Regeringskansliets rättsdatabaser

Dir. 2025:22 Kommittédirektiv Säkrare verifiering av identitet Beslut vid regeringssammanträde den 6 mars 2025 Sammanfattning En särskild utredare ska analysera och lämna förslag som stärker kopplingen mellan fastställd grundidentitet och verifiering av identitet. Syftet är att skapa en effektivare och säkrare process vid verifiering av identitet som utgår från biometriska uppgifter. Förslagen ska bidra till en effektiv, tillförlitlig och ändamålsenlig identitetsförvaltning i Sverige. Utredaren ska bl.a. * lämna förslag som stärker kopplingen mellan fastställd grundidentitet och verifiering av identitet med grund i biometriska uppgifter och i det sammanhanget undersöka lämpligheten med ett system med en unik identitetsnyckel, * undersöka vilket eller vilka tekniska stöd som behövs för att stärka kopplingen mellan grundidentitet och verifiering av identitet, * analysera vilka risker som behandlingen av personuppgifter kan innebära och göra nödvändiga säkerhetsanalyser, * lämna förslag om vilken eller vilka myndigheter som ska ansvara för de uppgifter som behöver utföras, och * vid behov omhänderta förslag som identifierats i pågående myndighetsuppdrag. Uppdraget ska redovisas senast den 31 augusti 2026. Svensk identitetsförvaltning Ansvaret för identitetsförvaltningen i Sverige är delat mellan olika aktörer som var och en har begränsade ansvarsområden. Att fastställa identitet kan beskrivas med följande fyra delmoment: fastställande av grundidentitet, registrering av identitet, utfärdande av identitetshandling och verifiering av identitet. Fastställande av grundidentitet Fastställande av grundidentitet sker i samband med födelsen för barn som föds och ska folkbokföras i Sverige. Skatteverket fastställer också identiteten i samband med folkbokföring, när en person anmäler inflyttning till Sverige, och i samband med tilldelning eller förnyelse av samordningsnummer. Vid inflyttning och tilldelning av samordningsnummer med uppgift om styrkt identitet, utförs identitetskontroll vid personlig inställelse där den enskilde på begäran är skyldig att överlämna en identitetshandling och låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. Identitetskontrollen genomförs i de flesta fall vid något av de servicekontor som drivs av Statens servicecenter. När det gäller tredjelandsmedborgare som ansöker om uppehållstillstånd i Sverige, fastställer Migrationsverket identiteten. Vid prövningen krävs en kontroll av om personen redan förekommer under en befintlig identitet i Sverige. Registrering av identitet Även registreringen av identitetsuppgifter utförs av olika myndigheter. Skatteverket ansvarar för att registerföra identitetsuppgifter i folkbokföringsdatabasen. Informationen från folkbokföringsdatabasen förmedlas till offentliga aktörer via Skatteverkets system för distribution av folkbokföringsuppgifter (Navet) och till privata aktörer via det statliga personadressregistret (SPAR). Migrationsverket registrerar identitetsuppgifter i den centrala utlänningsdatabasen. Det finns också andra databaser och register på myndighetsspecifik, nationell och internationell nivå där identitetsuppgifter registreras och utbyts mellan myndigheter i olika situationer och syften, t.ex. Schengen Information System (SIS), Visa Information System (VIS) och Eurodac. Utfärdande av identitetshandling För att en person som fått sin identitet fastställd och registrerad ska kunna verifiera sig hos olika myndigheter behövs någon form av fysisk eller elektronisk id-handling som kan styrka kopplingen mellan personen och den registrerade grundidentiteten. Det finns i dag flera statliga och privata aktörer som utfärdar fysiska legitimationer och e-legitimationer. Polismyndigheten är passmyndighet och utfärdar även nationella idkort. Vissa utlandsmyndigheter är passmyndighet utom riket. Skatteverket utfärdar idkort till folkbokförda och Transportstyrelsen utfärdar körkort. I fråga om e-legitimationer utfärdas dessa i dagsläget endast av privata aktörer. Myndigheten för digital förvaltning (Digg) granskar och godkänner e-legitimationer som används i digitala tjänster inom offentlig sektor. Digg ansvarar också för eIDAS-noden som möjliggör e-legitimering över landsgränserna. I Regeringskansliet bereds för närvarande flera förslag om nya id-handlingar, bl.a. ett nytt statligt identitetskort (SOU 2019:14), en statlig e-legitimation (SOU 2023:61) och en digital identitetsplånbok (SOU 2024:45). Verifiering av identitet Slutligen kopplar svenska myndigheter ihop identitetsuppgifterna från en befintlig grundidentitet med personen som myndigheten möter i en process för verifiering. Det sker genom att personen identifierar sig med en fysisk eller elektronisk id-handling som har utfärdats. Brister och problembild Dagens ordning i identitetsförvaltningen försvårar överblick och kontroll. Brister i samordning, styrning och utveckling av svensk identitetsförvaltning har öppnat upp för fusk, identitetsmissbruk och annan brottslighet, vilket bedöms generera stora kostnader för staten och samhället. Bristerna i identitetsförvaltningen innebär att det är svårt att i praktiken säkert veta vem individen bakom en identitetshandling och e-legitimation faktiskt är, vilket har bidragit till att problemen med organiserad brottslighet, utanförskap och bidragsbrottslighet är omfattande. Olika former av identitetsmissbruk förekommer bl.a. vid bedrägerier, arbetslivskriminalitet och brott mot välfärdssystemen. Redan vid fastställande av grundidentitet kan det finnas behov av att stärka myndigheternas arbete i syfte att uppnå en mer enhetlig hantering. Andra brister är att förekomsten av multipla identiteter i folkbokföringsdatabasen kan få stora konsekvenser genom de spridningseffekter som uppgifter ur folkbokföringsdatabasen har i samhället. I dag bedöms risken för utnyttjade och kapade identiteter vara mer omfattande än renodlat falska identiteter. Bristerna har påtalats, bl.a. av Samverkansrådet mot terrorism 2021, Utredningen om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57) och samverkansinitiativet MUR (Motståndskraft hos utbetalande och rättsvårdande myndigheter mot missbruk och brott i välfärdssystemen). I delbetänkandet En säker och tillgänglig statlig e-legitimation (SOU 2023:61) framhåller representanter för Skatteverket och Försäkringskassan i särskilda yttranden behovet av att ta ett samlat grepp om identitetsförvaltningskedjan. Riksrevisionen lämnade i juni 2024 en rapport om fastställande av identitet vid statliga myndigheter (RiR 2024:12) där Riksrevisionens övergripande bedömning är att myndigheternas insatser inte är tillräckligt effektiva för att säkerställa att en korrekt och unik identitet fastställs. En sammanhållen identitetsförvaltning med ökad användning av biometri Svensk identitetsförvaltning ska vara tillförlitlig och solid, och inte kunna utnyttjas för olika former av missbruk och brottslighet (skr. 2023/24:67). Ett gediget arbete behöver bedrivas för att skapa ett system för identiteter som är ändamålsenligt, sammanhängande, säkert och hållbart över tid. I detta ingår att säkerhetsnivån på fysiska och digitala handlingar som används i identifieringssyfte behöver vara anpassad efter de behov av säkrare kontrollfunktioner som den ökande digitaliseringen i samhället medför. Ett sätt att förstärka identitetsförvaltningen och motverka missbruk av personuppgifter är att använda biometriska uppgifter i större utsträckning än i dag för identifiering, registrering och verifiering av individer som uppehåller sig i Sverige. I dag agerar myndigheterna primärt baserat på den information som finns tillgänglig i deras egna system i stället för utifrån en helhetsbild. Till viss del har det motiverats av integritetshänsyn. Samtidigt har såväl samhället i stort som hotet från organiserad brottslighet utvecklats på ett sätt som gör att synen på vad som utgör hot mot den personliga integriteten och hur människors integritet bäst skyddas behöver omprövas. Behovet av att skyddas från brott och otrygghet, liksom att värna Sveriges funktionssätt och välfärd, har blivit allt starkare. För att öka myndigheternas förmåga att förebygga och bekämpa brott behövs ett perspektivskifte i synen på information. Information som finns hos de olika myndigheterna, åtminstone inom staten, bör ses som en samlad strategisk resurs som i större utsträckning ska kunna tillgängliggöras och användas av den myndighet som behöver den. Redan initierade åtgärder Flera initiativ pågår för att stärka möjligheterna till identifiering, verifiering och kontroll i verksamheter som utfärdar id-handlingar samt bedömer och förlitar sig på identitetsuppgifter. Exempelvis bereds förslaget från 2017 års ID-kortsutredning om ett nytt regelverk för statliga identitetshandlingar (SOU 2019:14) i Regeringskansliet. Förslaget innebär att staten framöver ska utfärda två allmängiltiga och säkra identitetshandlingar: pass och ett statligt identitetskort. Handlingarna ska benämnas statliga identitetshandlingar. Utredningen för säker och tillgänglig digital identitet har lämnat förslag på hur en kostnadseffektiv statlig e-legitimation på högsta tillitsnivå kan utformas och tillhandahållas av en statlig myndighet (SOU 2023:61). Utredningen föreslog att den statliga e-legitimationen ska tillhandahållas på ett kontaktlöst aktivt kort men så snart som möjligt bör tillhandahållas på ett statligt utfärdat identitetskort. Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (den reviderade eIDAS-förordningen) innebär i praktiken en skyldighet för medlemsstaterna att tillhandahålla en elegitimation på högsta tillitsnivå senast fjärde kvartalet 2026. Förordningen innehåller också en skyldighet att acceptera utländska och anmälda e-legitimationer i nationella digitala tjänster samt att tillhandahålla en digital identitetsplånbok. I budgetpropositionen för 2025 aviserades att Polismyndigheten får uppdraget att utfärda en statlig elegitimation på högsta tillitsnivå och Myndigheten för digital förvaltning får i uppdrag att utfärda en digital identitetsplånbok. Utredningen om stärkt återvändandeverksamhet har bl.a. lämnat förslag om att Migrationsverket ska få ta upp och lagra fingeravtryck och fotografier i större utsträckning än i dag. Enligt förslagen ska fingeravtryck och fotografier få tas upp och lagras från alla som söker uppehållstillstånd i Sverige – oavsett grund – samt i ärenden om avvisning eller utvisning (SOU 2024:80). Utredningen föreslår också att fingeravtryck och fotografier ska få tas upp – och i vissa fall få lagras – i ärenden om medborgarskap. En förutsättning för att ta upp och lagra fingeravtryck ska vara att utlänningen har fyllt sex år. Utredningen föreslår vidare att de fingeravtryck och fotografier som lagras i Migrationsverkets register ska få användas för fler ändamål än i dag, bl.a. i alla ärenden om uppehållstillstånd, i ärenden om medborgarskap, för att verifiera en utlännings identitet vid vissa kontroller och vid utfärdande av uppehållstillståndskort. De lagrade uppgifterna ska även få användas för kontroller mot Polismyndighetens fingeravtrycks- och signalementsregister, t.ex. i medborgarskapsärenden. En utredning om utökade befogenheter för Skatteverket inom brottsbekämpning och folkbokföring har fått i uppdrag att bl.a. se över om Skatteverkets möjligheter att använda biometriska uppgifter inom folkbokföringsverksamheten kan förstärkas (dir. 2023:134). Utredaren ska också analysera och ta ställning till om det finns ett behov av utbyte av ansiktsbilder och fingeravtryck mellan Migrationsverket och Skatteverket samt analysera och ta ställning till om Polismyndigheten ska få göra biometriska jämförelser med de uppgifter som behandlas hos Skatteverket. Uppdraget ska redovisas senast den 28 maj 2025. Regeringen har beslutat om uppdrag till flera myndigheter att samarbeta mer och att dela och använda mer information och kompetens i arbetet med identitetskontroller. Skatteverket, Migrationsverket och Polismyndigheten har fått i uppdrag att utveckla det operativa samarbetet för att motverka identitetsmissbruk (Fi2024/02215). Myndigheternas arbete ska bl.a. inriktas mot de utmaningar som finns vad gäller en enhetlig hantering vid fastställande av grundidentitet samt att upprätthålla och stärka kompetensen om identitetsfrågor. En delredovisning om hur ett nationellt kompetenscentrum för identitetsfrågor kan inrättas ska lämnas den 31 mars 2025. Vidare har Skatteverket, Migrationsverket, Polismyndigheten och Statens servicecenter fått i uppdrag att stärka samarbetet för att upprätthålla och sprida kompetens om identitetsfrågor (Fi2024/02214). Det innebär bl.a. att om myndigheterna identifierar hinder i regelverket för ett effektivt samarbete ska de lämna en tydlig problembild och konsekvensanalys. Uppdraget ska redovisas senast den 13 juni 2025. Uppdraget att stärka kopplingen mellan fastställd grundidentitet och verifiering av identitet Förutsättningarna för identitetsförvaltningen i Sverige behöver stärkas. En tillförlitlig identitetsförvaltning syftar både till att skapa trygghet och säkerhet för medborgarna och till att motverka missbruk och bedrägerier som drabbar alla delar av samhället. Den ökade internationella rörligheten och digitaliseringen medför behov av en översyn av hur verifieringen av identiteten på en person som vistas i Sverige kan kopplas till grundidentiteten. Ett system för säkrare verifiering av identitet Biometriska uppgifter är personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtryck. Regeringens arbete med att stärka identitetsförvaltningen innefattar bl.a. utökad användning av biometriska uppgifter i Polismyndighetens, Migrationsverkets och Skatteverkets respektive verksamheter. De förslag som lämnats och den utredning som pågår innebär att biometriska uppgifter ska kunna lagras och användas av myndigheterna i högre utsträckning än i dag. Biometriska uppgifter kan användas för att identifiera en person som myndigheterna möter. Biometriska uppgifter kan jämföras med lagrade biometriska uppgifter från andra registrerade identiteter i myndigheternas register. Behandlingen av biometriska uppgifter syftar då till att upptäcka om den person som lämnat det biometriska underlaget också uppträtt under andra identiteter i andra ärenden. Biometriska uppgifter som finns lagrade i en identitetshandling kan också jämföras mot personen som inställer sig för identitetskontroll, i syfte att stärka kontrollen av att personen myndigheten möter också är den person för vilken handlingen har utfärdats. Det rättsliga och tekniska stödet för sådan kontroll och lagring finns hos ett begränsat antal myndigheter men fler aktörer har behov av att få ta del av information från grundidentifieringen för att förstärka sin kontroll i verifieringssteget. Kopplingen till den fastställda grundidentiteten behöver stärkas vid verifiering av identitet med hjälp av biometriska uppgifter. Det bör därför övervägas hur ett sådant system kan utformas och införas på ett kostnadseffektivt sätt i syfte att bidra till en säkrare process vid verifiering av identitet. De förslag som lämnats i tidigare och pågående utredningar om utökade möjligheter till insamling och lagring av biometriska uppgifter ska vara utgångspunkt för analysen. Det kan finnas behov av att ta ställning till och utreda om gällande rätt och föreslagna ändringar är tillräckliga för ändamålet verifiering av identitet. Det kan även finnas behov av att ta ställning till förslag eller problembilder som myndigheterna identifierat inom ramen för de pågående uppdragen om att samarbeta mer i arbetet med identitetskontroller (Fi2024/02214 och Fi2024/02215). Det behöver vidare övervägas vilken personkrets som bör komma i fråga. Målsättningen bör vara att så många som möjligt som vistas i Sverige på sikt ska kunna ingå i ett nytt system för en säkrare verifiering av identitet. Ett alternativ kan vara den lösningshypotes som utforskats av samverkansinitiativet MUR med ett gemensamt identitetsindex. Identitetsindexet bygger på biometri men sprids som en unik identitetsnyckel som kan kopplas till t.ex. personnummer, samordningsnummer, beslut och inloggningar med elegitimation. Enligt hypotesen ska den unika identitetsnyckeln kunna skapas för en person som flyttar till Sverige, tilldelas ett samordningsnummer eller beviljas ett pass eller statligt id-kort. Identitetsnyckeln skulle kunna lagras och spridas tillsammans med personens identitetsbeteckning och även lagras i individens identitetshandlingar, såväl fysiska som digitala. Avsikten är att identitetsnyckeln ska kunna användas vid verifiering av identitet. Ett system med en unik identitetsnyckel behöver analyseras närmare. Det behöver bl.a. belysas om ett sådant system är tekniskt och rättsligt möjligt att införa och vilka fördelar och nackdelar en sådan lösning kan innebära. Vidare behöver det analyseras om en identitetsnyckel bestående av en numerär kod baserad på biometriska uppgifter är att betrakta som biometriska uppgifter i sig och således en känslig personuppgift. Det behöver också analyseras om och i så fall hur identitetsnyckeln på ett säkert och effektivt sätt skulle kunna spridas till andra aktörer för att användas i verifieringsprocessen samt om identitetsnyckeln bör lagras i en identitetshandling. Ett system med en unik identitetsnyckel behöver jämföras med andra alternativa lösningar. Utredaren ska därför * utgå från de förslag som lämnats i tidigare och pågående utredningar om utökade möjligheter till insamling och lagring av biometriska uppgifter, * ta ställning till hur kopplingen mellan fastställd grundidentitet och verifiering av identitet kan stärkas och i det sammanhanget undersöka lämpligheten med ett system med en unik identitetsnyckel baserad på biometriska uppgifter, * föreslå hur ett system på ett kostnadseffektivt sätt kan utformas, införas och användas, * vid behov föreslå att information om en fastställd grundidentitet ska kunna delas med statliga myndigheter, andra offentliga aktörer respektive privata aktörer, * vid behov omhänderta förslag som har identifierats i pågående myndighetsuppdrag i syfte att säkerställa en enhetlighet vid fastställande av grundidentitet, och * lämna fullständiga författningsförslag. Dataskydd och sekretess Behandlingen av biometriska uppgifter innebär särskilda risker för intrång i skyddet för den personliga integriteten enligt regeringsformen, Europakonventionen för mänskliga rättigheter och EU:s rättighetsstadga. Behovet av den föreslagna regleringen måste vägas mot skyddet för grundläggande fri- och rättigheter. Om de förslag som utredaren lämnar begränsar grundläggande fri- och rättigheter måste förslagen uppfylla förutsättningarna för att sådana begränsningar ska få göras. Frågor om såväl sekretess som dataskydd behöver övervägas när det gäller förslagens utformning. För att kunna bedöma om förslagen är förenliga med dataskyddsregleringen samt behovet av kompletterande nationell reglering finns bl.a. behov av att närmare analysera och kartlägga vilken personuppgiftsbehandling som aktualiseras, vilka integritetsrisker den medför samt redovisa vilka bedömningar som görs när det gäller skyddsåtgärder, bl.a. i fråga om sekretess och uppgifternas bevarande. Förslagen ska vara förenliga med EU-rätten och grundläggande fri- och rättigheter. Utredaren ska därför * bedöma vilka risker som behandlingen av personuppgifter i ett system med stärkt koppling mellan fastställd grundidentitet och verifiering av identitet kan innebära, ta hänsyn till skyddet för den personliga integriteten och göra en integritetsanalys, * analysera om förslagen är ändamålsenliga och proportionerliga i förhållande till skyddet för grundläggande fri- och rättigheter, * bedöma om den behandling av personuppgifter som förslagen ger upphov till är förenlig med det EU-rättsliga dataskyddsregelverket och vid behov föreslå åtgärder och lämna författningsförslag som säkerställer att kraven i EU:s dataskyddslagstiftning för behandlingen av personuppgifter uppfylls, * bedöma eventuella behov av skyddsåtgärder, och * lämna nödvändiga författningsförslag. Säkerhetsfrågor och andra förutsättningar för tekniska lösningar Möjligheter och begränsningar när det gäller tekniska lösningar är av betydelse för vilket system som är lämpligt, proportionerligt och ändamålsenligt att införa. Utredaren ska därför inhämta uppgifter om vilket tekniskt stöd som kan behövas för att stärka kopplingen mellan fastställd grundidentitet och verifiering av identitet. Det är av vikt att processer utformas på ett sådant sätt att myndigheternas verksamhet skyddas, att uppgifter inte kan manipuleras och att enskildas personuppgifter behandlas på ett säkert sätt. Detta ställer höga krav på tillförlitliga, säkra och robusta lösningar för itsystem. Den eller de myndigheter som får ansvaret för systemet kan komma att behöva utveckla nya tekniska lösningar alternativt anpassa befintlig teknik. För att information om den fastställda grundidentiteten ska kunna distribueras och användas behövs en bakomliggande digital infrastruktur, t.ex. mot vilken en identitetsnyckel kan verifieras. Utredaren behöver därför även ta ställning till vilka tekniska lösningar som kan komma att behövas för dessa ändamål. Utredaren ska därför * kartlägga vilket tekniskt stöd som kan behövas för att stärka kopplingen mellan fastställd grundidentitet och verifiering av identitet, * identifiera och analysera risker kopplade till informations- och cybersäkerhet samt lämna förslag för att hantera riskerna, * identifiera och analysera risker kopplade till införandet av ett stärkt system vid verifiering av identitet utifrån kapacitetsbehov och krav på robusthet och lämna förslag till åtgärder för att hantera dessa risker, * redogöra för behovet av tekniska lösningar för att kunna distribuera information till statliga och andra aktörer, och * beräkna kostnaderna för utveckling och förvaltning av de tekniska lösningarna. Ansvar och rollfördelning En central fråga för ett system och andra förslag för att stärka kopplingen mellan fastställd grundidentitet och verifiering av identitet är vilken eller vilka myndigheter som ska ansvara för de uppgifter som behöver utföras. Ansvaret för identitetsförvaltningen är i dag uppdelat mellan flera olika aktörer och regeringen har konstaterat att ett sätt att förstärka identitetsförvaltningen är att begränsa antalet aktörer (skr. 2023/24:67). Det behöver bl.a. belysas vilka synergieffekter som kan finnas med andra uppgifter som myndigheterna ansvarar för i dag eller kan komma att få ansvar för i takt med genomförandet av förslag som bereds. Även frågor om kostnadseffektivitet, tillgänglighet och myndigheternas möjlighet att tillhandahålla service måste beaktas. Samtidigt är myndigheternas kapacitet att tillgodose krav på säkerhet och andra tekniska förutsättningar en viktig fråga vid övervägandena om hur ansvarsfördelningen ska se ut. I det sammanhanget måste det beaktas att uppgifter om identiteter kan vara mycket skyddsvärda. Såväl totalförsvarsplaneringen som säkerhetsskydd och informationssäkerhetsfrågor behöver belysas i övervägandena om ansvarsfördelningen. Exempelvis kan det med hänsyn till att det rör sig om skyddsvärd information finnas skäl att begränsa antalet ansvariga myndigheter. Utredaren ska därför * lämna förslag på vilken eller vilka myndigheter som ska ansvara för systemet och distributionen av information till andra aktörer, och * lämna nödvändiga författningsförslag. Konsekvensbeskrivningar Utredaren ska redovisa konsekvenserna av de förslag som läggs fram i enlighet med kommittéförordningen (1998:1474) och förordningen (2024:183) om konsekvensutredningar. Utredaren ska också redovisa förslagens betydelse för arbetet med att förebygga och i övrigt motverka brottslighet. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Kontakter och redovisning av uppdraget Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, inom EU och inom andra utredningar och kommittéer. Utredaren ska särskilt följa beredningen av förslaget till ett nytt statligt identitetskort samt följa och beakta resultatet från myndigheternas arbete i uppdragen att stärka samarbetet för att upprätthålla och sprida kompetens om identitetsfrågor (Fi2024/02215) och att utveckla det operativa samarbetet för att motverka identitetsmissbruk (Fi2024/02214). Under genomförandet av uppdraget ska utredaren i den utsträckning det behövs samråda med och inhämta upplysningar från de myndigheter och andra aktörer som kan vara berörda. Uppdraget ska redovisas senast den 31 augusti 2026. (Finansdepartementet)