Post 1 av 1 träffar
Föregående
·
Nästa
Förbättrade möjligheter att behandla personuppgifter för att motverka felaktiga utbetalningar och missbruk av myndigheters processer, Dir. 2026:70
Departement: Justitiedepartementet
Beslut: 2026-07-09
Dir. 2026:70
Kommittédirektiv
Förbättrade möjligheter att behandla personuppgifter för att
motverka felaktiga utbetalningar och missbruk av myndigheters
processer
Beslut vid regeringssammanträde den 9 juli 2026.
Sammanfattning
En särskild utredare ska överväga och föreslå förbättrade
möjligheter för myndigheter att behandla personuppgifter för
att motverka felaktiga utbetalningar av offentliga medel och
missbruk av myndigheters processer. I uppdraget ligger även
att överväga om reglerna för vissa myndigheters
personuppgiftsbehandling bör förenklas och föreslå hur
regelförenklingar i så fall kan åstadkommas. Syftet är att se
till att myndigheter kan motverka felaktiga utbetalningar och
missbruk av myndigheters processer på ett effektivt sätt
samtidigt som ett starkt skydd för den personliga integriteten
upprätthålls.
* Utredaren ska bl.a.
* kartlägga vilka myndigheter som är i behov av förbättrade
rättsliga möjligheter att behandla personuppgifter i syfte att
motverka felaktiga utbetalningar och missbruk av myndigheters
processer,
* utifrån kartläggningen analysera och ta ställning till vilka
ändringar av dataskyddsregelverket som bör göras för att de
identifierade myndigheternas behov ska tillgodoses på ett
ändamålsenligt och effektivt sätt samtidigt som ett starkt
skydd för den personliga integriteten upprätthålls, och
* lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 1 mars 2028.
Uppdraget att föreslå förbättrade möjligheter för myndigheter
att behandla personuppgifter i syfte att motverka felaktiga
utbetalningar och missbruk av myndigheters processer
Felaktiga utbetalningar och missbruk av myndigheters processer
är allvarliga samhällsproblem
Utbetalningar till enskilda står för en betydande del av den
offentliga sektorns utgifter. En given målsättning är att alla
utbetalningar ska vara korrekta och att offentliga medel ska
komma rätt personer och företag till del, oavsett var och hur
dessa medel betalas ut.
Inom flera sektorer av den offentliga verksamheten förekommer
det att offentliga medel hamnar hos fel mottagare. Inom olika
typer av offentliga stödsystem betalas varje år betydande
belopp ut felaktigt till privatpersoner, företag och
civilsamhälle. Offentliga medel kan också gå till oseriösa
företag som tillhandahåller välfärdstjänster eller som säljer
andra varor eller tjänster till det offentliga. Det kan till
exempel handla om företag som inte betalar skatter eller
följer arbetsrättsliga villkor och därigenom håller anbuden i
offentliga upphandlingar låga. Konkurrensen kan då snedvridas
och oseriösa företag få del av offentliga medel på bekostnad
av seriösa aktörer.
Att offentliga medel används felaktigt är ett problem oavsett
vem mottagaren är. Problemet är dock särskilt allvarligt när
offentliga medel finansierar kriminell verksamhet. I en
myndighetsgemensam lägesbild om organiserad brottslighet
bedöms att bidrag som betalas ut på felaktiga grunder är ett
mycket vanligt brott från aktörer inom organiserad
brottslighet. Enligt lägesbilden riskerar dessa bidrag att
finansiera annan grov brottslighet (Myndigheter i samverkan
mot den organiserade brottligheten 2024 s. 6). I den
nationella strategin mot organiserad brottlighet lyfts att
brott mot välfärden är en lukrativ inkomstkälla för den
organiserade brottligheten. Det handlar om att kriminella
aktörer på felaktiga grunder systematiskt tillskansar sig
bidrag och ersättningar men även att de själva driver
välfärdsverksamhet för att komma åt offentliga medel
(skr. 2023/24:67 s. 20).
Bedömningar som regeringen gjorde i budgetpropositionen för
2024 talar för att cirka 15–20 miljarder kronor betalas ut
felaktigt enbart från de statliga välfärdssystemen varje år
(prop. 2023/24:1 utg.omr. 2 avsnitt 8.4). Felaktiga
utbetalningar av offentliga medel från välfärdssystemen och
andra offentliga stödsystem innebär alltså allvarlig ekonomisk
skada för det allmänna och att mycket stora summor kommer fel
mottagare till del.
Tillit till det offentliga och till ett lands institutioner är
en av grundstenarna för ett välfungerande samhälle.
Grundläggande för medborgarnas tillit är att det allmänna
sköter sina åtaganden på ett effektivt och rättssäkert sätt.
En viktig beståndsdel i det allmännas åtagande är
välfärdssystemen. Missbruk och felaktigt nyttjande av
välfärdssystemen och andra offentliga stödsystem orsakar
därför inte bara betydande ekonomiska förluster för det
allmänna, utan gör också att systemen riskerar att tappa i
legitimitet. Om myndigheter inte kan arbeta för att motverka
ett sådant nyttjande kan det få konsekvenser för medborgarnas
förtroende för det allmänna. Med ett försämrat förtroende
riskerar tilltron till myndigheters förmåga att utföra sina
uppdrag att skadas.
Felaktiga utbetalningar och missbruk av myndigheters processer
förekommer i olika former
En felaktig utbetalning kan bero på att en enskild som ansöker
om ekonomiskt stöd medvetet eller omedvetet lämnar felaktiga
uppgifter till en beslutande myndighet. En felaktig
utbetalning kan även bero på agerande från tredje part.
Missbruk av myndigheters processer kan ske genom att en
myndighet förmås fatta ett beslut som är ett led i en kedja av
åtgärder som leder fram till att en felaktig utbetalning görs.
Missbruk av myndigheters processer kan också förekomma genom
upplägg som innebär att någon annan typ av förmånligt
myndighetsbeslut än en utbetalning utverkas på felaktiga
grunder, med allvarliga konsekvenser som följd.
I en rapport från Utbetalningsmyndigheten beskrivs att det
förekommer att en och samma person registreras under flera
identiteter. De olika identiteterna kan sedan användas för att
t.ex. ansöka om ekonomiskt bistånd hos kommunen,
äldreförsörjningsstöd hos Pensionsmyndigheten eller
etableringsersättning hos Försäkringskassan. Ett annat upplägg
som används av kriminella aktörer för att få tillstånd att
bedriva välfärdsverksamhet är att bulvaner, målvakter eller
personer under falsk identitet registreras som
styrelseledamöter i syfte att dölja vem som verkligen
kontrollerar företaget (Utbetalningsmyndighetens
kunskapsrapport 2025:1). Vidare kan tillstånd till enskilda,
t.ex. uppehålls- och arbetstillstånd, beviljas till någon som
egentligen inte uppfyller tillståndskriterierna. Ett tillstånd
kan även utverkas från en myndighet av någon som inte har för
avsikt att följa de villkor som tillståndet är förenat med.
Sådant missbruk kan i förlängningen leda till att personer som
egentligen saknar rätt att vistas i Sverige ändå kan göra det
och att personer får del av bosättningsbaserade förmåner utan
att vara berättigade till det (Myndighetsgemensam rapport om
organiserad brottslighet i välfärden 2026, s. 7). Utländsk
arbetskraft riskerar även att utnyttjas av oseriösa företag på
den svenska arbetsmarknaden. I en rapport från Riksrevisionen
(Migrationsverkets kontroller av arbetstillstånd – stor risk
för fel och missbruk, RiR 2026:5) beskrivs t.ex. att
Migrationsverkets brister i kontroller av
arbetstillståndsärenden riskerar att bidra till ökad
arbetskraftsexploatering, osund konkurrens och
arbetslivskriminalitet. Riksrevisionen konstaterar bl.a. att
det råder effektivitetsbrister i Migrationsverkets systemstöd
och att myndigheten inte har rättsliga förutsättningar att
lagra och sammanställa information om arbetsgivare utanför
ärendehandläggningen.
Sammanfattningsvis förekommer felaktiga utbetalningar och
missbruk av myndigheters processer i olika former. Många
gånger beror felaktiga utbetalningar och missbruk av
myndigheters processer på att felaktig eller ofullständig
information ligger till grund för ett myndighetsbeslut. Det
bristfälliga underlaget kan bero på att felaktiga uppgifter
har lämnats till myndigheten och att myndigheten saknar
förutsättningar att kontrollera uppgifternas riktighet. Det
kan också handla om att myndigheten saknar rättsligt stöd för
att använda information från avslutade ärenden när nya ärenden
handläggs eller kontroller av tidigare beslut genomförs.
Att motverka felaktiga utbetalningar av offentliga medel och
missbruk av myndigheters processer är angeläget. Regeringen
har genomfört flera viktiga reformer inom detta område men
problemets omfattning innebär att ytterligare åtgärder behöver
utredas.
För att motverka felaktiga utbetalningar och missbruk av
myndigheters processer behöver personuppgifter behandlas
Myndigheter behöver ha tillgång till aktuell, korrekt och
relevant information
Varje gång en myndighet fattar ett beslut i ett enskilt fall
görs detta på grundval av den information som finns i ärendet.
För att en myndighet ska kunna fatta rätt beslut behöver den
ha tillgång till och kunna använda uppgifter som är aktuella,
korrekta och relevanta. Att myndigheter har tillgång till
aktuell, korrekt och relevant information är också en
förutsättning för att de på ett effektivt sätt ska kunna
kontrollera att villkor i meddelade beslut följs och att
eventuella utbetalningar eller andra rättsverkningar som
följer av olika beslut är korrekta.
Korrekt beslutsfattande och ändamålsenlig kontroll förutsätter
att myndigheter har en väl fungerande dataförvaltning och
förmåga att dela och använda data på ett effektivt sätt.
Regeringen har vidtagit en rad åtgärder för att se till att
myndigheter har tillgång till nödvändig information.
Exempelvis trädde den 1 december 2025 en ny bestämmelse i
10 kap. 15 a § offentlighets- och sekretesslagen (2009:400),
OSL, i kraft. Med vissa undantag innebär bestämmelsen att
sekretess till skydd för enskilda inte hindrar att en uppgift
lämnas till en annan myndighet om det behövs bl.a. för att
förebygga eller förhindra att en ekonomisk förmån betalas ut
felaktigt eller för att förebygga, förhindra, upptäcka eller
utreda fusk och överträdelser av regler, villkor i beslut
eller avtal. Regeringen har dessutom lämnat förslag som syftar
till att ytterligare underlätta informationsutbytet genom att
bl.a. möjliggöra för myndigheter att på eget initiativ lämna
uppgifter som inte är sekretessbelagda till en annan myndighet
och i ett stort antal registerförfattningar tydliggöra att
personuppgifter får behandlas för uppgiftslämnande
(lagrådsremissen Ytterligare steg mot ett ökat
informationsutbyte mellan myndigheter). Efter regeringens
förslag har också andra lagstiftningsåtgärder vidtagits som
innebär att myndigheter i större utsträckning än tidigare kan
utbyta information i syfte att motverka felaktiga
utbetalningar (se t.ex. prop. 2023/24:85, bet. 2023/24:KU27,
rskr. 2023/24:195 och prop. 2024/25:187, bet. 2025/26:FiU12,
rskr. 2025/26:56). Dessutom träder en ny lag som syftar till
kostnadseffektiv datadelning inom den offentliga förvaltningen
i kraft den 15 augusti 2026 (prop. 2025/26:244, bet.
2025/26:TU18, rskr. 2025/26:379).
Införandet av 10 kap. 15 a § OSL kan, tillsammans med andra
åtgärder från regeringen, förväntas förbättra myndigheters
tillgång till aktuell, korrekt och relevant information som
kan användas för att motverka felaktiga utbetalningar och
missbruk av myndigheters processer. Att en uppgift är
tillgänglig inom en myndighet innebär dock inte nödvändigtvis
att den kan användas vid beslutsfattande eller i
kontrollverksamhet. Om informationen utgörs av personuppgifter
krävs att hanteringen är förenlig med de regler för dataskydd
som gäller i verksamheten.
Regler om personuppgiftsbehandling sätter gränser för
myndigheters informationshantering
En viktig begränsning av myndigheters informationshantering är
att den måste vara förenlig med regler till skydd för den
personliga integriteten. Sådana regler finns bl.a. i
regeringsformen, den europeiska konventionen angående skydd
för de mänskliga rättigheterna och de grundläggande friheterna
(artikel 8) och i Europeiska unionens stadga om de
grundläggande rättigheterna (artikel 7 och 8). Enligt 2 kap.
6 § andra stycket regeringsformen är var och en gentemot det
allmänna skyddad mot betydande intrång i den personliga
integriteten, om det sker utan samtycke och innebär
övervakning eller kartläggning av den enskildes personliga
förhållanden. Denna rätt kan under vissa förutsättningar
begränsas genom lag (2 kap. 20–22 och 25 §§ regeringsformen).
För personuppgiftsbehandling i allmänhet gäller
Europaparlamentets och rådets förordning (EU) 2016/679 av den
27 april 2016 om skydd för fysiska personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana
uppgifter och om upphävande av direktiv 95/46/EG (allmän
dataskyddsförordning), i det följande benämnd EU:s
dataskydds-förordning. EU:s dataskyddsförordning, som är
bindande och direkt tillämplig i EU:s medlemsländer,
innehåller generella regler om personuppgiftsbehandling. För
personuppgiftsbehandling som utförs av behöriga myndigheter i
syfte att bl.a. förebygga, förhindra eller upptäcka brottslig
verksamhet, utreda eller lagföra brott eller verkställa
straffrättsliga påföljder gäller i stället brottsdatalagen
(2018:1177), genom vilken Europaparlamentets och rådets
direktiv (EU) 2016/680 av den 27 april 2016 om skydd för
fysiska personer med avseende på behöriga myndigheters
behandling av personuppgifter för att förebygga, förhindra,
utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, och det fria flödet av sådana
uppgifter och om upphävande av rådets rambeslut 2008/977/RIF,
i det följande benämnd dataskyddsdirektivet, har genomförts.
För att personuppgiftsbehandling ska vara tillåten enligt EU:s
dataskydds-förordning krävs att den ryms inom någon av de
lagliga grunder för behandling som anges i artikel 6.1.
Personuppgiftsbehandling är bl.a. tillåten om den är nödvändig
för att fullgöra en rättslig förpliktelse som åvilar den
personuppgiftsansvarige (artikel 6.1 c) eller för att utföra
en uppgift av allmänt intresse eller som ett led i den
personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).
Dessa rättsliga grunder ska fastställas i enlighet med
unionsrätten eller nationell rätt, som i sin tur behöver vara
proportionerlig (artikel 6.3). Enligt skäl 41 i EU:s
dataskyddsförordning bör en rättslig grund vara tydlig och
precis och dess tillämpning förutsägbar för personer som
omfattas av den. Regeringen har tidigare uttalat att vilken
grad av tydlighet och precision som krävs i fråga om den
rättsliga grunden för att en viss behandling av
personuppgifter ska anses vara nödvändig måste bedömas från
fall till fall, utifrån behandlingens och verksamhetens
karaktär (prop. 2017/18:105 s. 51).
Regeringen har bedömt att alla uppgifter som riksdagen eller
regeringen gett i uppdrag åt statliga myndigheter att utföra
är av allmänt intresse (prop. 2017/18:105 s. 56). Många gånger
kan det alltså finnas en rättslig grund enligt EU:s
dataskyddsförordning för personuppgiftsbehandling som en
myndighet utför i syfte att motverka felaktiga utbetalningar
och missbruk av myndighetens processer, under förutsättning
att behandlingen är ett led i utförandet av dess uppgifter.
Enligt artikel 9.1 i EU:s dataskyddsförordning är behandling
av vissa kategorier av personuppgifter förbjuden. Det gäller
bl.a. uppgifter om hälsa och biometriska uppgifter. Undantag
från förbudet gäller bl.a. för behandling som är nödvändig av
hänsyn till ett viktigt allmänt intresse, förutsatt att vissa
ytterligare villkor är uppfyllda (artikel 9.2 g). Regeringen
har bedömt att det utgör ett viktigt allmänt intresse att
svenska myndigheter, även utanför området för
myndighetsutövning, kan bedriva den verksamhet som tydligt
faller inom ramen för deras befogenheter på ett korrekt,
rättssäkert och effektivt sätt (prop. 2017/18:105 s. 83).
Enligt EU:s dataskyddsförordning kan det därmed vara tillåtet
för myndigheter att behandla känsliga person-uppgifter för att
motverka felaktiga utbetalningar och missbruk av myndigheters
processer.
EU:s dataskyddsförordning tillåter och förutsätter ibland att
medlems-staterna kompletterar förordningen med nationell
reglering. Sådan reglering finns i lagen (2018:218) med
kompletterande bestämmelser till EU:s dataskyddsförordning. I
den lagen finns bl.a. bestämmelser om rättslig grund för
behandling av personuppgifter (2 kap.) och om behandling av
vissa kategorier av personuppgifter (3 kap.). Lagen
kompletteras i sin tur av förordningen (2018:219) med
kompletterande bestämmelser till EU:s dataskyddsförordning.
För myndigheternas del finns därutöver en lång rad
specialförfattningar, s.k. registerförfattningar, som reglerar
behandling av personuppgifter hos myndigheterna och som
kompletterar EU:s dataskyddsförordning, dataskyddslagen och
brottsdatalagen. Syftet med registerförfattningar är att
anpassa lagstiftningen efter de särskilda behov som finns inom
olika verksamhetsområden i den offentliga sektorn.
Registerförfattningarnas innehåll varierar. Det är dock
vanligt med bestämmelser om för vilka ändamål personuppgifter
får behandlas, sökbegränsningar och hur länge uppgifter får
sparas.
Registerförfattningar riskerar att i onödan försvåra eller
förhindra arbetet mot felaktiga utbetalningar och missbruk av
myndigheters processer
Ändamålsbestämmelser i registerförfattningar anger en ram inom
vilken personuppgifter får behandlas. En ändamålsbestämmelse
kan hindra en myndighet från att utföra en process eller vidta
en annan åtgärd med personuppgifter som myndigheten har
tillgång till. Även sådan behandling som hade varit tillåten
enligt den allmänna dataskyddsregleringen kan vara otillåten
enligt en registerförfattning, om behandlingen inte har stöd i
en ändamålsbestämmelse. En sådan bestämmelse kan därmed hindra
en myndighet från att vidta en åtgärd för att motverka
felaktiga utbetalningar och missbruk av myndigheters
processer, trots att den personuppgifts-behandling som
åtgärden innebär i och för sig hade varit förenlig med det
höga integritetsskydd som följer av EU:s dataskyddsförordning
eller brottsdatalagen.
Ett annat exempel på att en registerförfattning kan försvåra
arbetet mot felaktiga utbetalningar och missbruk av
myndigheters processer är att den kan begränsa möjligheterna
att behandla uppgifter från avslutade ärenden, t.ex. i syfte
att genomföra dataanalyser och urval som verktyg för ett
riskbaserat och effektivt kontrollarbete. En
registerförfattning kan dessutom vara utformad så att det
saknas ett tydligt rättsligt stöd för en viss typ av
personuppgiftsbehandling, vilket kan leda till att en
myndighet avstår från en åtgärd som den annars hade kunnat
vidta.
Att registerförfattningar hindrar eller försvårar arbetet mot
felaktiga utbetalningar och missbruk av myndigheters processer
har uppmärksammats i olika sammanhang. I den nationella
strategin mot organiserad brottslighet anges att det på flera
olika håll förts fram att nuvarande regelverk inte ger
förutsättningar att behandla information i den omfattning som
krävs och att det bl.a. handlar om att det dataskyddsrättsliga
regelverket behöver ses över och anpassas (skr. 2023/24:67
s. 34). Inom den myndighetsgemensamma satsningen mot den
organiserade brottsligheten framhålls det informations- och
datadrivna arbetssättet. I årsrapporten för 2025 anges att
tillgången till information och data är ett av myndigheternas
största övertag gentemot den organiserade brottsligheten, och
att både stärkta förmågor att dela och analysera data samt
bättre förutsättningar – såsom rättsliga förutsättningar –
behövs för ett sådant arbetssätt (Myndigheter i samverkan mot
den organiserade brottsligheten 2025, s. 16 och 49).
Pensionsmyndigheten framhåller också vikten av ett datadrivet
arbete mot felaktiga utbetalningar och betydelsen av breda
ändamålsbestämmelser för att ge större utrymme och bättre
förutsättningar för detta arbetssätt (Pensionsmyndighetens
bidrag till att utveckla det brottsförebyggande arbetet, 2025,
s. 11 och 24).
I en delredovisning (S2026/00915) av Uppdrag att kraftsamla
mot organiserad brottslighet i välfärden (S2025/01085) lyfter
Försäkringskassan fram att Pensionsmyndigheten,
Arbetsförmedlingen och Försäkringskassan saknar möjlighet att
behandla personuppgifter för kontroll utanför
ärendehanteringen och inte kan samla personuppgifter utan
tydlig koppling till ett ärende (s. 3). Detta kan försvåra
myndigheternas arbete mot felaktiga utbetalningar och missbruk
av deras processer.
I Riksrevisionens rapport RiR 2026:5 anges att
Migrationsverkets urval av efterkontroller av arbetstillstånd
skulle kunna bli mer träffsäkert om myndigheten utgick från
fler riskindikatorer än i dag. Enligt rapporten begränsas
möjligheterna att hitta och använda fler riskfaktorer av
förutsättningarna för att lagra och hantera personuppgifter om
arbetsgivare utanför ärendehandläggningen. Av rapporten
framgår också att avsaknaden av tydligt lagstöd för
Migrationsverket att lagra och hantera personuppgifter från
arbetsgivare, försvårar myndighetens initiala kontroller av
ansökningar om arbetstillstånd. Riksrevisionen pekar dessutom
på att Migrationsverket behöver bättre rättsliga
förutsättningar att lagra och hantera personuppgifter om ombud.
I en hemställan från Migrationsverket till regeringen
(Migrationsverkets hemställan om lagändringar i syfte att
stärka Migrationsverkets kontrollverksamhet, Ju2025/01507) har
myndigheten fört fram att den ser ett behov av tydligare och
utökade möjligheter att kunna hantera data och information vid
kontroller och analyser i flera olika sammanhang. Myndigheten
bedömer att det förekommer olika slag av missbruk av dess
prövningsprocesser och att förmågan att upptäcka och åtgärda
missbruk begränsas av regler om personuppgiftsbehandling.
Enligt hemställan tillgodoser nuvarande regler inte behovet av
att behandla personuppgifter i syfte att vidta olika former av
kontrollåtgärder. Riksrevisionen bedömer i sin rapport att de
ändringar som begärs i hemställan är nödvändiga för att
åtgärda Migrationsverkets effektivitetsbrister i systemstöden.
Att myndigheters möjligheter att behandla personuppgifter inte
är obegränsade är nödvändigt för att ett godtagbart skydd för
den personliga integriteten ska kunna upprätthållas. Samtidigt
behöver reglerna återspegla en rimlig balans mellan personlig
integritet och andra intressen. Det är inte heller givet att
alla begränsningar i registerförfattningar bidrar till stärkt
personlig integritet. Den tekniska utvecklingen kan t.ex.
innebära att det i dag är möjligt att behandla personuppgifter
på sätt som var oförutsedda när en registerförfattning togs
fram. Registerförfattningen kan i så fall begränsa möjligheten
till personuppgiftsbehandling utan att några
integritetsvinster görs.
En utredning behövs
Sammanfattningsvis är felaktiga utbetalningar och missbruk av
myndigheters processer allvarliga samhällsproblem som behöver
bekämpas. För att ett effektivt arbete ska kunna bedrivas
behöver aktuell, korrekt och relevant information både vara
tillgänglig för myndigheter och kunna användas i
beslutsfattande och kontrollverksamhet. De åtgärder som behövs
innebär många gånger att personuppgifter måste behandlas.
Regler för sådan behandling kan hindra eller försvåra
myndigheternas arbete. Med utgångspunkt i myndigheternas
förutsättningar att bedriva ett effektivt arbete behöver
dataskyddsregelverket därför ses över i en utredning.
Inriktningen för uppdraget
Som framgår ovan finns det behov av en översyn av
dataskyddsregelverket för att möjliggöra för myndigheter att
behandla personuppgifter för att motverka felaktiga
utbetalningar av offentliga medel och missbruk av myndigheters
processer. Utredningen ska omfatta personuppgiftsbehandling
som sker inom tillämpningsområdet för såväl EU:s
dataskyddsförordning som dataskyddsdirektivet.
De förslag som utredaren lämnar ska återspegla en rimlig
balans mellan skyddet för den personliga integriteten och
intresset av ett effektivt arbete mot felaktiga utbetalningar
och missbruk av myndigheters processer. Utredaren ska noga
väga behovet av en mer ändamålsenlig personuppgifts-behandling
mot den enskildes rätt till skydd för sin personliga
integritet, med beaktande av de samhällsekonomiska
konsekvenser som felaktiga utbetalningar och missbruk av
myndigheters processer medför. Skyddet mot betydande intrång i
den personliga integriteten i 2 kap. 6 § andra stycket
regeringsformen och det lagkrav som gäller för begränsningar
av skyddet ska särskilt beaktas.
Regleringen av myndigheters personuppgiftsbehandling ser olika
ut. Det gör också behoven av ändringar i regelverken. Vissa
myndigheters registerförfattningar har exempelvis nyligen
ersatts med nya författningar om personuppgiftsbehandling (se
bl.a. prop. 2025/26:88, bet. 2025/26:SkU10 och rskr
2025/26:162). Ett viktigt underlag för översynen är en
kartläggning av relevanta myndigheters behov av att behandla
personuppgifter för att motverka felaktiga utbetalningar och
missbruk av myndigheters processer. Myndigheternas behov kan
till exempel avse att behandla personuppgifter från avslutade
ärenden i ärendehandläggning eller kontrollverksamhet. Vissa
myndigheter kan också ha behov av ett förbättrat rättsligt
stöd att behandla personuppgifter i samband med uppföljning av
offentliga kontrakt. För att upptäcka felaktigheter kan det
även behöva göras systematiska kontroller och inte enbart
kontroller utifrån tips. Det kan också handla om att använda
dataanalyser och urval som verktyg för ett riskbaserat och
effektivt kontrollarbete eller att personuppgifter kan behöva
användas som träningsdata i dataanalyser eller vid
utvecklandet av AI-modeller. Det kan därtill vara viktigt för
myndigheter att behandla personuppgifter utan att det finns
någon koppling till ett pågående ärende. Till exempel kan det
handla om att omhänderta tips och säkerställa att dessa leder
fram till en åtgärd även om ett ärende inte inleds hos
myndigheten. Myndigheter kan också behöva behandla uppgifter
om personer som inte är parter i ett ärende hos myndigheten.
Vidare kan det finnas behov av att inhämta och behandla
personuppgifter från andra myndigheter i samband med att en
enskild fyller i en digital ansökan till myndigheten.
Personuppgiftsbehandlingen kan då behöva utföras innan ansökan
skickas in och ett nytt ärende öppnas.
När en kartläggning av behoven har gjorts och brister i
nuvarande regelverk identifierats är det möjligt att ta
ställning till hur behoven ska tillgodoses och bristerna
åtgärdas. Olika alternativ kan övervägas. En möjlighet kan
vara att ändra i den generella dataskyddsregleringen, vilket
skulle kunna innebära fördelar i form av att en gemensam
lösning för flera myndigheter uppnås. Ett annat alternativ kan
vara att myndigheternas uppgifter att motverka felaktiga
utbetalningar och missbruk av myndigheters processer
förtydligas i syfte att skapa en tydligare rättslig grund för
den personuppgiftsbehandling som krävs. Om myndighetsspecifika
registerförfattningar ställer upp hinder mot nödvändig
personuppgiftsbehandling kan i stället dessa behöva ändras. En
kombination av generella och myndighetsspecifika åtgärder kan
också vara aktuell, allt utifrån vilken bedömning utredaren
gör av hur ett eventuellt behov bäst kan tillgodoses.
En grundläggande fråga är vilka myndigheter som ska omfattas
av uppdraget. Den frågan får i första hand avgöras av vilka
behov som framkommer i den kartläggning som utredaren ska
göra. I uppdraget ingår alltså att identifiera vilka
myndigheter som är i behov av förbättrade rättsliga
möjligheter att behandla personuppgifter för att motverka
felaktiga utbetalningar av offentliga medel och missbruk av
myndigheters processer.
Såväl statliga som kommunala myndigheter ska omfattas av
utredarens kartläggning. Myndigheter som kan komma i fråga är
sådana som i stor omfattning fattar beslut som innebär att
offentliga medel kommer enskilda till del och där det finns
risk att pengar går till fel mottagare. Det gäller exempelvis
sådana myndigheter som beslutar om och betalar ut stöd,
förmåner och ersättningar till privatpersoner, företag och
andra juridiska personer. Även myndigheter som genomför
beloppsmässigt omfattande upphandlingar eller i stor
omfattning beställer välfärdstjänster bör ingå.
Registerförande myndigheter, tillsyns- och
inspektionsmyndigheter samt rättsvårdande myndigheter som har
viktiga roller i arbetet mot felaktiga utbetalningar av
offentliga medel bör omfattas av kartläggningen. Även
myndigheter som meddelar tillståndsbeslut där det finns ett
behov av att kontrollera att villkoren för besluten följs,
eller att i efterhand kunna verifiera att ett beslut var
korrekt när det fattades, kan behöva ingå.
* Utredaren ska därför
* kartlägga vilka myndigheter som är i behov av förbättrade
rättsliga möjligheter att behandla personuppgifter i syfte att
motverka felaktiga utbetalningar och missbruk av myndigheters
processer,
* utifrån kartläggningen analysera och ta ställning till vilka
ändringar av dataskyddsregelverket som bör göras för att de
identifierade myndigheternas behov ska tillgodoses på ett
ändamålsenligt och effektivt sätt samtidigt som ett starkt
skydd för den personliga integriteten upprätthålls, och
* lämna nödvändiga författningsförslag.
Uppdraget att analysera om reglerna för myndigheters
personuppgifts-behandling bör förenklas
Regleringen av myndigheters personuppgiftsbehandling är
komplex och det behöver utredas om den bör förenklas
Något som utmärker myndigheters personuppgiftsbehandling är
att regleringen av den är utspridd i ett stort antal
författningar. Regelspridningen beror framför allt på att den
generella regleringen kompletteras av sektorsspecifika
bestämmelser för vissa myndigheter i registerförfattningar.
Tidigare har det ansetts att sådan kompletterande reglering
behövs för att tillgodose skyddet för den personliga
integriteten (se t.ex. prop. 1990/91:60 s. 56–59 och bet.
1990/91:KU11 s. 11).
Sedan en lång tid tillbaka har det riktats kritik mot den
författningsteknik som innebär att det generella
dataskyddsregelverket kompletteras av registerförfattningar.
Kritiken har tagit sikte på att regleringen är
svåröverskådlig, alltför komplex och svår att tillämpa
tillsammans med andra regelverk som styr myndigheters
informationshantering. Som exempel kan nämnas att
Integritetsskyddskommittén i sitt betänkande Skyddet för den
personliga integriteten pekade på att registerförfattningarna
reformerats utan någon egentlig samordning. Enligt kommittén
har detta lett till oklarheter i tillämpningen och svårigheter
att överblicka regelverket, vilket i sin tur innebär risk för
integritetsförluster (SOU 2007:22 s. 461 och 462). Att det kan
finnas ett generellt reformbehov i fråga om myndigheters
personuppgiftsbehandling har också påtalats av Utredningen om
förbättrade möjligheter till informationsbyte mellan
myndigheter (SOU 2025:45 s. 215–218).
Att det finns ett behov av en översyn av
registerförfattningarna har lyfts fram i
Integritetsskyddsmyndighetens rapport Integritet och ny teknik
2020–2024 (IMY-2024-2570). Enligt myndigheten kan en del av
regleringen behöva läggas på lägre författningsnivå. Eftersom
en förordning kan ändras inom betydligt kortare tidsramar än
lag skulle det enligt myndigheten ge förutsättningar för ett
mer snabbrörligt författningsarbete så att regleringen kan
anpassas efter de behov som uppkommer.
Sammantaget finns det enligt regeringen skäl att se över om
regelverket för myndigheters personuppgiftsbehandling bör
förenklas.
Inriktningen för uppdraget
Utredarens arbete ska primärt avse det första deluppdraget,
dvs. förbättringar av möjligheterna att behandla
personuppgifter för att motverka felaktiga utbetalningar och
missbruk av myndigheters processer. Vid utförandet av det
uppdraget är det dock rimligt att utredaren samtidigt
överväger om regelförenklingar kan göras. I fråga om de
myndigheter och den personuppgiftsreglering som aktualiseras i
det första deluppdraget ska utredaren därför bedöma om
förenklingar bör göras och hur det i så fall kan ske. Möjliga
förenklingsåtgärder skulle t.ex. kunna vara att
ändamålsbestämmelser breddas eller utmönstras, att fler
dataskyddsregler meddelas på lägre författningsnivå eller att
myndigheters personuppgiftsbehandling i större utsträckning
tillåts vila direkt på det generella dataskyddsregelverket
alternativt att registerförfattningar slås ihop och görs
gemensamma för flera myndigheter.
Frågan om förenklingar av dataskyddsregelverket är omfattande
och komplex. Uppdraget behöver därför avgränsas, vilket bör
ske på så sätt att endast de myndigheter och den reglering som
aktualiseras i det första deluppdraget omfattas. Det är alltså
i fråga om de myndigheter och den reglering som identifieras
av utredaren i det första deluppdraget som regelförenklingar
ska övervägas. Beroende på utredarens slutsatser i det första
deluppdraget kan utredaren behöva göra ytterligare
avgränsningar baserat på vad som ryms inom uppdragstiden.
Utredaren ska noga väga behovet av en mer ändamålsenlig
personuppgiftsbehandling och de samhällsekonomiska
konsekvenser som felaktiga utbetalningar och missbruk av
myndigheters processer medför, mot den enskildes rätt till
skydd för sin personliga integritet.
* Utredaren ska därför
* i fråga om de myndigheter och den dataskyddsreglering som
aktualiseras i det första deluppdraget bedöma behovet av
regelförenklingar,
* analysera och ta ställning till hur ett eventuellt behov kan
tillgodoses på ett effektivt och ändamålsenligt sätt samtidigt
som ett starkt skydd för den personliga integriteten
upprätthålls, och
* lämna nödvändiga författningsförslag.
Närliggande frågor
Utredaren är oförhindrad att ta upp sådana närliggande frågor
som har samband med de frågeställningar som ska utredas, under
förutsättning att uppdraget ändå bedöms kunna redovisas i tid.
Konsekvensbeskrivningar
Utredaren ska utöver vad som följer av kommittéförordningen
(1998:1474) och förordningen (2024:183) om
konsekvensutredningar redovisa förslagens effekter för den
personliga integriteten. I detta ingår att bedöma och redovisa
de eventuella ekonomiska konsekvenserna av förslagen för
staten, företag och andra enskilda. Om eventuella förslag kan
förväntas leda till kostnadsökningar för det allmänna ska
utredaren föreslå hur dessa ska finansieras. Förslag på
författningsändringar ska föregås av en integritetsanalys.
Utredaren ska genomgående ha ett jämställdhetsperspektiv i de
analyser och konsekvensbeskrivningar som görs.
Kontakter och redovisning av uppdraget
Utredaren ska hålla sig informerad om och beakta relevant
arbete som pågår inom Regeringskansliet och
utredningsväsendet. Det bör särskilt nämnas att utredaren ska
följa arbetet inom Regeringskansliet med beredningen av de
förslag som lämnats i betänkandena Ett datalyft mot fel, fusk
och frånvaro (SOU 2025:108) och Ny reglering för den
arbetsmarknadspolitiska verksamheten (SOU 2025:74) samt
lagrådsremissen Ytterligare steg mot ett ökat
informationsutbyte mellan myndigheter. Utredaren ska också
följa arbetet med den pågående utredningen om
Polismyndighetens behandling av personuppgifter (dir.
2026:17). Under genomförandet av uppdraget ska utredaren också
ha en dialog med och inhämta upplysningar från berörda
myndigheter och aktörer i den utsträckning det bedöms lämpligt.
Uppdraget ska redovisas senast den 1 mars 2028.
(Justitiedepartementet)