige ska ersättas av ett statligt identitetskort som ska utfärdas efter samma process bidrar till att säkerhetsfrågorna ges prioritet och kan utvecklas. I samma avsnitt lämnas förslag på säkerhetshöjande åtgärder som t.ex. krav på hur identiteten ska styrkas i samband med utfärdandet. Även dessa för- slag bör leda till en ökad kvalitet och säkerhet i utfärdandeprocessen vilket medför säkrare kort och säkrare identifiering. Att två kort slås samman till ett innebär dessutom att antalet handlingar att kontroll- era begränsas ytterligare.

Våra förslag i avsnitt 11.4.4 och 11.6 att fingeravtryck och ansikts- bild ska lagras i ett lagringsmedium i statliga identitetskort och kon- trolleras i vissa sammanhang leder, förutom till en bättre kontroll av identiteten på den som visar upp handlingen, även till en bättre kon- troll av handlingarnas äkthet i de situationerna. Det kommer att leda

360

SOU 2019:14

Kontroll av identitetshandlingars äkthet och giltighet

till ett säkrare utfärdande och därmed säkrare handlingar. Att hand- lingarna blir säkrare gör att även efterföljande användning av hand- lingarna blir säkrare. Dessutom innebär förslaget att möjligheten att förfalska identitetshandlingarna försvåras.

Förutom de förslag som syftar till att förbättra äkthets- och gil- tighetskontrollen av de fysiska identitetshandlingarna bör vårt för- slag om den statliga e-legitimationen (se avsnitt 12.3) nämnas som en möjlighet att höja säkerheten i kontrollen. Även om användnings- området för en e-legitimation normalt är identifiering som sker på distans finns det som vi ser det inte något hinder mot att den även används i samband med identifiering som sker vid ett personligt möte. PostNord har nyligen lanserat en möjlighet att identifiera sig genom mobilt BankID i en app i mobiltelefonen vid uthämtning av paket. Även den statliga e-legitimationen skulle kunna användas vid exempelvis ett postutlämningsställe för att säkra den identitetskon- troll som görs där. Om e-legitimationen, som aktiveras genom en kod som endast innehavaren känner till, används blir identitetskon- trollen mycket säkrare än en kontroll som enbart görs genom en granskning av den fysiska identitetshandlingen. En kontroll av e- legitimationen skulle också kunna ersätta en kontroll av den fysiska handlingen i de fall det bedöms tillräckligt. Kontrollen skulle på så vis kunna effektiviseras. Eftersom en sådan kontroll innebär att en giltighetskontroll sker i realtid mot ett register skulle en kontroll av enbart e-legitimationen i många fall kunna anses säkrare än enbart en kontroll av en fysisk identitetshandling. Det kan vara svårt för per- sonalen på utlämningsstället att i vissa situationer hindra en person att hämta ut ett paket enbart utifrån en egen bedömning av den fys- iska identitetshandlingen. Om personalen i stället har tillgång till elektronisk identitetskontroll blir det lättare att neka eftersom be- slutet då bygger på den elektroniska kontrollen och inte på den egna bedömningen. En identifiering med e-legitimation är ett mycket snabbt förfarande som sker utan personalens medverkan. Kontrollen sker i realtid, på samma sätt som när bankkort används för betalning, och ger svar på både om det är rätt innehavare och om handlingen är giltig. Utfärdaren ansvarar för giltighetskontrollen samtidigt som användningen av kod innebär en kontroll av att det är rätt innehavare.

För att den elektroniska identitetskontrollen ska kunna göras måste företag som utför identitetskontroller ha en kortläsare för att kunna läsa av informationen i lagringsmediet. Vidare måste, på samma

361

Kontroll av identitetshandlingars äkthet och giltighet

SOU 2019:14

sätt som vid identifiering i en e-tjänst, en relation till utfärdaren upprättas för att företaget ska kunna använda utfärdarens funktion för elektronisk identitetskontroll.

13.5Hur kontrollen av identitetshandlingar ska göras bör inte regleras

Utredningens bedömning: Det bör inte införas något krav i för- fattning avseende den kontroll av identitetshandlingars äkthet och giltighet som bör göras i olika sammanhang där handlingarna kontrolleras.

Vi har ovan konstaterat att det finns vissa problem kopplade till de identitetskontroller som utförs i dag. Vi har också redogjort för de förslag vi har lämnat i olika delar av betänkandet som medför att möjligheterna att kontrollera identitetshandlingarna förbättras. Ut- över dessa förslag har vi övervägt om det även bör införas krav i författning på vilken kontroll som ska göras eller om det är tillräck- ligt att skapa incitament för säkrare kontroller. Att göra en fullstän- dig kontroll i enlighet med De 7 stegens rekommendationer är tids- krävande och svårt. Att kontrollen kan göras snabbt och enkelt är därför en förutsättning för att öka näringslivets intresse av att för- bättra säkerheten.

Som vi redogör för i avsnitt 13.4 menar vi att den statliga e-legiti- mationen som vi föreslår ska finnas på de statliga identitetskorten även bör användas vid identifiering som sker vid ett personligt möte, exempelvis vid ett utlämningsställe. En sådan kontroll går mycket snabbt och sker utan handlarens medverkan. För att kontroll av e-legi- timationen ska kunna göras måste företag som utför identitets- kontroller införskaffa den utrustning som krävs för att kunna läsa av informationen på id-kortets chip. Vidare måste en relation till ut- färdaren av e-legitimationen upprättas för att företaget ska kunna använda utfärdarens funktion för elektronisk identitetskontroll. Det är en förhållandevis liten insats som krävs i ett inledande skede. En- ligt vår bedömning bör införandet av en e-legitimation på id-kort kunna utgöra ett incitament för att få näringslivet att investera i den infrastruktur som behövs för att kunna göra en säkrare kontroll. Befolkningen är van vid att använda kortläsare och kod när betalkort

362

SOU 2019:14

Kontroll av identitetshandlingars äkthet och giltighet

används, varför det kan antas att det kommer att finnas en stor acceptans hos kunderna. Det är ett mycket snabbt förfarande som sker utan handlarens medverkan. Det är vidare en mycket säker kon- troll eftersom den omfattar både att det är rätt innehavare och att handlingen är giltig. Det finns också fördelar ur ett arbetsmiljöper- spektiv eftersom personalen kan grunda sitt beslut att neka någon att exempelvis hämta ut ett paket på en elektronisk kontroll i stället för på den egna granskningen av handlingen.

Som ett alternativ till en kontroll av den statliga e-legitimationen finns den e-tjänst för kontroll av giltighet som Polismyndigheten tagit fram. E-tjänsten möjliggör en snabb och enkel kontroll av hand- lingens giltighet. Att endast en myndighet enligt vårt förslag kommer att utfärda statliga fysiska identitetshandlingar medför dessutom ytterligare möjligheter att vidareutveckla tjänsten så att den på sikt blir helt automatiserad (se avsnitt 9.4.3). Det skulle exempelvis kunna innebära att det vid en avläsning av uppgifter på kortet skickas en automatisk förfrågan till e-tjänsten. Eftersom det för närvarande finns flera utfärdare är lösningen inte möjlig i dag. E-tjänsten är endast ett hjälpmedel i frågan om id-kortet är giltigt men det är inte omöjligt att denna kontroll på sikt skulle kunna kombineras med andra åt- gärder. Ett exempel är att de uppgifter som finns i chipet på den fy- siska identitetshandlingen, dvs. ansiktsbild och övriga uppgifter om innehavaren och handlingen, samtidigt kan visas på handlarens skärm och vara till hjälp i bedömningen av handlingens äkthet och perso- nens identitet.

Genom våra förslag kommer säkrare identitetshandlingar att ut- färdas och mer effektiva och säkra kontroller möjliggöras. Vi bedö- mer att det kommer att innebära att det skapas starka incitament för att utföra säkrare kontroller. Det är därför enligt vår mening i nu- läget inte nödvändigt att införa krav i författning på hur sådana kon- troller ska göras. Vi bedömer att det inte kommer att vara möjligt att göra sådana elektroniska kontroller i alla verksamheter som utför identitetskontroll, vilket medför svårigheter när det gäller tillämp- ningsområdet för en eventuell reglering. Olika verksamheter kräver dessutom olika grad av säkerhet. Att enbart reglera detta för vissa verksamheter är inte lämpligt, eftersom det kan uppfattas som att någon kontroll över huvud taget inte behöver göras i de oreglerade verksamheterna. Vi bedömer därför att det vare sig är nödvändigt eller lämpligt att införa särskilda krav på den kontroll som bör göras

363

14Ikraftträdande och övergångsbestämmelser

14.1Ikraftträdande

Utredningens förslag: Författningsförslagen ska träda i kraft den 1 januari 2022.

För att få största möjliga effekt i arbetet med att bekämpa bedrägeri- brottsligheten bör våra förslag träda i kraft så snart det är möjligt. Samtidigt måste beaktas att förslagen medför ett inte obetydligt om- ställningsarbete, framför allt för Polismyndigheten.

Våra förslag innebär att Polismyndigheten ska överta ansvaret för att utfärda id-kort till personer som är folkbokförda i landet och att ett nytt gemensamt statligt identitetskort ska införas. Polismyndig- heten utfärdar cirka 1,8 miljoner identitetshandlingar per år. Att an- svaret för utfärdande av id-kort för folkbokförda flyttas till myndig- heten innebär en ökning med cirka 160 000 ärenden per år, dvs. en ökning med drygt åtta procent. Ärendetillströmningen på grund av överflyttningen är således inte så stor. Den identitetsbedömning som ska göras vid utfärdande av id-kort till personer som inte är med- borgare kan visserligen antas i vissa fall vara mer komplicerad än när det gäller medborgare. Till största delen är dock även de nya ärendena tämligen okomplicerade. Omställningen underlättas också av att de nya ärendena kommer att kunna hanteras inom den befintliga struk- turen för utfärdande av identitetshandlingar med personal som redan har erfarenhet av identitetsbedömningar.

Mot bakgrund av vårt förslag om körkortets minskade använd- ning och betydelse som identitetshandling kan emellertid en känn- bar ökning av antalet ärenden om utfärdande av id-kort förväntas.

365

Ikraftträdande och övergångsbestämmelser

SOU 2019:14

Hur många av de 6,5 miljoner körkortshavarna som kommer att an- söka om statligt identitetskort och när i tiden det kan antas ske är svårt att förutse. Sannolikt kommer många av dessa personer att av- vakta med att ansöka om id-kort till dess att de förnyar sitt pass. Detta kommer att underlätta omställningen för Polismyndigheten vid ikraftträdandet.

Myndigheten kommer emellertid att behöva viss tid på sig för att ställa om till det ökade antalet ärenden.

Det som förmodligen har störst påverkan på tidsåtgången inför ikraftträdandet är sannolikt den upphandlingsprocess som är för- knippad med själva kortet. De förslag vi lämnar som syftar till att säkra utfärdandeprocessen, såsom kontroll av fingeravtryck och ansikts- bild, medför också att vissa åtgärder behöver vidtas inför ikraftträd- andet.

Att myndigheten ska tillhandahålla en statlig e-legitimation kom- mer även att kräva en ny upphandling. Det är med största sanno- likhet det som kommer att kräva störst arbetsinsats och tidsutdräkt. Tiden för arbete med kravställning, upphandling och utformning av kortet och e-legitimationen uppskattas mot bakgrund av myndighet- ernas tidigare erfarenheter till två år. Det övriga omställningsarbete som måste göras bör också kunna hanteras inom den tiden. Två år från att det finns en lagstiftning på plats är därför sannolikt vad som krävs för omställningen. Enligt vår bedömning bör författningsförslagen därför träda i kraft den 1 januari 2022.

14.2Övergångsbestämmelser

Utredningens förslag: Körkort och SIS-märkt identitetskort ska kunna användas för att styrka identiteten vid utfärdande av en statlig identitetshandling under ett år efter ikraftträdandet. Natio- nellt identitetskort och identitetskort för folkbokförda i Sverige ska kunna användas under kortens kvarstående giltighetstid både vid utfärdande av en statlig identitetshandling och i situationer som omfattas av lagen om åtgärder mot penningtvätt och finan- siering av terrorism. Nationellt identitetskort ska även kunna an- vändas vid resa inom EU under den kvarstående giltighetstiden.

366

SOU 2019:14

Ikraftträdande och övergångsbestämmelser

Tidigare utfärdade nationella identitetskort och identitetskort för folkbokförda i Sverige ska ges in och makuleras när ett nytt statligt identitetskort lämnas ut.

Ärenden om utfärdande av identitetskort som har inletts hos passmyndighet eller Skatteverket före ikraftträdandet men som ännu inte har avgjorts ska handläggas enligt äldre föreskrifter.

Uppgifter och handlingar som finns i registret över nationella identitetskort och databasen med uppgifter om identitetskort för folkbokförda i Sverige ska föras över till registret över statliga identitetskort. Skatteverket får behandla uppgifter och handlingar i databasen med uppgifter om identitetskort för folkbokförda i Sverige längst till och med den 30 juni 2022. Uppgifter och hand- lingar som avser ansökningar om identitetskort som avslutats hos Skatteverket under övergångstiden ska föras över till det nya id- kortsregistret.

De nya bestämmelserna om återkallelse och makulering ska gälla även identitetskort och pass som utfärdats före ikraftträdandet.

Eftersom körkortet i dag har en utbredd användning som identitets- handling kommer vissa personer, när de föreslagna bestämmelserna börjar gälla, att sakna en identitetshandling som kan användas vid identifiering i alla situationer. Det kan i vissa fall få oönskade konse- kvenser. Exempelvis gäller det när giltighetstiden för en persons pass har gått ut och denne söker ett nytt pass. Den sökande kommer då att sakna en identitetshandling som kan användas för identifiering vid ansökan om det nya passet. Det finns därför ett behov av över- gångsbestämmelser när det gäller vårt föreslagna krav om att identi- teten vid utfärdande av pass och statligt identitetskort ska styrkas med ett pass eller statligt identitetskort. Övergångsbestämmelsen bör reglera att körkort och SIS-märkt id-kort kan användas för att styrka identiteten under en viss tid.

Polismyndigheten måste också ges möjlighet att hantera den ökade mängden ansökningar om id-kort. Ju längre övergångstiden är desto fler personer kan förväntas ansöka om id-kort samtidigt som de förnyar sitt pass vilket underlättar Polismyndighetens hantering.

Behovet av att ge identifiering med körkort och SIS-märkta kort en längre övergångstid är också beroende av giltighetstiden för de nuvarande nationella identitetskorten och identitetskorten för folk-

367

Ikraftträdande och övergångsbestämmelser

SOU 2019:14

bokförda i Sverige. Om dessa kort får användas för att styrka identi- teten under kortens giltighetstid även efter ikraftträdandet kan kör- kortens funktion som identitetshandling ges en kortare övergångstid.

Det nationella identitetskortet och identitetskortet för folkbok- förda i Sverige håller redan i dag en relativt hög säkerhetsnivå. Det är inte rimligt att kräva att en enskild, som redan innehar något av dessa kort, ska ansöka om ett nytt kort av det skälet att vi sammanför regleringen och korten. En bestämmelse som medger att korten får användas under den återstående giltighetstiden bör därför införas i författningarna avseende id-kort och pass. Det kommer också att avsevärt mildra omställningen hos Polismyndigheten.

Förnyelse av de nationella identitetskorten och identitetskorten för folkbokförda i Sverige kommer alltså att ske successivt under en tid av fem år från ikraftträdandet. Mot bakgrund av syftet med våra förslag, dvs. att minska mängden id-kort som ett led i bedrägeri- bekämpning är det dock angeläget att inte förlänga ikraftträdandet av bestämmelserna mer än vad som är absolut nödvändigt med hänsyn till olägenheten för de enskilda och den ökade ärendemängden för Polismyndigheten. Detta leder sammantaget till att övergångstiden enligt vår uppfattning för körkorten och de SIS-märkta korten bör och kan göras relativt kort och upphöra vid en tid av ett år från ikraftträdandet.

Ovanstående förslag innebär också att en övergångsbestämmelse som anger att nationella identitetskort kan användas i stället för pass vid resor inom EU så länge kortet är giltigt bör införas i passlagen.

Vi anser att det, till skillnad mot vad vi föreslår för ansökan om pass och statligt identitetskort, inte bör införas någon övergångs- bestämmelse som möjliggör användning av körkort och SIS-märkt identitetskort i lagen om åtgärder mot penningtvätt och finansiering av terrorism efter ikraftträdandet. Som anges i avsnitt 8.6.2 bör det i stället krävas att en svensk medborgare eller en person som är folk- bokförd i Sverige som inte har en statlig fysisk identitetshandling ansöker om en sådan för att kunna identifiera sig hos någon av de verksamhetsutövare som omfattas av lagstiftningen. Av de skäl som anges ovan bör dock nationellt identitetskort och identitetskort för folkbokförda i Sverige få användas under kortens giltighetstid.

368

SOU 2019:14

Ikraftträdande och övergångsbestämmelser

Det behöver vidare införas bestämmelser som anger att även tidi- gare utfärdade nationella identitetskort och identitetskort för folk- bokförda i Sverige ska ges in och makuleras när ett nytt statligt iden- titetskort lämnas ut.

Om en ansökan om id-kort kommit in till Polismyndigheten, Skatteverket eller utlandsmyndigheterna före ikraftträdandet har några fingeravtryck inte lämnats av sökanden. Bland annat av det skälet bör ärenden om utfärdande av id-kort som har inletts före ikraftträd- andet handläggas enligt den gamla lagstiftningen. Skatteverket ska således avsluta de ärenden som pågår vid myndigheten och inte lämna över dessa till Polismyndigheten.

De uppgifter som i dag finns i registren över nationella identitets- kort och identitetskort för folkbokförda i Sverige är av stor betydel- se även vid utfärdande av det statliga identitetskortet. Uppgifterna om nationella identitetskort finns redan hos Polismyndigheten. Uppgifterna i det register som i dag förs av Skatteverket behöver däremot föras över till Polismyndigheten. De ändamål vi föreslår för behandlingen i registret över statliga identitetskort stämmer i allt väsentligt överens med de ändamål som gäller för nuvarande register. En bestämmelse som reglerar att uppgifterna ska föras över bör därför införas. De bestämmelser vi föreslår beträffande behandling av personuppgifter i registret över statliga identitetskort och beträff- ande sekretess kommer därmed att omfatta även de uppgifter som ursprungligen registrerades i de gamla registren.

Mot bakgrund av att Skatteverket ska avsluta pågående ärenden kommer myndigheten dock att behöva ha kvar de uppgifter om iden- titetskort för folkbokförda i Sverige som finns i den databas myn- digheten för under en viss tid efter ikraftträdandet. En tid om sex månader bör vara tillräckligt. Uppgifter som tillförs av Skatteverket under denna tid måste också föras in i det nya id-kortsregistret.

Det behövs därmed också en bestämmelse som anger att den sekre- tessbestämmelse som i dag gäller för databasen ska fortsätta tillämpas så länge uppgifterna finns hos Skatteverket.

Hur överföringen av uppgifterna ska genomföras i praktiken bör bestämmas av myndigheterna.

Hanteringen när det gäller utfärdade id-kort och pass bör vara densamma oavsett om det är fråga om identitetshandlingar som ut- färdats enligt den gamla eller nya lagstiftningen. Vi bedömer att det inte är lämpligt att Skatteverket under flera år efter att myndigheten

369

15 Konsekvenser

15.1Inledning

Vi ska enligt utredningsdirektiven bedöma de ekonomiska konse- kvenserna av förslagen för det allmänna. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska vi föreslå hur dessa ska finansieras. Vi ska också bedöma konsekvenserna för enskilda och för företag i form av kostnader och ökade administrativa bördor samt ange om förslagen får några konsekvenser ur ett jämställdhets- perspektiv. Vi ska också särskilt redovisa förslagens konsekvenser för den personliga integriteten. Konsekvenserna ska redovisas enligt 14–15 a §§ kommittéförordningen (1998:1474) samt 6 och 7 §§ för- ordningen (2007:1244) om konsekvensutredning vid regelgivning.

I 14 § kommittéförordningen anges att om förslagen påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redo- visas. Om förslagen innebär samhällsekonomiska konsekvenser i öv- rigt, ska också dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska finan- siering föreslås.

Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i öv- rigt i förhållande till större företags, för jämställdheten mellan kvin- nor och män eller för möjligheten att nå de integrationspolitiska målen, ska enligt 15 § kommittéförordningen konsekvenserna i det aktuella avseendet anges i betänkandet.

Om ett betänkande innehåller förslag till nya eller ändrade regler ska, enligt 15 a § kommittéförordningen, förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska

371

Konsekvenser

SOU 2019:14

anges på ett sätt som motsvarar de krav på innehållet i konsekvens- utredningar som finns i 6 och 7 §§ förordningen om konsekvens- utredning vid regelgivning.

Överväganden kring vilka konsekvenser en viss lösning får har i många fall gjorts i anslutning till de förslag vi lämnar. I flera av av- snitten har vi beskrivit vilka alternativa lösningar vi ser och motiverat varför den valda lösningen har föreslagits. I detta kapitel ges därför en mer övergripande och sammanfattande beskrivning av förslagens förväntade konsekvenser.

15.2Uppdraget och de förslag som lämnas

Utredningen har haft i uppdrag att utreda och lämna förslag till för- ändringar av de krav och rutiner som gäller för svenska identitets- handlingar i syfte att minska det ökande antalet bedrägerier som be- gås med hjälp av förfalskade identitetshandlingar.

Vi föreslår en ny lag och en ny förordning om statliga identi- tetshandlingar. Lagen innehåller bestämmelser om ett nytt statligt identitetskort som ska utfärdas av Polismyndigheten med eller utan funktion som resehandling. Kortet ersätter både det nationella iden- titetskortet och identitetskortet för folkbokförda i Sverige. Statliga identitetskort ska enligt vårt förslag tillsammans med pass vara de enda statliga fysiska identitetshandlingar som staten utfärdar. Det innebär att körkortet inte längre ska betraktas som en identitets- handling. Vi föreslår även krav på att de statliga fysiska identitets- handlingarna ska användas vid ansökan om en ny statlig fysisk iden- titetshandling och i situationer som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism. Våra förslag är inriktade mot att handlingarna på sikt kommer att vara de enda identitetshand- lingar som används även i andra situationer där identitetskontroller görs, exempelvis vid utlämnande av försändelser vid postutlämnings- ställen.

Den föreslagna lagen innehåller också bestämmelser som innebär att det statliga identitetskortet blir säkrare än de nuvarande korten, såsom bestämmelser om att korten ska innehålla både ansiktsbild och fingeravtryck och att en kontroll av sådana uppgifter ska göras bl.a. i samband med utfärdandet.

372

SOU 2019:14

Konsekvenser

Vi föreslår dessutom att en statlig e-legitimation ska finnas på det statliga identitetskortet. Genom förslaget säkras invånarnas tillgång till en säker e-legitimation och därigenom också tillgången till viktiga samhällsfunktioner.

Samtliga förslag syftar till att de identitetshandlingar som utfär- das ska bli säkrare för att därigenom motverka den identitetsrela- terade brottsligheten.

15.3Alternativa lösningar och konsekvenser av att den föreslagna regleringen inte genomförs

Vi har i olika delar av betänkandet redovisat vilka alternativa lös- ningar som har övervägts och varför dessa inte har valts. Exempelvis har vi i kapitel 8 övervägt alternativa sätt att åstadkomma en begräns- ning av antalet fysiska identitetshandlingar. Vidare har vi i kapitel 9 analyserat olika sätt att begränsa antalet utfärdare och gjort bedöm- ningar när det gäller vilken av några alternativa myndigheter som bör ansvara för utfärdandet av de statliga fysiska identitetshandlingarna. I kapitel 10 har vi bl.a. övervägt alternativa sätt att reglera för att åstadkomma en enhetlig utfärdandeprocess (avsnitt 10.2.1) och olika sätt att göra det statliga identitetskortet tillgängligt även för perso- ner som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten (avsnitt 10.2.7). Alter- nativa sätt att säkerställa att samma person inte kan skaffa flera iden- titetshandlingar i olika identiteter har övervägts i kapitel 11. I kapitel 12 har vi också gjort bedömningar när det gäller alternativa utfärdare för den statliga e-legitimationen.

Våra förslag innebär sammantaget att de identitetshandlingar som utfärdas av staten blir säkrare vilket medför att den identitetsrela- terade brottsligheten motverkas. Förslagen innebär dels att personer hindras från att skaffa identitetshandlingar för identiteter som är stulna eller falska, dels att handlingarna som sådana blir svårare att förfalska. Om våra förlag inte genomförs eller endast genomförs del- vis uppnås således inte dessa effekter.

373

Konsekvenser

SOU 2019:14

15.4Ekonomiska konsekvenser

15.4.1Konsekvenser för det allmänna

Förslagen om begränsning av antalet identitetshandlingar och utfärdare

Syftet med våra förslag är att minska de bedrägerier som är kopplade till identitetsmissbruk. Förslagen kan förväntas minska den brotts- lighet som begås med hjälp av identitetshandlingar, bl.a. sådan brotts- lighet som är riktad mot välfärdssystemen. Det kan därför antas att statens kostnader kopplade till den identitetsrelaterade brottslig- heten, exempelvis kostnader i form av felaktigt utbetalade bidrag, kommer att minska.

Avgiften för både det nationella identitetskortet och identitets- kortet för folkbokförda i Sverige är i dag 400 kronor. Vår utgångs- punkt är att kostnaden för de statliga identitetskorten ska finansieras genom avgift vilket är avsikten även i dag.

Våra förslag innebär att Polismyndigheten, förutom att som i dag utfärda id-kort till svenska medborgare, även ska överta ansvaret för att utfärda id-kort till personer som är folkbokförda i landet utan att vara svenska medborgare. Ett nytt gemensamt statligt identitetskort som kan utfärdas både till svenska medborgare och till personer som är folkbokförda i Sverige ska införas. Det innebär ett ökat antal ären- den för Polismyndigheten och en motsvarande minskning för Skatte- verket. Polismyndigheten utfärdar för närvarande cirka 1,8 miljoner identitetshandlingar per år. Att ansvaret för utfärdande av id-kort för personer som är folkbokförda flyttas till myndigheten innebär en ökning med cirka 160 000 ärenden per år.

Av Polismyndighetens årsredovisning framgår att myndigheten under år 2017 hanterade cirka 250 000 ärenden om nationella identi- tetskort. Kostnaden för id-kortsverksamheten var cirka 111 miljoner kronor vilket innebär en styckkostnad om cirka 440 kronor per an- sökan. I detta belopp ingår enligt uppgift från Polismyndigheten direkta kostnader för verksamheten i form av lön, tillverkning av id- kort, utrustning, it-system och lokaler. Även indirekta kostnader såsom ledning, övriga personalkostnader och administration ingår. Utveckling och utbildning som är direkt kopplad till id-kortsverk- samheten ingår också. Den befintliga id-kortsverksamheten är enligt uppgift från Polismyndigheten avgiftsfinansierad, dvs. den avgift

374

SOU 2019:14

Konsekvenser

som tas för ansökan täcker kostnaderna för att bedriva verksamheten. Det underskott som redovisas i årsredovisningen för år 2017 har kunnat täckas med det överskott som ackumulerats i verksamheten under tidigare år. Anslaget har alltså inte belastats.

Skatteverket hanterade under år 2017 cirka 160 000 ansökningar om id-kort enligt uppgifter i årsredovisningen. Kostnaden för id- kortsverksamheten var cirka 131 miljoner kronor vilket innebar en styckkostnad om cirka 800 kronor per ansökan. Under år 2015 var antalet ansökningar cirka 145 000 och totalkostnaden cirka 92 mil- joner kronor, dvs. 630 kronor per ansökan. Motsvarande siffror för år 2016 var 173 000 ansökningar, totalkostnad 104 miljoner kronor och styckkostnad cirka 600 kronor. Att kostnaden ökade år 2017 be- ror på merkostnader i samband med byte av leverantör. Ungefär hälften av kostnaderna för verksamheten under år 2017 täcktes av avgiftsintäkterna, 66 miljoner enligt årsredovisningen. För år 2015 och 2016 var kostnadstäckningen bättre. Avgiftsintäkterna var då

59respektive 69 miljoner vilket innebar cirka två tredjedelar av kost- naderna.

Avgiftsintäkterna ska enligt 38 § förordningen med instruktion för Skatteverket disponeras så att minst hälften av id-kortsverksam- hetens kostnader täcks. I övrigt finansieras verksamheten genom anslag, 65 miljoner kronor enligt årsredovisningen för år 2017. För år 2015 och 2016 finansierades cirka en tredjedel av kostnaderna för id-kortsverksamheten, 33 respektive 35 miljoner kronor, av anslaget.

Skillnaderna när det gäller kostnad per ansökan mellan de två myndigheterna kan till viss del ha sin förklaring i att den identitets- bedömning som ska göras vid utfärdande av id-kort till personer som inte är svenska medborgare kan vara mer komplicerad i vissa fall än när det gäller svenska medborgare. Den mest sannolika förklaringen till skillnaden är dock att Skatteverket utfärdar betydligt färre iden- titetshandlingar än Polismyndigheten. Styckkostnaden påverkas natur- ligtvis av den stordriftsfördel som ligger i att lokaler, kameror och annan teknisk utrustning kan utnyttjas optimalt och att den personal som hanterar ansökningarna genom den större mängden ansök- ningar blir mer erfarna att handlägga dessa. Polismyndigheten har på grund av den stora volymen ansökningar också lättare att upparbeta bra och effektiva rutiner.

375

Konsekvenser

SOU 2019:14

Eftersom de nya ärendena hos Polismyndigheten kommer att kunna hanteras inom den befintliga strukturen för utfärdande av identitetshandlingar kommer processen för utfärdande av id-kort till personer som är folkbokförda i landet att kunna effektiveras. I för- hållande till den totala mängden identitetshandlingar som Polismyn- digheten utfärdar kan inte överlämnandet av de cirka 160 000 ären- dena per år antas påverka Polismyndighetens verksamhet i någon större omfattning.

Polismyndigheten har i dag kapacitet att klara av de toppar och dalar som präglar pass- och id-kortsverksamheten. Den nya arbets- uppgiften kan i och för sig inledningsvis komma att medföra behov av informations- och eller utbildningsinsatser. Mot bakgrund av den kunskap som redan finns inom Polismyndigheten, bedöms insats- erna dock vara av mindre omfattning. Polismyndigheten bör därför kunna antas klara även övergången utan någon nämnvärd påverkan på övrig verksamhet.

Våra förslag innebär dock inte endast att det ska ske en överflytt- ning av Skatteverkets utfärdande av id-kort utan syftar framför allt till att användningen av statliga identitetskort ska öka. Det innebär naturligtvis också en ökning av antalet ärenden om utfärdande av id- kort. Ökningen kan framför allt komma att gälla utfärdandet av id- kort till svenska medborgare. De personer som är hänvisade till de id-kort som Skatteverket i dag utfärdar har sannolikt ett så stort be- hov av ett sådant kort att merparten av dessa personer redan i dag har skaffat det.

Verksamheten hos Polismyndigheten måste dimensioneras utifrån det förväntade antalet nya ärenden. Det kan innebära att mer per- sonal behöver anställas och ytterligare utrustning införskaffas. Ett av förslagen är att körkortet inte längre ska betraktas som en iden- titetshandling. Det innebär att en stor del av de personer som i dag använder körkortet som id-kort kommer att ansöka om statligt iden- titetskort vilket också är avsikten med våra förslag. I vilken takt väx- lingen från körkort till det statliga identitetskortet kommer att ske är inte möjligt att förutspå. Initialt kommer sannolikt många att an- vända sina pass som identitetshandling vid de transaktioner som kräver en statlig fysisk identitetshandling. Vårt förslag till övergångs- bestämmelser kommer också att medföra att ansökningarna sprids ut under ett antal år.

376

SOU 2019:14

Konsekvenser

Det förhållandet att det främst är svenska medborgare som kom- mer att bidra till ökningen av antalet ärenden medför också att kost- naderna för utfärdandet kan bli lägre. Dessa personer har sannolikt i stor utsträckning behov även av ett pass och kan ansöka om både pass och id-kort samtidigt. Det bör kunna medföra en betydande effektivitets- och tidsvinst vid ansökningstillfället.

Som framgått innebär våra förslag som helhet att utfärdande- processen för de statliga fysiska identitetshandlingarna, pass och stat- ligt identitetskort, blir enhetlig och samordnad. Därigenom kan samma personal, utrustning och lokaler användas vilket bör innebära att kostnaderna minskar. Att även kravställningsarbetet kan samord- nas bör medföra att besparingar kan göras. Dessutom uppkommer ytterligare effektiviseringsvinster om de möjligheter tas tillvara som våra förslag öppnar för när det gäller utlämnandet. Enligt vår bedöm- ning bör det därmed vara möjligt att göra vissa besparingar i för- hållande till den totala kostnad för id-kortsverksamheten som de båda utfärdande myndigheterna har i dag.

Det finns därför inte skäl att anta att styckkostnaden för korten kommer att öka till följd av den ökade mängden utfärdanden. Efter- som en utgångspunkt för våra förslag är att avgiften för kortet ska vara kostnadstäckande medför inte heller den ökade mängden kort att kostnaden för Polismyndigheten ökar.

Däremot finns det anledning att anta att Polismyndighetens kost- nader under de närmaste åren efter införandet av den nya ordningen kommer att öka i sådan utsträckning att det skulle kunna ha en viss påverkan på avgiften för korten vilket vi inte anser vara önskvärt. Det krävs investeringar i form av ny utrustning och nya upphand- lingar både för det nya kortet och för e-legitimationen. Även Skatte- verket kommer att ha vissa omställningskostnader.

Eftersom Skatteverkets utfärdande av kort i dag inte har varit helt avgiftsfinansierat innebär överflyttningen emellertid också en kost- nadsbesparing för verket. De senaste åren har kostnaderna för den icke-avgiftsfinansierade delen uppgått till 33–65 miljoner kronor per år. Den kostnadsbesparingen bör kunna täcka de omställningskost- nader som uppstår initialt hos Polismyndigheten och Skatteverket genom våra förslag. En del av det beloppet bör därför kunna föras över till Polismyndigheten för att täcka myndighetens kostnad för omställningen. Det skulle få till följd att avgiften för korten inte heller skulle behöva höjas under de första åren.

377

Konsekvenser

SOU 2019:14

Förslagen kan slutligen få konsekvenser för personal hos Skatte- verket som arbetar med att utfärda id-kort. Vid genomförandet av den föreslagna förändringen måste Polismyndigheten och Skatteverket ta ställning till om bestämmelserna om verksamhetsövergång i 6 b § lagen (1982:80) om anställningsskydd är tillämpliga. Även personal vid Statens servicecenter kan komma att påverkas. Vilka konsekven- ser förändringen får för personalen är det för närvarande inte möjligt att uttala sig om. Det är ytterst en fråga för arbetsgivarna och de fackliga organisationerna.

Förslagen om fingeravtryck och ansiktsbild

Vi föreslår att det ska finnas fingeravtryck i ett lagringsmedium på det statliga identitetskortet. För att ta fingeravtryck behövs viss ut- rustning. Sådan utrustning finns redan hos Polismyndigheten efter- som den används vid utfärdande av pass. Möjligen behöver ytterli- gare utrustning införskaffas för att möta en ökad efterfrågan när det gäller det statliga identitetskortet. Eftersom kostnaden kommer att fördelas på ett större antal ansökningar bör inte detta förslag medföra några nämnvärda kostnadsökningar.

Vårt förslag att kontrollera fingeravtryck och ansiktsbild på den handling som sökanden visar upp för att identifiera sig vid ansökan och jämföra med de fingeravtryck och den ansiktsbild som tas vid ansökan om en statlig identitetshandling kan också medföra att ny teknisk utrustning behöver införskaffas.

Även förslaget att tillåta sökning på ansiktsbilder i pass- och id- kortsverksamheten kan komma att medföra att vissa tekniska inve- steringar behöver göras. Detta är emellertid engångskostnader som torde vara begränsade. Någon nämnvärd påverkan på kostnaden för framställningen av id-korten kan inte förväntas.

Förslaget om statlig e-legitimation

Vi föreslår att Polismyndigheten ska utfärda en statlig e-legitimation som ska finnas på det statliga identitetskortet. Det innebär att Polis- myndigheten får ansvar för e-legitimationen under hela dess livs- längd. Eftersom processen för utfärdande av det statliga identitets- kortet ska nyttjas medför inte själva utfärdandet några merkostnader

378

SOU 2019:14

Konsekvenser

för Polismyndigheten. Däremot tillkommer kostnader för bl.a. utveck- ling, förvaltning, support och tillhandahållande av elektronisk identi- tetskontroll. Det har inte varit möjligt för oss att uppskatta kostna- den för detta. Först sedan myndigheten analyserat vilka delar som ska ingå i en upphandling och vilka delar myndigheten själv ska ut- föra går det att göra en sådan beräkning.

Avslutande bedömning

Med beaktande av att id-kortet huvudsakligen ska finansieras genom avgift förväntas inte våra förslag medföra några större merkostnader för Polismyndigheten. De initiala åtgärder som kan behöva vidtas när det gäller upphandling, utbildning, information och införskaffan- de av utrustning (som delvis bör kunna finansieras med lån i Riksgäl- den) bör dessutom vara en i sammanhanget begränsad engångskostnad. Dessa kostnader och Skatteverkets kostnader för omställningen bör kunna finansieras genom den kostnadsbesparing som Skatteverket får på grund av överflyttningen.

15.4.2Konsekvenser för enskilda

Våra förslag syftar till att minska risken för id-kapningar och be- drägerier som är kopplade till identitetsmissbruk. Den brottslighet som är relaterad till identitetshandlingar är i hög grad riktad mot enskilda. De enskilda vars identitet används i bedrägliga syften drabbas ofta av allvarliga konsekvenser, både ekonomiska och känslomässiga. Förslag som minskar denna form av brottslighet gynnar därför en- skilda direkt.

Eftersom vi bedömt att körkortet, som i dag i stor utsträckning används som identitetshandling, inte är säkert som identitetshand- ling bör det inte längre ha den funktionen. Våra förslag leder därför till att fler personer kommer att behöva skaffa ett särskilt identitets- kort. Det är också själva syftet med förslagen.

För dem som redan i dag har ett kort utfärdat av Polismyndig- heten eller Skatteverket medför inte förslagen några extra kostnader. Som framgått av redogörelsen för de ekonomiska konsekvenserna för de båda myndigheterna är vår bedömning att styckkostnaderna

379

Konsekvenser

SOU 2019:14

för korten inte bör påverkas nämnvärt på grund av våra förslag. Den avgift som den enskilde ska betala för kortet bör således inte öka.

Den som vid sidan av körkortet måste skaffa ett extra kort orsakas dock av en kostnadsökning. Om nuvarande nivå på avgiften för id- korten behålls kommer det att innebära en extra kostnad för den enskilde om 400 kronor vart femte år, dvs. 80 kronor per år. Det är enligt vår mening en ringa kostnad ställt i relation till det lidande som enskilda kan drabbas av om de utsätts för id-kortsbedrägerier.

Det bör också noteras att det pågår ett arbete med att undersöka om de fysiska körkorten ska kunna ersättas av ett digitalt körkort. Det bör anses klart att självkostnaden för ett digitalt körkort inte kan bli lika hög som för ett fysiskt kort. Kostnader för framställ- ningen kommer sannolikt att minska betydligt och kostnaderna för distributionen bortfalla helt.

Det som också skulle kunna anföras för att behålla körkortet som identitetshandling är den enkelhet med vilket kortet kan förnyas. Den enskilde behöver inte inställa sig personligen hos någon myn- dighet för att kunna identifiera sig, utan kan hämta sitt körkort på ett utlämningsställe för postpaket. Det är emellertid en av anled- ningarna till varför körkortet är särskilt lätt att komma åt för en utomstående och som leder till att kortet inte är säkert som identi- tetshandling. Enligt vår mening överväger därför även i detta fall nyttan för enskilda, den olägenhet som det innebär för enskilda att behöva inställa sig personligen. Det kan också konstateras att den omständigheten att Polismyndigheten både utfärdar pass och id-kort leder till att den enskilde kan välja att ansöka om båda på samma gång och därigenom undgå den extra inställelsen.

När det slutligen gäller förslaget att överflytta utfärdandet av id- kort för folkbokförda från Skatteverket till Polismyndigheten kan konstateras att det innebär att det blir fler ansöknings- och utläm- ningsställen för dessa kort än vad som gällt tidigare. Det finns i landet fler passkontor hos Polismyndigheten än servicekontor hos Skatte- verket. De enskilda som ansöker om ett statligt identitetskort utan funktion som resehandling får alltså genom det förslaget större till- gänglighet än tidigare.

380

SOU 2019:14

Konsekvenser

15.4.3Konsekvenser för företag

Våra förslag medför inte några ökade kostnader för företag. Tvärtom syftar flera av förslagen till att minska antalet bedrägerier som begås med hjälp av identitetshandlingar och därmed också företagens kost- nader för brottsligheten. Våra förslag som syftar till att säkra utfär- dandet av de statliga fysiska identitetshandlingarna är till nytta för hela samhället inklusive företag som i olika sammanhang kontrollerar personers identitet. Det rör sig exempelvis om banker och andra kre- ditgivare. Även inom handeln görs identitetskontroller i samband med exempelvis kreditköp. Företag som lämnar ut paket och andra försändelser berörs också. Genom att staten utfärdar ett begränsat antal säkra handlingar underlättas identitetskontrollen och risken för att utsättas för bedrägeri minskar.

Förslaget om att begränsa antalet identitetshandlingar och att endast en myndighet ska utfärda dem får också positiva effekter för möjliggörandet av mer automatiserade giltighetskontroller. Den statliga e-legitimationen kan också användas vid kontroller där inne- havaren är personligen närvarande. Användandet av mer automati- serade eller elektroniska kontroller gör att verksamheten hos den som kontrollerar handlingen kan bli mer effektiv.

Våra förslag om att begränsa antalet fysiska identitetshandlingar som ska accepteras i alla situationer kan på sikt medföra konse- kvenser för företag som utfärdar SIS-märkta id-kort. Vi menar att sådana kort inte längre ska godtas i alla situationer. Våra förslag inne- bär dock inte något förbud mot att utfärda sådana kort. Det är fram- för allt banker som utfärdar id-kort av det slaget som en service till sina kunder. De SIS-märkta id-korten står för en liten andel av de identitetshandlingar som utfärdas i dag. Ett par av de större bankerna har dessutom nyligen upphört med att utfärda id-kort. Konsekvens- erna för utfärdare av SIS-märkta id-kort bör därför inte bli särskilt stora.

Den statliga e-legitimation vi föreslår blir ett komplement och inte en konkurrent till de e-legitimationer som utfärdas av privata aktörer. Både företag som utfärdar andra e-legitimationer och före- tag som har e-tjänster kan dra nytta av den statliga e-legitimationen. Om identifiering görs med den statliga e-legitimationen kan ett helt elektroniskt ansökningsförfarande användas när övriga utfärdare ut- färdar sina e-legitimationer.

381

Konsekvenser

SOU 2019:14

15.5Konsekvenser för brottsligheten och det brottsförebyggande arbetet

Syftet med vår utredning är uttryckligen att minska det ökande an- talet bedrägerier som begås med hjälp av identitetshandlingar. Detta syfte genomsyrar våra förslag som helhet och är det huvudsakliga skälet till många av våra förslag, vilket anges i flera av de bedöm- ningar som görs i betänkandet. Som framgått innebär våra förslag att de identitetshandlingar som staten utfärdar blir säkrare. Förslagen motverkar både att personer skaffar oriktiga identitetshandlingar och att handlingarna förfalskas. Förslagen förväntas därför minska den brottslighet som begås med hjälp av identitetshandlingar.

Vi lämnar också förslag som får positiva effekter för det brotts- förebyggande arbetet. Genom att Polismyndigheten ska utfärda både de statliga fysiska identitetshandlingarna och den statliga e-legitima- tionen kan myndigheten dra nytta av de erfarenheter som myndig- heten har i den brottsbekämpande verksamheten även i utfärdande- verksamheten och vice versa. Att på detta sätt samla ansvaret hos en myndighet ökar förutsättningarna för att bedriva ett effektivt brotts- förebyggande arbete (se avsnitt 9.4.3 och 12.5).

15.6Regleringens överensstämmelse med EU-rätten

Bedömningar av förslagens överensstämmelse med EU-rätten har gjorts i olika delar av betänkandet. Förslagen har exempelvis i av- snitt 11.6.1 bedömts stämma överens med EU:s passförordning. Vi har också, i den utsträckning det har varit möjligt, beaktat det förslag till id-kortsförordning som för närvarande förhandlas inom EU, se t.ex. avsnitt 10.2.1, 11.4.4, 11.5 och 11.6.1. I det först nämnda avsnittet har även rörlighetsdirektivets bestämmelser beaktats. I avsnitt 11.6.1 har vi gjort bedömningar av förslagets överensstämmelse med EU- regleringen om uppehållstillståndskort. I kapitel 12 har vi gjort be- dömningar i förhållande till eIDAS-förordningen. Även dataskydds- förordningens bestämmelser har beaktats i olika delar av betänkandet, se t.ex. avsnitt 10.3, 11.4, 11.6 och 12.16. Vi har sammantaget gjort den bedömningen att förslagen är förenliga med relevant EU-rättslig reglering.

382

SOU 2019:14

Konsekvenser

15.7Konsekvenser för den personliga integriteten

Förslaget får vissa konsekvenser för den personliga integriteten. Exempelvis innebär våra förslag om fingeravtryck och ansiktsbild i avsnitt 11.4–11.6 att sådana personuppgifter kommer att behöva be- handlas. Vi föreslår också i avsnitt 10.3 att vissa uppgifter ska sparas

iett id-kortsregister. Även förslaget om en statlig e-legitimation innebär att personuppgifter kopplade till denna behöver behandlas, se avsnitt 12.16. De konsekvenser förslagen får för den personliga integriteten har beaktats och redovisats i anslutning till respektive förslag. Mot bakgrund av de skyddsåtgärder som kommer att om- gärda behandlingen har vi gjort bedömningen att skyddet av person- uppgifterna tillgodoses.

15.8Övriga konsekvenser

enligt kommittéförordningen

Utredningens förslag får inte några konsekvenser för den kommu- nala självstyrelsen. Författningsförslagen är könsneutralt utformade och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män.

Förslagen får inte några konsekvenser för sysselsättningen i olika delar av landet. Den verksamhet som påverkas vid Skatteverkets servicekontor är utspridd över hela landet. Om till följd av förslagen behovet av medarbetare ändå skulle minska vid något visst kontor kommer dock motsvarande behov av medarbetare i stället att finnas hos Polismyndigheten. Polismyndigheten finns i aktuellt avseende representerad på fler platser än Skatteverket. Polismyndighetens när- varo i olika delar av landet kan bibehållas.

Förslagen bedöms inte få några konsekvenser för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i för- hållande till större företags.

Förslagen får inte några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Vårt förslag om att det statliga identitetskortet ska ses som ett kort, med eller utan funktion som resehandling, innebär att skillnaden mellan de båda korten minskar

383

16 Författningskommentar

16.1Förslaget till lag om statliga identitetshandlingar

1 kap. Inledande bestämmelser

1 § Statligt identitetskort och pass (statliga fysiska identitetshand- lingar) är tillsammans med statlig e-legitimation de identitetshand- lingar som staten utfärdar.

Denna lag innehåller bestämmelser om statligt identitetskort och statlig e-legitimation.

Bestämmelser om pass finns i passlagen (1978:302).

Av paragrafen framgår vad lagen innehåller och vad som avses med statliga identitetshandlingar. Övervägandena finns i avsnitt 8.6.

I första stycket anges vilka de statliga identitetshandlingarna är; dvs. de statliga fysiska identitetshandlingarna och den statliga e-legi- timationen. Med statliga fysiska identitetshandlingar avses statligt identitetskort och pass. Motsatsvis innebär bestämmelsen att bl.a. körkortet inte är en statlig identitetshandling.

En e-legitimation är en elektronisk identitetshandling som kan användas för att identifiera innehavaren på elektronisk väg. Med hjälp av en e-legitimation kan innehavaren identifiera sig, varigenom myn- digheter och andra aktörer som har e-tjänster kan få en bekräftelse på vem personen är. En e-legitimation innehåller, liksom en fysisk identitetshandling, uppgifter som entydigt kan kopplas till en viss person. Identifiering med e-legitimation kan ske på distans.

Av andra stycket framgår att lagen innehåller bestämmelser om både statligt identitetskort och statlig e-legitimation.

I tredje stycket förtydligas att pass inte regleras i lagen om statliga identitetshandlingar utan i passlagen.

385

Författningskommentar

SOU 2019:14

2 § Ett statligt identitetskort får utfärdas med eller utan funktion som resehandling och får innehålla en statlig e-legitimation.

Ett identitetskort som utfärdas med funktion som resehandling får användas som resehandling enligt bestämmelserna i 5 § andra stycket 5 och tredje stycket 1 passlagen (1978:302).

Identitetskort med eller utan funktion som resehandling får utfärdas till svenska medborgare. Ett identitetskort utan funktion som resehand- ling får även utfärdas till personer som inte är svenska medborgare men som är folkbokförda i Sverige enligt folkbokföringslagen (1991:481).

Paragrafen beskriver de olika typerna av statligt identitetskort och föreskriver att kortet kan innehålla en statlig e-legitimation. I para- grafen regleras också till vem kortet kan utfärdas. Övervägandena finns i avsnitt 10.2.1 och 12.4.

I första stycket föreskrivs att det statliga identitetskortet kan ut- färdas med eller utan funktion som resehandling. Kortet ersätter därmed såväl det nationella identitetskortet, som tidigare kunnat ut- färdas för svenska medborgare, som identitetskortet för folkbokförda i Sverige. Av första stycket följer också att det statliga identitetskortet, oavsett om det utfärdas med eller utan funktion som resehandling, kan innehålla en statlig e-legitimation. Den statliga e-legitimationen är en egen identitetshandling som finns på det fysiska id-kortet.

Att identitetskortet utfärdas med funktion som resehandling inne- bär enligt vad som anges i andra stycket att det, förutom att användas som identitetshandling, också kan användas som resehandling i stället för pass vid resor inom EU i enlighet med bestämmelserna i passlagen. Om id-kortet utfärdas med en sådan funktion motsvaras det av det tidigare nationella identitetskortet och har sin bakgrund i EU-reglering. Bland annat följer det av rörlighetsdirektivet att alla unionsmedborgare med giltigt identitetskort ska ha rätt att lämna en medlemsstats territorium för att resa till en annan medlemsstat.

Tredje stycket reglerar vem det statliga identitetskortet kan utfär- das till. För att få ett statligt identitetskort med funktion som rese- handling krävs svenskt medborgarskap, i enlighet med vad som tidi- gare gällt för det nationella identitetskortet. Skälet till att det finns ett krav på medborgarskap om kortet ska kunna förenas med funk- tion som resehandling är att syftet med det kortet bl.a. är att tillgo- dose medborgarnas behov av en handling som kan användas vid resor inom EU.

386

SOU 2019:14

Författningskommentar

Däremot kan både svenska medborgare och personer som är folk- bokförda i landet, utan att vara medborgare, få ett statligt identitets- kort utan funktion som resehandling. En och samma person får dock endast inneha ett kort. Det är alltså inte möjligt att ansöka om både ett kort med och ett utan funktion som resehandling.

Såväl svenska medborgare som är folkbokförda i Sverige som de som bor utomlands kan få ett kort utan resefunktion. Detta är en skillnad jämfört med vad som tidigare gällt för identitetskort för folkbokförda i Sverige eftersom det kortet endast kunde utfärdas till personer som är folkbokförda i landet.

Personer som ansöker genom bud kan inte få ett id-kort med funktion som resehandling. Detta följer motsatsvis av 3 kap. 4 §.

Till skillnad från vad som tidigare gällt för identitetskort för folk- bokförda i Sverige finns det inte någon åldersgräns för att få det stat- liga identitetskortet, varken med eller utan resefunktion.

3 § Den statliga e-legitimationen ska finnas i ett lagringsmedium på det statliga identitetskortet. E-legitimationen får utfärdas till en person som har fyllt 13 år.

E-legitimationen ska utfärdas på den högsta tillitsnivån enligt tillits- ramverket i lagen (20xx:xx) om infrastruktur för elektronisk identi- fiering och kvalitetsmärket Svensk elektronisk identitetshandling. Den ska utformas enligt de tekniska specifikationerna i den lagen.

E-legitimationen ska uppfylla de krav som ställs för att kunna skapa en avancerad elektronisk underskrift enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk iden- tifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Paragrafen innehåller bestämmelser om den statliga e-legitimationen. Övervägandena finns i avsnitt 12.4, 12.7, 12.8 och 12.9.

Att den statliga e-legitimationen endast kan finnas på det statliga identitetskortet framgår av första stycket. Den kan alltså inte utfärdas om det inte samtidigt utfärdas ett id-kort. Samma personkrets som kan få ett statligt identitetskort, förutom barn under 13 år, kan alltså även få en statlig e-legitimation. Det innebär att både svenska med- borgare och personer som är folkbokförda i landet kan få en sådan utfärdad.

387

Författningskommentar

SOU 2019:14

Den statliga e-legitimationen ska enligt andra stycket utfärdas på den högsta tillitsnivån enligt det tillitsramverk som Myndigheten för digital förvaltning ansvar för, dvs. nivå 4. Utredningen om effektiv styrning av nationella digitala tjänster har i SOU 2017:114 föreslagit att tillitsramverket ska författningsregleras i en ny lag om infrastruk- tur för elektronisk identifiering och kvalitetsmärket Svensk elektro- nisk identitetshandling. E-legitimationen ska utformas enligt de tek- niska specifikationerna i den lagen.

I tillitsramverket finns uppställda krav rörande teknisk säkerhet i e-legitimationen, informationssäkerhet samt fysisk, administrativ och personorienterad säkerhet. Dessutom ställs krav på utfärdandeprocess, spärrtjänst och tillhandahållande av elektronisk identitetskontroll vid verifiering av användarens identitet. Samtliga dessa krav ska alltså utfärdaren uppfylla.

Av tredje stycket följer att den statliga e-legitimationen inte bara ska kunna användas vid elektronisk identifiering utan även för att skapa elektroniska underskrifter, på samma sätt som andra svenska e-legitimationer. E-legitimationen ska uppfylla kraven på avancerade elektroniska underskrifter enligt artikel 26 i eIDAS-förordningen. Det innebär bl.a. att e-underskriften ska vara unikt knuten till under- tecknaren och att undertecknaren ska kunna identifieras genom den. Att e-underskriften ska vara avancerad innebär att den uppfyller de krav som för närvarande ställs på elektroniska underskrifter i svensk lagstiftning, se t.ex. 111 kap. 5 § socialförsäkringsbalken och 1 kap.

13§ aktiebolagslagen (2005:551). Hänvisningen till eIDAS-förord- ningen är dynamisk, dvs. den avser förordningen i dess vid varje tid- punkt gällande lydelse.

4 § Statligt identitetskort och statlig e-legitimation utfärdas av de myn- digheter som regeringen bestämmer.

Paragrafen innehåller ett bemyndigande för regeringen att föreskriva vilken eller vilka myndigheter som ska utfärda det statliga identitets- kortet och den statliga e-legitimationen. Överväganden kring vilka myndigheter som bör ansvara för utfärdandet finns i avsnitt 9.4 och 12.5.

388

SOU 2019:14

Författningskommentar

5 § Ett statligt identitetskort ska utfärdas med en giltighetstid av fem år om inte annat följer av föreskrifter om begränsning av giltighets- tiden i särskilt angivna fall som meddelas av regeringen eller den myn- dighet regeringen bestämmer.

En statlig e-legitimation ska ha samma giltighetstid som det identi- tetskort den finns på.

Paragrafen innehåller bestämmelser om giltighetstid för det statliga identitetskortet och den statliga e-legitimationen. Övervägandena finns i avsnitt 10.2.5 och 12.14.

I första stycket framgår att det statliga identitetskortet som huvud- regel ska vara giltigt i fem år. Det motsvarar vad som tidigare gällt enligt 8 § IdF och 5 § förordningen om nationellt identitetskort. Bestämmelsen innehåller dock ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att i fall som anges särskilt meddela föreskrifter om att begränsa giltighetstiden. Bemyndigan- det innebär alltså inte en rätt att begränsa id-kortets giltighetstid generellt.

Av andra stycket följer att den statliga e-legitimationen ska ha samma giltighetstid som det id-kort som den finns på. Om giltig- hetstiden för id-kortet begränsas på grund av en sådan föreskrift om begränsning som kan meddelas enligt första stycket ska alltså även e-legitimationens giltighetstid begränsas.

6 § Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om villkor för när och hur den statliga e-legitimationen får användas.

Paragrafen innehåller ett bemyndigande för regeringen eller den myn- dighet regeringen bestämmer att föreskriva villkor för användningen av den statliga e-legitimationen. Övervägandena finns i avsnitt 12.13.

Även om avsikten med den statliga e-legitimationen är att den ska kunna användas inom stora delar av samhället kan det finnas behov av att kunna meddela föreskrifter om villkor avseende i vilka situa- tioner eller hos vilka aktörer den ska kunna användas. Föreskrifter kan exempelvis meddelas om vilka krav som ska ställas på en aktör som vill möjliggöra identifiering med den statliga e-legitimationen i sin e-tjänst.

389

Författningskommentar

SOU 2019:14

2 kap. Identitetshandlingarnas innehåll

1 § Ett statligt identitetskort med funktion som resehandling ska inne- hålla uppgift om innehavarens medborgarskap.

Paragrafen föreskriver att uppgift om medborgarskap ska finnas på ett statligt identitetskort med funktion som resehandling. Överväg- andena finns i avsnitt 10.2.6.

Att det statliga identitetskortet med funktion som resehandling ska innehålla uppgift om medborgarskap hänger samman med dess användning vid resor inom EU. Innehavaren måste då, om så begärs, kunna styrka sitt svenska medborgarskap och sin rätt att uppehålla sig i ett annat EU-land. Ett statligt identitetskort utan funktion som resehandling ska däremot inte innehålla uppgift om medborgarskap.

2 § Ett statligt identitetskort utan funktion som resehandling ska inne- hålla uppgift om att det inte kan användas som resehandling.

Bestämmelsen införs i syfte att undvika att de id-kort som inte kan användas i stället för pass vid resa förväxlas med resehandlingar. Para- grafen föreskriver att det ska framgå av det statliga identitetskortet utan funktion som resehandling att det inte har en sådan funktion. Texten bör anges på engelska eftersom informationen framför allt riktar sig till myndigheter i andra länder. Övervägandena finns i av- snitt 10.2.6.

Paragrafen föreskriver att fingeravtryck och ansiktsbild ska finnas i ett lagringsmedium på id-kortet. Övervägandena finns i avsnitt 11.4.4.

Paragrafen motsvarar delvis det som gällt för de nationella iden- titetskorten enligt 4 § förordningen om nationella identitetskort som föreskrivit att ansiktsbild får sparas i ett lagringsmedium på kortet. Bestämmelsen som nu införs innebär att både fingeravtryck och an- siktsbild som tas vid ansökan ska lagras i lagringsmediet på det stat- liga identitetskortet, oavsett om det utfärdas med eller utan funktion

390

SOU 2019:14

Författningskommentar

som resehandling. Även det fotografi som lämnas in när ansökan görs genom bud ska sparas i lagringsmediet.

Genom hänvisningen till 3 kap. 9–10 §§ framgår att det finns situa- tioner då det inte kommer att lagras några fingeravtryck i lagrings- mediet på kortet. Det gäller i de fall då ansökan görs genom bud samt i de fall då id-kortet utfärdas för barn under sex år eller för personer som av fysiska skäl är förhindrade att lämna fingeravtryck.

4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka andra uppgifter som det statliga identi- tetskortet och den statliga e-legitimationen ska innehålla.

Paragrafen innehåller ett bemyndigande för regeringen eller den myn- dighet regeringen bestämmer att föreskriva vilka andra uppgifter det statliga identitetskortet och den statliga e-legitimationen ska inne- hålla. Övervägandena finns i avsnitt 10.2.6 och 12.10.

3 kap. Ansökningsförfarandet

Ansökan

1 § Det statliga identitetskortet och den statliga e-legitimationen ut- färdas efter ansökan.

Bestämmelserna om ansökan om statligt identitetskort i detta kapitel gäller även för en ansökan om statlig e-legitimation.

Paragrafen föreskriver att både det statliga identitetskortet och den statliga e-legitimationen utfärdas efter ansökan och att bestämmel- serna om ansökan gäller för båda identitetshandlingarna. Överväg- andena finns i avsnitt 10.2.3 och 12.11.

För att få ett statligt identitetskort och en statlig e-legitimation måste enligt första stycket en ansökan göras. Eftersom det är fråga om två separata identitetshandlingar måste det framgå att ansökan om- fattar båda handlingarna. E-legitimationen ska inte påföras kortet automatiskt. Det måste stå klart för sökanden att så sker. Inget hindrar dock att ansökningen för båda handlingarna görs samordnat. Eftersom handlingarna ska utfärdas i samma process är det tvärtom lämpligt. Att det krävs en ansökan för att utfärda den statliga e-legi-

391

Författningskommentar

SOU 2019:14

timationen innebär att det är möjligt att utfärda ett statligt identi- tetskort som inte innehåller en e-legitimation. Ett id-kort utan e-legi- timation kommer exempelvis att kunna utfärdas till sökande som inte fyllt 13 år eftersom dessa enligt 1 kap. 3 § inte kan få en e-legi- timation. Det kan också finnas personer som av olika skäl inte vill ha en e-legitimation. Eftersom den statliga e-legitimationen endast kan finnas på det statliga identitetskortet är det däremot inte möjligt att få en e-legitimation utfärdad om det inte samtidigt utfärdas ett id-kort.

Av andra stycket framgår att utfärdandet av den statliga e-legiti- mationen ska följa processen för utfärdande av det statliga identi- tetskortet. De krav som gäller vid ansökan om id-kortet kommer härigenom att gälla även för e-legitimationen. Av bestämmelsen i 1 kap. 3 § följer emellertid att den utfärdande myndigheten också måste se till att kraven i tillitsramverket är uppfyllda. Tillitsram- verket innehåller exempelvis ett uttryckligt krav på att utfärdaren ska kontrollera att uppgifterna i ansökan är fullständiga och att de stäm- mer överens med uppgifter i ett officiellt register.

2 § En ansökan om ett statligt identitetskort ska avslås om förutsätt- ningarna enligt 1 kap. 2–3 §§ inte är uppfyllda eller om det som anges i detta kapitel, i kapitel 4 eller i föreskrifter om ansökningsförfarandet som har meddelats i anslutning till lagen inte har iakttagits och sökan- den inte har följt en uppmaning att avhjälpa bristen.

I paragrafen anges när en ansökan ska avslås.

Paragrafen motsvarar i huvudsak 4 § IdL och 8 § förordningen om nationellt identitetskort och innebär att ansökan om identitets- kort ska avslås om de grundläggande förutsättningarna för identi- tetskortets utfärdande inte är uppfyllda. Detsamma gäller om det som har föreskrivits i fråga om ansökan eller utlämnande inte har iakttagits och sökanden inte har följt en uppmaning att avhjälpa bristen. I bestämmelsen anges att även underlåtelse att iaktta föreskrifter som meddelats i anslutning till lagen ska leda till avslag. Det innebär att såväl föreskrifter som har meddelats med stöd av delegations- bestämmelser i lagen som föreskrifter som har meddelats med stöd av regeringens restkompetens eller i form av verkställighetsföreskrif- ter enligt 8 kap. 7 § RF omfattas.

392

SOU 2019:14

Författningskommentar

Personlig inställelse

3 § Den som ansöker om ett statligt identitetskort ska inställa sig per- sonligen om inte annat följer av 4 §.

I paragrafen föreskrivs ett krav på personlig inställelse vid ansökan. Övervägandena finns i avsnitt 10.2.7.

Paragrafen motsvarar vad som tidigare gällt enligt 3 § IdF och 2 § förordningen om nationellt identitetskort. Att sökanden inställer sig personligen skapar förutsättningar för att sökandens identitet ska kunna fastställas på ett säkert sätt och förhindra att id-kort utfärdas till fel person. Det är också en förutsättning för att den utfärdande myndigheten ska kunna ta sökandens fingeravtryck och ansiktsbild och göra de kontroller som föreskrivs i andra bestämmelser i kapitlet.

Undantag från kravet på personlig inställelse finns i 4 §.

4 § En ansökan om ett statligt identitetskort utan funktion som rese- handling får göras genom bud om sökanden på grund av sjukdom, funk- tionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myn- digheten. Budet ska inställa sig personligen för att lämna in ansökan.

Sökanden ska styrka att han eller hon är förhindrad att ta sig till den utfärdande myndigheten genom ett skriftligt intyg från en företrädare för den inrättning för vård eller omsorg som sökanden vistas på eller den som ansvarar för sökandens vård eller omsorg.

Budet och ett vittne ska i en skriftlig försäkran intyga att ansökan gjorts av sökanden och att det fotografi som bifogas ansökan enligt 9 § föreställer sökanden.

Paragrafen innehåller bestämmelser om en möjlighet för personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten att ansöka om id-kort utan funktion som resehandling genom bud. För ett id-kort med funktion som resehandling krävs alltid personlig inställelse. Över- vägandena finns i avsnitt 10.2.7.

I första stycket görs ett undantag från kravet på personlig inställ- else vid ansökan. Bestämmelsen innebär att personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten kan ansöka genom bud om de förut- sättningar som i övrigt anges i bestämmelsen är uppfyllda. Utan detta

393

Författningskommentar

SOU 2019:14

undantag skulle personer med svåra fysiska eller psykiska funktions- nedsättningar inte kunna få ett statligt identitetskort.

Eftersom förfarandet att ansöka genom bud innebär ett avsteg från det för säkerheten centrala kravet på personlig inställelse bör undantaget tillämpas mycket restriktivt. I första hand bör det vara fråga om personer som på grund av en fysisk funktionsnedsättning är helt förhindrade att ta sig till den utfärdande myndigheten. Enbart den omständigheten att en person t.ex. är rullstolsburen och inte själv kan framföra rullstolen är inte ett hinder mot att komma till myndigheten, om förflyttningen kan ske med stöd av någon annan.

Under vissa särskilt svåra omständigheter skulle dock även perso- ner med en grav psykisk funktionsnedsättning kunna anses vara för- hindrade att ta sig till den utfärdande myndigheten.

För att kompensera den lägre nivå av säkerhet som det innebär att sökanden inte själv sammanträffar med en representant för den utfärdande myndigheten uppställs i paragrafen ett antal krav som måste uppfyllas för att id-kort ska få utfärdas. Av bestämmelsen i första stycket framgår att budet måste inställa sig personligen för att lämna in ansökan. Genom att budet inställer sig personligen möjlig- görs att budets identitet kan kontrolleras och att en kontroll av sök- andens identitetshandling kan göras. Att så ska ske föreskrivs i 3 kap. 6 §.

Av andra stycket framgår att det förhållandet att sökanden är för- hindrad att ta sig till den utfärdande myndigheten måste styrkas. Detta ska ske genom att en företrädare för exempelvis det sjukhem, äldreboende eller boende för personer med funktionsnedsättning som sökanden vistas på skriftligen intygar att sökanden är förhindrad att inställa sig. För det fall sökanden ges vård i hemmet kan intyget skrivas av den som ansvarar för sökandens vård eller omsorg. Intyget ska skrivas av en representant för vårdinrättningen eller boendet, inte av den som faktiskt vårdar sökanden. Intyget kan t.ex. skrivas av en läkare eller annan legitimerad personal, verksamhetschefen för ett boende eller annan administrativ personal som har kännedom om sökandens hälsotillstånd. I intyget ska lämnas en försäkran om att sökanden inte kan ta sig till den utfärdande myndigheten på grund av sjukdom, funktionsnedsättning eller hög ålder.

Att ansökan gjorts av sökanden och att det fotografi som bifogas ansökan enligt 9 § föreställer sökanden ska enligt tredje stycket in- tygas i en skriftlig försäkran av budet och ett vittne. I detta ligger att

394

SOU 2019:14

Författningskommentar

både budet och vittnet måste vara närvarande när sökanden fyller i ansökan. På så sätt säkerställs att det är rätt person som gör ansökan.

Styrkande av identitet och andra personuppgifter

5 § Sökanden är skyldig att vid ansökan om ett statligt identitetskort styrka sin identitet och övriga personuppgifter som krävs för att identi- tetskort ska kunna utfärdas.

Vid ansökan om ett identitetskort med funktion som resehandling ska sökanden styrka sitt svenska medborgarskap.

I paragrafen regleras skyldigheten för sökanden att vid ansökan styrka sin identitet och övriga personuppgifter.

Paragrafen motsvarar 2 § 2 IdL och 3 § andra stycket 2 förord- ningen om nationellt identitetskort.

Av första stycket följer att sökanden ska styrka sin identitet och övriga personuppgifter. Att sökandens identitet säkerställs är av central betydelse för att garantera att utfärdandet av id-korten sker på en hög säkerhetsnivå. Hur detta ska ske följer av 6 § och de föreskrifter som kan meddelas enligt 7 §.

Vid ansökan om identitetskort med funktion som resehandling ska sökanden enligt andra stycket styrka sitt svenska medborgarskap. Eftersom kortet ska kunna användas som en resehandling genom vilken innehavaren ska kunna styrka sitt medborgarskap för att där- igenom styrka sin rätt att uppehålla sig i en annan EU-medlemsstat måste det utvisa innehavarens medborgarskap. Uppgift om med- borgarskap kan ofta hämtas direkt från folkbokföringsdatabasen men när den sökande är bosatt utomlands och inte folkbokförd i Sverige kan en utredning behöva göras av den utfärdande myndig- heten.

6 § Identiteten ska styrkas med en statlig fysisk identitetshandling. När ansökan görs genom bud ska både budets och sökandens iden-

titet styrkas med statliga fysiska identitetshandlingar i samband med att ansökan lämnas in.

I paragrafen föreskrivs hur identiteten ska styrkas i samband med ansökan. Övervägandena finns i avsnitt 8.6.2 och 10.2.7.

395

Författningskommentar

SOU 2019:14

I första stycket införs en bestämmelse om hur sökandens identitet som huvudregel ska styrkas. Någon motsvarande bestämmelse har tidigare inte funnits i lag eller förordning. På vilket sätt identiteten ska styrkas har hittills i stället, med ett undantag, angetts i myndig- hetsföreskrifter. I lag har reglerats möjligheten för personer som be- viljats uppehållstillstånd att styrka sin identitet genom en kontroll av uppgifterna i uppehållstillståndet.

Huvudregeln vid identifieringen kommer med den nya lagen att vara att sökanden ska identifiera sig med en statlig fysisk identitets- handling, dvs. pass eller statligt identitetskort. De statliga fysiska identitetshandlingarna håller en hög nivå av säkerhet och utgör där- med ett mycket starkt bevis för sökandens identitet. Vare sig kör- kort eller andra handlingar som tidigare varit tillräckliga för identi- fiering ska längre få användas för att styrka identiteten i samband med ansökan om id-kort. För att identiteten ska anses styrkt måste en noggrann kontroll göras av handlingen vilket innebär att den som kontrollerar sökandens identitet måste få handlingen överlämnad till sig för närmare granskning. Det är alltså inte tillräckligt att hand- lingen visas upp utan den måste lämnas över till den utfärdande myn- digheten för kontroll.

Att även ett bud ska styrka sin identitet med en statlig fysisk identitetshandling föreskrivs i andra stycket. Budet ska även ha med sig en motsvarande handling tillhörande sökanden i samband med att ansökan lämnas till den utfärdande myndigheten.

Som framgår av 7 § kan regeringen eller den myndighet reger- ingen bestämmer meddela undantag från huvudregeln om att en stat- lig fysisk identitetshandling ska användas för identifieringen.

7 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 6 § när det gäller sökande och bud som inte har en statlig fysisk identitetshandling.

Paragrafen innehåller ett bemyndigande för regeringen eller den myn- dighet regeringen bestämmer att föreskriva undantag från kravet på att identiteten ska styrkas med en statlig fysisk identitetshandling. Övervägandena finns i avsnitt 10.2.8.

396

SOU 2019:14

Författningskommentar

För att även personer som inte har tillgång till en statlig fysisk identitetshandling ska kunna få ett statligt identitetskort behöver det finnas möjlighet att göra avsteg från huvudregeln om hur identi- teten ska styrkas. Det kan exempelvis vara fråga om ett barn som ska skaffa sin första identitetshandling eller en utländsk medborgare som har fått uppehållstillstånd och blivit folkbokförd i Sverige och för första gången ska ansöka om en svensk identitetshandling. För dessa personer måste andra sätt att identifiera sig godtas.

Alternativa sätt till identifiering än genom särskilt uppräknande godtagbara identitetshandlingar har tidigare reglerats i de utfärdande myndigheternas föreskrifter. Föreskrifterna har öppnat för använd- ning av vissa utländska pass, skriftlig försäkran av intygsgivare eller andra tillförlitliga sätt. För identitetskort för folkbokförda i Sverige har dessutom i 3 § IdL föreskrivits att en sökande som har beviljats uppehållstillstånd ska anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om id-kort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet.

Undantagen kommer genom delegationsbestämmelsen att regleras i förordning eller som tidigare i myndigheternas föreskrifter. Efter- som det gäller undantag från den centrala bestämmelsen om hur iden- titeten ska styrkas är det väsentligt att de alternativa identifierings- sätten i föreskrifterna håller en hög säkerhetsnivå.

Skyldighet att lämna fingeravtryck och ta ansiktsbild

8 § Sökanden är skyldig att vid ansökan låta den utfärdande myndig- heten ta sökandens fingeravtryck och en bild i digitalt format av sök- andens ansikte om inte annat följer av 9–10 §§.

Paragrafen reglerar att fingeravtryck och ansiktsbild ska tas vid an- sökan om id-kort. Övervägandena finns i avsnitt 11.4.4.

Paragrafen motsvarar delvis 3 § andra stycket 1 förordningen om nationellt identitetskort och 2 § 1 IdL. Bestämmelsen som nu införs innebär att inte bara ansiktsbild utan även fingeravtryck ska lämnas. Fingeravtrycken och ansiktsbilden ska enligt 2 kap. 3 § sparas i ett lagringsmedium på identitetskortet oavsett om det utfärdas med eller utan funktion som resehandling. Ansiktsbilden ska även, liksom tidi-

397

Författningskommentar

SOU 2019:14

gare, finnas på själva id-kortet. Den kommer dessutom även fortsätt- ningsvis att sparas i id-kortsregistret. Fingeravtrycken får endast sparas tillfälligt i ärendehanteringssystemet under tiden som ärendet med anledning av ansökan pågår. Till skillnad från vad som gäller för ansiktsbilden får alltså inte fingeravtrycken sparas i id-kortsregistret. Det följer av bestämmelserna i 6 kap. 7 § andra stycket, 13 och 17 §§. Det finns alltså ingen möjlighet att med hjälp av de avtryck som lämnas bygga upp ett separat fingeravtrycksregister. Frågan om vilka fingrar som ska användas för avtryck kan regleras i verkställighets- föreskrifter.

9 § När ansökan görs genom bud och sökanden därför inte kan lämna fingeravtryck eller låta myndigheten ta en digital ansiktsbild ska sökan- den i stället ge in ett välliknande fotografi.

Paragrafen reglerar ett undantag från skyldigheten att låta den ut- färdande myndigheten ta sökandens fingeravtryck och ansiktsbild för det fall ansökan görs genom bud. Övervägandena finns i av- snitt 10.2.7 och 11.4.4.

Undantaget från kravet på att lämna fingeravtryck och ansikts- bild vid en personlig inställelse möjliggör, som beskrivits i kommen- taren till 3 kap. 4 §, för personer som på grund av sjukdom, funk- tionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten att få tillgång till ett statligt identitetskort. Det foto- grafi som lämnas in ska vara välliknande och uppfylla de krav som ställs på de bilder som tas av utfärdaren. Fotografiet ska, på samma sätt som när en ansiktsbild tas av den utfärdande myndigheten, lagras

iid-kortets lagringsmedium och finnas på själva id-kortet. Ytter- ligare föreskrifter om fotografiet och i vilket format det ska lämnas in kan meddelas i form av verkställighetsföreskrifter.

10 § Skyldigheten i 8 § att låta den utfärdande myndigheten ta sökan- dens fingeravtryck gäller inte för barn under sex år eller för personer som av fysiska skäl är förhindrade att lämna fingeravtryck.

I paragrafen regleras ett undantag från skyldigheten att lämna finger- avtryck för barn och personer som är fysiskt förhindrade att lämna fingeravtryck. Övervägandena finns i avsnitt 11.4.4.

398

SOU 2019:14

Författningskommentar

Undantaget för barn gäller barn som ännu inte har fyllt sex år den dag då ansökan görs.

Fysiska hinder kan antingen var permanenta, såsom att personen saknar fingrar, har förstörda fingeravtryck eller av någon annan an- ledning inte kan lämna avtryck som håller godtagbar kvalitet. Det kan också röra sig om mer tillfälliga skador. För personer som endast har övergående skador kan det finnas anledning att begränsa giltig- hetstiden för id-kortet. Bestämmelser om begränsning av giltighets- tiden i särskilt angivna fall kan meddelas av regeringen med stöd av 1 kap. 5 §.

Kontroll av fingeravtryck och ansiktsbild

11 § Om en sökande styrker sin identitet med en identitetshandling som innehåller ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade får den utfärdande myndigheten kontrollera att dessa motsvarar de fingeravtryck och den ansiktsbild som tas vid ansökningstillfället.

I paragrafen regleras möjligheten att kontrollera sökandens finger- avtryck och ansiktsbild mot de fingeravtryck och den ansiktsbild som finns på sökandens identitetshandling. Övervägandena finns i avsnitt 11.6.1.

Genom att en sådan kontroll görs kan det säkerställas att sökan- den är den person som fått den identitetshandling som används för identifiering utfärdad. Den handling som används för identifiering och därigenom för kontrollen kan vara en statlig identitetshandling eller någon annan handling som det enligt föreskrifter som reger- ingen meddelat är tillåtet att identifiera sig med och som innehåller fingeravtryck eller ansiktsbild. Som exempel kan nämnas att även pass utfärdade av andra EU-länder innehåller sådana uppgifter.

12 § Om en sökande som har beviljats uppehållstillstånd i Sverige styrker sin identitet på annat sätt än genom en sådan identitetshandling som avses i 11 §, får den utfärdande myndigheten kontrollera att de fingeravtryck och den ansiktsbild som tas vid ansökningstillfället mot- svarar de fingeravtryck och den ansiktsbild som finns lagrade i sökan- dens uppehållstillståndskort.

399

Författningskommentar

SOU 2019:14

I paragrafen regleras möjligheten att kontrollera sökandens finger- avtryck och ansiktsbild mot de fingeravtryck och den ansiktsbild som finns i sökandens uppehållstillståndskort. Övervägandena finns i avsnitt 11.6.1.

Bestämmelsen är tillämplig när en person som har beviljats uppe- hållstillstånd i Sverige ansöker om ett statligt identitetskort. Den gäller i de fall då personen inte styrker sin identitet med en iden- titetshandling som innehåller fingeravtryck och ansiktsbild i ett lag- ringsmedium, oavsett vad det beror på att personen inte kan styrka sin identitet på detta sätt. Genom en sådan jämförelse kan det säker- ställas att det är samma person som uppehållstillståndskortet är utfärdat för som ansöker om id-kortet.

13 § Den utfärdande myndigheten får, under de förutsättningar som anges i 6 kap. 10 § andra stycket och 37 § andra stycket passlagen (1978:302), jämföra den ansiktsbild som tas vid ansökningstillfället och de biometriska uppgifter som tas fram ur denna med ansiktsbilder och biometriska uppgifter som finns i det register som ska föras enligt 6 kap. 5 § och i passregistret enligt 35 § passlagen (1978:302).

Paragrafen medger att den utfärdande myndigheten får göra en sök- ning i registren för att utröna om en bild av sökandens ansikte finns

iid-kortsregistret eller passregistret. Övervägandena finns i av- snitt 11.4.4.

Bestämmelsen kompletteras av regler som finns intagna i 6 kap.

10 § och 37 § passlagen om undantag från de sökförbud som normalt gäller i registren för ansiktsbilder och biometriska uppgifter som tas fram ur dessa. Genom att sökandens ansikte jämförs med samtliga ansiktsbilder i registren kan det förhindras att samma person kan skaffa sig flera identitetshandlingar med olika identiteter.

4 kap. Utlämnande

1 § Ett statligt identitetskort ska lämnas ut till sökanden personligen. Om ansökan har gjorts genom bud i enlighet med 3 kap. 4 § får det stat- liga identitetskortet lämnas ut till budet personligen.

400

SOU 2019:14

Författningskommentar

I paragrafen föreskrivs ett krav på personlig inställelse vid utlämnande av det statliga identitetskortet. Övervägandena finns i avsnitt 10.2.7.

Paragrafen motsvarar vad som tidigare gällt enligt 9 § IdF och 6 § första meningen förordningen om nationellt identitetskort. Den per- sonliga inställelsen vid utlämnandet är, liksom vid ansökan, väsentlig för säkerheten i utfärdandet. Genom att sökanden inställer sig per- sonligen förhindras att id-kortet lämnas ut till fel person. Det är ock- så en förutsättning för att den utfärdande myndigheten ska kunna göra de kontroller av sökandens identitet som regleras i 3 §.

Kravet på personlig inställelse är dock inte undantagslöst. Om ansökan har gjorts genom bud på grund av att sökanden till följd av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten får samma bud även hämta ut det färdiga id-kortet.

2 § Om ett statligt identitetskort ska lämnas ut av en utfärdande myn- dighet utom riket, får myndigheten medge att det görs hos ett ombud för myndigheten.

Paragrafen medger att utlandsmyndigheterna får låta ett ombud lämna ut det statliga identitetskortet. Övervägandena finns i avsnitt 10.2.7.

Bestämmelsen motsvarar vad som tidigare gällt enligt 6 § andra meningen förordningen om nationellt identitetskort.

3 § Innan det statliga identitetskortet lämnas ut är sökanden skyldig att på begäran styrka sin identitet med en statlig fysisk identitetshand- ling eller på något av de sätt som anges i föreskrifter om undantag vid ansökan som meddelats med stöd av 3 kap. 7 §. Om det statliga iden- titetskortet lämnas ut till ett bud ska både budets och sökandens identitet styrkas på något av dessa sätt.

Paragrafen reglerar de kontroller som den utfärdande myndigheten kan göra innan det statliga identitetskortet lämnas ut. Övervägan- dena finns i avsnitt 10.2.7, 10.2.8 och 11.6.1.

401

Författningskommentar

SOU 2019:14

I första stycket införs en bestämmelse om att sökanden på begäran ska styrka sin identitet innan id-kortet lämnas ut. Detta ska som huvudregel ske med en statlig fysisk identitetshandling. Någon mot- svarande bestämmelse har inte tidigare funnits i lag eller förordning. Som anges i kommentaren till 3 kap. 6 § måste den utfärdande myn- digheten göra en noggrann kontroll av handlingen.

Av första stycket framgår också att de föreskrifter om undantag från huvudregeln om att identiteten i samband med ansökan ska styrkas med en statlig fysisk identitetshandling som kan meddelas av regeringen eller den myndighet regeringen bestämmer gäller även vid utlämnandet.

Även ett bud ska som huvudregel styrka sin identitet med en stat- lig fysisk identitetshandling. Budet ska även ha med sig en sådan hand- ling tillhörande sökanden i samband med att id-kortet hämtas ut.

Av andra stycket följer att sökanden även är skyldig att på begäran lämna fingeravtryck och låta en bild i digitalt format tas av ansiktet. Den utfärdande myndigheten kan jämföra dessa med de fingeravtryck och den ansiktsbild som finns lagrade i det identitetskort som ska lämnas ut. Genom en sådan kontroll säkerställs att det är rätt person som hämtar ut id-kortet.

Bestämmelserna i första och andra styckena innebär inte något absolut krav på att sökanden måste styrka sin identitet, lämna finger- avtryck eller låta utfärdaren ta en ansiktsbild. Detta krävs bara om den utfärdande myndigheten begär det. Myndigheten kan välja att helt utesluta kontrollen eller, om det bedöms lämpligt, endast kon- trollera antingen sökandens identitetshandling, fingeravtryck eller ansiktsbild. Bestämmelsen lämnar alltså utrymme för ett mer flexi- belt utlämnande som också kan baseras på en bedömning av risken i det enskilda fallet.

Om id-kortet lämnas ut till ett bud krävs dock att både budets och sökandens identitet styrks genom något av de föreskrivna sätten. Skälet till skillnaden är att det i detta fall det inte finns någon person som ansiktsbilden på det kort som lämnas ut kan jämföras emot.

4 § Om ett statligt identitetskort tidigare har utfärdats för sökanden och det inte har förstörts, kommit bort eller makulerats, ska kortet ges in för makulering när det nya kortet lämnas ut.

402

SOU 2019:14

Författningskommentar

I paragrafen uppställs krav på att ett tidigare utfärdat statligt identi- tetskort ska lämnas in för makulering. Övervägandena finns i av- snitt 10.2.9.

Tidigare gällde enligt 6 § IdF och 3 § fjärde stycket förordningen om nationellt identitetskort att det gamla id-kortet som huvudregel skulle lämnas in i samband ansökan. I 15 § IdF och 21 § förordning- en om nationellt identitetskort angavs dock att makulering i stället kunde ske när det nya id-kortet lämnades ut om innehavaren hade behov av det gamla kortet under handläggningstiden. Bestämmelsen om att det gamla id-kortet ska lämnas in först då det nya lämnas ut införs mot bakgrund av att sökanden kan antas ha stort behov av det gamla id-kortet till dess att det nya lämnas ut, eftersom det kan för- väntas att det i normalfallet är den enda identitetshandling med generell räckvidd som sökanden har.

En annan skillnad jämfört med den tidigare regleringen är att även id-kort vars giltighetstid har gått ut ska lämnas in för makulering. På så sätt syns det tydligare att kortet inte längre gäller.

Ett tidigare utfärdat statligt identitetskort ska lämnas in oavsett vilken typ av kort som utfärdats tidigare. Det innebär att om ansökan gäller ett id-kort med funktion som resehandling ska ett tidigare utfärdat kort utan sådan funktion lämnas in och vice versa. En och samma person kan alltså bara inneha ett statligt identitetskort i taget oavsett om det har funktion som resehandling eller inte.

5 kap. Återkallelse

1 § Ett statligt identitetskort ska återkallas om

1.det fanns hinder mot att utfärda identitetskortet vid tiden för ut- färdandet och hindret fortfarande består,

2.någon väsentlig uppgift som framgår av identitetskortet är felaktig eller inte längre gäller,

3.någon annan än den som identitetskortet är utställt på förfogar över kortet, eller

4.identitetskortet är trasigt, utslitet eller obehörigen ändrat.

Paragrafen reglerar grunderna för återkallelse av det statliga identi- tetskortet. Övervägandena finns i avsnitt 10.2.10.

403

Författningskommentar

SOU 2019:14

Paragrafen motsvarar delvis 6 § IdL och 9 § förordningen om nationellt identitetskort. Vad som anges i andra punkten om att en väsentlig uppgift som framgår av identitetskortet är felaktig eller inte längre gäller har tidigare endast gällt identitetskort för folkbokförda i Sverige. Bestämmelsen omfattar både rena felskrivningar och änd- ringar av personuppgifter, t.ex. om personer har bytt namn eller fått nytt personnummer efter att id-kortet utfärdats. När det gäller identitetskort med funktion som resehandling utgör svenskt med- borgarskap en sådan väsentlig uppgift som avses i bestämmelsen. En ändring beträffande medborgarskapet omfattas därför av den åter- kallelsegrunden. Den särskilda återkallelsegrunden beträffande med- borgarskap som tidigare gällt för nationellt identitetskort förs därför inte in i den nya lagen.

Fjärde punkten är ny. Bestämmelsen införs eftersom trasiga, ut- slitna eller obehörigen ändrade id-kort av säkerhetsskäl inte bör gälla som identitetshandlingar.

2 § Om ett statligt identitetskort återkallas enligt 1 § upphör även den statliga e-legitimationen att gälla.

Utan att det påverkar giltigheten av identitetskortet ska e-legitima- tionen återkallas om det är nödvändigt av säkerhetsskäl.

En återkallelse av e-legitimationen kan, om det är lämpligt med hänsyn till omständigheterna, begränsas till viss bestämd tid, dock högst sex månader. Återkallelsen ska hävas så snart de omständigheter som påkallat återkallelsen har upphört.

I paragrafen regleras återkallelse av den statliga e-legitimationen. Övervägandena finns i avsnitt 12.15.

Om ett statligt identitetskort återkallas på någon av de grunder som anges i 1 § ska enligt första stycket inte heller den statliga e-legi- timationen längre gälla. Det är alltså inte möjligt att ha kvar e-legi- timationen om id-kortet återkallas.

Den statliga e-legitimationen kan också återkallas utan att giltig- heten av det fysiska id-kortet påverkas. Det följer av andra stycket att så kan ske om det är nödvändigt av säkerhetsskäl. Det kan avse situa- tioner där bedräglig användning av e-legitimationen rör ett stort antal användare, men det kan också vara fråga om att en enskild e-legiti- mation används på ett sätt som gör att misstanke om bedräglig an- vändning uppstår.

404

SOU 2019:14

Författningskommentar

En återkallelse på grund av säkerhetsskäl kan enligt tredje stycket begränsas till att gälla viss tid, dock högst sex månader. Tillfällig åter- kallelse kan användas om det uppstår misstanke om bedräglig an- vändning av e-legitimationen som påkallar ett mycket skyndsamt agerande innan en fullständig utredning kunnat göras. Av 25 § första stycket 3 förvaltningslagen framgår att en myndighets beslut får med- delas omedelbart utan föregående kommunikation med parten om ett väsentligt allmänt eller enskilt intresse kräver det. Ett beslut om tillfällig återkallelse bör därför ofta kunna fattas utan att parten under- rättas i förväg.

En tillfällig återkallelse ska hävas så snart de omständigheter som påkallat återkallelsen har upphört. Det kan efter en mer utförlig utred- ning visa sig att säkerhetsbristen inte var så allvarlig som inlednings- vis befarats. Det kan också vara fråga om en brist som har åtgärdats. Om säkerhetsbristen inte kan åtgärdas ska i stället e-legitimationen återkallas permanent.

En statlig e-legitimation som har återkallats eller upphört att gälla enligt paragrafen ska inte längre kunna användas och ska därför spär- ras elektroniskt. Vid en tillfällig återkallelse måste den utfärdande myndigheten dock se till att spärren inte görs permanent. Om en innehavare inte längre vill använda den statliga e-legitimationen, t.ex. för att det inte känns säkert efter att en tillfällig återkallelse hävts, ska också e-legitimationen upphöra att gälla och spärras.

6 kap. Behandling av personuppgifter

Inledande bestämmelser

Förhållandet till annan reglering

1 § Detta kapitel kompletterar Europaparlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförord- ning.

Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsför- ordning och föreskrifter som har meddelats i anslutning till den lagen,

405

Författningskommentar

SOU 2019:14

om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

I paragrafen tydliggörs förhållandet mellan bestämmelserna i kapitlet och bestämmelserna i annan svensk dataskyddsreglering respektive i dataskyddsförordningen. Övervägandena finns i avsnitt 10.3.1.

Bestämmelsen motsvarar 10 § IdL och är en upplysning till tillämp- aren om att det finns andra dataskyddsbestämmelser som är tillämp- liga. I första stycket anges att bestämmelserna i kapitlet kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt till- lämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Kapitlet innehåller bestämmel- ser som kompletterar dataskyddsförordningen när det gäller id-korts- registret och annan behandling av personuppgifter. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse.

I andra stycket upplyses om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt detta kapitel. Detta gäller dock endast om inte något annat följer av kapitlet eller av föreskrifter som har med- delats i anslutning till kapitlet.

Personuppgiftsansvar

2 § Den myndighet som för register över statliga identitetskort och stat- liga e-legitimationer är personuppgiftsansvarig för behandling av per- sonuppgifter i registret.

De utfärdande myndigheterna är personuppgiftsansvariga för den be- handling av personuppgifter som respektive myndighet i övrigt utför i verksamheten med statliga identitetskort och statliga e-legitimationer.

Paragrafen innehåller bestämmelser om personuppgiftsansvar. Över- vägandena finns i avsnitt 10.3.1 och 11.4.4.

406

SOU 2019:14

Författningskommentar

Av första stycket framgår att den myndighet som enligt 5 § för register över statliga identitetskort och statliga e-legitimationer är personuppgiftsansvarig för behandlingen av personuppgifter i registret. Vilken myndighet som ska föra register och därmed ha personupp- giftsansvaret bestäms av regeringen. Personuppgiftsansvaret innebär ett ansvar för att behandlingen stämmer överens med dataskydds- förordningen och de kompletterande bestämmelser till denna som finns i nationell rätt, dvs. i den generella regleringen i dataskydds- lagen, i denna lag och i föreskrifter som meddelats med stöd av dessa lagar.

I andra stycket anges att de utfärdande myndigheterna i övrigt är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför. Varje utfärdande myndighet ansvarar alltså själv för den behandling av personuppgifter som sker inom ra- men för myndighetens verksamhet. Bestämmelsen gäller bl.a. för be- handlingen av fingeravtryck eftersom den inte sker i id-kortsregistret.

Ändamål

3 § Personuppgifter får behandlas om det är nödvändigt för den ut- färdande myndighetens verksamhet för utfärdande av statligt identitets- kort och statlig e-legitimation.

Personuppgifter som behandlas enligt första stycket får även behandlas

1.om det är nödvändigt för utfärdande av pass,

2.av Polismyndigheten om det är nödvändigt för gränskontroll,

3.av Polismyndigheten om det är nödvändigt för att förebygga, för- hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

4.om det är nödvändigt för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning, och

5.för andra ändamål, under förutsättning att uppgifterna inte be- handlas på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

I paragrafen anges de ändamål för vilka personuppgifter får behand- las. Ändamålsbestämmelsen omfattar all behandling av personupp- gifter i id-kortsverksamheten och inte endast den som sker i id-korts- registret. Övervägandena finns i avsnitt 10.3.2 och 12.16.

407

Författningskommentar

SOU 2019:14

Det huvudsakliga ändamålet med behandlingen är naturligtvis som framgår enligt första stycket att den är nödvändig i den utfärd- ande myndighetens verksamhet för utfärdande av statligt identitets- kort och statlig e-legitimation. Detta är de primära ändamålen. Per- sonuppgifter får både samlas in och vidarebehandlas för dessa ända- mål. Bestämmelsen motsvarar i sak vad som tidigare gällt för både identitetskort för folkbokförda i Sverige och för nationellt identi- tetskort enligt 12 § första stycket IdL respektive 15 § förordningen om nationellt identitetskort.

Att behandlingen ska vara nödvändig för ändamålet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig för ända- målet. Det unionsrättsliga begreppet nödvändig har inte en så strikt innebörd. Behandlingen kan anses nödvändig, och därmed tillåten, om behandlingen leder till effektivitetsvinster. Att behandlingen skulle kunna ske manuellt, dvs. utan tekniska hjälpmedel, medför därför normalt inte att automatisk behandling inte anses nödvändig.

I andra stycket regleras de sekundära ändamålen. Endast sådana uppgifter som redan har samlats in för de ändamål som anges i första stycket får behandlas för dessa ändamål. Det är alltså inte tillåtet att samla in personuppgifter för dessa ändamål.

Personuppgifter, som får behandlas i id-kortsverksamheten, får enligt första punkten även behandlas om det är nödvändigt för att ut- färda pass. Bestämmelsen klargör att uppgifterna som finns i id-korts- verksamheten även får behandlas om det behövs för att utfärda pass. Det kan exempelvis vara nödvändigt att kontrollera uppgifter i id- kortsregistret i syfte att se till att inte samma person innehar flera identitetshandlingar med olika identiteter och att sökanden inte an- söker om att få ett pass med en annan persons identitet.

De personuppgifter som har samlats in i id-kortsverksamheten får även enligt andra punkten vidarebehandlas av Polismyndigheten om det är nödvändigt för gränskontroll. Med gränskontroll avses kontroll av svenska och utländska medborgare som passerar Sveriges gränser eller Schengengränserna. Polismyndigheten har enligt 5 a § passlagen och 9 kap. 1 § utlänningslagen huvudansvaret för sådan kontroll. Bestämmelsen tydliggör att Polismyndigheten får behandla de personuppgifter som finns i id-kortsverksamheten om det är nödvändigt för gränskontroll. Polismyndigheten biträds i gränskon- trollverksamheten av Tullverket, Kustbevakningen och Migrations-

408

SOU 2019:14

Författningskommentar

verket. Dessa myndigheters behov av att kunna ta del av person- uppgifter i id-kortsregistret tillgodoses emellertid framför allt av den sekundära ändamålsbestämmelsen om uppgiftslämnande som sker i överensstämmelse med lag eller förordning, se nedan.

Personuppgifter som behandlas i id-kortsverksamheten får enligt tredje punkten även behandlas av Polismyndigheten om det är nöd- vändigt för att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Ändamålen motsvarar 1 kap. 1 § lagen om polisens be- handling av personuppgifter inom brottsdatalagens område. Vid den fortsatta behandlingen för dessa ändamål gäller den lagen och brotts- datalagen.

Såväl för de myndigheter som bistår Polisen med gränskontroll, som för de myndigheter som jämte Polisen har ansvar för brotts- bekämpningen, finns behov att ta del av uppgifter i id-kortsregistret. Dessa myndigheter kan få del av uppgifterna med stöd av fjärde punkten som föreskriver att de får vidarebehandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen motsvarar 12 § andra stycket IdL. Att uppgiftslämnandet ska ske i överensstämmelse med lag eller förordning innebär att det ska ske med stöd av bestämmelser som antingen påbjuder eller tillåter utlämnande. Bestämmelser om upp- giftslämnande finns t.ex. i 6 kap. 5 § OSL. I bestämmelsen finns en allmän skyldighet för en myndighet att på begäran av en annan myn- dighet lämna ut uppgifter som inte omfattas av sekretess, om det inte skulle hindra arbetets behöriga gång.

I femte punkten erinras också om att den s.k. finalitetsprincipen därutöver gäller vid behandling av personuppgifter enligt lagen. Prin- cipen innebär att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. Be- stämmelsen innebär att personuppgifter, som behandlas för de ända- mål som uttryckligen anges i paragrafen även får behandlas för andra ändamål när det inte strider mot finalitetsprincipen. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförord- ningen och ska ges en tolkning som har stöd i förordningen. Det innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen.

409

Författningskommentar

SOU 2019:14

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra in- vändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen innehåller en begränsning av den registrerades rätt att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Över- vägandena finns i avsnitt 10.3.1.

Bestämmelsen innebär ett undantag från den rätt att invända mot behandling av personuppgifter som regleras i artikel 21.1 i data- skyddsförordningen. Enligt den artikeln ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter. Den personuppgiftsansvarige får då inte längre behandla personupp- gifterna om denne inte kan påvisa tvingande berättigade skäl för be- handlingen som väger tyngre än den registrerades intressen. Med- lemsstaterna får emellertid, med stöd i artikel 23 i förordningen, under vissa förutsättningar införa undantag från denna bestämmelse. Åtgärden att ska utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa den nationella säkerheten, försvaret eller den allmänna säkerheten.

Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller alltså inte rätten att göra invändningar enligt dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse.

Bestämmelsen omfattar all behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som meddelats i anslutning till den och inte endast den som sker i id-kortsregistret.

5 § Den myndighet som regeringen bestämmer ska med hjälp av auto- matiserad behandling föra register över statliga identitetskort och stat- liga e-legitimationer.

410

SOU 2019:14

Författningskommentar

I paragrafen anges att ett register ska föras över statliga identitets- kort och statliga e-legitimationer, ett id-kortsregister, och innebär en delegation till regeringen att besluta om vilken myndighet som ska föra registret. Övervägandena finns i avsnitt 10.3.1.

Bestämmelsen motsvarar i huvudsak, så vitt gäller de fysiska id- korten, 8 § IdL och 14 § förordningen om nationellt identitetskort. I 6–12 §§ regleras vad som gäller för behandlingen i id-kortsregistret. Bestämmelserna gäller alltså endast för den behandling som sker i id- kortsregistret och inte sådan behandling som i övrigt sker i den ut- färdande myndighetens ärendehanteringssystem.

Personuppgifter som ska eller får behandlas

6 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförord- ning (känsliga personuppgifter) får behandlas i registret endast om upp- gifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

I paragrafen regleras när känsliga personuppgifter får behandlas i id- kortsregistret. Övervägandena finns i avsnitt 10.3.3.

Med känsliga personuppgifter avses sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Bestämmel- sen motsvarar i huvudsak 13 § IdL. Känsliga personuppgifter får be- handlas om de har lämnats i ett ärende eller om de är nödvändiga för ärendets handläggning.

Den utfärdande myndigheten behöver bl.a. behandla uppgifter om sökandens namn och medborgarskap. Vid ansökan tas också en ansiktsbild på sökanden. Sådana uppgifter kan i vissa fall avslöja en persons ras eller etniska ursprung. Vidare behöver biometriska upp- gifter som tas fram ur ansiktsbilder behandlas. Behandlingen av dessa uppgifter är tillåten enligt bestämmelsen.

411

Författningskommentar

SOU 2019:14

7 § Registret ska innehålla en kopia av vid ansökningstillfället tagen ansiktsbild eller inlämnat fotografi enligt 3 kap. 8–9 §§ och de biomet- riska uppgifter som tas fram ur dessa.

Registret får inte innehålla fingeravtryck eller de biometriska upp- gifter som kan tas fram ur dessa.

I paragrafen regleras vilka uppgifter som enligt lagen ska tas in i regist- ret och vilka som inte får tas in. Övervägandena finns i avsnitt 11.4.4.

Bestämmelsen i första stycket motsvarar delvis 14 § IdL och 16 § 3 förordningen om nationellt identitetskort som anger att ansikts- bilden får sparas.

Genom bestämmelsen införs även ett krav på att lagra biomet- riska uppgifter som tas fram ur ansiktsbilder och fotografier i id- kortsregistret. Med biometriska uppgifter avses enligt definitionen i artikel 4.14 i dataskyddsförordningen personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, så- som ansiktsbilder eller fingeravtrycksuppgifter. Behandling av foton anses dock inte utgöra behandling av biometriska uppgifter annat än när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person, exempelvis i ett ansiktsigen- känningsprogram. Genom införandet av bestämmelsen om att bio- metriska uppgifter som kan tas fram ur ansiktsbilden ska sparas i id- kortsregistret möjliggörs sökning på de ansiktsbilder som finns i registret.

Enligt andra stycket är det förbjudet att i registret föra in de fingeravtryck som tas vid ansökan och som finns på id-korten. Det- samma gäller de biometriska uppgifter som tas fram ur fingerav- trycken. Dessa uppgifter får bara behandlas tillfälligt. Se vidare kom- mentaren till 13 §.

412

SOU 2019:14

Författningskommentar

8 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om vilka uppgifter registret ska eller får innehålla.

Paragrafen innehåller ett bemyndigande för regeringen eller den myn- dighet regeringen bestämmer att föreskriva vilka uppgifter id-korts- registret ska eller får innehålla. Övervägandena finns i avsnitt 10.3.4.

Sökbegränsningar

I paragrafen föreskrivs begränsningar för användning av känsliga personuppgifter och vissa uppgifter kopplade till lagöverträdelser och liknande som sökbegrepp i id-kortsregistret. Övervägandena finns i avsnitt 10.3.1.

Bestämmelsen innebär ett förbud mot att använda känsliga per- sonuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som sökbegrepp vid sökning i registret. Bestäm- melsen motsvarar 17 § andra stycket IdL. I 10 § andra stycket finns ett undantag som medger viss sökning på känsliga personuppgifter i form av biometriska uppgifter.

10 § Ansiktsbilder och fotografier får inte användas som sökbegrepp om inte annat följer av andra stycket.

Vid ansökan om statligt identitetskort eller om pass får den ansikts- bild som tas eller det fotografi som lämnas in samt de biometriska upp- gifter som tas fram ur dessa användas som sökbegrepp vid sökning i registret om det är nödvändigt för att kontrollera om ansiktsbilden eller fotografiet motsvarar någon ansiktsbild som finns i registret.

Paragrafen reglerar användning av ansiktsbilder och fotografier samt de biometriska uppgifter som tas fram ur dessa som sökbegrepp i id- kortsregistret. Bestämmelsen motsvarar i huvudsak 17 § första stycket

413

Författningskommentar

SOU 2019:14

IdL och 18 § första stycket förordningen om nationellt identitets- kort. Övervägandena finns i avsnitt 11.4.4.

Bestämmelsen i första stycket innebär att ansiktsbilder och foto- grafier inte får användas som sökbegrepp vid sökning med hjälp av automatiserad behandling i id-kortsregistret. De biometriska upp- gifter som tas fram ur ansiktsbild eller fotografi är sådana känsliga uppgifter som det är förbjudet att använda som sökbegrepp redan på grund av bestämmelsen i 9 §. Någon motsvarande sökbegränsning för fingeravtryck krävs inte eftersom den följer direkt av att finger- avtryck överhuvudtaget inte får behandlas i registret. När det gäller sökbegränsning för fingeravtryck vid annan behandling, se kommen- taren till 14 §.

I andra stycket finns ett undantag som vid viss sökning medger att ansiktsbilden, fotografiet och de biometriska uppgifter som kan tas fram ur dessa får användas som sökbegrepp. Det gäller vid ansök- ningstillfället och då endast om det är nödvändigt för att kontrollera om sökandens ansiktsbild finns i registret, dvs. om den förekommit i en annan ansökan om identitetskort. Sökning får göras inte bara i samband med ansökan om statligt identitetskort, utan även i sam- band med ansökan om pass. Sökningen får på motsvarande sätt göras även i passregistret med stöd av 37 § andra stycket passlagen. Genom att sökandens ansikte jämförs med samtliga ansiktsbilder i registret kan det förhindras att samma person kan skaffa sig flera identitets- handlingar i olika identiteter. Automatiska ansiktsigenkänningspro- gram kan användas som ett hjälpmedel vid identitetskontrollen, men ersätter inte den manuella kontroll som handläggaren gör. Angående begreppet nödvändigt, jämför vad som sägs i kommentaren till 6 kap. 3 §.

Utlämnande av uppgift om identitetskorts giltighet

11 § Uppgift om giltigheten av ett statligt identitetskort får lämnas ut genom direktåtkomst.

Paragrafen medger att uppgifter om det statliga identitetskortets giltighet får lämnas ut genom direktåtkomst. Övervägandena finns i avsnitt 10.3.1.

Bestämmelsen motsvarar 16 § IdL.

414

SOU 2019:14

Författningskommentar

Längsta tid som personuppgifter får behandlas

1.giltighetstiden för ett identitetskort gått ut,

2.en ansökan om identitetskort avslagits, eller

3.en ansökan återkallats.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgifter och handlingar får behandlas för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål under längre tid än vad som anges i första stycket.

I paragrafen regleras den längsta tid som personuppgifter och hand- lingar i id-kortsregistret får behandlas. Övervägandena finns i av- snitt 10.3.5.

I första stycket anges att uppgifter och handlingar i id-kortsregistret inte får behandlas längre än vad som är nödvändigt för de ändamål de behandlas för. Detta följer redan av de allmänna principerna i artikel 5 i dataskyddsförordningen. För att ytterligare avgränsa den behandling som är tillåten har en yttersta tidsfrist om tio år införts.

Flera uppgifter som finns i registret kan behöva sparas under en lång tid. Uppgifterna behövs för att det ska vara möjligt att göra olika kontroller i samband med att en person söker om ett nytt id- kort. Härigenom möjliggörs kontroll av att den sökande inte innehar flera kort med olika identiteter eller ansöker om att få ett kort med en annan persons identitet. Bestämmelsen är utformad så att den yttersta tidsfristen går ut tio år efter utgången av det kalenderår då id-kortets giltighetstid gått ut eller ansökan avslagits eller återkallats. Det innebär att tidpunkten för när uppgifterna inte längre får be- handlas alltid kommer att infalla i samband med ett årsskifte. Att bestämmelsen anger en yttersta tidsgräns innebär inte att alla upp- gifter i registret ska behandlas under så lång tid. En bedömning av hur länge de olika typerna av uppgifter behöver behandlas måste göras av den personuppgiftsansvariga. Angående begreppet nödvändigt, jämför vad som sägs i kommentaren till 6 kap. 3 §.

Andra stycket innehåller ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att föreskriva en längre tid för

415

Författningskommentar

SOU 2019:14

behandling än vad som anges i första stycket. Föreskrifterna får avse behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Bestämmelsen är utformad i enlighet med dataskyddsförordningens terminologi.

Tillfällig behandling av fingeravtryck, ansiktsbilder och biometriska uppgifter i samband med utfärdandet

Behandling av fingeravtryck

I paragrafen regleras tillfällig behandling av fingeravtryck. Överväg- andena finns i avsnitt 11.4.4.

De fingeravtryck som ska tas vid ansökan om statligt identitets- kort för att lagras i lagringsmediet på id-kortet och de biometriska uppgifter som kan tas fram ur dessa får endast behandlas av den utfär- dande myndigheten under tiden handläggningen av sökandens an- sökan pågår. Av 17 § framgår att de därefter ska tas bort. Syftet med den tillfälliga lagringen är att den utfärdande myndigheten ska kunna göra en kvalitetskontroll av uppgifterna på id-kortet i samband med att id-kortet lämnas ut. Fingeravtrycken får inte sparas i id-korts- registret utan endast lagras tillfälligt i den utfärdande myndighetens ärendehanteringssystem.

Sökbegränsning

14 § Fingeravtryck och biometriska uppgifter som kan tas fram ur dessa får inte användas som sökbegrepp.

Av paragrafen framgår att fingeravtryck och de biometriska upp- gifter som kan tas fram ur dessa inte får användas som sökbegrepp. Övervägandena finns i avsnitt 11.4.4.

Fingeravtryck som tas av den utfärdande myndigheten får inte i något sammanhang användas som sökbegrepp vid sökning med hjälp av automatiserad behandling. De fingeravtryck som tas vid ansökan

416

SOU 2019:14

Författningskommentar

och som lagras tillfälligt hos den utfärdande myndigheten omfattas alltså, till skillnad från de ansiktsbilder som lagras i id-kortsregistret, av ett undantagslöst sökförbud.

Längsta tid som personuppgifterna tillfälligt får behandlas

15 § När en kontroll har genomförts vid ansökningstillfället enligt 3 kap. 11 eller 12 § ska de fingeravtryck och den ansiktsbild som då har tagits fram ur den handling som sökanden har lämnat över och de bio- metriska uppgifter som tagits fram ur dessa omedelbart förstöras.

Paragrafen anger den längsta tid som behandling får ske av fingerav- tryck, ansiktsbilder och biometriska uppgifter som tagits fram vid kontroll av uppgifterna i den handling sökanden identifierar sig med i samband med ansökan. Övervägandena finns i avsnitt 11.6.1.

Om en sökande styrker sin identitet med en identitetshandling som innehåller ett lagringsmedium där fingeravtryck eller ansikts- bild är sparade får den utfärdande myndigheten enligt 3 kap. 11 § kontrollera att dessa motsvarar de fingeravtryck och den ansiktsbild som tas vid ansökan. Kontrollen kan göras mot en statlig identitets- handling eller någon annan handling som sökanden identifierar sig med. Om det rör sig om en sökande som har beviljats uppehållstill- stånd och som styrker sin identitet på annat sätt än med en identi- tetshandling som innehåller ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade får en kontroll enligt 3 kap. 12 § i stället göras mot de fingeravtryck och den ansiktsbild som finns lagrade i sökan- dens uppehållstillståndskort. I den nu aktuella bestämmelsen före- skrivs att de fingeravtryck, ansiktsbilder och biometriska uppgifter som tagits fram ur identitetshandlingen eller uppehållstillståndskortet som sökanden lämnar över omedelbart ska förstöras när kontrollen är klar. De uppgifter som tagits fram ur sökandens handling ska endast användas vid jämförelsen mellan dessa uppgifter och de som sökan- den lämnar på plats. Någon lagring av kontrollunderlaget får alltså inte ske.

417

Författningskommentar

SOU 2019:14

Paragrafen anger den längsta tid som fingeravtryck, ansiktsbilder och biometriska uppgifter som tas vid utlämnande får behandlas. Övervägandena finns i avsnitt 11.6.1.

Innan det statliga identitetskortet lämnas ut är sökanden enligt 4 kap. 3 § andra stycket skyldig att på begäran lämna fingeravtryck och låta en bild i digitalt format tas av ansiktet för kontroll av om dessa motsvarar de fingeravtryck och den ansiktsbild som finns lag- rade i det identitetskort som ska lämnas ut. I bestämmelsen före- skrivs att de fingeravtryck och ansiktsbilder som tas vid utlämnandet och de biometriska uppgifter som tas fram omedelbart ska förstöras när kontrollen är klar. Det får alltså inte ske någon lagring av kon- trollunderlaget.

17 § De fingeravtryck som tas vid ansökningstillfället och de biomet- riska uppgifter som tas fram ur dessa ska omedelbart förstöras när iden- titetskortet har lämnats ut eller ansökan har återkallats eller avslagits.

I paragrafen regleras den längsta tid som de fingeravtryck som tas vid ansökan får behandlas. Överväganden finns i avsnitt 11.4.4.

De fingeravtryck som tas vid ansökan om statligt identitetskort ska sparas i lagringsmediet på id-kortet. Fingeravtrycken och de bio- metriska uppgifter som kan tas fram ur dessa får enligt 13 § behand- las av den utfärdande myndigheten under tiden handläggningen av sökandens ansökan pågår. Så snart id-kortet har lämnats ut ska de fingeravtryck som sparas tillfälligt i den utfärdande myndighetens ärendehanteringssystem och de biometriska uppgifter som tagits fram ur dessa förstöras. Detsamma gäller om ansökan om id-kort har återkallats eller avslagits. Syftet med den tillfälliga lagringen är att den utfärdande myndigheten ska kunna göra en kvalitetskontroll av uppgifterna på id-kortet i samband med att id-kortet lämnas ut. Till skillnad från vad som gäller ansiktsbilden får fingeravtrycken alltså efter att id-kortet lämnats ut inte sparas någon annanstans än i id- kortets lagringsmedium. Det är således inte möjligt att bygga upp ett register som innehåller de fingeravtryck som tas vid ansökan om id- kort.

418

SOU 2019:14

Författningskommentar

7 kap. Beslut

1 § Beslut enligt denna lag får överklagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

I paragrafen föreskrivs att beslut enligt lagen får överklagas till all- män förvaltningsdomstol och att det krävs prövningstillstånd vid över- klagande till kammarrätten. Övervägandena finns i avsnitt 10.2.11.

Paragrafen motsvarar 19 § IdL och ersätter 22 § förordningen om nationellt identitetskort, i vilken det hänvisas till bestämmelsen om överklagande i 40 § förvaltningslagen.

2 § Beslut enligt denna lag gäller omedelbart, om inte något annat anges i beslutet.

Paragrafen motsvarar 20 § IdL och i huvudsak 23 § förordningen om nationellt identitetskort.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 januari 2022.

2.Genom lagen upphävs lagen (2015:899) om identitetskort för folk- bokförda i Sverige.

3.Vid tillämpningen av 3 kap. 6 § och 4 kap. 3 § första stycket ska med statlig fysisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

4.Vid tillämpningen av 4 kap. 4 § ska med statligt identitetskort jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige.

5.Ärenden om utfärdande av identitetskort som har inletts hos pass- myndighet eller Skatteverket före ikraftträdandet men som ännu inte har avgjorts handläggs enligt äldre föreskrifter.

6.Uppgifter och handlingar i registret över nationella identitetskort och databasen med uppgifter om identitetskort för folkbokförda i Sverige ska i och med ikraftträdandet föras över till registret över statliga iden- titetskort.

419

Författningskommentar

SOU 2019:14

7.Skatteverket får behandla uppgifter och handlingar i databasen med uppgifter om identitetskort för folkbokförda i Sverige längst till och med den 30 juni 2022. Uppgifter och handlingar som avser ansökningar om identitetskort som avslutats hos Skatteverket under övergångstiden ska föras över till registret över statliga identitetskort.

8.Bestämmelserna om återkallelse gäller även nationella identitets- kort och identitetskort för folkbokförda i Sverige som utfärdats av pass- myndighet eller Skatteverket.

Övervägandena finns i kapitel 14.

Punkten 1 föreskriver när lagen ska träda i kraft och punkten 2 att IdL då ska upphöra att gälla.

Av punkten 3 följer att nationella identitetskort och identitets- kort för folkbokförda i Sverige ska jämställas med statliga fysiska identitetshandlingar under kortens hela giltighetstid. Korten kan alltså användas för att identifiera sökanden i samband med en ansö- kan om statligt identitetskort och när id-kortet lämnas ut. Av punk- ten framgår också att även körkort och SIS-märkta identitetskort kan användas, dock endast under en övergångsperiod om ett år från ikraftträdandet.

Regleringen i punkten 4 innebär att ett nationellt identitetskort eller ett identitetskort för folkbokförda i Sverige som tidigare utfär- dats för sökanden ska lämnas in för makulering i samband med att det statliga identitetskortet lämnas ut. En och samma person kan alltså endast inneha ett statligt utfärdat id-kort samtidigt.

I punkten 5 föreskrivs att ärenden om utfärdande av identitets- kort som har inletts hos passmyndighet eller Skatteverket före ikraft- trädandet men som ännu inte har avgjorts när lagen träder i kraft ska handläggas enligt de äldre föreskrifterna. Det innebär alltså att Skatte- verket kommer att fortsätta handlägga de inneliggande ärendena enligt IdL medan passmyndigheterna handlägger ärendena enligt förordningen om nationella identitetskort.

Av punkten 6 följer att de uppgifter som finns i registret över nationella identitetskort och databasen med uppgifter om identitets- kort för folkbokförda i Sverige i och med ikraftträdandet ska ingå i det nya id-kortsregistret. Det innebär att bestämmelserna om be- handling av personuppgifter i det nya id-kortsregistret och bestäm- melser om sekretess för uppgifter i registret kommer att omfatta även de uppgifter som ursprungligen registrerades i de gamla registren.

420

SOU 2019:14

Författningskommentar

Eftersom Skatteverket kommer att handlägga de ärenden som kommit in före ikraftträdandet får myndigheten enligt punkten 7 ha tillgång till uppgifterna om identitetskort för folkbokförda i Sverige under en övergångsperiod. Uppgifter och handlingar som avser de ansökningar om id-kort som Skatteverket avslutar under övergångs- tiden måste även de föras in i id-kortsregistret.

Punkten 8 föreskriver att bestämmelserna om återkallelse även ska gälla nationella identitetskort och identitetskort för folkbokför- da i Sverige som utfärdats av passmyndighet och Skatteverket. Skatte- verket ska alltså inte hantera frågor om återkallelse även om det rör sig om ett identitetskort som den myndigheten har utfärdat. Bestäm- melsen innebär att de nya grunderna för återkallelse tillämpas även beträffande id-kort som utfärdats enligt den gamla lagstiftningen.

16.2Förslaget till lag om ändring i passlagen (1978:302)

5 § En svensk medborgare får inte resa ut ur riket utan att medföra giltigt pass.

Första stycket gäller inte

1.mönstrat sjöfolk på fartyg under tjänstgöring ombord på far- tyget eller fiskare under yrkesutövning,

2.medlem av besättning på luftfartyg under tjänstgöring ombord på luftfartyget, om han eller hon har flygcertifikat eller därmed jäm- förlig handling,

3.den som är medborgare även i en annan stat än Sverige och som medför legitimationshandling som gäller som pass och är utfärdad av en myndighet i den staten,

4.den som reser till någon av de stater mot vilka gränskontroll inte genomförs enligt Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gräns- passage för personer (kodex om Schengengränserna), eller

5.den som reser till en annan stat inom Europeiska unionen än en sådan stat som avses i 4 och som medför ett giltigt statligt identi- tetskort med funktion som resehandling som avses i 1 kap. 2 § andra stycket lagen (20xx:xx) om statliga identitetshandlingar.

421

Författningskommentar

SOU 2019:14

En svensk medborgare ska vid inresa från en annan stat medföra giltigt pass. Detta gäller dock inte

1.om det svenska medborgarskapet kan styrkas på annat sätt, exempelvis genom uppvisande av ett giltigt statligt identitetskort med funktion som resehandling som avses i 1 kap. 2 § andra stycket lagen om statliga identitetshandlingar, eller

2.vid inresa från en stat mot vilken gränskontroll inte genomförs enligt kodexen om Schengengränserna.

I paragrafen regleras skyldigheten för svenska medborgare att med- föra pass vid resa till och från Sverige och undantag från detta krav. Ändringarna är en konsekvens av att ett nytt statligt identitetskort med funktion som resehandling införs och ersätter det nationella identitetskortet.

I andra stycket 5 regleras ett undantag från passkravet vid resa från Sverige till en annan stat inom EU än en stat som anslutit sig till Schengen. I stället för pass kan den resande medföra ett statligt iden- titetskort med funktion som resehandling som i detta hänseende er- satt det tidigare nationella identitetskortet.

Tredje stycket 1 reglerar ett undantag från passkravet vid inresa till Sverige. Även i detta fall kan det statliga identitetskortet med funk- tion som resehandling ersätta passet.

5 a § Polismyndigheten ska övervaka att bestämmelserna i 5 § följs. Den som enligt 5 § ska medföra pass eller statligt identitetskort

med funktion som resehandling ska på begäran

1.överlämna passet eller identitetskortet till en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket, och

2.låta en befattningshavare enligt 1 ta fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns sparade i passet eller identitetskortet.

När en kontroll enligt andra stycket 2 har genomförts, ska finger- avtrycken och ansiktsbilden samt de biometriska uppgifter som då har tagits fram omedelbart förstöras.

I paragrafen regleras skyldigheten att lämna över en resehandling till behörig gränskontrolltjänsteman för kontroll av de fingeravtryck

422

SOU 2019:14

Författningskommentar

och den ansiktsbild som finns lagrade där samt att lämna fingerav- tryck och låta sig fotograferas i syfte att jämföra med uppgifterna i handlingen. Övervägandena finns i avsnitt 11.6.2.

Ändringarna i andra stycket sker mot bakgrund av de nya bestäm- melserna om lagring av fingeravtryck i statliga identitetskort. Änd- ringarna innebär att den som reser med ett statligt identitetskort är skyldig att på samma sätt som gäller för pass lämna sina fingerav- tryck för kontroll av att dessa motsvarar de fingeravtryck som är lag- rade i id-kortet. I övrigt är ändringarna en följd av att ett nytt statligt identitetskort med funktion som resehandling införs och ersätter det nationella identitetskortet.

Som en konsekvens av att samma bestämmelser nu gäller för pass och statliga identitetskort har bestämmelsen i tredje stycket, som tidigare innehöll särskilda regler om kontroll av nationella identitets- kort, utgått. Detta har fått till följd att bestämmelsen i det tidigare fjärde stycket i princip oförändrad nu är införd i tredje stycket.

6 § Passansökan görs hos en passmyndighet. Ansökan ska avges på heder och samvete eller under annan sådan försäkran. Sökanden är skyldig att inställa sig personligen.

Sökanden är skyldig att i samband med passansökan

1.låta passmyndigheten ta sökandens fingeravtryck och en bild i digitalt format av sökandens ansikte, och

2.styrka sin identitet, sitt svenska medborgarskap och övriga per- sonuppgifter.

Identiteten ska styrkas med en statlig fysisk identitetshandling, dvs. ett pass eller ett statligt identitetskort enligt lagen (20xx:xx) om statliga identitetshandlingar.

I paragrafen regleras vissa krav vid passansökan, bl.a. krav på person- lig inställelse, fingeravtryck och ansiktsbilder samt krav på att den sökande ska styrka sin identitet. Bestämmelserna om föreskriftsrätt för regeringen eller den myndighet som regeringen bestämmer som tidigare fanns intagna i tredje stycket, har flyttats till 6 e §. Bestäm- melsen i nuvarande tredje stycket är ny. Övervägandena till den finns i avsnitt 8.6.2.

I bestämmelsen föreskrivs att identiteten ska styrkas med en stat- lig fysisk identitetshandling. Någon motsvarande bestämmelse har

423

Författningskommentar

SOU 2019:14

inte tidigare funnits i lag eller förordning. Det sätt på vilket identi- teten ska styrkas har tidigare enbart föreskrivits i myndighetsföre- skrifter.

Det är av central betydelse att sökandens identitet klarläggs vid ansökan om pass för att utfärdandet ska hålla en hög säkerhet. Som huvudregel krävs därför att sökanden ska identifiera sig med en stat- lig fysisk identitetshandling, dvs. pass eller statligt identitetskort. De statliga identitetshandlingarna håller en hög nivå av säkerhet och ut- gör därmed ett mycket starkt bevis för sökandens identitet. Andra handlingar kan således inte längre användas för att styrka identiteten i samband med ansökan om pass, om det inte finns ett särskilt undan- tag föreskrivet. Som framgår av 6 e § kan regeringen eller den myn- dighet regeringen bestämmer meddela undantag från huvudregeln om att en statlig fysisk identitetshandling ska användas för identi- fiering.

För att en noggrann kontroll ska kunna göras måste den som kontrollerar sökandens identitet få handlingen överlämnad till sig för närmare granskning. Det är alltså inte tillräckligt att handlingen visas upp utan den måste lämnas över till den utfärdande myndig- heten för kontroll.

6 a § Fingeravtrycken och ansiktsbilden som enligt 6 § andra styck- et 1 kan tas vid ansökningstillfället ska sparas i ett lagringsmedium i passet.

Fingeravtrycken och de biometriska uppgifter som tas fram ur dessa, får behandlas under tiden ärendet med anledning av passansökan pågår, men ska omedelbart förstöras när passet lämnas ut eller pass- ansökan återkallas eller avslås.

I paragrafen föreskrivs att den ansiktsbild och de fingeravtryck som tas vid ansökan ska sparas i ett lagringsmedium i passet och att finger- avtrycken får behandlas av passmyndigheten endast under den tid passärendet pågår.

Ändringen av ordalydelsen i första stycket är endast redaktionell. Tillägget i andra stycket tydliggör att de fingeravtryck som ska tas vid ansökan om pass och de biometriska uppgifter som kan tas fram ur dessa får behandlas under tiden handläggningen av sökandens an- sökan pågår. Bestämmelsen har emellertid sannolikt även tidigare ansetts ge utrymme för en sådan behandling på grund av kravet på

424

SOU 2019:14

Författningskommentar

att uppgifterna ska förstöras när passärendet har avslutats. Finger- avtrycken och de biometriska uppgifterna hänförliga till dem får dock inte sparas i passregistret, utan endast tillfälligt lagras i passmyn- dighetens ärendehanteringssystem.

Bestämmelsen hindrar inte längre att biometriska uppgifter kopp- lade till ansiktsbilder sparas under längre tid. Av 36 § framgår att sådana uppgifter ska behandlas i passregistret.

6 b § Fingeravtrycken som tas vid ansökningstillfället och de biomet- riska uppgifter som kan tas fram ur dessa får inte användas som sökbegrepp.

Paragrafen innehåller ett sökförbud avseende fingeravtryck och de biometriska uppgifter som kan tas fram ur dessa. Den materiella för- ändring som skett på grund av den ändrade lydelsen är att den inte längre hindrar att ansiktsbilder och de biometriska uppgifter som tas fram ur dessa får användas som sökbegrepp. Vad som gäller i fråga om sökning med dessa uppgifter finns numera reglerat i 37 § andra stycket.

6 c § Om en sökande styrker sin identitet med en identitetshandling som innehåller ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade får passmyndigheten kontrollera att dessa motsvarar de finger- avtryck och den ansiktsbild som tas vid ansökningstillfället.

När en kontroll enligt första stycket har genomförts ska de fingerav- tryck och den ansiktsbild som då har tagits fram ur den handling som sökanden har lämnat över och de biometriska uppgifter som tagits fram ur dessa omedelbart förstöras.

I paragrafen regleras möjligheten att kontrollera sökandens finger- avtryck och ansiktsbild mot de fingeravtryck och den ansiktsbild som finns i den identitetshandling som sökanden använder för att styrka sin identitet med. Övervägandena finns i avsnitt 11.6.1.

Paragrafen är ny. Av första stycket framgår att om en sökande styrker sin identitet med en identitetshandling som innehåller ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade får den utfärdande myndigheten kontrollera att dessa motsvarar de finger- avtryck och den ansiktsbild som tas vid ansökan. Genom en sådan

425

Författningskommentar

SOU 2019:14

kontroll kan det säkerställas att det är samma person som den iden- titetshandling som används för identifiering är utfärdad för som an- söker om det nya passet. Normalt ska det, som föreskrivs i 6 § tredje stycket, vara ett pass eller ett statligt identitetskort. Det kan också vara andra handlingar som det enligt föreskrifter som regeringen meddelar är tillåtet att identifiera sig med. Som exempel kan nämnas att även pass utfärdade av andra EU-länder innehåller fingeravtryck och ansiktsbild.

I andra stycket anges den längsta tid som fingeravtryck, ansikts- bilder och biometriska uppgifter som tagits fram vid kontrollen i samband med ansökan får behandlas. Bestämmelsen föreskriver att de uppgifter som tagits fram ur den handling som sökanden lämnar över omedelbart ska förstöras när kontrollen är klar. Någon lagring av kontrollunderlaget får alltså inte ske.

6 d § Passmyndigheten får, under de förutsättningar som anges i 37 § andra stycket och 6 kap. 10 § andra stycket lagen (20xx:xx) om statliga identitetshandlingar, jämföra den ansiktsbild som tas vid ansöknings- tillfället och de biometriska uppgifter som tas fram ur denna med an- siktsbilder och biometriska uppgifter som finns passregistret enligt 35 § och i det register som ska föras enligt 6 kap. 5 § lagen om statliga iden- titetshandlingar.

I paragrafen anges att en jämförelse mellan den ansiktsbild som tas vid ansökningstillfället och de bilder som finns både i pass- och id- kortsregistret får göras. Övervägandena finns i avsnitt 11.5.

Paragrafen föreskriver att jämförelser får göras mellan den bild av sökandens ansikte som tas vid ansökningstillfället och samtliga ansikts- bilder i passregistret och id-kortsregistret. I 37 § andra stycket och 6 kap. 10 § andra stycket lagen om statliga identitetshandlingar finns ett undantag från sökförbudet avseende ansiktsbilder och biomet- riska uppgifter som tas fram ur dessa som möjliggör att sådana upp- gifter får användas som sökbegrepp vid ansökan om det är nödvän- digt för att kontrollera om ansiktsbilden motsvarar någon bild som finns i registret. Genom att sökandens ansikte jämförs med samtliga ansiktsbilder i registren kan det förhindras att samma person kan skaffa sig flera identitetshandlingar i olika identiteter.

426

SOU 2019:14

Författningskommentar

6 e § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från skyldigheten enligt 6 § andra stycket 1 att lämna fingeravtryck för barn under tolv år och för per- soner som av fysiska skäl är permanent förhindrade att lämna finger- avtryck samt från skyldigheten enligt 6 § tredje stycket att styrka iden- titeten med en statlig fysisk identitetshandling för sökande som inte har en sådan handling.

Regeringen eller den myndighet som regeringen bestämmer får också, när det gäller särskilt pass, meddela föreskrifter om att sökan- den är skyldig att vid passansökan ge in fotografier och om undantag från skyldigheterna i 6 § första stycket tredje meningen och i andra stycket 1 om personlig inställelse, ansiktsbilder och fingeravtryck.

Paragrafen innehåller bemyndiganden för regeringen eller den myn- dighet regeringen bestämmer att föreskriva undantag från vissa be- stämmelser om ansökningsförfarandet. Bestämmelserna fanns tidi- gare intagna i 6 § tredje stycket. Det som är nytt i paragrafen är ett be- myndigande när det gäller skyldigheten att styrka identiteten med en statlig fysisk identitetshandling. Övervägandena finns i avsnitt 10.4.2.

För att även personer som inte har tillgång till en statlig fysisk identitetshandling ska kunna få ett pass måste det finnas möjlighet att göra avsteg från huvudregeln om hur identiteten ska styrkas. Det kan exempelvis vara fråga om ett barn som ska skaffa sin första iden- titetshandling eller en person som nyligen blivit svensk medborgare som för första gången ska ansöka om ett svenskt pass. För dessa per- soner måste andra sätt och handlingar att identifiera sig med godtas. I myndigheternas föreskrifter finns redan tidigare olika identifie- ringssätt reglerade. Det är föreskrifter om rätt att använda vissa ut- ländska pass, om skriftlig försäkran av en intygsgivare och om andra tillförlitliga sätt. En given utgångspunkt för föreskrifter som utgör undantag till den centrala bestämmelsen om hur identiteten ska styrkas, är att de alternativa identifieringssätt som möjliggörs håller en hög säkerhetsnivå.

427

Författningskommentar

SOU 2019:14

Utlämnande

6 f § Ett pass ska så snart som möjligt efter utfärdandet lämnas ut till sökanden personligen.

När pass ska lämnas ut av passmyndighet utom riket, kan myndig- heten medge att det sker hos ombud för myndigheten.

I paragrafen föreskrivs krav på personlig inställelse vid utlämnande av pass. Övervägandena finns i avsnitt 10.4.1.

Paragrafen motsvarar vad som tidigare gällt enligt 21 § passför- ordningen. I första stycket föreskrivs att passet ska lämnas ut till sök- anden personligen. Den personliga inställelsen vid utlämnandet, är på samma sätt som vid ansökan, väsentlig för säkerheten i utfärdan- det. Genom att sökanden inställer sig personligen förhindras att passet lämnas ut till fel person. Det är också en förutsättning för att den utfärdande myndigheten ska kunna göra de kontroller av sökan- dens identitet som regleras i övriga bestämmelser.

Enligt vad som anges i andra stycket får utlandsmyndigheterna låta ett ombud lämna ut passet.

6 g § Innan passet lämnas ut är sökanden skyldig att på begäran styrka sin identitet med en statlig fysisk identitetshandling eller på något av de sätt som anges i föreskrifter om undantag vid ansökan som meddelats med stöd av 6 e § första stycket.

När en kontroll enligt andra stycket har genomförts ska de finger- avtryck och den ansiktsbild som då har tagits och de biometriska upp- gifter som tagits fram omedelbart förstöras.

Paragrafen reglerar de kontroller som den utfärdande myndigheten kan göra innan passet lämnas ut. Övervägandena finns i avsnitt 10.4.2 och 11.6.1.

I första stycket införs en bestämmelse om att sökanden på begäran ska styrka sin identitet innan passet lämnas ut. Detta ska som huvud- regel ske med en statlig fysisk identitetshandling. Någon motsvar-

428

SOU 2019:14

Författningskommentar

ande bestämmelse har tidigare inte funnits i lag eller förordning. Be- stämmelsen införs mot bakgrund av att det är av stor vikt att passet inte lämnas ut till fel person. De statliga fysiska identitetshandling- arna håller en hög nivå av säkerhet och utgör därmed ett mycket starkt bevis för sökandens identitet.

Andra handlingar kan således inte längre användas för att styrka identiteten i samband med utlämnande av pass, om det inte finns ett särskilt undantag föreskrivet. Som framgår av 6 e § kan regeringen eller den myndighet regeringen bestämmer meddela undantag från huvudregeln om att en statlig fysisk identitetshandling ska användas för identifiering vid ansökningstillfället. Dessa föreskrifter om undan- tag gäller även vid utlämnandet.

Av andra stycket följer att sökanden även är skyldig att på begäran lämna fingeravtryck och låta en bild i digitalt format tas av ansiktet. Syftet är att den utfärdande myndigheten ska kunna jämföra dessa med de fingeravtryck och den ansiktsbild som finns lagrade i det pass som ska lämnas ut. Genom en sådan kontroll kan det säkerställas att det är rätt person som hämtar ut passet.

Bestämmelserna i första och andra styckena innebär inte något absolut krav på att sökanden både måste styrka sin identitet, lämna fingeravtryck och låta utfärdaren ta en ansiktsbild. Detta krävs bara om myndigheten begär det. Myndigheten kan välja att helt utesluta kontrollen eller, om det bedöms lämpligt, endast kontrollera antingen sökandens identitetshandling, fingeravtryck eller ansiktsbild. Bestäm- melsen lämnar alltså utrymme för ett mer flexibelt utlämnande som också kan baseras på en bedömning av risken i det enskilda fallet.

I tredje stycket anges den längsta tid som fingeravtryck, ansikts- bilder och biometriska uppgifter som tas fram får behandlas. I be- stämmelsen föreskrivs att de fingeravtryck, ansiktsbilder och biomet- riska uppgifter som tas fram vid kontrollen omedelbart ska förstöras när kontrollen är klar. Det får alltså inte ske någon lagring av kon- trollunderlaget.

429

Författningskommentar

SOU 2019:14

6 h § Om ett pass tidigare har utfärdats för sökanden och det inte har förstörts, kommit bort eller makulerats, ska passet ges in för maku- lering när det nya passet lämnas ut.

Paragrafen föreskriver att ett tidigare utfärdat pass ska lämnas in för makulering. Övervägandena finns i avsnitt 10.4.3.

Bestämmelsen har flyttats från 6 § fjärde stycket och har genom- gått vissa förändringar. Tidigare gällde att det gamla passet som huvudregel skulle lämnas in i samband ansökan om pass. I 28 § pass- förordningen angavs dock att makulering i stället kunde ske när det nya passet lämnades ut om innehavaren hade behov av det gamla passet under handläggningstiden. Mot bakgrund av att sökanden ofta har behov av det gamla passet till dess att det nya lämnas ut införs i stället en bestämmelse om att det ska lämnas in först då det nya lämnas ut. En annan skillnad jämfört med den tidigare regler- ingen är att även pass vars giltighetstid har gått ut ska lämnas in för makulering. På så sätt syns det tydligare att det gamla passet inte längre gäller.

7 § Passansökan ska avslås, om

1.det som anges om ansökningsförfarandet i denna lag eller i före- skrifter som har meddelats i anslutning till lagen inte har iakttagits och sökanden inte har följt uppmaningen att avhjälpa bristen,

2.ansökan avser pass för barn under arton år och barnets vård- nadshavare inte har lämnat medgivande och det inte finns synnerliga skäl att ändå utfärda pass,

3.sökanden är anhållen, häktad eller underkastad övervakning enligt 24 kap. 4 § första stycket rättegångsbalken eller reseförbud eller anmälningsskyldighet enligt 25 kap. 1 § samma balk,

6.sökanden är efterlyst och ska omhändertas omedelbart vid an- träffandet,

430

SOU 2019:14

Författningskommentar

8.sökanden avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och sökanden inte har villkorligt frigivits,

9.sökanden genomgår sluten ungdomsvård och den samman- lagda vårdtiden är minst ett år,

10.sökanden genomgår rättspsykiatrisk vård med särskild utskriv- ningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård, eller

I paragrafen anges när en ansökan ska avslås. I första punkten har det skett en ändring som syftar till att tydliggöra att bestämmelsen inte endast omfattar bristande uppfyllelse av lagen. Den omfattar också både föreskrifter som meddelats med stöd av delegationsbestäm- melser i lagen och föreskrifter som i anslutning till lagen har med- delats med stöd av regeringens restkompetens eller som verkställig- hetsföreskrifter enligt 8 kap. 7 § regeringsformen.

12 § Passmyndigheten ska återkalla gällande pass, om

1.någon väsentlig uppgift som framgår av passet är felaktig eller inte längre gäller,

2.passet avser barn under arton år och barnets vårdnadshavare eller, om barnet vistas här i landet och står under vårdnad av båda föräldrarna, en av dem begär att passet ska återkallas och det inte finns synnerliga skäl mot återkallelse,

3.passinnehavare, som är efterlyst och ska omhändertas omedel- bart vid anträffandet, uppehåller sig utomlands och det av särskilda skäl är motiverat att passet återkallas,

431

Författningskommentar

SOU 2019:14

5.passinnehavaren avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och innehavaren inte har villkorligt frigivits,

6.passinnehavaren genomgår sluten ungdomsvård och den sam- manlagda vårdtiden är minst ett år,

7.passinnehavaren genomgår rättspsykiatrisk vård med särskild utskrivningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård,

8.hinder mot bifall till passansökan enligt 7 § förelåg vid tiden för passets utfärdande och hindret fortfarande består, eller

9.annan än den för vilken passet är utställt förfogar över passet. Särskilt pass ska dessutom återkallas, när de skäl som har föranlett

passets utfärdande inte längre finns.

Vad som sägs i första stycket 2 ska inte gälla i det fall pass utfär- dats utan vårdnadshavares medgivande enligt 11 § andra stycket.

Paragrafen reglerar grunder för återkallelse av passet. En ändring i sak har skett i första stycket 1. Övervägandena finns i avsnitt 10.4.4.

En ny grund för återkallelse har införts. Passet ska återkallas om någon väsentlig uppgift som framgår av passet är felaktig eller inte längre gäller. Det kan således både vara fråga om en felskrivning eller att personer t.ex. har bytt namn eller personnummer efter att passet utfärdats. Typiska uppgifter som är sådana väsentliga uppgifter som avses i bestämmelsen är identitetsuppgifter som namn och person- nummer, men även svenskt medborgarskap. En ändring beträffande medborgarskapet omfattas därmed av den nya återkallelsegrunden. Den särskilda återkallelsegrunden beträffande medborgarskap som tidigare gällt har därför tagits bort.

I övrigt har paragrafen endast genomgått redaktionella förändringar.

35 § Den passmyndighet som regeringen bestämmer ska med hjälp av automatiserad behandling föra ett passregister och ett register med upp- gifter som avses i 20 § 1 och 3.

I paragrafen regleras de register som ska föras i anslutning till pass- verksamheten.

432

SOU 2019:14

Författningskommentar

Paragrafen motsvarar vad som tidigare gällt enligt 23 § första stycket passförordningen och innebär att den myndighet som reger- ingen bestämmer ska föra ett passregister och ett register med upp- gifter avseende vissa omständigheter som föranleder passtillstånd. Bestämmelsen har flyttats till passlagen som en konsekvens av en ny reglering om lagring av biometriska uppgifter som tas fram ur ansikts- bilder. På grund av hanteringens integritetskänsliga karaktär finns den regleringen i lag, varför även bestämmelsen om att registret ska föras tas in i passlagen.

36 § Passregistret ska innehålla en kopia av vid ansökningstillfället tagen ansiktsbild eller inlämnat fotografi enligt 6 § andra stycket 1 eller föreskrifter som meddelats med stöd av 6 e § andra stycket och de bio- metriska uppgifter som tas fram ur dessa.

Registret får inte innehålla fingeravtryck eller biometriska uppgifter som kan tas fram ur dessa.

I paragrafen regleras vilka uppgifter som ska tas in i passregistret och vilka uppgifter som inte får tas in. Övervägandena finns i avsnitt 11.5.

Någon uttrycklig bestämmelse om att en kopia av ansiktsbilden ska sparas i passregistret har inte funnits tidigare. Det har däremot framgått av 23 § andra stycket passförordningen att fotografier från passregistret på begäran ska lämnas ut till vissa myndigheter. Genom bestämmelsen i första stycket tydliggörs att registret ska innehålla ansiktsbilder och det införs även ett krav på att lagra biometriska uppgifter som tas fram ur ansiktsbilderna. Med biometriska uppgif- ter avses enligt definitionen i artikel 4.14 i dataskyddsförordningen personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksupp- gifter. Behandling av foton anses dock inte utgöra behandling av bio- metriska uppgifter annat än när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person, exempelvis i ett ansiktsigenkänningsprogram. Genom införandet av bestämmelsen om att biometriska uppgifter som kan tas fram ur an- siktsbilden ska sparas i passregistret möjliggörs sökning på de ansikts-

433

Författningskommentar

SOU 2019:14

bilder som finns i registret. Genom sådana sökningar kan det för- hindras att samma person skaffar sig flera identitetshandlingar i olika identiteter. Se vidare kommentaren till 37 §.

Enligt andra stycket är det förbjudet att i registret föra in de fingeravtryck som tas vid ansökan och som finns på passen. Det- samma gäller de biometriska uppgifter som tas fram ur fingeravtrycken. Dessa uppgifter får bara behandlas tillfälligt. Se vidare kommentaren till 6 a §.

37 § Ansiktsbilder och fotografier enligt 6 § första stycket 1 och 36 § första stycket samt biometriska uppgifter som kan tas fram ur dessa får inte användas som sökbegrepp om inte annat följer av andra stycket.

Vid ansökan om pass och om statligt identitetskort enligt lagen (20xx:xx) om statliga identitetshandlingar får den ansiktsbild som tas eller det fotografi som lämnas in samt de biometriska uppgifter som tas fram ur dessa användas som sökbegrepp vid sökning i registret om det är nödvändigt för att kontrollera om ansiktsbilden eller fotografiet mot- svarar någon ansiktsbild som finns i registret.

Paragrafen innehåller sökbegränsningar när det gäller användning av ansiktsbilder och biometriska uppgifter som kan tas fram ur dessa som sökbegrepp i passregistret. Övervägandena finns i avsnitt 11.5.

Bestämmelsen i första stycket fanns tidigare införd i 6 b §. Den bestämmelsen reglerade då både ansiktsbilder och fingeravtryck. Nu reglerar den enbart fingeravtryck och föreskriver ett totalt sökför- bud för dessa.

När det gäller ansiktsbilder och de biometriska uppgifter som kan tas fram ur dessa föreskrivs visserligen också ett sökförbud i första stycket men det är inte undantagslöst.

I andra stycket finns nämligen ett undantag som tillåter viss sök- ning på ansiktsbilden och de biometriska uppgifter som kan tas fram ur dessa. Dessa uppgifter får användas vid sökning vid ansöknings- tillfället och då endast om det är nödvändigt för att kontrollera om sökandens ansiktsbild finns i registret. Sökning får göras inte bara i samband med ansökan om pass utan även i samband med ansökan om statligt identitetskort. Sökning får på motsvarande sätt göras i registret över statliga identitetskort enligt 6 kap. 10 § lagen om stat- liga identitetshandlingar. Genom att sökandens ansikte jämförs med

434

SOU 2019:14

Författningskommentar

samtliga ansiktsbilder i registret kan det förhindras att samma per- son kan skaffa sig flera pass i olika identiteter. Automatiska ansikts- igenkänningsprogram kan alltså användas som ett hjälpmedel vid identitetskontrollen. Sådana program kan dock inte helt ersätta den manuella kontroll som handläggaren gör.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 januari 2022.

3.Vid tillämpningen av 6 § tredje stycket och 6 g § första stycket ska med statlig fysisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

4.Bestämmelserna om återkallelse och makulering gäller även pass som utfärdats före ikraftträdandet.

Övervägandena finns i kapitel 14.

Punkten 1 föreskriver när lagen ska träda i kraft.

Av punkten 2 framgår att ett nationellt identitetskort ska gälla som resehandling vid resor inom EU under kortets hela giltighetstid. Nationella identitetskort kommer att utfärdas fram till den 1 januari 2022 när lagen om statliga identitetshandlingar träder i kraft. Där- efter kommer det att finnas giltiga nationella identitetskort ytter- ligare fem år.

Skyldigheten att lämna fingeravtryck vid resa till eller från Sverige gäller inte för den som reser med ett nationellt identitetskort. Efter- som det nationella identitetskortet inte innehåller några fingeravtryck som kan användas för jämförelse finns det inte heller någon anled- ning att ta personens fingeravtryck.

Av punkten 3 följer att nationella identitetskort och identitets- kort för folkbokförda i Sverige vid ansökan om och utlämnande av pass ska jämställas med statliga fysiska identitetshandlingar under

435

Författningskommentar

SOU 2019:14

kortens hela giltighetstid. Korten kan alltså användas för att identi- fiera sökanden i samband med en ansökan om pass och när passet lämnas ut. Av punkten framgår även att körkort och SIS-märkta identitetskort kan användas, dock endast under en övergångsperiod om ett år från ikraftträdandet.

Punkten 4 reglerar att bestämmelserna om återkallelse och maku- lering ska gälla även pass som utfärdats före ikraftträdandet. Bestäm- melsen innebär att den nya grunden för återkallelse tillämpas även beträffande pass som utfärdats enligt den gamla lagstiftningen. Dess- utom ska även tidigare utfärdade pass lämnas in för makulering först i samband med att ett nytt pass lämnas ut, oavsett om de då är giltiga eller inte.

16.3Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

22 kap.

1 § Sekretess gäller för uppgift om en enskilds personliga förhållan- den, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgif- ten förekommer i verksamhet som avser

2.förande av eller uttag ur sjömansregistret.

Sekretess gäller i verksamhet som avses i första stycket 1 för uppgift i form av fotografisk bild av den enskilde och biometrisk upp- gift som har tagits fram ur bilden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjut- tio år.

Paragrafen innehåller bestämmelser om sekretess i folkbokföringen, i annan liknande registrering av befolkningen och, i den utsträckning

436

SOU 2019:14

Författningskommentar

som regeringen föreskriver det, i annan verksamhet som avser regi- strering av en betydande del av befolkningen. Övervägandena finns avsnitt 11.7.

Ändringen i andra stycket innebär att det förstärkta sekretesskydd som gäller för fotografier i de register som omfattas av bestämmel- sen även ska gälla för biometriska uppgifter som har tagits fram ur fotografierna. Det innebär att de biometriska uppgifterna kommer att omfattas av samma sekretesskydd som ansiktsbilderna.

16.4Förslaget till lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism

3 kap.

7 § En verksamhetsutövare ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillför- litlig källa.

Om kunden företräds av en person som uppger sig handla på kun- dens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden.

En person som är personligen närvarande vid kontroll enligt första eller andra styckena, och som är svensk medborgare eller folkbokförd i Sverige, ska styrka sin identitet med ett pass enligt passlagen (1978:302), ett statligt identitetskort enligt lagen (20xx:xx) om statliga identitets- handlingar eller, om det bedöms lämpligt, en statlig e-legitimation enligt samma lag.

Paragrafen innehåller bestämmelser om den identifiering av kunden och den som uppger sig företräda kunden som en verksamhetsutövare ska utföra inom ramen för de åtgärder som ska vidtas för kund- kännedom. Bestämmelsen i tredje stycket är ny. Övervägandena finns i avsnitt 8.6.2.

Bestämmelsen föreskriver att det vid den identitetskontroll som görs enligt bestämmelsens första och andra stycke krävs att en per- son som är svensk medborgare eller folkbokförd i landet som är

437

Författningskommentar

SOU 2019:14

personligen närvarande identifierar sig med en statlig fysisk identi- tetshandling, dvs. pass eller statligt identitetskort. Någon motsvar- ande bestämmelse har tidigare inte funnits i lag eller förordning. På vilket sätt identiteten ska styrkas har hittills i stället angetts i myn- dighetsföreskrifter. De statliga fysiska identitetshandlingarna håller en hög nivå av säkerhet och utgör därmed ett mycket starkt bevis för sökandens identitet. Andra handlingar kan således inte längre använd- as för att styrka identiteten i detta sammanhang. För att en noggrann kontroll ska kunna göras måste den som kontrollerar sökandens iden- titet få handlingen överlämnad till sig för närmare granskning. Det är alltså inte tillräckligt att handlingen visas upp utan den måste lämnas över för kontroll.

Om det bedöms lämpligt och verksamhetsutövaren har de tekniska förutsättningarna för att kontrollera denna kan även en statlig e-legi- timation som utfärdats enligt lagen om statliga identitetshandlingar användas för identifiering av någon som är personligen närvarande. Eftersom den statliga e-legitimationen utfärdas på högsta tillitsnivå efter samma kontroller som de statliga fysiska identitetshandling- arna håller även den en mycket hög säkerhetsnivå.

Något undantag för personer som är svenska medborgare eller folkbokförda i Sverige som är personligen närvarande vid kontrollen finns inte. Har en sådan person inte en statlig identitetshandling måste han eller hon i stället ansöka om en sådan för att kunna identi- fiera sig enligt bestämmelsen.

Liksom tidigare kan dock förenklade kontroller vidtas i enlighet med övriga bestämmelser i lagen under förutsättning att risken för penningtvätt eller finansiering av terrorism bedöms vara låg. Någon ändring när det gäller den riskbedömning som ska göras och som kan resultera i att de åtgärder som krävs för att få kundkännedom inte alltid är lika omfattande är alltså inte avsedd.

Bestämmelsen i tredje stycket omfattar alltså endast personer som uppfyller kraven för att få en statlig identitetshandling utfärdad och när identitetskontrollen görs vid ett personligt sammanträff- ande. Även transaktioner som utförs av personer som varken är med- borgare eller folkbokförda i Sverige omfattas emellertid av lagen, men i dessa fall finns inte i lagen några krav på hur identifieringen ska ske. I dessa fall kan dock föreskrifter meddelas av regeringen eller den myndighet regeringen bestämmer enligt 8 kap. 1 § 9. Det- samma gäller identifiering som sker på distans.

438

SOU 2019:14

Författningskommentar

8 kap.

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.undantag för vissa speltjänster från tillämpning av lagen eller bestämmelser i den,

2.innehållet i och omfattningen av den allmänna riskbedömningen enligt 2 kap. 1 § och om faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

3.undantag från kravet på dokumenterade riskbedömningar enligt 2 kap. 2 §,

4.riskklassificering av kunder enligt 2 kap. 3 §, inbegripet faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

5.innehållet i och omfattningen av interna och gemensamma rutiner enligt 2 kap. 8 och 9 §§,

6.innehållet i rutiner för lämplighetsprövning enligt 2 kap. 13 §,

7.dokumentation av genomförda utbildningar och vilken infor- mation och utbildning som ska tillhandahållas anställda enligt 2 kap. 14 §,

8.nödvändiga åtgärder och rutiner för att skydda anställda och andra företrädare enligt 2 kap. 15 §,

9.åtgärder för identitetskontroll enligt 3 kap. 7 och 8 §§, med undantag för de situationer som avses i 3 kap. 7 § tredje stycket,

10.vad som avses med förenklade åtgärder för kundkännedom och

ivilka situationer som förenklade åtgärder är tillåtna enligt 3 kap. 15 §,

11.vad som avses med skärpta åtgärder för kundkännedom och i vilka situationer som skärpta åtgärder ska vidtas enligt 3 kap. 16 och 17 §§,

12.hur rapportering till Polismyndigheten ska göras enligt 4 kap. 3 §,

13.hur uppgifter ska lämnas till Polismyndigheten enligt 4 kap. 6 §,

14.system för uppgiftslämning enligt 4 kap. 7 §,

15.bevarande av handlingar och uppgifter enligt 5 kap. 3 §,

16.förutsättningarna för förlängt bevarande av handlingar och upp- gifter enligt 5 kap. 4 §,

17.innehållet i och omfattningen av rutiner för intern kontroll och modellriskhantering enligt 6 kap. 1 §,

439

Författningskommentar

SOU 2019:14

18.kriterierna för när funktioner som avses i 6 kap. 2 § första stycket ska inrättas samt de krav som ska gälla i fråga om funktion- ernas organisation, befogenheter och oberoende,

19.organisation, kompetens, befogenheter, funktion och obero- ende för den centrala kontaktpunkten enligt 6 kap. 3 §,

20.det särskilda rapporteringssystemet enligt 6 kap. 4 §, och

21.skyldighet för verksamhetsutövare som avses i 1 kap. 2 § första stycket 1–12 att periodiskt eller på begäran lämna uppgifter om sin verksamhet, sina kunder och andra förhållanden som är nödvändiga för att tillsynsmyndigheter ska kunna bedöma den risk som kan för- knippas med de verksamhetsutövare som står under tillsyn.

Paragrafen innehåller bemyndiganden för regeringen eller den myn- dighet regeringen bestämmer att meddela föreskrifter i olika avseen- den. Ett tillägg har skett i punkt 9. Ändringen behandlas i avsnitt 8.6.2.

Tillägget innebär att föreskriftsrätten inte omfattar de situationer som avses i 3 kap. 7 § tredje stycket. När det gäller identifiering av svenska medborgare eller personer som är folkbokförda i Sverige och som är personligen närvarande finns det således inte några möj- ligheter att föreskriva undantag från kravet på identifiering med en statlig identitetshandling. Dessa personer är i stället hänvisade till att skaffa en sådan handling. Däremot kan föreskrifter meddelas beträff- ande identifiering som sker av personer som varken är medborgare eller folkbokförda i Sverige. Föreskrifter kan också meddelas avse- ende identifiering som sker på distans. Mot bakgrund av att det är fråga om undantag från en central säkerhetshöjande åtgärd är en given utgångspunkt att de identifieringssätt som tillåts måste hålla en hög säkerhetsnivå.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 januari 2022.

2.Vid tillämpningen av 3 kap. 7 § tredje stycket ska med statlig fy- sisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige.

440

Bilaga

SOU 2019:14

Säkrare identitetshandlingar – en viktig åtgärd för att minska bedrägeribrottsligheten

Enligt uppgifter från Polismyndighetens nationella bedrägericenter har bedrägeribrottsligheten ökat kraftigt under de senaste åren. I Brotts- förebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9), framgår att det under 2015 anmäldes drygt 173 000 bedrä- gerier enligt 9 kap. 1–3 §§ brottsbalken till Polismyndigheten. Enligt den senaste statistiken från Polismyndigheten kan man se en viss minskning av brottstypen, men antalet anmälningar ligger fortfaran- de på en hög nivå.

En många gånger gemensam nämnare för bedrägeribrottslighet är att gärningspersonen olovligen använder någon annans identitets- uppgifter. Detta kallas i vardagligt tal för identitetskapning och är sedan den 1 juli 2016 kriminaliserat genom en ny bestämmelse i 4 kap. 6 b § brottsbalken. Ytterligare en gemensam nämnare för många bedrägeribrott är användandet av förfalskade identitetshand- lingar.

Det har i olika sammanhang påpekats att det finns brister i säker- heten och rutinerna för svenska identitetshandlingar. Svenska Bank- föreningen har i en skrivelse till regeringen framfört att staten bör ta ansvar för svenska identitetshandlingar och har förespråkat en bättre ordning när det gäller processen för utfärdande av identitetshand- lingar (dnr Ju2015/05176/L4).

E-legitimationsnämnden föreslår i en rapport till regeringen att endast en statlig myndighet ska ha som uppgift att utfärda identitets- handlingar och att biometriska uppgifter i den befintliga identitets- handlingen ska jämföras med personens egen biometri vid nyutfär- dande av identitetshandlingar (dnr Fi2016/03766/DF). Myndigheten rekommenderar i rapporten också att endast svenska identitetshand- lingar som innehåller biometri ska kunna ligga till grund för e-legiti- mationer på den högsta svenska tillitsnivån.

Även Brottsförebyggande rådet gör i rapporten Bedrägeribrotts- ligheten i Sverige bedömningen att en central aktör bör få ansvaret för hanteringen av identitetshandlingar. I betänkandet Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra (SOU 2017:37) pekas det särskilt på behovet av att se över antalet utfärdare av identitetshandlingar och att koncentrera ansvaret till en

444

SOU 2019:14

Bilaga

myndighet för att förebygga brottslighet mot välfärden. Utredning- en identifierar även behovet av att i större utsträckning kunna an- vända biometriska uppgifter för att säkerställa att registrerade upp- gifter speglar verkliga förhållanden.

Färre identitetshandlingar och utfärdare måste dock vägas mot betydelsen av den enskildes tillgång till en giltig identitetshandling. En identitetshandling är i princip nödvändig för att få tillgång till viktiga samhällsfunktioner, t.ex. att skaffa en e-legitimation på hög tillitsnivå eller öppna ett bankkonto. Identitetshandlingen är också nödvändig för att t.ex. kunna hämta ut beställda varor och resehand- lingar. En identitetshandling är alltså en förutsättning för att enskil- da ska kunna fungera fullt ut i samhället.

Uppdraget

En viktig åtgärd för att minska bedrägeribrottsligheten är att för- bättra hanteringen och säkerheten kring svenska identitetshandling- ar för att förebygga att identitetshandlingar förfalskas och manipu- leras eller används av personer som inte är de personer de utger sig för att vara.

Antalet accepterade identitetshandlingar ska begränsas

Det regleras inte i författning vilka handlingar som utgör giltiga identitetshandlingar. Det regleras inte heller vilka krav som ska gälla för handlingar som används som identitetshandlingar. Som utgångs- punkt gäller i stället att det är den som identitetshandlingen visas för, som avgör om den kan godtas som bevis för någons identitet.

I broschyren De 7 stegen, som ges ut av Kronan Säkerhet AB, listas 15 identitetshandlingar som bankerna godtar som bevis för någons identitet. Det är fråga om äldre och nyare versioner av svens- ka pass, nationellt identitetskort, identitetskort för folkbokförda i Sverige, svenskt körkort och SIS-märkta identitetskort. SIS är en ideell förening som driver och samordnar standardiseringen i Sverige och står för Swedish Standards Institute. Broschyren fungerar som en branschstandard för hur en identitetskontroll ska gå till och an- vänds förutom av banker också av handeln.

445

Bilaga

SOU 2019:14

Utöver de nämnda identitetshandlingarna finns en mängd hand- lingar av skiftande kvalitet, exempelvis medlemskort, passerkort och kundkort. Denna typ av handlingar godtas i allmänhet inte som iden- titetshandlingar men kan i vissa sammanhang anses tillräckliga som identitetsbevis. Motsvarande gäller även de s.k. LMA-korten. LMA står för lagen om mottagande av asylsökande. Kortet är i första hand ett bevis på att någon är asylsökande och får vara i Sverige i väntan på beslut om sin asylansökan. Uppgifterna på kortet baseras på den enskildes egna uppgifter och kortet accepteras inte allmänt som ett bevis på någons identitet. Kortet kan dock i vissa fall användas för att legitimera sig, t.ex. när man hämtar postpaket från utlandet och vid vissa myndighetskontakter. LMA-kortet accepteras också under vissa förutsättningar vid öppnande av bankkonton.

Den stora mängden olika typer av identitetshandlingar medför att det är svårt att kontrollera om en handling är äkta eller falsk. Efter- som det är många i samhället som i olika situationer ska kontrollera identiteter ökar risken att oriktiga identitetshandlingar inte upp- täcks. En ordning med färre giltiga identitetshandlingar skulle därför förbättra möjligheterna att kontrollera en handlings äkthet och gil- tighet.

Utredaren ska

•föreslå hur antalet identitetshandlingar ska begränsas och särskilt överväga om det bör regleras i författning vilka handlingar som ska utgöra giltiga identitetshandlingar och vilka krav som ska ställas på en giltig identitetshandling, och

•lämna nödvändiga författningsförslag.

Antalet utfärdare av identitetshandlingar ska begränsas

Utfärdande av identitetshandlingar är en central funktion i samhället och ansvaret är delat mellan ett flertal myndigheter och privata ak- törer.

De svenska identitetshandlingar som allmänt accepteras som god- tagbara utfärdas av i huvudsak tre myndigheter – Polismyndigheten, Skatteverket och Transportstyrelsen. Utöver det kan banker utfärda SIS-märkta identitetskort. Även vissa företag och myndigheter får utfärda SIS-märkta identitetskort till sina anställda. Utrikesdeparte-

446

SOU 2019:14

Bilaga

mentet svarar för att identitetskort utfärdas för personal vid utländ- ska beskickningar, konsulat och internationella organisationer i Sverige. Vidare utfärdar de utlandsmyndigheter som även är passmyndig- heter nationella identitetskort och pass.

Ett problem med att identitetshandlingar utfärdas av en rad aktörer är att handlingarna kan se mycket olika ut och vara av skiftande kva- litet. Flera utfärdare innebär också att det ställs olika krav på ansök- ningsprocess, bakgrundskontroll av den sökande, tillverkningspro- cess av det fysiska kortet och utlämningsprocess.

Kritik har framförts mot att det svenska körkortet accepteras som en identitetshandling. Kritiken rör främst körkortets tioåriga giltighetstid, att det finns för många varianter av svenska körkort och att de inte alltid innehåller de senaste säkerhetsdetaljerna. Trots denna kritik och att körkortet i första hand är ett bevis på behörighet att framföra fordon av olika slag är körkortet den handling som de allra flesta i Sverige använder som identitetshandling.

Körkortets egenskaper regleras relativt detaljerat, såväl behörigheter och administrativa krav som kortets fysiska egenskaper, i Europa- parlamentets och rådets direktiv 2006/126/EG av den 20 december 2006 om körkort, vilket genomförts i svensk rätt främst genom kör- kortslagen (1998:488) och körkortsförordningen (1998:980).

En ordning med färre utfärdare av identitetshandlingar skulle för- bättra möjligheterna att kontrollera en handlings äkthet och giltig- het samt skapa bättre förutsättningar för en enhetlig hantering av hela processen från ansökan om en identitetshandling till utlämnande av den.

Utredaren ska

•föreslå hur antalet utfärdare av identitetshandlingar ska begränsas och lämna förslag på utfärdare,

•analysera och vid behov föreslå en enhetlig reglering av giltiga identitetshandlingar när det gäller processen för ansökan, bak- grundskontroll av den sökande, tillverkning av den fysiska hand- lingen och utlämnande, och

•lämna nödvändiga författningsförslag.

447

Bilaga

SOU 2019:14

Verifieringen av identitetshandlingars äkthet och giltighet behöver förbättras

Det är svårt att avgöra om en identitetshandling är äkta eller falsk eftersom förfalskningar ofta är skickligt gjorda och kontrollmöjlig- heterna begränsade. I dag är den som ska kontrollera en identitets- handlings äkthet i princip hänvisad till att kontakta respektive ut- färdare, vilket förstås är tidskrävande. Det finns vissa tekniska lös- ningar för att verifiera äktheten. Dessa system bygger emellertid på att handeln är intresserad av att köpa in tjänsten till sin verksamhet.

Utredaren ska

•kartlägga hur verifieringen av identitetshandlingars äkthet och giltighet görs i dag,

•analysera och föreslå hur verifiering av äktheten och giltigheten av identitetshandlingar kan förbättras, och

•lämna nödvändiga författningsförslag.

Hur kan identitetshandlingars säkerhetsnivå förbättras?

De identitetshandlingar som används i dag är konstruerade på olika sätt vilket innebär att säkerhetsnivån varierar. Den tekniska utveck- lingen har gjort det möjligt att förse handlingar med biometriska uppgifter i syfte att göra identifieringen av handlingens innehavare säkrare. Med biometriska uppgifter avses uppgifter om en enskild per- sons fysiska, fysiologiska eller beteendemässiga kännetecken, som gör det möjligt att identifiera en person. Det kan vara allt från an- siktsbilder, iris, namnteckning och fingeravtryck till dna-uppgifter.

Nationella identitetskort och pass är försedda med ett chip som lagrar personuppgifter och foto. I passet lagras även fingeravtrycket i chippet. Syftet är att höja säkerheten och säkerställa att kortinne- havaren är samma person som identitetskortet är utställt till.

Ett införande av biometriska uppgifter i identitetshandlingar innebär dels att handlingen blir svårare att förfalska, dels att det vid en kontroll med stor säkerhet går att avgöra om handlingens inne- havare är den person som handlingen har utfärdats till. Det sist- nämnda förutsätter dock att den som ska kontrollera handlingen har tillgång till viss teknisk utrustning.

448

SOU 2019:14

Bilaga

Att använda biometriska uppgifter kan innebära vissa risker för den personliga integriteten. I betänkandet Hur står det till med den personliga integriteten? – en kartläggning av Integritetskommittén (SOU 2016:41) sammanfattar kommittén att användningen av tek- niker som involverar många och detaljerade biometriska uppgifter innebär en påtaglig risk för den personliga integriteten. Samtidigt konstaterar kommittén att biometriska tekniker kan medföra stora fördelar, t.ex. genom att bidra till att höja säkerhetsnivån genom att göra identifieringsförfaranden säkrare.

Det finns även andra möjligheter att förbättra identitetshandling- ars säkerhetsnivå. En sådan säkerhetshöjande ordning skulle kunna vara att utan eller i kombination med biometriska uppgifter förse identitetshandlingar med en pinkod som personen verifierar sig med på samma sätt som man gör med ett bankkort.

Utredaren ska

•utreda och ta ställning till om det bör ställas krav på att giltiga identitetshandlingar ska innehålla biometriska uppgifter i någon form eller andra säkerhetshöjande detaljer, och

•lämna nödvändiga författningsförslag.

E-legitimation på högsta tillitsnivå i fysiska identitetshandlingar?

Utöver fysiska handlingar finns också e-legitimationer vilket är en elektronisk identitetshandling som kan användas för att identifiera innehavaren på elektronisk väg. E-legitimationer är bl.a. en viktig förutsättning för att medborgare på ett säkert sätt ska kunna identi- fiera sig elektroniskt i de offentliga myndigheternas e-tjänster. Att använda elektronisk legitimering bedöms som relativt säkert. De risker som finns ligger främst i första steget, dvs. i samband med identifieringen när en person skaffar en e-legitimation. Det är därför viktigt att säkerställa identiteten vid utlämnande.

Det blir allt svårare att klara sig i det svenska samhället utan en e-legitimation, och e-legitimationernas tillförlitlighet blir därmed ett allt viktigare samhällsintresse. Det finns fyra tillitsnivåer (1–4) för e-legitimering. Dessa tillitsnivåer svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara.

449

Bilaga

SOU 2019:14

I ett digitaliserat samhälle måste medborgarna skyddas mot iden- titetskapning, stöld av identitetshandlingar och bedrägerier. Säker e-legitimering försvårar brott och är därför en viktig nyckel till för- troendet för det digitala samhället. E-legitimationsnämnden kon- staterar i sin rapport om försörjning av tjänster för e-legitimering och e-underskrift (dnr Fi2016/03766/EF) att det finns behov av en statligt tillhandahållen e-legitimation på den högsta tillitsnivån, vilket i dagsläget inte går att få i Sverige.

Utredaren ska

•analysera och ta ställning till om giltiga fysiska identitetshand- lingar bör innehålla en e-legitimation på högsta tillitsnivå, och

•lämna nödvändiga författningsförslag.

Internationell utblick

Under genomförandet av uppdraget ska utredaren undersöka och översiktligt redovisa hur de frågor som uppdraget omfattar hanteras i några andra länder som är jämförbara med Sverige, exempelvis de nordiska länderna.

Andra frågor

Om det bedöms nödvändigt får utredaren ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna för det all- männa av förslagen. Om förslagen kan förväntas leda till kostnads- ökningar för det allmänna ska utredaren föreslå hur dessa ska finan- sieras. Utredaren ska också ange konsekvenser för enskilda och för företag i form av kostnader och ökade administrativa bördor samt om förslagen får några konsekvenser ur ett jämställdhetsperspektiv. Utredaren ska också särskilt redovisa förslagens konsekvenser för den personliga integriteten. Konsekvenserna ska redovisas enligt 14–

450

Statens offentliga utredningar 2019

Kronologisk förteckning

1.Santiagokonventionen mot organhandel. S.

2.Ingen regel utan undantag – en trygg sjukförsäkring med människan i centrum. S.

3.Effektivt, tydligt och träffsäkert

–det statliga åtagandet för framtidens arbetsmarknad. A.

4.Framtidsval – karriärvägledning för individ och samhälle. U.

5.Tid för trygghet. A.

6.En långsiktig, samordnad och dialog baserad styrning av högskolan. U.

7.Skogsbränderna sommaren 2018. Ju.

8.Kamerabevakning i kollektivtrafiken

–ett enklare förfarande. Ju.

9.Privat initiativrätt – planintressentens medverkan vid detaljplaneläggning. N.

10.Stöd för validering eller kompetens åtgärder i samband med korttidsarbete. Fi.

11.Biojet för flyget. M.

12.Nya befogenheter på konsumentskyddsområdet. Fi.

13.Agenda 2030 och Sverige: Världens utmaning – världens möjlighet. Fi.

14.Ett säkert statligt ID-kort

–med e-legitimation. Ju.

Statens offentliga utredningar 2019

Systematisk förteckning

Arbetsmarknadsdepartementet

Effektivt, tydligt och träffsäkert

–det statliga åtagandet för framtidens arbetsmarknad. [3]

Tid för trygghet. [5]

Finansdepartementet

Stöd för validering eller kompetensåtgärder i samband med korttidsarbete. [10]

Nya befogenheter på konsumentskyddsområdet. [12]

Agenda 2030 och Sverige: Världens utmaning – världens möjlighet. [13]

Justitiedepartementet

Skogsbränderna sommaren 2018. [7]

Kamerabevakning i kollektivtrafiken – ett enklare förfarande. [8]

Ett säkert statligt ID-kort

– med e-legitimation.[14]

Miljö- och energidepartementet

Biojet för flyget. [11]

Näringsdepartementet

Privat initiativrätt – planintressentens medverkan vid detaljplaneläggning. [9]

Socialdepartementet

Santiagokonventionen mot organhandel. [1]

Ingen regel utan undantag – en trygg sjukförsäkring med människan i centrum. [2]

Utbildningsdepartementet

Framtidsval – karriärvägledning för individ och samhälle. [4]

En långsiktig, samordnad och dialog baserad styrning av högskolan. [6]

(2009:315) om samtjänst vid medborgarkontor ...................	81
1.10 Förslag till förordning om ändring i offentlighets- och
sekretessförordningen (2009:641) .........................................	82
	5

Totalförsvarets rekryterings-	Totalförsvarets rekryterings-
myndighets register över totalför-	myndighets register över totalför-
svarets personal	svarets personal
Transportstyrelsens vägtrafik-	Transportstyrelsens vägtrafik-
register	register

Förkortningar och begrepp ..................................................		15
Sammanfattning ................................................................		19
Summary ..........................................................................		29
1	Författningsförslag.....................................................	39
1.1	Förslag till lag om statliga identitetshandlingar ....................	39
1.2	Förslag till förordning om statliga identitetshandlingar ......	50
1.3	Förslag till lag om ändring i passlagen (1978:302)................	59

1.11	Förslag till förordning om ändring
	i utlänningsdataförordningen (2016:30) ...............................		84
1.12	Förslag till förordning om ändring i förordningen
	(2017:154) med instruktion för Skatteverket .......................		86
2	Utredningens uppdrag och arbete ................................		89
2.1	Uppdraget ...............................................................................		89
2.2	Avgränsningar.........................................................................		89
2.3	Identitetsbegreppet ................................................................		90
2.4	Utredningsarbetet ..................................................................		90
2.5	Betänkandets disposition .......................................................		92
3	Bedrägeribrottslighet och missbruk
	av identitetshandlingar ...............................................		95
3.1	Bedrägeribrottslighetens utveckling......................................		95
3.2	Olika former av missbruk av identitetshandlingar ...............		96
3.3	Bedrägeri enligt brottsbalken.................................................		96
	3.3.1	Inledning..................................................................	96
	3.3.2	Bedrägligt köp, lån eller uttag ................................	97
	3.3.3	Bedräglig försäljning ...............................................	99
	3.3.4	Övriga bedrägerier ..................................................	99
3.4	Bidragsbrott ..........................................................................		101
	3.4.1	Inledning................................................................	101
	3.4.2	Brottsligheten........................................................	101

	med bedrägeri och bidragsbrott...........................................	102
3.6	Aktörer som drabbas av identitetsmissbruket....................	104
3.7	Konsekvenser av identitetsmissbruket................................	104
4	Svenska fysiska identitetshandlingar..........................	107
4.1	Inledning ...............................................................................	107

4.2	Pass ........................................................................................		108
4.3	Nationellt identitetskort ......................................................		112
4.4	Identitetskort för folkbokförda i Sverige ............................		115
4.5	Körkort..................................................................................		119
4.6	SIS-märkta id-kort ................................................................		123
4.7	Andra svenska handlingar.....................................................		126
4.8	Utländska identitetshandlingar ............................................		127
5	E-legitimation .........................................................		129
5.1	Vad är e-legitimation?...........................................................		129
5.2	Reglering om elektronisk identifiering................................		130
	5.2.1	Gällande rätt ..........................................................	130
	5.2.2	Pågående lagstiftningsarbete.................................	131
5.3	Tillitsnivåer............................................................................		132
5.4	Utfärdandeprocessen ............................................................		133
5.5	Dagens e-legitimationer och utfärdare ................................		136
5.6	Användning av e-legitimation ..............................................		137
5.7	Processen för elektronisk identifiering ...............................		138
	5.7.1	Roller ......................................................................	138
	5.7.2	Processen................................................................	139

	identifiering ...........................................................................		140
	5.8.1	Avtalsförhållanden.................................................	140
	5.8.2	Särskilt om avtalet mellan den förlitande
		aktören och utfärdaren ..........................................	141
5.9	Elektronisk underskrift ........................................................		143
6	Reformer på området ...............................................		147
6.1	Inledning................................................................................		147

6.2	Fysiska identitetshandlingar ................................................		148
	6.2.1	Pass.........................................................................	148
	6.2.2	Nationellt identitetskort.......................................	149
	6.2.3	Identitetskort för folkbokförda i Sverige ............	150
	6.2.4	Körkort ..................................................................	150
6.3	E-legitimationer....................................................................		153

		ekonomisk brottslighet mot välfärden ................	154
6.5	Organisatoriska förändringar ..............................................		155
	6.5.1	Servicekontorsutredningen...................................	155
	6.5.2	Inrättande av Myndigheten för digital
		förvaltning .............................................................	155
7	Internationell utblick................................................		157
7.1	Finland	..................................................................................	157
7.2	Norge ....................................................................................		160
7.3	Danmark................................................................................		162
8	Begränsning av antalet fysiska identitetshandlingar.....		165
8.1	Vårt uppdrag .........................................................................		165
8.2	Föreskrifter om vilka identitetshandlingar som godtas .....		166

	accepteras som identitetshandling ........................	171
8.5 Antalet fysiska identitetshandlingar ska begränsas.............		175
8.5.1	Pass och statligt utfärdade identitetskort ............	175
8.5.2	Körkort ..................................................................	177
8.5.3	SIS-märkt id-kort ..................................................	181

	som vistas i Sverige utan att vara folkbokförda ...	183
8.5.5	Sammanfattande bedömning.................................	185

8.6.1	Användningen av andra fysiska
	identitetshandlingar än de statliga ska
	begränsas ................................................................	186

		statliga fysiska identitetshandlingar föreslås	........ 188
	8.6.3	Områden där vi inte föreslår krav på
		identifiering med statliga fysiska
		identitetshandlingar...............................................	192
8.7	Genomslaget av våra förslag .................................................		196
9	Begränsning av antalet utfärdare...............................		199
9.1	Vårt uppdrag..........................................................................		199

fysiska identitetshandlingar..................................................		204
9.4.1	Aktuella myndigheter............................................	205
9.4.2	Transportstyrelsen.................................................	206

	9.4.3	Polismyndigheten eller Skatteverket?..................	206
	9.4.4	Behov av författningsändringar............................	212
10	En enhetlig reglering av utfärdandeprocessen .............		215
10.1	Vårt uppdrag .........................................................................		215
10.2	En ny lag om statliga identitetshandlingar..........................		216

	identitetskort införs ..............................................	221
10.2.3 Övergripande om den nya regleringen ................		224
10.2.4	Åldersgräns............................................................	226
10.2.5	Id-kortets giltighetstid..........................................	227
10.2.6 Det statliga identitetskortets innehåll .................		228
10.2.7	Personlig inställelse...............................................	229

		fysisk identitetshandling.......................................	239
	10.2.9	Inlämning av ett tidigare utfärdat id-kort............	248
	10.2.10	Återkallelse ............................................................	249
	10.2.11	Överklagande ........................................................	250
10.3	Behandling av personuppgifter i id-kortsverksamheten ...		251
	10.3.1	Ett nytt id-kortsregister .......................................	251
	10.3.2	Ändamål.................................................................	262
	10.3.3	Känsliga personuppgifter......................................	268
	10.3.4	Registrets innehåll.................................................	271
	10.3.5	Längsta tid för behandling av personuppgifter ...	273
10.4	Ändringar i passregleringen .................................................		277
	10.4.1	Personlig inställelse vid utlämnande av pass........	277

	av identitet för personer som saknar en statlig
	fysisk identitetshandling.......................................	278
10.4.3	Inlämning av ett tidigare utfärdat pass ................	279
10.4.4	Återkallelse av pass ...............................................	280

11	Fysiska identitetshandlingars säkerhetsnivå................		281
11.1	Vårt uppdrag..........................................................................		281
11.2	Dagens säkerhetsnivå............................................................		282
	11.2.1	Biometri .................................................................	282
	11.2.2	Andra säkerhetsdetaljer.........................................	285
11.3	Närmare om problemet ........................................................		286
11.4	Biometriskt underlag på statliga identitetskort...................		287
	11.4.1	Inledning ................................................................	287
	11.4.2	Regeringsformen och Europakonventionen........	287
	11.4.3	Dataskyddsförordningen ......................................	289
	11.4.4	Fingeravtryck och ansiktsbild...............................	290
11.5	Utökad sökmöjlighet i passregistret....................................		304
11.6	Kontroll av biometriska uppgifter i lagringsmedium på
	statliga fysiska identitetshandlingar.....................................		306
	11.6.1 Kontroll i samband med utfärdande av statliga
		fysiska identitetshandlingar ..................................	306
	11.6.2 Kontroll i samband med in- och utresa................		310
	11.6.3 Kontroll av biometriska uppgifter i andra
		sammanhang...........................................................	311
11.7	Sekretessfrågor ......................................................................		312
11.8	Andra säkerhetshöjande lösningar.......................................		314

12	En statlig e-legitimation på fysiska
	identitetshandlingar.................................................	317
12.1	Vårt uppdrag..........................................................................	317
12.2	Digitaliseringen och behovet av e-legitimation...................	318
12.3	En statlig e-legitimation .......................................................	319
12.4	Den statliga e-legitimationen ska finnas på det statliga
	identitetskortet......................................................................	325
12.5	Utfärdare ...............................................................................	326
12.6	Regleringen av den statliga e-legitimationen förs in i
	lagen om statliga identitetshandlingar .................................	331

12.7	Personer som kan få en statlig e-legitimation.....................	333
12.8	Tillitsnivå...............................................................................	334
12.9	Elektronisk underskrift........................................................	336
12.10	Den statliga e-legitimationens innehåll ...............................	339
12.11	Ansökningsförfarandet ........................................................	340
12.12	Utlämnande ..........................................................................	343
12.13	Föreskrifter om användning av den statliga e-
	legitimationen .......................................................................	343
12.14	Giltighetstid ..........................................................................	345
12.15	Återkallelse ...........................................................................	346
12.16	Behandling av personuppgifter ............................................	348
13	Kontroll av identitetshandlingars äkthet och giltighet...	353
13.1	Vårt uppdrag .........................................................................	353
13.2	Dagens kontroll av äkthet och giltighet..............................	354
13.3	Närmare om problemet........................................................	356
13.4	Förslag som leder till en bättre kontroll
	av identitetshandlingar .........................................................	359
13.5	Hur kontrollen av identitetshandlingar ska göras bör
	inte regleras ...........................................................................	362
14	Ikraftträdande och övergångsbestämmelser ................	365
14.1	Ikraftträdande .......................................................................	365
14.2	Övergångsbestämmelser ......................................................	366
15	Konsekvenser ..........................................................	371
15.1	Inledning ...............................................................................	371
15.2	Uppdraget och de förslag som lämnas ................................	372

15.3	Alternativa lösningar och konsekvenser av att den
	föreslagna regleringen inte genomförs ................................		373
15.4	Ekonomiska konsekvenser ...................................................		374
	15.4.1 Konsekvenser för det allmänna.............................		374
	15.4.2	Konsekvenser för enskilda ....................................	379
	15.4.3	Konsekvenser för företag......................................	381
15.5	Konsekvenser för brottsligheten
	och det brottsförebyggande arbetet.....................................		382
15.6	Regleringens överensstämmelse med EU-rätten ................		382
15.7	Konsekvenser för den personliga integriteten ....................		383
15.8	Övriga konsekvenser enligt kommittéförordningen ..........		383
16	Författningskommentar ............................................		385
16.1	Förslaget till lag om statliga identitetshandlingar ...............		385
16.2	Förslaget till lag om ändring i passlagen (1978:302)...........		421
16.3	Förslaget till lag om ändring i offentlighets- och
	sekretesslagen (2009:400).....................................................		436
16.4	Förslaget till lag om ändring i lagen (2017:630) om
	åtgärder mot penningtvätt och finansiering av terrorism... 437

Nuvarande lydelse	Föreslagen lydelse
Nationellt identitetskort	Statligt identitetskort
1 400 kr	1 400 kr