Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 1 av 1 träffar
Föregående
·
Nästa
Förbättrade möjligheter att behandla personuppgifter för att motverka felaktiga utbetalningar och missbruk av myndigheters processer, Dir. 2026:70
Departement: Justitiedepartementet
Beslut: 2026-07-09
Dir. 2026:70 Kommittédirektiv Förbättrade möjligheter att behandla personuppgifter för att motverka felaktiga utbetalningar och missbruk av myndigheters processer Beslut vid regeringssammanträde den 9 juli 2026. Sammanfattning En särskild utredare ska överväga och föreslå förbättrade möjligheter för myndigheter att behandla personuppgifter för att motverka felaktiga utbetalningar av offentliga medel och missbruk av myndigheters processer. I uppdraget ligger även att överväga om reglerna för vissa myndigheters personuppgiftsbehandling bör förenklas och föreslå hur regelförenklingar i så fall kan åstadkommas. Syftet är att se till att myndigheter kan motverka felaktiga utbetalningar och missbruk av myndigheters processer på ett effektivt sätt samtidigt som ett starkt skydd för den personliga integriteten upprätthålls. * Utredaren ska bl.a. * kartlägga vilka myndigheter som är i behov av förbättrade rättsliga möjligheter att behandla personuppgifter i syfte att motverka felaktiga utbetalningar och missbruk av myndigheters processer, * utifrån kartläggningen analysera och ta ställning till vilka ändringar av dataskyddsregelverket som bör göras för att de identifierade myndigheternas behov ska tillgodoses på ett ändamålsenligt och effektivt sätt samtidigt som ett starkt skydd för den personliga integriteten upprätthålls, och * lämna nödvändiga författningsförslag. Uppdraget ska redovisas senast den 1 mars 2028. Uppdraget att föreslå förbättrade möjligheter för myndigheter att behandla personuppgifter i syfte att motverka felaktiga utbetalningar och missbruk av myndigheters processer Felaktiga utbetalningar och missbruk av myndigheters processer är allvarliga samhällsproblem Utbetalningar till enskilda står för en betydande del av den offentliga sektorns utgifter. En given målsättning är att alla utbetalningar ska vara korrekta och att offentliga medel ska komma rätt personer och företag till del, oavsett var och hur dessa medel betalas ut. Inom flera sektorer av den offentliga verksamheten förekommer det att offentliga medel hamnar hos fel mottagare. Inom olika typer av offentliga stödsystem betalas varje år betydande belopp ut felaktigt till privatpersoner, företag och civilsamhälle. Offentliga medel kan också gå till oseriösa företag som tillhandahåller välfärdstjänster eller som säljer andra varor eller tjänster till det offentliga. Det kan till exempel handla om företag som inte betalar skatter eller följer arbetsrättsliga villkor och därigenom håller anbuden i offentliga upphandlingar låga. Konkurrensen kan då snedvridas och oseriösa företag få del av offentliga medel på bekostnad av seriösa aktörer. Att offentliga medel används felaktigt är ett problem oavsett vem mottagaren är. Problemet är dock särskilt allvarligt när offentliga medel finansierar kriminell verksamhet. I en myndighetsgemensam lägesbild om organiserad brottslighet bedöms att bidrag som betalas ut på felaktiga grunder är ett mycket vanligt brott från aktörer inom organiserad brottslighet. Enligt lägesbilden riskerar dessa bidrag att finansiera annan grov brottslighet (Myndigheter i samverkan mot den organiserade brottligheten 2024 s. 6). I den nationella strategin mot organiserad brottlighet lyfts att brott mot välfärden är en lukrativ inkomstkälla för den organiserade brottligheten. Det handlar om att kriminella aktörer på felaktiga grunder systematiskt tillskansar sig bidrag och ersättningar men även att de själva driver välfärdsverksamhet för att komma åt offentliga medel (skr. 2023/24:67 s. 20). Bedömningar som regeringen gjorde i budgetpropositionen för 2024 talar för att cirka 15–20 miljarder kronor betalas ut felaktigt enbart från de statliga välfärdssystemen varje år (prop. 2023/24:1 utg.omr. 2 avsnitt 8.4). Felaktiga utbetalningar av offentliga medel från välfärdssystemen och andra offentliga stödsystem innebär alltså allvarlig ekonomisk skada för det allmänna och att mycket stora summor kommer fel mottagare till del. Tillit till det offentliga och till ett lands institutioner är en av grundstenarna för ett välfungerande samhälle. Grundläggande för medborgarnas tillit är att det allmänna sköter sina åtaganden på ett effektivt och rättssäkert sätt. En viktig beståndsdel i det allmännas åtagande är välfärdssystemen. Missbruk och felaktigt nyttjande av välfärdssystemen och andra offentliga stödsystem orsakar därför inte bara betydande ekonomiska förluster för det allmänna, utan gör också att systemen riskerar att tappa i legitimitet. Om myndigheter inte kan arbeta för att motverka ett sådant nyttjande kan det få konsekvenser för medborgarnas förtroende för det allmänna. Med ett försämrat förtroende riskerar tilltron till myndigheters förmåga att utföra sina uppdrag att skadas. Felaktiga utbetalningar och missbruk av myndigheters processer förekommer i olika former En felaktig utbetalning kan bero på att en enskild som ansöker om ekonomiskt stöd medvetet eller omedvetet lämnar felaktiga uppgifter till en beslutande myndighet. En felaktig utbetalning kan även bero på agerande från tredje part. Missbruk av myndigheters processer kan ske genom att en myndighet förmås fatta ett beslut som är ett led i en kedja av åtgärder som leder fram till att en felaktig utbetalning görs. Missbruk av myndigheters processer kan också förekomma genom upplägg som innebär att någon annan typ av förmånligt myndighetsbeslut än en utbetalning utverkas på felaktiga grunder, med allvarliga konsekvenser som följd. I en rapport från Utbetalningsmyndigheten beskrivs att det förekommer att en och samma person registreras under flera identiteter. De olika identiteterna kan sedan användas för att t.ex. ansöka om ekonomiskt bistånd hos kommunen, äldreförsörjningsstöd hos Pensionsmyndigheten eller etableringsersättning hos Försäkringskassan. Ett annat upplägg som används av kriminella aktörer för att få tillstånd att bedriva välfärdsverksamhet är att bulvaner, målvakter eller personer under falsk identitet registreras som styrelseledamöter i syfte att dölja vem som verkligen kontrollerar företaget (Utbetalningsmyndighetens kunskapsrapport 2025:1). Vidare kan tillstånd till enskilda, t.ex. uppehålls- och arbetstillstånd, beviljas till någon som egentligen inte uppfyller tillståndskriterierna. Ett tillstånd kan även utverkas från en myndighet av någon som inte har för avsikt att följa de villkor som tillståndet är förenat med. Sådant missbruk kan i förlängningen leda till att personer som egentligen saknar rätt att vistas i Sverige ändå kan göra det och att personer får del av bosättningsbaserade förmåner utan att vara berättigade till det (Myndighetsgemensam rapport om organiserad brottslighet i välfärden 2026, s. 7). Utländsk arbetskraft riskerar även att utnyttjas av oseriösa företag på den svenska arbetsmarknaden. I en rapport från Riksrevisionen (Migrationsverkets kontroller av arbetstillstånd – stor risk för fel och missbruk, RiR 2026:5) beskrivs t.ex. att Migrationsverkets brister i kontroller av arbetstillståndsärenden riskerar att bidra till ökad arbetskraftsexploatering, osund konkurrens och arbetslivskriminalitet. Riksrevisionen konstaterar bl.a. att det råder effektivitetsbrister i Migrationsverkets systemstöd och att myndigheten inte har rättsliga förutsättningar att lagra och sammanställa information om arbetsgivare utanför ärendehandläggningen. Sammanfattningsvis förekommer felaktiga utbetalningar och missbruk av myndigheters processer i olika former. Många gånger beror felaktiga utbetalningar och missbruk av myndigheters processer på att felaktig eller ofullständig information ligger till grund för ett myndighetsbeslut. Det bristfälliga underlaget kan bero på att felaktiga uppgifter har lämnats till myndigheten och att myndigheten saknar förutsättningar att kontrollera uppgifternas riktighet. Det kan också handla om att myndigheten saknar rättsligt stöd för att använda information från avslutade ärenden när nya ärenden handläggs eller kontroller av tidigare beslut genomförs. Att motverka felaktiga utbetalningar av offentliga medel och missbruk av myndigheters processer är angeläget. Regeringen har genomfört flera viktiga reformer inom detta område men problemets omfattning innebär att ytterligare åtgärder behöver utredas. För att motverka felaktiga utbetalningar och missbruk av myndigheters processer behöver personuppgifter behandlas Myndigheter behöver ha tillgång till aktuell, korrekt och relevant information Varje gång en myndighet fattar ett beslut i ett enskilt fall görs detta på grundval av den information som finns i ärendet. För att en myndighet ska kunna fatta rätt beslut behöver den ha tillgång till och kunna använda uppgifter som är aktuella, korrekta och relevanta. Att myndigheter har tillgång till aktuell, korrekt och relevant information är också en förutsättning för att de på ett effektivt sätt ska kunna kontrollera att villkor i meddelade beslut följs och att eventuella utbetalningar eller andra rättsverkningar som följer av olika beslut är korrekta. Korrekt beslutsfattande och ändamålsenlig kontroll förutsätter att myndigheter har en väl fungerande dataförvaltning och förmåga att dela och använda data på ett effektivt sätt. Regeringen har vidtagit en rad åtgärder för att se till att myndigheter har tillgång till nödvändig information. Exempelvis trädde den 1 december 2025 en ny bestämmelse i 10 kap. 15 a § offentlighets- och sekretesslagen (2009:400), OSL, i kraft. Med vissa undantag innebär bestämmelsen att sekretess till skydd för enskilda inte hindrar att en uppgift lämnas till en annan myndighet om det behövs bl.a. för att förebygga eller förhindra att en ekonomisk förmån betalas ut felaktigt eller för att förebygga, förhindra, upptäcka eller utreda fusk och överträdelser av regler, villkor i beslut eller avtal. Regeringen har dessutom lämnat förslag som syftar till att ytterligare underlätta informationsutbytet genom att bl.a. möjliggöra för myndigheter att på eget initiativ lämna uppgifter som inte är sekretessbelagda till en annan myndighet och i ett stort antal registerförfattningar tydliggöra att personuppgifter får behandlas för uppgiftslämnande (lagrådsremissen Ytterligare steg mot ett ökat informationsutbyte mellan myndigheter). Efter regeringens förslag har också andra lagstiftningsåtgärder vidtagits som innebär att myndigheter i större utsträckning än tidigare kan utbyta information i syfte att motverka felaktiga utbetalningar (se t.ex. prop. 2023/24:85, bet. 2023/24:KU27, rskr. 2023/24:195 och prop. 2024/25:187, bet. 2025/26:FiU12, rskr. 2025/26:56). Dessutom träder en ny lag som syftar till kostnadseffektiv datadelning inom den offentliga förvaltningen i kraft den 15 augusti 2026 (prop. 2025/26:244, bet. 2025/26:TU18, rskr. 2025/26:379). Införandet av 10 kap. 15 a § OSL kan, tillsammans med andra åtgärder från regeringen, förväntas förbättra myndigheters tillgång till aktuell, korrekt och relevant information som kan användas för att motverka felaktiga utbetalningar och missbruk av myndigheters processer. Att en uppgift är tillgänglig inom en myndighet innebär dock inte nödvändigtvis att den kan användas vid beslutsfattande eller i kontrollverksamhet. Om informationen utgörs av personuppgifter krävs att hanteringen är förenlig med de regler för dataskydd som gäller i verksamheten. Regler om personuppgiftsbehandling sätter gränser för myndigheters informationshantering En viktig begränsning av myndigheters informationshantering är att den måste vara förenlig med regler till skydd för den personliga integriteten. Sådana regler finns bl.a. i regeringsformen, den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (artikel 8) och i Europeiska unionens stadga om de grundläggande rättigheterna (artikel 7 och 8). Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Denna rätt kan under vissa förutsättningar begränsas genom lag (2 kap. 20–22 och 25 §§ regeringsformen). För personuppgiftsbehandling i allmänhet gäller Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande benämnd EU:s dataskydds-förordning. EU:s dataskyddsförordning, som är bindande och direkt tillämplig i EU:s medlemsländer, innehåller generella regler om personuppgiftsbehandling. För personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att bl.a. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller i stället brottsdatalagen (2018:1177), genom vilken Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i det följande benämnd dataskyddsdirektivet, har genomförts. För att personuppgiftsbehandling ska vara tillåten enligt EU:s dataskydds-förordning krävs att den ryms inom någon av de lagliga grunder för behandling som anges i artikel 6.1. Personuppgiftsbehandling är bl.a. tillåten om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Dessa rättsliga grunder ska fastställas i enlighet med unionsrätten eller nationell rätt, som i sin tur behöver vara proportionerlig (artikel 6.3). Enligt skäl 41 i EU:s dataskyddsförordning bör en rättslig grund vara tydlig och precis och dess tillämpning förutsägbar för personer som omfattas av den. Regeringen har tidigare uttalat att vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär (prop. 2017/18:105 s. 51). Regeringen har bedömt att alla uppgifter som riksdagen eller regeringen gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse (prop. 2017/18:105 s. 56). Många gånger kan det alltså finnas en rättslig grund enligt EU:s dataskyddsförordning för personuppgiftsbehandling som en myndighet utför i syfte att motverka felaktiga utbetalningar och missbruk av myndighetens processer, under förutsättning att behandlingen är ett led i utförandet av dess uppgifter. Enligt artikel 9.1 i EU:s dataskyddsförordning är behandling av vissa kategorier av personuppgifter förbjuden. Det gäller bl.a. uppgifter om hälsa och biometriska uppgifter. Undantag från förbudet gäller bl.a. för behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse, förutsatt att vissa ytterligare villkor är uppfyllda (artikel 9.2 g). Regeringen har bedömt att det utgör ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 83). Enligt EU:s dataskyddsförordning kan det därmed vara tillåtet för myndigheter att behandla känsliga person-uppgifter för att motverka felaktiga utbetalningar och missbruk av myndigheters processer. EU:s dataskyddsförordning tillåter och förutsätter ibland att medlems-staterna kompletterar förordningen med nationell reglering. Sådan reglering finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. I den lagen finns bl.a. bestämmelser om rättslig grund för behandling av personuppgifter (2 kap.) och om behandling av vissa kategorier av personuppgifter (3 kap.). Lagen kompletteras i sin tur av förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. För myndigheternas del finns därutöver en lång rad specialförfattningar, s.k. registerförfattningar, som reglerar behandling av personuppgifter hos myndigheterna och som kompletterar EU:s dataskyddsförordning, dataskyddslagen och brottsdatalagen. Syftet med registerförfattningar är att anpassa lagstiftningen efter de särskilda behov som finns inom olika verksamhetsområden i den offentliga sektorn. Registerförfattningarnas innehåll varierar. Det är dock vanligt med bestämmelser om för vilka ändamål personuppgifter får behandlas, sökbegränsningar och hur länge uppgifter får sparas. Registerförfattningar riskerar att i onödan försvåra eller förhindra arbetet mot felaktiga utbetalningar och missbruk av myndigheters processer Ändamålsbestämmelser i registerförfattningar anger en ram inom vilken personuppgifter får behandlas. En ändamålsbestämmelse kan hindra en myndighet från att utföra en process eller vidta en annan åtgärd med personuppgifter som myndigheten har tillgång till. Även sådan behandling som hade varit tillåten enligt den allmänna dataskyddsregleringen kan vara otillåten enligt en registerförfattning, om behandlingen inte har stöd i en ändamålsbestämmelse. En sådan bestämmelse kan därmed hindra en myndighet från att vidta en åtgärd för att motverka felaktiga utbetalningar och missbruk av myndigheters processer, trots att den personuppgifts-behandling som åtgärden innebär i och för sig hade varit förenlig med det höga integritetsskydd som följer av EU:s dataskyddsförordning eller brottsdatalagen. Ett annat exempel på att en registerförfattning kan försvåra arbetet mot felaktiga utbetalningar och missbruk av myndigheters processer är att den kan begränsa möjligheterna att behandla uppgifter från avslutade ärenden, t.ex. i syfte att genomföra dataanalyser och urval som verktyg för ett riskbaserat och effektivt kontrollarbete. En registerförfattning kan dessutom vara utformad så att det saknas ett tydligt rättsligt stöd för en viss typ av personuppgiftsbehandling, vilket kan leda till att en myndighet avstår från en åtgärd som den annars hade kunnat vidta. Att registerförfattningar hindrar eller försvårar arbetet mot felaktiga utbetalningar och missbruk av myndigheters processer har uppmärksammats i olika sammanhang. I den nationella strategin mot organiserad brottslighet anges att det på flera olika håll förts fram att nuvarande regelverk inte ger förutsättningar att behandla information i den omfattning som krävs och att det bl.a. handlar om att det dataskyddsrättsliga regelverket behöver ses över och anpassas (skr. 2023/24:67 s. 34). Inom den myndighetsgemensamma satsningen mot den organiserade brottsligheten framhålls det informations- och datadrivna arbetssättet. I årsrapporten för 2025 anges att tillgången till information och data är ett av myndigheternas största övertag gentemot den organiserade brottsligheten, och att både stärkta förmågor att dela och analysera data samt bättre förutsättningar – såsom rättsliga förutsättningar – behövs för ett sådant arbetssätt (Myndigheter i samverkan mot den organiserade brottsligheten 2025, s. 16 och 49). Pensionsmyndigheten framhåller också vikten av ett datadrivet arbete mot felaktiga utbetalningar och betydelsen av breda ändamålsbestämmelser för att ge större utrymme och bättre förutsättningar för detta arbetssätt (Pensionsmyndighetens bidrag till att utveckla det brottsförebyggande arbetet, 2025, s. 11 och 24). I en delredovisning (S2026/00915) av Uppdrag att kraftsamla mot organiserad brottslighet i välfärden (S2025/01085) lyfter Försäkringskassan fram att Pensionsmyndigheten, Arbetsförmedlingen och Försäkringskassan saknar möjlighet att behandla personuppgifter för kontroll utanför ärendehanteringen och inte kan samla personuppgifter utan tydlig koppling till ett ärende (s. 3). Detta kan försvåra myndigheternas arbete mot felaktiga utbetalningar och missbruk av deras processer. I Riksrevisionens rapport RiR 2026:5 anges att Migrationsverkets urval av efterkontroller av arbetstillstånd skulle kunna bli mer träffsäkert om myndigheten utgick från fler riskindikatorer än i dag. Enligt rapporten begränsas möjligheterna att hitta och använda fler riskfaktorer av förutsättningarna för att lagra och hantera personuppgifter om arbetsgivare utanför ärendehandläggningen. Av rapporten framgår också att avsaknaden av tydligt lagstöd för Migrationsverket att lagra och hantera personuppgifter från arbetsgivare, försvårar myndighetens initiala kontroller av ansökningar om arbetstillstånd. Riksrevisionen pekar dessutom på att Migrationsverket behöver bättre rättsliga förutsättningar att lagra och hantera personuppgifter om ombud. I en hemställan från Migrationsverket till regeringen (Migrationsverkets hemställan om lagändringar i syfte att stärka Migrationsverkets kontrollverksamhet, Ju2025/01507) har myndigheten fört fram att den ser ett behov av tydligare och utökade möjligheter att kunna hantera data och information vid kontroller och analyser i flera olika sammanhang. Myndigheten bedömer att det förekommer olika slag av missbruk av dess prövningsprocesser och att förmågan att upptäcka och åtgärda missbruk begränsas av regler om personuppgiftsbehandling. Enligt hemställan tillgodoser nuvarande regler inte behovet av att behandla personuppgifter i syfte att vidta olika former av kontrollåtgärder. Riksrevisionen bedömer i sin rapport att de ändringar som begärs i hemställan är nödvändiga för att åtgärda Migrationsverkets effektivitetsbrister i systemstöden. Att myndigheters möjligheter att behandla personuppgifter inte är obegränsade är nödvändigt för att ett godtagbart skydd för den personliga integriteten ska kunna upprätthållas. Samtidigt behöver reglerna återspegla en rimlig balans mellan personlig integritet och andra intressen. Det är inte heller givet att alla begränsningar i registerförfattningar bidrar till stärkt personlig integritet. Den tekniska utvecklingen kan t.ex. innebära att det i dag är möjligt att behandla personuppgifter på sätt som var oförutsedda när en registerförfattning togs fram. Registerförfattningen kan i så fall begränsa möjligheten till personuppgiftsbehandling utan att några integritetsvinster görs. En utredning behövs Sammanfattningsvis är felaktiga utbetalningar och missbruk av myndigheters processer allvarliga samhällsproblem som behöver bekämpas. För att ett effektivt arbete ska kunna bedrivas behöver aktuell, korrekt och relevant information både vara tillgänglig för myndigheter och kunna användas i beslutsfattande och kontrollverksamhet. De åtgärder som behövs innebär många gånger att personuppgifter måste behandlas. Regler för sådan behandling kan hindra eller försvåra myndigheternas arbete. Med utgångspunkt i myndigheternas förutsättningar att bedriva ett effektivt arbete behöver dataskyddsregelverket därför ses över i en utredning. Inriktningen för uppdraget Som framgår ovan finns det behov av en översyn av dataskyddsregelverket för att möjliggöra för myndigheter att behandla personuppgifter för att motverka felaktiga utbetalningar av offentliga medel och missbruk av myndigheters processer. Utredningen ska omfatta personuppgiftsbehandling som sker inom tillämpningsområdet för såväl EU:s dataskyddsförordning som dataskyddsdirektivet. De förslag som utredaren lämnar ska återspegla en rimlig balans mellan skyddet för den personliga integriteten och intresset av ett effektivt arbete mot felaktiga utbetalningar och missbruk av myndigheters processer. Utredaren ska noga väga behovet av en mer ändamålsenlig personuppgifts-behandling mot den enskildes rätt till skydd för sin personliga integritet, med beaktande av de samhällsekonomiska konsekvenser som felaktiga utbetalningar och missbruk av myndigheters processer medför. Skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen och det lagkrav som gäller för begränsningar av skyddet ska särskilt beaktas. Regleringen av myndigheters personuppgiftsbehandling ser olika ut. Det gör också behoven av ändringar i regelverken. Vissa myndigheters registerförfattningar har exempelvis nyligen ersatts med nya författningar om personuppgiftsbehandling (se bl.a. prop. 2025/26:88, bet. 2025/26:SkU10 och rskr 2025/26:162). Ett viktigt underlag för översynen är en kartläggning av relevanta myndigheters behov av att behandla personuppgifter för att motverka felaktiga utbetalningar och missbruk av myndigheters processer. Myndigheternas behov kan till exempel avse att behandla personuppgifter från avslutade ärenden i ärendehandläggning eller kontrollverksamhet. Vissa myndigheter kan också ha behov av ett förbättrat rättsligt stöd att behandla personuppgifter i samband med uppföljning av offentliga kontrakt. För att upptäcka felaktigheter kan det även behöva göras systematiska kontroller och inte enbart kontroller utifrån tips. Det kan också handla om att använda dataanalyser och urval som verktyg för ett riskbaserat och effektivt kontrollarbete eller att personuppgifter kan behöva användas som träningsdata i dataanalyser eller vid utvecklandet av AI-modeller. Det kan därtill vara viktigt för myndigheter att behandla personuppgifter utan att det finns någon koppling till ett pågående ärende. Till exempel kan det handla om att omhänderta tips och säkerställa att dessa leder fram till en åtgärd även om ett ärende inte inleds hos myndigheten. Myndigheter kan också behöva behandla uppgifter om personer som inte är parter i ett ärende hos myndigheten. Vidare kan det finnas behov av att inhämta och behandla personuppgifter från andra myndigheter i samband med att en enskild fyller i en digital ansökan till myndigheten. Personuppgiftsbehandlingen kan då behöva utföras innan ansökan skickas in och ett nytt ärende öppnas. När en kartläggning av behoven har gjorts och brister i nuvarande regelverk identifierats är det möjligt att ta ställning till hur behoven ska tillgodoses och bristerna åtgärdas. Olika alternativ kan övervägas. En möjlighet kan vara att ändra i den generella dataskyddsregleringen, vilket skulle kunna innebära fördelar i form av att en gemensam lösning för flera myndigheter uppnås. Ett annat alternativ kan vara att myndigheternas uppgifter att motverka felaktiga utbetalningar och missbruk av myndigheters processer förtydligas i syfte att skapa en tydligare rättslig grund för den personuppgiftsbehandling som krävs. Om myndighetsspecifika registerförfattningar ställer upp hinder mot nödvändig personuppgiftsbehandling kan i stället dessa behöva ändras. En kombination av generella och myndighetsspecifika åtgärder kan också vara aktuell, allt utifrån vilken bedömning utredaren gör av hur ett eventuellt behov bäst kan tillgodoses. En grundläggande fråga är vilka myndigheter som ska omfattas av uppdraget. Den frågan får i första hand avgöras av vilka behov som framkommer i den kartläggning som utredaren ska göra. I uppdraget ingår alltså att identifiera vilka myndigheter som är i behov av förbättrade rättsliga möjligheter att behandla personuppgifter för att motverka felaktiga utbetalningar av offentliga medel och missbruk av myndigheters processer. Såväl statliga som kommunala myndigheter ska omfattas av utredarens kartläggning. Myndigheter som kan komma i fråga är sådana som i stor omfattning fattar beslut som innebär att offentliga medel kommer enskilda till del och där det finns risk att pengar går till fel mottagare. Det gäller exempelvis sådana myndigheter som beslutar om och betalar ut stöd, förmåner och ersättningar till privatpersoner, företag och andra juridiska personer. Även myndigheter som genomför beloppsmässigt omfattande upphandlingar eller i stor omfattning beställer välfärdstjänster bör ingå. Registerförande myndigheter, tillsyns- och inspektionsmyndigheter samt rättsvårdande myndigheter som har viktiga roller i arbetet mot felaktiga utbetalningar av offentliga medel bör omfattas av kartläggningen. Även myndigheter som meddelar tillståndsbeslut där det finns ett behov av att kontrollera att villkoren för besluten följs, eller att i efterhand kunna verifiera att ett beslut var korrekt när det fattades, kan behöva ingå. * Utredaren ska därför * kartlägga vilka myndigheter som är i behov av förbättrade rättsliga möjligheter att behandla personuppgifter i syfte att motverka felaktiga utbetalningar och missbruk av myndigheters processer, * utifrån kartläggningen analysera och ta ställning till vilka ändringar av dataskyddsregelverket som bör göras för att de identifierade myndigheternas behov ska tillgodoses på ett ändamålsenligt och effektivt sätt samtidigt som ett starkt skydd för den personliga integriteten upprätthålls, och * lämna nödvändiga författningsförslag. Uppdraget att analysera om reglerna för myndigheters personuppgifts-behandling bör förenklas Regleringen av myndigheters personuppgiftsbehandling är komplex och det behöver utredas om den bör förenklas Något som utmärker myndigheters personuppgiftsbehandling är att regleringen av den är utspridd i ett stort antal författningar. Regelspridningen beror framför allt på att den generella regleringen kompletteras av sektorsspecifika bestämmelser för vissa myndigheter i registerförfattningar. Tidigare har det ansetts att sådan kompletterande reglering behövs för att tillgodose skyddet för den personliga integriteten (se t.ex. prop. 1990/91:60 s. 56–59 och bet. 1990/91:KU11 s. 11). Sedan en lång tid tillbaka har det riktats kritik mot den författningsteknik som innebär att det generella dataskyddsregelverket kompletteras av registerförfattningar. Kritiken har tagit sikte på att regleringen är svåröverskådlig, alltför komplex och svår att tillämpa tillsammans med andra regelverk som styr myndigheters informationshantering. Som exempel kan nämnas att Integritetsskyddskommittén i sitt betänkande Skyddet för den personliga integriteten pekade på att registerförfattningarna reformerats utan någon egentlig samordning. Enligt kommittén har detta lett till oklarheter i tillämpningen och svårigheter att överblicka regelverket, vilket i sin tur innebär risk för integritetsförluster (SOU 2007:22 s. 461 och 462). Att det kan finnas ett generellt reformbehov i fråga om myndigheters personuppgiftsbehandling har också påtalats av Utredningen om förbättrade möjligheter till informationsbyte mellan myndigheter (SOU 2025:45 s. 215–218). Att det finns ett behov av en översyn av registerförfattningarna har lyfts fram i Integritetsskyddsmyndighetens rapport Integritet och ny teknik 2020–2024 (IMY-2024-2570). Enligt myndigheten kan en del av regleringen behöva läggas på lägre författningsnivå. Eftersom en förordning kan ändras inom betydligt kortare tidsramar än lag skulle det enligt myndigheten ge förutsättningar för ett mer snabbrörligt författningsarbete så att regleringen kan anpassas efter de behov som uppkommer. Sammantaget finns det enligt regeringen skäl att se över om regelverket för myndigheters personuppgiftsbehandling bör förenklas. Inriktningen för uppdraget Utredarens arbete ska primärt avse det första deluppdraget, dvs. förbättringar av möjligheterna att behandla personuppgifter för att motverka felaktiga utbetalningar och missbruk av myndigheters processer. Vid utförandet av det uppdraget är det dock rimligt att utredaren samtidigt överväger om regelförenklingar kan göras. I fråga om de myndigheter och den personuppgiftsreglering som aktualiseras i det första deluppdraget ska utredaren därför bedöma om förenklingar bör göras och hur det i så fall kan ske. Möjliga förenklingsåtgärder skulle t.ex. kunna vara att ändamålsbestämmelser breddas eller utmönstras, att fler dataskyddsregler meddelas på lägre författningsnivå eller att myndigheters personuppgiftsbehandling i större utsträckning tillåts vila direkt på det generella dataskyddsregelverket alternativt att registerförfattningar slås ihop och görs gemensamma för flera myndigheter. Frågan om förenklingar av dataskyddsregelverket är omfattande och komplex. Uppdraget behöver därför avgränsas, vilket bör ske på så sätt att endast de myndigheter och den reglering som aktualiseras i det första deluppdraget omfattas. Det är alltså i fråga om de myndigheter och den reglering som identifieras av utredaren i det första deluppdraget som regelförenklingar ska övervägas. Beroende på utredarens slutsatser i det första deluppdraget kan utredaren behöva göra ytterligare avgränsningar baserat på vad som ryms inom uppdragstiden. Utredaren ska noga väga behovet av en mer ändamålsenlig personuppgiftsbehandling och de samhällsekonomiska konsekvenser som felaktiga utbetalningar och missbruk av myndigheters processer medför, mot den enskildes rätt till skydd för sin personliga integritet. * Utredaren ska därför * i fråga om de myndigheter och den dataskyddsreglering som aktualiseras i det första deluppdraget bedöma behovet av regelförenklingar, * analysera och ta ställning till hur ett eventuellt behov kan tillgodoses på ett effektivt och ändamålsenligt sätt samtidigt som ett starkt skydd för den personliga integriteten upprätthålls, och * lämna nödvändiga författningsförslag. Närliggande frågor Utredaren är oförhindrad att ta upp sådana närliggande frågor som har samband med de frågeställningar som ska utredas, under förutsättning att uppdraget ändå bedöms kunna redovisas i tid. Konsekvensbeskrivningar Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) och förordningen (2024:183) om konsekvensutredningar redovisa förslagens effekter för den personliga integriteten. I detta ingår att bedöma och redovisa de eventuella ekonomiska konsekvenserna av förslagen för staten, företag och andra enskilda. Om eventuella förslag kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Förslag på författningsändringar ska föregås av en integritetsanalys. Utredaren ska genomgående ha ett jämställdhetsperspektiv i de analyser och konsekvensbeskrivningar som görs. Kontakter och redovisning av uppdraget Utredaren ska hålla sig informerad om och beakta relevant arbete som pågår inom Regeringskansliet och utredningsväsendet. Det bör särskilt nämnas att utredaren ska följa arbetet inom Regeringskansliet med beredningen av de förslag som lämnats i betänkandena Ett datalyft mot fel, fusk och frånvaro (SOU 2025:108) och Ny reglering för den arbetsmarknadspolitiska verksamheten (SOU 2025:74) samt lagrådsremissen Ytterligare steg mot ett ökat informationsutbyte mellan myndigheter. Utredaren ska också följa arbetet med den pågående utredningen om Polismyndighetens behandling av personuppgifter (dir. 2026:17). Under genomförandet av uppdraget ska utredaren också ha en dialog med och inhämta upplysningar från berörda myndigheter och aktörer i den utsträckning det bedöms lämpligt. Uppdraget ska redovisas senast den 1 mars 2028. (Justitiedepartementet)