Dir. 2024:36

En modern dataskyddsreglering för Centrala studiestödsnämnden

Kommittédirektiv

En modern dataskyddsreglering för Centrala studiestödsnämnden Beslut vid regeringssammanträde den 27 mars 2024

Sammanfattning

En särskild utredare ska göra en allmän översyn av Centrala studiestödsnämndens (CSN) registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov.

Utredaren ska bl.a.

  • analysera behovet av ändringar i CSN:s registerförfattningar för att för-

bättra myndighetens förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,

  • överväga och ta ställning till om det finns utrymme för en minskad

detaljreglering jämfört med i dag,

  • analysera och bedöma behovet av en förändrad struktur och termino-

logi, t.ex. genom att använda ett modernare språk och enhetliga begrepp i förhållande till främst annan dataskyddsreglering,

  • föreslå hur CSN:s registerförfattningar kan utformas för att vara flexibla

och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen samtidigt som den enskildes personliga integritet värnas, och

  • lämna nödvändiga författningsförslag.

Uppdraget ska redovisas senast den 31 december 2024.

2 (17)

Uppdraget att ge CSN bättre förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott

CSN administrerar studiestöd och andra stöd till enskilda …

Centrala studiestödsnämnden (CSN) har enligt förordningen (2017:114) med instruktion för Centrala studiestödsnämnden bl.a. till uppgift att administrera studiestöd och andra stöd till enskilda som enligt lag eller förordning ska hanteras av myndigheten. Under 2023 betalade CSN ut cirka 48,8 miljarder kronor i studiestöd till cirka en miljon stödtagare. Myndigheten ska även säkerställa att de lån som myndigheten administrerar betalas tillbaka. Antalet personer som har lån från CSN uppgår för närvarande till cirka 1,8 miljoner.

Vidare ansvarar CSN för att följa och analysera de studerandes sociala och ekonomiska situation och för att föra statistik över studiestödsområdet. Myndigheten har även i uppdrag att motverka bidragsbrott och säkerställa att felaktiga utbetalningar inte görs. Enligt CSN:s regleringsbrev för 2024 ska myndigheten bidra till det övergripande målet om minskade felaktiga utbetalningar från välfärdssystemen. Myndigheten redovisar i årsredovisningen måluppfyllelsen och genomförda insatser för att uppnå målet.

… och omfattas av generell och myndighetsspecifik dataskyddsreglering …

Var och en är enligt regeringsformen (RF) skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket). Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap. 20–22 §§ RF.

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad EU:s dataskyddsförordning, utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är i alla delar bindande och direkt tillämplig i samtliga EU:s medlemsländer, men tillåter och förutsätter ibland att medlemsstaterna kompletterar förordningen med nationell lagstiftning. EU:s dataskyddsförordning kompletteras i Sverige av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskydds-

3 (17)

lagen). Dataskyddslagen är subsidiär till andra lagar och förordningar, vilket möjliggör avvikande bestämmelser i särskilda registerförfattningar.

För CSN:s behandling av personuppgifter finns bestämmelser i studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321). Författningarna tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 § studiestödsdatalagen och 1 § studiestödsdataförordningen). Hos CSN förekommer också viss personuppgiftsbehandling som inte omfattas av studiestödsdatalagen och studiestödsdataförordningen utan sker enbart med stöd av den generella dataskyddsregleringen i EU:s dataskyddsförordning och dataskyddslagen.

… men behöver bättre verktyg för att kunna förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott

Att bekämpa välfärdsbrottsligheten och motverka felaktiga utbetalningar är avgörande för att bibehålla förtroendet för våra gemensamma trygghetssystem och för att säkerställa att stöd och bidrag endast går till de individer som har rätt till dem. Bidragsbrott och felaktigt utbetald ersättning skadar tilltron till och legitimiteten för välfärdssystemen inklusive studiestödssystemet.

Ekonomistyrningsverket (ESV) bedömer att under 2021 var cirka 2 procent av utbetalningarna av olika förmåner och stöd till enskilda personer felaktiga. Detta innebär felaktiga utbetalningar om cirka 14,6 miljarder kronor. ESV uppskattar att de sökande orsakade cirka 90 procent av de felaktigt utbetalade medlen. Drygt hälften av dessa fel bedöms vara avsiktliga. I budgetpropositionen för 2024 bedömde regeringen att cirka 15–20 miljarder kronor betalas ut felaktigt från välfärdssystemen varje år.

Den nya Utbetalningsmyndigheten, som har inrättats från och med den 1 januari 2024, ska bl.a. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen och ansvara för att administrera ett system med transaktionskonto för vissa sådana utbetalningar, däribland utbetalningar från CSN. Utbetalningsmyndighetens verksamhet innebär inte att de beslutande myndigheternas kontrollarbete ska minska (prop.

4 (17)

2022/23:34 s. 48). Inrättandet av Utbetalningsmyndigheten minskar således inte CSN:s behov av att utföra kontroller.

En viktig del i kampen mot organiserad brottslighet är att myndigheter samverkar och kan utbyta information med varandra. Sedan 2016 gäller lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Lagens syfte är att underlätta informationsutbytet mellan myndigheter som samverkar för att förebygga, förhindra eller upptäcka viss organiserad brottslighet på underrättelsestadiet. CSN är en myndighet som är skyldig att lämna uppgifter enligt lagen (2 § förordningen [2016:775] om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet). Vidare omfattas CSN av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen och av anmälningsskyldigheten i 6 § bidragsbrottslagen (2007:612).

Ett effektivt informationsutbyte kan leda till att myndigheterna upptäcker bidragsbrott och kan förebygga, förhindra och upptäcka att felaktiga utbetalningar görs från välfärdssystemen. Regeringen har därför tagit flera olika lagstiftningsinitiativ som syftar till att förbättra möjligheterna till informationsutbyte, bl.a. för det brottsbekämpande arbetet. Exempelvis beslutade regeringen den 14 mars 2024 propositionen En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet (prop. 2023/24:85). Förslagen i propostionen syftar bl.a. till att ge vissa statliga myndigheter, däribland CSN, samt kommuner och arbetslöshetskassor tillgång till uppgifter som behövs för att säkerställa korrekta beslutsunderlag för att motverka felaktiga utbetalningar från välfärdssystemen. I betänkandet Ökat informationsflöde till brottsbekämpningen (SOU 2023:69) lämnas också förslag på en ny lag med skyldighet för ett antal myndigheter, däribland CSN, att lämna uppgifter till de brottsbekämpande myndigheterna. Förslagen bereds i Regeringskansliet.

Regeringen har även gett en särskild utredare i uppdrag att överväga och föreslå förbättrade möjligheter att utbyta information mellan myndigheter. Syftet är att information ska kunna utbytas i den utsträckning som det behövs för att myndigheterna bl.a. ska kunna förhindra, förebygga, upptäcka, utreda och ingripa mot fusk, felaktiga utbetalningar, regelöverträdelser och brottslighet så effektivt som möjligt, utan att det medför ett oproportionerligt intrång i den personliga integriteten (dir. 2023:146). I uppdraget ingår

5 (17)

även att göra en översyn, i den utsträckning det behövs, av myndigheternas registerförfattningar, för att möjliggöra att de förslag som lämnas tjänar sitt syfte och kan tillämpas på ett ändamålsenligt sätt, och att lämna nödvändiga författningsförslag. Studiestödsdatalagen är en av de registerförfattningar som anges som exempel för en sådan översyn.

Fokus för Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter (Ju 2023:22) är utbytet av information mellan myndigheter. Härutöver kan det även finnas anledning att, i den utsträckning det inte faller inom ramen för den utredningen, se över CSN:s möjligheter att behandla personuppgifter för att ge myndigheten förutsättningar att arbeta effektivt mot felaktiga utbetalningar och bidragsbrott. Det kan t.ex. röra sig om att se över bestämmelser om tillåtna ändamål, sökbegränsningar och gallring.

Vidare har den tekniska utvecklingen skapat nya möjligheter för myndigheterna att utföra dataanalyser och urval för att kunna koncentrera sin kontroll mot områden med hög risk för fel och fusk och där bästa möjliga effekt kan uppnås. Dessa frågor kräver överväganden där myndighetens behov av att behandla personuppgifter noggrant vägs mot den enskildes rätt till skydd för sin personliga integritet.

För att ge CSN förutsättningar att arbeta mer effektivt mot felaktiga utbetalningar och bidragsbrott behöver den aktuella dataskyddslagstiftningen inom studiestödsområdet moderniseras och verktygen för att utveckla effektiva kontroller stärkas.

Utredaren ska därför

  • analysera behovet av ändringar i CSN:s registerförfattningar för att

förbättra myndighetens förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott, och

  • lämna nödvändiga författningsförslag.

Inom ramen för denna översyn ska bl.a. följande frågor utredas.

Behov av ändrade ändamåls- och sekretessbestämmelser i syfte att stärka myndighetens möjlighet till informationsutbyte och kontroller

Studiestödsdatalagen innehåller bestämmelser om för vilka ändamål personuppgifter får behandlas i CSN:s studiestödsverksamhet (4 och 4 a §§). I dag

6 (17)

får personuppgifter behandlas i CSN:s studiestödsverksamhet om det behövs för att handlägga ärenden i den verksamheten, administrera handläggningen, förbereda handläggningen, informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, ta fram och distribuera bevis om studiestöd för studier till studerande och anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna.

Personuppgifter som behandlas för något av ovan nämnda primära ändamål får även behandlas för vissa sekundära ändamål genom att lämnas ut till den registrerade själv, till riksdagen och till regeringen. Personuppgifterna får också behandlas genom att lämnas ut till andra om en sådan skyldighet är föreskriven i lag eller förordning. Personuppgifter som behandlas enligt de primära ändamålen och som inte direkt pekar ut den registrerade får dessutom behandlas för att ge tillgång till vägledande avgöranden. Personuppgifter som behandlas för de i lagen angivna ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen).

Mot bakgrund av flera lagstiftningsinitiativ som syftar till att underlätta informationsutbytet mellan myndigheter bör det ses över om det finns ett behov av utökat författningsstöd för CSN:s personuppgiftsbehandling. CSN har bl.a. framfört att det finns ett sådant behov med anledning av förslagen i betänkandet Ökat informationsflöde till brottsbekämpningen – En ny huvudregel (SOU 2023:69), se CSN:s remissvar i ärendet (Ju2023/02434).

För att möjliggöra sådan personuppgiftsbehandling som kan komma att krävas med anledning av vissa förslag i betänkandet Ett stärkt och samlat skydd av välfärdssystemen (SOU 2023:52) kan det enligt CSN också behövas en anpassning av ändamålsbestämmelserna i CSN:s registerförfattningar (CSN:s remissvar i ärendet, S2023/02576). Detsamma gäller personuppgiftsbehandling till följd av de förslag som lämnas i lagrådsremissen En ny lag om uppgiftsskyldighet för att motverka felaktiga ubetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet (Fi2024/00239). CSN har även framfört att det finns behov av ett bättre författningsstöd för att kunna följa upp bidragsbrott (En modern dataskyddsreglering för Centrala studiestödsnämnden [U2024/00322]

)

.

7 (17)

CSN har vidare framfört ett behov av författningsstöd i form av ändamålsbestämmelser i studiestödsdatalagen för att kunna ta emot och behandla personuppgifter som lämnas i samverkan enligt lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. CSN har även i remissvar till Utredningen för inrättandet av Utbetalningsmyndigheten (Fi 2022:01) lämnat vissa författningsförslag i syfte att möjliggöra att CSN kan behandla personuppgifter i studiestödsverksamheten för ändamålen att ta emot och hantera underrättelser som myndigheten mottar från Utbetalningsmyndigheten i dess arbete med granskning av utbetalningar.

CSN har vidare framfört behov av att kunna behandla personuppgifter om personer som ännu inte förekommer i ett ärende hos CSN, t.ex. genom att ta emot tips från andra myndigheter om personer som i nära framtid kan komma att lämna in en ansökan om studiemedel till CSN men som inte har för avsikt att studera. Detta behov har exempelvis lyfts av CSN i anslutning till departementspromemorian Utökat informationsutbyte (Ds 2022:13). I den utsträckning denna fråga inte behandlas vidare av Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter inom ramen för dir. 2023:146, kan det finnas anledning att se över CSN:s möjligheter att behandla personuppgifter för att ge myndigheten förutsättningar att arbeta effektivt mot felaktiga utbetalningar och bidragsbrott.

För att utföra uppdraget att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott behöver CSN arbeta med flera olika åtgärder och rikta insatserna dit där de gör störst nytta. Det handlar om både förebyggande och upptäckande åtgärder i syfte att minska risken för felaktiga beslut och utbetalningar. I betänkandet Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra (SOU 2017:37) bedömer Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden att kontroll är det mest ändamålsenliga verktyget för att motverka avsiktliga felaktiga utbetalningar och att en väl avvägd och ändamålsenlig kontroll hos myndigheterna dessutom har en viktig brottsförebyggande funktion.

I syfte att upptäcka och förhindra felaktiga utbetalningar och därmed sammanhängande brottslighet utför CSN dataanalyser och urval. Dagens registerlagstiftning för CSN är till stora delar kopplad till ärendehantering. För att utveckla effektiva urvalsmodeller för kontroll som bygger på dataanalyser ser dock CSN behov av att behandla personuppgifter för kontrolländamål utan koppling till ett enskilt ärende.

8 (17)

Mot denna bakgrund framstår studiestödsdatalagens ändamålsbestämmelser i dag som för snävt formulerade och de inskränker CSN:s möjligheter att effektivt fullfölja sitt uppdrag. För att möjliggöra detta och säkerställa att ändamålsbestämmelserna är anpassade till den tekniska utvecklingen kan det finnas ett behov av en utvidgad ändamålsreglering jämfört med i dag.

Det finns även skäl att överväga om ändamålsregleringen kan vara bredare formulerad och därmed mindre detaljerad, vilket skulle ge CSN ett större utrymme att behandla personuppgifter för de ändamål som myndighetens uppdrag förutsätter. Sådana ändamålsbestämmelser kräver en grundlig integritets- och proportionalitetsanalys. Att en bredare ändamålsbestämmelse skulle kunna skapa flexibilitet och förutsättningar att hålla jämna steg med samhällsutvecklingen har framhållits både av eSamverkansprogrammet (ett samverkansprogram mellan flera myndigheter som ska ta tillvara digitaliseringens möjligheter, förkortat eSam) i promemorian En modern registerförfattning [ES 2022-06] och av CSN (U2024/00322). Ett förslag till bredare ändamålsbestämmelse för Skatteverket, Tullverket och Kronofogdemyndigheten har också lämnats i betänkandet Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100).

Om CSN föreslås få möjlighet att hämta in uppgifter från andra sammanhang än myndighetens ärenden om studiestöd i syfte att effektivisera dataanalyser och urval kommer inte dessa uppgifter att omfattas av sekretess enligt bestämmelsen i 28 kap. 9 § offentlighets- och sekretesslagen (2009:400) om sekretess i ärenden om bl.a. studiestöd eftersom uppgifterna inte förekommer i ett ärende hos CSN. Utredaren ska därför

  • analysera och vid behov lämna förslag till ändamålsbestämmelser som

innebär ökad möjlighet för CSN att behandla personuppgifter vid informationsutbyte med andra myndigheter och aktörer,

  • analysera och bedöma lämpligheten och utformningen av ändamåls-

bestämmelser som innebär en utökad möjlighet för CSN att utföra dataanalyser och urval,

  • överväga och ta ställning till om ändamålsregleringen i CSN:s register-

författningar kan göras bredare formulerad och därmed mindre detaljerad,

9 (17)

  • ta ställning till om det i övrigt finns ett behov av en förändrad ändamåls-

reglering i CSN:s registerförfattningar utifrån myndighetens uppgifter enligt t.ex. myndighetens instruktion, andra författningar och regleringsbrev,

  • utifrån de ändringar som föreslås i CSN:s registerförfattningar, analysera

och bedöma om det finns behov av ändringar i offentlighets- och sekretesslagen, och

  • lämna nödvändiga författningsförslag.

Dagens sökbegränsningar behöver ses över

I studiestödsdatalagen finns särskilda bestämmelser om s.k. sökbegränsningar (8 §). Sökbegränsningarna tar bl.a. sikte på sökbegrepp som avslöjar känsliga personuppgifter, uppgifter om lagöverträdelser och inkomst. Denna reglering medför begränsningar i hur CSN kan behandla personuppgifter i syfte att motverka felaktiga utbetalningar och bidragsbrott eftersom CSN har behov av att kunna använda vissa sökbegrepp som avslöjar uppgifter om lagöverträdelser, inkomst och anledning till studieavbrott. Sökbegränsningen vad gäller inkomst hindrar också CSN från att kunna söka fram och lämna ut uppgifter som begärs ut av Utbetalningsmyndigheten. Det finns därför ett behov av att göra en översyn av de sökbegränsningar som gäller för myndigheten.

Utredaren ska därför

  • ta ställning till hur bestämmelserna om sökbegränsningar i CSN:s

registerförfattningar bör ändras, och

  • lämna nödvändiga författningsförslag.

Behov av ändamålsenliga bestämmelser om elektroniskt utlämnande av uppgifter

En välfungerande samverkan mellan myndigheter för att förebygga och bekämpa brott förutsätter att det finns ett regelverk som gör det möjligt att utbyta information på ett effektivt sätt. Att uppgifter kan utbytas elektroniskt är i princip en förutsättning för ett effektivt informationsutbyte. Om en myndighet ska eller får lämna ut uppgifter är det normalt upp till myndigheten att avgöra på vilket sätt det ska göras (se t.ex. prop. 2000/01:33 s. 112).

När det gäller elektroniskt utlämnande skiljer man i regel mellan direktåtkomst och annat elektroniskt utlämnande (i bland kallat utlämnande på

10 (17)

medium för automatiserad behandling), t.ex. genom filöverföring eller epost. Den grundläggande innebörden av direktåtkomst är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i uppgiftssamlingen. Den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet rättsligt är att betrakta som direktåtkomst eller som annat elektroniskt utlämnande. Av dessa varianter bedöms elektroniskt utlämnande genom direktåtkomst som mest integritetskänsligt, jfr t.ex. propositionen Tullbrottsdatalag (prop. 2016/17:91 s. 58).

Av CSN:s registerförfattningar framgår vilka som får ha direktåtkomst till personuppgifter hos CSN och att i de fall som uppgifter får lämnas ut till någon genom direktåtkomst får uppgifterna även på något annat sätt lämnas ut elektroniskt till mottagaren. Vidare får enstaka personuppgifter även lämnas ut elektroniskt på annat sätt än genom direktåtkomst eller via elektronisk kommunikation i enskilda fall. Ett elektroniskt utlämnande av vissa angivna uppgifter får även göras på annat sätt än genom direktåtkomst till angivna mottagare (12 och 13 §§studiestödsdatalagen). I 15 § studiestödsdataförordningen finns en uttömmande detaljreglering av de undantagsfall där CSN får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11) har bl.a. haft i uppdrag att utreda om nuvarande regler om direktåtkomst för dessa myndigheter är ändamålsenliga eller om förekomsten av direktåtkomst bör minska. Utredningen har gjort bedömningen att dagens begränsningar av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst inte bör ha någon motsvarighet i de nya dataskyddslagar som föreslås och att direktåtkomst i lagstiftningshänseende i stället bör likställas med övriga former av elektroniskt utlämnande (SOU 2023:100). Mot denna bakgrund finns det anledning att även se över behovet av en reglering om direktåtkomst i CSN:s registerförfattningar.

Nuvarande reglering av annat elektroniskt utlämnande än direktåtkomst i 15 § studiestödsdataförordningen är begränsande och ger till exempel inte CSN rätt att lämna uppgifter elektroniskt till Polismyndigheten för andra brott än bidragsbrott. Detta får konsekvensen att CSN förutsätts ge in anmälningar om förfalskningsbrott på annat sätt än elektroniskt till Polis-

11 (17)

myndigheten. Digitaliseringen medför också att det ställs ökade krav på att myndigheter ska ha möjlighet att lämna uppgifter elektroniskt till framför allt enskilda. Det kan därför finnas ett behov av en mer flexibel reglering av CSN:s möjlighet till elektroniskt utlämnande på annat sätt än genom direktåtkomst. Det är något som redan finns i annan dataskyddsreglering, bl.a. domstolsdatalagen (2015:728).

Vidare har flera utredningar uppmärksammat behovet av ändringar i 15 § studiestödsdataförordningen för att CSN ska kunna lämna ut uppgifter elektroniskt. I bl.a. departementspromemorian Utökat informationsutbyte (Ds 2022:13) har förslag lämnats om en ändring av studiestödsdataförordningen (2009:321) som innebär att CSN får en generell möjlighet att utbyta personuppgifter elektroniskt på annat sätt än genom direktåtkomst med andra myndigheter. Regeringen har också gett en särskild utredare i uppdrag att överväga och föreslå förbättrade möjligheter att utbyta information mellan myndigheter (dir. 2023:146). I den utsträckning CSN:s möjligheter att utbyta personuppgifter elektroniskt på annat sätt än genom direktåtkomst inte faller inom ramen för sådant annat pågående arbete och omhändertas i kommande lagstiftningsarbete finns det skäl att se över denna reglering.

CSN har även, mot bakgrund av det förslag som lämnats i fråga om Försäkringskassan och Pensionsmyndigheten i lagrådsremissen En modern dataskyddsreglering på socialförsäkringsområdet (S2022/04816), lyft frågan om det överhuvudtaget behöver finnas en reglering om elektroniskt utlämnande på annat sätt än genom direktåtkomst i myndighetens registerförfattningar eftersom informationsutbyte ändå måste ske i enlighet med de krav som följer av EU:s dataskyddsförordning.

Mot denna bakgrund finns det skäl att se över behovet av förändrade regler om direktåtkomst och annat elektroniskt utlämnande i myndighetens registerförfattningar.

Utredaren ska därför

  • ta ställning till om nuvarande regler om elektroniskt utlämnande är

utformade på ett ändamålsenligt sätt eller om det finns behov av förändringar, och

  • lämna nödvändiga författningsförslag.

12 (17)

Bestämmelserna om bevarande och gallring behöver bli mer flexibla

Arkivlagen (1990:782) och tillhörande förordning samt av Riksarkivet meddelade föreskrifter om gallring innehåller bestämmelser om bevarande och gallring av allmänna handlingar. Med gallring avses förstöring av allmänna handlingar eller uppgifter i allmänna handlingar. Därutöver finns bl.a. bestämmelser om längsta tid för bevarande (gallring) i myndigheters registerförfattningar med tillhörande förordningar. I studiestödsdatalagen finns bestämmelser om när personuppgifter i ett ärende ska gallras (16 §). I bestämmelsen anges bl.a. att om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde.

Nuvarande bestämmelse om gallring i 16 § studiestödsdatalagen är detaljerad och föreskriver korta bevarandetider i ärenden där någon återbetalning av studiestöd inte förekommer. Detta innebär svårigheter i CSN:s arbete att förhindra felaktiga utbetalningar. Som exempel kan nämnas att CSN behöver gallra i ärenden där det konstaterats en förhöjd risk för felaktiga utbetalningar men som ännu inte har hunnit kontrolleras manuellt. CSN kan även behöva gallra handlingar som utgör konstaterade förfalskningar som innehåller personuppgifter trots att handlingen är av betydelse för myndighetens fortsatta arbete i syfte att bättre upptäcka förfalskningar. Vidare innebär gallringsbestämmelsen svårigheter för CSN att följa upp och i efterhand dra lärdom av ärenden där brottslighet har konstaterats.

Det finns skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhållande till gällande materiella regler och dagens behov. Det bör i samband med det bedömas om bestämmelser om gallring bör ersättas med gallringsbestämmelser med tydligare koppling till de tillåtna ändamålen för personuppgiftsbehandling eller med bestämmelser om längsta tid som personuppgifter får behandlas automatiserat av CSN för att tydliggöra att det rör sig om dataskyddsbestämmelser och inte bestämmelser om gallring i arkivrättslig mening. Sistnämnda ändring har gjorts i registerförfattningarna inom brottsdatalagens område och även föreslagits i fråga om Skatteverket, Tullverket och Kronofogdemyndigheten (SOU 2023:100). Oavsett vilken lösning som förordas är det viktigt att be-

13 (17)

stämmelserna utformas så att möjligheten till bevarande blir mer flexibel och med en tydligare koppling till de behov som finns utifrån CSN:s uppdrag.

Utredaren ska därför

  • ta ställning till om myndighetens nuvarande bestämmelser om

bevarande och gallring är ändamålsenliga, varvid det bl.a. ska bedömas om gallringsbestämmelserna bör ersättas med bestämmelser med tydligare koppling till de tillåtna ändamålen för personuppgiftsbehandling eller om längsta tid som personuppgifter får behandlas, och

  • lämna nödvändiga författningsförslag.

Uppdraget att mer övergripande se över CSN:s registerförfattningar i syfte att skapa ändamålsenliga regler anpassade efter dagens behov

Uppdraget att ge CSN förutsättningar att arbeta effektivt mot felaktiga utbetalningar och bidragsbrott bör utföras inom ramen för en allmän översyn av myndighetens registerförfattningar. En allmän översyn motiveras av att CSN:s uppdrag har utvidgats och att de digitala förutsättningarna har förändrats över tid. Någon allmän översyn av de registerförfattningar som gäller för CSN:s verksamhet har inte heller gjorts sedan registerförfattningarnas tillkomst. Den översyn som gjordes i samband med EU:s dataskyddsreform var i stort sett begränsad till att anpassa studiestödsdatalagen till EU:s dataskyddsförordning. På senare år har förutsättningarna för myndigheternas digitalisering och personuppgiftsbehandling förändrats avsevärt med hänsyn till den snabba tekniska utvecklingen. Mot denna bakgrund har CSN lyft behovet av en översyn vid ett flertal tillfällen, exempelvis i skrivelsen En modern dataskyddsreglering för Centrala studiestödsnämnden (U2024/00322

)

. Behoven avser bl.a. registerförfattningarnas tillämpningsområde, en bredare ändamålsreglering och större möjligheter till elektroniskt utlämnande.

I förarbetena till CSN:s registerförfattningar framgår att avsikten var att regleringen skulle vara teknikoberoende och flexibel så långt intresset av ett fullgott integritetsskydd tillåter, för att inte hindra den effektivisering av verksamheterna som pågår (prop. 2008/09:96 s. 29). Trots detta kan det konstateras att registerförfattningarna inte längre framstår som ändamålsenliga och anpassade till dagens behov. Den nu gällande dataskyddsregleringen på studiestödsområdet är inte anpassad till den mer avancerade och omfattande automatiserade behandling av personuppgifter som myndig-

14 (17)

heterna förväntas utföra i nya it-system. Digitaliseringen innebär även att allt fler informationsflöden övergår till att enbart hanteras i elektronisk form. För att anpassa författningarnas regler om t.ex. elektroniskt utlämnande till denna utveckling krävs nya överväganden och en mer flexibel reglering, något som redan finns i flera andra registerförfattningar.

CSN har lyft fram att det är av vikt att dataskyddsregleringen för myndigheter så långt det är möjligt är ensad för att myndigheterna ska få likartade rättsliga förutsättningar att fullgöra sina uppdrag. Myndigheter är alltmer beroende av att utbyta uppgifter med varandra för att kunna utföra sina uppdrag. För att bl.a. möjliggöra ett sådant utbyte av uppgifter är det angeläget att registerförfattningarna utformas på ett likartat sätt för myndigheter med likartad verksamhet (U2024/00322

)

. Förutom att detta är centralt för samarbetet mot felaktiga utbetalningar och bidragsbrott så ökar det också möjligheterna till andra myndighetsövergripande samarbeten.

Översyn har genomförts av ett flertal myndigheters registerförfattningar, däribland registerförfattningar för Försäkringskassan och Pensionsmyndigheten. Regeringen har nyligen lämnat en proposition till riksdagen om en ny dataskyddsreglering för Försäkringskassan och Pensionsmyndigheten. Förslagen ska bl.a. skapa en teknikneutral lagstiftning som gör en digitaliserad och effektiv verksamhet möjlig (propositionen En ny dataskyddsreglering på socialförsäkringsområdet, prop. 2023/24:29). Det pågår även arbete för en modernisering av registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten. Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11) har nyligen redovisat sitt betänkande Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100) som bereds inom Regeringskansliet. Vidare har Utredningen om ett förbättrat informationsutbyte och en mer ändamålsenlig lagreglering för den arbetsmarknadspolitiska verksamheten (A 2023:01) i uppdrag att lämna förslag på en ny och ändamålsenlig dataskyddsreglering för Arbetsförmedlingen och vid behov för Kammarkollegiet (dir. 2023:65). En motsvarande översyn av CSN:s registerförfattningar är därför angelägen.

En utgångspunkt för en allmän översyn av CSN:s registerförfattningar bör vara att skapa ändamålsenliga regler som är anpassade efter dagens behov hos CSN. Detta gäller såväl i den del av den allmänna översynen som avser bättre förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetal-

15 (17)

ningar och bidragsbrott som i övriga delar av översynen. Reglerna bör vara flexibla och anpassade efter både den tekniska utvecklingen och den EUrättsliga dataskyddsregleringen samtidigt som enskildas personliga integritet värnas. Skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket RF ska särskilt beaktas. I uppdraget bör även ligga att överväga om det, utöver vad som följer av uppdraget enligt tidigare utredningspunkter, finns utrymme för minskad detaljreglering jämfört med i dag, t.ex. när det gäller vilka uppgifter som får behandlas och hur länge samt vilka uppgifter som får lämnas ut i elektronisk form. En översyn av de nuvarande registerförfattningarnas struktur och terminologi bör också ingå i uppdraget, bl.a. i syfte att modernisera språket och att använda enhetliga begrepp i förhållande till främst annan dataskyddsreglering.

Utredaren ska därför

  • överväga och ta ställning till om det finns utrymme för en minskad

detaljreglering jämfört med i dag,

  • analysera och bedöma behovet av en förändrad struktur och

terminologi, t.ex. genom att använda ett modernare språk och enhetliga begrepp i förhållande till främst annan dataskyddsreglering,

  • i övrigt ta ställning till hur CSN:s registerförfattningar kan bli mer ända-

målsenliga och anpassade efter dagens behov,

  • föreslå hur CSN:s registerförfattningar kan utformas för att vara flexibla

och anpassade efter såväl den tekniska utvecklingen som den EUrättsliga dataskyddsregleringen samtidigt som den enskildes personliga integritet värnas, och

  • lämna nödvändiga författningsförslag.

Inom ramen för denna översyn ska bl.a. följande frågor utredas.

Tillämpningsområdet behöver ses över

CSN har sedan 2018 haft till uppgift att administrera ett körkortslån till bl.a. vissa arbetssökande enligt förordningen (2018:1118) om körkortslån. Regeringen föreslog dock i budgetpropositionen för 2024 att möjligheten för CSN att bevilja nya körkortslån ska upphöra från och med den 1 januari 2024 (prop. 2023/24:1 utg.omr. 22, bet. 2023/24:TU1, rskr. 2023/24:93). Med anledning av riksdagens beslut om detta har regeringen beslutat förordningen (2023:923) om upphävande av förordningen om körkortslån som trädde i kraft den 1 januari 2024. Den upphävda förordningen gäller dock

16 (17)

fortfarande i fråga om lån där ansökan har kommit in till CSN före ikraftträdandet. CSN kan därför under en övergångsperiod alltjämt behöva behandla personuppgifter exempelvis i fråga om återbetalning av lånen. Förutsatt att förordningen om körkortlån fortfarande i delar är gällande och tillämpas då en moderniserad studiestödsdatalag träder ikraft kan lagens tillämpningsområde, som i dag avser CSN:s studiestödsverksamhet, behöva ses över.

Utredaren ska därför

  • bedöma behovet av att tydliggöra tillämpningsområdet för CSN:s

registerförfattningar, och

  • lämna nödvändiga författningsförslag.

Bevisutbyte med anledning av den s.k. SDG-förordningen

Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (SDG-förordningen) syftar bl.a. till att genom en gemensam digital ingång (single digital gateway, SDG) göra det enklare för privatpersoner och företag att använda digitala tjänster i andra EU-länder. Till följd av SDG-förordningen finns det behov av att utreda och lämna förslag på kompletterande bestämmelser med anledning av den svenska anslutningen till EU:s tekniska system för gränsöverskridande utbyte av bevis. CSN är en av de myndigheter som berörs av förordningen. Frågan bereds inom Regeringskansliet (Finansdepartementet). I den utsträckning CSN:s behov av anpassningar till SDG-förordningen inte omhändertas inom ramen för en sådan översyn finns skäl att se över detta. Det är viktigt att regleringen inte skapar omotiverade hinder för detta samarbete.

Utredaren ska därför

  • analysera behovet av anpassningar i CSN:s registerförfattningar utifrån

SDG-förordningen, och

  • lämna nödvändiga författningsförslag.

Konsekvensbeskrivningar

Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) analysera vilka konsekvenser de förslag som lämnas har för den personliga

17 (17)

integriteten. Om förslagen kan förväntas leda till kostnadsökningar för det offentliga ska utredaren föreslå hur dessa ska finansieras.

Kontakter och redovisning av uppdraget

Utredaren ska, i den utsträckning som bedöms lämplig, samråda med och inhämta upplysningar från berörda myndigheter och andra organisationer som berörs av frågorna.

Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, särskilt beredningen av förslagen i betänkandena Ett stärkt och samlat skydd av välfärdssystemen (SOU 2023:52) och Ökat informationsflöde till brottsbekämpningen (SOU 2023:69) samt promemorian Utökat informationsutbyte (Ds 2022:13).

Utredaren ska även hålla sig informerad om och beakta relevant arbete som bedrivs inom utredningsväsendet, t.ex. Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter (dir. 2023:146), Utredningen om ett förbättrat informationsutbyte och en mer ändamålsenlig lagreglering för den arbetsmarknadspolitiska verksamheten (dir. 2023:65), inom Regeringskansliet samt inom EU.

Förslagen som utredaren lämnar ska vara förenliga med EU-rätten och Sveriges övriga internationella åtaganden.

Om det bedöms nödvändigt får utredaren ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.

Uppdraget ska redovisas senast den 31 december 2024.

(Utbildningsdepartementet)