Regeringens proposition 2025/26:250

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 7 maj 2026

Ebba Busch

Erik Slottner (Finansdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås en ny lag om statlig e-legitimation och elektronisk identifiering. En statlig e-legitimation ska kunna ges till personer med svenskt medborgarskap, utlänningar som är folkbokförda i Sverige och personer som har ett s.k. immunitetsnummer och som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall. För att få en statlig e-legitimation krävs det att sökanden har fyllt eller innevarande kalenderår ska fylla nio år. Förslaget syftar till att säkra samhällets tillgång till elektronisk identifiering och säkerställa att kraven i EU:s förordning om elektronisk identifiering uppfylls.

Den nya lagen föreslås träda i kraft den 1 december 2026.

1

Prop. 2025/26:250 Innehållsförteckning

4.2Revidering av EU:s förordning om elektronisk

5.1Lagen om auktorisationssystem i fråga om tjänster

8.1En statlig e-legitimation ska kunna ges till personer med svenskt medborgarskap och till vissa

8.2För att få en statlig e-legitimation ska det krävas en

8.4Avslag av ansökan och utfärdande av statlig e-

8.5En statlig e-legitimation ska ha en begränsad

8.6En statlig e-legitimation ska i vissa fall kunna

8.9Ansökan om en statlig e-legitimation ska

2

9.5Vissa integritetskänsliga sökningar ska vara

9.6Längsta tid för behandling av personuppgifter i

9.8Undantag från rätten att invända mot

13.2Ekonomiska konsekvenser för utfärdande

13.3Ekonomiska konsekvenser för offentlig sektor i

13.3.1Kravet på erkännande av medel för

13.3.2Konsekvenser för Skatteverket och

13.7Konsekvenser för brottsligheten och det

3

Regeringens förslag:

Riksdagen antar regeringens förslag till lag om statlig e-legitimation och elektronisk identifiering.

4

och elektronisk identifiering

Härigenom föreskrivs1 följande.

1 kap. Allmänna bestämmelser

Lagens innehåll och förhållande till annan reglering

1 § Denna lag innehåller bestämmelser om en statlig e-legitimation och krav på erkännande av vissa medel för elektronisk identifiering.

Bestämmelser om medel för elektronisk identifiering finns i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, här benämnd EU:s förordning om elektronisk identifiering, och i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

2 § Denna lag kompletterar, i den del den avser behandling av personuppgifter, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna lag.

Ord och uttryck

3 § Med autentisering, elektronisk identifiering, medel för elektronisk identifiering och nättjänst avses i denna lag detsamma som i EU:s förordning om elektronisk identifiering.

4 § Med en offentlig aktör avses i denna lag

1.en statlig eller kommunal myndighet, eller en beslutande församling

ien kommun eller region,

2.en sammanslutning som inrättats särskilt för att tillgodose behov i det allmännas intresse, under förutsättning att behovet inte är av industriell eller kommersiell karaktär, och som består av en eller flera myndigheter eller församlingar som anges i 1,

3.en privat aktör som yrkesmässigt bedriver verksamhet som till någon del är offentligt finansierad och som

1Se Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för

Prop. 2025/26:250 a) aktören bedriver i egenskap av enskild huvudman inom skolväsendet eller huvudman för en sådan internationell skola som avses i 24 kap. skollagen (2010:800),

b)utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvård enligt tandvårdslagen (1985:125),

c)bedrivs enligt socialtjänstlagen (2025:400), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1993:387) om stöd och service till vissa funktionshindrade, eller

d)utgör personlig assistans som utförs med assistansersättning enligt 51 kap. socialförsäkringsbalken, eller

4. en enskild utbildningsanordnare med tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som till största delen har statsbidrag som finansiering av högskoleutbildning på grundnivå eller avancerad nivå eller av utbildning på forskarnivå.

En statlig e-legitimation

5 § Den statliga e-legitimationen är ett medel för elektronisk identifiering.

Utfärdande myndighet

6 § Den statliga e-legitimationen utfärdas av utfärdande myndighet. Polismyndigheten är utfärdande myndighet inom riket.

Utom riket fullgör beskickningar och karriärkonsulat uppgifter som utfärdande myndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer.

7 § Utfärdande myndighet ska fullgöra de uppgifter som anges i denna lag och i föreskrifter som har meddelats i anslutning till lagen.

Vem som kan få en statlig e-legitimation

8 § En statlig e-legitimation får utfärdas till en svensk medborgare som har fyllt eller som innevarande kalenderår ska fylla nio år.

9 § En statlig e-legitimation får utfärdas till en utlänning som har fyllt eller som innevarande kalenderår ska fylla nio år och som

1.är folkbokförd i Sverige enligt folkbokföringslagen (1991:481), eller

2.har tilldelats ett personnummer enligt 18 b § samma lag och som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.

Giltighetstiden

10 § En e-legitimation ska utfärdas med en giltighetstid om fem år. Om sökanden inte har fyllt tolv år ska giltighetstiden vara tre år.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att den statliga e-legitimationen i särskilt angivna fall ska ha en kortare giltighetstid.

6

2 kap. Ansökan, utfärdande och återkallelse En ansökan krävs

1 § Den statliga e-legitimationen utfärdas efter ansökan.

Om sökanden är under arton år krävs det vårdnadshavares medgivande, om det inte finns synnerliga skäl för utfärdandet.

Personlig inställelse

2 § Den som ansöker om en statlig e-legitimation ska lämna ansökan vid personlig inställelse.

Styrkande av identitet

3 § Sökanden ska vid ansökan styrka sin identitet och övriga personuppgifter som krävs för att en statlig e-legitimation ska utfärdas.

Ansiktsbild och fingeravtryck

4 § Sökanden ska låta den utfärdande myndigheten ta sökandens ansiktsbild och fingeravtryck i samband med ansökan om statlig e-legitimation.

Sökanden ska även låta den utfärdande myndigheten ta sökandens ansiktsbild och fingeravtryck vid utlämnande av den statliga e-legitima- tionen, om den utfärdande myndigheten begär det.

5 § Ansiktsbilden som tas i samband med ansökan enligt 4 § första stycket ska sparas i ett lagringsmedium i bäraren av den statliga e-legiti- mationen. Om fingeravtryck har tagits ska även dessa sparas i lagringsmediet.

6 § Om sökanden styrker sin identitet med en identitetshandling som är försedd med en ansiktsbild eller innehåller ett lagringsmedium där ansiktsbild eller fingeravtryck är sparade, får den utfärdande myndigheten kontrollera att dessa motsvarar den ansiktsbild och de fingeravtryck som tas enligt 4 §.

Den utfärdande myndigheten får även kontrollera att ansiktsbild och fingeravtryck som tas i samband med utlämnande enligt 4 § andra stycket motsvarar de som finns lagrade i den statliga e-legitimationen.

7 § De fingeravtryck som tas enligt 4 § första stycket och de biometriska uppgifter som tas fram ur dessa ska omedelbart förstöras när den statliga e-legitimationen har lämnats ut eller, om e-legitimationen inte har lämnats ut, när det har gått 90 dagar från den dag då den utfärdades. Om ett ansökningsärende har avslutats på något annat sätt ska uppgifterna också förstöras omedelbart.

7

Prop. 2025/26:250 Den ansiktsbild och de fingeravtryck som tas enligt 4 § andra stycket och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken ska omedelbart förstöras när kontrollen enligt 6 § andra stycket har genomförts.

Den ansiktsbild och de fingeravtryck som vid kontroll enligt 6 § tas fram ur ett lagringsmedium och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken ska omedelbart förstöras när kontrollen har genomförts.

Avslag av ansökan och utfärdande av statlig e-legitimation

8 § En ansökan om en statlig e-legitimation ska avslås om de krav som framgår av denna lag eller de föreskrifter som har meddelats i anslutning till lagen inte är uppfyllda och sökanden inte har följt en uppmaning att rätta till bristen. I annat fall ska den statliga e-legitimationen utfärdas och skyndsamt vara tillgänglig för utlämnande.

Återkallelse och spärr av statlig e-legitimation

9 § En statlig e-legitimation ska återkallas och spärras om

1.det fanns hinder mot att utfärda en e-legitimation vid tiden för utfärdandet och hindret fortfarande består,

2.någon väsentlig uppgift som en e-legitimation innehåller är felaktig,

3.det är nödvändigt av säkerhetsskäl,

4.den är utfärdad på en fysisk identitetshandling som därefter har upphört att gälla, eller

5.innehavaren har avlidit.

En statlig e-legitimation får även återkallas och spärras på begäran av innehavaren. Om begäran avser ett barn under arton år krävs det vårdnadshavares medgivande, om det inte finns synnerliga skäl för återkallelsen och spärren.

10 § En statlig e-legitimation ska, utöver i de fall som anges i 9 §, spärras

1.i samband med att en ny e-legitimation lämnas ut till sökanden, eller

2.när giltighetstiden har löpt ut.

Avgifter

11 § Utfärdande myndighet får ta ut avgifter för ansökan om statlig e- legitimation.

Rätt att meddela föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om förfarandet vid

1.ansökan,

2.utfärdande,

3.utlämnande, och

4.återkallelse och spärr.

8

Regeringen eller den myndighet som regeringen bestämmer kan med Prop. 2025/26:250 stöd av 8 kap. 7 § regeringsformen även meddela föreskrifter om den

statliga e-legitimationens

1.innehåll, bärare och utformning i övrigt, och

2.aktivering.

Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om

1.avgifter för ansökan om statlig e-legitimation, och

2.undantag från skyldigheten att lämna fingeravtryck enligt 4 §.

3 kap. Behandling av personuppgifter

Ändamålen med behandlingen

1 § Personuppgifter får behandlas av utfärdande myndighet om det är nödvändigt för att

1.handlägga ärenden om statlig e-legitimation,

2.föra ett register över ärenden om statlig e-legitimation, och

3.vidta åtgärder för en säker användning av statliga e-legitimationer.

2 § Personuppgifter som behandlas enligt 1 § får också behandlas av utfärdande myndighet

1.om det är nödvändigt för att tillhandahålla information som behövs i Polismyndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet, och

2.om det är nödvändigt för att lämna ut uppgifter i enlighet med lag eller förordning.

Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Begränsning av rätten att göra invändningar

3 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Säkerhetsåtgärder

4 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter i verksamheten med den statliga e-legitimationen.

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om

1.begränsningen av tillgången till personuppgifter enligt första stycket,

och

2.säkerhetsåtgärder till skydd för personuppgifter.

9

Regeringen beslutade i december 2022 att ge en särskild utredare i uppdrag att utreda och lämna förslag på hur staten kan utfärda en e-legitimation på högsta tillitsnivå.

Utredningen, som antog namnet Utredningen om säker och tillgänglig digital identitet (I2022:04), överlämnade i oktober 2023 delbetänkandet En säker och tillgänglig statlig e-legitimation (SOU 2023:61). En sammanfattning av delbetänkandet finns i bilaga 1. Delbetänkandets lagförslag finns i bilaga 2. Delbetänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga på regeringens webbplats (regeringen.se) och i Finansdepartementet (Fi2023/02704). I denna proposition behandlas förslagen i delbetänkandet.

Lagrådet

Regeringen beslutade den 22 januari 2026 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådet lämnar förslagen utan erinran. Lagrådets yttrande finns i bilaga 5. I förhållande till lagrådsremissens lagförslag görs vissa språkliga och redaktionella ändringar.

Lagrådsremissen innehöll, utöver de lagförslag som föreslås i propositionen, även ett förslag om ändring i 22 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL. Den 7 maj 2026 beslutade regeringen propositionen Utökade befogenheter för Skatteverket inom folkbokföringsverksamheten (prop. 2025/26:261). I propositionen föreslår regeringen en ändring i 22 kap. 1 § OSL som innefattar förslaget i lagrådsremissen En statlig e-legitimation. Ändringen föreslås träda i kraft den 1 december 2026. Mot denna bakgrund har regeringen inte tagit med förslaget i denna proposition (se avsnitt 9.4).

Betrodda tjänster är elektroniska tjänster som vanligen tillhandahålls mot Prop. 2025/26:250 ersättning och innehåller vissa utpekade funktioner kopplade till bl.a.

elektroniska underskrifter, elektroniska stämplar, elektroniska tidsstämplingar eller certifikat för autentisering av webbplatser (artikel 3.16). För att uppnå syftet med EU:s förordning om elektronisk identifiering ställs det ett krav på ömsesidigt erkännande av bl.a. medel för elektronisk identifiering som medlemsstater har anmält till Europeiska kommissionen för gränsöverskridande användning under vissa förutsättningar (artikel 6 och skäl 12 och 14). Det ställs dock inte något krav på att anmäla system för elektronisk identifiering till kommissionen och förordningen är inte tillämplig på system som inte har anmälts (artikel 2.1).

EU:s förordning om elektronisk identifiering kompletteras i svensk rätt genom lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

4.2Revidering av EU:s förordning om elektronisk identifiering

EU:s förordning om elektronisk identifiering har reviderats i syfte att göra den mer effektiv, utvidga tillämpningsområdet till den privata sektorn och främja tillgången till digitala identiteter för alla européer. Ändringarna i förordningen, som beslutades genom Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet, trädde i kraft den 20 maj 2024.

I den reviderade förordningen ställs nya krav på medlemsstaterna. En betydande förändring är skyldigheten att säkerställa att alla fysiska och juridiska personer i EU kan tillhandahållas en europeisk digital identitetsplånbok. En digital identitetsplånbok är ett medel för elektronisk identifiering som gör det möjligt för användaren att på ett säkert sätt lagra, hantera och validera personidentitetsuppgifter och elektroniska attributsintyg (artikel 3.42).

Den europeiska digitala identitetsplånboken syftar till att ge alla fysiska och juridiska personer i unionen tillgång till offentliga och privata tjänster genom att användaren bl.a. kan begära, dela och visa uppgifter för personidentifiering (artikel 5a). Utfärdandet, användningen och återkallandet av europeiska digitala identitetsplånböcker ska vara utan kostnad för alla fysiska personer (artikel 5a.13). Det ska vidare vara frivilligt att använda identitetsplånboken och avsaknaden av en sådan ska inte påverka tillgången till service eller möjligheten att bedriva verksamhet (skäl 15). Användaren kan förse identitetsplånboken med olika attributsintyg (artikel 3.42). Med attribut avses egenskaper, kvaliteter, rättigheter eller tillstånd hos en fysisk eller juridisk person eller hos ett föremål (artikel 3.43). Det kan t.ex. röra sig om studieintyg eller intyg om körkortsbehörighet.

13

därmed även gynna personer med funktionsbegränsningar, såsom äldre Prop. 2025/26:250 personer, och personer med begränsad tillgång till digital teknik

(artikel 15).

5Tjänster för elektronisk identifiering i Sverige

5.1Lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post

Lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post innehåller bestämmelser om auktorisationssystem i fråga om sådana tjänster. Anskaffning genom auktorisationssystem är ett alternativ till upphandling enligt lagen (2016:1145) om offentlig upphandling.

Med auktorisationssystem avses ett system där den myndighet som tillhandahåller systemet godkänner att leverantörer av tjänster för elektronisk identifiering av enskilda eller för digital post ingår ett avtal inom systemet om utförande av sådana tjänster. En enskild har rätt att välja den leverantör som ska utföra tjänsterna för den enskildes räkning och en offentlig aktör kan använda tjänsterna i sin verksamhet enligt avtal med den tillhandahållande myndigheten (2 § lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post). Med begreppet elektronisk identifiering avses detsamma som i EU:s förordning om elektronisk identifiering (3 § samma lag).

En statlig myndighet som kräver elektronisk identifiering av enskilda för åtkomst till myndighetens digitala tjänster ska använda de tjänster för elektronisk identifiering som tillhandahålls av leverantörer i auktorisationssystem enligt lagen, se 3 § förordningen (2023:709) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.

Myndigheten för digital förvaltning är tillhandahållande myndighet enligt lagen. Myndigheten ska ta ut en avgift för användningen av tjänster inom ett auktorisationssystem och får meddela föreskrifter om avgifterna, se 22 § samma lag och 2 och 7 §§ förordningen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.

Prop. 2025/26:250 delade på olika skyddsklasser eller tillitsnivåer som svarar mot bl.a. olika grader av teknisk och operationell säkerhet hos utfärdaren (Myndigheten för digital förvaltning – Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation, senast uppdaterad 2025-03-14).

5.3Svenska e-legitimationer

I Sverige finns det flera privata utfärdare av e-legitimationer, bl.a. AB Svenska pass, Finansiell ID-Teknik BID AB och Freja eID Group AB.

Finansiell ID-Teknik BID AB äger och förvaltar e-legitimationen Bankid. Bolagets kunder är de flesta av de stora svenska bankerna, som i sin tur säljer och förmedlar e-legitimationen. I dagsläget är det tio banker som utfärdar Bank-id. Det finns tre olika typer av Bank-id, mobilt bank-id, bank-id på fil och bank-id på kort. Vilka lösningar som de olika bankerna erbjuder sina kunder skiljer sig åt. Vissa banker tar betalt för bank-id på kort. Bank-id är godkänd på tillitsnivå 3 enligt Myndigheten för digital förvaltnings tillitsramverk. Bank-id är även anmäld för gränsöverskridande användning inom ramen för EU:s förordning om elektronisk identifiering på nivå väsentlig. För att kunna skaffa Bank-id måste en person ha ett svenskt personnummer och vara kund i någon av de banker som utfärdar Bank-id. Varje bank bestämmer själv vilken åldersgräns som krävs för att få Bank-id. Om sökanden är under arton år krävs det medgivande av vårdnadshavare.

AB Svenska pass e-legitimation finns på Skatteverkets identitetskort för folkbokförda i Sverige. För att kunna få identitetskortet, och därmed AB Svenska pass e-legitimation, måste sökanden vara folkbokförd i Sverige, ha fyllt tretton år och kunna styrka sin identitet, se 1 och 2 §§ lagen (2015:899) om identitetskort för folkbokförda i Sverige. Om sökanden är under arton år krävs det ett skriftligt medgivande från vårdnadshavare, se 5 § förordningen (2015:904) om identitetskort för folkbokförda i Sverige. AB Svenska pass e-legitimation är godkänd enligt Myndigheten för digital förvaltnings tillitsramverk på tillitsnivå 4. E-legitimationen är inte anmäld för gränsöverskridande användning inom ramen för EU:s förordning om elektronisk identifiering. AB Svenska pass e-legitimation används i praktiken endast för identifiering gentemot Skatteverket. För att kunna använda e-legitimationen krävs en dator och en kortläsare. Avgiften för identitetskortet för folkbokförda i Sverige är 400 kronor.

Freja eID Group AB utvecklar, äger och förvaltar Freja+, som är en mobil e-legitimation. Det är kostnadsfritt för användare att skaffa Freja+. För att skaffa Freja+ krävs det för närvarande bl.a. att sökanden är svensk medborgare och kan legitimera sig med en svensk identitetshandling. Även personer med styrkt samordningsnummer kan i vissa fall få Freja+. Lägsta ålder för att få Freja+ är fem år. Om sökanden är under arton år krävs det medgivande av vårdnadshavare. Freja+ är godkänd enligt Myndigheten för digital förvaltnings tillitsramverk på tillitsnivå 3 och anmäld för gränsöverskridande användning inom ramen för EU:s förordning om elektronisk identifiering på nivå väsentlig. Anmälan för gränsöverskridande användning gäller dock endast för Freja+ som skaffats genom besök med fysisk identitetskontroll hos ett ATG-ombud.

16

I en årlig rapport från Internetstiftelsen för 2025 redovisas att 5 procent av befolkningen saknar e-legitimation och att andelen användare har ökat med 2 procent sedan 2024 (Internetstiftelsen, Svenskarna och internet 2025 s. 16). Av 2025 års rapport, som utgår från användningen av mobilt bank-id, framgår också att så gott som alla i arbetsför ålder använder sig av mobilt bank-id och att endast 84 procent av de som är 65 år eller äldre använder mobilt bank-id. Bland de som är 76 år eller äldre är det drygt 70 procent som använder mobil bank-id. År 2021 var motsvarande siffra 50 procent, vilket visar på en tydlig ökning bland de äldsta sett över tid. Det är alltså de som är 65 år eller äldre som är den grupp i befolkningen som inte använder mobilt bank-id. Det är framför allt de äldsta, de som är 76 år eller äldre, som inte använder mobilt bank-id.

I undersökningen Svenskarna med funktionsnedsättning och internet (SMFOI) som avser 2025 svarar 60 procent att de känner sig delaktiga i det digitala samhället, 29 procent att de känner sig delaktiga till viss del, 8 procent att de inte känner sig delaktiga alls och 2 procent att de inte vet. I samma grupp uppger 83 procent att de använder mobilt bank-id och 15 procent att de använder en e-legitimation som inte är mobilt bank-id (Begripsam, Användning av internet SMFOI 2025, publicerad den 12 februari 2026).

6 Identitetsbeteckningar i Sverige

Prop. 2025/26:250 byggnad, publicerad den 30 januari 2025). Syftet med att ge dessa personer personnummer har varit att göra det lättare för dem att ta del av olika tjänster i samhället, t.ex. vid kontakter med vården (prop. 2008/09:111 s. 34). Skatteverket tilldelar sådana personnummer efter begäran av Regeringskansliet enligt 5 § första stycket folkbokföringsförordningen (1991:749).

Skatteverket får tilldela ett samordningsnummer bl.a. efter begäran av en myndighet eller efter ansökan av en enskild som har en sådan anknytning till Sverige att han eller hon kan antas behöva en identitetsbeteckning (2 kap. 1 § lagen om samordningsnummer). En anknytning till Sverige kan t.ex. bestå av att den enskilde eller någon annan i familjen äger fast egendom i landet. Anknytning kan även finnas för en EES- medborgare som med stöd av den fria rörligheten vistas i Sverige för t.ex. tillfälliga arbeten eller kortare studier. Möjligheten att tilldelas samordningsnummer efter egen ansökan gäller oavsett medborgarskap och behovet kan även finnas hos t.ex. en tredjelandsmedborgare som har ett tidsbegränsat uppehållstillstånd i Sverige. Den som har ett gällande avvisnings- eller utvisningsbeslut kan däremot i regel inte anses ha en sådan anknytning till Sverige att han eller hon kan antas ha ett behov av samordningsnummer (prop. 2020/21:160 s. 53, 54 och 98).

Samordningsnummer tilldelas i tre nivåer beroende på vilken identitetskontroll som har föregått tilldelningen. Uppgift om den enskildes identitet är styrkt, sannolik eller osäker registreras i folkbokföringsdatabasen. Huvudregeln är att samordningsnummer tilldelas den som vid personlig inställelse har styrkt sin identitet. Från huvudregeln finns vissa undantag där samordningsnummer får tilldelas även om personen endast har gjort sin identitet sannolik eller det råder osäkerhet om en persons identitet (2 kap. 1, 2, 5 och 6 §§ samma lag).

Uppgifter om en person som har tilldelats ett samordningsnummer registreras i folkbokföringsdatabasen och samordningsnumret är, på motsvarande sätt som ett personnummer, bestående och unikt genom att det är kopplat till en viss person oavsett om personen t.ex. har lämnat landet eller avlidit. En person som tilldelats ett samordningsnummer kan, till skillnad från någon som är folkbokförd, inte avregistreras. Det finns dock en möjlighet att förklara ett samordningsnummer vilande om det inte har förnyats inom utgången av det femte kalenderåret efter det år numret tilldelades, eller om det finns andra skäl för det. Ordningen med vilandeförklaring är en viktig del för att hålla uppgifterna i folkbokföringsdatabasen uppdaterade (prop. 2020/21:160 s. 65 och 66 och prop. 2021/22:276 s. 48).

18

Prop. 2025/26:250 Om den statliga e-legitimationen anmäls till ett auktorisationssystem innebär det att den kommer att bli en av de tjänster som statliga myndigheter under regeringen måste använda om de kräver elektronisk identifiering för enskilda för inloggning i sina nättjänster. Det skulle leda till att fler e-legitimationer kan användas på marknaden, vilket skulle öka konkurrensen och därmed även samhällets motståndskraft. Det skulle vidare bidra till att öka tillgängligheten till digital offentlig service, eftersom den statliga e-legitimationen kommer att vara tillgänglig för en större personkrets än de e-legitimationer som för närvarande finns på marknaden (se avsnitt 8.1). I avsnitt 10 lämnar regeringen förslag om erkännande av medel för elektronisk identifiering som ingår i ett auktorisationssystem. Om den statliga e-legitimationen ansluts till ett auktorisationssystem kommer den att ingå i de tjänster som omfattas av det föreslagna kravet på erkännande.

Regeringen anser sammantaget att den statliga e-legitimationen bör anslutas till ett auktorisationssystem enligt lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.

Myndigheten för digital förvaltning är tillhandahållande myndighet enligt lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post (se avsnitt 5.1). Myndigheten har meddelat föreskrifter om de krav som ska vara uppfyllda för att en ansökan om anslutning till ett auktorisationssystem ska godkännas (Föreskrifter om krav på leverantörers ansökan om anslutning till auktorisationssystem för tjänster för elektronisk identifiering och för digital post, MDFFS 2025:1). Regeringen anser att granskningen inför den statliga e-legitimationens anslutning till auktorisationssystem inte får medföra konsekvenser för Sveriges säkerhet.

7.2Vissa ord och uttryck i lagen

Regeringens förslag

Med autentisering, elektronisk identifiering, medel för elektronisk identifiering och nättjänst ska i lagen avses detsamma som i EU:s förordning om elektronisk identifiering.

Det ska anges i lagen att en statlig e-legitimation är ett medel för elektronisk identifiering.

Det ska finnas en upplysning i lagen om att bestämmelser om medel för elektronisk identifiering finns i EU:s förordning om elektronisk identifiering och i lagen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Utredningens förslag

Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår att uttrycket statligt medel för elektronisk identifiering ska användas i stället för statlig e-legitimation. Utredningen föreslår följaktligen inte en bestämmelse som anger att en statlig e-legiti-

mation är ett medel för elektronisk identifiering.

22

8Förutsättningar för att få en statlig e- legitimation

8.1En statlig e-legitimation ska kunna ges till personer med svenskt medborgarskap och till vissa utlänningar

Regeringens förslag

Den statliga e-legitimationen ska kunna utfärdas till personer som har svenskt medborgarskap, utlänningar som är folkbokförda i Sverige och personer som har ett s.k. immunitetsnummer och som omfattas av lagen om immunitet och privilegier i vissa fall. För att få den statliga e- legitimationen ska det även krävas att sökanden har fyllt eller innevarande kalenderår ska fylla nio år.

Utredningens förslag

Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår inte att det uttryckligen ska anges att en statlig e- legitimation ska få utfärdas till personer med svenskt medborgarskap. Utredningen föreslår att en statlig e-legitimation ska få utfärdas till personer med ett svenskt personnummer och till personer med sådant samordningsnummer som tilldelas dem som har styrkt sin identitet.

23

Prop. 2025/26:250 Remissinstanserna

Majoriteten av remissinstanserna, bl.a. Centrala studiestödsnämnden, Göteborgs kommun, Huddinge kommun och Länsstyrelsen i Stockholms län, tillstyrker eller har inga synpunkter på förslaget. Föreningen svenskar i världen, Helsingborgs kommun och Kommerskollegium ser positivt på att personer med styrkt samordningsnummer föreslås kunna få en statlig e-legitimation. Myndigheten för digital förvaltning och Region Stockholm ser behov av en e-legitimation även för personer med samordningsnummer som inte har styrkt sin identitet. Ekobrottsmyndigheten ser en risk för ökad ekonomisk och identitetsrelaterad brottslighet med en statlig e-legitima- tion som baseras på ett samordningsnummer. Sveriges ambassad i Bangkok menar att en sådan risk gör sig gällande vid utfärdanden för minderåriga med samordningsnummer som är bosatta utanför EU eller EES och anser att den gruppen endast bör få en statlig e-legitimation om det finns behov.

Finansiell ID-Teknik BID AB önskar ett förtydligande i fråga om personer med immunitetsnummer kan få en statlig e-legitimation. Flera remissinstanser, bl.a. Arbetsförmedlingen, Funktionsrätt Sverige och Myndigheten för delaktighet, menar att ställföreträdare också bör ges möjlighet att använda en statlig e-legitimation för sina huvudmän för att inte personer med t.ex. förvaltare och god man ska riskera att uteslutas från möjligheten att använda en statlig e-legitimation.

Freja eID Group AB anser att det inte bör finnas någon nedre åldersgräns för att kunna få en statlig e-legitimation. Enligt bolaget skulle möjligheten för barn att identifiera sig digitalt bl.a. motverka gromning, dvs. att vuxna tar kontakt med barn i sexuellt syfte. Enligt Region Stockholm är det angeläget att barn kan ges tillgång till en e-legitimation från tretton års ålder för att kunna ta del av digital information. Försäkringskassan anser däremot att en statlig e-legitimation på högsta tillitsnivå inte bör vara tillgänglig för barn på grund av risken för missbruk och oegentligheter. Enligt Diskrimineringsombudsmannen bör det kunna göras undantag från åldersgränsen, t.ex. för barn som har hoppat över en årskurs. Tierps kommun och Statens skolverk påpekar att det inte finns något behov av digital identifiering för elever i skolan.

Prop. 2025/26:250 att risken för ökad ekonomisk och identitetsrelaterad brottslighet om en e- legitimation utfärdas för dessa personer, som bl.a. Ekobrottsmyndigheten lyfter, inte bör överdrivas. Det finns dock vissa praktiska svårigheter som behöver hanteras för att utländska medborgare som tilldelas ett sådant samordningsnummer ska kunna ges möjlighet att få en statlig e-legi- timation. Som flera remissinstanser framför, bl.a. Föreningen svenskar i världen, är det samtidigt angeläget att en statlig e-legitimation kan utfärdas så snart som möjligt till personer som är bosatta i landet. Regeringen bedömer mot denna bakgrund att personer med samordningsnummer och som inte är svenska medborgare för närvarande inte kan omfattas av den personkrets som bör ges möjlighet att få en statlig e-legitimation. Med hänsyn till det behov som finns för utländska medborgare med samordningsnummer, som har styrkt sin identitet, att få tillgång till en svensk e- legitimation, har regeringen för avsikt att återkomma i frågan.

Regeringen anser sammanfattningsvis att en statlig e-legitimation bör kunna utfärdas till personer som har svenskt medborgarskap, utlänningar som är folkbokförda i Sverige och personer som har ett s.k. immunitetsnummer och som omfattas av lagen om immunitet och privilegier i vissa fall.

Något förslag om att ställföreträdare ska ha tillgång till den statliga e- legitimationen för sina huvudmäns räkning, som efterfrågas av flera remissinstanser, har inte lämnats och bereds därmed inte vidare inom ramen för detta lagstiftningsarbete.

Möjligheten att få en e-legitimation bör vara begränsad till personer som har fyllt eller som innevarande kalenderår ska fylla nio år

Det uppställs inte någon åldersgräns för att få ett svenskt pass. Om den som ansöker om ett pass är under arton år måste dock, som huvudregel, vårdnadshavare lämna medgivande för att passet ska få utfärdas (7 § passlagen). Samma krav gäller för det nationella identitetskortet (3 § förordningen om nationellt identitetskort) och identitetskortet för folkbokförda i Sverige (5 § förordningen om identitetskort för folkbokförda i Sverige). För identitetskortet för folkbokförda finns det dock en åldersgräns om tretton år (1 § lagen om identitetskort för folkbokförda i Sverige).

Det är inte enbart myndiga som kommer att ha behov av en statlig e- legitimation. Många barn använder redan i lågstadiet internet dagligen (Internetstiftelsen, Svenskarna och internet 2025 s. 202). Underåriga har vidare en viss rättshandlingsförmåga. De har rätt att i vissa fall råda över egendom som de t.ex. har fått genom villkorad gåva eller genom eget arbete (se t.ex. 9 kap. 1 och 3 §§ föräldrabalken). I likhet med vad Region Stockholm påpekar kan det också finnas behov för de som har fyllt tretton år att använda en statlig e-legitimationen för att t.ex. boka vårdtider och förnya recept. Regeringen har dessutom när det gäller barns möjlighet till inflytande i hälso- och sjukvården bedömt att det inte bör införas särskilda åldersgränser. I stället ska barnets ålder och mognad beaktas vad gäller barns möjlighet till inflytande och information i olika medicinska frågor (prop. 2013/14:106). Dessa omständigheter talar till viss del för att inte införa någon åldersgräns för den statliga e-legitimationen, som Freja eID Group AB förordar.

26

Som Försäkringskassan lyfter finns det dock olika risker kopplade till Prop. 2025/26:250 ungas användning av en e-legitimation. En uppenbar risk är att barn kan

bli målgrupp för den grova organiserade brottsligheten (se avsnitt 7.1). Det finns vidare inte något som tyder på att de allra yngsta är i behov av en e- legitimation. Detta talar för att möjligheten för underåriga att få en statlig e-legitimation bör begränsas till barn som har uppnått en viss ålder och mognad som vanligtvis följs av ett behov av att legitimera sig digitalt.

Fram till nyligen har det funnits föreskrifter meddelade av Statens skolverk om digitala nationella prov för elever i årskurs tre, dvs. för elever som innevarande kalenderår har fyllt eller ska fylla nio år. Utredningen föreslår att den statliga e-legitimationen ska utfärdas till den som är eller innevarande kalenderår ska fylla nio år, bl.a. för att de som går i årskurs tre självständigt ska kunna identifiera sig för att genomföra digitala nationella prov. Även om det inte längre genomförs digitala nationella prov i årskurs tre, som Statens skolverk påpekar, anser regeringen att den åldersgräns som föreslagits av utredningen framstår som väl avvägd. Det kan inte heller uteslutas att det i framtiden införs digitala tjänster som kräver elektronisk identifiering från den åldern.

I avsnitt 8.2 föreslår regeringen att det ska krävas vårdnadshavares medgivande vid ansökan om en statlig e-legitimation. Ett sådant krav innebär att det ytterst är vårdnadshavaren som avgör om barnet kan anses ha uppnått tillräcklig mognad för att ha en e-legitimation. En reglering som i stället skulle innebära att en utfärdande myndighet ska göra en individuell mognadsbedömning av sökanden bedöms inte vara aktuellt att införa med hänsyn till ändamålet med lagstiftningen. Regeringen anser mot denna bakgrund att den statliga e-legitimationen bör kunna utfärdas till personer som har fyllt eller som innevarande kalenderår ska fylla nio år.

Eftersom det inte ställs några krav på unga att legitimera sig digitalt finns det inte något behov av ett sådant undantag från åldersgränsen som Diskrimineringsombudsmannen efterfrågar.

8.2För att få en statlig e-legitimation ska det krävas en ansökan

Regeringens förslag

Den statliga e-legitimationen ska utfärdas efter ansökan. Den som ansöker om en statlig e-legitimation ska lämna ansökan vid personlig inställelse. Sökanden ska styrka sin identitet och de övriga personuppgifter som krävs för att en statlig e-legitimation ska kunna utfärdas. För den som är under arton år ska det krävas vårdnadshavares medgivande om det inte finns synnerliga skäl.

Lagen ska innehålla en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om förfarandet vid ansökan, utfärdande och utlämnande.

27

nivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Prop. 2025/26:250 Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektro-

nisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. Dessutom utfärdas även de nationella identitets- och resehandlingarna efter ansökan. Regeringen anser därför, till skillnad från Länsstyrelsen i Västra Götalands län, att det bör krävas en ansökan för att en statlig e-legitimation ska utfärdas.

Ytterligare föreskrifter om förfarandet vid ansökan, utfärdande och utlämnande kan meddelas av regeringen eller den myndighet som regeringen bestämmer. Den nya lagen bör innehålla en upplysningsbestämmelse om detta.

En ansökan bör göras personligen

Syftet med en identitetshandling är att den ska vara ett tillförlitligt bevis för innehavarens identitet. Den som granskar handlingen ska kunna vara säker på att uppgifterna om innehavaren är korrekta. För att säkerställa detta är det av stor vikt att den som vill ha en identitetshandling inställer sig personligen.

Den personliga inställelsen fyller flera funktioner. Den möjliggör att bilderna av sökandens ansikte och, i förekommande fall, fingeravtryck kan tas på plats av en utfärdande myndighet. Förutom att bilderna då får rätt format och tekniska egenskaper innebär det att den utfärdande myndighetens personal enkelt kan säkerställa att det som tas in i handlingen är en ansiktsbild av sökanden. Det personliga mötet innebär dessutom att personalen kan göra en bedömning av om sökandens uppgifter i fråga om t.ex. födelsedatum är korrekta. Vid behov kan personalen även enkelt ställa kontroll- eller följdfrågor.

Ett krav på personlig inställelse vid en ansökan om e-legitimation ger alltså goda förutsättningar för ett korrekt utfärdande. Det finns därför starka skäl för att uppställa ett krav på personlig inställelse trots att det kan innebära längre resor för de som bor i glesbygdsområden, som Sorsele kommun påpekar.

Krav på personlig inställelse gäller även vid ansökan om pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige. I fråga om pass regleras det i 6 § passlagen. Eftersom kravet på personlig inställelse är centralt för säkerheten i förfarandet bör kravet, i likhet med vad Länsstyrelsen i Blekinge län anser, regleras i lag. Flera remissinstanser, bl.a. Myndigheten för delaktighet och Synskadades riksförbund, anser att det bör göras undantag från kravet på personlig inställelse för personer som inte kan ta sig till en utfärdande myndighets lokaler. Något sådant förslag lämnas emellertid inte av utredningen och regeringen anser att det i nuläget inte bör införas något undantag från kravet. Regeringen anser således att det bör uppställas ett krav på personlig inställelse vid ansökan om statlig e-legitimation. Det kan dock noteras att det i betänkandet Ett säkert statligt id-kort – med e-legitimation (SOU 2019:14) ansågs vara möjligt att i vissa undantagsfall ansöka om en statlig e-legitimation genom bud. Betänkandet bereds i Regeringskansliet. Det kan därför finnas skäl att återkomma till frågan i framtiden.

29

Regeringens förslag

Sökanden ska i samband med ansökan om statlig e-legitimation låta utfärdande myndighet ta hans eller hennes ansiktsbild och fingeravtryck. Ansiktsbild och fingeravtryck ska sparas i ett lagringsmedium i bäraren av e-legitimationen. Sökanden ska vidare låta utfärdande myndighet ta sökandens ansiktsbild och fingeravtryck vid utlämnande av den statliga e-legitimationen, om myndigheten begär det.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om undantag från skyldigheten att låta utfärdande myndighet ta sökandens fingeravtryck.

Lagen ska innehålla en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om den statliga e-legitimationens innehåll, bärare, utformning i övrigt och aktivering.

Utredningens förslag

Förslagen från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår inte att sökanden ska låta den utfärdande myndigheten ta hans eller hennes ansiktsbild och fingeravtryck vid utlämnande av den statliga e-legitimationen, om myndigheten begär det. Utredningen föreslår inte en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om den statliga e-legitimationens bärare, innehåll och aktivering.

Remissinstanserna

Majoriteten av remissinstanserna, bl.a. AB Svenska pass, Barnombudsmannen, Bolagsverket, Brottsförebyggande rådet, Brottsoffermyndigheten, Diskrimineringsombudsmannen, Försvarets radioanstalt, Göteborgs kommun, Säkerhetspolisen och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget. Försäkringskassan anser att biometriska uppgifter bör användas vid legitimering med den statliga e- legitimationen i syfte att säkerställa en korrekt autentisering.

Synskadades riksförbund framför att personer med ögonskador eller ögonproteser måste kunna använda biometrisk ansiktsigenkänning som identifieringsmetod vid användning av den statliga e-legitimationen. To- talförsvarets forskningsinstitut är positivt till att e-legitimationen ska innehålla biometriska uppgifter och att det därmed finns beredskap för framtida teknisk utveckling. Svenska kommunalpensionärernas förbund anser att det finns fördelar med att använda biometriska uppgifter men påpekar att det också finns en risk för att uppgifterna inte alltid är tillförlitliga, särskilt i fall där användarens fysiska egenskaper har förändrats över tid.

Några remissinstanser, bl.a. Myndigheten för digital förvaltning, anser att det inte bör lagras biometriska uppgifter på e-legitimationen eftersom det för närvarande saknas teknik som möjliggör användning av sådana uppgifter vid autentisering på distans. Sveriges ambassad i Washington

32

anser att en utfärdande myndighet även ska få ta sökandens signatur digi- Prop. 2025/26:250 talt.

Skälen för regeringens förslag

Starka skäl talar för att den statliga e-legitimationen bör innehålla innehavarens ansiktsbild och fingeravtryck

En lagring av innehavarens ansiktsbild och fingeravtryck i den statliga e- legitimationen skulle fylla flera viktiga funktioner ur säkerhetssynpunkt. Lagringen i den fysiska bäraren av e-legitimationen innebär t.ex. att informationen i bäraren går att kontrollera med hjälp av biometri. Uppgifterna i den fysiska bäraren skulle t.ex. kunna användas av en utfärdande myndighet vid grundidentifieringen i samband med utlämnandet. En utfärdande myndighet skulle då kunna ta sökandens ansiktsbild och fingeravtryck och göra en jämförelse av dessa uppgifter med de som finns sparade i bäraren. Om sökanden styrker sin identitet med hjälp av en handling som innehåller ansiktsbild eller fingeravtryck skulle en utfärdande myndighet vidare kunna kontrollera att de uppgifterna stämmer överens med uppgifterna i bäraren på den statliga e-legitimationen. Uppgifterna i den fysiska bäraren skulle även kunna användas i jämförande syfte vid ansökan om förnyelse av en statlig e-legitimation (se avsnitt 9.4).

De biometriska uppgifter som skulle komma i fråga är sådana kännetecken som är bestående över tid och därmed opåverkade av åldrande. Det finns därför inte någon risk för att uppgifterna inte skulle vara tillförlitliga på det sätt som Svenska kommunalpensionärernas förbund befarar.

Vissa utfärdare av e-legitimationer möjliggör redan användning av ansiktsigenkänning vid e-legitimering. Att kunna använda sig av den typen av teknik för autentisering på distans höjer säkerheten betydligt. Det skulle kunna motverka identitetsrelaterad brottslighet och missbruk av den statliga e-legitimationen. Möjligheten att använda sig av ansiktsigenkänning innebär också, som Synskadades riksförbund lyfter, att fler kan använda sig av den statliga e-legitimationen. Trots att det, som bl.a. Myndigheten för digital förvaltning påpekar, för närvarande inte fullt ut går att använda sig av biometriska uppgifter för autentisering på distans anser regeringen, i likhet med bl.a. Försäkringskassan, att användningen av biometriska uppgifter är befogad av säkerhetsskäl och därför bör möjliggöras.

Regeringen anser mot denna bakgrund att starka skäl talar för att den statliga e-legitimationen bör innehålla innehavarens ansiktsbild och fingeravtryck.

Grundläggande fri- och rättigheter måste beaktas

Enligt 2 kap. 6 § första stycket regeringsformen är var och en skyddad mot påtvingade kroppsliga ingrepp från det allmännas sida. Fotografering räknas inte som ett kroppsligt ingrepp. Det gör däremot fingeravtryckstagning (se t.ex. prop. 2017/18:35 s. 12 och prop. 2020/21:120 s. 16). Var och en är alltså skyddad mot att behöva lämna fingeravtryck till en myndighet.

Skyddet mot påtvingade kroppsliga ingrepp är dock inte absolut utan får i vissa fall begränsas genom lag (2 kap. 20 § regeringsformen). Begräns-

ningen får göras endast för att tillgodose ändamål som är godtagbara i ett

33

Prop. 2025/26:250 demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett dem. Begränsningen får vidare inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 § regeringsformen). För den som inte är svensk medborgare får skyddet mot påtvingade kroppsliga ingrepp begränsas genom lag utan att de förutsättningar som anges i 2 kap. 21 § regeringsformen är uppfyllda (2 kap. 25 § regeringsformen).

Ett skydd mot integritetsintrång av olika slag följer även av den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv. Det inbegriper i vissa fall en rätt till skydd mot att bli fotograferad. Likaså får det antas att rätt till skydd mot fingeravtryckstagning omfattas av skyddet (prop. 2014/15:32 s. 26 och prop. 2020/21:120 s. 17). Inskränkningar i skyddet godtas bara om de har stöd i lag och i ett demokratiskt samhälle är nödvändiga med hänsyn till vissa ändamål, däribland statens säkerhet, den allmänna säkerheten eller förebyggande av oordning eller brott. En motsvarande rätt till respekt för privatlivet och familjelivet gäller enligt artikel 7 i EU:s stadga om de grundläggande rättigheterna och artikel 16 i FN:s konvention om barnets rättigheter (barnkonventionen). Av barnkonventionen följer bl.a. att en bedömning av barnets bästa är det som i första hand ska beaktas vid alla åtgärder som rör barn och att barn ska skyddas från godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv (artiklarna 3 och 16).

Det finns redan i dag en skyldighet för en sökande att låta myndigheten ta ansiktsbild och fingeravtryck i samband med ansökan om pass och nationellt identitetskort (6 § passlagen och 3 § förordningen om nationellt identitetskort). Att använda två typer av biometriska underlag ökar säkerheten betydligt. Syftet med en lagring av biometriskt underlag i den statliga e-legitimationen är att motverka missbruk av e-legitimationen och säkerställa att den utfärdas till rätt person. Regeringen bedömer mot den bakgrunden att ändamålet med skyldigheten att lämna fingeravtryck får anses utgöra ett viktigt allmänt intresse som kan motivera en begränsning av skyddet mot kroppsliga ingrepp i 2 kap. 6 § regeringsformen. När dessa intressen vägs mot det integritetsintrång som förslagen innebär för den enskilde måste det beaktas att den enskilde själv får välja att ansöka om en statlig e-legitimation. Det ligger vidare i den enskildes intresse att förhindra missbruk av e-legitimationen (se avsnitt 9.4). Enligt regeringens bedömning finns det inte några mindre ingripande sätt att uppnå syftet att motverka missbruk av e-legitimationen och säkerställa att den utfärdas till rätt person. Det allmänna intresset av att förebygga missbruk och brottslighet väger alltså i detta sammanhang tyngre än integritetsaspekten.

Enligt regeringens bedömning bör det införas en skyldighet för sökanden av en statlig e-legitimation att låta utfärdande myndighet ta hans eller hennes ansiktsbild och fingeravtryck. Ansiktsbilden och fingeravtrycken bör sparas i ett lagringsmedium i bäraren av e-legitimationen.

34

Prop. 2025/26:250 rent praktiskt blir tillgänglig för innehavaren att använda, t.ex. genom en mobilapplikation.

8.4Avslag av ansökan och utfärdande av statlig e-legitimation

Regeringens förslag

En ansökan om en statlig e-legitimation ska avslås om de krav som framgår av den nya lagen eller föreskrifter som har meddelats i anslutning till lagen inte är uppfyllda och sökanden inte har följt en uppmaning att rätta till bristen. I annat fall ska den statliga e-legitima- tionen utfärdas och skyndsamt vara tillgänglig för utlämnande till sökanden.

Utredningens förslag

Förslaget från utredningen stämmer i sak överens med regeringens. Utredningen föreslår att bestämmelser om att den statliga e-legitimationen skyndsamt ska lämnas ut till sökanden ska regleras i förordning.

Remissinstanserna

Majoriteten av remissinstanserna, bl.a. AB Svenska pass, Bolagsverket, Socialstyrelsen, Statens servicecenter och Växjö kommun, tillstyrker eller har inga synpunkter på förslaget. Patent- och registreringsverket anser att det bör övervägas om utfärdandet av en e-legitimation bör föregås av en registerkontroll. Myndigheten förespråkar att tidigare brottslighet, t.ex. missbruk av e-legitimation, bedrägeriförsök och liknande, ska hindra att en statlig e-legitimation utfärdas. Skatteverket anser att en ansökan ska kunna avslås om förutsättningarna för återkallelse på grund av säkerhetsskäl är uppfyllda.

Skälen för regeringens förslag

En ansökan om pass eller nationellt identitetskort ska avslås om de bestämmelser som gäller för ansökan inte har iakttagits och sökanden inte har följt uppmaningen att avhjälpa bristen (7 § 1 passlagen och 8 § förordningen om nationellt identitetskort). En ansökan om identitetskort för folkbokförda i Sverige ska vidare avslås om sökanden inte hör till den personkrets som kan få identitetskortet. Den ska också avslås om det som anges i lagen eller som har föreskrivits av regeringen i fråga om ansökan inte har iakttagits och sökanden inte har följt en uppmaning att avhjälpa bristen (4 § lagen om identitetskort för folkbokförda i Sverige).

En motsvarande reglering om när en ansökan ska avslås bör införas för den statliga e-legitimationen. En ansökan om en statlig e-legitimation bör därför avslås om de krav som framgår av den nya lagen eller föreskrifter som har meddelats i anslutning till lagen inte är uppfyllda och sökanden inte har följt en uppmaning att rätta till bristen. Om samtliga krav däremot

36

är uppfyllda bör en statlig e-legitimation utfärdas och skyndsamt vara Prop. 2025/26:250 tillgänglig för att lämnas ut till sökanden.

Något förslag om att tidigare brottslighet ska utgöra hinder för utfärdande av en statlig e-legitimation, som Patent- och registreringsverket efterfrågar, har inte remitterats. Regeringen anser att det saknas beredningsunderlag för att införa ett sådant hinder mot utfärdande av en statlig e-legitimation inom ramen för detta lagstiftningsarbete. Skatteverket föreslår att en ansökan ska kunna avslås om förutsättningarna för återkallelse på grund av säkerhetsskäl är uppfyllda redan vid ansökan. En sådan grund för avslag av en ansökan finns inte för de fysiska identitetshandlingarna. Enligt regeringens uppfattning finns det för närvarande inte anledning att införa en sådan grund för avslag vid ansökan av en statlig e- legitimation.

Prop. 2025/26:250 barn under tolv år bör giltighetstiden dock vara högst tre år. Regeringen anser att huvudregeln om giltighetstiden för den statliga e-legitimationen är av sådan central betydelse att den bör anges direkt i lagen (jfr prop. 1977/78:156 s. 42 och 43). Regeringen eller den myndighet som regeringen bestämmer bör dock få meddela föreskrifter om att den statliga e-legitimationen i särskilt angivna fall ska ha en kortare giltighetstid. Det kan t.ex. behövas om den statliga e-legitimationen placeras på en statlig identitetshandling med en kortare giltighetstid. Om e-legitimationen placeras på det nationella identitetskortet kan giltighetstiden behöva begränsas till den tidpunkt när en person kan antas förlora sitt svenska medborgarskap, se 5 § förordningen om nationella identitetskort.

8.6En statlig e-legitimation ska i vissa fall kunna återkallas och spärras

Regeringens förslag

En statlig e-legitimationen ska återkallas och spärras om

–det fanns hinder mot att utfärda e-legitimationen vid tiden för utfärdandet och hindret fortfarande består,

–någon väsentlig uppgift som e-legitimationen innehåller är felaktig,

–det är nödvändigt av säkerhetsskäl,

–den är utfärdad på en fysisk identitetshandling som därefter har upphört att gälla, eller

–innehavaren har avlidit.

En statlig e-legitimation ska vidare kunna återkallas och spärras på begäran av innehavaren. Om begäran avser ett barn under arton år ska vårdnadshavares medgivande krävas, om det inte finns synnerliga skäl för återkallelsen och spärren.

En statlig e-legitimation ska också spärras i samband med att en ny lämnas ut till sökanden eller när giltighetstiden har löpt ut.

Lagen ska innehålla en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om förfarandet vid återkallelse och spärr av statlig e-legitimation.

Utredningens förslag

Förslagen från utredningen stämmer delvis överens med regeringens. Utredningen föreslår att vissa utpekade situationer ska föranleda återkallelse och spärr på grund av säkerhetsskäl. Utredningen föreslår vidare att återkallelse och spärr ska ske om e-legitimationen inte har aktiverats inom sex månader från att ansökan gjordes. Utredningen föreslår inte att den statliga e-legitimationen ska återkallas och spärras om den är utfärdad på en fysisk identitetshandling som därefter har upphört att gälla. Utredningen föreslår inte heller någon bestämmelse om vårdnadshavares medgivande för återkallelse och spärr. Utredningen föreslår slutligen att en statlig e-legitimation ska spärras senast i samband med att en ny utfärdas.

38

Prop. 2025/26:250 Regeringen anser vidare, till skillnad från Riksförbundet för barn, unga och vuxna med intellektuell funktionsnedsättning, att det inte bör införas någon möjlighet att häva en spärr om det exempelvis skulle visa sig att grunden för återkallelse har upphört. Syftet med det skulle främst vara att bespara den enskilde en ny ansökningsprocess och att undvika administration för utfärdande myndighet i samband med en ny ansökan. En sådan lösning framstår dock inte som lämplig av säkerhetsskäl. Förslaget om att den statliga e-legitimationen ska spärras i vissa fall hindrar dock inte att det meddelas föreskrifter om tillfällig begränsning av innehavarens användning av den statliga e-legitimationen, t.ex. vid upprepade felslagningar av inloggningsuppgifter (se avsnitt 8.7).

Det ligger utanför detta lagstiftningsärende att, som Finansiell ID- Teknik BID AB efterfrågar, föreslå åtgärder för spärr av andra e-legiti- mationer än den statliga e-legitimationen. Svenska bankföreningen framför att det bör övervägas en begränsning i antal utfärdade e-legitimationer som en person kan få. Enligt regeringens bedömning finns det för närvarande inte anledning att införa en sådan begränsning.

Den nya lagen bör innehålla en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om förfarandet vid återkallelse och spärr av statlig e-legitimation. Sådana föreskrifter kan t.ex. avse hur en begäran om återkallelse från innehavaren ska vara utformad.

I det följande redogörs för de återkallelsegrunder som regeringen anser bör införas och andra fall som bör leda till att en statlig e-legitimation spärras.

Återkallelse om det fanns hinder mot att utfärda e-legitimationen

En statlig e-legitimation bör kunna återkallas om det efter utfärdandet visar sig att det fanns hinder mot det vid tidpunkten för utfärdandet och hindret fortfarande består. En liknande bestämmelse finns för pass, det nationella identitetskortet och identitetskortet för folkbokförda (jfr 12 § 8 passlagen, 9 § förordningen om nationellt identitetskort och 6 § lagen om identitetskort för folkbokförda i Sverige). Det skulle t.ex. finnas grund för återkallelse om innehavaren har fått en e-legitimation i en annan persons namn (jfr prop. 2015/16:28 s. 55) eller om något annat av de krav som ställs i samband med ansökan inte var uppfyllt vid tiden för utfärdandet och det inte har blivit uppfyllt i efterhand (jfr prop. 1977/78:156 s. 48).

Återkallelse om väsentliga uppgifter i den statliga e-legitimationen är felaktiga

Det bör finnas skäl att återkalla en statlig e-legitimation om den innehåller väsentliga uppgifter som är felaktiga. En liknande återkallelsegrund finns för identitetskort för folkbokförda i Sverige (6 § lagen om identitetskort för folkbokförda i Sverige). Förändrade uppgifter kan medföra att nya säkerhetsöverväganden måste göras eller att förutsättningarna för utfärdande inte längre kan anses vara uppfyllda, även om de var det när e-legitima- tionen utfärdades. Så kan exempelvis vara fallet vid namnbyte eller byte av personnummer.

40

Prop. 2025/26:250 alltid spärras när giltighetstiden löpt ut, till skillnad från vad Myndigheten för digital förvaltning anser. Regeringen anser dock att spärr i samband med utfärdande av en ny e-legitimation bör ske vid utlämnande av den nya e-legitimationen. På så sätt riskerar inte den enskilde att vara utan e- legitimation under tiden mellan utfärdandet och utlämnandet av den nya e-legitimationen.

Det saknas skäl att återkalla en statlig e-legitimation på grund av att den inte har tagits i bruk inom en viss tid

Regeringen anser, till skillnad från utredningen, att det inte finns behov av att återkalla en e-legitimation på grund av att den inte har aktiverats inom sex månader från tiden för ansökan.

bl.a. risken för obehörig användning, kan det finnas anledning att meddela Prop. 2025/26:250 föreskrifter om villkor i fråga om vilka situationer den statliga e-legiti-

mationen ska kunna användas. Det kan t.ex. behöva regleras vilka krav som ska ställas för att en aktör, offentlig eller privat, ska få använda identifiering med den statliga e-legitimationen i sin nättjänst, men även meddelas villkor för enskildas användning. Sådana villkor kan behöva ställas för att säkerställa att den statliga e-legitimationen inte används i oseriösa sammanhang. Ett annat villkor för ökad säkerhet kan exempelvis vara kontroll av biometriska uppgifter i samband med identifiering eller vid betalningstransaktioner. Det bör även ges möjlighet att meddela föreskrifter om att tillfälligt begränsa innehavarens användning av den statliga e-legitimationen, t.ex. vid upprepade felslagningar av inloggningsuppgifter (se avsnitt 8.6). Regeringen eller den myndighet som regeringen bestämmer bör därför få meddela föreskrifter om användningen av den statliga e-legitimationen.

Under vilka förutsättningar privata aktörer kommer att få använda den statliga e-legitimationen för identifiering i sina nättjänster, som Konkurrensverket efterfrågar ett förtydligande av, är en sådan fråga som kan regleras i förordning eller myndighetsföreskrifter.

8.8Utfärdande myndighet

Regeringens förslag

Den statliga e-legitimationen ska utfärdas av utfärdande myndighet. Utfärdande myndighet ska fullgöra de uppgifter som anges i den nya lagen och föreskrifter som har meddelats i anslutning till lagen.

Polismyndigheten ska vara utfärdande myndighet inom riket.

Utom riket ska beskickningar och karriärkonsulat fullgöra uppgifter som utfärdande myndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer.

Utredningens förslag

Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår att det ska utses identitetskontrollerande myndighet och utfärdande myndighet på förordningsnivå.

Remissinstanserna

Ingen remissinstans yttrar sig särskilt över förslaget om att regeringen ska få utse utfärdande myndighet. Flera remissinstanser, bl.a. Afasiförbundet i Sverige, Diskrimineringsombudsmannen, Försvarsmakten, Försäkringskassan, Polismyndigheten, Svensk Handel, Sveriges advokatsamfund och Säkerhetspolisen anser att samma myndighet bör ansvara för grundidentifiering och utfärdande av e-legitimationen. Några myndigheter, bl.a. Svensk handel, förordar att Polismyndigheten ska utses till utfärdande myndighet.

43

Prop. 2025/26:250 Skälen för regeringens förslag

I avsnitt 8.2 föreslår regeringen att det ska göras en kontroll av sökandens identitet i samband med en ansökan om statlig e-legitimation. Det finns en upparbetad kunskap hos flera befintliga myndigheter som bör utnyttjas vid valet av utfärdande myndighet. Det finns t.ex. myndigheter som har kunskap om hur identitetskontroller ska göras och som arbetar med att motverka identitetsrelaterad brottslighet. Det finns även erfarenhet av bl.a. den hantering av ansiktsbild och fingeravtryck som regeringen föreslår i avsnitt 9.4, och som kräver särskild säkerhet i processen.

Polismyndigheten ansvarar i dag för utfärdandet av pass och nationellt identitetskort inom riket. Utom riket ansvarar bl.a. beskickningar och karriärkonsulat för utfärdandet av dessa identitetshandlingar (2 § passlagen och 1 § förordningen om nationellt identitetskort). Polismyndigheten, beskickningarna och karriärkonsulaten har därigenom en upparbetad kunskap och tillgång till utrustning för att hantera utfärdandet av nationella identitetshandlingar. Regeringen bedömer mot denna bakgrund, i likhet med Svensk handel, att det är lämpligt att dessa myndigheter även ansvarar för utfärdandet av den statliga e-legitimationen. Den statliga e-legiti- mationen ska dessutom kunna utfärdas på en nationell identitetshandling, vilket också talar för att uppgiften ges till dessa myndigheter. Polismyndigheten bör alltså vara utfärdande myndighet inom riket. Utom riket bör beskickningar och karriärkonsulat fullgöra uppgifter som utfärdande myndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer.

Genom den valda lösningen kommer en myndighet att ansvara för såväl grundidentifieringen som utfärdandet av e-legitimationen, vilket förordas av många remissinstanser, bl.a. Försvarsmakten och Sveriges advokatsamfund. Förslaget utgör dock inte något hinder för att den utfärdande myndigheten kan ingå serviceavtal med en annan myndighet om att för dennes räkning lämna upplysningar, vägledning, råd och i övrigt handlägga förvaltningsärenden enligt lagen (2019:212) om viss gemensam offentlig service.

De myndigheter som kommer att ansvara för utfärdandet av den statliga e-legitimationen bör i lagen kallas för utfärdande myndighet.

8.9Ansökan om en statlig e-legitimation ska avgiftsbeläggas

Regeringens förslag

Utfärdande myndighet ska få ta ut avgifter för ansökan om en statlig e- legitimation.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om avgifterna.

44

45

Regeringens förslag

Bestämmelserna om personuppgiftsbehandling i den nya lagen ska komplettera EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt lagen ska dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gälla, om inte annat följer av den nya lagen eller föreskrifter som har meddelats i anslutning till den.

Varje utfärdande myndighet ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten själv utför. Polismyndigheten ska vara personuppgiftsansvarig för behandling av personuppgifter i registret över ärenden om statlig e-legitimation.

Utredningens förslag

Förslagen från utredningen stämmer i sak överens med regeringens. Utredningen föreslår att personuppgiftsansvariga myndigheter ska pekas ut i förordning.

Remissinstanserna

Majoriteten av remissinstanserna, bl.a. Kammarkollegiet, Svenska bankföreningen, Säkerhetspolisen och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget. Flera remissinstanser, bl.a. Länsstyrelsen i Gävleborgs län, framför att något personuppgiftsbiträdesförhållande inte borde aktualiseras. Länsstyrelsen i Stockholms län framför att det borde vara tillräckligt att precisera ändamålen för respektive myndighets behandling av personuppgifter för att ansvarsfördelningen ska vara tydlig. Sveriges advokatsamfund anser att bestämmelserna om personuppgiftsansvar behöver vara tydligare och precisera vad berörda myndigheter ansvarar för. Myndigheten för digital förvaltning anser att utfärdande myndighet bör ges rätt att meddela föreskrifter om personuppgiftsbiträdesavtal.

Integritetsskyddsmyndigheten framför att det behövs en redogörelse för om de parter som kommer att erbjuda nättjänster där den statliga e- legitimationen används kommer att behandla personuppgifter och i så fall om det finns grund för sådan behandling. Patent- och registreringsverket framför en liknande synpunkt. Myndigheten menar att de som erbjuder nättjänster behöver spara åtminstone personnummer för att e-legitima- tionen över tid ska fungera.

46

Prop. 2025/26:250 målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och bet. 1997/98:KU18 s. 43). Regeringen har vid åtskilliga tillfällen instämt i den bedömningen (se t.ex. prop. 1999/2000:39 s. 78).

Utfärdande myndighets behandling av personuppgifter i verksamheten med den statliga e-legitimationen kommer sannolikt att avse många personer och därmed omfatta dels ett stort antal uppgifter, dels flera personliga identifikationsuppgifter, t.ex. namn, person- eller samordningsnummer och medborgarskap. Utfärdande myndighet kommer också att behandla integritetskänsliga uppgifter, såsom ansiktsbild och fingeravtryck med tillhörande biometriska uppgifter. Behandlingen kommer bl.a. att ske vid handläggningen av enskilda ärenden och i register. Mot denna bakgrund får behandlingen anses innebära en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket regeringsformen, även om syftet med behandlingen är ett annat.

Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen omfattar endast sådant intrång i den personliga integriteten som är betydande. Vid bedömningen av hur ingripande intrånget anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär och ändamålet med behandlingen. Därutöver kan mängden uppgifter vara en betydelsefull faktor i sammanhanget (jfr prop. 2009/10:80 s. 183).

Ändamålen med behandlingen av personuppgifter i verksamheten med den statliga e-legitimationen är bl.a. att möjliggöra handläggningen av ärenden om statlig e-legitimation, säkerställa att utfärdandet sker till rätt person och därigenom motverka missbruk av e-legitimationen (se vidare avsnitt 9.2 om ändamålen med personuppgiftsbehandlingen). Som anges ovan kommer personuppgiftsbehandlingen att avse vissa personliga identifikationsuppgifter och ansiktsbild och fingeravtryck med tillhörande biometriska uppgifter. Merparten av de uppgifter som kommer att behandlas är dock inte av känslig karaktär. Vidare väljer den enskilde själv om den vill ansöka om en statlig e-legitimation och kommer då att ha kännedom om vilka personuppgifter som en utfärdande myndighet kommer att behandla med anledning av ansökan. Mot denna bakgrund anser regeringen att det inte rör sig om ett sådant betydande intrång i den personliga integriteten att grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen blir tillämpligt. Eftersom utfärdande myndigheter kommer att behandla en stor mängd uppgifter om enskilda i verksamheten med den statliga e-legitimationen anser regeringen dock att ramarna för behandlingen bör regleras i lag.

Förhållandet till EU:s dataskyddsförordning och dataskyddslagen bör anges i lagen

Lagen om statlig e-legitimation och elektronisk identifiering föreslås innehålla bestämmelser som kompletterar EU:s dataskyddsförordning. Att lagen kompletterar förordningen bör anges i en särskild bestämmelse i lagen. Lagens hänvisningar till EU:s dataskyddsförordning bör vara

utformade på så sätt att de avser förordningen i den vid varje tidpunkt

50

gällande lydelsen, s.k. dynamisk hänvisning. Genom dynamiska hänvis- Prop. 2025/26:250 ningar säkerställs att eventuella ändringar i förordningen får omedelbart

genomslag. Det kan dock inte uteslutas att den nya lagen ändå kan behöva ändras i samband med ändringar i EU:s dataskyddsförordning (prop. 2017/18:105 s. 24). Det bör också anges att vid behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lagen om statlig e-legitimation och elektronisk identifiering eller föreskrifter som regeringen har meddelat i anslutning till den lagen (jfr 1 kap. 6 § dataskyddslagen).

9.2Ändamålen med personuppgiftsbehandlingen

Regeringens förslag

Personuppgifter ska få behandlas av utfärdande myndighet om det är nödvändigt för att

–handlägga ärenden om statlig e-legitimation,

–föra ett register över ärenden om statlig e-legitimation, och

–vidta åtgärder för en säker användning av statliga e-legitimationer.

Personuppgifter som behandlas för dessa ändamål ska även få behandlas

–om det är nödvändigt för att tillhandahålla information som behövs i Polismyndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet,

–om det är nödvändigt för att lämna ut uppgifter i enlighet med lag eller förordning, och

–för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Känsliga personuppgifter ska endast få behandlas i verksamheten med den statliga e-legitimationen om det är absolut nödvändigt för ändamålet med behandlingen.

Utredningens förslag

Förslaget från utredningen stämmer i sak överens med regeringens. Utredningen föreslår en särskild bestämmelse om att utfärdande myndighet ska få behandla personuppgifter om det är nödvändigt för att kontrollera en sökandes identitet i samband med ansökan. Utredningen föreslår vidare att ordet databas ska användas i stället för register.

Prop. 2025/26:250 integritetsanalysen även bör omfatta en redogörelse för vilka skyddsåtgärder som krävs för att behandlingen ska anses vara proportionerlig, t.ex. om det går att begränsa möjligheten att lämna uppgifter för brottslighet av viss allvarlighetsgrad. Myndigheten för digital förvaltning anser att ändamålen med personuppgiftsbehandlingen inte bör anges uttryckligen, eftersom det följer av de materiella bestämmelserna. Vidare anser myndigheten att begreppet register bör användas i stället för databas. Chalmers tekniska högskola AB framför att det är av vikt att det säkerställs att informationen i registret bara används för nödvändiga ändamål. Pensionsmyndigheten framför att det bör införas bestämmelser, likt de i 1 kap. 6 § 2 lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, för att undvika fel och missbruk i samband med såväl registrering som efter att e-legitimationen utfärdats. Polismyndigheten anser att brottsbekämpande myndigheter behöver få ta del av uppgifter hos utfärdande myndighet.

Skälen för regeringens förslag

Vad är ändamålsbestämmelser?

Förslagen i denna proposition innebär att utfärdande myndigheter kommer att behöva behandla personuppgifter. En grundläggande princip i EU:s dataskyddsförordning är att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b). Denna princip kallas i förordningen för principen om ändamålsbegränsning. Kravet på att senare behandling inte får ske för ändamål som är oförenliga med insamlingsändamålet brukar kallas för finalitetsprincipen.

Principen om ändamålsbegränsning är central i det dataskyddsrättsliga regelverket. Den innebär att den personuppgiftsansvarige måste göra klart för sig i vilket syfte personuppgifter samlas in. Möjligheten att senare behandla dessa personuppgifter för ett annat ändamål än det ursprungliga är begränsad (artikel 5.1 b). Den registrerade skyddas på det sättet mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in.

EU:s dataskyddsförordning ger medlemsstaterna utrymme att införa ändamålsbestämmelser i nationell rätt (artiklarna 6.2, 6.3, 6.4 och 23.2 a). Om det inte finns sådana bestämmelser ska den personuppgiftsansvarige själv bestämma ändamålet med insamlingen av uppgifter. Prövningen av om en ny behandling av uppgifterna är förenlig med detta ändamål ska därefter göras direkt enligt förordningen. Enligt artikel 6.4 ska den personuppgiftsansvarige då beakta flera faktorer, bl.a. kopplingar mellan ändamålet för insamlingen och det nya ändamålet, förhållandet mellan den registrerade och den personuppgiftsansvarige, uppgifternas art, konsekvenser för den registrerade och förekomsten av lämpliga skyddsåtgärder.

Ytterligare behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller vissa statistiska ändamål ska inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b).

52

brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana Prop. 2025/26:250 uppgifter och om upphävande av rådets rambeslut 2008/977, i fort-

sättningen brottsdatadirektivet, gäller i stället en högre tröskel för behandling av sådana uppgifter. Det ska nämligen vara absolut nödvändigt för ändamålet med behandlingen, se t.ex. 2 kap. 4 § polisens brottsdatalag och prop. 2017/18:269 s. 296. För att känsliga personuppgifter ska få behandlas räcker det då inte att behandlingen är nödvändig, dvs. att den t.ex. effektiviserar handläggningen (prop. 2017/18:105 s. 45–48).

För att motverka risken för integritetsintrång bör det vara tydligt att det ställs särskilda krav för den behandling av känsliga personuppgifter som kommer att ske med stöd av lagen om statlig e-legitimation och elektronisk identifiering. Även om brottsdatadirektivet inte är tillämpligt på den personuppgiftsbehandling som sker i verksamheten med den statliga e- legitimationen finns det inga hinder mot att tillämpa direktivets högre tröskel även på andra områden, se t.ex. 9 § andra stycket lagen (2021:319) om Transportstyrelsens olycksdatabas. Det bör därför, i likhet med utredningens förslag, införas en bestämmelse som anger att känsliga personuppgifter får behandlas i verksamheten endast om det är absolut nödvändigt för ändamålet med behandlingen. I avsnitt 9.4 redogörs för i vilka särskilda fall det bör anses vara tillåtet för en utfärdande myndighet att behandla känsliga personuppgifter.

9.3Register över ärenden om statlig e-legitimation

Regeringens förslag

Polismyndigheten ska föra ett register över ärenden om statlig e-legiti- mation. Registret ska föras med hjälp av automatiserad behandling.

Registret ska endast få innehålla

–namn, personnummer, samordningsnummer, medborgarskap, födelsedatum och kontaktuppgifter till sökanden,

–ansiktsbilder som har tagits vid ansökan om statlig e-legitimation och biometriska uppgifter som har tagits fram ur sådana ansiktsbilder,

–handlingar eller uppgifter i handlingar som har kommit in eller upprättats i ärenden om statlig e-legitimation,

–uppgifter som rör handläggningen av ärenden om statlig e-legitima- tion, och

–uppgifter om utfärdade statliga e-legitimationer.

Utredningens förslag

Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att de uppgifter som registret får innehålla ska regleras i förordning. Utredningen föreslår inte att uppgift om medborgarskap ska få registreras som en särskild kategori av uppgift.

57

Prop. 2025/26:250 Regeringen anser därför att det inte finns ett tillräckligt underlag för att gå fram med ett sådant förslag i det här lagstiftningsärendet.

9.4Behandling av biometriska uppgifter

Regeringens förslag

Den ansiktsbild som tas vid ansökan om statlig e-legitimation och de biometriska uppgifter som har tagits fram ur sådana bilder ska få användas för sökning i registret över ärenden om statlig e-legitimation. Sökning är endast tillåten för att kontrollera sökandens identitet och innehav av statlig e-legitimation i samband med ansökan om statlig e- legitimation.

Biometriska uppgifter ska också få behandlas om den handling som sökanden styrker sin identitet med är försedd med en ansiktsbild eller innehåller ett lagringsmedium med ansiktsbild och fingeravtryck. Utfärdande myndighet ska då få kontrollera att ansiktsbilden och fingeravtrycken motsvarar de som tas i det aktuella ärendet om statlig e-legitimation.

Biometriska uppgifter ska dessutom få behandlas genom att den ansiktsbild och de fingeravtryck som får tas innan en statlig e-legitima- tion lämnas ut jämförs med de som finns lagrade i den statliga e- legitimationen.

Fingeravtryck som tas i samband med ansökan om statlig e-legitima- tion och de biometriska uppgifter som tas fram ur dessa ska omedelbart förstöras när e-legitimationen har lämnats ut eller, om e-legitimationen inte har lämnats ut, när det har gått 90 dagar från den dag då den utfärdades. Om ett ansökningsärende har avslutats på något annat sätt ska uppgifterna också förstöras omedelbart.

Ansiktsbilden och fingeravtrycken som får tas i samband med utlämnande av en statlig e-legitimation och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken ska omedelbart förstöras efter att en kontroll av uppgifterna har genomförts. Ansiktsbilden och fingeravtrycken som vid kontroll tas fram ur ett lagringsmedium och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken ska också omedelbart förstöras när en sådan kontroll har genomförts.

Utredningens förslag

Förslaget från utredningen stämmer i delvis överens med regeringens. Utredningen föreslår att jämförelsen av biometriska uppgifter i den handling som sökanden uppvisar för att styrka sin identitet och de i den statliga e-legitimationen ska regleras i förordning. Utredningen föreslår inte en bestämmelse om att biometriska uppgifter får behandlas i samband med att en statlig e-legitimation lämnas ut. Utredningen föreslår inte heller att fingeravtryck som har tagits i ett ärende om statlig e-legitimation och de biometriska uppgifter som tas fram ur dessa ska förstöras 90 dagar efter

utfärdandet om e-legitimationen inte har lämnats ut. Utredningen föreslår

60

inte att ansiktsbilden och fingeravtrycken som får tas i samband med Prop. 2025/26:250 utlämnande av en statlig e-legitimation och de biometriska uppgifter som

tas fram ur ansiktsbilden ska förstöras omedelbart efter att en kontroll av uppgifterna har genomförts. Inte heller att ansiktsbilden och fingeravtrycken som vid kontroll tas fram ur ett lagringsmedium och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken omedelbart ska förstöras när en sådan kontroll har genomförts.

Remissinstanserna

Majoriteten av remissinstanserna, bl.a. Brottsförebyggande rådet, Gislaveds kommun, Polismyndigheten och Sveriges advokatsamfund, tillstyrker eller har inga synpunkter på förslaget. Föreningen för digitala fri- och rättigheter menar att det är problematiskt ur integritetssynpunkt att samla in biometriska uppgifter för att spara dem i bäraren. Försäkringskassan anser att det behöver förtydligas om känsliga personuppgifter även kommer att hanteras i utfärdande myndighets ärendehanteringssystem. Integritetsskyddsmyndigheten ifrågasätter om behandlingen av biometriska uppgifter är nödvändig mot bakgrund av att verifiering på distans för närvarande inte är fullt tekniskt eller praktiskt möjligt. Myndigheten anser vidare att det bör framgå av lagen vilket undantag i artikel 9.2. i EU:s dataskyddsförordning som är tillämpligt. Slutligen framför myndigheten att integritetsanalysen även bör omfatta en redogörelse för vilka skyddsåtgärder som krävs för att behandlingen ska anses vara proportionerlig.

Prop. 2025/26:250 Det kan nämligen efter denna tidpunkt inte längre anses finnas skäl för

Prop. 2025/26:250 med lag eller förordning. Sedan den 1 december 2025 gäller också att sekretess till skydd för enskilda inte hindrar att en uppgift lämnas till en annan myndighet, om det behövs för att bl.a. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda brott, eller förebygga eller förhindra att en ekonomisk förmån, ett ekonomiskt stöd, en skatt eller en avgift beslutas, betalas ut eller tillgodoräknas felaktigt eller med ett för högt eller ett för lågt belopp (10 kap. 15 a § OSL). Det finns alltså rättslig grund för att lämna vidare uppgifter som behandlas i registret till andra myndigheter i syfte att bekämpa brott.

9.5Vissa integritetskänsliga sökningar ska vara förbjudna

Regeringens förslag

Det ska vara förbjudet att använda ansiktsbilder och biometriska uppgifter som har tagits fram ur sådana bilder som sökbegrepp i andra fall än vid kontroll av sökandens identitet och innehav av statlig e-legiti- mation i samband med en ansökan om statlig e-legitimation.

Det ska också vara förbjudet att använda andra känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som sökbegrepp.

Det ska inte heller vara tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller personuppgifter som rör lagöverträdelser som innefattar brott.

Utredningens förslag

Förslagen från utredningen stämmer delvis överens med regeringens. Utredningen föreslår inte någon bestämmelse som förbjuder sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller personuppgifter som rör lagöverträdelser som innefattar brott.

Remissinstanserna

Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Enligt passlagen och förordningen om nationellt identitetskort gäller för närvarande ett absolut förbud mot sökningar med hjälp av ansiktsbilder, fingeravtryck och biometriska uppgifter som kan tas fram ur ansiktsbilder och fingeravtryck (6 b § passlagen och 18 § förordningen om nationellt identitetskort). Syftet med bestämmelserna är att värna den registrerades personliga integritet (prop. 2008/09:132 s. 13). Ett motsvarande sökförbud finns i 3 kap. 3 § dataskyddslagen men det gäller bara när känsliga personuppgifter behandlas med stöd av den paragrafen (prop. 2017/18:105 s. 195). I verksamheten med den statliga e-legitimationen ska känsliga

66

Regeringens förslag

Personuppgifter i registret över ärenden om statlig e-legitimation ska inte få behandlas under längre tid än tio år räknat från utgången av det kalenderår som det ärende som uppgifterna hänför sig till avslutades.

Lagen ska innehålla en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om

–att personuppgifter i registret får behandlas under längre tid för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål, och

–avskiljande och begränsningar av åtkomsten till personuppgifter som behandlas för sådana ändamål.

Utredningens förslag

Förslagen från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att bestämmelser om den längsta tid som uppgifter och handlingar får lagras i registret ska regleras i förordning. Utredningen föreslår inte någon upplysningsbestämmelse om möjligheten att meddela föreskrifter om att personuppgifter i vissa fall får behandlas under längre tid och om avskiljande och begränsningar av åtkomsten till personuppgifter. Utredningen föreslår att begreppet gallring ska användas i stället för längsta tid för behandling.

Remissinstanserna

Majoriteten av remissinstanserna, bl.a. Dals-Eds kommun, Integritetsskyddsmyndigheten, Region Stockholm, Svenska bankföreningen och Sveriges advokatsamfund, tillstyrker eller har inga synpunkter på förslaget. Riksarkivet avstyrker förslaget om en gallringsbestämmelse och föreslår att bestämmelsen i stället ska utformas som en reglering av längsta tid för behandling av uppgifter i registret. Vidare framhåller myndigheten att det med en sådan utformning inte finns skäl att bemyndiga myndigheten att meddela föreskrifter om bevarande.

Skälen för regeringens förslag

En längsta tid för personuppgiftsbehandling i registret bör införas

Enligt artikel 5.1 e i EU:s dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Huvudprincipen enligt arkivlagen (1990:782) är att allmänna handlingar ska bevaras (3 §). Statliga myndigheter får enligt 14 § arkivförordningen (1991:446) gallra allmänna

68

Prop. 2025/26:250 myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter i registret över ärenden om statlig e-legitimation får fortsätta att behandlas under viss tid för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål. För att fristen ska få genomslag kan det vidare behöva införas föreskrifter om att sådana personuppgifter som bevaras under längre tid, för t.ex. arkivändamål, ska avskiljas från annan information i registret och att åtkomsten till dessa uppgifter ska begränsas. Dessa föreskrifter bedöms också kunna meddelas med stöd av regeringens restkompetens. Upplysningsbestämmelsen bör därför även omfatta möjligheten att meddela sådana föreskrifter.

dess lagring och deras tillgänglighet. Enligt artikel 32 har den person- Prop. 2025/26:250 uppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhets-

nivå för behandlingen av personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i denna del finns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f i samma förordning.

Även om skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter följer direkt av EU:s dataskyddsförordning har regeringen bedömt att tillgången till personuppgifter kan regleras särskilt i nationell rätt (se t.ex. prop. 2017/18:254 s. 36 och prop. 2017/18:248 s. 28). Sådana bestämmelser finns därför i flertalet registerförfattningar, t.ex. 7 § kriminalvårdsdatalagen och 16 § utlänningsdatalagen (2016:27).

Mot bakgrund av att verksamheten med den statliga e-legitimationen kommer att innebära behandling av en stor mängd personuppgifter, bl.a. känsliga personuppgifter, bedömer regeringen att tillgången så långt som möjligt bör begränsas med hänsyn till den registrerades integritet. Det bör därför införas en bestämmelse i den nya lagen om att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter i verksamheten med den statliga e-legiti- mationen. Den som inte arbetar med uppgifter kopplade till verksamheten med den statliga e-legitimationen ska alltså inte ha rätt att befatta sig med uppgifterna i den verksamheten.

Regeringen eller den myndighet som regeringen bestämmer bör få meddela vissa föreskrifter till skydd för personuppgifter

Det bör i den nya lagen införas en rätt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om begränsningen av tillgången till personuppgifterna. På så sätt kan regleringen av tillgången till personuppgifter enklare justeras vid behov. Det innebär att regleringen kan följas upp regelbundet, som Försäkringskassan efterfrågar. Den nya lagen bör också innehålla ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter. Sådana föreskrifter kan meddelas för att ytterligare tillvarata den enskildes integritetsintresse, t.ex. om nya säkerhetsåtgärder blir tillgängliga på grund av den tekniska utvecklingen.

9.8Undantag från rätten att invända mot personuppgiftsbehandling

Regeringens förslag

Den rätt att invända mot personuppgiftsbehandling som följer av artikel 21.1 i EU:s dataskyddsförordning ska inte gälla vid behandling som är tillåten enligt den nya lagen om statlig e-legitimation och elektronisk identifiering eller föreskrifter som har meddelats i anslutning till lagen.

71

Prop. 2025/26:250 Utredningens förslag

Förslaget från utredningen stämmer överens med regeringens.

Remissinstanserna

Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Av artikel 21.1 i EU:s dataskyddsförordning framgår att den registrerade har rätt att när som helst göra invändningar mot personuppgiftsbehandling som bl.a. sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Om en sådan invändning har gjorts får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Rätten att göra invändningar kan sannolikt bli aktuell i flera av de situationer där utfärdande myndighet behandlar personuppgifter i verksamheten med den statliga e-legitimationen. En rätt för den registrerade att invända mot behandlingen av personuppgifter kan tänkas påverka effektiviteten i myndighetens verksamhet. Begränsningar i rätten att göra invändningar får enligt artikel 23.1 göras i syfte att säkerställa bl.a. ett viktigt mål av generellt allmänt intresse för medlemsstaten. Det krävs också att begränsningen uppfyller krav på nödvändighet och proportionalitet.

Den behandling av personuppgifter som följer av den föreslagna lagen om statlig e-legitimation och elektronisk identifiering är en förutsättning för att utfärdande myndighet ska kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Den personuppgiftsansvariga myndigheten får närmast undantagslöst anses kunna visa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för utfärdande myndighet att behandla relevanta personuppgifter bör den registrerade inte ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse (jfr prop. 2017/18:95 s. 85 och 86 och prop. 2017/18. 105 s. 106). Den föreslagna lagen innehåller dessutom ett flertal integritetsskyddande bestämmelser, bl.a. om ändamålen och längsta tid för behandling av personuppgifter. Regeringen anser därför att det i den nya lagen om statlig e-legitimation och elektronisk identifiering bör införas en bestämmelse om att rätten att enligt artikel 21.1 i EU:s dataskyddsförordning göra invändningar inte gäller vid sådan personuppgiftsbehandling som är tillåten enligt lagen och föreskrifter som har meddelats i anslutning till lagen.

72

Prop. 2025/26:250 kurrensrättsligt perspektiv om tillgången till elektronisk identifiering i en nättjänst måste anskaffas genom ett auktorisationssystem och det inte finns möjlighet för offentliga aktörer att fortsatt upphandla sådana tjänster.

Region Stockholm framhåller att kravet riskerar att medföra att befintlig marknad för elektronisk identifiering försvinner och att det, åtminstone tillfälligt, kan bromsa digitaliseringstakten. Några myndigheter, bl.a. Försvarets materielverk, anser att det bör finnas möjlighet till undantag från kravet att erkänna medel för elektronisk identifiering som tillhandahålls av leverantörer i auktorisationssystemet och att myndigheter som

11Överklagande av beslut

Regeringens förslag

Beslut enligt lagen om statlig e-legitimation och elektronisk identifiering eller enligt föreskrifter som har meddelats i anslutning till lagen ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Beslut enligt lagen ska gälla omedelbart, om inte annat anges i beslutet.

Utredningens förslag

Förslagen från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår inte en bestämmelse om att beslut som har fattats med stöd av föreskrifter som har meddelats i anslutning till lagen ska få överklagas till allmän förvaltningsdomstol.

Remissinstanserna

Ingen remissinstans yttrar sig över förslaget.

Skälen för regeringens förslag

Överklagande av beslut

Beslut enligt den nya lagen eller enligt föreskrifter som har meddelats i

anslutning till lagen bör kunna överklagas. Ytterligare bestämmelser om

77

Prop. 2025/26:250 överklagande, bl.a. vem som får överklaga ett beslut, hur man överklagar ett beslut och tiden för överklagande finns i förvaltningslagen (2017:900).

Vid överklagande av förvaltningsrättens avgöranden bör prövningstillstånd krävas i kammarrätten.

Besluten bör som huvudregel gälla omedelbart

Det är viktigt att utfärdande myndighets beslut om exempelvis återkallelse av en statlig e-legitimation kan verkställas så fort som möjligt. Beslut enligt lagen om statlig e-legitimation och elektronisk identifiering bör därför, på samma sätt som beslut enligt passlagen, gälla omedelbart om inte något annat anges i beslutet. Det innebär t.ex. att en e-legitimation fortsätter att vara spärrad om ett beslut om återkallelse och spärr, som gäller omedelbart, överklagas. En spärr bör vidare inte kunna hävas (se avsnitt 8.6). Det innebär att utfärdande myndighet får utfärda en ny e- legitimation om innehavaren överklagar ett beslut om återkallelse och spärr och får rätt i domstol.

12Ikraftträdande

Regeringens förslag

Lagen om statlig e-legitimation och elektronisk identifiering ska träda i kraft den 1 december 2026.

Utredningens förslag

Förslaget från utredningen stämmer inte överens med regeringens. Utredningen föreslår att lagen om statlig e-legitimation och elektronisk identifiering ska träda i kraft den 1 mars 2026.

Remissinstanserna

Ingen av remissinstanserna yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Den tidpunkt för ikraftträdande som föreslås av utredningen har passerat och ikraftträdandet behöver därför senareläggas. Lagen om statlig e- legitimation och elektronisk identifiering bör träda i kraft så snart som möjligt, vilket bedöms vara den 1 december 2026.

Det bedöms inte finnas något behov av övergångsbestämmelser.

78

13.1Allmänt om förslagen

Regeringen föreslår att det ska införas en statlig e-legitimation. Syftet med förslaget är bl.a. att säkra samhällets tillgång till elektronisk identifiering. En statlig e-legitimation behövs också för att Sverige ska kunna säkerställa att kraven i EU:s förordning om elektronisk identifiering uppfylls.

Regeringen föreslår vidare att vissa offentliga aktörer som kräver medel för elektronisk identifiering i sina nättjänster ska erkänna de medel för elektronisk identifiering som tillhandahålls inom ramen för ett auktorisationssystem i enlighet med lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post. Syftet med förslaget är att främja ett större urval av e-legitimationer i auktorisationssystemet bl.a. för att öka konkurrensen och redundansen inom e-legitima- tionsområdet. Enligt regeringens bedömning bör även den statliga e- legitimationen anslutas till ett sådant system.

13.2Ekonomiska konsekvenser för utfärdande myndigheter

Polismyndigheten föreslås utses till utfärdande myndighet inom riket. Utom riket föreslås beskickningar och karriärkonsulat fullgöra uppgifter som utfärdande myndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer (se avsnitt 8.8). En utfärdande myndighet ska bl.a. hantera ansökningar och utfärda den statliga e-legitimationen. För att kunna utfärda en statlig e-legitimation behöver det göras en identitetskontroll av sökanden. De myndigheter som ska ansvara för utfärdandet av den statliga e-legitimationen kommer att ha erfarenhet av att utföra identitetskontroller och ha en upparbetad kunskap om hantering av känsliga uppgifter. Utfärdande myndigheter behöver därmed inte etablera verksamheten med den statliga e-legitimationen från grunden utan kan i stor utsträckning dra nytta av befintlig verksamhet.

Utfärdande myndigheter kommer att ha kostnader för att hantera ansökningsförfarandet, utfärdandet av den statliga e-legitimationen och drift och support av e-legitimationen samt nödvändiga it-system. De kommer också att ha förvaltningskostnader, dvs. utgifter för bl.a. löner, lokaler och övriga driftskostnader.

Verksamheten med den statliga e-legitimationen kommer i stor utsträckning att motsvara den för pass och nationellt identitetskort, bl.a. i fråga om ansökningsprocess och utfärdande. Samtliga kostnader för verksamheten med den statliga e-legitimationen kommer att finansieras genom den ansökningsavgift som sökanden ska betala. Polismyndigheten kommer även att få vissa intäkter genom ersättningen som ska betalas inom auktorisationssystemet (se avsnitt 13.3.1 om ersättning till leverantörer inom ett auktorisationssystem). Till skillnad från Totalförsvarets forskningsinstitut och Sveriges ambassad i Berlin anser regeringen att det för närvarande inte krävs någon ytterligare finansiering.

79

Regeringen föreslår att det ska införas ett krav för vissa offentliga aktörer att erkänna medel för elektronisk identifiering som tillhandahålls inom ramen för ett auktorisationssystem enligt lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post (se avsnitt 10). Kravet kan komma att innebära kostnader för teknisk anpassning och för användning av tjänsterna. Det är dock svårt att närmare bedöma omfattningen av kostnaderna, bl.a. mot bakgrund av osäkerheten kring hur många fler e-legitimationer som aktörerna kommer att behöva godta i sina tjänster jämfört med om kravet inte hade ställts. Kravet kommer i vart fall att innebära ett behov av att godta ytterligare en e-legiti- mation, förutsatt att den statliga e-legitimationen ansluts till ett auktorisationssystem (se avsnitt 7.1). Det får också antas att offentliga aktörer redan godkänner de medel för elektronisk identifiering som finns i Sverige. Det bedöms därför att kostnaderna kommer att vara begränsade för de allra flesta offentliga aktörer som träffas av kravet.

De offentliga aktörer som omfattas av det nu föreslagna kravet på erkännande kan behöva anpassa sina tjänster till de e-legitimationer som för närvarande finns i auktorisationssystemet. Det beror bl.a. på om aktören redan godtar sådana e-legitimationer för användning i sin nättjänst. För en offentlig aktör som redan godtar en e-legitimation som använder samma anslutningsmetod medför kravet inte ett behov av tekniska anpassningar. Offentliga aktörer som inte redan använder samma anslutningsmetod kommer däremot att behöva göra sådana anpassningar.

Ett krav på användning av tjänster som ingår i ett auktorisationssystem uppställs redan i dag för statliga myndigheter. I promemorian Auktorisationssystem för elektronisk identifiering och för digital post (I2020/03268) som låg till grund för det kravet bedömdes att de statliga myndigheterna skulle behöva möjliggöra inloggning med fler e-legitimationer. Någon uppskattning av hur många e-legitimationer det skulle röra sig om angavs dock inte. Kostnaderna för teknisk anpassning bedömdes vara marginella med hänsyn till att myndigheterna ändå skulle behöva anpassa sig till att ta emot fler e-legitimationer, bl.a. till följd av skyldigheten att godta utländska e-legitimationer som följer av EU:s förordning om elektronisk identifiering (samma promemoria s. 51 och 52).

Anpassningskostnaden, dvs. kostnaden för att anpassa de tekniska systemen för användning av en e-legitimation, bedöms för närvarande uppgå till cirka 31 000 kronor för den första e-legitimationen och därefter 12 000 kronor per e-legitimation. Därutöver behöver aktörerna betala en ersättning för användningen av tjänsterna, antingen genom ett auktorisationssystem eller direkt till leverantören. Myndigheten för digital förvaltning har beslutat om en modell för ersättning för auktorisationssystem där avgiften för offentliga aktörer uppgår till 0,12 kronor per genomförd elektronisk identifiering.

80

Prop. 2025/26:250 Regeringen anser därför, till skillnad från Malmö kommun och Tanum kommun, att den kommunala finansieringsprincipen inte är tillämplig.

13.3.2Konsekvenser för Skatteverket och Statens servicecenter

Den statliga e-legitimationen kommer för folkbokförda utlänningar att placeras på en fysisk bärare som kan komma att innehålla samma uppgifter om innehavaren som finns på det identitetskort som Skatteverket utfärdar, nämligen identitetskortet för folkbokförda i Sverige. Vidare kan bäraren av den statliga e-legitimationen för denna persongrupp komma att utformas på ett sätt som motsvarar det nationella identitetskortet. Genom förslaget införs ytterligare en möjlighet för utländska medborgare i landet att få en identitetshandling. Det kan därför inte uteslutas att den lösning som Polismyndigheten kommer att erbjuda folkbokförda utlänningar kan medföra att enskilda väljer att ansöka om en statlig e-legitimation hos Polismyndigheten i stället för en identitetshandling hos Skatteverket. Förslaget bedöms därför successivt kunna medföra ett minskat behov av identitetskortet för folkbokförda som Skatteverket utfärdar.

Inledningsvis väntas antalet ärenden gällande nyansökningar eller förnyelser av identitetshandlingar hos Skatteverket minska något från dagens nivåer som uppgår till ca 170 000 identitetskort årligen. Med en avgift på 400 kronor per kort motsvarar detta intäkter på omkring

68miljoner kronor årligen, vilket inte ger full kostnadstäckning. I takt med att den statliga e-legitimationen etableras kan antalet ansökningar komma att minska ytterligare och ge ett visst intäktsbortfall. Det kommer att innebära att en större del av Skatteverkets identitetskortsverksamhet kommer att behöva finansieras från förvaltningsanslaget jämfört med i dag eftersom fasta kostnader för verksamheten inte påverkas av minskat antal ärenden.

Behovet av personal vid servicekontor för handläggning, fotografering och utlämning av identitetshandlingar kan minska över tid till följd av lägre antal ärenden. Några av dessa uppgifter sköts i dag av Statens servicecenter genom avtal. De nämnda konsekvenserna, bl.a. minskat personalbehov, kan därför även påverka Statens servicecenter. De merkostnader som eventuellt kan uppstå till följd av förslagen bedöms rymmas inom ramen för Skatteverkets och Statens servicecenters befintliga ekonomiska ramar.

Konsekvenserna av att förslaget innebär ytterligare en möjlighet för utländska medborgare i landet att få en identitetshandling behöver analyseras ytterligare. Som en följd av förslaget avser regeringen överväga om lagen om identitetskort för folkbokförda i Sverige bör upphävas.

ärenden om nationellt identitetskort. Enligt uppgifter från Domstolsverket Prop. 2025/26:250 registrerades det 148–300 mål under 2020–2024. Det kan antas att antalet

mål som rör den statliga e-legitimationen kommer att uppgå till ungefär hälften av detta. Förslaget bedöms därmed innebära en marginell ökning av antalet mål för förvaltningsdomstolarna. De merkostnader som eventuellt kan uppstå bedöms rymmas inom ramen för Sveriges Domstolars befintliga anslag.

13.4Påverkan på den kommunala självstyrelsen

Förslaget om att kommuner och regioner ska erkänna vissa medel för elektronisk identifiering innebär en ny skyldighet för kommuner och regioner och utgör därmed en inskränkning i den kommunala självstyrelsen. I 14 kap. 3 § regeringsformen anges att en inskränkning i den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett den.

Ett syfte med kravet är att öka tillgängligheten till digital offentlig service. Vidare är syftet med kravet att skapa ökad konkurrens på marknaden för tjänster för elektronisk identifiering och i förlängningen stärka samhällets motståndskraft. Regeringen bedömer att detta inte kan uppnås med mindre ingripande åtgärder. Mot denna bakgrund anser regeringen att den inskränkning i den kommunala självstyrelsen som förslaget innebär är proportionerlig.

13.5Ekonomiska konsekvenser för företag

Förslaget att införa en statlig e-legitimation bedöms leda till ökad konkurrens på marknaden för tjänster för elektronisk identifiering.

Regeringen föreslår också att offentliga aktörer ska erkänna de tjänster som finns i auktorisationssystemet, där den statliga e-legitimationen är avsedd att ingå. En sådan lösning bedöms inte vara konkurrensbegränsande, eftersom alla leverantörer som uppfyller villkoren för att ansluta till ett auktorisationssystem får göra det.

De företag som träffas av kravet på att erkänna vissa utpekade medel för elektronisk identifiering är sådana som yrkesmässigt bedriver verksamhet som till någon del är offentligt finansierad inom förskola, skola, hälso- och sjukvård och omsorg. Uppgifter från Statistiska centralbyrån för 2023 visar att 18 procent av verksamheten inom välfärdssektorn utfördes av privata utförare. Högst andel privata utförare finns inom omsorg, följt av hälso- och sjukvård och därefter utbildning (statistiknyhet från den 16 september 2025).

Inom hälso- och sjukvård och omsorgsverksamhet utgörs de privata utförarna av ca 15 000 vård- och omsorgsföretag. Av denna sektor utgörs 93 procent av företag som har färre än 20 anställda (Vårdföretagarnas webbplats, Privat vårdfakta, information hämtad den 15 maj 2025). Det bedöms inte som sannolikt att företag av denna storlek kommer att erbjuda nättjänster med möjlighet till identifiering med medel för elektronisk

83

Prop. 2025/26:250 identifiering. Det får därför antas att majoriteten av privata företag inom vård och omsorg inte kommer att påverkas av det aktuella förslaget.

Vidare finns det drygt 4 200 fristående skolenheter i Sverige, varav drygt 2 800 är förskolor. Fristående skolor är ofta små. Majoriteten av de fristående huvudmännen driver få, och inte sällan relativt sett små, enheter. Det innebär dock inte nödvändigtvis att det är fråga om mindre företag. Ett bolag kan äga flera huvudmän med både en, två eller fler enheter. Friskolornas Riksförbunds lista över de största friskoleägarna i februari 2024 visar att de 24 största ägarna svarar för ca 600 skolenheter på grundskole- och gymnasienivå, motsvarande drygt 40 procent av alla fristående skolor på grundskole- och gymnasienivå.

Kravet omfattar även enskilda utbildningsanordnare med tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som till största delen har statsbidrag som finansiering av högskoleutbildning på grundnivå eller avancerad nivå eller för utbildning på forskarnivå. Det finns arton sådana företag enligt Universitetskanslersämbetets årsrapport för 2024 (s. 127).

Av den typ av företag som kravet riktas mot erbjuder inte samtliga digitala tjänster där inloggning med ett medel för elektronisk identifiering krävs. De flesta mindre företag kommer sannolikt inte att erbjuda sådana tjänster. Kostnaderna för de företag som berörs bedöms främst bestå av utvecklings- och anpassningskostnader för att hantera de medel för elektronisk identifiering som måste godtas för legitimering. De kommer också att ha kostnader för användningen av medel för elektronisk identifiering. Dessa kostnader bedöms vara i nivå med de uppskattade kostnaderna för de statliga och kommunala aktörerna (se avsnitt 13.3.1).

13.6Konsekvenser för privatpersoner

Regeringen föreslår att det ska införas en statlig e-legitimation för personer med svenskt medborgarskap. En statlig e-legitimation ska även kunna utfärdas till utlänningar som är folkbokförda i Sverige och personer som har ett s.k. immunitetsnummer och som omfattas av lagen om immunitet och privilegier i vissa fall (se avsnitt 8.1). Vidare föreslås att en ansökningsavgift ska få tas ut enligt principen om full kostnadstäckning.

Som bl.a. Helsingborgs kommun framför kan en avgift minska möjligheterna för vissa grupper att ansöka om en statlig e-legitimation. Den statliga e-legitimationen kommer att vara en av flera e-legitimationer på marknaden. Enskilda kommer därför inte att behöva en statlig e-legitima- tion för att legitimera sig digitalt. De som väljer att ansöka om en statlig e-legitimation kommer dock att behöva betala en ansökningsavgift. Avgiften kommer sannolikt att uppgå till ca 400–500 kronor, vilket är i nivå med avgiften för pass. Om den statliga e-legitimationen tillhandahålls på en fysisk identitetshandling bör det kunna leda till samordningsvinster och en lägre total kostnad för både identitetshandlingen och e-legitimationen och därmed en lägre avgift för privatpersoner.

Regeringen bedömer att förslagen gör det möjligt för fler personer att skaffa en e-legitimation, vilket i sin tur kommer att minska det digitala

utanförskapet (se avsnitt 7.1). Kraven på grundidentifiering innebär att det

84

kommer att vara svårare att få en e-legitimation i en annan persons Prop. 2025/26:250 identitet. Det bedöms leda till minskade risker för enskilda att utsättas för identitetsrelaterad brottslighet. Kravet på personlig inställelse kan inne-

bära besvär för vissa grupper, men det är nödvändigt för att e-legitima- tionen ska utfärdas på ett säkert sätt (se avsnitt 8.2). Genom de föreslagna ändamålsbestämmelserna för personuppgiftsbehandling kommer det vidare att vara tydligt för enskilda och utfärdande myndigheter när och hur personuppgifter får behandlas. På så sätt tillvaratas den enskildes rättigheter och skydd för den personliga integriteten (se avsnitt 9.2).

Sammanfattningsvis bedöms förslagen kunna medföra vissa kostnader för de privatpersoner som väljer att ansöka om en statlig e-legitimation. Förslagen bedöms inte medföra några andra negativa konsekvenser för privatpersoner.

13.7Konsekvenser för brottsligheten och det brottsförebyggande arbetet

Den statliga e-legitimationen bör utformas på tillitsnivå hög (se avsnitt 7.1). Regeringen föreslår ett krav på personlig inställelse i samband med ansökan och att sökanden ska styrka sin identitet för att en statlig e- legitimation ska kunna utfärdas (se avsnitt 8.2 och 8.4). Kravet på personlig inställelse är en grundläggande förutsättning för att motverka den identitetsrelaterade brottsligheten. Vidare föreslås att utfärdande myndighet ska få lagra vissa biometriska uppgifter och göra jämförande sökningar för att kontrollera sökandens identitet och innehav av statlig e- legitimation (se avsnitt 9.3 och 9.4). Även detta kan förväntas bidra till att motverka den identitetsrelaterade brottsligheten. För att motverka obehörig användning av den statliga e-legitimationen föreslås också att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om användningen av den statliga e-legitimationen (se avsnitt 8.7). Regeringen föreslår vidare att Polismyndigheten, som har erfarenhet av brottsförebyggande arbete, ska vara utfärdande myndighet inom riket. Mot bakgrund av detta bedömer regeringen, till skillnad från Försäkringskassan, att förslagen inte förväntas leda till ökad brottslighet.

13.8Förslagens konsekvenser i övrigt

Regeringen bedömer att den statliga e-legitimationen bör anmälas för gränsöverskridande användning inom ramen för EU:s förordning om elektronisk identifiering (se avsnitt 7.1). Förslagen påverkar dock inte tillämpningen av EU:s förordning om elektronisk identifiering och bedöms i övrigt vara förenliga med EU-rätten.

Förslagen bedöms inte medföra några andra konsekvenser. Förslagen bedöms exempelvis inte ha någon betydelse för sysselsättningen eller för offentlig service i olika delar av landet. Förslaget bedöms inte heller påverka små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags. Förslagen träffar vidare kvinnor

85

Prop. 2025/26:250 och män på samma sätt och bedöms inte medföra några ekonomiska eller andra effekter för jämställdheten mellan kvinnor och män.

Av andra stycket framgår att lagen med kompletterande bestämmelser Prop. 2025/26:250 till EU:s dataskyddsförordning och föreskrifter som har meddelats i

anslutning till den lagen gäller för behandling av personuppgifter i verksamheten med den statliga e-legitimationen, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag.

Ord och uttryck

3 § Med autentisering, elektronisk identifiering, medel för elektronisk identifiering och nättjänst avses i denna lag detsamma som i EU:s förordning om elektronisk identifiering.

Paragrafen innehåller bestämmelser om ord och uttryck i lagen. Övervägandena finns i avsnitt 7.2.

Av paragrafen framgår att uttrycken autentisering, elektronisk identifiering, medel för elektronisk identifiering och nättjänst ska förstås på samma sätt som i EU:s förordning om elektronisk identifiering. Definitionerna finns i artikel 3 i EU:s förordning om elektronisk identifiering. Med autentisering avses en elektronisk process som gör det möjligt att bekräfta en fysisk eller juridisk persons elektroniska identifiering eller att bekräfta ursprunget för och integriteten hos uppgifter i elektronisk form. Med elektronisk identifiering avses en process inom vilken uppgifter för personidentifiering i elektronisk form, som unikt avser en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person, används. Med medel för elektronisk identifiering avses en materiell och immateriell enhet som innehåller uppgifter för personidentifiering och som används för autentisering för en nättjänst eller, i tillämpliga fall, för en offlinetjänst. Nättjänst definieras inte i förordningen. Begreppet ska vid tillämpningen av denna lag ges samma innebörd som vid tillämpningen av EU:s förordning om elektronisk identifiering.

4 § Med en offentlig aktör avses i denna lag

1.en statlig eller kommunal myndighet, eller en beslutande församling i en kommun eller region,

2.en sammanslutning som inrättats särskilt för att tillgodose behov i det allmännas intresse, under förutsättning att behovet inte är av industriell eller kommersiell karaktär, och som består av en eller flera myndigheter eller församlingar som anges i 1,

3.en privat aktör som yrkesmässigt bedriver verksamhet som till någon del är offentligt finansierad och som

a) aktören bedriver i egenskap av enskild huvudman inom skolväsendet eller huvudman för en sådan internationell skola som avses i 24 kap. skollagen (2010:800),

b) utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvård enligt tandvårdslagen (1985:125),

c) bedrivs enligt socialtjänstlagen (2025:400), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1993:387) om stöd och service till vissa funktionshindrade, eller d) utgör personlig assistans som utförs med assistansersättning enligt 51 kap.

socialförsäkringsbalken, eller

4.en enskild utbildningsanordnare med tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som till största delen har statsbidrag som finansiering av högskoleutbildning på grundnivå eller avancerad

uppbär offentlig finansiering för att betraktas som offentligt finansierad. Prop. 2025/26:250 Stödet måste dock ha getts för att den aktuella verksamheten ska bedrivas.

När en verksamhet finansieras av allmänna medel endast under en begränsad period omfattas verksamheten av definitionen endast under den perioden som den är offentligt finansierad.

Prop. 2025/26:250

Paragrafen innehåller bestämmelser om personkretsen för utfärdande av en statlig e-legitimation. Övervägandena finns i avsnitt 8.1.

Av paragrafen framgår att en statlig e-legitimation får utfärdas till svenska medborgare. En förutsättning för att kunna få en statlig e-legitimation är vidare att sökanden har fyllt eller ska fylla nio år under innevarande kalenderår. Var personen är bosatt, i Sverige eller utomlands, saknar betydelse, så länge han eller hon är svensk medborgare. Det saknar också betydelse om personen har ett personnummer eller har tilldelats ett samordningsnummer som identitetsbeteckning. Regeringen eller den myndighet som regeringen bestämmer får med stöd av bemyndigandet i 2 kap. 12 § andra stycket meddela föreskrifter om att den statliga e-legitima- tionen ska lagras exempelvis på ett nationellt identitetskort. Svenska medborgare skulle i så fall kunna få ett nationellt identitetskort och en statlig e-legitimation i samma fysiska identitetshandling.

9 § En statlig e-legitimation får utfärdas till en utlänning som har fyllt eller som innevarande kalenderår ska fylla nio år och som

1.är folkbokförd i Sverige enligt folkbokföringslagen (1991:481), eller

2.har tilldelats ett personnummer enligt 18 b § samma lag och som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.

Paragrafen innehåller bestämmelser om personkretsen för utfärdande av en statlig e-legitimation. Övervägandena finns i avsnitt 8.1.

Av paragrafen framgår att en statlig e-legitimation under vissa förutsättningar får utfärdas till en utlänning som har fyllt eller som innevarande kalenderår ska fylla nio år.

I första punkten anges att en statlig e-legitimation får utfärdas till utlänningar som är folkbokförda i Sverige enligt folkbokföringslagen. Personer som har tilldelats samordningsnummer är inte folkbokförda och omfattas därför inte av den aktuella bestämmelsen.

Av andra punkten framgår att en statlig e-legitimation får utfärdas till en utlänning som har tilldelats ett personnummer enligt 18 b § folkbokföringslagen och som omfattas av lagen om immunitet och privilegier i vissa fall. Av 18 b § folkbokföringslagen följer att personnummer i vissa fall kan tilldelas personer som enligt 5 § folkbokföringslagen inte ska folkbokföras. Det gäller personer som har rätt till immunitet och privilegier enligt lagen om immunitet och privilegier i vissa fall. Det gäller bl.a. den som tjänstgör vid ett annat lands ambassad eller konsulat i Sverige, om förutsättningarna i övrigt i 18 b § folkbokföringslagen är uppfyllda. Det är dock inte tillräckligt att personen en gång har tilldelats ett sådant personnummer. Vid tidpunkten för ansökan om statlig e-legiti- mation måste personen fortfarande omfattas av lagen om immunitet och privilegier i vissa fall. Detta innebär att personen måste befinna sig i Sverige och i övrigt uppfylla förutsättningarna i 2, 3 eller 4 § lagen om immunitet och privilegier i vissa fall.

Giltighetstiden

10 § En e-legitimation ska utfärdas med en giltighetstid om fem år. Om sökanden inte har fyllt tolv år ska giltighetstiden vara tre år.

90

Regeringen eller den myndighet som regeringen bestämmer får meddela Prop. 2025/26:250 föreskrifter om att den statliga e-legitimationen i särskilt angivna fall ska ha en

kortare giltighetstid.

Paragrafen reglerar den statliga e-legitimationens giltighetstid. Övervägandena finns i avsnitt 8.5.

Enligt första stycket ska en statlig e-legitimation utfärdas med en giltighetstid om fem år eller, om sökanden inte har fyllt tolv år, tre år.

Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att den statliga e- legitimationen i särskilt angivna fall ska ha en kortare giltighetstid än det som föreskrivs i första stycket. Att föreskrifterna ska avse särskilt angivna fall innebär att giltighetstiden inte kan förkortas generellt för alla som ansöker om en e-legitimation. En kortare giltighetstid skulle t.ex. kunna föreskrivas för personer som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck, jfr 5 § förordningen (2005:661) om nationellt identitetskort. Om e-legitimationen placeras på ett nationellt identitetskort kan giltighetstiden exempelvis begränsas till den tidpunkt då en person kan antas förlora sitt svenska medborgarskap, se 5 § andra stycket 3 samma förordning.

Villkor för användningen av den statliga e-legitimationen

11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om villkor för användningen av den statliga e-legitimationen.

I paragrafen ges regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter om villkor för användningen av den statliga e-legitimationen. Övervägandena finns i avsnitt 8.7.

Föreskrifter enligt paragrafen kan exempelvis avse villkor för offentliga eller privata aktörers användning av den statliga e-legitimationen i sina nättjänster, t.ex. om kontrollen av biometriska uppgifter i samband med identifiering. Det kan vidare avse föreskrifter om att tillfälligt begränsa en innehavare från att använda den statliga e-legitimationen. Det kan också avse villkor om användning för innehavaren av e-legitimationen, t.ex. aktsamhetskrav.

2 kap. Ansökan, utfärdande och återkallelse

En ansökan krävs

1 § Den statliga e-legitimationen utfärdas efter ansökan.

Om sökanden är under arton år krävs det vårdnadshavares medgivande, om det inte finns synnerliga skäl för utfärdandet.

Paragrafen innehåller bestämmelser om krav på ansökan och medgivande av vårdnadshavare. Övervägandena finns i avsnitt 8.2.

Enligt första stycket utfärdas den statliga e-legitimationen efter ansökan. I 12 § finns bestämmelser om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om förfarandet vid ansökan och föreskrifter om avgifter.

91

Prop. 2025/26:250 Av andra stycket framgår att det krävs vårdnadshavares medgivande om sökanden under arton år, om det inte finns synnerliga skäl för att ändå utfärda e-legitimationen. Om föräldrarna har gemensam vårdnad om barnet, krävs medgivande från båda. Det kan exempelvis finnas synnerliga skäl för att göra undantag från huvudregeln om en av vårdnadshavarna är tillfälligt förhindrad att lämna sitt medgivande, t.ex. på grund av sjukdom, och det är uppenbart att dennes medgivande annars skulle ha lämnats (jfr prop. 1977/78:156 s. 44).

Personlig inställelse

2 § Den som ansöker om en statlig e-legitimation ska lämna ansökan vid personlig inställelse.

Paragrafen innehåller bestämmelser om personlig inställelse vid ansökan om statlig e-legitimation. Övervägandena finns i avsnitt 8.2.

Kravet på personlig inställelse innebär att den som vill ha en statlig e- legitimation som utgångspunkt ska komma till utfärdande myndighets lokaler och göra sin ansökan där. Bestämmelsen hindrar inte att myndigheten tar upp en ansökan utanför myndighetens lokaler, om de tekniska, ekonomiska och personalmässiga förutsättningarna för detta skulle finnas. Någon skyldighet för myndigheten att göra detta finns dock inte. I samband med den personliga inställelsen kan myndigheten ta sökandens ansiktsbild och fingeravtryck enligt 4 §.

Av 12 § första stycket 1 framgår att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om förfarandet vid ansökan. Det kan t.ex. avse föreskrifter om var sökanden ska inställa sig vid ansökan om statlig e-legitimation.

Styrkande av identitet

3 § Sökanden ska vid ansökan styrka sin identitet och övriga personuppgifter som krävs för att en statlig e-legitimation ska utfärdas.

Paragrafen innehåller bestämmelser om styrkande av identitet och övriga personuppgifter vid ansökan om statlig e-legitimation. Övervägandena finns i avsnitt 8.2.

Den som ansöker om en statlig e-legitimation ska enligt paragrafen styrka sin identitet och de övriga personuppgifter som krävs för att e-legiti- mationen ska kunna utfärdas. Om sökanden inte styrker sin identitet och övriga personuppgifter, trots en uppmaning att göra det, ska ansökan avslås. Detta framgår av 8 §, se författningskommentaren till den paragrafen.

Av 12 § första stycket 1 framgår att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om förfarandet vid ansökan. Det kan t.ex. vara föreskrifter om hur sökanden ska styrka sin identitet och övriga personuppgifter.

I 6 § första stycket finns bestämmelser om kontroll av ansiktsbild och fingeravtryck i den identitetshandling som en sökande visar upp för att styrka sin identitet, se författningskommentaren till den bestämmelsen.

92

Prop. 2025/26:250 ut, när det har gått 90 dagar från den dag då den utfärdades. Om ett ansökningsärende har avslutats på något annat sätt ska uppgifterna också förstöras omedelbart, se författningskommentaren till 7 § första stycket.

6 § Om sökanden styrker sin identitet med en identitetshandling som är försedd med en ansiktsbild eller innehåller ett lagringsmedium där ansiktsbild eller fingeravtryck är sparade, får den utfärdande myndigheten kontrollera att dessa motsvarar den ansiktsbild och de fingeravtryck som tas enligt 4 §.

Den utfärdande myndigheten får även kontrollera att ansiktsbild och fingeravtryck som tas i samband med utlämnande enligt 4 § andra stycket motsvarar de som finns lagrade i den statliga e-legitimationen.

Paragrafen innehåller bestämmelser om kontroll av ansiktsbilder och fingeravtryck. Övervägandena finns i avsnitt 9.4.

Av första stycket följer att om sökanden styrker sin identitet med en handling som är försedd med en ansiktsbild eller innehåller ett lagringsmedium där ansiktsbild eller fingeravtryck är sparade får den utfärdande myndigheten kontrollera att dessa motsvarar den ansiktsbild och de fingeravtryck som tas enligt 4 §, dvs. i samband med ansökan om och utlämnande av en e-legitimation. Jämförelsen av ansiktsbilderna kan vara okulär. Kontrollen kan också vara datorstödd genom att ansiktsbilden eller fingeravtrycken i identitetshandlingen jämförs biometriskt med ansiktsbilden och fingeravtrycken som har tagits med stöd av 4 § (jfr prop. 2004/05:119 s. 50).

Enligt andra stycket får den utfärdande myndigheten i samband med utlämnande av e-legitimationen även kontrollera att ansiktsbild och fingeravtryck som då tas med stöd av 4 § andra stycket motsvarar de som finns lagrade i den statliga e-legitimationen. Den utfärdande myndigheten avgör om ansiktsbild och fingeravtryck ska tas vid utlämnande enligt 4 § andra stycket och om en kontroll enligt denna bestämmelse i så fall ska göras.

I 3 kap. 10 § andra stycket 2 regleras behandlingen av känsliga personuppgifter vid denna typ av kontroll, se författningskommentaren till den paragrafen.

Av 7 § tredje stycket framgår att fingeravtrycken och de biometriska uppgifter som tas fram ur dessa omedelbart ska förstöras när kontrollen enligt denna paragraf har genomförts, se författningskommentaren till den bestämmelsen.

7 § De fingeravtryck som tas enligt 4 § första stycket och de biometriska uppgifter som tas fram ur dessa ska omedelbart förstöras när den statliga e- legitimationen har lämnats ut eller, om e-legitimationen inte har lämnats ut, när det har gått 90 dagar från den dag då den utfärdades. Om ett ansökningsärende har avslutats på något annat sätt ska uppgifterna också förstöras omedelbart.

Den ansiktsbild och de fingeravtryck som tas enligt 4 § andra stycket och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken ska

Enligt första stycket ska de fingeravtryck som tas av utfärdande Prop. 2025/26:250 myndighet i samband med ansökan om statlig e-legitimation enligt 4 §

första stycket och de biometriska uppgifter som tas fram ur fingeravtrycken förstöras. Det ska göras omedelbart när e-legitimationen har lämnats ut eller, om e-legitimationen inte har lämnats ut, när det har gått 90 dagar från den dag då den utfärdades. Uppgifterna ska även förstöras omedelbart om ett ansökningsärende har avslutats på annat sätt. Med biometriska uppgifter avses detsamma som i artikel 4.14 i EU:s dataskyddsförordning, dvs. personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, exempelvis fingeravtryck. Biometriska uppgifter kan beskrivas som den information som är resultatet av en automatiserad mätning av t.ex. ett fingeravtryck utifrån en bild.

Ett ärende kan avslutas t.ex. genom att ansökan avslås eller skrivs av från vidare handläggning. Bestämmelsen innebär att fingeravtrycken och de biometriska uppgifter som tas fram ur dessa får behandlas under handläggningen av en ansökan om statlig e-legitimation. Efter att e- legitimationen har lämnats ut eller ansökningsärendet avslutats får uppgifterna inte sparas på något annat sätt än i den statliga e-legitimationen, se 5 § och författningskommentaren till den paragrafen. Det finns däremot inte något hinder mot att spara ansiktsbilder som har tagits vid ansökan enligt 4 § första stycket och de biometriska uppgifter som har tagits fram ur dessa i registret över ärenden om statlig e-legitimation, se 3 kap. 6 § 2 och författningskommentaren till den bestämmelsen.

Enligt andra stycket ska den ansiktsbild och de fingeravtryck som tas i samband med utlämnande av den statliga e-legitimationen och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken omedelbart förstöras när kontrollen enligt 6 § andra stycket har genomförts. Kontrollen enligt 6 § andra stycket innebär att utfärdande myndighet får kontrollera att ansiktsbild och fingeravtryck som tas i samband med utlämnande enligt 4 § andra stycket motsvarar de som finns lagrade i den statliga e-legitimationen.

Kontrollerna som utfärdande myndighet enligt 6 § får göra i samband med ansökan om och utlämnande av en statlig e-legitimation kan innefatta en jämförelse av ansiktsbild, fingeravtryck och de biometriska uppgifterna som tas fram ur ansiktsbilden och fingeravtrycken. Enligt tredje stycket ska den ansiktsbild och de fingeravtryck som vid en kontroll enligt 6 § tas fram ur ett lagringsmedium och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken förstöras. Det ska göras omedelbart efter att kontrollen har genomförts. Bestämmelsen omfattar ansiktsbild och fingeravtryck som tas fram ur ett lagringsmedium i en identitetshandling som en sökande styrker sin identitet med vid kontroll enligt 6 § första stycket. Den omfattar även ansiktsbild och fingeravtryck som tas fram ur den statliga e-legitimationen vid kontroll enligt 6 § andra stycket.

Avslag av ansökan och utfärdande av statlig e-legitimation

8 § En ansökan om en statlig e-legitimation ska avslås om de krav som framgår av denna lag eller de föreskrifter som har meddelats i anslutning till lagen inte är uppfyllda och sökanden inte har följt en uppmaning att rätta till bristen. I annat fall

95

Prop. 2025/26:250 ska den statliga e-legitimationen utfärdas och skyndsamt vara tillgänglig för utlämnande.

Paragrafen anger under vilka förutsättningar en ansökan om statlig e- legitimation ska avslås eller den statliga e-legitimationen ska utfärdas. Övervägandena finns i avsnitt 8.4.

En ansökan om statlig e-legitimation ska avslås om de krav som framgår av lagen, eller föreskrifter som har meddelats i anslutning till lagen, inte är uppfyllda och sökanden inte har följt en uppmaning att rätta till bristen. De krav som måste vara uppfyllda framgår av 2 kap. 1–4 §§, se författningskommentarerna till de paragraferna. Om kraven är uppfyllda ska den statliga e-legitimationen utfärdas och skyndsamt vara tillgänglig för att lämnas ut till sökanden.

Återkallelse och spärr av statlig e-legitimation

9 § En statlig e-legitimation ska återkallas och spärras om

1.det fanns hinder mot att utfärda en e-legitimation vid tiden för utfärdandet och hindret fortfarande består,

2.någon väsentlig uppgift som en e-legitimation innehåller är felaktig,

3.det är nödvändigt av säkerhetsskäl,

4.den är utfärdad på en fysisk identitetshandling som därefter har upphört att gälla, eller

5.innehavaren har avlidit.

En statlig e-legitimation får även återkallas och spärras på begäran av innehavaren. Om begäran avser ett barn under arton år krävs det vårdnadshavares medgivande, om det inte finns synnerliga skäl för återkallelsen och spärren.

Paragrafen anger grunderna för återkallelse och spärr av en statlig e-legiti- mation. Övervägandena finns i avsnitt 8.6.

I första stycket anges i vilka fall en statlig e-legitimation ska återkallas och spärras på den utfärdande myndighetens initiativ. Med spärr avses den tekniska åtgärden som gör att e-legitimationen blir permanent obrukbar. En sådan spärr hindrar inte att föreskrifter meddelas med stöd av 1 kap. 11 § om att tillfälligt begränsa innehavarens användning av den statliga e- legitimationen, t.ex. vid upprepade felslagningar av inloggningsuppgifter.

Enligt första stycket första punkten ska en statlig e-legitimation återkallas och spärras om det fanns hinder mot att utfärda en e-legitimation vid tiden för utfärdandet och hindret fortfarande består. Återkallelse på denna grund aktualiseras exempelvis om innehavaren har fått en e- legitimation i en annan persons namn eller om något av de krav som gäller för att få en e-legitimation inte var uppfyllt vid utfärdandet och fortfarande inte är det (jfr prop. 1977/78:156 s. 48 och prop. 2015/16:28 s. 55).

I första stycket andra punkten anges att en statlig e-legitimation ska återkallas och spärras om någon väsentlig uppgift som en e-legitimation innehåller är felaktig. Bestämmelsen omfattar både rena felskrivningar och ändringar av uppgifter. Vilka uppgifter som ska finnas i en statlig e- legitimation framgår av 2 kap. 5 §. Vidare får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om det enligt 12 § andra stycket. Sådana uppgifter som krävs för att innehavaren ska kunna identifieras på ett korrekt sätt ska betraktas som väsentliga. Det kan vara

t.ex. namn eller person- eller samordningsnummer. Om det visar sig att

96

någon sådan uppgift är felaktig eller inte längre gäller ska e-legitimationen Prop. 2025/26:250 återkallas och spärras.

Enligt första stycket tredje punkten ska en statlig e-legitimation återkallas och spärras om det är nödvändigt av säkerhetsskäl. Grund för återkallelse av säkerhetsskäl kan exempelvis finnas om den som e- legitimationen är utställd till eller någon annan kan misstänkas använda e- legitimationen i brottslig verksamhet. Det avser både fall där innehavaren själv har lämnat ut e-legitimationen till någon annan och sådana där e- legitimationen har hamnat i orätta händer på annat sätt.

Enligt första stycket fjärde punkten ska en statlig e-legitimation återkallas och spärras om e-legitimationen har utfärdats på en fysisk identitetshandling, exempelvis ett nationellt identitetskort, som inte längre gäller. Bestämmelsen gäller oavsett om den fysiska identitetshandlingen har upphört att gälla på grund av att giltighetstiden har gått ut eller att identitetshandlingen har återkallats.

Av första stycket femte punkten följer att en e-legitimation ska återkallas och spärras om innehavaren har avlidit.

Enligt andra stycket får en statlig e-legitimation återkallas och spärras på begäran av innehavaren. Det uppställs inte något krav på att ange några skäl för en sådan begäran. Om begäran om återkallelse och spärr avser ett barn under arton år krävs det vårdnadshavares medgivande, om det inte finns synnerliga skäl för att ändå återkalla och spärra e-legitimationen. Om föräldrarna har gemensam vårdnad om barnet, krävs medgivande från båda. Det kan exempelvis finnas synnerliga skäl om en av vårdnadshavarna är tillfälligt förhindrad att lämna sitt medgivande, t.ex. på grund av sjukdom, och det är uppenbart att dennes medgivande annars skulle ha lämnats (jfr 2 kap. 1 § andra stycket). Synnerliga skäl kan också finnas om e-legitimationen används i brottslig verksamhet och den enskilde skulle lida skada om återkallelsen eller spärren skulle dröja.

10 § En statlig e-legitimation ska, utöver i de fall som anges i 9 §, spärras

1.i samband med att en ny e-legitimation lämnas ut till sökanden, eller

2.när giltighetstiden har löpt ut.

Paragrafen reglerar ytterligare fall, utöver de som anges i 9 §, i vilka en statlig e-legitimation ska spärras. Övervägandena finns i avsnitt 8.6.

Av första punkten framgår att en statlig e-legitimation ska spärras i samband med att en ny lämnas ut till sökanden. Det kan t.ex. inträffa att en enskild ansöker om en ny e-legitimation innan giltighetstiden till en tidigare utfärdad e-legitimation har löpt ut.

Enligt andra punkten ska en statlig e-legitimation spärras när giltighetstiden har löpt ut.

Avgifter

11 § Utfärdande myndighet får ta ut avgifter för ansökan om statlig e-legitima- tion.

Paragrafen reglerar möjligheten för utfärdande myndighet att ta ut avgifter för ansökan om statlig e-legitimation. Övervägandena finns i avsnitt 8.9.

97

Prop. 2025/26:250 Av paragrafen framgår att utfärdande myndighet får ta ut avgifter för ansökan om statlig e-legitimation. Enligt 12 § tredje stycket 1 får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om avgifter för ansökan om statlig e-legitimation.

Rätt att meddela föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om förfarandet vid

1.ansökan,

2.utfärdande,

3.utlämnande, och

4.återkallelse och spärr.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av

8 kap. 7 § regeringsformen även meddela föreskrifter om den statliga e-legitima- tionens

1.innehåll, bärare och utformning i övrigt, och

2.aktivering.

Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om

1.avgifter för ansökan om statlig e-legitimation, och

2.undantag från skyldigheten att lämna fingeravtryck enligt 4 §.

I paragrafen ges regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela vissa föreskrifter. Övervägandena finns i avsnitt 8.2, 8.3, 8.6 och 8.9.

Första stycket första punkten avser en rätt att meddela ytterligare föreskrifter om förfarandet vid ansökan. Sådana föreskrifter kan t.ex. vara bestämmelser om kravet på styrkt identitet enligt 3 § eller om hur ansiktsbilden och fingeravtrycken ska tas enligt 4 §. Det kan också vara föreskrifter om var sökanden ska inställa sig vid ansökan om statlig e-legitima- tion.

Exempel på föreskrifter som avses i första stycket andra punkten är föreskrifter som bedöms som nödvändiga för förfarandet vid utfärdandet av den statliga e-legitimationen.

Föreskrifter enligt första stycket tredje punkten kan avse bestämmelser om tidpunkten för utlämnandet, t.ex. om utlämnandet ska göras i samband med ansökan eller vid ett senare tillfälle.

Föreskrifter som avses i första stycket fjärde punkten kan exempelvis reglera hur en begäran om återkallelse från innehavaren ska vara utformad.

Av andra stycket första punkten framgår att föreskrifter kan meddelas om e-legitimationens innehåll, bärare och utformning i övrigt. Det kan avse föreskrifter om vilka uppgifter som ska lagras i e-legitimationen, t.ex. uppgifter om sökanden, såsom namn och övriga personuppgifter. Vidare kan det avse föreskrifter om den statliga e-legitimationens bärare. Med bärare avses den fysiska handling som e-legitimationen placeras på. För svenska medborgare kan e-legitimationen t.ex. placeras på ett identitetskort utfärdat av en passmyndighet, dvs. för närvarande det nationella identitetskortet. För övriga personkategorier kan föreskrifterna exempelvis avse placering av e-legitimationen på ett kort som i fråga om utformning och innehåll motsvarar ett sådant identitetskort.

98

Av andra stycket andra punkten framgår att föreskrifter om aktivering Prop. 2025/26:250 av den statliga e-legitimationen kan meddelas. Att e-legitimationen

aktiveras innebär att den rent praktiskt blir tillgänglig för innehavaren att använda, t.ex. genom en mobilapplikation.

Tredje stycket första punkten avser möjligheten att meddela föreskrifter om avgifter för ansökan om statlig e-legitimation. Bemyndigandet omfattar exempelvis frågan om avgifter ska tas ut och avgifternas storlek.

Tredje stycket andra punkten ger möjlighet att meddela föreskrifter om undantag från sökandens skyldighet att låta utfärdande myndighet ta sökandens fingeravtryck. Det kan t.ex. avse föreskrifter om att barn i en viss ålder eller personer som har skador på fingrarna inte är skyldiga att lämna fingeravtryck (jfr prop. 2008/09:132 s. 10 och 11).

3 kap. Behandling av personuppgifter

Ändamålen med behandlingen

1 § Personuppgifter får behandlas av utfärdande myndighet om det är nödvändigt för att

1.handlägga ärenden om statlig e-legitimation,

2.föra ett register över ärenden om statlig e-legitimation, och

3.vidta åtgärder för en säker användning av statliga e-legitimationer.

I paragrafen anges de primära ändamålen för personuppgiftsbehandling. Övervägandena finns i avsnitt 9.2.

Ändamålsbestämmelserna i paragrafen är s.k. primära ändamål, dvs. ändamål för vilka myndigheten både får samla in personuppgifter och behandla de uppgifter som har samlats in. Ändamålsbestämmelserna ger stöd för personuppgiftsbehandling i alla typer av ärenden om statlig e- legitimation. Bestämmelserna ger vidare stöd för att behandla personuppgifter vid alla åtgärder som är nödvändiga att vidta för ändamålen. Att behandlingen ska vara nödvändig innebär inte ett krav på att den ska vara oundgänglig. Behandlingen kan anses nödvändig om den leder till effektivitetsvinster (se prop. 2017/18:105 s. 189).

Enligt första punkten får utfärdande myndighet behandla personuppgifter om det är nödvändigt för att handlägga ärenden om statlig e- legitimation. Det gäller exempelvis för utfärdande, återkallelse och spärr eller någon annan åtgärd som har sin grund i lagen. De åtgärder som aktualiseras vid handläggning av ett ärende är exempelvis mottagande av uppgifter, diarieföring, kommunicering och utlämnande i samband med expediering.

Av andra punkten följer att utfärdande myndighet får behandla personuppgifter om det är nödvändigt för att föra ett register över ärenden om statlig e-legitimation. Enligt 5 § ansvarar Polismyndigheten för registret. Vilka uppgifter som får finnas i registret framgår av 6 §.

Åtgärder för en säker användning enligt tredje punkten kan vara åtgärder som den utfärdande myndigheten vidtar för att e-legitimationen ska användas på ett säkert sätt exempelvis i privata aktörers nättjänster, t.ex. genom villkor för användningen av den statliga e-legitimationen. Sådana villkor kan t.ex. ställas på aktörer som erbjuder identifiering med medel för elektronisk identifiering i sina nättjänster och innebära behandling av

99

Prop. 2025/26:250 personuppgifter, t.ex. uppgifter om en kontaktperson hos aktören som erbjuder nättjänsten.

2 § Personuppgifter som behandlas enligt 1 § får också behandlas av utfärdande myndighet

1.om det är nödvändigt för att tillhandahålla information som behövs i Polismyndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet, och

2.om det är nödvändigt för att lämna ut uppgifter i enlighet med lag eller förordning.

Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen innebär att personuppgifter som behandlas enligt 1 § även får behandlas för vissa andra angivna ändamål, s.k. sekundära ändamål. Övervägandena finns i avsnitt 9.2.

Av första punkten framgår att personuppgifter som behandlas enligt 1 § även får behandlas om det är nödvändigt för att tillhandahålla information som behövs i Polismyndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet. Bestämmelserna utformas med regleringen i 2 kap. 1 § första stycket 1 lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område som förebild. Vägledning för hur bestämmelserna ska tillämpas kan därför hämtas från förarbetena till de bestämmelserna (prop. 2017/18:269 s. 292 och prop. 2018/19:65 s. 192). Vid den fortsatta behandlingen för dessa ändamål gäller brottsdatalagen (2018:1177) och lagen om polisens behandling av personuppgifter inom brottsdatalagens område (prop. 2017 /18:232 och prop. 2017/18:269).

Enligt andra punkten får personuppgifter som behandlas enligt 1 § även behandlas om det är nödvändigt för att lämna ut uppgifter i enlighet med lag eller förordning. Det kan handla om att myndigheten behöver lämna ut uppgifter till enskilda eller till andra myndigheter enligt exempelvis 6 kap. 4 och 5 §§ offentlighets- och sekretesslagen (2009:400).

Bestämmelsen i andra stycket tillåter att personuppgifter som behandlas enligt 1 § behandlas för andra ändamål enligt den s.k. finalitetsprincipen. Bestämmelsen är utformad enligt artikel 5.1 b i EU:s dataskyddsförordning och bör tolkas på samma sätt. Det innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a–e i förordningen ska beaktas vid bedömningen av om behandlingen är förenlig med insamlingsändamålen. Exempel på omständigheter som den personuppgiftsansvarige ska beakta är personuppgifternas art och eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

100

Prop. 2025/26:250 Register över ärenden om statlig e-legitimation

5 § Polismyndigheten ska med hjälp av automatiserad behandling föra ett register över ärenden om statlig e-legitimation.

I paragrafen anges att Polismyndigheten ska föra ett register över ärenden om statlig e-legitimation. Övervägandena finns i avsnitt 9.3.

Av bestämmelsen följer att registret ska avse ärenden om statlig e- legitimation. Det innebär att registret även får innehålla uppgifter om ärenden där någon e-legitimation inte har utfärdats.

Med automatiserad behandling avses behandling med hjälp av tekniska hjälpmedel, såsom datorer, till skillnad från manuell behandling som avser t.ex. renodlad pappershantering (jfr prop. 2017/18:105 s. 47).

Vilka uppgifter som registret får innehålla regleras i 6 §. Hur länge uppgifterna får behandlas framgår av 7 §. Behandlingen av personuppgifter i registret omfattas även av övriga bestämmelser i kapitlet. Det innebär att bestämmelserna om exempelvis ändamål i 1 och 2 §§, säkerhetsåtgärder i 4 § och sökbegränsningar i 8 och 9 §§ även gäller när personuppgifter behandlas i registret, se författningskommentarerna till de paragraferna.

6 § Registret över ärenden om statlig e-legitimation får endast innehålla

1.namn, personnummer, samordningsnummer, medborgarskap, födelsedatum och kontaktuppgifter till sökanden,

2.ansiktsbilder som har tagits vid ansökan enligt 2 kap. 4 § första stycket och biometriska uppgifter som har tagits fram ur sådana bilder,

3.handlingar eller uppgifter från handlingar som har kommit in eller upprättats

iärenden om statlig e-legitimation,

4.uppgifter som rör handläggningen av ärenden om statlig e-legitimation, och

5.uppgifter om utfärdade statliga e-legitimationer.

I paragrafen regleras vad registret över ärenden om statlig e-legitimation får innehålla. Övervägandena finns i avsnitt 9.3.

Paragrafen innehåller en uppräkning av det som registret får innehålla. Uppräkningen är uttömmande.

Enligt första punkten får registret innehålla namn, personnummer, samordningsnummer, medborgarskap, födelsedatum och kontaktuppgifter till sökanden.

Av andra punkten framgår att registret får innehålla ansiktsbilder som har tagits vid ansökan enligt 2 kap. 4 § första stycket och biometriska uppgifter som har tagits fram ur sådana bilder. Med biometriska uppgifter avses detsamma som i artikel 4.14 i EU:s dataskyddsförordning, dvs. personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, exempelvis ansiktsbilder. Biometriska uppgifter kan beskrivas som den information som är resultatet av en automatiserad mätning av t.ex. ett ansikte utifrån ett fotografi. Möjligheten att söka i registret med hjälp av ansiktsbilder och biometriska uppgifter regleras i 9 §.

I tredje punkten anges att registret får innehålla handlingar eller uppgifter från handlingar som har kommit in eller upprättats i ärenden om statlig e-legitimation. Det kan t.ex. avse medgivanden som ska lämnas av vårdnadshavare enligt 2 kap. 1 §, kopior av handlingar som använts för att

102

styrka identiteten enligt 2 kap. 3 § och beslut om beviljade eller avslagna Prop. 2025/26:250 ansökningar eller återkallelse och spärr av e-legitimationer.

Enligt fjärde punkten får registret innehålla uppgifter som rör handläggningen av ärenden om statlig e-legitimation. Det kan t.ex. avse uppgift om när ansökan gjordes, vilken handläggare som tog emot ansökan eller som är ansvarig för ett ärende och vilka åtgärder som har vidtagits i ärendet.

Av femte punkten följer att registret får innehålla uppgifter om utfärdade statliga e-legitimationer. Sådana uppgifter kan t.ex. avse e-legitimationens serienummer eller annan identifierare, aktiveringskod, utfärdandedatum och giltighetstid.

Längsta tid som personuppgifter i registret får behandlas

7 § Personuppgifter i registret över ärenden om statlig e-legitimation får inte behandlas längre än tio år från utgången av det kalenderår som det ärende som uppgifterna hänför sig till avslutades.

Paragrafen reglerar hur länge personuppgifter får behandlas i registret över ärenden om statlig e-legitimation. Övervägandena finns i avsnitt 9.6.

I paragrafen anges den längsta tid som personuppgifter får behandlas i registret. Om det vid en tidigare tidpunkt står klart att personuppgifterna saknar betydelse i verksamheten med den statliga e-legitimationen ska de upphöra att behandlas redan då. Det är den personuppgiftsansvarige som bedömer hur länge personuppgifter behöver behandlas i registret. Bestämmelsen om längsta tid för behandling av personuppgifter hindrar inte att handlingar arkiveras och gallras enligt arkivlagens (1990:782) bestämmelser. Ett ärende kan avslutas t.ex. genom att ansökan avslås eller skrivs av från vidare handläggning.

Av 12 § framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter ska fortsätta behandlas för vissa ändamål, se författningskommentaren till den paragrafen.

Förbud mot vissa sökningar

8 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller sådana personuppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning.

Paragrafen förbjuder sökningar i vissa syften. Övervägandena finns i avsnitt 9.5.

Enligt paragrafen är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning, dvs. personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott. Vad som avses med känsliga personuppgifter framgår av författningskommentaren till 10 §. Förbudet gäller oavsett om en sökning utförs i registret över ärenden om statlig e-legitimation eller bland andra uppgifter som behandlas enligt lagen. Det gäller vidare när personuppgifter behandlas för såväl primära ändamål enligt 1 § som sekundära ändamål enligt 2 §.

103

Prop. 2025/26:250 Förbudet i paragrafen omfattar alla tekniska åtgärder som innebär att känsliga personuppgifter eller sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning används för att strukturera eller systematisera information i syfte att få fram ett urval av personer. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har ett visst etniskt ursprung eller som har dömts för brott. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att ta fram verksamhetsstatistik, för registervård eller vid tillsyn.

9 § Det är förbjudet att som sökbegrepp använda

1.ansiktsbilder, biometriska uppgifter som har tagits fram ur ansiktsbilder och andra känsliga personuppgifter som avses i 10 §, och

2.uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Trots förbuden i första stycket får den ansiktsbild som tas enligt 2 kap. 4 § första stycket och de biometriska uppgifter som tas fram ur ansiktsbilden användas vid sökning i registret över ärenden om statlig e-legitimation i ett ärende om statlig e- legitimation. Sökning är då tillåten endast för att kontrollera sökandens identitet och innehav av en e-legitimation i samband med ansökan.

I paragrafen förbjuds användningen av vissa sökbegrepp i en utfärdande myndighets verksamhet med den statliga e-legitimationen. Övervägandena finns i avsnitt 9.4 och 9.5.

Första stycket innebär förbud mot att använda vissa typer av uppgifter som sökbegrepp i verksamheten med den statliga e-legitimationen. Med sökbegrepp avses sådana begrepp som används för att söka igenom en informationsmängd i syfte att hitta och välja ut de poster eller uppgiftskonstruktioner där begreppet förekommer (jfr prop. 2022/23:34 s. 211). Förbudet gäller oavsett om en sökning utförs i registret över ärenden om statlig e-legitimation eller bland andra uppgifter som behandlas enligt lagen. Förbudet gäller när personuppgifter behandlas för såväl primära ändamål enligt 1 § som sekundära ändamål enligt 2 §. Förbudet är absolut i den meningen att syftet med sökningen saknar betydelse. Förbudet medför att sökningar inte får göras ens för att tillmötesgå en begäran om utlämnande av allmän handling. Enligt 2 kap. 7 § tryckfrihetsförordningen anses en sammanställning inte förvarad hos en myndighet om den innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra den tillgänglig. Sammanställningen är alltså i sådana fall inte en allmän handling.

Enligt första stycket första punkten gäller ett förbud mot att som sökbegrepp använda ansiktsbilder, biometriska uppgifter som har tagits fram ur sådana bilder och andra känsliga personuppgifter enligt 10 §. Bestämmelsen innebär att det är förbjudet att exempelvis i ett datorprogram göra en sökning med utgångspunkt i en ansiktsbild eller biometriska uppgifter som har tagits fram ur en sådan bild. Se även författningskommentaren till 10 §.

Enligt första stycket andra punkten gäller ett förbud mot användningen av uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som sökbegrepp. Bestämmelsen utformas med 17 § (2015:899) lagen om

104

identitetskort för folkbokförda i Sverige som förebild (jfr prop. 2017/18:95 Prop. 2025/26:250 s. 64–67 och 122).

I andra stycket finns ett undantag från förbuden i första stycket. Den ansiktsbild som tas vid en ansökan om statlig e-legitimation och de biometriska uppgifter som tas fram ur ansiktsbilden får användas vid sökning i registret över ärenden om statlig e-legitimation. Sökning tillåts endast i samband med ansökan och för att kontrollera sökandens identitet och innehav av statlig e-legitimation.

Behandling av känsliga personuppgifter

10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas endast om det är absolut nödvändigt för ändamålet med behandlingen.

Känsliga personuppgifter får dock behandlas

1.i registret när det är tillåtet enligt 6 § 2,

2.vid kontroller som är tillåtna enligt 2 kap. 6 §, och

3.vid sökningar som är tillåtna enligt 9 § andra stycket.

I paragrafen regleras i vilka fall känsliga personuppgifter får behandlas i en utfärdande myndighets verksamhet med den statliga e-legitimationen. Övervägandena finns i avsnitt 9.2, 9.3 och 9.4.

Enligt första stycket får personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning behandlas endast om det är absolut nödvändigt för ändamålet med behandlingen. De uppgifter som avses är sådana som betecknas som känsliga personuppgifter enligt 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i en fackförening. Även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning är känsliga personuppgifter. En kombination av t.ex. ansiktsbild och uppgifter om namn, medborgarskap och födelseort kan i vissa fall anses avslöja en persons etniska ursprung. Enligt bestämmelsen får sådana uppgifter behandlas om det är absolut nödvändigt för ändamålet med behandlingen. Att behandlingen ska vara absolut nödvändig innebär att behovet av att behandla uppgifterna måste prövas noggrant i varje enskilt fall.

Av andra stycket framgår i vilka fall som känsliga personuppgifter får behandlas utan någon prövning av om behandlingen är absolut nödvändig för ändamålet.

Enligt andra stycket första punkten får känsliga personuppgifter behandlas i registret över ärenden om statlig e-legitimation när det är tillåtet enligt 6 § 2. Det avser alltså behandling av ansiktsbilder som har tagits vid ansökan enligt 2 kap. 4 § första stycket och biometriska uppgifter som har tagits fram ur bilderna.

Av andra stycket andra punkten framgår att känsliga personuppgifter får behandlas vid kontroller som är tillåtna enligt 2 kap. 6 §. Den paragrafen reglerar möjligheten till jämförande kontroller av bl.a. biometriska uppgifter när en sökande ska styrka sin identitet i ett ärende om statlig e- legitimation, se författningskommentaren till den paragrafen.

105

Prop. 2025/26:250 Enligt andra stycket tredje punkten får känsliga personuppgifter behandlas vid sådana sökningar som är tillåtna enligt 9 § andra stycket. Enligt den bestämmelsen får biometriska uppgifter användas vid sökning i registret över ärenden om statlig e-legitimation i ett ärende om statlig e- legitimation för att kontrollera sökandens identitet och innehav av en e- legitimation i samband med ansökan, se författningskommentaren till den paragrafen.

Personuppgiftsansvar

11 § Varje utfärdande myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten själv utför.

Polismyndigheten är personuppgiftsansvarig för behandling av personuppgifter i registret över ärenden om statlig e-legitimation.

Paragrafen innehåller bestämmelser om personuppgiftsansvaret i verksamheten med den statliga e-legitimationen. Övervägandena finns i avsnitt 9.1.

Av första stycket framgår att varje utfärdande myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten själv utför. Det innebär att varje myndighet ansvarar för den personuppgiftsbehandling som sker inom ramen för myndighetens egen verksamhet.

Enligt andra stycket är Polismyndigheten personuppgiftsansvarig för behandlingen av personuppgifter i registret över ärenden om statlig e- legitimation. Den som exempelvis vill begära rättelse enligt artikel 16 i EU:s dataskyddsförordning av uppgifter i registret ska därför vända sig till Polismyndigheten.

Rätt att meddela föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter som avses i 7 § får fortsätta att behandlas under en viss tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och

2.avskiljande och begränsningar av åtkomsten till personuppgifter som behandlas enligt 1.

I paragrafen finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela vissa föreskrifter. Övervägandena finns i avsnitt 9.6.

Enligt första punkten kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om att personuppgifter i registret över ärenden om statlig e-legitimation får fortsätta behandlas under en viss tid för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än det som regleras i 7 §. Föreskrifterna får alltså tillåta att uppgifter för sådana ändamål behandlas under längre tid än tio år från utgången av det kalenderår som det ärende som uppgifterna hänför sig till avslutades.

Av andra punkten framgår att regeringen eller den myndighet som

regeringen bestämmer kan meddela föreskrifter om avskiljande och

106

begränsningar av åtkomsten till personuppgifter i registret över ärenden Prop. 2025/26:250 om statlig e-legitimation som behandlas för sådana ändamål som anges i

första punkten. Med avskiljande menas att personuppgifter tas bort från registret över ärenden om statlig e-legitimation.

4 kap. Erkännande av medel för elektronisk identifiering

Krav på erkännande av medel för elektronisk identifiering

1 § När medel för elektronisk identifiering krävs för att få tillgång till en nättjänst som tillhandahålls av en offentlig aktör, och tjänsten helt eller delvis riktar sig till enskilda, ska medel erkännas för autentisering för tjänsten om

1.medlet för elektronisk identifiering tillhandahålls inom ramen för ett auktorisationssystem i enlighet med lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post, och

2.tillitsnivån för medlet motsvarar en tillitsnivå som är lika hög eller högre än den tillitsnivå som den offentliga aktören kräver för åtkomst till nättjänsten.

I paragrafen uppställs ett krav på offentliga aktörer att erkänna vissa medel för elektronisk identifiering. Övervägandena finns i avsnitt 10.

Paragrafen innebär att offentliga aktörer är skyldiga att erkänna medel för elektronisk identifiering för autentisering i en nättjänst när ett sådant medel krävs för att få tillgång till en nättjänst som tillhandahålls av aktören och tjänsten helt eller delvis riktar sig till enskilda. Vad som avses med medel för elektronisk identifiering, nättjänst och autentisering framgår av 1 kap. 3 §, se författningskommentaren till den paragrafen. Vilka som anses vara offentliga aktörer framgår av 1 kap. 4 §, se författningskommentaren till den paragrafen. Att tjänsten helt eller delvis riktar sig till enskilda innebär att kravet inte omfattar nättjänster som används inom ramen för en persons arbete eller utbildning, där identifiering sker med medel som uteslutande används i tjänsten eller i utbildningen.

Kravet gäller enligt första punkten endast sådana medel för elektronisk identifiering som tillhandahålls inom ramen för ett auktorisationssystem enligt lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post. Det innebär att leverantören och medlet ska ha godkänts inom ramen för ett auktorisationssystem enligt lagen.

Vidare måste enligt andra punkten tillitsnivån på medlet motsvara minst den tillitsnivå som den offentliga aktören kräver för åtkomst till nättjänsten.

Kravet i denna paragraf att erkänna vissa medel för elektronisk identifiering innebär inte ett krav på att den offentliga aktören ska ingå avtal med leverantörer genom ett auktorisationssystem enligt lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.

Bemyndiganden

2 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.undantag från kravet i 1 §, och

2.hur kravet i 1 § ska fullgöras.

107

Prop. 2025/26:250 I paragrafen ges regeringen eller den myndighet som regeringen bestämmer rätt att meddela vissa föreskrifter om kravet på erkännande av medel för elektronisk identifiering. Övervägandena finns i avsnitt 10.

Möjligheten att enligt första punkten föreskriva om undantag från kravet att erkänna medel för elektronisk identifiering kan t.ex. aktualiseras av hänsyn till rikets säkerhet. Det kan också avse föreskrifter om undantag från kravet i förhållande till medel för elektronisk identifiering om det t.ex. finns flera överlappande auktorisationssystem med delvis likartade tjänster.

Föreskrifter enligt andra punkten kan avse inom vilken tid ett medel för elektronisk identifiering som har tillkommit i ett auktorisationssystem ska erkännas av en offentlig aktör för autentisering i aktörens nättjänst.

5 kap. Överklagande och verkställighet

1 § Beslut enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

I paragrafen finns bestämmelser om överklagande av beslut enligt lagen. Övervägandena finns i avsnitt 11.

Enligt första stycket får beslut enligt lagen eller enligt föreskrifter som har meddelats i anslutning till lagen överklagas till allmän förvaltningsdomstol. Ytterligare bestämmelser om överklagande, bl.a. vem som får överklaga ett beslut, hur man överklagar ett beslut och tiden för överklagande finns i förvaltningslagen (2017:900).

Av andra stycket framgår att prövningstillstånd krävs vid överklagande till kammarrätten.

2 § Beslut enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

Av paragrafen framgår att beslut enligt lagen gäller omedelbart, om inte något annat anges i beslutet. Övervägandena finns i avsnitt 11.

Att ett beslut gäller omedelbart innebär att beslutet får verkställas även om det har överklagats eller om överklagandetiden inte har gått ut. Det innebär t.ex. att en e-legitimation fortsätter att vara spärrad om ett beslut om återkallelse och spärr, som gäller omedelbart, överklagas.

108

Utformningen av den statliga e-legitimationen

Den statliga e-legitimationen ska tillhandahållas på ett kontaktlöst aktivt kort som även är eller kan certifieras som en anordning för att skapa kvalificerade elektroniska underskrifter

113