SOU 2019:14

Ett säkert statligt ID-kort – med e-legitimation

Till statsrådet Mikael Damberg

Regeringen beslutade den 17 augusti 2017 att tillkalla en särskild utredare med uppdrag att utreda och lämna förslag till förändringar av de krav som gäller för svenska identitetshandlingar i syfte att minska det ökade antalet bedrägerier som begås med hjälp av förfalskade identitetshandlingar.

Som särskild utredare förordnades från och med den 1 oktober 2017 justitierådet Inga-Lill Askersjö.

Som sakkunniga i utredningen förordnades från och med den 1 oktober 2017 kanslirådet Roger Ghiselli (Justitiedepartementet) samt rättssakkunniga Ulrika Stenström (Näringsdepartementet) och Annica Svedberg (Finansdepartementet). Roger Ghiselli entledigades från uppdraget från och med den 23 april 2018.

Som experter att biträda utredningen förordnades från och med den 1 oktober 2017 verksjuristen Fredrik Forsanäs (Transportstyrelsen), ekonomen Peter Göransson (Svenska Bankföreningen), dåvarande verksjuristen Anna Månsson Nylén (E-legitimationsnämnden), rättsliga experten Håkan Grenryd (Skatteverket) och juristen Anna Owens (Polismyndigheten). Anna Månsson Nylén entledigades från uppdraget från och med den 23 april 2018. Från och med den 23 april 2018 förordnades departementssekreteraren Nils Fjelkegård (Finansdepartementet) och rättssakkunniga Sandra Melin (Justitiedepartementet) som experter i utredningen.

Som sekreterare i utredningen anställdes från och med den 1 oktober 2017 dåvarande hovrättsassessorn Karin Månsson. Karin Månsson avslutade sitt arbete i utredningen den 1 januari 2018. Från och med den 16 januari 2018 förordnades hovrättsassessorn Jonna Wiborn som utredningssekreterare.

Utredningen, som har tagit sig namnet 2017 års ID-kortsutredning, överlämnar härmed betänkandet Ett säkert statligt ID-kort –

med e-legitimation. Uppdraget är med detta slutfört.

Stockholm i mars 2019

Inga-Lill Askersjö

/Jonna Wiborn

Förkortningar och begrepp

Biometriska uppgifter/biometriska data

Personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person. Fotografier som inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller utanför definitionen

Brå Brottsförebyggande rådet CNP Card Not Present, bedrägeri som begås genom att kortuppgifter används för att genomföra köp, vanligen via internet, utan att bedragaren har tillgång till det fysiska betalkortet CP Card Present, bedrägeri som begås av en fysiskt närvarande köpare med hjälp av ett fysiskt betalkort som antingen är stulet eller manipulerat och försett med stulna kortuppgifter Dataskyddsförordningen Europaparlamentets och rådets förord-

ning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Dataskyddslagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning Det nya dataskyddsdirektivet

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF

Det tredje körkortsdirektivet

Europaparlamentets och rådets direktiv 2006/126/EG av den 20 december 2006 om körkort

DNV DNV GL Business Assurance Sweden AB eIDAS-förordningen Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG ELOV Lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering Förslag till EU:s id-kortsförordning

Förslag till Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet, COM (2018) 212

EU:s passförordning Rådets förordning (EG) nr 2252/2004 av den 13 december 2004 om standarder för säkerhetsdetaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna Förlitande aktör Den aktör som har behov av att verifiera en användares uppgifter om sin identitet vid identifiering med e-legitimation i en e-tjänst IdF Förordningen (2015:904) om identitetskort för folkbokförda i Sverige IdL Lagen (2015:899) om identitetskort för folkbokförda i Sverige Lagringsmedium Funktion för lagring av elektronisk information, t.ex. det chip som finns på pass LMA-kort Tillfälligt LMA-kort för utlänning i Sverige är ett kort som innehåller ett fotografi av innehavaren och som visar att denne är asylsökande. LMA står för lagen (1994:137) om mottagande av asylsökande m.fl. LOU Lagen (2016:1145) om offentlig upphandling NBC Nationellt bedrägericenter, Polismyndigheten NFC Nationellt forensiskt centrum, Polismyndigheten Olika typer av identitetshandlingar

Med olika typer avses de olika huvudkategorierna av identitetshandlingar som finns, såsom pass, nationellt identitetskort etc.

Olika versioner av identitetshandlingar

Med olika versioner avses de olika modeller som en och samma typ av identitetshandling kan förekomma i beroende på att olika versioner utfärdas vid olika tidpunkter

OSF Offentlighets- och sekretessförordningen (2009:641) OSL Offentlighets- och sekretesslagen (2009:400) RF Regeringsformen Rörlighetsdirektivet Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG SIS Swedish Standards Institute TF Tryckfrihetsförordningen Tillitsramverket Myndigheten för digital förvaltnings Tillitsramverk för Svensk e-legitimation ärendenr. 2018-158

Sammanfattning

Vårt uppdrag

Vårt övergripande uppdrag har varit att utreda och lämna förslag till förändringar av de krav och rutiner som gäller för svenska identitetshandlingar i syfte att minska det ökande antalet bedrägerier som begås med användning av förfalskade handlingar. Uppdraget har bl.a. bestått i att analysera hur antalet handlingar och utfärdare kan begränsas, hur verifieringen av äktheten och giltigheten av handlingarna kan förbättras, hur de bör utfärdas och utformas för att bli säkrare samt om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå. I uppdraget har även ingått att föreslå en enhetlig reglering av giltiga identitetshandlingar och även i övrigt lämna nödvändiga författningsförslag.

Statliga identitetshandlingar

Vi föreslår en ny lag och en ny förordning om statliga identitetshandlingar med bestämmelser om ett statligt identitetskort och en statlig e-legitimation. I lagen avses med statliga fysiska identitetshandlingar de fysiska identitetshandlingar som staten utfärdar, dvs. det nya id-kortet och passet.

Id-kortet kan utfärdas med eller utan funktion som resehandling och ersätter både det nationella identitetskortet och identitetskortet för folkbokförda i Sverige. Att id-kortet utfärdas med funktion som resehandling innebär att det, förutom att användas som identitetshandling, även kan användas som resehandling i stället för pass vid resor inom EU. Det överensstämmer med det som i dag gäller för det nationella identitetskortet. På det nya id-kortet får det också finnas en statlig e-legitimation. Pass kommer även fortsättningsvis att regleras i passlagen.

Statliga fysiska identitetshandlingar ger säker identifiering

Det finns i dag många handlingar som accepteras som bevis för någons identitet, vilket försvårar kontrollen av handlingarnas äkthet och giltighet och medför att de kan missbrukas. Pass och det föreslagna statliga identitetskortet uppfyller de säkerhetskrav som bör ställas på identitetshandlingar och täcker de behov av identitetshandlingar som finns hos landets invånare. Endast dessa handlingar ska därför godtas som fysiska identitetshandlingar i de situationer som kräver en säker identifiering.

En statlig fysisk identitetshandling ska krävas för att styrka identiteten i samband med utfärdande av pass, utfärdande av statligt identitetskort och i situationer som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism.

Avsikten är dock att handlingarna på sikt ska vara de enda identitetshandlingar som används även i andra situationer där det finns behov av att göra säkra identitetskontroller, exempelvis vid utlämnande av försändelser vid postutlämningsställen.

Körkortet kommer alltså inte att vara en statlig identitetshandling med den föreslagna regleringen. Anledningen till detta är att körkortet inte uppfyller de säkerhetskrav som bör ställas på identitetshandlingar. Körkortet har bl.a. en alltför lång giltighetstid och det krävs inte personlig inställelse i samband med förnyelse. Körkortet är framför allt en handling som styrker behörigheten att köra fordon och inte en identitetshandling.

En statlig e-legitimation på det statliga identitetskortet

Den ökade digitaliseringen gör det allt svårare att klara sig i samhället utan tillgång till en e-legitimation. Det är därför viktigt att alla ges möjlighet att skaffa en säker e-legitimation. En säker elektronisk identifiering bidrar också till att motverka den identitetsrelaterade brottsligheten. Med en säker grundidentifiering som görs av en myndighet vid ett personligt besök minskar risken för att fel person får tillgång till e-legitimationen.

Vi föreslår att en statlig e-legitimation på högsta tillitsnivå får finnas på det statliga identitetskortet. E-legitimationen ska även

kunna användas för att skapa en elektronisk underskrift. Den kan utfärdas till personer som har fyllt 13 år och som är svenska medborgare eller folkbokförda i landet.

Utfärdandet ska följa processen för utfärdande av id-kortet. Härigenom uppnås samma höga nivå av säkerhet som för statliga fysiska identitetshandlingar.

Förutom att användas vid identifiering som sker på distans kan den statliga e-legitimationen också användas vid en identitetskontroll som görs vid t.ex. utlämning av paket. En kontroll av e-legitimationen tillsammans med en kontroll av den fysiska identitetshandlingen innebär att identitetskontrollen blir säkrare. För att effektivisera kontrollen skulle också en kontroll av e-legitimationen kunna ersätta en kontroll av den fysiska handlingen i de fall det bedöms tillräckligt.

Polismyndigheten ska utfärda de statliga identitetshandlingarna

Vi föreslår att Polismyndigheten ska ha det huvudsakliga ansvaret för utfärdandet. Genom att låta en myndighet ansvara för utfärdandet av de statliga identitetshandlingarna uppnås stora samordningsvinster. Det skapar förutsättningar att göra processen mer enhetlig och säker, att förbättra handlingarnas säkerhetsnivå och att åstadkomma bättre kontroll. Det leder också till kostnadsbesparingar och till en effektivare utfärdandeverksamhet.

Polismyndigheten har redan en omfattande och väl fungerande verksamhet för utfärdande av pass och nationella identitetskort. Begränsningen av antalet utfärdare är dessutom ett led i att bekämpa identitetskapningar och identitetsrelaterad bedrägeribrottslighet vilket gör det särskilt lämpligt att Polismyndigheten får ansvaret för att utfärda samtliga statliga identitetshandlingar.

Utlandsmyndigheterna och utrikesdepartementet ska på samma sätt som i dag kunna utfärda pass och identitetskort till svenska medborgare. Även de statliga identitetskort som utfärdas av utlandsmyndigheterna kan innehålla en statlig e-legitimation.

Processen för utfärdande av de statliga identitetshandlingarna

Den nya lagen, den nya förordningen jämte föreskrifter som meddelas med stöd av dessa kommer heltäckande att reglera processen för utfärdande av statliga identitetskort och e-legitimationer.

Den personliga inställelsen är central för säkerheten i utfärdandet. Det krävs därför normalt att sökanden inställer sig personligen både vid ansökan och vid utlämnande av id-kortet. För att göra kortet tillgängligt för personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten finns dock en möjlighet att ansöka genom bud. Förfarandet med bud kan dock inte användas för att få id-kort med funktion som resehandling, utan endast kort utan sådan funktion.

Förfarandet är på grund av att sökanden inte inställer sig personligen kringgärdat av andra säkerhetshöjande föreskrifter. Bland annat gäller att sökanden genom ett skriftligt intyg ska styrka att det finns hinder för inställelse samt att budet ska inställa sig personligen för att lämna in ansökan och hämta ut id-kortet.

Sökanden ska styrka sin identitet med en statlig fysisk identitetshandling när ansökan görs. Om sökanden inte har en sådan kan identiteten styrkas med pass från vissa europeiska länder, med hjälp av en intygsgivare eller i sista hand på något annat tillförlitligt sätt. En sökande som har beviljats uppehållstillstånd kan styrka sin identitet genom uppgifter som finns hos Migrationsverket i fråga om personens uppehållstillstånd. Den utfärdande myndigheten får också kontrollera fingeravtryck och ansiktsbild som finns på uppehållstillståndskortet. Om ansökan görs genom bud ska budet styrka sin identitet med en statlig fysisk identitetshandling. Pass från vissa europeiska länder ska också godtas. Innan identitetskortet lämnas ut ska sökanden på begäran styrka sin identitet på samma sätt som vid ansökan.

Id-kortet ska vara giltigt i fem år. Regeringen eller den myndighet regeringen bestämmer ska få meddela föreskrifter om begränsning av giltighetstiden i särskilt angivna fall.

Ett tidigare utfärdat statligt identitetskort ska lämnas in för makulering vid utlämnande av ett nytt identitetskort. Detta gäller oavsett om det gamla kortet var utfärdat med eller utan funktion som resehandling. En och samma person ska alltså endast kunna inneha ett statligt identitetskort.

Ett statligt identitetskort ska återkallas om någon väsentlig uppgift som framgår av kortet är felaktig eller inte längre gäller och om det är trasigt, utslitet eller obehörigen ändrat. Dessutom ska återkallelse ske om det fanns hinder mot att utfärda identitetskortet vid tiden för utfärdandet och hindret fortfarande består samt om någon annan än den som identitetskortet är utställt på förfogar över kortet. Om kortet återkallas ska även den statliga e-legitimationen som finns på kortet upphöra att gälla. E-legitimationen ska dessutom återkallas om det är nödvändigt av säkerhetsskäl. En sådan återkallelse kan begränsas till viss bestämd tid, dock högst sex månader.

I syfte att göra även processen för utfärdande av pass säkrare föreslås även några ändringar i passlagstiftningen. Vid ansökan om och utlämnande av pass ska sökanden som huvudregel styrka sin identitet med en statlig fysisk identitetshandling. Motsvarande undantag som föreslås beträffande det statliga identitetskortet ska gälla även vid ansökan om pass. Ett tidigare utfärdat pass ska vidare lämnas in för makulering vid utlämnande av ett nytt pass. Även pass ska kunna återkallas om någon väsentlig uppgift som framgår av passet är felaktig eller inte längre gäller.

Register över id-korten och e-legitimationerna

På samma sätt som i dag ska det finnas register över id-korten. Även uppgifter om den statliga e-legitimationen ska registreras.

Personuppgifterna ska få behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av korten och e-legitimationerna. Personuppgifter som samlats in för den verksamheten ska även få behandlas om det är nödvändigt för utfärdande av pass, för gränskontroll eller för att lämna ut uppgifter i överensstämmelse med lag eller förordning. Detsamma gäller om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Uppgifterna ska slutligen få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålet.

Uppgifter och handlingar i registret ska inte få behandlas under längre tid än vad som behövs för ändamålet med behandlingen, dock

längst tio år efter att id-kortets giltighetstid har gått ut eller ansökan om id-kort avslagits.

Fingeravtryck och ansiktsbild

Identitetshandlingar som innehåller biometriskt underlag säkerställer kopplingen mellan handlingen och den person den är utfärdad till. Användningen av biometriska uppgifter är därför ett effektivt sätt att motverka missbruk av identitetshandlingar. Det gör också att möjligheten att förfalska handlingen försvåras. Vi föreslår därför att det i ett lagringsmedium på det statliga identitetskortet ska finnas fingeravtryck och ansiktsbild. Fingeravtrycken och ansiktsbilderna ska kunna kontrolleras både vid ansökan om och utlämnande av ett nytt id-kort eller pass. Kontroll ska även kunna göras i samband med resa till eller från Sverige.

Barn under sex år och personer som av fysiska skäl är förhindrade att lämna fingeravtryck ska undantas från kravet på fingeravtryck. För sökande som har fysiska skador av tillfällig karaktär ska ett identitetskort med en kortare giltighetstid kunna utfärdas.

Personer som ansöker om id-kort genom bud ska, i stället för att lämna fingeravtryck och låta den utfärdande myndigheten ta en ansiktsbild, bifoga ett välliknande fotografi till ansökan. Budet och ett vittne ska i en skriftlig försäkran intyga att ansökan gjorts av sökanden och att det fotografi som bifogas ansökan föreställer sökanden.

I samband med ansökan om id-kort och pass ska det vara möjligt för den utfärdande myndigheten att göra sökningar på ansiktsbilder och biometriska uppgifter i id-kortsregistret och passregistret. Motsvarande sökning ska få göras vid ansökan om pass. Genom användning av ansiktsigenkänning kan det säkerställas att en person inte får id-kort utfärdade för olika identiteter. I övrigt ska sökning på sådana uppgifter inte få göras. Liksom för ansiktsbilderna ska sekretess gälla för de biometriska uppgifter som tas fram ur dessa och sparas i pass- och id-kortsregistren om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

Fingeravtrycken och de biometriska uppgifter som tas fram ur dessa ska däremot inte få behandlas i id-kortsregistret, utan endast lagras tillfälligt i ärendehanteringssystemet. Uppgifterna får sparas i

syfte att kvalitetssäkra identitetshandlingen vid utlämnandet. Uppgifterna får inte användas vid sökning. De får endast sparas fram till dess att identitetskortet lämnas ut eller då ansökan återkallas eller avslås. Därefter ska uppgifterna omedelbart förstöras.

Kontroll av identitetshandlingars äkthet och giltighet

Vilken kontroll som i olika sammanhang bör göras av identitetshandlingarnas äkthet och giltighet varierar. Olika verksamheter kräver olika grad av säkerhet. Våra förslag om att begränsa antalet godtagbara fysiska identitetshandlingar till pass och statliga identitetskort i situationer då särskilt hög grad av säkerhet krävs, kommer dock att leda till att säkrare identitetshandlingar får större spridning, vilket i sin tur möjliggör att krav kan ställas på mer effektiva och säkra kontroller även i andra sammanhang. Även förslagen om att det statliga identitetskortet ska innehålla fingeravtryck och ansiktsbild, och att staten ska utfärda en e-legitimation som ska finnas på det statliga identitetskortet, innebär att det blir lättare att kontrollera identiteten och ger incitament till att utföra säkrare kontroller.

Ikraftträdande och övergångsbestämmelser

Våra förslag föreslås träda i kraft den 1 januari 2022. Den långa tiden till ikraftträdande krävs för att övergången ska bli hanterbar för Polismyndigheten. Av samma skäl krävs övergångsbestämmelser för giltighetstiden för de kort som används i dagsläget. Körkort och SISmärkt identitetskort ska kunna användas för att styrka identiteten vid ansökan om en statlig identitetshandling under ett år efter ikraftträdandet. Nationellt identitetskort och identitetskort för folkbokförda i Sverige ska kunna användas under kortens kvarstående giltighetstid både vid ansökan om en statlig identitetshandling och i situationer som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism. Nationellt identitetskort ska även kunna användas vid resa inom EU under den kvarstående giltighetstiden.

Konsekvenser

Syftet med våra förslag är att motverka bedrägeribrottslighet som begås med hjälp av identitetshandlingar. Förslagen innebär att de identitetshandlingar som utfärdas blir säkrare. Det motverkar såväl att personer kan skaffa oriktiga identitetshandlingar som att förfalskade handlingar kan framställas och användas. Förslagen förväntas minska den identitetsrelaterade brottsligheten och medföra positiva effekter för det brottsförebyggande arbetet.

Eftersom våra förslag syftar till att användningen av statliga identitetskort ska öka innebär det att antalet ärenden om utfärdande av id-kort kan förväntas öka. Vidare medför våra förslag om fingeravtryck och ansiktsbild att viss teknisk utrustning behöver införskaffas. Även förslaget om statlig e-legitimation medför vissa kostnader. Eftersom utgångspunkten är att avgiften för id-kortet även i fortsättningen ska vara kostnadstäckande förväntas emellertid inte kostnaden för Polismyndigheten att öka.

När en och samma myndighet utfärdar de statliga identitetshandlingarna kan samma personal, utrustning och lokaler användas vilket medför samordningsvinster. Det finns därför inte skäl att anta att styckkostnaden för utfärdandet av korten kommer att öka vilket innebär att avgiften för korten kommer att vara i stort sett oförändrad.

Våra förslag medför dock en viss kostnad för enskilda som inte har ett id-kort som är utfärdat av Polismyndigheten eller Skatteverket, och som vid sidan av körkortet måste skaffa ett annat kort. Den merkostnad som enskilda kan drabbas av till följd av detta uppgår dock till endast 400 kronor vart femte år. Detta ska ställas i relation till att syftet med förslagen är att skydda den enskilde mot bl.a. de ekonomiska olägenheter som kan uppstå när enskildas identitet används i bedrägligt syfte.

För företag som gör identitetskontroller innebär våra förslag att kontrollen av handlingarna underlättas och risken för att utsättas för bedrägeri minskar. Även om våra förslag inte innebär något förbud mot att utfärda andra id-kort än de statliga kan de förväntas få vissa konsekvenser för företag som utfärdar SIS-märkta id-kort. Eftersom dessa kort endast står för en liten andel av de identitetshandlingar som utfärdas bör konsekvenserna för dessa utfärdare bli förhållandevis begränsade. Både företag som utfärdar andra e-legitimationer

och företag som har e-tjänster kan dra nytta av den statliga e-legitimationen som vi föreslår.

Summary

Our assignment

Our overall assignment has been to investigate and propose changes to the requirements and routines applicable to Swedish identity documents with the aim of reducing the increasing amount of frauds committed using falsified documents. Among other things, this assignment has consisted of analysing how the number of documents and issuers can be limited, how verification of the authenticity and validity of the documents can be improved, how they should be issued and designed to be more secure, and whether physical identity documents should include electronic identification at the highest authentication level. The assignment has also included proposing a uniform regulation for valid identity documents and submitting necessary legislative proposals.

Government identity documents

We propose a new act and ordinance on government identity documents with provisions for government identity cards and government electronic identification. In the act, the term government physical identity documents refers to the physical identity documents that are issued by central government, which is to say the new ID card and passport.

The ID card can be issued with or without the travel document function and replaces both the national identity card and the identity card for those registered as residents in Sweden. Issuing ID cards with a travel document function means that, as well as being usable as identity documents, it will also be possible to use them as travel documents, instead of passports, for travel within the EU. This corresponds to the current rules for national identity cards. The new

ID cards may also carry government electronic identification. Passports will continue to be regulated by the Passport Act.

Government physical identity documents allow for secure identification

At present, many documents are accepted as proof of identity, complicating the control of the documents’ authenticity and validity and meaning that these can be abused. Passports and the proposed government ID cards comply with the security requirements that should be made of identity documents and meet the need for identity documents among the country’s inhabitants. Consequently, only these documents should be accepted as physical identity documents in situations requiring secure identification.

A government physical identity document should be demanded to verify identity in connection with the issuance of passports and government identity cards, and in situations subject to the Act on Money Laundering and Terrorist Financing (Prevention).

However, the intention is also for such documents eventually to be the only identity documents used in other situations where there is a need to perform secure identity checks, for example when collecting letters and parcels at postal service points.

This means that, under the proposed legislation, driving licences will not be government identity documents. The reason for this is that driving licences do not comply with the security requirements that should be imposed for identity documents. Among other things, driving licenses have far too long periods of validity and no personal appearance is required for renewal. Above all, driving licenses are documents that verify competency to drive a vehicle, not identity documents.

Government electronic identification on government identity cards

Increasing digitalisation is making it increasingly difficult to cope with life in society without access to electronic identification. It is therefore important that everybody is given the opportunity to

obtain secure electronic identification. Secure electronic identification also contributes towards counteracting identity-related crime. Secure basic identification performed by a government agency via a personal appointment reduces the risk of the wrong person getting access to electronic identification.

We propose that government electronic identification at the highest authentication level be included on the government identity card. It must also be possible to use electronic identification to create an electronic signature. This can be issued to persons aged 13 or over who are Swedish citizens or registered as Swedish residents.

The issuance of electronic identification will follow the same process as the issuance of ID cards. The same high level of security as for government physical identity documents will thereby be achieved.

As well as being usable for identification at a distance, government electronic identification can also be used for identity checks made when collecting letters and parcels, for example. Checking electronic identification at the same time as the physical identity document is checked makes identity checks more secure. To streamline checks, electronic identification checks could also replace checks of physical documents when this is deemed sufficient.

The Swedish Police Authority will issue government identity documents

We propose that the Swedish Police Authority takes the main responsibility for issuance. Large synergy gains can be achieved by allowing one public authority to take responsibility for issuing government identity documents. This creates conditions to make the process more uniform and secure, to improve the security level of the documents and to achieve better control. It also leads to cost savings and more efficient issuance activities.

The Swedish Police Authority already has a comprehensive and effective operation for the issuance of passports and national identity cards. Restricting the number of issuers also forms part of combating identity theft and identity-related fraud, which makes it particularly appropriate for the Swedish Police Authority to have responsibility for issuing all government identity documents.

Missions abroad and the Ministry for Foreign Affairs will be able to issue passports and identity cards to Swedish citizens in the same way as at present. The government identity cards issued by the missions abroad can also carry government electronic identification.

The process for issuing government identity documents

The new act and the new ordinance, as well as the provisions announced pursuant to them, will fully regulate the process for issuing government identity cards and electronic identification.

Appearing in person is fundamental for the security of the issuance process. It is therefore normally required for applicants to make a personal appearance both when applying for and when collecting ID cards. However, it is also possible to apply by proxy so that cards are available to persons who are unable to visit the issuing authority due to illness, disability or old age. Proxy applications, however, cannot be used to obtain ID cards able to function as travel documents, but only cards without this function.

Other security-enhancing regulations surround this procedure, as the applicant does not make a personal appearance. Among these, the applicant must verify, in a written certificate, their inability to attend in person and the proxy must report in person to submit the application and collect the ID card.

The applicant must verify their identity with a government physical identity document when the application is made. If the applicant does not have one, their identity can be verified with certain European passports, with the help of a certifier or, as a last resort, in another reliable way. The identity of an applicant who has been granted a residence permit can be verified using information held by the Swedish Migration Agency regarding that person’s residence permit. The issuing authority can also check the fingerprints and facial image as indicated by the residence permit card. If the application is made by a proxy, the identity of the proxy must be verified with a government physical identity document. Certain European passports will also be accepted. Before the identity card is issued, the applicant must, upon request, verify their identity in the same way as upon application.

The ID card will be valid for five years. The Government or the government agency appointed by the Government can announce regulations on the restriction of the period of validity in specifically stated cases.

Previously issued government identity cards must be surrendered for destruction upon the issue of a new identity card. This applies whether or not the old card was issued with the travel document function. Each person may therefore only hold one government identity card.

A government identity card may be withdrawn if any important information on the card is incorrect or is no longer applicable, or if it is damaged or worn out or has been amended without permission. In addition, a card may be withdrawn if there were impediments towards issuing the card at the time of issue and these impediments persist, as well as if another party than the person to whom the identity card was issued has the card at their disposal. If the card is withdrawn, the government electronic identification on the card will also cease to be valid. Electronic identification can also be withdrawn if security reasons make this necessary. Such withdrawal can be limited to a specific period of no longer than six months.

Some amendments are also proposed to passport legislation with the aim of making the process for the issue of passports more secure. Upon application for and collecting a passport, the applicant, as a general rule, must verify their identity with a government physical identity document. Exemptions corresponding to those proposed for government identity cards will also apply to passport applications. Furthermore, any previously issued passport must be surrendered for destruction when a new passport is issued. Passports may also be withdrawn if any important information on the passport is incorrect or no longer applicable.

Register of ID cards and electronic identification

There will be a register of ID cards, in the same way as today. Information on government electronic identification will also be registered.

Personal data may be processed if it is necessary for the issuing authority’s operations for the issue of cards and electronic identification. Personal data collected for these operations may also be processed if this is necessary for the issue of passports, for border control or to provide data in compliance with laws or ordinances. This also applies if it is considered necessary to prevent, hinder or uncover criminal activities, to investigate or prosecute crimes, or to maintain general order or security. Finally, data may be processed for other purposes, provided that the data is not processed in a manner that is incompatible with the purpose of collection.

Data and documents in the register may not be processed for a time longer than that necessary for the purpose of the processing and no longer than ten years after the expiry of the period of validity of the ID card or the rejection of the application for an ID card.

Fingerprints and facial images

Identity documents containing biometric material ensure the connection between the document and the person to whom it was issued. The use of biometric data is therefore an effective way of counteracting the abuse of identity documents. It also makes it more difficult to counterfeit the document. We therefore propose that fingerprints and facial images be stored on the government identity cards. It must be possible to check the fingerprints and facial images both when applying for and when collecting a new ID card or passport. Checks must also be possible when travelling to or from Sweden.

Children below the age of six and people who cannot provide fingerprints for physical reasons are exempt from the requirement for fingerprints. It must be possible to issue identity cards with shorter periods of validity for applicants with physical injuries of a temporary nature.

Instead of allowing the issuing authority to take fingerprints and a facial photograph, people applying for ID cards via proxies must attach a faithful photograph to their application. Both proxy and a witness must certify, in a written affidavit, that the application has been made by the applicant and that the photograph attached to the application faithfully represents the applicant.

In conjunction with the application for ID card and passport, it must be possible for the issuing authority to perform searches of facial images and biometric data in the ID card register and passport register. It must be possible to make equivalent searches when passport applications are made. The use of facial recognition can ensure that one person does not get ID cards issued for several identities. Searches of such data may not otherwise be performed. Just as for facial images, secrecy will be applied to the biometric data obtained from these and stored in the passport and ID card register unless it is clear that the data can be disclosed without that individual or a person close to them suffering harm.

However, fingerprints and biometric data obtained from these may not be processed in the ID card register but may only be stored temporarily in the case management system. The data may be saved with the aim of performing quality control of the identity document when it is collected. The data may not be used for searches. It may only be saved until the identity card is collected or the application is withdrawn or rejected. After this, the data must be deleted without delay.

Checking identity documents’ authenticity and validity

The checks that should be made of the authenticity and validity of identity documents vary from context to context. Different operations require different degrees of security. However, our proposal to restrict the number of physical identity documents that can be accepted, in situations where a particularly high degree of security is demanded, to passports and government identity cards will lead to a greater distribution of more secure identity documents, making it, in turn, possible to demand more effective and secure checks in other contexts too. The proposals for the government identity card to include fingerprints and facial images, and for central government to issue electronic identification to be included in the government identity cards, mean that it will be easier to check identities and will provide an incentive for more secure checks.

Entry into force and transitional provisions

It is proposed that our proposals enter into force on 1 January 2022. The long period until entry into force is needed to allow the Swedish Police Authority to manage the transition. For the same reason, transitional provisions are needed for the period of validity of the cards being used at present. It will be possible to use driving licenses and identity cards certified by the Swedish Standards Institute to verify the bearer’s identity when applying for a government identity document for one year following entry into force. It will be possible to use national identity cards and identity cards for those registered as residents in Sweden for the remaining period of validity of the cards when applying for a government identity document and in situations covered by the Act on Money Laundering and Terrorist Financing (Prevention). It will also be possible to use national identity cards when travelling in the EU.

Consequences

The aim of our proposals is to counteract fraud committed with the use of identity documents. The proposals mean that the identity documents issued will be more secure. This will help prevent people from either obtaining incorrect identity documents or making and using counterfeit documents. The proposals are expected to reduce identity-related crime and have positive effects for crime prevention work.

As our proposals aim to increase the usage of government identity cards, the number of applications for cards can be expected to increase. Furthermore, our proposals concerning fingerprints and facial images mean that some technical equipment will have to be obtained. The proposal for government electronic identification will also entail some costs. However, as our starting point is that the fee for the ID card will also continue to cover all costs, costs for the Swedish Police Authority are not expected to increase.

When government identity documents are all issued by one authority, the same staff, equipment and premises can be used, allowing synergy gains. Consequently, there is no reason to assume that the unit cost for issuing cards will increase, meaning that the fee for cards will be largely unchanged.

Our proposals, however, entail a certain expense for individuals who do not have an ID card issued by the Swedish Police Authority or the Swedish Tax Agency and who, in addition to their driving licenses, must obtain another card. However, the additional cost individuals may have to bear due to this will only amount to SEK 400 every fifth year. This must be placed in relation to the aim of the proposals, which is to protect individuals, among other things from the financial inconvenience that can arise when an individual’s identity is used for fraudulent purposes.

For companies performing identity checks, our proposals mean that document checks will be facilitated and the risk of being subjected to fraud will decrease. Even if our proposals do not prohibit the issue of other ID cards than government ones, they can be expected to have certain consequences for companies issuing cards certified by the Swedish Standards Institute. As these cards only make up a small proportion of identity documents issued, the consequences for these issuers should be relatively limited. Both companies issuing other forms of electronic identification and companies with eServices can benefit from the government electronic identification we propose.

1. Författningsförslag

1.1. Förslag till lag om statliga identitetshandlingar

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

1 § Statligt identitetskort och pass (statliga fysiska identitetshandlingar) är tillsammans med statlig e-legitimation de identitetshandlingar som staten utfärdar.

Denna lag innehåller bestämmelser om statligt identitetskort och statlig e-legitimation.

Bestämmelser om pass finns i passlagen (1978:302).

2 § Ett statligt identitetskort får utfärdas med eller utan funktion som resehandling och får innehålla en statlig e-legitimation.

Ett identitetskort som utfärdas med funktion som resehandling får användas som resehandling enligt bestämmelserna i 5 § andra stycket 5 och tredje stycket 1 passlagen (1978:302).

Identitetskort med eller utan funktion som resehandling får utfärdas till svenska medborgare. Ett identitetskort utan funktion som resehandling får även utfärdas till personer som inte är svenska medborgare men som är folkbokförda i Sverige enligt folkbokföringslagen (1991:481).

3 § Den statliga e-legitimationen ska finnas i ett lagringsmedium på det statliga identitetskortet. E-legitimationen får utfärdas till en person som har fyllt 13 år.

E-legitimationen ska utfärdas på den högsta tillitsnivån enligt tillitsramverket i lagen (20xx:xx) om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Den ska utformas enligt de tekniska specifikationerna i den lagen.

E-legitimationen ska uppfylla de krav som ställs för att kunna skapa en avancerad elektronisk underskrift enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

4 § Statligt identitetskort och statlig e-legitimation utfärdas av de myndigheter som regeringen bestämmer.

5 § Ett statligt identitetskort ska utfärdas med en giltighetstid av fem år om inte annat följer av föreskrifter om begränsning av giltighetstiden i särskilt angivna fall som meddelas av regeringen eller den myndighet regeringen bestämmer.

En statlig e-legitimation ska ha samma giltighetstid som det identitetskort den finns på.

6 § Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om villkor för när och hur den statliga e-legitimationen får användas.

2 kap. Identitetshandlingarnas innehåll

1 § Ett statligt identitetskort med funktion som resehandling ska innehålla uppgift om innehavarens medborgarskap.

2 § Ett statligt identitetskort utan funktion som resehandling ska innehålla uppgift om att det inte kan användas som resehandling.

3 § Ett statligt identitetskort ska innehålla fingeravtryck och ansiktsbild i ett lagringsmedium på identitetskortet om det inte av 3 kap. 9– 10 §§ följer att fingeravtryck inte behöver lämnas.

4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka andra uppgifter som det statliga identitetskortet och den statliga e-legitimationen ska innehålla.

3 kap. Ansökningsförfarandet

Ansökan

1 § Det statliga identitetskortet och den statliga e-legitimationen utfärdas efter ansökan.

Bestämmelserna om ansökan om statligt identitetskort i detta kapitel gäller även för en ansökan om statlig e-legitimation.

2 § En ansökan om ett statligt identitetskort ska avslås om förutsättningarna enligt 1 kap. 2–3 §§ inte är uppfyllda eller om det som anges i detta kapitel, i kapitel 4 eller i föreskrifter om ansökningsförfarandet som har meddelats i anslutning till lagen inte har iakttagits och sökanden inte har följt en uppmaning att avhjälpa bristen.

Personlig inställelse

3 § Den som ansöker om ett statligt identitetskort ska inställa sig personligen om inte annat följer av 4 §.

4 § En ansökan om ett statligt identitetskort utan funktion som resehandling får göras genom bud om sökanden på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten. Budet ska inställa sig personligen för att lämna in ansökan.

Sökanden ska styrka att han eller hon är förhindrad att ta sig till den utfärdande myndigheten genom ett skriftligt intyg från en företrädare för den inrättning för vård eller omsorg som sökanden vistas på eller den som ansvarar för sökandens vård eller omsorg.

Budet och ett vittne ska i en skriftlig försäkran intyga att ansökan gjorts av sökanden och att det fotografi som bifogas ansökan enligt 9 § föreställer sökanden.

Styrkande av identitet och andra personuppgifter

5 § Sökanden är skyldig att vid ansökan om ett statligt identitetskort styrka sin identitet och övriga personuppgifter som krävs för att identitetskort ska kunna utfärdas.

Vid ansökan om ett identitetskort med funktion som resehandling ska sökanden styrka sitt svenska medborgarskap.

6 § Identiteten ska styrkas med en statlig fysisk identitetshandling.

När ansökan görs genom bud ska både budets och sökandens identitet styrkas med statliga fysiska identitetshandlingar i samband med att ansökan lämnas in.

7 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 6 § när det gäller sökande och bud som inte har en statlig fysisk identitetshandling.

Skyldighet att lämna fingeravtryck och ta ansiktsbild

8 § Sökanden är skyldig att vid ansökan låta den utfärdande myndigheten ta sökandens fingeravtryck och en bild i digitalt format av sökandens ansikte om inte annat följer av 9–10 §§.

9 § När ansökan görs genom bud och sökanden därför inte kan lämna fingeravtryck eller låta myndigheten ta en digital ansiktsbild ska sökanden i stället ge in ett välliknande fotografi.

10 § Skyldigheten i 8 § att låta den utfärdande myndigheten ta sökandens fingeravtryck gäller inte för barn under sex år eller för personer som av fysiska skäl är förhindrade att lämna fingeravtryck.

Kontroll av fingeravtryck och ansiktsbild

11 § Om en sökande styrker sin identitet med en identitetshandling som innehåller ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade får den utfärdande myndigheten kontrollera att dessa motsvarar de fingeravtryck och den ansiktsbild som tas vid ansökningstillfället.

12 § Om en sökande som har beviljats uppehållstillstånd i Sverige styrker sin identitet på annat sätt än genom en sådan identitetshandling som avses i 11 §, får den utfärdande myndigheten kontrollera att de fingeravtryck och den ansiktsbild som tas vid ansökningstillfället motsvarar de fingeravtryck och den ansiktsbild som finns lagrade i sökandens uppehållstillståndskort.

13 § Den utfärdande myndigheten får, under de förutsättningar som anges i 6 kap. 10 § andra stycket och 37 § andra stycket passlagen (1978:302), jämföra den ansiktsbild som tas vid ansökningstillfället och de biometriska uppgifter som tas fram ur denna med ansiktsbilder och biometriska uppgifter som finns i det register som ska föras enligt 6 kap. 5 § och i passregistret enligt 35 § passlagen.

4 kap. Utlämnande

1 § Ett statligt identitetskort ska lämnas ut till sökanden personligen. Om ansökan har gjorts genom bud i enlighet med 3 kap. 4 § får det statliga identitetskortet lämnas ut till budet personligen.

2 § Om ett statligt identitetskort ska lämnas ut av en utfärdande myndighet utom riket, får myndigheten medge att det görs hos ett ombud för myndigheten.

3 § Innan det statliga identitetskortet lämnas ut är sökanden skyldig att på begäran styrka sin identitet med en statlig fysisk identitetshandling eller på något av de sätt som anges i föreskrifter om undantag vid ansökan som meddelats med stöd av 3 kap. 7 §. Om det statliga identitetskortet lämnas ut till ett bud ska både budets och sökandens identitet styrkas på något av dessa sätt.

Sökanden är även skyldig att på begäran lämna fingeravtryck och låta en bild i digitalt format tas av ansiktet för kontroll av om dessa motsvarar de fingeravtryck och den ansiktsbild som finns lagrade på det identitetskort som ska lämnas ut.

4 § Om ett statligt identitetskort tidigare har utfärdats för sökanden och det inte har förstörts, kommit bort eller makulerats, ska kortet ges in för makulering när det nya kortet lämnas ut.

5 kap. Återkallelse

1 § Ett statligt identitetskort ska återkallas om

1. det fanns hinder mot att utfärda identitetskortet vid tiden för utfärdandet och hindret fortfarande består,

2. någon väsentlig uppgift som framgår av identitetskortet är felaktig eller inte längre gäller,

3. någon annan än den som identitetskortet är utställt på förfogar över kortet, eller

4. identitetskortet är trasigt, utslitet eller obehörigen ändrat.

2 § Om ett statligt identitetskort återkallas enligt 1 § upphör även den statliga e-legitimationen att gälla.

Utan att det påverkar giltigheten av identitetskortet ska e-legitimationen återkallas om det är nödvändigt av säkerhetsskäl.

En sådan återkallelse av e-legitimationen kan, om det är lämpligt med hänsyn till omständigheterna, begränsas till viss bestämd tid, dock högst sex månader. Återkallelsen ska hävas så snart de omständigheter som påkallat återkallelsen har upphört.

6 kap. Behandling av personuppgifter

Inledande bestämmelser

Förhållandet till annan reglering

1 § Detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Personuppgiftsansvar

2 § Den myndighet som för register över statliga identitetskort och statliga e-legitimationer är personuppgiftsansvarig för behandling av personuppgifter i registret.

De utfärdande myndigheterna är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet i övrigt utför i verksamheten med statliga identitetskort och statliga e-legitimationer.

Ändamål

3 § Personuppgifter får behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av statligt identitetskort och statlig e-legitimation.

Personuppgifter som behandlas enligt första stycket får även behandlas

1. om det är nödvändigt för utfärdande av pass,

2. av Polismyndigheten om det är nödvändigt för gränskontroll,

3. av Polismyndigheten om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

4. om det är nödvändigt för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning, och

5. för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Register över identitetskort och e-legitimationer

Register som ska föras

5 § Den myndighet som regeringen bestämmer ska med hjälp av automatiserad behandling föra register över statliga identitetskort och statliga e-legitimationer.

Personuppgifter som ska eller får behandlas

6 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i registret endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

7 § Registret ska innehålla en kopia av vid ansökningstillfället tagen ansiktsbild eller inlämnat fotografi enligt 3 kap. 8–9 §§ och de biometriska uppgifter som tas fram ur dessa.

Registret får inte innehålla fingeravtryck eller de biometriska uppgifter som kan tas fram ur dessa.

8 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om vilka uppgifter registret ska eller får innehålla.

Sökbegränsningar

9 § Känsliga personuppgifter som avses i 6 § och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte användas som sökbegrepp i registret om inte annat följer av 10 § andra stycket.

10 § Ansiktsbilder och fotografier får inte användas som sökbegrepp om inte annat följer av andra stycket.

Vid ansökan om statligt identitetskort eller om pass får den ansiktsbild som tas eller det fotografi som lämnas in samt de biometriska uppgifter som tas fram ur dessa användas som sökbegrepp vid

sökning i registret om det är nödvändigt för att kontrollera om ansiktsbilden eller fotografiet motsvarar någon ansiktsbild som finns i registret.

Utlämnande av uppgift om identitetskorts giltighet

11 § Uppgift om giltigheten av ett statligt identitetskort får lämnas ut genom direktåtkomst.

Längsta tid som personuppgifter får behandlas

12 § Personuppgifter och handlingar i registret får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, dock längst tio år efter utgången av det kalenderår då

1. giltighetstiden för ett identitetskort gått ut,

2. en ansökan om identitetskort avslagits, eller

3. en ansökan återkallats. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgifter och handlingar får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål under längre tid än vad som anges i första stycket.

Tillfällig behandling av fingeravtryck, ansiktsbilder och biometriska uppgifter i samband med utfärdandet

Behandling av fingeravtryck

13 § De fingeravtryck som tas vid ansökan och de biometriska uppgifter som kan tas fram ur dessa får behandlas under tiden ärendet med anledning av ansökan om ett statligt identitetskort pågår.

Sökbegränsning

14 § Fingeravtryck och biometriska uppgifter som kan tas fram ur dessa får inte användas som sökbegrepp.

Längsta tid som personuppgifterna tillfälligt får behandlas

15 § När en kontroll har genomförts vid ansökningstillfället enligt 3 kap. 11 eller 12 § ska de fingeravtryck och den ansiktsbild som då har tagits fram ur den handling som sökanden har lämnat över och de biometriska uppgifter som tagits fram ur dessa omedelbart förstöras.

16 § När en kontroll har genomförts vid utlämnandet enligt 4 kap. 3 § andra stycket ska de fingeravtryck och den ansiktsbild som då har tagits och de biometriska uppgifter som tagits fram omedelbart förstöras.

17 § De fingeravtryck som tas vid ansökningstillfället och de biometriska uppgifter som tas fram ur dessa ska omedelbart förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits.

7 kap. Beslut

1 § Beslut enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

2 § Beslut enligt denna lag gäller omedelbart, om inte något annat anges i beslutet.

1. Denna lag träder i kraft den 1 januari 2022.

2. Genom lagen upphävs lagen (2015:899) om identitetskort för folkbokförda i Sverige.

3. Vid tillämpningen av 3 kap. 6 § och 4 kap. 3 § första stycket ska med statlig fysisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

4. Vid tillämpningen av 4 kap. 4 § ska med statligt identitetskort jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige.

5. Ärenden om utfärdande av identitetskort som har inletts hos passmyndighet eller Skatteverket före ikraftträdandet men som ännu inte har avgjorts handläggs enligt äldre föreskrifter.

6. Uppgifter och handlingar i registret över nationella identitetskort och databasen med uppgifter om identitetskort för folkbokförda i Sverige ska i och med ikraftträdandet föras över till registret över statliga identitetskort.

7. Skatteverket får behandla uppgifter och handlingar i databasen med uppgifter om identitetskort för folkbokförda i Sverige längst till och med den 30 juni 2022. Uppgifter och handlingar som avser ansökningar om identitetskort som avslutats hos Skatteverket under övergångstiden ska föras över till registret över statliga identitetskort.

8. Bestämmelserna om återkallelse gäller även nationella identitetskort och identitetskort för folkbokförda i Sverige som utfärdats av passmyndighet eller Skatteverket.

1.2. Förslag till förordning om statliga identitetshandlingar

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § Denna förordning innehåller bestämmelser som kompletterar lagen (20xx:xx) om statliga identitetshandlingar.

2 § Denna förordning är meddelad med stöd av

– 1 kap. 4 § lagen (20xx:xx) om statliga identitetshandlingar i fråga om 3 §,

– 1 kap. 5 § första stycket lagen om statliga identitetshandlingar i fråga om 16 §,

– 3 kap. 7 § lagen om statliga identitetshandlingar i fråga om 8–14 §§, – 6 kap. 5 § lagen om statliga identitetshandlingar i fråga om 24 §, – 6 kap. 12 § andra stycket lagen om statliga identitetshandlingar i fråga om 28 §,

8 kap. 11 § regeringsformen i fråga om 33 §, och – 8 kap. 7 § regeringsformen i fråga om övriga bestämmelser.

3 § Polismyndigheten får utfärda statligt identitetskort och statlig e-legitimation enligt lagen (20xx:xx) om statliga identitetshandlingar.

Andra passmyndigheter som avses i 2 § tredje stycket passlagen (1978:302) får utfärda sådana handlingar till svenska medborgare.

Ansökningsförfarandet

Ansökan

4 § Bestämmelserna om ansökan om statligt identitetskort i 5–17 §§ gäller även för en ansökan om statlig e-legitimation.

5 § En ansökan om statligt identitetskort ska göras skriftligen och undertecknas av sökanden i närvaro av den person som tar emot den.

Om ansökan görs genom bud enligt 3 kap. 4 § lagen (20xx:xx) om statliga identitetshandlingar ska ansökan undertecknas av sökanden

i närvaro av budet och vittnet. Kravet på att ansökan ska undertecknas gäller inte den som inte kan skriva sitt namn.

Ansökan genom bud

6 § Ett bud enligt 3 kap. 4 § lagen (20xx:xx) om statliga identitetshandlingar ska känna sökanden väl. Budet ska i relation till sökanden vara

1. vårdnadshavare,

2. förälder,

3. barn eller barnbarn över 18 år,

4. hel- eller halvsyskon över 18 år,

5. mor- eller farförälder,

6. make eller maka,

7. registrerad partner,

8. sambo,

9. familjehemsförälder, 10. god man eller förvaltare, eller 11. anställd vid den inrättning som utfärdat det intyg som avses i 3 kap. 4 § andra stycket lagen om statliga identitetshandlingar och ha en yrkesmässig relation till sökanden.

Budet ska på begäran styrka sin relation till sökanden.

7 § Ett vittne enligt 3 kap. 4 § tredje stycket lagen (20xx:xx) om statliga identitetshandlingar ska ha fyllt 18 år.

Styrkande av identitet och andra personuppgifter

8 § Om en sökande inte har en statlig fysisk identitetshandling kan sökanden, trots det som anges i 3 kap. 6 § lagen (20xx:xx) om statliga identitetshandlingar, i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av

Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006.

9 § Om sökanden vare sig har en statlig identitetshandling eller en sådan identitetshandling som avses i 8 § kan identiteten styrkas genom att någon som känner sökanden väl (intygsgivare) vid ansökningstillfället skriftligen intygar att sökandens uppgifter om identiteten är riktiga. Ett skriftligt intyg ska vara undertecknat av intygsgivaren.

Intygsgivaren ska i relation till sökanden vara

1. vårdnadshavare,

2. förälder,

3. barn eller barnbarn över 18 år,

4. hel- eller halvsyskon över 18 år,

5. mor- eller farförälder,

6. make eller maka,

7. registrerad partner,

8. sambo,

9. familjehemsförälder, 10. god man eller förvaltare, 11. arbetsgivare som sökanden har varit anställd hos i minst ett år, eller

12. tjänsteman vid en myndighet som har en yrkesmässig relation till sökanden.

10 § En intygsgivare ska vara närvarande vid identitetskontrollen av sökanden och styrka sin egen identitet med en statlig fysisk identitetshandling. Om intygsgivaren inte har en sådan handling kan han eller hon i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island,

Liechtenstein, Norge eller Schweiz från och med den 1 september 2006. Intygsgivaren ska på begäran styrka sin relation till sökanden.

11 § Om en ansökan görs genom bud får budet även vara intygsgivare.

12 § En sökande som har uppehållstillstånd i Sverige och som saknar en statlig fysisk identitetshandling eller en handling som avses i 8 §, ska anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan stämmer överens med vad som har registrerats i fråga om uppehållstillståndet.

Identiteten ska dock inte anses ha styrkts på det sätt som anges i första stycket om särskilda skäl talar emot det.

De uppgifter i ansökan om statligt identitetskort som ska stämma överens enligt första stycket är sådana uppgifter som anges i 9 § andra stycket eller 10 § andra stycket utlänningsdataförordningen (2016:30).

13 § Om sökanden vare sig har en statlig fysisk identitetshandling eller en sådan handling som avses i 8 § och inte heller kan styrka sin identitet på något av de sätt som anges i 9–12 §§ får den utfärdande myndigheten godta att identiteten styrks på något annat tillförlitligt sätt.

Vad som anges i första stycket får inte tillämpas när ansökan görs genom bud.

14 § Om budet inte har en statlig identitetshandling kan budet i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006.

Medgivande från vårdnadshavare

15 § En sökande som är under arton år är skyldig att vid ansökan ge in ett skriftligt medgivande från hans eller hennes vårdnadshavare, om det inte finns synnerliga skäl att ändå utfärda ett identitetskort.

Begränsning av giltighetstiden

16 § För sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck ska det statliga identitetskortet ges giltighet endast så lång tid som det fysiska hindret förväntas bestå. Giltighetstiden får dock inte överstiga sju månader.

För sökande som kan antas komma att befrias från eller förlora sitt svenska medborgarskap ska ett identitetskort med funktion som resehandling ges giltighet endast till den tidpunkt då medborgarskapet beräknas upphöra.

Ansökan vid utfärdande myndighet utom riket

17 § När en ansökan om statligt identitetskort har tagits emot av en utfärdande myndighet utom riket ska myndigheten snarast sända ett exemplar av ansökningsblanketten, tillsammans med en ansiktsbild eller ett fotografi, till Polismyndigheten.

Återkallelse

18 § Återkallelse av ett statligt identitetskort som är utfärdat till en svensk medborgare beslutas av

1. Polismyndigheten om kortinnehavaren befinner sig i Sverige när ärendet tas upp,

2. den utfärdande myndigheten på den ort där kortinnehavaren uppehåller sig utom riket när ärendet tas upp, eller

3. den myndighet som har utfärdat kortet.

19 § Återkallelse av identitetskort som är utfärdat till en person som inte är svensk medborgare beslutas av Polismyndigheten.

20 § Återkallelse av enbart den statliga e-legitimationen och hävande av sådan återkallelse enligt 5 kap. 2 § andra och tredje styckena lagen (20xx:xx) om statliga identitetshandlingar beslutas av Polismyndigheten.

21 § En utfärdande myndighet som enligt 18–20 §§ är behörig att besluta i ärenden om återkallelse ska så snart som möjligt ta upp ett sådant ärende om myndigheten får kännedom om att en omständighet som avses i 5 kap. 1 eller 2 § lagen (20xx:xx) om statliga identitetshandlingar föreligger. Är även en annan myndighet behörig att besluta om återkallelse, ska den myndigheten underrättas om att ärendet har tagits upp.

22 § En utfärdande myndighet utom riket ska omedelbart underrätta Polismyndigheten om ett beslut att återkalla ett statligt identitetskort.

23 § Om ett statligt identitetskort har återkallats, är kortinnehavaren eller den som annars förfogar över kortet skyldig att på begäran av en utfärdande myndighet överlämna kortet till myndigheten eller till en annan myndighet.

Om ett sådant återkallat identitetskort redan finns hos eller uppvisas för en utfärdande myndighet, får kortet tas om hand av myndigheten. Om identitetskortet finns hos en annan myndighet, ska det på begäran av den utfärdande myndigheten överlämnas till denna.

Register över identitetskort och e-legitimationer

Registerförande myndighet

24 § Polismyndigheten ska föra det register över statliga identitetskort och statliga e-legitimationer som avses i 6 kap. 5 § lagen (20xx:xx) om statliga identitetshandlingar.

Registrets innehåll

25 § Utöver de uppgifter som anges i 6 kap. 7 § första stycket lagen (20xx:xx) om statliga identitetshandlingar ska registret även innehålla uppgifter om

1. sökandens fullständiga namn, personnummer eller, i förekommande fall, samordningsnummer, födelsetid, svenskt medborgarskap, behövliga kontaktuppgifter, längd och kön,

2. dag för utfärdande av identitetskortet, kortnummer och giltighetstid,

3. sökandens namnteckning eller, i förekommande fall, anteckning om anledningen till att namnteckning saknas,

4. hur sökanden har styrkt sin identitet,

5. intygsgivare, bud, vittne och företrädare för inrättning för vård eller omsorg i förekommande fall,

6. den information som finns i den e-legitimation som finns i lagringsmediet på identitetskortet,

7. beslut om att ansökan har avslagits, skälen för detta beslut och uppgift om att ansökan har återkallats, och

8. att identitetskortet eller e-legitimationen har förlustanmälts eller återkallats och vad som har utgjort skäl för beslutet om återkallelse.

26 § En handling som har kommit in eller upprättats i ett ärende får behandlas i registret.

27 § Registret får tillföras sådana uppgifter från Skatteverkets folkbokföringsdatabas som anges i 25 §.

Längsta tid som personuppgifter får behandlas

28 § Riksarkivet får, efter att ha inhämtat synpunkter från Polismyndigheten, meddela föreskrifter om att personuppgifter och handlingar får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål under längre tid än vad som anges i 6 kap. 12 § första stycket lagen (20xx:xx) om statliga identitetshandlingar.

Tillgång till uppgifter hos Migrationsverket

29 § En utfärdande myndighet har rätt att ta del av uppgifter som

Migrationsverket behandlar enligt 11 § utlänningsdatalagen (2016:27) vid direktåtkomst enligt 19 § samma lag.

Migrationsverket ska på begäran av en utfärdande myndighet lämna ut sådana uppgifter som anges i 9 § andra stycket eller 10 § andra stycket utlänningsdataförordningen (2016:30) och som myndigheten behöver för handläggning av en ansökan om statligt identitetskort.

Tillgången till uppgifter som avses i första stycket ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Makulering

30 § En utfärdande myndighet ska makulera ett statligt identitetskort när det har återkallats samt när ett nytt statligt identitetskort utfärdas till samma innehavare.

Övriga bestämmelser

31 § En innehavare av ett statligt identitetskort har rätt att hos en utfärdande myndighet kontrollera den information som har sparats i lagringsmediet på identitetskortet.

32 § En sökande ska för handläggningen av en ansökan betala en avgift om X kronor, som ska vara betald när ansökan ges in. Om avgiften inte är betald då tillämpas bestämmelserna i 11 § avgiftsförordningen (1992:191).

För avgiften gäller i övrigt bestämmelserna i 1214 §§avgiftsförordningen.

För identitetskort som utfärdas vid en utfärdande myndighet utom riket tas avgift ut enligt förordningen (1997:691) om avgifter vid utlandsmyndigheterna.

33 § Polismyndigheten får meddela de ytterligare föreskrifter som behövs för verkställigheten av lagen (20xx:xx) om statliga identitetshandlingar och för denna förordning när det gäller identitetskort som utfärdas inom riket. Vid föreskrifter som gäller svenska medborgare ska Regeringskansliet (Utrikesdepartementet) höras.

Regeringskansliet får, efter att ha hört Polismyndigheten, meddela motsvarande föreskrifter när det gäller identitetskort till svenska medborgare som utfärdas av myndigheter utom riket.

34 § Regeringskansliet får när det gäller identitetskort med funktion som resehandling medge avvikelser från lagen (20xx:xx) om statliga identitetshandlingar och denna förordning, när det krävs på grund av särskilda förhållanden.

1. Denna förordning träder i kraft den 1 januari 2022.

2. Genom förordningen upphävs förordningen (2005:661) om nationellt identitetskort och förordningen (2015:904) om identitetskort för folkbokförda i Sverige.

3. Vid tillämpningen av 10 § ska med statlig fysisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

4. Bestämmelserna om återkallelse och makulering av statliga identitetskort gäller även nationella identitetskort och identitetskort för folkbokförda i Sverige som utfärdats av passmyndighet eller Skatteverket. Om Skatteverket har utfärdat kortet ska vid denna tillämpning Polismyndigheten anses vara utfärdande myndighet.

1.3. Förslag till lag om ändring i passlagen (1978:302)

Härigenom föreskrivs i fråga om passlagen (1978:302)

dels att 5–7 §§ och 12 § ska ha följande lydelse,

dels att det ska införas nio nya paragrafer, 6 c–6 h §§, 35–37 §§

och närmast före 6 f § och 35 § nya rubriker, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §1

En svensk medborgare får inte resa ut ur riket utan att medföra giltigt pass.

Första stycket gäller inte

1. mönstrat sjöfolk på fartyg under tjänstgöring ombord på fartyget eller fiskare under yrkesutövning,

2. medlem av besättning på luftfartyg under tjänstgöring ombord på luftfartyget, om han eller hon har flygcertifikat eller därmed jämförlig handling,

3. den som är medborgare även i en annan stat än Sverige och som medför legitimationshandling som gäller som pass och är utfärdad av en myndighet i den staten,

4. den som reser till någon av de stater mot vilka gränskontroll inte genomförs enligt Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna), eller

5. den som reser till en annan stat inom Europeiska unionen än en sådan stat som avses i 4 och som medför ett giltigt identitetskort utfärdat av en passmyndighet.

5. den som reser till en annan stat inom Europeiska unionen än en sådan stat som avses i 4 och som medför ett giltigt statligt identitetskort med funktion som rese-

handling som avses i 1 kap. 2 § andra stycket lagen (20xx:xx) om statliga identitetshandlingar.

1 Senaste lydelse 2018:31.

En svensk medborgare ska vid inresa från en annan stat medföra giltigt pass. Detta gäller dock inte

1. om det svenska medborgarskapet kan styrkas på annat sätt, exempelvis genom uppvisande av ett giltigt identitetskort utfärdat

av en passmyndighet, eller

1. om det svenska medborgarskapet kan styrkas på annat sätt, exempelvis genom uppvisande av ett giltigt statligt identitetskort

med funktion som resehandling som avses i 1 kap. 2 § andra stycket lagen om statliga identitetshandlingar, eller

2. vid inresa från en stat mot vilken gränskontroll inte genomförs enligt kodexen om Schengengränserna.

5 a §2

Polismyndigheten ska övervaka att bestämmelserna i 5 § följs. Den som enligt 5 § ska medföra pass ska på begäran

Den som enligt 5 § ska medföra pass eller statligt identitets-

kort med funktion som resehandling ska på begäran

1. överlämna passet till en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket, och

1. överlämna passet eller iden-

titetskortet till en polisman, en

särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket, och

2. låta en befattningshavare enligt 1 ta passinnehavarens fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns sparade i passet.

2. låta en befattningshavare enligt 1 ta fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns sparade i passet eller identitets-

kortet.

2 Senaste lydelse 2015:336.

Den som enligt 5 § i stället medför ett identitetskort utfärdat av en passmyndighet ska på begäran

1. överlämna identitetskortet till en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket, och

2. låta en befattningshavare enligt 1 ta en bild i digitalt format av hans eller hennes ansikte för kontroll av att denna motsvarar den ansiktsbild som finns sparad i identitetskortet.

När en kontroll enligt andra stycket 2 eller tredje stycket 2 har genomförts, ska fingeravtrycken och ansiktsbilden samt de biometriska data som då har tagits fram omedelbart förstöras.

När en kontroll enligt andra stycket 2 har genomförts, ska fingeravtrycken och ansiktsbilden samt de biometriska uppgifter som då har tagits fram omedelbart förstöras.

6 §3

Passansökan görs hos en passmyndighet. Ansökan ska avges på heder och samvete eller under annan sådan försäkran. Sökanden är skyldig att inställa sig personligen.

Sökanden är skyldig att i samband med passansökan

1. låta passmyndigheten ta sökandens fingeravtryck och en bild i digitalt format av sökandens ansikte, och

2. styrka sin identitet, sitt svenska medborgarskap och övriga personuppgifter.

(för bestämmelserna i tredje och fjärde styckena se 6 e och 6 h §§)

Identiteten ska styrkas med en statlig fysisk identitetshandling, dvs. ett pass eller ett statligt identitetskort enligt lagen (20xx:xx) om statliga identitetshandlingar.

3 Senaste lydelse 2009:387.

6 a §4

Fingeravtrycken och ansiktsbilden enligt 6 § andra stycket 1 ska sparas i ett lagringsmedium i passet. Fingeravtrycken och de biometriska data som tas fram ur dessa och ur ansiktsbilden ska omedelbart förstöras när passet

har lämnats ut eller passansökan

har återkallats eller avslagits.

Fingeravtrycken och ansiktsbilden som enligt 6 § andra stycket 1 kan tas vid ansökningstill-

fället ska sparas i ett lagrings-

medium i passet.

Fingeravtrycken och de biometriska uppgifter som tas fram ur dessa, får behandlas under tiden

ärendet med anledning av passansökan pågår, men ska omedel-

bart förstöras när passet lämnas ut eller passansökan återkallas eller

avslås.

6 b §5

Fingeravtrycken och ansikts-

bilden enligt 6 § andra stycket 1 samt de biometriska data som kan

tas fram ur dessa får inte användas vid sökning med hjälp av

automatiserad behandling.

Fingeravtrycken som tas vid

ansökningstillfället och de biomet-

riska uppgifter som kan tas fram ur dessa får inte användas som

sökbegrepp.

6 c §

Om en sökande styrker sin identitet med en identitetshandling som innehåller ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade får passmyndigheten kontrollera att dessa motsvarar de fingeravtryck och den ansiktsbild som tas vid ansökningstillfället.

När en kontroll enligt första stycket har genomförts ska de fingeravtryck och den ansiktsbild som då har tagits fram ur den handling som sökanden har lämnat över och

4 Senaste lydelse 2009:387. 5 Senaste lydelse 2009:387.

de biometriska uppgifter som tagits fram ur dessa omedelbart förstöras.

6 d §

Passmyndigheten får, under de förutsättningar som anges i 37 § andra stycket och 6 kap. 10 § andra stycket lagen (20xx:xx) om statliga identitetshandlingar, jämföra den ansiktsbild som tas vid ansökningstillfället och de biometriska uppgifter som tas fram ur denna med ansiktsbilder och biometriska uppgifter som finns i passregistret enligt 35 § och i det register som ska föras enligt 6 kap. 5 § lagen om statliga identitetshandlingar.

(6 § tredje stycket)

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från skyldigheten att lämna fingeravtryck när det gäller barn under tolv år och personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck. Regeringen eller den myndighet som regeringen bestämmer får också, när det gäller särskilt pass, meddela föreskrifter om att sökanden är skyldig att i samband med passansökan ge in fotografier och om undantag från skyldigheterna i första stycket tredje meningen och i andra stycket 1.

6 e §

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från skyldigheten enligt 6 §

andra stycket 1 att lämna finger-

avtryck för barn under tolv år och

för personer som av fysiska skäl

är permanent förhindrade att lämna fingeravtryck samt från skyl-

digheten enligt 6 § tredje stycket att styrka identiteten med en statlig fysisk identitetshandling för sökande som inte har en sådan handling.

Regeringen eller den myndighet som regeringen bestämmer får också, när det gäller särskilt pass, meddela föreskrifter om att sökanden är skyldig att vid passansökan ge in fotografier och om

undantag från skyldigheterna i

6 § första stycket tredje meningen

och i andra stycket 1 om person-

lig inställelse, ansiktsbilder och fingeravtryck.

Utlämnande

6 f §

Ett pass ska så snart som möjligt efter utfärdandet lämnas ut till sökanden personligen.

När pass ska lämnas ut av passmyndighet utom riket, kan myndigheten medge att det sker hos ombud för myndigheten.

6 g §

Innan passet lämnas ut är sökanden skyldig att på begäran styrka sin identitet med en statlig fysisk identitetshandling eller på något av de sätt som anges i föreskrifter om undantag vid ansökan som meddelats med stöd av 6 e § första stycket.

Sökanden är även skyldig att på begäran lämna fingeravtryck och låta en bild i digitalt format tas av ansiktet för kontroll av om dessa motsvarar de fingeravtryck och den ansiktsbild som finns lagrade i det pass som ska lämnas ut.

När en kontroll enligt andra stycket har genomförts ska de fingeravtryck och den ansiktsbild som då har tagits och de biometriska uppgifter som tagits fram omedelbart förstöras.

(6 § fjärde stycket)

Om det tidigare har utfärdats

ett pass för sökanden och detta

inte har förstörts, förkommit eller makulerats, ska passet ges in i

samband med att ansökan görs, om det inte finns särskilda skäl mot det.

6 h §

Om ett pass tidigare har ut-

färdats för sökanden och det inte

har förstörts, kommit bort eller makulerats, ska passet ges in för

makulering när det nya passet lämnas ut.

7 §6

Passansökan ska avslås, om

1. bestämmelserna i 6 § inte har iakttagits och sökanden inte har följt uppmaningen att avhjälpa bristen,

1. det som anges om ansök-

ningsförfarandet i denna lag eller i föreskrifter som har meddelats i anslutning till lagen inte har iakt-

tagits och sökanden inte har följt uppmaningen att avhjälpa bristen,

2. ansökan avser pass för barn under arton år och barnets vårdnadshavare inte har lämnat medgivande och det inte finns synnerliga skäl att ändå utfärda pass,

3. sökanden är anhållen, häktad eller underkastad övervakning enligt 24 kap. 4 § första stycket rättegångsbalken eller reseförbud eller anmälningsskyldighet enligt 25 kap. 1 § samma balk,

4. sökanden är föremål för ett beslut om övervakningsåtgärder enligt 2 kap. 1 § lagen (2015:485) om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åklagare inte har lämnat medgivande,

5. sökanden är föremål för en uppföljningsförklaring som avser en övervakningsåtgärd enligt 3 kap. 3 § 3–5 lagen (2015:485) om erkännande och uppföljning av beslut om övervakningsåtgärder inom Europeiska unionen och åklagare inte har lämnat medgivande,

6. sökanden är efterlyst och ska omhändertas omedelbart vid anträffandet,

7. sökanden genom en dom som har fått laga kraft har dömts till frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta att han eller hon har för avsikt att undandra sig verkställigheten,

6 Senaste lydelse 2015:486.

8. sökanden avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och sökanden inte har villkorligt frigivits,

9. sökanden genomgår sluten ungdomsvård och den sammanlagda vårdtiden är minst ett år,

10. sökanden genomgår rättspsykiatrisk vård med särskild utskrivningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård, eller

11. sökanden enligt 2 kap. 12 § eller 6 kap. 6 §konkurslagen (1987:672) är ålagd att lämna ifrån sig sitt pass eller förbud att utfärda pass för sökanden har meddelats enligt samma bestämmelser.

12 §7

Passmyndigheten skall återkalla gällande pass, om

Passmyndigheten ska återkalla gällande pass, om

1. passinnehavaren har förlorat

eller efter ansökan har befriats från sitt svenska medborgarskap,

1. någon väsentlig uppgift som

framgår av passet är felaktig eller inte längre gäller,

2. passet avser barn under arton år och barnets vårdnadshavare eller, om barnet vistas här i landet och står under vårdnad av båda föräldrarna, en av dem begär att passet skall återkallas och det inte finns synnerliga skäl mot återkallelse,

2. passet avser barn under arton år och barnets vårdnadshavare eller, om barnet vistas här i landet och står under vårdnad av båda föräldrarna, en av dem begär att passet ska återkallas och det inte finns synnerliga skäl mot återkallelse,

3. passinnehavare, som är efterlyst och skall omhändertas omedelbart vid anträffandet, uppehåller sig utomlands och det av särskilda skäl är motiverat att passet återkallas,

3. passinnehavare, som är efterlyst och ska omhändertas omedelbart vid anträffandet, uppehåller sig utomlands och det av särskilda skäl är motiverat att passet återkallas,

4. passinnehavaren genom en dom som har vunnit laga kraft har dömts till frihetsberövande påföljd, som inte har börjat verkställas, och det finns sannolika skäl att anta, att han eller hon har för avsikt att undandra sig verkställigheten,

5. passinnehavaren avtjänar fängelsestraff och den sammanlagda tiden att avtjäna är fängelse i minst ett år och innehavaren inte har villkorligt frigivits,

7 Senaste lydelse 2006:434.

6. passinnehavaren genomgår sluten ungdomsvård och den sammanlagda vårdtiden är minst ett år,

7. passinnehavaren genomgår rättspsykiatrisk vård med särskild utskrivningsprövning enligt lagen (1991:1129) om rättspsykiatrisk vård,

8. hinder mot bifall till passansökan enligt 7 § förelåg vid tiden för passets utfärdande och hindret fortfarande består, eller

9. annan än den för vilken passet är utställt förfogar över passet. Särskilt pass skall dessutom återkallas, när de skäl som har föranlett passets utfärdande inte längre finns.

Särskilt pass ska dessutom återkallas, när de skäl som har föranlett passets utfärdande inte längre finns.

Vad som sägs i första stycket 2 skall inte gälla i det fall pass utfärdats utan vårdnadshavares medgivande enligt 11 § andra stycket.

Vad som sägs i första stycket 2 ska inte gälla i det fall pass utfärdats utan vårdnadshavares medgivande enligt 11 § andra stycket.

Register

35 §

Den passmyndighet som regeringen bestämmer ska med hjälp av automatiserad behandling föra ett passregister och ett register med uppgifter som avses i 20 § 1 och 3.

36 §

Passregistret ska innehålla en kopia av vid ansökningstillfället tagen ansiktsbild eller inlämnat fotografi enligt 6 § andra stycket 1 eller föreskrifter som meddelats med stöd av 6 e § andra stycket och de biometriska uppgifter som tas fram ur dessa.

Registret får inte innehålla fingeravtryck eller biometriska uppgifter som kan tas fram ur dessa.

37 §

Ansiktsbilder och fotografier enligt 6 § andra stycket 1 och 36 § första stycket samt biometriska uppgifter som tas fram ur dessa får inte användas som sökbegrepp om inte annat följer av andra stycket.

Vid ansökan om pass och om statligt identitetskort enligt lagen (20xx:xx) om statliga identitetshandlingar får den ansiktsbild som tas eller det fotografi som lämnas in samt de biometriska uppgifter som tas fram ur dessa användas som sökbegrepp vid sökning i registret om det är nödvändigt för att kontrollera om ansiktsbilden eller fotografiet motsvarar någon ansiktsbild som finns i registret.

1. Denna lag träder i kraft den 1 januari 2022.

2. Vid tillämpningen av 5 § andra stycket 5 och tredje stycket 1 samt 5 a § andra stycket ska med statligt identitetskort jämställas nationellt identitetskort. Om den handling som medförs enligt 5 a § andra stycket är ett nationellt identitetskort gäller inte skyldigheten att låta befattningshavaren ta fingeravtryck.

3. Vid tillämpningen av 6 § tredje stycket och 6 g § första stycket ska med statlig fysisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

4. Bestämmelserna om återkallelse och makulering gäller även pass som utfärdats före ikraftträdandet.

1.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 22 kap. 1 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

22 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser

1. folkbokföringen eller annan liknande registrering av befolkningen och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen, eller

2. förande av eller uttag ur sjömansregistret. Sekretess gäller i verksamhet som avses i första stycket 1 för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

Sekretess gäller i verksamhet som avses i första stycket 1 för uppgift i form av fotografisk bild av den enskilde och biometrisk

uppgift som har tagits fram ur bilden, om det inte står klart att

uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 januari 2022.

1.5. Förslag till lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism

Härigenom föreskrivs att 3 kap. 7 § och 8 kap. 1 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

7 §

En verksamhetsutövare ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa.

Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden.

En person som är personligen närvarande vid kontroll enligt första eller andra styckena, och som är svensk medborgare eller folkbokförd i Sverige, ska styrka sin identitet med ett pass enligt passlagen (1978:302) , ett statligt identitetskort enligt lagen (20xx:xx) om statliga identitetshandlingar eller, om det bedöms lämpligt, en statlig e-legitimation enligt samma lag.

8 kap.

1 §

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. undantag för vissa speltjänster från tillämpning av lagen eller bestämmelser i den,

2. innehållet i och omfattningen av den allmänna riskbedömningen enligt 2 kap. 1 § och om faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

3. undantag från kravet på dokumenterade riskbedömningar enligt 2 kap. 2 §,

4. riskklassificering av kunder enligt 2 kap. 3 §, inbegripet faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

5. innehållet i och omfattningen av interna och gemensamma rutiner enligt 2 kap. 8 och 9 §§,

6. innehållet i rutiner för lämplighetsprövning enligt 2 kap. 13 §,

7. dokumentation av genomförda utbildningar och vilken information och utbildning som ska tillhandahållas anställda enligt 2 kap. 14 §,

8. nödvändiga åtgärder och rutiner för att skydda anställda och andra företrädare enligt 2 kap. 15 §,

9. åtgärder för identitetskontroll enligt 3 kap. 7 och 8 §§,

9. åtgärder för identitetskontroll enligt 3 kap. 7 och 8 §§, med

undantag för de situationer som avses i 3 kap. 7 § tredje stycket,

10. vad som avses med förenklade åtgärder för kundkännedom och i vilka situationer som förenklade åtgärder är tillåtna enligt 3 kap. 15 §,

11. vad som avses med skärpta åtgärder för kundkännedom och i vilka situationer som skärpta åtgärder ska vidtas enligt 3 kap. 16 och 17 §§,

12. hur rapportering till Polismyndigheten ska göras enligt 4 kap. 3 §, 13. hur uppgifter ska lämnas till Polismyndigheten enligt 4 kap. 6 §, 14. system för uppgiftslämning enligt 4 kap. 7 §, 15. bevarande av handlingar och uppgifter enligt 5 kap. 3 §, 16. förutsättningarna för förlängt bevarande av handlingar och uppgifter enligt 5 kap. 4 §,

17. innehållet i och omfattningen av rutiner för intern kontroll och modellriskhantering enligt 6 kap. 1 §,

18. kriterierna för när funktioner som avses i 6 kap. 2 § första stycket ska inrättas samt de krav som ska gälla i fråga om funktionernas organisation, befogenheter och oberoende,

19. organisation, kompetens, befogenheter, funktion och oberoende för den centrala kontaktpunkten enligt 6 kap. 3 §,

20. det särskilda rapporteringssystemet enligt 6 kap. 4 §, och

21. skyldighet för verksamhetsutövare som avses i 1 kap. 2 § första stycket 1–12 att periodiskt eller på begäran lämna uppgifter om sin verksamhet, sina kunder och andra förhållanden som är nödvändiga för att tillsynsmyndigheter ska kunna bedöma den risk som kan förknippas med de verksamhetsutövare som står under tillsyn.

1. Denna lag träder i kraft den 1 januari 2022.

2. Vid tillämpningen av 3 kap. 7 § tredje stycket ska med en statlig fysisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige.

1.6. Förslag till förordning om ändring i passförordningen (1979:664)

Härigenom föreskrivs i fråga om passförordningen (1979:664)8

dels att 21 § ska upphöra att gälla,

dels att 1, 12, 23 och 28 §§ ska ha följande lydelse,

dels att rubriken närmast före 20 § ska lyda ”Utfärdande av pass

m.m.”,

dels att det ska införas fyra nya paragrafer, 1 a–1 d §§, av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §9

Passansökan ska göras skriftligen och undertecknas av den sökande i närvaro av den person som tar emot den. Kravet på att ansökan ska undertecknas gäller inte den som inte kan skriva sitt namn.

Följande handlingar ska ges in tillsammans med ansökan.

1. Tidigare utfärdat och alltjämt gällande pass för den sökande, om det inte har förstörts eller förkommit. Har passet förstörts eller förkommit, ska det i ansökan lämnas uppgift på heder och samvete om hur det har skett och, i de fall då passet har förkommit, om vilka åtgärder som har vidtagits för att återfå det. Om den sökande av särskilda skäl har behov av det tidigare passet under handläggningstiden, behöver det inte ges in förrän i samband med att det nya passet lämnas ut.

8 Senaste lydelse av 21 § 1997:1202 rubriken närmast före 20 § 2005:659. 9 Senaste lydelse 2009:386.

2. För barn som är under ar-

ton år, handling som styrker uppgift om vem som är vårdnadshavare, om denna uppgift inte framgår av för passmyndigheten tillgängliga uppgifter.

1. För barn som är under ar-

ton år, handling som styrker uppgift om vem som är vårdnadshavare, om denna uppgift inte framgår av för passmyndigheten tillgängliga uppgifter.

3. Vårdnadshavares medgivan-

de, om sådant ska lämnas enligt 7 § 2 passlagen (1978:302).

2. Vårdnadshavares medgivan-

de, om sådant ska lämnas enligt 7 § 2 passlagen (1978:302).

Den sökande är skyldig att på ett tillförlitligt sätt styrka sin identitet i samband med ansökan.

1 a §

Om en sökande inte har en statlig fysisk identitetshandling kan sökanden, trots det som anges i 6 § tredje stycket passlagen (1978:302) , i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006.

1 b §

Om sökanden vare sig har en statlig identitetshandling eller en sådan handling som avses i 1 a § kan identiteten styrkas genom att någon som känner sökanden väl (intygsgivare) vid ansökningstillfället skriftligen intygar att sökandens uppgifter om identiteten är riktiga. Ett skriftligt intyg ska vara undertecknat av intygsgivaren.

Intygsgivaren ska i relation till sökanden vara

1. vårdnadshavare,

2. förälder,

3. barn eller barnbarn över 18 år,

4. hel- eller halvsyskon över 18 år,

5. mor- eller farförälder,

6. make eller maka,

7. registrerad partner,

8. sambo,

9. familjehemsförälder, 10. god man eller förvaltare, 11. arbetsgivare som sökanden har varit anställd hos i minst ett år, eller

12. tjänsteman vid en myndighet som har en yrkesmässig relation till sökanden.

1 c §

En intygsgivare som avses i 1 b § ska vara närvarande vid identitetskontrollen av sökanden och styrka sin egen identitet med en statlig fysisk identitetshandling. Om intygsgivaren inte har en sådan handling kan han eller hon i stället styrka sin identitet med ett EU-pass utfärdat från och med den 1 september 2006 eller pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006.

Intygsgivaren ska på begäran styrka sin relation till sökanden.

1 d §

Om sökanden vare sig har en statlig fysisk identitetshandling eller en sådan handling som avses i 1 a § och inte heller kan styrka sin

identitet genom en intygsgivare enligt 1 b § får passmyndigheten godta att identiteten styrks på något annat tillförlitligt sätt.

12 §10

En passmyndighet utom riket kan i fråga om provisoriskt pass medge att inställelse sker hos ett ombud för myndigheten eller, om det finns särskilda skäl, efterge kravet på personlig inställelse.

Det som föreskrivs i 1 och 3 §§ gäller även i fråga om provisoriskt pass med följande undan-

tag.

1. Tidigare utfärdat pass behöver inte ges in vid ansökan.

2. Passmyndigheter utom riket behöver inte begära kontroll som

avses i 3 § första stycket.

Det som föreskrivs i 1 och 3 §§ gäller även i fråga om provisoriskt pass med det undantaget

att passmyndigheter utom riket inte behöver begära kontroll som

avses i 3 § första stycket.

Regeringskansliet (Utrikesdepartementet) får, för passmyndigheter utom riket, meddela föreskrifter om att den sökande ska skriva sitt namn i passformuläret i samband med att passet lämnas ut och i närvaro av den som lämnar ut passet. Polismyndigheten får meddela motsvarande föreskrifter när det gäller pass som utfärdas inom riket. Föreskrifterna får dock inte avse den som inte kan skriva sitt namn.

23 §11

Polismyndigheten ska föra ett

passregister och ett register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302) .

Polismyndigheten ska föra de

register som avses i 35 § passlagen (1978:302) .

Polismyndigheten ska på begäran lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten.

10 Senaste lydelse 2014:1130. 11 Senaste lydelse 2014:1130.

28 §12

En passmyndighet ska makulera ett gällande pass

En passmyndighet ska makulera ett pass

1. om passet har återkallats eller dragits in,

1. om passet har återkallats eller dragits in, eller

2. när innehavaren ansöker om ett nytt pass av annan typ än provisoriskt pass eller extra pass eller,

om han eller hon av särskilda skäl har behov av det tidigare passet under handläggningstiden, när det nya passet lämnas ut.

2. när ett nytt pass av annan typ än provisoriskt pass eller extra pass lämnas ut.

1. Denna förordning träder i kraft den 1 januari 2022.

2. Vid tillämpningen av 1 c § ska med en statlig fysisk identitetshandling jämställas nationellt identitetskort och identitetskort för folkbokförda i Sverige samt, om ansökan görs före den 1 januari 2023, svenskt körkort och SIS-märkt identitetskort.

3. Bestämmelserna om makulering gäller även pass som utfärdats före ikraftträdandet.

12 Senaste lydelse 2014:1130.

1.7. Förslag till förordning om ändring i förordningen (1997:691) om avgifter vid utlandsmyndigheterna

Härigenom föreskrivs att bilagan13 till förordningen (1997:691) om avgifter vid utlandsmyndigheterna ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Nationellt identitetskort

1 400 kr

Statligt identitetskort

1 400 kr

Denna förordning träder i kraft den 1 januari 2022.

13 Senaste lydelse 2018:322.

1.8. Förslag till förordning om ändring i förordningen (2009:92) om åtgärder mot penningtvätt och finansiering av terrorism

Härigenom föreskrivs att 18 § förordningen (2009:92) om åtgärder mot penningtvätt och finansiering av terrorism ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

18 §14

När det gäller lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism får Finansinspektionen, Spelinspektionen, Fastighetsmäklarinspektionen samt länsstyrelserna i Stockholms, Västra Götalands och Skåne län, för de verksamhetsutövare som står under respektive myndighets tillsyn, meddela föreskrifter om

1. innehållet i och omfattningen av den allmänna riskbedömningen enligt 2 kap. 1 § och om faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

2. undantag från kravet på dokumenterade riskbedömningar enligt 2 kap. 2 §,

3. riskklassificering av kunder enligt 2 kap. 3 §, inbegripet faktorer som kan tyda på låg eller hög risk för penningtvätt eller finansiering av terrorism,

4. innehållet i och omfattningen av interna och gemensamma rutiner enligt 2 kap. 8 och 9 §§,

5. innehållet i rutiner för lämplighetsprövning enligt 2 kap. 13 §,

6. dokumentation av genomförda utbildningar och vilken information och utbildning som ska tillhandahållas anställda enligt 2 kap. 14 §,

7. nödvändiga åtgärder och rutiner för att skydda anställda och andra företrädare enligt 2 kap. 15 §,

8. åtgärder för identitetskontroll enligt 3 kap. 7 och 8 §§,

8. åtgärder för identitetskontroll enligt 3 kap. 7 och 8 §§, med

undantag för situationer som avses i 3 kap. 7 § tredje stycket,

9. vad som avses med förenklade åtgärder för kundkännedom och i vilka situationer förenklade åtgärder är tillåtna enligt 3 kap. 15 §,

14 Senaste lydelse 2018:1484.

10. vad som avses med skärpta åtgärder för kundkännedom och i vilka situationer skärpta åtgärder ska vidtas enligt 3 kap. 16 och 17 §§,

11. system för uppgiftslämning enligt 4 kap. 7 §, 12. bevarande av handlingar och uppgifter enligt 5 kap. 3 §, 13. förutsättningarna för förlängt bevarande av handlingar och uppgifter enligt 5 kap. 4 §,

14. innehållet i och omfattningen av rutiner för intern kontroll och modellriskhantering enligt 6 kap. 1 §,

15. kriterierna för när funktioner som avses i 6 kap. 2 § första stycket ska inrättas samt de krav som ska gälla i fråga om funktionernas organisation, befogenheter och oberoende, och

16. det särskilda rapporteringssystemet enligt 6 kap. 4 §. Tillsynsmyndigheterna ska samråda med varandra innan de meddelar föreskrifter enligt första stycket.

Denna förordning träder i kraft den 1 januari 2022.

1.9. Förslag till förordning om ändring i förordningen (2009:315) om samtjänst vid medborgarkontor

Härigenom föreskrivs att 3 § förordningen (2009:315) om samtjänst vid medborgarkontor ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §15

En arbets- eller uppdragstagare som omfattas av ett särskilt avtal enligt 5 § lagen (2004:543) om samtjänst vid medborgarkontor får i respektive statlig myndighets namn

1. i enklare fall besluta i ärenden om äldreförsörjningsstöd eller bostadstillägg enligt socialförsäkringsbalken,

2. i enklare fall besluta i ärenden om resebidrag i form av ersättning för resa och logi enligt förordningen (2015:500) om resebidrag, och

3. i enklare fall besluta i ärenden om utfärdande av identitetskort enligt lagen ( 2015:899 ) om identitetskort för folkbokförda i Sverige.

1. i enklare fall besluta i ärenden om äldreförsörjningsstöd eller bostadstillägg enligt socialförsäkringsbalken, och

2. i enklare fall besluta i ärenden om resebidrag i form av ersättning för resa och logi enligt förordningen (2015:500) om resebidrag.

Denna förordning träder i kraft den 1 januari 2022.

15 Senaste lydelse 2015:928.

1.10. Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att 6 § offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 §16

Sekretess gäller i nedan angiven verksamhet, som avser registrering av betydande del av befolkningen, för

1. uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs, och

2. uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.

2. uppgift i form av fotografisk bild av den enskilde och bio-

metrisk uppgift som har tagits fram ur bilden, om det inte står klart

att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Verksamheten avser

centrala hundregistret fastighetsregistret kommunala fastighetsregister passregister och register över

nationella identitetskort

röstlängdsregister

Skatteverkets databas över identitetskort för folkbokförda i Sverige

Socialstyrelsens register över hälso- och sjukvårdspersonal

Statens tjänstepensionsverks pensionsregister

Verksamheten avser

centrala hundregistret fastighetsregistret kommunala fastighetsregister passregister och register över

statliga identitetskort och statliga e-legitimationer

röstlängdsregister

Socialstyrelsens register över hälso- och sjukvårdspersonal

Statens tjänstepensionsverks pensionsregister

16 Senaste lydelse 2014:1369.

Totalförsvarets rekryteringsmyndighets register över totalförsvarets personal

Transportstyrelsens vägtrafikregister

Totalförsvarets rekryteringsmyndighets register över totalförsvarets personal

Transportstyrelsens vägtrafikregister

1. Denna förordning träder i kraft den 1 januari 2022.

2. Äldre bestämmelser gäller fortfarande för uppgifter i Skatteverkets databas över identitetskort för folkbokförda i Sverige så länge uppgifterna finns hos Skatteverket.

1.11. Förslag till förordning om ändring i utlänningsdataförordningen (2016:30)

Härigenom föreskrivs i fråga om utlänningsdataförordningen (2016:30)

dels att 13 § ska upphöra att gälla,

dels att 9 och 10 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 §17

Polismyndighetens direktåtkomst ska begränsas till de personuppgifter som myndigheten behöver för de ändamål som anges i 11 § 1–4 och 15 § andra stycket 2 utlänningsdatalagen (2016:27).

Polismyndighetens direktåtkomst ska begränsas till de personuppgifter som myndigheten behöver för de ändamål som anges i 11 § 1–4 och 15 § andra stycket 2 utlänningsdatalagen (2016:27)samt

för handläggning av en ansökan enligt lagen (20xx:xx) om statliga identitetshandlingar.

Direktåtkomst vid handläggning av en ansökan enligt lagen om statliga identitetshandlingar får endast avse uppgift om

1. namn och personnummer,

2. längd,

3. fotografi,

4. underskrift,

5. typ av resehandling, resehandlingens nummer och giltighetstid, och

6. bevis om uppehållstillstånd.

10 §

Utlandsmyndigheternas direktåtkomst ska begränsas till de personuppgifter som myndigheterna behöver för de ändamål som anges i 11 § 1 utlänningsdatalagen (2016:27).

Utlandsmyndigheternas direktåtkomst ska begränsas till de personuppgifter som myndigheterna behöver för de ändamål som anges i 11 § 1 utlänningsdatalagen (2016:27)samt för handläggning av

17 Senaste lydelse 2018:1612.

en ansökan enligt lagen (20xx:xx) om statliga identitetshandlingar.

Direktåtkomst vid handläggning av en ansökan enligt lagen om statliga identitetshandlingar får endast avse uppgift om

1. namn och personnummer,

2. längd,

3. fotografi,

4. underskrift,

5. typ av resehandling, resehandlingens nummer och giltighetstid, och

6. bevis om uppehållstillstånd.

Denna förordning träder i kraft den 1 januari 2022.

1.12. Förslag till förordning om ändring i förordningen (2017:154) med instruktion för Skatteverket

Härigenom föreskrivs i fråga om förordningen (2017:154) med instruktion för Skatteverket

dels att 3 § ska upphöra att gälla,

dels att 38 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

38 §

Skatteverket ska disponera intäkter från avgifter som myndigheten tar ut enligt bestämmelser som finns i

1. lagen (2009:1289) om prissättningsbesked vid internationella transaktioner,

2. förordningen ( 2015:904 ) om identitetskort för folkbokförda i Sverige,

3. lagen (2001:181) om be-

handling av uppgifter i Skatteverkets beskattningsverksamhet,

4. lagen (2001:182) om be-

handling av personuppgifter i Skatteverkets folkbokföringsverksamhet,

5. förordningen (2015:905)

om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter,

6. förordningen (1998:1234)

om det statliga personadressregistret, och

7. förordningen (2017:120) om

personnamn.

2. lagen (2001:181) om be-

handling av uppgifter i Skatteverkets beskattningsverksamhet,

3. lagen (2001:182) om be-

handling av personuppgifter i Skatteverkets folkbokföringsverksamhet,

4. förordningen (2015:905)

om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter,

5. förordningen (1998:1234)

om det statliga personadressregistret, och

6. förordningen (2017:120) om

personnamn.

Intäkterna enligt första stycket 1 och 2 ska disponeras så att minst hälften av dessa verksam-

heters kostnader täcks.

Intäkterna enligt första stycket 1 ska disponeras så att minst hälften av denna verksamhets kostnader täcks.

Denna förordning träder i kraft den 1 januari 2022.

2. Utredningens uppdrag och arbete

2.1. Uppdraget

Vårt uppdrag har varit att utreda och lämna förslag till skärpta krav och rutiner för svenska identitetshandlingar i syfte att minska det ökande antalet bedrägerier som begås med hjälp av förfalskade identitetshandlingar. Uppdraget har bl.a. bestått i att föreslå hur antalet identitetshandlingar och utfärdare ska begränsas, analysera och vid behov föreslå en enhetlig reglering av giltiga identitetshandlingar, analysera och föreslå hur verifieringen av äktheten och giltigheten av identitetshandlingar kan förbättras, utreda och vid behov föreslå hur identitetshandlingar bör utfärdas och utformas för att bli säkrare, analysera och ta ställning till om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå samt lämna nödvändiga författningsförslag. Utredningens direktiv finns intagna som bilaga till detta betänkande.

2.2. Avgränsningar

Vårt uppdrag har endast omfattat frågan om åtgärder för att göra själva identitetshandlingarna och utfärdandet av dessa säkrare. Felaktiga uppgifter kan emellertid av olika anledningar registreras i folkbokföringen och leda till att identitetshandlingar med felaktiga uppgifter utfärdas. Det har inte ingått i uppdraget att säkerställa att dessa grunddata är korrekta. Vi har därför inte behandlat denna problematik. Vissa av de förslag vi lämnar kan dock få positiva effekter även när de gäller att säkerställa grunddata.

Vårt uppdrag har inte heller omfattat att se över passbestämmelserna, annat än i de fall de har betydelse för passet som identitetshandling. Förutom vissa förslag som rör sistnämnda frågor lämnar vi också förslag som syftar till att utfärdandeprocessen för pass och andra identitetshandlingar ska bli mer enhetlig.

2.3. Identitetsbegreppet

Vårt uppdrag handlar alltså om skärpta krav och rutiner för identitetshandlingar. Det kan därför vara på sin plats att inledningsvis kort nämna något om begreppen identitet, identifiering och identitetskontroll.

Med begreppet identitet avses i detta sammanhang i huvudsak en persons namn och personnummer eller samordningsnummer. Även andra uppgifter om en person, såsom födelsetid, medborgarskap och bostadsadress kan hänföras till identitetsbegreppet.

En identitetshandling används för att en person ska kunna identifiera sig, eller styrka sin identitet. Identitetshandlingen innehåller vissa identitetsuppgifter.

En kontroll av en persons identitet syftar till att utreda om personen är den han eller hon utger sig för att vara. Identitetskontrollen kan bestå av två delar. Det kan vara fråga om att göra en kontroll av att vissa uppgivna personuppgifter verkligen utgör en identitet och att uppgifterna inte är falska. En sådan kontroll görs som regel genom slagning i register. Det kan också handla om att kontrollera om en viss fysisk person stämmer överens med en viss (registrerad) identitet, dvs. vissa personuppgifter. Den sistnämnda kontrollen kan göras genom en jämförelse mellan en person och en identitetshandling.

2.4. Utredningsarbetet

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna expertgruppssammanträden och andra kontakter med experter och sakkunniga. Utredningen har hållit sammanlagt tolv sammanträden med experter och sakkunniga. Utredningsarbetet har även i övrigt bedrivits i nära samarbete med experter och sakkunniga.

Utredaren och den dåvarande sekreteraren samrådde i november 2017 med Utredningen om effektiv styrning av nationella digitala tjänster (N 2016:01). Syftet var att diskutera den omständigheten att utredningarnas direktiv överlappade i fråga om på vilken fysisk bärare en statlig e-legitimation ska finnas och vilken myndighet som ska utfärda den.

I januari 2018 hade utredaren och sekreteraren möten med ledningen för Skatteverket respektive Polismyndigheten i syfte att få del av myndigheternas syn på utredningens uppdrag och var ansvaret för att utfärda identitetshandlingar bör placeras.

Sekreteraren närvarade i februari 2018 vid E-legitimationsdagen som anordnades av E-legitimationsnämnden.

Utredningens expertgrupp hade i februari 2018 ett internat i syfte att inhämta kunskap om nuläget när det gällde både utfärdande av identitetshandlingar och problembilden. Vid internatet medverkade representanter från Nationellt Forensiskt Centrum (NFC) och Nationellt bedrägericenter (NBC) vid Polismyndigheten, Skatteverket, Transportstyrelsen, Finansiell ID-Teknik BID AB och E-legitimationsnämnden. Kortare presentationer med information av relevans för vårt arbete hölls av de medverkande.

I maj 2018 träffade utredaren och sekreteraren Statens servicecenter för att diskutera gemensamma frågor inför myndighetens övertagande av Skatteverkets verksamhet att utfärda identitetskort för folkbokförda i Sverige.

Utredaren och sekreteraren var i juni 2018 på studiebesök på passexpeditionen i polisområde Stockholm city där vi fick närmare information om processen för utfärdande av pass och nationella identitetskort.

Utredaren och sekreteraren besökte i augusti 2018 Polisstyrelsen i Finland. Vid mötet informerade representanter från Polisstyrelsen om pass- och id-kortsverksamheten i Finland. Vid mötet deltog även en företrädare för Befolkningsregistercentralen som informerade om den e-legitimation som finns på de finska id-korten.

I september 2018 träffade utredaren och sekreteraren Skatteverket med anledning av myndighetens regeringsuppdrag om kopplingar mellan utländska e-legitimationer och svenska person- och samordningsnummer. Frågan om registrering av koppling vid personlig inställelse diskuterades.

Vi har även haft kontakt med några större utlämningsföretag som skriftligen ombetts besvara ett antal frågor om sina rutiner för identitetskontroll och sin syn på behovet av förändringar. Tre av de fyra tillfrågade företagen återkom med svar.

Under hösten 2018 hade sekreteraren kontakt med Politidirektoratet i Norge med anledning av att de arbetar med att införa nationella identitetskort varvid vissa gemensamma frågor diskuterades.

Sekreteraren hade i november 2018 kontakt med Migrationsverket för att diskutera frågan om direktåtkomst till uppgifter om uppehållstillstånd och kontroll av ansiktsbild och fingeravtryck i uppehållstillståndskort.

Under hösten 2018 hade sekreteraren löpande kontakt med medarbetare vid Justitiedepartementet med anledning av det interna arbetet med en författningsreglering av den behandling av personuppgifter som sker i passverksamheten.

Utredningsarbetet har bedrivits i nära samråd med experter och sakkunniga som i allt väsentligt ställt sig bakom utredningens överväganden och förslag. Betänkandet är därför skrivet i vi-form.

2.5. Betänkandets disposition

Betänkandet är indelat i 16 kapitel. I kapitel 1 redovisar vi våra författningsförslag. Därefter behandlas i detta kapitel vårt uppdrag och arbete. Kapitel 3–7 innehåller bakgrundsbeskrivningar. I kapitel 3 redogör vi för bedrägeribrottsligheten och dess koppling till missbruk av identitetshandlingar. De svenska fysiska identitetshandlingar som finns i dag beskrivs i kapitel 4. E-legitimation behandlas i kapitel 5. Några reformer på området redovisas i kapitel 6. I kapitel 7 gör vi en internationell utblick. Våra överväganden och förslag finns i kapitel 8–13. Frågorna om begränsning av antalet fysiska identitetshandlingar och utfärdare behandlas i kapitel 8 och 9. I kapitel 10 och 11 lämnar vi förslag på en enhetlig reglering av utfärdandeprocessen och på hur identitetshandlingarna ska bli säkrare. Frågan om en statlig e-legitimation på fysiska identitetshandlingar behandlas i kapitel 12. I kapitel 13 redovisar vi de förslag som syftar till en bättre kontroll av identitetshandlingars äkthet och giltighet. I betänkan-

dets tre sista kapitel återfinns ikraftträdande och övergångsbestämmelser (kapitel 14), konsekvenser av våra förslag (kapitel 15) och författningskommentar (kapitel 16).

3. Bedrägeribrottslighet och missbruk av identitetshandlingar

3.1. Bedrägeribrottslighetens utveckling

Under den senaste tioårsperioden har det skett en kraftig ökning av antalet anmälda bedrägeribrott. Totalt sett har antalet anmälda bedrägeribrott ökat med 141 procent under perioden 2009–2018. Under 2018 anmäldes omkring 259 000 bedrägeribrott vilket är en ökning med 25 procent sedan föregående år.1

Bidragsbrotten har också ökat, men inte lika kraftigt. Sedan 2008 har antalet anmälda bidragsbrott ökat med 30 procent. Under 2017 anmäldes cirka 13 000 bidragsbrott.2

Brottsförebyggande rådet (Brå) har i rapporten Bedrägeribrottsligheten i Sverige konstaterat att det är ett centralt moment vid många bedrägerier att utge sig för att vara någon annan. Identitetsmissbruk kan ske antingen genom att gärningspersonen utger sig för att vara en person som inte existerar eller genom att någon annans identitetsuppgifter olovligen används. Det senare kallas i vardagligt tal för identitetskapning och är sedan 2016 kriminaliserat genom bestämmelsen om olovlig identitetsanvändning i 4 kap. 6 b § brottsbalken. Förutom identitetskapning förekommer det också att en person lånar ut sina identitetsuppgifter och på så sätt fungerar som en målvakt. Enligt Brå finns det indikationer på att användningen av stulna och falska identiteter ökar i Sverige och att det inte sällan har kopplingar till organiserad brottslighet.3

1 Brottsförebyggande rådet Kriminalstatistik 2018 Anmälda brott Preliminär statistik. 2 www.bra.se/brott-och-statistik/statistik-utifran-brottstyper/bedragerier-ochekobrott.html. Hämtad 2018-06-04. 3 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 148 f.

Bakgrunden till det ökade missbruket av identiteter är enligt Brå den tekniska utvecklingen med ökat internetanvändande i kombination med att enskildas personuppgifter är lättillgängliga för allmänheten i Sverige. Vidare gör det stora antalet godkända identitetshandlingar i Sverige att det är svårare att kontrollera handlingarna och enklare att förfalska dem. Det är dessutom enkelt att kartlägga en person på internet. Även ändrade köp- och betalningsvanor som innebär att köp, beviljande av lån och betalningar i dagofta sker utan direkt fysisk kontakt har betydelse för utvecklingen.4

3.2. Olika former av missbruk av identitetshandlingar

Identitetsmissbruk kan ske både med och utan användande av identitetshandlingar. Vårt uppdrag är begränsat till att föreslå åtgärder för att minska den bedrägeribrottslighet som sker med hjälp av identitetshandlingar. Identitetshandlingar kan komma till användning på tre olika sätt i samband med bedrägeribrottslighet. Det kan för det första röra sig om användning av förfalskade identitetshandlingar, dvs. där det aldrig har skett något utfärdande utan själva framställningen är falsk. För det andra kan någon använda sig av en äkta identitetshandling som tillhör en annan person. Handlingen kan vara stulen eller på annat sätt åtkommen utan personens vetskap eller medgivande. Det förekommer också att personer frivilligt eller under påtryckning lånar ut eller säljer sina identitetshandlingar till bedragare. För det tredje kan det röra sig om identitetshandlingar som i och för sig har utfärdats på ett riktigt sätt men där den identitet som anges på handlingen är falsk.

3.3. Bedrägeri enligt brottsbalken

3.3.1. Inledning

Bedrägeri är straffbelagt enligt 9 kap. 1 § brottsbalken och innebär att någon medelst vilseledande förmår någon till handling eller underlåtenhet, som innebär vinning för gärningsmannen och skada för den vilseledde eller någon i vars ställe denne är. För bedrägeri

4 Ibid. s. 149.

döms också den som genom att lämna oriktig eller ofullständig uppgift, genom att ändra i program eller upptagning eller på annat sätt olovligen påverkar resultatet av en automatisk informationsbehandling eller någon annan liknande automatisk process, så att det innebär vinning för gärningsmannen och skada för någon annan.

Brå har i sin rapport utifrån en granskning av 400 bedrägerier som polisanmäldes under 2013 gjort en indelning av bedrägeribrottsligheten i olika kategorier. Utöver polisanmälningarna har även 113 tingsrättsdomar granskats. De flesta av de bedrägerier som granskades, cirka tre fjärdedelar, kunde hänföras till två huvudkategorier, bedräglig försäljning respektive bedrägliga köp m.m. Majoriteten av bedrägerierna var alltså kopplade till någon form av köp- och säljprocess.

3.3.2. Bedrägligt köp, lån eller uttag

Bedrägliga köp, lån eller uttag motsvarar 43 procent av de anmälda bedrägerierna. Denna kategori består framför allt av kortbedrägerier (22 procent) och kreditbedrägerier (17 procent). Tillvägagångssättet vid dessa bedrägerier innebär att gärningspersonen köper en vara eller tjänst på någon annans bekostnad.5

Kortbedrägeri begås med hjälp av någon annans kontokort, kreditkort eller kortuppgifter. Det finns två olika typer av kortbedrägerier. Vid s.k. Card present (CP) är köparen fysiskt närvarande och ett fysiskt betalkort används. Korten kan antingen vara stulna eller manipulerade och försedda med stulna kortuppgifter (exempelvis genom skimning). Bedrägerierna rör såväl automatuttag som köp. Card not present (CNP) innebär att elektroniska kortuppgifter används för att genomföra köp, vanligen via internet. CP-bedrägerier föregås ofta av rena stölder av kort medan gärningspersonerna kommer över kortuppgifter vid CNP-bedrägerier genom exempelvis skimning eller genom den organiserade svarta marknad för stulna kortuppgifter som finns på internet. Flera härvor där stora mängder kortuppgifter från diverse dataintrång har använts för bedrägliga köp har avslöjats. Det är framför alltprivatpersoner som drabbas av att någon använder deras kort eller kortuppgifter. De belopp gärningspersonerna kommer åt vid enskilda bedrägerier varierar, men medianvärdet i de granskade ärendena är cirka 3 500 kronor. Utifrån de

5 Ibid. s. 56.

domar som undersökts konstaterar dock Brå att de sammanlagda beloppen för samma gärningspersoner avser relativt stora belopp.6

Kreditbedrägeri innebär att gärningspersonen köper en vara eller tjänst på kredit alternativt tar lån i någon annans namn. Det handlar ofta om tecknande av mobilabonnemang eller köp av varor på kredit, men det förekommer även banklån eller sms-lån i annans namn. Vid denna typ av bedrägeri ingår i stort sett alltid någon form av identitetsmissbruk. Vid tecknandet av ett låneavtal eller vid köp på kredit som sker vid ett fysiskt möte behöver kunden identifiera sig, vilket innebär att den här typen av brottslighet ofta kräver en stulen, falsk eller manipulerad identitetshandling. Kreditbedrägerier kan också genomföras med hjälp av att helt falska identiteter skrivs in i Bolagsverkets register eller folkbokföringen på grundval av felaktiga identitetshandlingar. Vid distansköp på kredit, vilket oftast sker via internet, är den fysiska identitetskontrollen senarelagd till tidpunkten då varan lämnas ut vid ett utlämningsställe eller vid leverans till beställarens hem- eller företagsadress. Om varan lämnas ut vid ett utlämningsställe krävs en identitetshandling, vilket innebär att stulna, falska eller manipulerade identitetshandlingar används även vid denna typ av brottslighet. Vid leverans till en hem- eller företagsadress görs inte alltid någon identitetskontroll utan mottagaren skriver under på att varan har mottagits från leverantören. Både omfattningen och komplexiteten varierar vid denna typ av bedrägeri. De belopp gärningspersonerna kommer över varierar men medianbeloppet i de granskade anmälningarna är cirka 2 800 kronor. Medianvärdet i de granskade domarna är cirka 80 000 kronor. 7

Enligt uppgift från Polismyndigheten har det förekommit brottsupplägg som varit organiserat på så sätt att varor beställts i kreditvärdiga personers namn för vilka falska identitetshandlingar införskaffats. Målvakter har sedan använt de falska identitetshandlingarna för att teckna krediter eller hämta ut de beställda varorna. Ett sådant nätverk har under en sexmånadersperiod begått över 100 brott till ett sammanlagt värde om 1,6 miljoner kronor. Falska identitetshandlingar var en förutsättning för att bedrägerierna skulle kunna utföras.

6 Ibid. s. 79–89. 7 Ibid. s. 90–100.

3.3.3. Bedräglig försäljning

Bedräglig försäljning motsvarar cirka en tredjedel av samtliga bedrägeribrott. Denna kategori består enligt Brås terminologi främst av två stora underkategorier, annonsbedrägerier (16 procent) och fakturabedrägerier (12 procent). Bedräglig försäljning kännetecknas av att gärningspersonen använder försäljningsprocessen för att vilseleda någon för egen vinning.8

Med annonsbedrägerier menas att någon, via en internetannons, låtsas ha för avsikt att sälja en vara eller en tjänst som, trots betalning, aldrig levereras alternativt är falsk eller på något sätt inte motsvarar vad som stod i annonsen. Annonsering sker genom att gärningsmannen använder en annan persons namn och adressuppgifter eller en helt påhittad identitet. Denna typ av bedrägeri rör som regel inte så stora belopp, medianvärdet avseende de granskade polisanmälningarna är drygt 1 700 kronor medan medianvärdet i de granskade domarna är cirka 40 000 kronor. Det är oftast privatpersoner som drabbas av bedrägerierna.9

Fakturabedrägerier kan ha flera olika och ibland mer komplicerade upplägg. Bedrägeriet består ofta av att någon genom faktura kräver någon annan på betalning för en vara eller tjänst som denne aldrig beställt eller att fakturan avser ett högre belopp än vad parterna kommit överens om. Bedrägerierna begås ofta med hjälp av ett företag för att bedragarna på så sätt ska få tillgång till ett företagskonto för inbetalning av pengarna. Såväl företag som enskilda drabbas av denna typ av bedrägeri. De fakturerade beloppen ligger vanligen under 10 000 kronor. Medianvärdet för de granskade ärendena är cirka 4 400 kronor.10

3.3.4. Övriga bedrägerier

23 procent av bedrägerierna har ingen koppling till försäljning, köp, lån eller uttag. Det rör sig framför allt om en kategori som Brå kallar övriga telefon- och internetbedrägerier (cirka 16 procent).11

Vid telefon- och internetbedrägerier används internet eller telefonkontakter för att på olika sätt vilseleda personer att föra över

8 Ibid. s. 55. 9 Ibid. s. 60–67. 10 Ibid. s. 68–78. 11 Ibid. s. 57.

pengar eller att lämna ut känsliga uppgifter, t.ex. kortuppgifter. I kategorin återfinns s.k. nätfiske som ofta innebär att gärningspersonen skickar ett mejl i syfte att få någon att lämna ifrån sig känslig information. Bedragarna kan också använda sig av telefon för att få del av informationen. Det kan också röra sig om bedrägerier som genomförs med hjälp av olika former av skadlig kod. Den skadliga koden sprids till datorer, mobiltelefoner och surfplattor genom att användare exempelvis öppnar en infekterad bilaga till ett mejl eller klickar på en länk. Den skadliga koden kan kryptera innehållet i datorn så att användaren inte längre får tillgång till det samtidigt som ett meddelande som kräver en lösensumma för att låsa upp datorn visas. Det förekommer också bedrägerier som sker efter att någon gjort intrång i en persons e-post- eller Facebook-konto och därefter skickat ett mejl till kontohavarens kontakter som beskriver hur avsändaren befinner sig i en svår situation och är i behov av pengar. Medianvärdet för de granskade ärendena är cirka 4 000 kronor.12

En särskild typ av bedrägerier som inte tas upp i Brås rapport men som blivit allt vanligare på senare tid är att bedragare via telefon lurar personer att använda sitt BankID, som är den e-legitimation som utfärdas av bankerna, och på så sätt får tillgång till personens internetbank. Det går till så att bedragaren ringer upp en person och utger sig för att vara från banken eller någon myndighet. Bedragaren får sedan personen att använda sin bankdosa eller sitt BankID. Bedragaren påstår ofta att det är bråttom och anger som skäl att denne ska hjälpa till att stoppa en misstänkt överföring. På så sätt får bedragaren tillgång till personens internetbank och kan göra överföringar efter att personen godkänt dessa med sitt BankID. Det förekommer också att bedragaren förmår personen att skapa ett nytt mobilt BankID för att bedragaren sedan ska kunna göra olika överföringar. Särskilt äldre personer har utsatts för bedrägerierna.13

12 Ibid. s. 101–111. 13 Se t.ex. polisen.se/aktuellt/nyheter/2018/maj/polisen-varnar-for-telefonbedragerier/ och www.dn.se/ekonomi/over-trettio-domda-i-stor-bedrageriharva/. Hämtad 2019-01-23.

3.4. Bidragsbrott

3.4.1. Inledning

Bidragsbrott innebär enligt 2 § bidragsbrottslagen (2007:612) att någon lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp. Med ekonomisk förmån avses bidrag, ersättningar, pensioner och lån för personligt ändamål som enligt lag eller förordning beslutas av Försäkringskassan, Pensionsmyndigheten, Centrala studiestödsnämnden, Migrationsverket, Arbetsförmedlingen, kommunerna eller arbetslöshetskassorna.

3.4.2. Brottsligheten

Brå har granskat 50 anmälda bidragsbrott. Det är främst Försäkringskassan, arbetslöshetskassorna och kommunerna som anmäler sådana brott. Brott begås genom att en sökande lämnar felaktig information för att få ett för högt bidrag eller annan utbetalning från välfärdssystemen. Det kan också handla om att sökanden inte underrättar den utbetalande myndigheten eller organisationen om ändrade förhållanden, vilket också leder till att personen får för mycket utbetalt. Det rör sig framför alltom att felaktig information lämnas om inkomster. De belopp som betalas ut felaktigt varierar men medianvärdet var cirka 14 000 kronor. Det högsta beloppet var närmare 19 miljoner kronor. I ungefär hälften av fallen rörde det sig om upprepad brottslighet.

Många av gärningspersonerna är inte sedan tidigare kriminellt belastade utan snarare bidragstagare som har befunnit sig i en svår situation i livet eller haft svårt att förstå regelverket. Det förekommer dock också mer planerade och kvalificerade gärningspersoner som lärt sig hur man utnyttjar systemen exempelvis genom användande av flera olika identiteter för att kombinera arbete och bidrag. Bidragsbrott begås också inom ramen för mer omfattande ekonomisk brottslighet eller organiserad brottslighet där företag ofta används.

Det förekommer att falska eller kapade identiteter används av arbetsgivare vid rapportering av anställda för att tillskansa sig bidrag.14 Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden har konstaterat att när det gäller brottslighet som särskilt riktas mot välfärdssystemen förekommer det att oriktiga uppgifter om identiteter eller bosättning blir registrerade i folkbokföringsdatabasen på grundval av förfalskade eller manipulerade identitetshandlingar. De falska identiteterna används därefter för att begå brott.15

3.5. Missbruk av identitetshandlingar i samband med bedrägeri och bidragsbrott

Brå har konstaterat att det vid många bedrägerier är ett centralt moment att utge sig för att vara någon annan. När det gäller bedrägerier enligt brottsbalken ingår någon form av identitetsmissbruk i 63 procent av fallen.16

Identitetsmissbruk kan innefatta användning av förfalskade, stulna eller felaktigt utfärdade identitetshandlingar men behöver inte göra det. Det finns ingen statistik som visar i hur många fall identitetshandlingar har använts för att begå brott. Det hänger samman med att brottskoderna inte är indelade på ett sådant sätt att det kan utläsas. Det finns dock uppgifter som pekar på att användning av identitetshandlingar är vanligt förekommande vid vissa typer av bedrägerier.

Av Brås rapport framgår alltså att missbruk av identiteter är vanligt förekommande vid kreditbedrägerier, dvs. när någon tar lån eller genomför ett köp på kredit i någon annans namn. Som anges i avsnitt 3.3.2 ingår i stort sett alltid någon form av identitetsmissbruk vid denna typ av bedrägeri eftersom det i princip är en förutsättning för att brott ska kunna begås. Ofta används en fysisk identitetshandling när dessa brott begås.

Av uppgifter från Polismyndigheten framgår att det varje år anmäls omkring 25 000–30 000 kreditbedrägerier. I majoriteten av fallen levereras den beställda varan till ett utlämningsställe där den som hämtar ut varan måste visa upp en giltig identitetshandling för att få

14 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 112–128. 15SOU 2017:37 s. 267. 16 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 148 ff.

ut sitt paket. Gärningspersoner som beställer varor som levereras till utlämningsställen eller tar lån i annans namn måste alltså ha tillgång till en falsk, stulen eller oriktigt utfärdad identitetshandling för att kunna genomföra bedrägeriet. Enligt en mycket grov uppskattning av Polismyndigheten är det cirka 10 000–20 000 paket som hämtas ut med hjälp av en falsk, stulen eller oriktigt utfärdad identitetshandling per år.

Vid kontakt med Polismyndigheten har framkommit att falska, stulna eller oriktigt utfärdade identitetshandlingar också används vid vissa kortbedrägerier, de s.k. CNP-bedrägerierna. I samband med att köp gjorts på internet med stulna kortuppgifter måste nämligen, i de fall varan levereras till ett utlämningsställe, även i detta fall en identitetshandling visas upp för att varan ska kunna hämtas ut.

Vid bidragsbrott vilseleder gärningspersonen ofta med hjälp av andra uppgifter än identitetsuppgifter. Enligt Brå förekommer dock även här missbruk av identiteter. Användande av olika identiteter innebär att samma person antingen kan kombinera arbete och bidrag eller ansöka om bidrag ur olika system parallellt och på så sätt få ut ersättning felaktigt.17 Det är dock oklart i hur stor omfattning identitetshandlingar används i samband med bidragsbrott. Att oriktiga uppgifter om identiteter eller bosättning som registreras i folkbokföringsdatabasen på grundval av förfalskade eller manipulerade identitetshandlingar används för att begå brott konstaterades av Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden. Utredningen kunde dock inte bedöma i hur stor omfattning oriktiga identiteter förekommer vid kvalificerad välfärdsbrottslighet.18

De förfalskade identitetshandlingar som används för att begå bedrägerier köper gärningspersonerna enligt Polismyndigheten ofta på nätverk på internet som inte är synliga för allmänheten och som inte nås med vanliga sökmotorer.

17 Ibid. s. 122 och 159. 18SOU 2017:37 s. 261 och 267.

3.6. Aktörer som drabbas av identitetsmissbruket

Bedrägeribrottsligheten drabbar många olika delar av samhället. Även om det ofta är privatpersoner som upptäcker och anmäler bedrägerierna är det ofta andra som drabbas av de direkta ekonomiska konsekvenserna.

Vid kreditbedrägerier är det främst kreditföretag, faktureringsbolag, finansbolag, banker eller företag inom handel som drabbas ekonomiskt av bedrägerierna. Enskilda drabbas främst på andra sätt än ekonomiskt genom de olika konsekvenser som en identitetsstöld kan leda till. Även konsumenterna drabbas dock indirekt genom höjda priser.

Detsamma gäller vid kortbedrägerierna där det framför allt är banker, kortutgivare och företag inom handel som står för den ekonomiska förlusten medan privatpersoner får sina identiteter eller kort utnyttjade. Det förekommer även företag vars kontokort missbrukas.

I samband med bidragsbrott är det de utbetalande myndigheterna och organisationerna som drabbas av brottsligheten. Eftersom brotten avser felaktigt utbetalade skattemedel drabbar denna brottslighet även indirekt allmänheten.19

3.7. Konsekvenser av identitetsmissbruket

Eftersom det saknas statistik över bedrägeribrott som begås med hjälp av falska, stulna eller oriktigt utfärdade identitetshandlingar är det inte möjligt att göra någon beräkning av de totala ekonomiska konsekvenserna av brottsligheten. Med beaktande av antalet bedrägerier, de belopp som bedragaren har kommit över och det faktum att vissa typer av bedrägerier förutsätter användande av identitetshandlingar kan det dock antas att det rör sig om stora summor. De ekonomiska konsekvenserna drabbar, som anges ovan, främst näringslivet. Den brottslighet som är riktad mot välfärdssystemen drabbar dock staten och i förlängningen även allmänheten.

För den enskilde som drabbas av att någon använder sig av dennes identitetshandling kan bedrägeribrotten få allvarliga konsekvenser.

19 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 131 f.

Det rör sig som regel inte om några direkta ekonomiska konsekvenser i längden eftersom den enskilde vanligtvis undgår betalningsansvar om köpet eller fakturan bestrids, personnumret spärras för nya kreditköp och händelsen polisanmäls. Kortvarigt kan emellertid den enskilde drabbas av likviditetsproblem som i sin tur kan komma att påverka den enskildes ekonomi allvarligt. Den enskildes konton kan komma att tömmas och den enskilde kan bli skyldig att betala vissa belopp i avvaktan på utredning för att inte bli föremål för inkassokrav. Framför alltpåverkas den enskilde av att bedrägeriet medför stor olägenhet och stort obehag. Köpet måste bestridas och identitetshandlingen spärras hos utfärdaren eller tillverkaren. Dessutom kan personnumret behöva spärras för kreditupplysning hos kreditupplysningsföretagen. Det finns cirka 20 olika kreditupplysningsföretag som är godkända av Datainspektionen. Bedragarna har ofta god kännedom om vilka företag som använder mindre kreditupplysningsföretag och utnyttjar detta. Det stora antalet kreditupplysningsföretag gör det oöverskådligt och tidskrävande för den enskilde. Det förekommer dock samarbete mellan flera av de stora kreditupplysningsföretagen vilket gör att en spärr hos ett av dessa företag även registreras hos de övriga företag som ingår i samarbetet. Även om både identitetshandlingen och möjligheten till kreditköp spärras, kan dock bedragaren använda den stulna identiteten i andra sammanhang, t.ex. vid kontakt med myndigheter eller sjukvården. Att personnumret är spärrat för kreditköp skapar även problem vid köp som den enskilde själv vill göra så länge spärren ligger kvar.20

Konsumenterna kan dessutom indirekt drabbas även av de ekonomiska konsekvenserna av bedrägerierna. Detta eftersom priserna på varor och tjänster kan behöva höjas för att täcka de förluster företagen drabbas av på grund av bedrägerierna.21

Enligt den nationella trygghetsundersökningen som genomförts av Brå utsattes 4,8 procent av befolkningen för försäljningsbedrägeri och 5,1 procent för kort- eller kreditbedrägeri under år 2017. Det är en liten ökning från år 2016 då andelen var 4,5 respektive 4,9 procent. Enligt undersökningen har 25 procent av de tillfrågade uppgett att de ofta oroar sig för att utsättas för bedrägeri på internet. Detta

20 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 160, www.creditsafe.se/vanliga-fraagor/spaerra-ditt-personnummer/ och polisen.se/utsatt-forbrott/olika-typer-av-brott/bedrageri/identitetsintrang/ Hämtad 2019-01-23. 21 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 228.

ligger nästan i nivå med de 28 procent som uppgett att de ofta oroar sig för att bli utsatta för bostadsinbrott, som enligt samma undersökning är den brottstyp som flest personer oroar sig för.22 Det kan alltså konstateras att en stor andel av befolkningen oroar sig för att bli utsatta för bedrägeri.

22 Brottsförebyggande rådet Sammanställning av centrala resultat från Nationella trygghetsundersökningen 2018.

4. Svenska fysiska identitetshandlingar

4.1. Inledning

Som utgångspunkt gäller att det är den som en identitetshandling visas upp för som måste ta ställning till om den aktuella handlingen kan godtas som bevis om en persons identitet. Det brukar dock sägas att det finns fem svenska identitetshandlingar som allmänt accepteras som bevis på innehavarens identitet. De fem handlingarna är pass, nationellt identitetskort, identitetskort för folkbokförda i Sverige, körkort och SIS-märkt id-kort (SIS står för Swedish Standards Institute). Identitetshandlingarna behandlas närmare i avsnitt 4.2–4.6. Förutom dessa fysiska identitetshandlingar finns det också elektroniska identitetshandlingar (e-legitimationer). Dessa behandlas i kapitel 5.

Utöver de fem allmänt accepterade fysiska identitetshandlingarna finns det en mängd olika handlingar av skiftande kvalitet som ibland kan användas för att identifiera sig. Som exempel kan nämnas tjänstekort utan SIS-märkning, medlemskort, passerkort, kundkort och det s.k. LMA-kortet, dvs. det kort som Migrationsverket utfärdar till asylsökande. Sådana handlingar godtas inte allmänt som identitetshandlingar, men kan i vissa sammanhang anses som tillräckligt identitetsbevis. Några av de handlingar som inte är allmänt accepterade identitetshandlingar behandlas översiktligt i avsnitt 4.7.

Slutligen kan även utländska identitetshandlingar accepteras i vissa fall. Dessa berörs kortfattat i avsnitt 4.8.

Staten har tidigare inte tagit något övergripande ansvar för att utfärda identitetshandlingar till invånarna. I stället har det sedan 1970talet ansetts vara en fråga för marknaden att lösa. Under 2000-talet togs vissa initiativ till ett ökat ansvar för staten att säkerställa att det finns möjlighet för invånare i Sverige att få id-kort. Detta till följd av att det då blev svårare för vissa personer att få id-kort på grund av

skärpta krav på marknaden, som tillkommit för att motverka att personer och intygsgivare lämnade oriktiga uppgifter vid ansökan om identitetshandlingar. Bl.a. av det skälet infördes under år 2009 identitetskort för folkbokförda i Sverige. Införandet av det kortet innebär att det i dag finns en handling som enbart har som funktion att styrka identitet och som staten har ansvar för att tillhandahålla. Genom införandet av identitetskort för folkbokförda i Sverige får staten sägas ha tagit ett visst ansvar för att se till att de som bor i Sverige kan få ett id-kort som är allmänt accepterat.

I övrigt är de dokument som staten tillhandahåller inte identitetshandlingar som enbart har den funktionen. Pass är primärt en resehandling. Det nationella identitetskortet tillkom delvis i syfte att underlätta resandet inom EU. Körkort är i första hand ett bevis om en persons förarbehörighet. Dessa handlingar används dock även som identitetshandlingar och accepteras allmänt som sådana, både av marknaden och samhället.

4.2. Pass

Pass regleras i passlagen (1978:302) och passförordningen (1979:664). Kompletterande föreskrifter finns när det gäller Polismyndighetens hantering i Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14). Inom Polismyndigheten pågår ett arbete med att revidera föreskrifterna. Regeringskansliets föreskrifter om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort (UF 2009:9) gäller för passmyndigheter utom riket.

Ett svenskt pass uppfyller både EU-rättsliga krav och den civila luftfartens FN-organs, International Civil Aviation Organisation (ICAO), rekommendationer om säkerhetsstandard.1 Den centrala gemenskapsrättsliga rättsakten är rådets förordning (EG) nr 2252/2004 av den 13 december 2004 om standarder för säkerhetsdetaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna (EU:s passförordning). Förordningen reglerar i första hand skyddet mot förfalskning. Den innehåller bl.a. bestämmelser om utformning, tillverkning, säkerhetsdetaljer och

1 Machine Readable Travel Documents (dokument 9303) del 3.

kopieringsskydd. Förordningen är utformad med beaktande av ICAO:s rekommendationer.

Pass är internationellt sett det dokument som i störst utsträckning accepteras som identitetshandling. Pass är först och främst en resehandling som ska medföras vid resa ut ur och in i Sverige med vissa undantag (5 § passlagen). Passet ska visas upp på begäran och passinnehavaren ska lämna sina fingeravtryck och låta sitt ansikte bli fotograferat digitalt för att det ska vara möjligt att kontrollera att dessa motsvarar de uppgifter som finns lagrade i passet (5 a § passlagen).

Av 1 § passlagen följer att svenskt pass utfärdas till svenska medborgare. Pass utfärdas enligt 3 § passlagen som vanligt pass eller särskilt pass. Särskilt pass kan utfärdas som provisoriskt pass, extra pass, tjänstepass eller diplomatpass. Vanliga pass är som huvudregel giltiga i fem år. Om den som ansöker om passet inte har fyllt tolv år är giltighetstiden i stället tre år.

Förutom pass har svenska passmyndigheter utom riket möjlighet att utfärda en provisorisk resehandling till medborgare i EU-länder som inte har någon diplomatisk eller konsulär representation i det land där denne befinner sig. Detta regleras i förordningen (1997:698) om Europeiska unionens provisoriska resehandling. Inom EU pågår ett arbete med att förhandla ett nytt direktiv om provisoriska resehandlingar.2

Pass utfärdas enligt 2 § passlagen av passmyndigheten. Inom riket är det Polismyndigheten som är passmyndighet. Polismyndigheten har haft denna uppgift sedan 1979. Dessförinnan var länsstyrelsen tillsammans med de största polismyndigheterna i landet passmyndighet, men även då handlades ansökningarna vid polismyndigheterna som vidarebefordrade ärendena till länsstyrelsen för beslut.3Pass utfärdas på omkring 110 platser runt om i landet. Därutöver finns det ytterligare cirka 40 utlämningsställen.

Utom riket fullgör, i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer, beskickningar och karriärkonsulat uppgifter som passmyndighet. Även ett honorär-

2 Förslag till rådets direktiv om införande av en provisorisk EU-resehandling och om upphävande av beslut 96/409/Gusp COM (2018) 358 final. 3SOU 2001:87 s. 121.

konsulat kan i begränsad utsträckning fullgöra uppgifter som passmyndighet. Under särskilda omständigheter får även Utrikesdepartementet utfärda pass (2 och 31 §§passlagen).

Passansökan görs enligt 6 § passlagen hos en passmyndighet. Ansökan görs på heder och samvete eller annan sådan försäkran. Vid ansökan ska sökanden komma personligen till passmyndigheten. Ansökan ska enligt 1 § passförordningen göras skriftligen och som utgångspunkt undertecknas av sökanden i närvaro av den person som tar emot ansökan. Sökanden är skyldig att låta passmyndigheten ta fingeravtryck och en bild i digitalt format av ansiktet.

Sökanden måste styrka sin identitet, sitt svenska medborgarskap och övriga personuppgifter. Polismyndigheten ska kontrollera identiteten noggrant (6 § passlagen och 4 kap. 1 § RPSFS 2009:14). Identiteten kan styrkas på de sätt som anges i 4 kap. 2 § i RPSFS 2009:14. Det vanligaste sättet att styrka sin identitet är genom uppvisande av en giltig identitetshandling. Sökanden kan styrka sin identitet genom ett giltigt svenskt vanligt eller extra pass, ett nationellt identitetskort, ett identitetskort för folkbokförda i Sverige, ett svenskt körkort eller ett av statlig myndighet utfärdat eller av behörigt organ certifierat och giltigt tjänste- eller identitetskort.

Om det inte är möjligt kan vissa kategorier av anhöriga, vissa företrädare och arbetsgivare skriftligen försäkra att sökandens uppgifter om identiteten är korrekta. Den som lämnar en sådan försäkran måste vara närvarande vid identitetskontrollen och kunna styrka sin egen identitet genom någon av de identitetshandlingar som godtas. Om sökanden inte kan styrka sin identitet varken genom en identitetshandling eller genom någon annans försäkran får Polismyndigheten godta att identiteten styrks på något annat tillförlitligt sätt.

Om det finns ett tidigare utfärdat pass ska det enligt 1 § passförordningen bifogas ansökan. Om det passet förstörts eller förkommit ska sökanden i ansökan på heder och samvete lämna uppgift om hur och, i de fall då passet har förkommit, om vilka åtgärder som sökanden har vidtagit för att återfå det. Om sökanden av särskilda skäl har behov av det tidigare passet under handläggningstiden, behöver det inte ges in förrän i samband med att det nya passet lämnas ut.

Om sökanden är under 18 år, ska han eller hon även ge in ett personbevis eller någon annan handling som visar vem som är vårdnadshavare. Numera behöver dock sökanden sällan ge in några sådana

handlingar eftersom dessa uppgifter kan hämtas direkt från Skatteverkets folkbokföringsdatabas. Vårdnadshavaren måste lämna ett medgivande till passansökan om det inte finns synnerliga skäl att ändå utfärda pass (1 § passförordningen och 7 § 2 passlagen).

Ett pass ska enligt 21 § passförordningen lämnas ut till sökanden personligen.

Fingeravtrycken och ansiktsbilden ska sparas i ett lagringsmedium i passet. Fingeravtrycken och de biometriska data som tas fram ur dessa och ur ansiktsbilden ska omedelbart förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits (6 a § passlagen).

Av passet framgår att innehavaren är svensk medborgare. Vidare innehåller passet uppgifter om bl.a. utfärdande myndighet, giltighetstid, passnummer, innehavarens namn, personnummer, kön, födelsedatum och födelseplats. Det händer att en svensk medborgare som inte fått personnummer ansöker om pass, t.ex. svenska barn födda utomlands. I sådant fall ska passet i stället för personnummer innehålla uppgift om samordningsnummer. Passet innehåller också uppgifter om innehavarens längd och namnteckning.

Det finns vissa begränsningar i rätten att få ett pass. I vilka situationer en ansökan om pass ska avslås framgår av 7 § passlagen. Det gäller bl.a. om de krav som ställs på sökanden om personlig inställelse, medgivande att ta en digital bild av ansiktet och fingeravtryck, styrkande av identiteten samt medgivande av vårdnadshavare inte uppfylls. Därutöver finns vissa regler om att en sökande som exempelvis är underkastad vissa tvångsåtgärder eller är frihetsberövad inte kan få ett pass. En passansökan ska också enligt 7 a § passlagen som huvudregel avslås om det inom de senaste fem åren har utfärdats tre pass för sökanden.

Ett pass ska enligt 12 § passlagen återkallas under vissa förutsättningar. Passet ska t.ex. återkallas om innehavaren inte längre är svensk medborgare, om vårdnadshavare för barn under 18 år begärt det, eller om innehavaren är föremål för vissa straffrättsliga åtgärder. Passet ska även återkallas om hinder mot bifall till passansökan förelåg vid tiden för passets utfärdande och hindret fortfarande består eller om någon annan än den för vilket passet är utfärdat förfogar över det. Om det finns särskilda skäl och innehavaren av passet begär det kan passmyndigheten enligt 14 § passlagen i stället för att återkalla passet förkorta giltighetstiden eller begränsa giltighetsområdet.

De flesta beslut som fattas av passmyndigheten får enligt 27 § passlagen överklagas hos allmän förvaltningsdomstol. Vid överklagande till kammarrätten krävs prövningstillstånd. Beslut enligt passlagen gäller enligt 30 § som huvudregel omedelbart.

Polismyndigheten ska enligt 23 § passförordningen föra ett passregister och ett register över vissa uppgifter avseende krav på passtillstånd för personer intagna för psykiatrisk tvångsvård eller rättspsykiatrisk vård. Polismyndigheten ska på begäran från vissa uppräknade myndigheter lämna ut ett fotografi av en enskild från passregistret.

Ansökningsavgiften för ett vanligt pass är 350 kronor. För prövning av ansökan gäller i övrigt bestämmelserna i 1114 §§avgiftsförordningen (1992:191). Det innebär bl.a. att avgiften ska betalas när ansökan ges in, att ansökan får avvisas om avgiften inte betalas trots att sökanden förelagts att betala avgiften, att avgiften under vissa omständigheter kan återbetalas helt eller delvis och att passmyndighetens avgiftsbeslut får överklagas på samma sätt som övriga beslut i ärendet. För pass som utfärdas vid passmyndighet utom riket tas avgift ut enligt förordningen (1997:691) om avgifter vid utlandsmyndigheterna (30 § passförordningen).

4.3. Nationellt identitetskort

Det nationella identitetskortet infördes den 1 oktober 2005. Id-kortet infördes delvis i syfte att underlätta resandet inom Schengenområdet där det råder passfrihet. Avsikten vid införandet var dock inte att kortet skulle användas som en resehandling, utan för att personer vid behov skulle kunna styrka sitt svenska medborgarskap och därigenom sin rätt att uppehålla sig i ett Schengenland.4 Från och med den 1 juli 2015 kan kortet användas vid resa inom hela EU.

Det nationella identitetskortet fungerar som ett id-kort i Sverige. Till skillnad från vissa andra länder finns det i Sverige inte något krav på att alla ska ha ett nationellt identitetskort.

4 Jfr Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (rörlighetsdirektivet).

Det nationella identitetskortet regleras av förordningen (2005:661) om nationellt identitetskort. Polismyndigheten och Regeringskansliet har utfärdat kompletterande föreskrifter. De regleras i samma föreskrifter som pass.5

Det nationella identitetskortet utfärdas enligt 1 § förordningen om nationellt identitetskort endast till svenska medborgare. Kortet utfärdas av passmyndigheten, dvs. inom riket av Polismyndigheten. Liksom pass kan kortet utom riket utfärdas av utlandsmyndigheter. Giltighetstiden är enligt 5 § normalt fem år.

Den som ansöker om ett nationellt identitetskort ska enligt 2 § förordningen om nationellt identitetskort inställa sig personligen. För id-kort som utfärdas utomlands finns vissa undantag från kravet på personlig inställelse. En ansökan ska enligt 3 § vara skriftlig och som huvudregel undertecknas i närvaro av den som tar emot ansökan.

Sökanden är skyldig att styrka sin identitet, sitt svenska medborgarskap och övriga personuppgifter. Identiteten kan styrkas på samma sätt som gäller för pass.

Sökanden är också skyldig att låta passmyndigheten ta en bild i digitalt format av sitt ansikte. Vid ansökan vid en passmyndighet utom riket får Regeringskansliet meddela föreskrifter om att sökanden är skyldig att ge in ett välliknande fotografi i stället för att låta myndigheten ta en bild.

Om sökanden är under 18 år ska ett skriftligt medgivande från vårdnadshavare ges in. Om det finns synnerliga skäl kan passmyndigheten, trots att något sådant medgivande inte finns, ändå utfärda ett id-kort.

Ett tidigare utfärdat id-kort som fortfarande är giltigt ska som huvudregel, om det inte förstörts, förkommit eller makulerats, ges in för makulering i samband med ansökan.

Kortet ska lämnas ut till sökanden personligen. Vid utlämnande av en passmyndighet utom riket får myndigheten medge att kortet lämnas ut hos ett ombud för myndigheten (6 §).

Den ansiktsbild som tas av passmyndigheten används till id-kortet. Bilden sparas även i ett lagringsmedium på kortet (4 §). De biometriska data som tas fram ur bilden ska däremot förstöras omedelbart när kortet lämnats ut eller ansökan återkallats eller avslagits.

5 Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14) och Regeringskansliets föreskrifter om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort (UF 2009:9).

Om sökanden inte uppfyller de krav som ställs för att få ett id-kort ska ansökan enligt 8 § avslås. Det gäller bl.a. om de krav som ställs på sökanden om personlig inställelse, medgivande till fotografering, styrkande av identiteten och medgivande av vårdnadshavare inte uppfylls.

Ett nationellt identitetskort ska vidare enligt 9 § återkallas i vissa fall. Det gäller om innehavaren har förlorat eller efter ansökan har befriats från sitt svenska medborgarskap. Ett kort ska också återkallas om hinder mot bifall till ansökan förelåg vid tiden för id-kortets utfärdande och hindret består. Därutöver ska kortet återkallas när någon annan än den för vilket id-kortet är utställt förfogar över kortet. Beslutet om återkallelse fattas av passmyndigheten på den ort där kortinnehavaren befinner sig när ärendet tas upp. Ett sådant beslut får dock också meddelas av den passmyndighet som utfärdat kortet (10 §). Ett ärende om återkallelse ska tas upp så snart som möjligt om myndigheten får kännedom om en sådan omständighet som ska leda till återkallelse (11 §). Om ett nationellt identitetskort återkallas är kortinnehavaren eller den som annars förfogar över kortet skyldig att på begäran av passmyndigheten överlämna kortet till i första hand passmyndigheten (13 § första stycket).

Polismyndighetens beslut i ärenden om nationella identitetskort överklagas hos allmän förvaltningsdomstol. I förordningen erinras om att bestämmelser om överklagande finns i 40 § förvaltningslagen (2017:900). Ett beslut som meddelas av passmyndigheten gäller omedelbart (23 §).

Polismyndigheten ska föra ett register över nationella identitetskort med hjälp av automatiserad behandling (14 §). Registret ska innehålla uppgifter om sökandens namn, personnummer, längd och kön. Det ska också innehålla uppgift om dag för utfärdande, kortnummer och giltighetstid. Vidare ska det finnas uppgift om namnteckning och en kopia av den ansiktsbild som kortet försetts med. Slutligen ska registret innehålla beslut om avslag eller återkallelse samt vilken grunden för det beslutet varit (16 §). Ändamålet med registret är att ge information om sådana uppgifter som behövs i verksamheten för utfärdande av nationella identitetskort (15 §). Uppgifter i registret ska gallras senast sex månader efter det att giltighetstiden för ett identitetskort gått ut (17 §). Ansiktsbilden och de biometriska data som kan tas fram ur bilden får inte användas vid sökning med hjälp av automatiserad behandling (18 § första stycket). Om en myndighet har

genomfört en kontroll av om kortinnehavarens ansikte motsvarar ansiktsbilden i lagringsmediet, ska den ansiktsbild och de biometriska data som tagits fram omedelbart förstöras (18 § andra stycket).

Avgiften för en ansökan om nationellt identitetskort är enligt 25 § förordningen om nationellt identitetskort 400 kronor. För prövning av ansökan gäller i övrigt bestämmelserna i 1114 §§avgiftsförordningen (1992:191). Det innebär bl.a. att avgiften ska betalas när ansökan ges in, att ansökan får avvisas om avgiften inte betalas trots att sökanden förelagts att betala avgiften, att avgiften under vissa omständigheter kan återbetalas helt eller delvis och att passmyndighetens avgiftsbeslut får överklagas på samma sätt som övriga beslut i ärendet. För id-kort som utfärdas vid passmyndighet utom riket tas avgift ut enligt förordningen (1997:691) om avgifter vid utlandsmyndigheterna.

4.4. Identitetskort för folkbokförda i Sverige

Skatteverket utfärdar sedan den 1 juni 2009 identitetskort för folkbokförda i Sverige. Kortet kan inte användas som resehandling. Id-kortet innehåller också en e-legitimation (se avsnitt 5.5). När någon ansöker om ett id-kort hos Skatteverket får personen alltså samtidigt en e-legitimation.

Regler om utfärdande av id-kortet finns i lagen (2015:899) om identitetskort för folkbokförda i Sverige (IdL) och förordningen (2015:904) om identitetskort för folkbokförda i Sverige (IdF). Kompletterande föreskrifter finns i Skatteverkets föreskrifter om identitetskort (SKVFS 2009:14).

Id-kortet utfärdas enligt 1 § IdL till personer som har fyllt 13 år och är folkbokförda i landet enligt folkbokföringslagen (1991:481). Det krävs däremot inte att sökanden är svensk medborgare. Kortet är enligt 8 § IdF giltigt i högst fem år.

Ansökan om id-kort kan göras på 27 av de servicekontor som Skatteverket driver tillsammans med Försäkringskassan och Pensionsmyndigheten. Det finns ytterligare 18 kontor där det är möjligt att på begäran hämta ut färdiga id-kort. Den som ansöker om ett identitetskort är enligt 3 § IdF skyldig att inställa sig personligen vid

ett av de 27 servicekontoren som utfärdar id-kort. Servicekontorsverksamheten kommer att övergå till Statens servicecenter den 1 juni 2019, se avsnitt 6.5.1.

I samband med ansökan måste sökanden enligt 2 § IdL låta myndigheten ta en ansiktsbild i digitalt format. Om det finns synnerliga skäl är det möjligt att i stället lämna in ett eget fotografi. Ansökan ska enligt 4 § IdF vara skriftlig och som huvudregel undertecknas av sökanden i närvaro av den person som tar emot den.

Sökanden ska också enligt 2 § IdL styrka sin identitet och övriga personuppgifter. Som huvudregel ska detta göras genom uppvisande av en godtagbar identitetshandling (3–4 § SKVFS 2009:14). Godtagbar identitetshandling är giltigt identitetskort utfärdat av Skatteverket, vanligt svenskt pass, svenskt nationellt identitetskort, svenskt körkort, svenskt tjänstekort utfärdat av statlig myndighet, SIS-märkt företagskort, tjänstekort eller identitetskort, EU-pass utfärdat från och med den 1 september 2006 samt pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006. Om sökanden inte har en godtagbar identitetshandling kan uppgifterna styrkas genom att någon som känner sökanden väl i en skriftlig försäkran intygar att sökanden är den han eller hon uppger sig vara. Intygsgivare kan vissa anhöriga, god man eller förvaltare, familjehemsföräldrar, arbetsgivare eller vissa myndighetstjänstemän vara. Om sökanden inte kan styrka sin identitet och övriga personuppgifter på något av dessa sätt har Skatteverket möjlighet att göra en sammanvägd bedömning av handlingar som åberopas av sökanden (3 och 5 §§ SKVFS 2009:14). Om sökanden har uppehållstillstånd i Sverige ska han eller hon enligt 3 § IdL anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet. Identiteten ska dock inte anses styrkt på detta sätt om särskilda skäl talar emot det.

Den som är under 18 år måste enligt 5 § IdF ha vårdnadshavares medgivande för att få id-kort om det inte finns synnerliga skäl att ändå utfärda ett id-kort.

Ett tidigare utfärdat identitetskort av samma slag som fortfarande är giltigt ska enligt 6 § IdF som huvudregel ges in för makulering i samband med ansökan.

Id-kortet ska enligt 9 § IdF lämnas ut till sökanden personligen.

Den bild som tas i samband med ansökan är den som används till id-kortet. Det färdiga kortet innehåller vidare personens fullständiga namn, personnummer, födelsetid, kön, längd och namnteckning.

Under vissa förutsättningar ska en ansökan avslås eller ett utfärdat kort återkallas. Avslag ska enligt 4 § IdL bl.a. meddelas om sökanden inte uppfyller kraven för att få ett id-kort eller om de krav som ställs på sökanden om personlig inställelse, medgivande till fotografering, styrkande av identiteten samt medgivande av vårdnadshavare inte uppfylls. Ett utfärdat kort ska enligt 6 § IdF återkallas bl.a. om det fanns hinder mot att utfärda kortet vid tidpunkten för utfärdandet och hindret består eller om någon annan än den kortet är utställt på förfogar över det.

Beslut som Skatteverket meddelar gäller direkt om inte något annat sägs i beslutet (20 § IdL). Besluten kan överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten krävs prövningstillstånd (19 § IdL).

Skatteverket ska föra en databas innehållande uppgifter om id-korten. Bestämmelser om databasen finns i 8–18 §§ IdL och 11–14 §§ IdF. Bestämmelserna om behandling av personuppgifter kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i fortsättningen kallad dataskyddsförordningen, som också ska tillämpas på behandlingen. Vid behandlingen av personuppgifter ska även lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen tillämpas, om inte annat följer av IdL eller föreskrifter som meddelats i anslutning till lagen. Personuppgifter får behandlas i databasen om det behövs i verksamheten för utfärdande av identitetskort. Personuppgifter som behandlas för det ändamålet får också behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Sådana personuppgifter får behandlas även för andra ändamål, under förutsättning att de inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Känsliga personuppgifter får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.

Databasen ska innehålla sökandens fullständiga namn, personnummer, födelsetid, postadress och andra behövliga kontaktuppgifter, längd och kön, dag för utfärdandet av identitetskortet, kortnummer och giltighetstid, sökandens namnteckning eller, i förekommande fall, anteckning om anledningen till att namnteckning saknas, kopia av den ansiktsbild som identitetskortet har försetts med, uppgift om hur sökanden har styrkt sin identitet, beslut om att ansökan har avslagits och skälen för detta beslut samt uppgift om att identitetskortet har förlustanmälts eller återkallats och vad som har utgjort skäl för beslutet om återkallelse. Uppgifterna får tillföras från Skatteverkets folkbokföringsdatabas. En handling som har kommit in eller upprättats i ett ärende får behandlas i databasen.

Uppgift om ett identitetskorts giltighet får lämnas ut genom direktåtkomst. Ansiktsbilden får inte användas vid sökning med hjälp av automatiserad behandling. Känsliga personuppgifter och uppgifter om lagöverträdelser får inte användas som sökbegrepp. Den registrerade har inte rätt att göra invändningar mot behandling som är tilllåten enligt lagen.

Skatteverket har rätt att ta del av uppgifter som Migrationsverket behandlar enligt 11 § utlänningsdatalagen (2016:27) vid direktåtkomst enligt 19 § samma lag. Tillgången till uppgifterna ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Migrationsverket ska på begäran av Skatteverket lämna ut sådana uppgifter till Skatteverket som anges i 13 § andra stycket utlänningsdataförordningen (2016:30) och som Skatteverket behöver för handläggning av en ansökan om identitetskort.

Uppgifter och handlingar i databasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft. Riksarkivet får dock meddela föreskrifter om längre bevarandetid.

Ansökningsavgiften för id-kortet är enligt 16 § IdF 400 kronor. Avgiften ska vara betald när ansökan ges in. Om avgiften inte är betald då tillämpas 11 § avgiftsförordningen som bl.a. innebär att ansökan får avvisas om avgiften inte betalas trots att sökanden förelagts att betala avgiften. För prövning av ansökan tillämpas i övrigt 1214 §§avgiftsförordningen vilket bl.a. innebär att avgiften under

vissa omständigheter kan återbetalas helt eller delvis och att Skatteverkets avgiftsbeslut får överklagas på samma sätt som övriga beslut i ärendet.

4.5. Körkort

Det primära syftet med ett körkort är att det ska utvisa behörigheten att köra vissa körkortspliktiga fordon. Av 2 kap. 1 § körkortslagen (1998:488) följer att personbil, lastbil, buss, motorcykel och moped klass I endast får köras av den som har ett gällande körkort för fordonet. Körkortet är dock även sedan länge en allmänt accepterad identitetshandling i Sverige.6

Internationellt sett är det emellertid inte vanligt att körkort kan användas som fullgott alternativ till den internationellt accepterade identitetshandlingen passet. Det finns dock några andra länder som accepterar körkort som identitetshandling. Enligt uppgift från Transportstyrelsen godtas körkort som identitetshandling i bl.a. Nederländerna och vissa stater i USA.

Det är Transportstyrelsen som utfärdar körkort. Myndigheten hanterar också ansökan om körkortstillstånd och förarbevis, utbyte av utländskt körkort, körkort med villkor, läkarintyg, varning och återkallelse av körkort samt alkolås. (7 kap. 2 § körkortslagen) Trafikverket har hand om kunskapsprov och körprov för körkort och fotografering för körkort.

Reglerna för svenska körkort finns framför allt i körkortslagen och körkortsförordningen (1998:980). Transportstyrelsen har utfärdat vissa kompletterande föreskrifter.7 Körkortslagen innehåller, såvitt här är av intresse, bl.a. bestämmelser om vilka handlingar som ger behörighet att köra motorfordon. Lagen reglerar inte körkortets användning som identitetshandling. Den svenska regleringen är anpassad till den EU-rättsliga regleringen i Europaparlamentets och

6 Se t.ex. SOU 1970:26 s. 28. 7 Transportstyrelsens föreskrifter om körkortets utformning och innehåll (TSFS 2012:60), Transportstyrelsens föreskrifter och allmänna råd om förarprov, gemensamma bestämmelser (TSFS 2012:41), Transportstyrelsens föreskrifter om ansökan om körkort på elektronisk väg (TSFS 2013:114), Transportstyrelsens föreskrifter om utlämnande av körkort vid utlandsmyndighet (TSFS 2017:22) och Transportstyrelsen föreskrifter om utlämnande av körkort (TSFS 2017:120). Därutöver finns föreskrifter och allmänna råd om medicinska krav för innehav av körkort m.m. samt om innehav av körkort med villkor om alkolås.

rådets direktiv 2006/126/EG av den 20 december 2006 om körkort (det tredje körkortsdirektivet).

Förutsättningarna för utfärdande av körkort regleras i 3 kap. i körkortslagen. Personen som körkortet ska utfärdas för måste ha ett körkortstillstånd och vara permanent bosatt i Sverige eller sedan minst sex månader studera här. Vidare måste vissa ålderskrav vara uppfyllda. Sökanden måste också ha avlagt godkänt förarprov (3 kap. 1 § första stycket körkortslagen). Körkort får inte utfärdas för den som har ett körkort utfärdat i en annan stat inom Europeiska ekonomiska samarbetsområdet (EES) eller som har ett körkort som i en sådan stat är föremål för en åtgärd som är att likställa med återkallelse eller omhändertagande enligt lagen (3 kap. 1 § andra stycket körkortslagen).

Inför att förarprov ska genomföras sker fotografering vid Trafikverket. Det fotografi som tas i samband med det första förarprovet används enligt Transportstyrelsen som ett stöd vid den identitetskontroll som görs vid senare förarprov. Det är också det fotografiet som används vid utfärdande av körkortet.

I samband med fotograferingen sker en identitetskontroll. Sökanden måste identifiera sig med hjälp av en giltig och godtagbar identitetshandling vid varje förarprov (2 kap. 1 § TSFS 2012:41). Godtagbara identitetshandlingar är SIS-märkt företagskort, tjänstekort eller identitetskort, svenskt nationellt identitetskort, identitetskort utfärdat av Skatteverket, svenskt körkort, svenskt EU-pass, annat EU-pass utfärdat från och med den 1 september 2006 och pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006 (2 kap. 2 § TSFS 2012:41). Den som saknar en godtagbar identitetshandling kan hos Trafikverket ansöka om undantag från kravet. Beslutet om undantag ska tas med till provtillfället. Sökanden måste, om ett sådant undantag meddelats, i stället styrka sin identitet genom att någon anhörig skriftligen försäkrar att lämnade uppgifter om sökandens identitet är riktiga. Intygsgivaren ska närvara vid provtillfället och måste kunna styrka sin egen identitet (2 kap. 6 § TSFS 2012:41).

Ansökan om utfärdande av körkort med anledning av förarprov görs på elektronisk väg hos Trafikverket. En ansökan får bara lämnas om sökandens identitet har fastställts. Sökanden ska vid ansökan visa en godtagbar, giltig identitetshandling som styrker sökandens identitet. Samma handlingar godtas som vid identifiering i samband med

förarprov. Sökanden ska vidare skriva sin namnteckning på en digital signaturpanel (TSFS 2013:114).

Ett utländskt körkort som är utfärdat i en stat inom EU, EES, Schweiz eller Japan kan, om sökanden är permanent bosatt i Sverige, under vissa förutsättningar bytas ut mot ett svenskt enligt 6 kap. 7 § körkortslagen. Om det utländska körkortet förstörts eller kommit bort kan det i stället ersättas med ett svenskt körkort. Det är Transportstyrelsen som handlägger dessa ärenden. Transportstyrelsen ska utreda det utländska körkortets giltighet och kan i vissa fall förelägga sökanden att ge in utredning som styrker att det utländska körkortet är giltigt i den andra staten (6 kap. 7 b § körkortsförordningen). Efter beslut om utbyte måste sökanden göra en ansökan på elektronisk väg hos Trafikverket på det sätt som beskrivs ovan (2 § första stycket TSFS 2013:114). Där genomförs en identitetskontroll. Det utländska körkortet ska normalt lämnas in till Transportstyrelsen i samband med ansökan om utbyte (6 kap. 7 § körkortsförordningen).

Vid förnyelse av körkort kan sökanden antingen ansöka på en särskild blankett (grundhandling) och skicka in ett välliknande fotografi eller göra en ansökan på elektronisk väg hos Trafikverket på det sätt som beskrivs ovan (3 kap. 15 § körkortsförordningen och 2 § andra stycket TSFS 2013:114). Väljer sökanden att fotografera sig hos Trafikverket måste identiteten styrkas med en godtagbar och giltig identitetshandling.

Om den som ansöker om körkort har ett körkort sedan tidigare gör Transportstyrelsen en jämförelse mellan det fotografi som sökanden ger in tillsammans med ansökan och det fotografi som finns på det gamla körkortet. Syftet med kontrollen är att säkerställa att det är rätt person som är avbildad på det nya fotografiet.

Regeringen eller den myndighet regeringen bestämmer får överlämna uppgiften att lämna ut körkort åt företag som har tillstånd enligt postlagen (2010:1045) att bedriva postverksamhet (tillståndshavare), dotterföretag till sådana tillståndshavare och företag som på uppdrag av en tillståndshavare eller dennes dotterföretag lämnar ut postförsändelser till mottagare (postombud). Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om överlämnandet och om utlämnande av körkort (10 kap. 2 § körkortslagen). Transportstyrelsen har meddelat sådana föreskrifter. Av föreskrifterna framgår vilka företag som får utföra identitetsprövning och även i övrigt medverka i samband med att körkort lämnas ut.

Körkortet skickas med rekommenderad post och lämnas ut vid något av Postnords utlämningsställen. Det finns totalt cirka 1 450 utlämningsställen. Utomlands kan utlandsmyndigheter lämna ut körkort. Den som körkortet gäller för måste hämta ut det personligen och som huvudregel kunna styrka sin identitet med hjälp av en godtagbar och giltig identitetshandling. Godtagbara identitetshandlingar är svenskt körkort, identitetskort utfärdat av Skatteverket, SISmärkt företagskort, tjänstekort eller identitetskort, svenskt nationellt identitetskort, svenskt EU-pass, utländskt nationellt identitetskort utfärdat av vissa länder inom Schengenområdet, utländskt EU-pass och utländskt pass från land utanför EU med innehavarens fotografi, uppgift om utfärdandeland och handlingens nummer (4 och 5 §§ TSFS 2017:120 samt 5–7 §§ TSFS 2017:22).

I 2 kap. körkortsförordningen finns vissa bestämmelser om körkortets utformning. Ytterligare föreskrifter finns i TSFS 2012:60. Det svenska körkortet har en utformning som möter de krav som ställs i det tredje körkortsdirektivet, bl.a. ska det av körkortet framgå att det är ett svenskt körkort. Vidare ska exempelvis innehavarens namn, födelsedatum, fotografi, namnteckning och giltighetstid framgå. Körkortet ska också innehålla ett körkortsnummer, vilket motsvarar innehavarens person- eller samordningsnummer.

Ett körkort kan återkallas. Den återkallelsegrund som här är av intresse är den omständigheten att det fanns hinder mot att utfärda körkort vid tiden för utfärdandet och hindret fortfarande består (5 kap. 3 § 9 körkortslagen).

Ett körkort ska förnyas inom tio år efter att det utfärdats eller senast förnyats eller om det förstörts, kommit bort eller någon uppgift i det har ändrats. Högre behörigheter ska dock förnyas vart femte år (3 kap. 14 § körkortslagen). Även vid förnyelse gäller att körkortshavaren måste vara permanent bosatt i Sverige eller studera här sedan minst sex månader (3 kap. 14 a § körkortslagen).

Ett beslut enligt körkortslagen gäller omedelbart, om inte annat anges (7 kap. 7 § första stycket). De beslut som får överklagas ska överklagas till allmän förvaltningsdomstol (8 kap. 1 § körkortslagen). Vid överklagande till kammarrätten krävs prövningstillstånd (8 kap. 3 § tredje stycket körkortslagen).

Transportstyrelsen för vägtrafikregister enligt lagen (2001:558) om vägtrafikregister. Registret ska när det gäller behörighet enligt

körkortslagen att föra fordon innehålla uppgifter som avser förarutbildning och förarprov samt det som i övrigt behövs för tillämpningen av körkortslagen och av föreskrifter som meddelats i anslutning till lagen (6 §). Vägtrafikregistret ska bl.a. ha till ändamål att tillhandahålla uppgifter om den som ansöker om, har eller har haft behörighet att framföra fordon enligt körkortslagen (5 §). Kompletterande bestämmelser till lagen finns i förordningen (2001:650) om vägtrafikregister. Där anges vilka uppgifter som ska föras in i registret. När det gäller körkort ska bl.a. vissa identitetsuppgifter i form av namn, personnummer eller samordningsnummer och folkbokföringsadress eller, om körkortshavaren inte är folkbokförd, annan adress i landet föras in. Även uppgifter om körkortstillverkning, såsom foto, namnteckning, samtliga uppgifter i utfärdat körkort, leveransdatum och referensnummer ska registreras. Registret ska även innehålla vissa körkortsuppgifter, belastningsuppgifter och förarprovsuppgifter. (2 kap. 1 § 2 och bilaga 2). Förordningen reglerar även vilka sökbegrepp som får användas vid sökning i vägtrafikregistret. Av regleringen framgår bl.a. att det inte är tillåtet att söka på fotografi (4 kap. 1 § 2 jämförd med 10 § lagen om vägtrafikregister). Lagen och förordningen innehåller också bestämmelser om direktåtkomst, samkörning, bevarande och gallring m.m. Ett förslag till ny vägtrafikdatalag som ska ersätta lagen om vägtrafikregister behandlas för närvarande i riksdagen.8

Utfärdande eller förnyelse av körkort kostar 250 kronor enligt Transportstyrelsens föreskrifter om avgifter (TSFS 2016:105). Trafikverkets avgifter tillkommer.

4.6. SIS-märkta id-kort

Det s.k. SIS-märkta id-kortet är en identitetshandling som tillverkas av en licensierad tillverkare och utfärdas av en godkänd utfärdare enligt vissa standarder (SS 61 43 14 och SBC 151-U9).

Det SIS-märkta id-kortet utfärdas av privata aktörer och är inte till någon del författningsreglerat. Statens inflytande över kortets utformning och utfärdande är alltså mycket begränsat. Hur id-kortet

8Prop. 2018/19:33. 9 SBC 151 finns i två utgåvor. Dels SBC 151-U som gäller för utfärdare, dels SBC 151-T som gäller för tillverkare.

ska utformas och utfärdas bestäms i stället av andra aktörer, nämligen Swedish Standards Institute (SIS) och DNV GL Business Assurance Sweden AB (DNV). SIS är en fristående ideell förening som har ett generellt uppdrag från staten att utforma standarder för en mängd olika områden, bl.a. för tillverkning av id-kort. Även om SIS utformar standarder enligt ett statligt uppdrag lyder inte föreningen under staten på annat sätt än att det i och för sig står staten fritt att göra ändringar i uppdragsbeskrivningen. Den svenska standardiseringsorganisationen är dock inte utformad på så sätt att staten kan detaljreglera specifika standarder. Snarare är systemet uppbyggt på så sätt att intressenter inom respektive bransch får bestämma sin standard. Staten kan i egenskap av aktör inom en bransch uttrycka sin åsikt, men denna behöver inte nödvändigtvis ha större tyngd än andras. DNV är ett privat företag som fått statlig ackreditering som certifieringsorgan inom många olika områden. DNV har förvärvat certifieringsrätten av SIS. Det innebär att tillverkare och utfärdare måste godkännas av DNV för att få tillverka och utfärda SIS-märkta id-kort. För tillverkare talar man om att det fordras licens och för utfärdare fordras det tillstånd.

Vanliga utfärdare av SIS-märkta id-kort är bankerna. De utfärdar korten som en tjänst till sina kunder. Det förekommer även att större företag, organisationer eller myndigheter i egenskap av arbetsgivare har tillstånd att utfärda SIS-märkta id-kort till sina anställda. Antal utfärdade SIS-kort sjunker och utgör i dag endast cirka 1–2 procent av det totala antalet utfärdade identitetshandlingar per år.

SS 61 43 14 anger tekniska krav på certifierade id-kort. Id-korten och tillverkningstekniken ska utformas på ett sätt som ger ett mycket gott skydd mot bedrägerier genom obehörig tillverkning, ändring eller förfalskning. Standarden innehåller krav på bl.a. fotografiet, angivande av personuppgifter, teckensnitt, maskinläsbara media samt dispositionen av kortytan. SIS-märkta id-kort innehåller bl.a. uppgifter om innehavarens namn, personnummer eller liknande, namnteckning, fotografi och eventuellt nationalitet samt uppgifter om id-kortets nummer, giltighetstid, certifieringsorgan samt utfärdare. Det ska vara angivet att det är certifierat av DNV samt ha ett SIS-märke.

Avgiften för ett id-kort kan variera något från bank till bank, men är vanligen 400 kronor eller mer. Det förekommer även att id-kortet

tillhandahålls gratis, t.ex. i erbjudanden som riktar sig till yngre personer.

SBC 151-U innehåller minimikrav avseende utfärdandet och utfärdarna kan även ha egna kompletterande föreskrifter Ett SIS-märkt id-kort får enligt SBC 151-U endast utfärdas till den som har en direkt anknytning till utfärdaren, genom exempelvis anställning. Kortets giltighetstid får vara högst fem år.

Beställningsblanketten ska undertecknas elektroniskt eller för hand av den sökande i närvaro av handläggare eller registeransvarig. Sökanden kan lämna in ett eget fotografi, som ska vara välliknande.

Id-kort får endast utfärdas sedan sökanden styrkt sin identitet. Detta kan ske genom uppvisande av svenskt körkort, svenskt vinrött pass, svenskt nationellt identitetskort, Skatteverkets identitetskort samt SIS-märkt företags-, tjänste- och identitetskort. För att en identitetshandling ska godtas krävs att den är giltig. Ett SIS-märkt identitetskort får dock användas om giltighetstiden inte gått ut tidigare än tre månader före beställningen. Ett id-kort med samordningsnummer är inte tillräckligt. Inte heller anses utländska identitetshandlingar utgöra fullgod bevisning för sökandens identitet. Den uppvisade identitetshandlingen ska kontrolleras noggrant beträffande äkthet. Kontrollprocessen ska åtminstone motsvara kontroll enligt broschyren De 7 stegen, som ges ut av Kronan Säkerhet AB på uppdrag av Svenska Bankföreningen.

Om fullgod identitetshandling saknas krävs i stället att sökanden uppvisar personbevis eller att slagning i Navet (aviseringssystem för folkbokföringsuppgifter) eller SPAR (det statliga personadressregistret) görs samt ett skriftligt intyg från en trovärdig intygsgivare som är personligen närvarande vid beställningen. Intygsgivaren ska kunna visa upp en godkänd identitetshandling. Vid utfärdande till personer som är under 18 år krävs att vårdnadshavare är intygsgivare. Det finns inte någon uttrycklig regel som anger att endast släktingar kan vara intygsgivare.

Om det är fråga om en utländsk medborgare som saknar personnummer gäller vissa särskilda regler. Endast utländska medborgare som stadigvarande vistas i Sverige kan få id-kort om personnummer saknas. Kortets giltighetstid ska motsvara vistelsetiden i Sverige men får inte understiga sex månader eller överstiga tre år. Sökanden ska uppge sitt samordningsnummer. Saknar sökanden så-

dant nummer ska i stället födelsetiden anges. Vidare måste en sökande som saknar personnummer alltid uppvisa skriftligt intyg av en intygsgivare som är personligen närvarande vid ansökningstillfället. Intygsgivare ska i dessa fall vara en arbetsgivare, en uppdragsgivare i Sverige eller någon annan som på motsvarande säkra sätt kan styrka identitet och vistelsetid i Sverige. Samordningsnumret ska styrkas med ett registerutdrag från Skatteverket eller med en identitetshandling som är godkänd i Sverige.

Vid utlämnande av identitetskort ska uppgifter och foto på kortet kontrolleras.

4.7. Andra svenska handlingar

Utöver de fem allmänt accepterade identitetshandlingarna finns det en mängd olika handlingar av skiftande kvalitet som ibland kan användas för att identifiera sig. Som exempel kan nämnas medlemskort, passerkort och kundkort. Sådana handlingar godtas inte allmänt som identitetshandlingar, men kan i vissa sammanhang anses som tillräckligt identitetsbevis. Ett kundkort kan t.ex. godtas i kontakten med det utfärdande företaget.

Motsvarande gäller för tillfälligt LMA-kort för utlänning i Sverige, det s.k. LMA-kortet. LMA-kortet utfärdas av Migrationsverket. LMA-kortet regleras i Migrationsverkets föreskrifter om tillfälligt LMA-kort för utlänning i Sverige och dokument som intygar att innehavaren är asylsökande (MIGRFS 08/2015). Kortet utfärdas till utlänningar som har rätt till bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. LMA-kortet innehåller det fotografi av personens ansikte, dossiernummer och de personuppgifter som finns i den centrala utlänningsdatabasen samt uppgift om utlänningens rättsliga ställning (status). I föreskrifterna anges att LMAkortets giltighetstid varierar med hänsyn till Migrationsverkets bedömning av hur länge personen kommer att omfattas av lagen om mottagande av asylsökande m.fl. Giltighetstiden får dock inte vara längre än sex månader. När giltighetstiden gått ut kan ett nytt kort utfärdas vid behov. LMA-kortet ska som huvudregel återlämnas när uppehållstillstånd beviljas och personen folkbokförs.

LMA-kortet är inte ett identitetskort utan ett bevis på att innehavaren är asylsökande och får vara i Sverige i avvaktan på beslut.

LMA-kortet godtas dock som identitetsbevis i vissa myndighetskontakter. LMA-kortet kan också i vissa fall användas vid uthämtning av postpaket från utlandet eller rekommenderad post från Migrationsverket. LMA-kortet kan också användas i kontakter med hälso- och sjukvård och apotek.10 Under vissa förutsättningar accepteras det också vid öppnande av bankkonto.

Migrationsverket utfärdar även vissa resehandlingar, nämligen främlingspass enligt 2 kap. 1 a § utlänningslagen (2005:716) och resedokument enligt 4 kap. 4 § utlänningslagen.

Det finns även tjänstekort som utfärdas av en myndighet, men som inte är SIS-märkta. Tjänstekorten regleras i förordning (1958:272) om tjänstekort. Ett tjänstekort ska som huvudregel innehålla uppgift om innehavarens namn, personnummer och tjänst eller uppdrag och vara försett med ett fotografi av innehavaren och med hans eller hennes namnteckning. På kortet ska det anges vilken myndighet som har utfärdat det, var kontroll av kortet kan göras samt kortets nummer och giltighetstid. Det finns också bestämmelser om förlustanmälan, utfärdande av nytt kort när det gamla har förstörts eller förkommit, återlämnande och återkallelse av kort m.m. Tjänstekort utfärdade av myndigheter godtas ibland som identitetsbevis. Sådana tjänstekort räknas exempelvis upp som godtagbar identitetshandling i de föreskrifter som gäller vid utfärdande av identitetskort för folkbokförda i Sverige, se avsnitt 4.4. Bankerna godtar dock endast tjänstekort som är SIS-märkta.

Det finns också handlingar som generellt sett inte godtas som bevis om identitet, men som enskilda ibland vill åberopa för att styrka sin identitet. Som exempel kan nämnas medborgarskapsbevis, studentlegitimation och uppehållstillståndskort.

Handlingar som inte är allmänt accepterade identitetshandlingar behandlas endast undantagsvis i den fortsatta framställningen.

4.8. Utländska identitetshandlingar

Även utländska identitetshandlingar accepteras i vissa fall som ett bevis om någons identitet. Exempelvis godtas pass utfärdade av andra EU-länder samt Island, Liechtenstein, Norge och Schweiz som

10 www.migrationsverket.se/Privatpersoner/Skydd-och-asyl-i-Sverige/Medan-duvantar/LMA-kort.html. Hämtad 2019-01-24.

identitetshandling vid utfärdande av identitetskort för folkbokförda i Sverige och körkort, se avsnitt 4.4 och 4.5. Pass utfärdade av länder utanför EU godtas som identitetshandling vid utlämning av paket, rek eller postförskott. Vid sådan utlämning godtas också nationellt identitetskort utfärdat av länder inom Schengenområdet. Även bankerna godtar i vissa fall utländska identitetshandlingar. Exempelvis anges i 3 kap. 2 § Finansinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism (FFFS 2017:11) att identiteten hos den som saknar svensk identitetshandling ska kontrolleras genom pass eller annan identitetshandling som innehåller fotografi och uppgift om medborgarskap och är utfärdad av en myndighet eller en annan behörig utfärdare.

Olika utländska handlingar kan även ingå i den sammanvägda bedömningen av sökandens identitet som Skatteverket kan göra vid utfärdande av identitetskort för folkbokförda i Sverige om identiteten inte kan styrkas på annat sätt, se avsnitt 4.4. Pass utfärdade av länder utanför EU/EES och nationella identitetskort utfärdade av EU/EES-länder kan även användas vid folkbokföring i samband med inflyttning till Sverige.

5. E-legitimation

5.1. Vad är e-legitimation?

En e-legitimation är en elektronisk identitetshandling som kan användas för att identifiera innehavaren på elektronisk väg. Med hjälp av en e-legitimation kan innehavaren identifiera sig och myndigheter eller andra aktörer som har e-tjänster få en bekräftelse på vem personen är (identitetsintyg).

En e-legitimation innehåller, liksom en fysisk identitetshandling, uppgifter som entydigt kan kopplas till en viss person. Den innehåller alltså endast identitetsuppgifter och inte uppgifter om vilken behörighet personen har. Uppgifter om personens behörighet finns i stället i e-tjänsten eftersom det är innehavaren av e-tjänsten som avgör vilken behörighet användaren ska ha.

En e-legitimation kan finnas som en applikation i en mobiltelefon eller surfplatta eller som en fil på en dator. Den kan också finnas på en fysisk bärare, såsom ett kort. Kortet innehåller ett chip där informationen lagras.

E-legitimation är det begrepp som normalt används som benämning på en elektronisk identitetshandling. Utredningen om effektiv styrning av nationella digitala tjänster har dock använt begreppet elektronisk identitetshandling i stället för e-legitimation. Anledningen är att en identitetshandling syftar till att visa en individs identitet och används för att kontrollera att individen är den som han eller hon utger sig för att vara medan begreppet legitimation säger något om personens behörighet. Utredningen menar att begreppet e-legitimation är missvisande eftersom det antyder att det rör sig om uppgifter som utvisar både identitet och behörighet.1 E-legitimation är dock ett inarbetat begrepp som bl.a. används i det tillitsramverk som Myndigheten för digital förvaltning ansvarar för och som gäller för det

1SOU 2017:114 s. 171 f.

kvalitetsmärke som för närvarande benämns Svensk e-legitimation. Det är även det begrepp som huvudsakligen används av de nuvarande svenska utfärdarna av e-legitimation. Vi använder oss därför av begreppet e-legitimation.

5.2. Reglering om elektronisk identifiering

5.2.1. Gällande rätt

Inom EU gäller Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS-förordningen). Syftet med förordningen är att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för e-legitimationer och betrodda tjänster. I förordningen fastställs därför de villkor som ska gälla för att en medlemsstat ska erkänna en annan medlemsstats e-legitimationer. Vidare fastställs i förordningen regler för betrodda tjänster och en rättslig ram för elektroniska underskrifter, elektroniska stämplar, elektronisk tidsstämpling, elektroniska dokument, elektroniska tjänster för rekommenderade leveranser och certifikattjänster för autentisering av webbplatser. I lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering finns bestämmelser som kompletterar eIDAS-förordningen. Kompletterande bestämmelser finns också i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering (ELOV) innehåller bestämmelser om valfrihetssystem när det gäller tjänster för elektronisk identifiering. Lagen tillämpas i stället för lagen (2016:1145) om offentlig upphandling (LOU) när en myndighet har beslutat att tillämpa valfrihetssystem i fråga om tjänster för elektronisk identifiering av enskilda i myndighetens elektroniska tjänster, har anslutit sig till ett system för säker elektronisk identifiering som tillhandahålls av Myndigheten för digital förvaltning och uppdragit åt Myndigheten för digital förvaltning att i myndighetens namn administrera valfrihetssystemet. Lagen innehåller endast allmänna bestämmelser om annonsering, upphandlings-

dokument, ansökan, godkännande av sökande och ingående av kontrakt m.m. Regleringen av de krav som ställs på e-legitimationerna och på hur den elektroniska identifieringen ska gå till finns alltså inte i lagen utan framgår av det upphandlingsdokument som Myndigheten för digital förvaltning tar fram.

Det finns också bestämmelser om elektronisk identifiering i 111 kap. 5 § andra stycket socialförsäkringsbalken. Där anges att kontroll av användares identitet i självbetjäningstjänster ska ske med certifikat till vilka en säker identifieringsfunktion är knuten, om det är fråga om tillgång till personuppgifter. Vidare följer av 111 kap. 6 § första stycket att en annan metod för identifiering får användas om den är tillräckligt säker med hänsyn till risken för integritetsintrång eller annan skada.

Det finns inte någon reglering av vad som krävs för att få en e-legitimation utfärdad eller vilka krav en sådan handling ska uppfylla. I stället har E-legitimationsnämnden tagit fram ett tillitsramverk för Svensk e-legitimation i syfte att skapa samsyn. Svensk e-legitimation är ett kvalitetsmärke som är baserat på internationella standarder. Sedan E-legitimationsnämnden lades ner den 1 september 2018 är det Myndigheten för digital förvaltning som ansvarar för tillitsramverket. Myndigheten har bl.a. i uppgift att ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering, främja användningen av elektronisk identifiering och tillhandahålla och administrera valfrihetssystem enligt ELOV. Myndigheten för digital förvaltning granskar och godkänner svenska e-legitimationer för kvalitetsmärket utifrån nationella och internationella säkerhetskriterier. Till tillitsramverket hör en vägledning som mer utförligt beskriver de krav som ställs. Myndigheten för digital förvaltning tar även fram ett tekniskt ramverk.

5.2.2. Pågående lagstiftningsarbete

Utredningen om effektiv styrning av nationella digitala tjänster överlämnade i januari 2018 ett slutbetänkande i vilket det bl.a. föreslogs att det bör finnas en statlig elektronisk identitetshandling (e-legitimation). Förslaget innebär att den statliga elektroniska identitetshandlingen ska utfärdas av en statlig myndighet och finnas på fysiska identitetshandlingar som utfärdas av den ansvariga myndigheten.

Med anledning av vårt uppdrag avstod utredningen från att lämna förslag på vilken eller vilka myndigheter som ska utfärda den statliga elektroniska identitetshandlingen och vilken eller vilka identitetshandlingar som ska vara bärare av den. Utredningen föreslog en lag om statlig elektronisk identitetshandling som bl.a. skulle innehålla bestämmelser om vilka uppgifter en statlig elektronisk identitetshandling ska innehålla, till vem den kan utfärdas och om ansökan.2

5.3. Tillitsnivåer

Enligt internationell standard, som även Myndigheten för digital förvaltning tillämpar, finns det fyra tillitsnivåer för elektronisk identifiering med olika grader av säkerhet. Ju högre tillitsnivå en e-legitimation har, desto säkrare är den, både vad gäller teknik och identifiering. I det tillitsramverk för Svensk e-legitimation och den tillhörande vägledningen3 som Myndigheten för digital förvaltning ansvarar för beskrivs vilka krav som gäller för tillitsnivå 2, 3 och 4. Tillitsnivå 1 kan vara ett användarkonto som någon själv registrerar på internet utan att styrka sin identitet.4 Den nivån omfattas inte av tillitsramverket. För nivå 2, 3 och 4 krävs s.k. flerfaktorsautentisering. Det finns tre huvudkategorier av autentiseringsfaktorer; ”något man vet” (koder), ”något man är” (biometriska egenskaper) eller ”något man har” (t.ex. en dator, koddosa, mobiltelefon eller aktivt kort). Med koder avses lösenord, lösenfraser, sifferkombinationer eller liknande. Utgångspunkten enligt tillitsramverket är att koder kombineras med innehav av en lagrad datastruktur.

En e-legitimation på tillitsnivå 2 och 3 ska utformas enligt en sådan tvåfaktorsprincip som består dels av elektroniskt lagrad information som användaren ska inneha, dels av något som användaren ska bruka för att aktivera e-legitimationen. Det kan t.ex. vara en e-legitimation i mobiltelefonen som aktiveras genom en pinkod. E-legitimationer på dessa nivåer kan utfärdas efter identifiering av sökanden på distans i enlighet med de närmare bestämmelser som föreskrivs i tillitsramverket.

2SOU 2017:114. 3 Myndigheten för digital förvaltnings Tillitsramverk för Svensk e-legitimation ärendenr. 2018-158 och Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation version 2018-02-01. 4 elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/omtillitsnivaerforelegiti mering.4.4498694515fe27cdbcf101.html. Hämtad 2019-01-24.

E-legitimation på tillitsnivå 4 ska utformas enligt en sådan tvåfaktorsprincip som består dels av en personlig säkerhetsmodul som användaren ska inneha, dels av något som användaren ska bruka för att aktivera säkerhetsmodulen. En sådan enhet skyddar de uppgifter som är lagrade i e-legitimationen från att någon annan kommer åt dem. Vanligen är det fråga om ett så kallat aktivt kort. Aktivering sker med hjälp av någon form av kod. För att en e-legitimation på tillitsnivå 4 ska utfärdas krävs som regel att utfärdaren har identifierat sökanden vid ett personligt besök.

Enligt eIDAS-förordningen finns det tre olika tillitsnivåer; låg, väsentlig och hög. Tillitsnivåerna i eIDAS-förordningen och det svenska tillitsramverket bygger på samma internationella standard. Enligt den bedömning som gjorts av Myndigheten för digital förvaltning motsvarar eIDAS-förordningens tillitsnivåer i stort sett de svenska. Tillitsnivå låg ställer dock lägre krav än tillitsnivå 2 enligt tillitsramverket. Nivån väsentlig motsvarar tillitsnivå 3. Nivån hög motsvarar den svenska tillitsnivån 4, med undantag för att ett personligt besök krävs vid förnyelse av en e-legitimation på den svenska tillitsnivån 4.5

Det är innehavaren av en e-tjänst som måste göra en bedömning av vilken tillitsnivå som ska krävas för identifiering i tjänsten. Vilken nivå som är lämplig beror på hur känslig informationen i e-tjänsten är och vilka konsekvenser det får om någon obehörig får del av den.

5.4. Utfärdandeprocessen

Processen för utfärdande av e-legitimation är inte reglerad i författning. I tillitsramverket och den tillhörande vägledningen anges vilka krav som ställs på utfärdandeprocessen för Svensk e-legitimation.6

Utfärdandeprocessen enligt tillitsramverket skiljer sig åt beroende på vilken tillitsnivå som avses. Vårt uppdrag består i att överväga om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå. Framställningen i denna del avgränsas därför till att beskriva de mest väsentliga delarna av processen för utfärdande

5 elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/omtillitsnivaerforelegiti mering.4.4498694515fe27cdbcf101.html. Hämtad 2019-01-24. 6 Myndigheten för digital förvaltnings Tillitsramverk för Svensk e-legitimation ärendenr. 2018-158 och Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation version 2018-02-01.

av e-legitimation på tillitsnivå 4 i enlighet med tillitsramverket och den tillhörande vägledningen. Tillitsramverket och vägledningen uppdateras i takt med den tekniska utvecklingen och uppkomsten av nya risker i samhället. Nedan beskrivs utfärdandeprocessen i enlighet med den version som nu är gällande.

Tillitsramverket bygger på att utfärdaren ingår ett avtal med den som vill använda en e-legitimation. Sökanden ska få del av villkoren för e-legitimationen innan denne ingår avtal med utfärdaren. Svensk e-legitimation får som huvudregel endast utfärdas på begäran av sökanden eller genom annat likvärdigt acceptförfarande. Syftet är att e-legitimation inte ska utfärdas per automatik utan att detta ska vara tydligt för användaren. Utfärdaren ska kontrollera att uppgifterna i ansökan är fullständiga och stämmer överens med uppgifter som finns registrerade i ett officiellt register. Sökandens identitet ska kontrolleras vid ett personligt besök. Detta ska ske på ett sätt som är likvärdigt med förfarandet vid utfärdande av en fullgod identitetshandling. Med detta menas att identifieringen ska genomföras med stöd av en dokumenterad process och av särskilt utbildad personal i betrodd ställning inom utfärdarens organisation. Sökanden ska styrka sin identitet genom att visa upp en fullgod identitetshandling. Som fullgod identitetshandling räknas svenskt körkort, svenskt pass, SIS-märkt identitetskort, nationellt identitetskort och identitetskort för folkbokförda i Sverige. De alternativa sätt att styrka sin identitet som tillämpas vid utfärdande av fysiska identitetshandlingar till personer som saknar fullgod identitetshandling bör enligt vägledningen i normalfallet inte tillämpas vid utfärdande av e-legitimation. Saknas fullgod identitetshandling bör det i stället tills vidare förutsättas att sökanden skaffar en sådan, innan e-legitimation kan utfärdas.

E-legitimation på tillitsnivå 4 ska, som anges ovan, utformas enligt en sådan tvåfaktorsprincip som består av en personlig säkerhetsmodul som användaren ska inneha och något som användaren ska bruka för att aktivera säkerhetsmodulen. En sådan enhet skyddar de kritiska nyckelparametrarna från såväl logiska som fysiska försök att röja dem. Den personliga säkerhetsmodulen lagrar nyckelmaterialet och utför de kryptografiska operationerna på ett sådant sätt att de kritiska nyckelparametrarna aldrig lämnar säkerhetsmodulen. Utgångspunkten är att koder kombineras med innehav av en lagrad

datastruktur som exempelvis kan finnas på ett fysiskt kort. I vägledningen anges dock att även andra lösningar kan godtas om säkerheten i övrigt upprätthålls genom andra kompletterande kontroller. Aktiveringsmekanism och personlig kod ska utformas så att det är osannolikt att en utomstående kan forcera skyddet, ens på maskinell väg.

Utfärdaren ska säkerställa att de uppgifter som registreras för elektronisk identifiering av innehavaren av e-legitimationen unikt representerar sökanden och tillskrivs personen i fråga vid utfärdandet av e-legitimationshandlingen. Det ska alltså inte vara möjligt att sammanblanda två e-legitimationers identifikationsuppgifter.

E-legitimationshandlingen ska lämnas ut vid personligt besök efter att utfärdaren har genomfört en identitetskontroll. Den del som användaren ska bruka för att aktivera e-legitimationen ska lämnas ut separat och säkerhetsmässigt oberoende från utlämnandet av e-legitimationshandlingen. Detta ska ske på grundval av kontaktuppgifter förda i ett officiellt register eller andra uppgifter av motsvarande trovärdighet. Att utlämnandet sker genom två separata kanaler syftar till att möjliggöra fler säkerhetshöjande kontroller. Detta kan ske genom att utlämnande av säkerhetsmodulen och koden görs av olika funktioner hos utfärdaren eller genom att säkerhetsmodulen, exempelvis kortet, lämnas ut vid personligt besök medan koden skickas till sökandens folkbokföringsadress.

Giltighetstiden för e-legitimationen får vara högst fem år. Utfärdaren ska tillhandahålla en spärrtjänst med god tillgänglighet där användaren kan spärra sin e-legitimation. Identifiering av den som begär spärren kan t.ex. ske genom tidigare angivet mobiltelefonnummer eller e-post.

En utfärdare av Svensk e-legitimation ska säkerställa att det vid användningen av e-legitimationen sker tillförlitliga kontroller avseende äkthet och giltighet. Tekniska säkerhetskontroller vid kontroll av elektronisk identitet ska genomföras så att det är osannolikt att utomstående kan forcera skyddsmekanismerna.

Utfärdare av Svensk e-legitimation som även tillhandahåller tjänsten att ställa ut identitetsintyg till förlitande aktörers e-tjänster, ska säkerställa att tjänsten för utställande av identitetsintyg har god tillgänglighet och att utlämnande av identitetsintyg föregås av en tillförlitlig identifiering. Identitetsintyget ska bara vara giltigt så länge som krävs för att användaren ska kunna beredas tillgång till den

aktuella e-tjänsten. Identitetsintyget ska skyddas så att informationen endast är läsbar för den avsedda mottagaren.

Utfärdare av Svensk e-legitimation ska, med beaktande av tillämpliga regler för persondataskydd, föra register över anslutna användare och de tilldelade e-legitimationerna.

I tillitsramverket finns även vissa övergripande krav på utfärdarens verksamhet. Det ställs också krav på informationssäkerhet, fysisk, administrativ och personorienterad säkerhet samt teknisk säkerhet. Det anges bl.a. att innan en person tilldelas arbetsuppgifter som är av särskild betydelse för säkerheten, ska utfärdaren genomföra en bakgrundskontroll i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra arbetsuppgifterna. När de gäller teknisk säkerhet anges bl.a. att utfärdaren ska se till att det finns tekniska kontroller som är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter samt att dessa kontroller fungerar och är effektiva.

5.5. Dagens e-legitimationer och utfärdare

BankID utfärdas av bankerna och är den e-legitimation som dominerar på den svenska marknaden. BankID utvecklas av Finansiell IDteknik BID AB som ägs av sju banker. Antalet innehavare av BankID är, enligt statistik från Finansiell ID-teknik BID AB, cirka 7,9 miljoner och antalet användningstillfällen var under år 2018 cirka 3,3 miljarder. Det finns tre olika varianter av BankID. Merparten av användarna (cirka 7 miljoner) har mobilt BankID. Mobilt BankID innebär att användaren har sin e-legitimation i en mobiltelefon eller surfplatta. För att kunna hämta och använda mobilt BankID krävs att användaren har installerat en app i mobiltelefonen eller på surfplattan. BankID på kort är en e-legitimation som är lagrad på ett s.k. smartkort. Förutom kortet och BankID-programmet krävs även att man har en kortläsare. BankID på fil är en e-legitimation i en dator. För att kunna hämta och använda BankID på fil krävs att användaren har installerat ett särskilt program på datorn. BankID på fil är den minst vanligt förekommande varianten av BankID. Det finns cirka

tio banker som utfärdar BankID. BankID är inte granskad av Myndigheten för digital förvaltning men anses enligt uppgift på myndighetens webbsida motsvara tillitsnivå 3 enligt tillitsramverket.

AB Svenska Pass utfärdar den e-legitimation som sedan september 2017 finns på identitetskort för folkbokförda i Sverige som utfärdas av Skatteverket. Av den information som finns på Skatteverkets webbsida framgår att det behövs en kortläsare och ett särskilt program som installeras på datorn för att kunna använda e-legitimationen. AB Svenska Pass e-legitimation är godkänd enligt tillitsramverket för Svensk e-legitimation och uppfyller kraven för tillitsnivå 4.

Även Telia utfärdar en e-legitimation. Den finns på identitetskort för folkbokförda i Sverige som utfärdats före september 2017. Även denna e-legitimation kräver enligt Skatteverket en kortläsare och ett särskilt program som installeras på datorn. Telias e-legitimation är inte granskad men anses enligt uppgift på webbsidan för Myndigheten för digital förvaltning motsvara tillitsnivå 3.

Företaget Verisec utfärdar en e-legitimation som kallas Freja eID+. Den e-legitimationen finns i mobiltelefonen. För att kunna använda den behöver användaren, enligt uppgift på webbsidan, ladda ner en app i mobiltelefonen. Freja eID+ är godkänd på tillitsnivå 3.7

Förutom de e-legitimationer som utfärdas till enskilda förekommer det också e-legitimationer som arbetsgivare tillhandahåller sina anställda. Syftet med dessa är att de ska användas i tjänsten. Exempelvis utvecklar Huddinge kommun, Försäkringskassan och Inera sådana e-legitimationer för användning inom den offentliga sektorn.8

5.6. Användning av e-legitimation

E-legitimation används framför allt vid identifiering i samband med att en person vill använda en e-tjänst, antingen i datorn eller i en app i mobiltelefonen. E-legitimation kan också användas vid telefonkontakt med kundtjänst t.ex. i samband med bostadslån. Även vid identifiering i samband med ett personligt besök kan elektronisk identifiering vara aktuell, t.ex. när en person har behov av hjälp till självservice med stöd av e-tjänster på ett servicekontor.

7 elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/godkandaelegitimationer.4.4 498694515fe27cdbcf1a3.html. Hämtad 2019-01-29. 8 E-legitimationsnämndens rapport Fortsatt försörjning av tjänster för e-legitimering och eunderskrift dnr 131 645711-15/9513 2016-10-25.

Av statistik från Finansiell ID-teknik BID AB framgår att det under år 2017 genomfördes cirka 3,3 miljarder transaktioner med BankID vilket motsvarar cirka 100 transaktioner per sekund. Av dessa stod internet- och mobilbankstjänster, betaltjänster och finansiella tjänster i övrigt för cirka 84 procent.9 En stor del av användningen sker enligt uppgift från E-legitimationsnämnden i internetbanker och betaltjänsten Swish.

Användningen inom den offentliga sektorn utgjorde cirka 7 procent av BankID-transaktionerna under år 2018.10 En stor del av användningen skedde i Skatteverkets och Försäkringskassans e-tjänster. Under år 2016 utgjorde användningen i dessa båda myndigheters tjänster totalt 62 procent av användningen av e-legitimation inom den offentliga sektorn. Tillsammans stod dessa myndigheter för över 75 miljoner användningar. Andra stora aktörer var 1177.se, Arbetsförmedlingen, Centrala studiestödsnämnden, Stockholms stad, Pensionsmyndigheten och Bolagsverket. Användningen i övriga myndigheters e-tjänster utgjorde tillsammans 2 procent.11 Enligt de enkätundersökningar E-legitimationsnämnden genomförde har många kommuner, alla landsting, alla länsstyrelser och ett 40-tal statliga myndigheter behov av att användare ska kunna identifiera sig elektroniskt. Behovet förväntades enligt E-legitimationsnämnden öka i takt med digitaliseringen.12

5.7. Processen för elektronisk identifiering

5.7.1. Roller

I processen för elektronisk identifiering finns det flera olika roller. För att elektronisk identifiering ska fungera krävs det att dessa olika roller samverkar. Nedan beskrivs de mest centrala rollerna. Vi använder oss av samma begrepp som Utredningen om effektiv styrning av nationella digitala tjänster.

Användaren är den som har en e-legitimation som han eller hon

vill använda för att identifiera sig elektroniskt med i en e-tjänst.

9 www.bankid.com/assets/bankid/stats/2018/statistik-2018-12.pdf. Hämtad 2019-01-24. 10 Ibid. 11 elegnamnden.se/download/18.4498694515fe27cdbcf1557/1517417623320/Resultat-fran-elegitimationsenkaten-2017.pdf. Hämtad 2019-01-24. 12 E-legitimationsnämnden rapport Fortsatt försörjning av tjänster för e-legitimering och eunderskrift, dnr 131 645711-15/9513 2016-10-25.

Den förlitande aktören är den aktör som har behov av att verifiera

en användares uppgifter om sin identitet vid identifiering i en e-tjänst.

Utfärdaren är den som utfärdar en e-legitimation till användaren.

Utfärdaren tillhandahåller också en funktion för identitetskontroll åt förlitande aktörer. När avtal slutits mellan utfärdaren och en förlitande aktör om en funktion för identitetskontroll kallas utfärdaren för leverantör. Utfärdaren ansvarar gentemot användaren för att utfärdandet sker på ett tillräckligt säkert sätt. Gentemot förlitande aktör som ingått avtal om funktion för identitetskontroll ansvarar utfärdaren för att den elektroniska identifieringen är tillförlitlig.

Identitetsintygsutfärdaren kan utföra den elektroniska identifie-

ringen om det inte görs av utfärdaren själv.

5.7.2. Processen

I detta avsnitt görs en kort beskrivning av processen för elektronisk identifiering. För en mer detaljerad beskrivning hänvisas till slutbetänkandet av Utredningen om effektiv styrning av nationella digitala tjänster.13 Processen inleds med att användaren anger vilken e-legitimation som han eller hon vill använda för att identifiera sig genom att klicka på anvisad plats i en e-tjänst hos en förlitande aktör, t.ex. en myndighet. Den förlitande aktören skickar då en begäran om ett s.k. identitetsintyg, dvs. en fråga om användarens uppgifter stämmer, till utfärdaren av den aktuella e-legitimationen. För att en förlitande aktör ska kunna erbjuda användare att identifiera sig elektroniskt måste den förlitande aktören ha slutit avtal om en funktion för elektronisk identitetskontroll med en eller flera utfärdare av e-legitimationer, se avsnitt 5.8. När sådana avtal sluts kallas utfärdaren för leverantör. Utfärdaren kontrollerar vem användaren är och skickar ett svar i form av ett identitetsintyg till e-tjänsten. Identitetsintyget innehåller de uppgifter som den förlitande aktören behöver för att kunna lita på att användaren är den som han eller hon utger sig för att vara. Den förlitande aktören behöver inte göra egna kontroller av vem som har identifierat sig eller om e-legitimationen är spärrad utan det är tillräckligt att ta del av identitetsintyget. Därefter kan användaren släppas in i e-tjänsten.

13SOU 2017:114 s. 213 ff.

Ibland är det en annan aktör än utfärdaren, en identitetsintygsutfärdare, som skickar identitetsintyget. I Sverige är det, särskilt vid myndigheter, dessutom vanligt att det finns ytterligare en aktör som tar emot identitetsintyget, kontrollerar att det är äkta och konverterar uppgifterna till ett intyg som är anpassat för den förlitande aktörens it-miljö.14

5.8. Avtal som krävs i processen för elektronisk identifiering

5.8.1. Avtalsförhållanden

När en e-legitimation utfärdas ingås ett avtal mellan användaren och utfärdaren. För att användaren ska kunna använda sin e-legitimation i en förlitande aktörs e-tjänst krävs att den förlitande aktören har ett avtal med utfärdaren av e-legitimationen. Detta eftersom den förlitande aktören måste kunna skicka en fråga om en e-legitimation och få ett identitetsintyg tillbaka. Det är ofta samma aktör som utfärdar e-legitimationen som levererar identitetsintyg men det kan också vara olika aktörer. Om det inte är utfärdaren utan en särskild identitetsintygsutfärdare som levererar identitetsintyget måste det även finnas ett avtal mellan identitetsintygsutfärdaren och utfärdaren. Det behövs alltså en fullständig avtalskedja som reglerar ansvarsförhållandena hela vägen mellan användare och förlitande aktör.

I de fall det finns ytterligare en aktör som tar emot identitetsintyget, kontrollerar att det är äkta och konverterar uppgifterna till ett intyg som är anpassat för den förlitande aktörens it-miljö, vilket är vanligt vid svenska myndigheter, tillkommer ytterligare en avtalsrelation. Ofta har den aktör som tar emot identitetsintyget och anpassar det till e-tjänsten avtal med den förlitande aktören både om att leverera själva e-tjänsten och identitetsintyget. En sådan aktör måste också ha avtal med en utfärdare om att leverera identitetsintyg. De olika aktörerna i processen kan dessutom ha avtal med olika underleverantörer.15

14SOU 2017:114 s. 213 ff. och E-legitimationsnämndens promemoria Legala förutsättningar för myndigheters försörjning av e-legitimering dnr. 200507710-17/9511 2017-09-29. 15 E-legitimationsnämndens promemoria Legala förutsättningar för myndigheters försörjning av e-legitimering dnr. 200507710-17/9511 2017-09-29.

5.8.2. Särskilt om avtalet mellan den förlitande aktören och utfärdaren

För att en användare ska kunna identifiera sig mot en e-tjänst krävs alltså att den som har e-tjänsten, den förlitande aktören, anskaffar en funktion för elektronisk identitetskontroll från utfärdaren av e-legitimationen. När sådana avtal sluts kallas utfärdaren av e-legitimationen för leverantör. Den förlitande aktören behöver ha möjlighet att erbjuda användarna att kunna identifiera sig med flera olika e-legitimationer eftersom det inte på förhand är känt vilken e-legitimation användarna kommer att vilja använda. Den förlitande aktören behöver därför ha avtal med flera utfärdare/leverantörer parallellt. Vilka e-legitimationer som är tillgängliga på marknaden varierar över tid vilket innebär att det är svårt för den förlitande aktören att förutse vilka e-legitimationer som denne behöver tillhandahålla möjlighet att identifiera sig med i e-tjänsten. Det finns därför ett behov av att göra anpassningar över tid och av att kunna ansluta nya utfärdare/leverantörer löpande.

Statliga myndigheter, kommuner och landsting med behov av funktioner för elektronisk identitetskontroll i sina e-tjänster har i dag tre valmöjligheter. De kan upphandla en funktion för elektronisk identifiering på egen hand, avropa en funktion för elektronisk identifiering på ramavtal som Kammarkollegiet tillhandahåller eller ansluta sig till de valfrihetssystem som Myndigheten för digital förvaltning tillhandahåller. De två första alternativen omfattas av LOU, medan det tredje alternativet regleras i ELOV.

Vid upphandling ska den upphandlande myndigheten enligt 16 kap. 1 § LOU tilldela den leverantör vars anbud är det ekonomiskt mest fördelaktiga ett kontrakt. Innehavaren av en e-tjänst behöver kunna erbjuda användning av flera olika e-legitimationer samtidigt. Av den anledningen upphandlas ofta en återförsäljare som i sin tur har avtal med flera olika utfärdare. Eftersom det inte går att på förhand veta vilka e-legitimationer som kommer att finnas på marknaden under avtalstiden måste den upphandlande myndigheten ställa krav på återförsäljaren att nya utfärdare av e-legitimationer ska kunna anslutas. Enligt 17 kap. 8 § LOU får dock ändringar i ett kontrakt göras utan ny upphandling endast under vissa förutsättningar. Ändringar får bl.a. göras i enlighet med en ändrings- eller optionsklausul om kontraktets eller ramavtalets övergripande karaktär inte

ändras (17 kap. 10 § LOU). Klausulen ska ha angetts i något av upphandlingsdokumenten i den ursprungliga upphandlingen. Klausulen ska klart, exakt och entydigt beskriva under vilka förutsättningar den kan tillämpas och ange omfattningen och arten av ändringarna som kan komma att göras. Eftersom det inte går att förutse hur många elegitimationer som den upphandlande myndigheten behöver erbjuda identifiering med, finns det en risk att de förändringar som behöver göras hamnar utanför vad som är tillåtet utan ny upphandling. Det finns även en risk att olika upphandlande myndigheter, beroende på val av upphandlad återförsäljare, erbjuder stöd för olika e-legitimationer i sina digitala tjänster. Om en och samma e-legitimation inte kan användas i samtliga tjänster leder det till problem med användbarhet och enhetlighet i offentlig sektors digitala tjänster. Den upphandlande myndigheten behöver även i övrigt kunna konkretisera och specificera kravställningen. Detta gäller både vid egen upphandling och vid avrop från Kammarkollegiets ramavtal. Ramavtalet är nämligen inte specifikt inriktat på funktioner för elektronisk identifiering. Många leverantörer tillhandahåller helhetslösningar där avtal med utfärdare av e-legitimationer ingår som en del.

Med valfrihetssystem avses, enligt 2 § ELOV, ett förfarande där den enskilde har rätt att välja leverantör som ska utföra tjänsten bland de leverantörer som en upphandlande myndighet har godkänt och tecknat kontrakt med. Det innebär att den enskilde kan använda en e-legitimation från valfri utfärdare som Myndigheten för digital förvaltning har godkänt och tecknat avtal med. I valfrihetsystem godkänns samtliga leverantörer som uppfyller de krav som ställs i upphandlingsdokumenten (12 § ELOV). Syftet med ELOV är att det ska vara möjligt för en myndighet att erbjuda identifiering med flera olika e-legitimationer samtidigt och att leverantörer ska kunna anslutas löpande. Den stora skillnaden mellan ett valfrihetssystem och traditionell offentlig upphandling är att det i ett valfrihetssystem inte finns någon konkurrenssituation mellan leverantörerna vid tidpunkten för tilldelningsbeslutet. Priset fastställs redan i upphandlingsdokumentet och samtliga leverantörer som godkänns får teckna kontrakt med den upphandlande myndigheten. Eftersom det är den enskilda användaren som väljer vem som ska utföra tjänsten uppstår i stället konkurrens mellan leverantörerna efter att ett kontrakt har tecknats och pågår sedan under hela avtalsperioden. Valfrihetssystemen innehåller endast tjänster för elektronisk identifiering, till

skillnad från Kammarkollegiets ramavtal. Det innebär att myndigheterna behöver vidta vissa andra åtgärder, såsom anpassningar av e-tjänsten, antingen på egen hand eller genom att upphandla en leverantör.16

5.9. Elektronisk underskrift

Som beskrivits ovan är e-legitimationens huvudsakliga syfte att identifiera användaren på elektronisk väg. Som regel kan emellertid elegitimationer även användas för att framställa en elektronisk underskrift (e-underskrift). En mycket stor del av de förlitande aktörerna i såväl offentlig som privat sektor använder sig av denna funktion för att möjliggöra underskrift av exempelvis ansökningar, blanketter och olika former av ekonomiska och rättsliga transaktioner.

Med e-underskrift menas uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form för att säkerställa de senares ursprung och dataintegritet. Handlingar skrivs under elektroniskt för att ge skydd mot förfalskning och förnekande på motsvarande sätt som när handlingar undertecknas på papper. E-underskriftens funktion är framför allt säkerhetsrelaterad och syftar till att ge underlag för bl.a. äkthetsprövning, bevissäkring och säkerställande av originalkvalitet. Den fyller även andra viktiga skyddsfunktioner såsom att markera att ett visst innehåll är fullständigt och förenligt med avsikten hos användaren samt att säkerställa att användaren tänker sig för och förstår åtgärdens innebörd.17

E-underskriften kan antingen skapas direkt med användarens e-legitimation, eller indirekt genom användning av e-legitimationen i kombination med en fristående underskriftstjänst. Det förstnämnda fallet kräver att e-legitimationen har ett särskilt underskriftscertifikat.18 I det indirekta förfarandet behöver inte e-legitimationen ha några särskilda sådana egenskaper och blir således mer teknikoberoende. Det indirekta förfarandet kräver dock att den förlitande aktören har tillgång till en särskild underskriftstjänst som kan skapa den

16SOU 2017:114 s. 219 ff. och E-legitimationsnämndens promemoria Legala förutsättningar för myndigheters försörjning av e-legitimering dnr. 200507710-17/9511 2017-09-29. 17 eSam:s vägledning Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1 2018 s. 22 f. 18 Ibid. s. 25 f.

elektroniska underskriften med stöd av e-legitimationen. Direkt e-underskrift är vanligast förekommande i dagsläget, men det finns även möjlighet att avropa en fristående underskriftstjänst på Kammarkollegiets ramavtal. Hanteringen av e-underskrift av utländska användare i svenska e-tjänster underlättas om ett indirekt förfarande används.19

E-underskrift är en s.k. betrodd tjänst som regleras i eIDAS-förordningen. E-underskrift hanteras där helt frikopplat från frågan om elektronisk identifiering. I eIDAS-förordningen görs en uppdelning i avancerade elektroniska underskrifter och kvalificerade elektroniska underskrifter. En avancerad elektronisk underskrift ska enligt artikel 26 i eIDAS-förordningen uppfylla följande krav. Den ska vara unikt knuten till undertecknaren. Undertecknaren ska kunna identifieras genom den. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska slutligen vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. En kvalificerad elektronisk underskrift ska, utöver kraven för avancerade elektroniska underskrifter, vara baserad på ett kvalificerat certifikat för elektroniska underskrifter (artikel 28) och skapas med en särskild anordning för skapande av kvalificerade elektroniska underskrifter (artikel 29). En kvalificerad elektronisk underskrift ska enligt artikel 25 ha motsvarande rättsliga verkan som en handskriven underskrift och ska erkännas som en kvalificerad elektronisk underskrift i alla andra medlemsstater. En utländsk avancerad eller kvalificerad elektronisk underskrift ska även accepteras i medlemsstaternas offentliga etjänster om e-tjänsten kräver en avancerad elektronisk underskrift nationellt.

De svenska e-legitimationerna, såsom BankID, bedöms generellt uppfylla kraven på avancerade elektroniska underskrifter enligt eIDAS-förordningen.20 I de svenska författningsreglerade formkrav som finns avseende elektronisk underskrift ställs inte krav på kvali-

19SOU 2017:114 s. 383. 20SOU 2017:114 s. 384 och prop. 2015/16:72 s. 52 f.

ficerade elektroniska underskrifter, utan enbart på avancerade elektroniska underskrifter eller mer allmänt på elektronisk underskrift utan specificering av vilken nivå den ska vara på.21

21Prop. 2015/16:72 s. 52 f.

6. Reformer på området

6.1. Inledning

Vårt uppdrag är att samlat se över existerande identitetshandlingar i Sverige i syfte att minska bedrägeribrottsligheten. Förutom att begränsa antalet identitetshandlingar och utfärdare ska vi också föreslå förbättringar av verifieringen av äktheten och giltigheten av handlingarna. Vidare ska vi utreda hur identitetshandlingar bör utformas och utfärdas för att bli säkrare och ta ställning till om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå.

Något sådant samlat grepp över identitetshandlingar och de frågor som är kopplade till sådana handlingars säkerhet har inte tagits i någon tidigare utredning. Däremot har t.ex. körkort och pass över tid varit föremål för olika utredningar. Fokus i många av utredningarna har emellertid inte varit handlingarnas funktion som identitetshandling utan deras funktion som resehandling eller bevis om förarbehörighet.

En del av utredningarna har dock handlat om vilka säkerhetskrav som bör ställas på handlingarna. Ibland har ändringarna föranletts av nya krav, ofta EU-rättsliga, ibland har de i stället föranletts av att det uppmärksammats säkerhetsproblem genom användning av t.ex. falska handlingar. Utredningar med inriktning på den typen av frågor har dock givetvis också fått återverkningar på handlingens säkerhet som identitetshandling. Identitetshandlingar har även i vidare översyner ibland identifierats som en riskfaktor för möjligheten att begå bedrägeribrott. Andra lagstiftningsarbeten har handlat om behov av att införa nya typer av identitetshandlingar. Det nationella identitetskortet och identitetskortet för folkbokförda i Sverige är sådana exempel.

Nedan redogörs kort för några av de utredningar som lett till reformer av betydelse för identitetshandlingar. Några tidigare arbeten

som innehåller förslag för att motverka identitetsrelaterad brottslighet gås också igenom. Framställningen innefattar även en redogörelse för en utredning som bl.a. handlar om förutsättningarna för att använda digitala tjänster, som t.ex. e-legitimation. Vidare redovisas en utredning om hur servicekontoren i den offentliga förvaltningen bör vara organiserade i framtiden vilken är av betydelse eftersom Skatteverket, som är en av utfärdarna i dag, är anslutna till systemet med servicekontor. Slutligen nämns en utredning om inrättande av en ny myndighet för digitalisering av den offentliga sektorn som bl.a. ska ansvara för vissa frågor om e-legitimation och därför bedöms ha viss relevans för vårt arbete. Redogörelsen nedan är inte uttömmande.

6.2. Fysiska identitetshandlingar

6.2.1. Pass

Reglerna för pass har setts över och ändrats flera gånger. Under 2000-talet har ett antal utredningar tillsatts med syfte att öka säkerheten i passen. Utredningarna har bl.a. lett till att passen numera innehåller både ansiktsbild och fingeravtryck som kan utgöra underlag för datorstödda jämförelser och identifiering. Vidare har, också i syfte att öka säkerheten, giltighetstiden för vanligt pass begränsats till fem år.1

Som en följd av kravet på ansiktsbild gäller numera att alla Sveriges beskickningar och karriärkonsulat inte längre obligatoriskt har uppgiften att vara passmyndighet. Regeringen eller den myndighet regeringen bestämmer får i stället avgöra i vilken utsträckning dessa myndigheter ska fullgöra uppgifter som passmyndighet.2

Under år 2016 begränsades antalet pass som kan beviljas för en person till tre vanliga pass under en femårsperiod. Det infördes också en bestämmelse om att ett vanligt pass ska återkallas när ett provisoriskt pass utfärdas för passinnehavaren. Dessutom begränsades giltighetstiden för vanligt pass till barn till tre år. Åtgärderna syftade till att motverka missbruk bestående i att äkta pass används av andra

1Prop. 2004/05:119 och 2008/09:132. 2Prop. 2007/08:66.

än de egentliga passinnehavarna, vilket bl.a. innebär en stor säkerhetsrisk i och med att personer med kopplingar till organiserad brottslighet och terrororganisationer kan resa anonymt och kringgå reseförbud genom att använda andra pass än sina egna.3

I promemorian Passdatalag som överlämnades år 2015 gjordes en översyn över regleringen av behandlingen av personuppgifter i verksamheten avseende både pass och nationellt identitetskort. I promemorian föreslogs en lag om behandling av personuppgifter i passverksamheten, passdatalagen. Promemorian innehåller även ett förslag till förordning om behandling av personuppgifter i verksamheten avseende nationellt identitetskort.4 Inom Regeringskansliet pågår för närvarande ett arbete med förslagen i promemorian.

6.2.2. Nationellt identitetskort

Den 1 oktober 2005 blev det möjligt för svenska medborgare att hos en passmyndighet ansöka om och få utfärdat ett nationellt identitetskort. Identitetskorten infördes delvis i syfte att underlätta resandet inom det gränslösa Schengenområdet. Avsikten vid införandet var dock inte att identitetskorten skulle användas som en resehandling, utan endast för att vid behov kunna styrka sitt svenska medborgarskap.

Kortet kan från och med den 1 juli 2015 användas som resehandling även vid resa till EU-medlemsstater som inte fullt ut deltar i Schengensamarbetet. Ändringarna syftade till att bättre anpassa lagen till Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (rörlighetsdirektivet).5

3Prop. 2015/16:81. 4Ds 2015:44. 5Prop. 2014/15:69.

6.2.3. Identitetskort för folkbokförda i Sverige

Identitetskort för folkbokförda i Sverige infördes år 2009. Syftet med den utredning som tillsattes för att utreda frågan om id-kort för personer som inte är svenska medborgare men som har rätt att vara bosatta i Sverige var att säkerställa att dessa personer har möjlighet att få ett id-kort utfärdat.6

I oktober 2010 infördes en ny möjlighet för sökanden att styrka sin identitet. Ändringen innebär att en sökande kan styrka sin identitet genom att Skatteverket gör en jämförelse av uppgifterna i ansökan om id-kort med uppgifter som finns hos Migrationsverket avseende det beviljade uppehållstillståndet.7

Regleringen avseende id-kortet fanns ursprungligen i förordning men fr.o.m. år 2016 finns stora delar av regleringen i stället i lag.8

6.2.4. Körkort

Bestämmelserna om körkort, som främst är en handling som utvisar förarbehörighet för ett visst fordon, har setts över och ändrats flera gånger.

Den 1 oktober 1998 trädde den nu gällande körkortslagen i kraft.9Lagen har sedan dess varit föremål för ett antal ändringar. Bl.a. genomfördes ändringar i samband med genomförandet av det tredje körkortsdirektivet. Det föreslogs t.ex. nya harmoniserade bestämmelser om giltighetstid och förnyelse av körkort och en ny möjlighet att återkalla körkort som utfärdats trots att det fanns hinder för utfärdande.10

I propositionen diskuterades även frågan om själva behörigheten att köra ett fordon kan skiljas från den handling som utvisar behörigheten eller uttryckt på ett annat sätt: är körkortet en bärare av rätten att köra motordrivna fordon eller bara ett bevis på denna rätt. Denna fråga om körkortets rättsliga betydelse och hur körkortshandlingen förhåller sig till körkortsbehörigheten har behandlats i ett antal utredningar. Som exempel kan nämnas kommittén Körkort

6SOU 2007:100. 7 Finansdepartementets promemoria Vissa id-kortsfrågor 2010-04-21. 8Prop. 2015/16:28. 9Prop. 1997/98:124. 10Prop. 2011/12:25.

2000 (Körkortskommittén), 1994 års körkortsutredning och 2007 års körkortsutredning.

Körkortskommittén fann att begreppet körkort var dubbeltydigt och föreslog därför att körkort endast skulle beteckna själva körkortshandlingen medan behörigheten skulle knytas till en anteckning om innehavet av behörighet i körkortsregistret. Körkortskommitténs förslag ledde inte till lagstiftning.11

1994 års körkortsutredning analyserade frågan på nytt, vilket resulterade i slutsatsen att det kunde hävdas att körkortet är bärare av behörigheten och inte endast ett bevis om den. Utredningen ansåg att Körkortskommitténs förslag att separera körkort och behörighet visserligen verkade tilltalande men konstaterade också att dess förslag till lagtext visade svårigheten att konsekvent upprätthålla en sådan uppdelning. Utredningen påtalade också bl.a. att det enligt artikel 3 i det andra körkortsdirektivet är körkortet som ger behörighet. Utredningens bedömning var att behörigheten alltjämt borde knytas till innehav av körkort.12

2007 års körkortsutredning föreslog en reform som i väsentliga delar överensstämde med Körkortskommitténs förslag. Reformen innebar att förarbehörigheten skulle upphöra att vara knuten till själva innehavet av körkort. I stället skulle behörigheten knytas till det faktum att beslutet om behörigheten antecknats i vägtrafikregistret. Ett körkort eller förarbevis skulle därefter utfärdas som bevis om behörigheten. Som skäl för reformen anfördes i huvudsak att tillämpande myndigheter önskade att förhållandet mellan körkort och behörighet skulle förtydligas och att det genom den föreslagna uppdelningen skulle bli en ökad tydlighet för såväl enskilda som myndigheter.13

Regeringen var dock av uppfattningen att en genomgång av relevanta svenska och EU-rättsliga bestämmelser gav det bestämda intrycket att körkortet inte bara är ett bevis på behörigheten utan att rätten att köra motordrivna fordon är knuten till innehavet av körkortet. Regeringen fann i likhet med Körkortskommittén att innebörden av begreppet körkort inte var klar och entydig. Regeringen ansåg dock att det var problematiskt i förhållande till EU-rätten att

11SOU 1991:39 s. 178. 12SOU 1996:114 s. 64 f. 13SOU 2008:130 s. 142 f.

göra en uppdelning i behörighet och körkortshandling och knytandet av behörigheten till registrering i vägtrafikregistret eftersom det skulle betyda att sambandet mellan behörighet och körkortsinnehav skulle brytas, dvs. att det som konstituerar körkortsbehörighet inte längre är innehavet av ett körkort. Ett sådant system skulle inte stå i överensstämmelse med körkortsdirektiven.14

Regeringen pekade på att skillnaden i systematik mellan å ena sidan körkortsdirektiven och å andra sidan utredningens lagförslag skulle leda till att svenska och utländska körkort skulle betraktas och behandlas på olika sätt. Medan de svenska körkorten i huvudsak skulle behandlas som rena bevis på behörigheten skulle det i fråga om de utländska körkorten vara innehavet av körkortet som medförde behörigheten att köra i Sverige. Det var enligt regeringen tveksamt om det var en direktivsenlig ordning att innehav av ett svenskt körkort till skillnad från övriga EES-körkort inte gav, utan bara var bevis på, behörigheten att framföra fordon. Regeringen pekade också på de lagstiftningstekniska konsekvenser som uppdelningen i körkort och behörighet fick för utredningens lagförslag i fråga om bestämmelserna om administrativ giltighetstid. Enligt regeringens bedömning innebar direktivets bestämmelser om regelbunden förnyelse av körkort, som en konsekvens av att körkortet i artikel 4.1 anges medföra behörigheten, även en omprövning av körkortshavarens behörighet. Om ett körkort i stället skulle ses som ett bevis om behörigheten skulle utfallet av omprövningen primärt endast avgöra om körkortet, såsom bevis på behörigheten, får ersättas och endast indirekt om själva behörigheten skulle fortsätta att gälla. Regeringens uppfattning var att det logiska är att behörighetsbevisets giltighet är beroende av att behörigheten fortfarande gäller, inte tvärtom. Regeringen ansåg därför, även om rätten att köra inte ovillkorligen förutsätter innehav av körkort i den meningen att körkortshandlingen finns i körkortshavarens besittning, att det inte var lämpligt att göra en formell uppdelning i behörighet och körkort.15

14Prop. 2011/12:25, s. 48. 15 Ibid. s. 49.

6.3. E-legitimationer

6.3.1. Utredningen om Effektiv styrning av nationella digitala tjänster

Utredningen om effektiv styrning av nationella digitala tjänster överlämnade i januari 2018 ett slutbetänkande i vilket bl.a. föreslogs att det bör finnas en statlig elektronisk identitetshandling (e-legitimation) som ska utfärdas av en statlig myndighet och finnas på fysiska identitetshandlingar som utfärdas av den ansvariga myndigheten. Med anledning av vårt uppdrag avstod utredningen från att lämna förslag på vilken myndighet som ska utfärda den statliga elektroniska identitetshandlingen och vilken eller vilka identitetshandlingar som ska vara bärare av den. Utredningen föreslog en lag om statlig elektronisk identitetshandling som bl.a. reglerar vad en statlig elektronisk identitetshandling ska innehålla, till vem den kan utfärdas och hur ansökan ska gå till.16

6.4. Användning av identitetshandlingar i samband med brottslighet

6.4.1. Straffrättsligt skydd mot olovlig identitetsanvändning

Olovlig identitetsanvändning, dvs. det som i vardagligt tal kallas för identitetskapning, kriminaliserades den 1 juli 2016 genom en ny bestämmelse i 4 kap. 6 b § brottsbalken. Straffbestämmelsen syftar till att motverka missbruk av identitetsuppgifter och ge skydd mot den integritetskränkning det innebär att få dessa utnyttjade. För straffansvar krävs att någon utger sig för att vara en annan person genom att olovligen använda den personens identitetsuppgifter och därigenom ger upphov till skada eller olägenhet för honom eller henne.17Bakgrunden till bestämmelsen är den utredning som Egendomsskyddsutredningen överlämnade år 2013. I utredningen redovisas olika tillvägagångssätt för att begå identitetskapning. Ett tillvägagångssätt som beskrivs där är att gärningsmannen använder sig av förfalskade identitetshandlingar eller felaktiga äkta sådana handlingar.18

16SOU 2017:114. 17Prop. 2015/16:150. 18SOU 2013:85 s. 192.

6.4.2. Brottsförebyggande rådets rapport om bedrägeribrottsligheten

Brå fick 2014 i uppdrag av regeringen att genomföra en studie om bedrägerier och arbetet mot sådan brottslighet. I rapporten konstaterade Brå bl.a. att någon form av identitetsmissbruk förekom vid många bedrägerier och att det fanns indikationer på att användningen av stulna eller falska identiteter ökade. Brå pekade i rapporten på att ett av skälen till den ökade användningen är det stora antalet identitetshandlingar som godtas i Sverige, något som gör det svårare att kontrollera handlingarna och lättare att förfalska dem. Brå föreslog i rapporten att identitetsfrågan skulle ses över. Förutom att garantera en säker ursprungsidentifiering föreslogs en ökad användning av biometriska uppgifter såväl vid ursprungsidentifiering som vid identitetskontroll. Brå framförde också behovet av att en myndighet får ansvaret för att utfärda identitetshandlingar.19

6.4.3. Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden

En utredning med uppdrag att göra en översyn av välfärdsstatens förmåga att stå emot organiserad och systematisk ekonomisk brottslighet tillsattes år 2015.

I utredningen, som överlämnades i maj 2017, lyfts bl.a. vikten av att motverka användningen av oriktiga identitetshandlingar. Utredningen föreslog att en särskild utredning skulle tillsättas för att ta ett samlat grepp över bl.a. den frågan genom att minska antalet utfärdare av identitetshandlingar och koncentrera ansvaret till en myndighet. Utredningen menade att det dessutom borde göras en översyn av behovet av och förutsättningarna för ett gemensamt regelverk. Utredningen ansåg också att det borde övervägas ändringar för att biometriska data i större utsträckning ska kunna användas för att säkerställa att registrerade uppgifter speglar verkliga förhållanden. Utredningen framhöll också vikten av att Transportstyrelsen får i uppdrag att se över sina rutiner vid utlämnande av körkort för att förhindra att de används vid bedrägeri.20

19 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 148 f. och 224 f. 20SOU 2017:37.

6.5. Organisatoriska förändringar

6.5.1. Servicekontorsutredningen

I september 2017 fick en särskild utredare i uppdrag att föreslå hur den lokala serviceverksamheten, som i dag bedrivs genom samverkan mellan Skatteverket, Försäkringskassan och Pensionsmyndigheten, kan organiseras på ett mer sammanhållet sätt. Utgångspunkten angavs vara att Statens servicecenter ska ansvara för en mer samlad organisation för lokal statlig service från och med den 1 januari 2019. Utredaren skulle bl.a. ta ställning till vilket serviceutbud som bör finnas vid serviceorganisationens lokala kontor och presentera en plan för när de lokala kontoren ska tillhandahålla den service som bl.a. avser Skatteverkets verksamhet. Servicekontorsutredningen föreslog i sitt delbetänkande i december 2017 att den statliga servicekontorsverksamheten skulle övergå till Statens servicecenter den 1 januari 2019. Vissa servicekontor ska precis som i dag utfärda idkort. Servicekontorsutredningen bedömde att nuvarande ordning med fortsatt möjlighet att ansöka om id-kort vid åtminstone 27 servicekontor och möjlighet till utlämning av färdiga id-kort vid ytterligare minst 18 servicekontor skulle kvarstå i avvaktan på att vår utredning slutförs.21 Övergången av verksamheten har därefter senarelagts till den 1 juni 2019.22

6.5.2. Inrättande av Myndigheten för digital förvaltning

Utredningen om inrättande av en myndighet för digitalisering av den offentliga sektorn fick i december 2017 i uppdrag att förbereda och genomföra bildandet av en ny myndighet för digitalisering av den offentliga sektorn.23 Organisationskommitténs arbete mynnade ut i att Myndigheten för digital förvaltning inrättades den 1 september 2018. Till myndigheten överfördes bl.a. ansvaret för de uppgifter som E-legitimationsnämnden tidigare utförde. Samtidigt lades E-legitimationsnämnden ner. Den nya myndigheten ska bl.a. ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift, främja användningen

21SOU 2017:109 s. 59 f. och 77 f. 22Prop. 2018/19:47. 23 Dir. 2017:117.

av elektronisk identifiering och underskrift, tillhandahålla och administrera valfrihetssystem i fråga om tjänster för elektronisk identifiering samt ansvara för de svenska förbindelsepunkterna (noderna) för gränsöverskridande elektronisk identifiering enligt eIDAS-förordningen.

7. Internationell utblick

7.1. Finland

I Finland finns reglering i lag avseende pass och identitetskort.1Lagarna kompletteras av en gemensam förordning.2 Polisstyrelsen meddelar närmare föreskrifter. Både pass och id-kort utfärdas av polisen. Även ambassader och andra utlandsmyndigheter kan utfärda pass och id-kort för finska medborgare som befinner sig utomlands.

Pass är en personlig resehandling som utfärdas för finska medborgare. På passet finns ett chip som, i enlighet med den EU-rättsliga regleringen, bl.a. innehåller fingeravtryck och ansiktsbild. Personer som är misstänkta för brott på vilket kan följa fängelse i minst ett år och personer som väntar på att avtjäna fängelsestraff är förhindrade att få pass utfärdat. Det finns även andra passhinder. Giltighetstiden för passet är som huvudregel fem år. I passregistret lagras fingeravtryck, ansiktsbild och övriga personuppgifter.

Identitetskort kan utfärdas till finska medborgare och utlänningar som vistas i Finland (identitetskort för utlänningar). Identitetskort för utlänningar utfärdas om sökanden har ett giltigt uppehållstillstånd, uppehållskort eller sökandens uppehållsrätt är registrerad, sökanden har hemkommun i Finland och uppgifter om sökanden har registrerats i befolkningsdatasystemet. Ett id-kort som utfärdas för en finsk medborgare kan användas som resedokument i stället för pass vid resor inom EU. Ett id-kort som inte är giltigt som resedokument kan, förutom till utländska medborgare, också utfärdas till finska medborgare som inte har rätt att resa. Det kan t.ex. röra sig om en person som är misstänkt för brott på vilket kan följa fängelse i minst ett år eller väntar på att avtjäna fängelsestraff.

1Passlagen (671/2006) och lagen om identitetskort (663/2016). 2 Statsrådets förordning om pass och identitetskort (1167/2016).

På identitetskortet finns ett chip som innehåller ett s.k. medborgarcertifikat, en e-legitimation som utfärdas av Befolkningsregistercentralen. I chipet är det också möjligt att lagra de personuppgifter som finns på kortet och, på innehavarens begäran, tekniska tillämpningar och uppgifter. På begäran av en myndighet kan det vidare för myndighetsanställda lagras sådan information som behövs för den anställdes arbetsuppgifter. Det lagras inte några fingeravtryck i chipet.

De olika typerna av identitetskort innehåller samma uppgifter förutom att uppgift om nationalitet endast anges för finska medborgare. För att undvika förväxling har id-kortet för utländska medborgare en annan färg än det kort som utfärdas till finska medborgare. På id-kortet för utländska medborgare anges dessutom att kortet inte är giltigt som resedokument.

Giltighetstiden är som huvudregel fem år. Ansiktsbild och övriga personuppgifter lagras i ett register.

Ansökan om pass och id-kort ska göras hos polisen eller, om ansökan rör en finsk medborgare som vistas utomlands, hos en utlandsmyndighet. Till ansökan ska sökandens ansiktsbild fogas. Den utfärdande myndigheten tar inte några fotografier utan dessa överförs till polisens server av den fotograf som sökanden tar bilden hos. Ansökan om medborgarcertifikat är samordnad med ansökan om identitetskort.

Identifieringen av sökanden ska ske på ett tillförlitligt sätt. Sökanden ska identifiera sig med ett giltigt finskt pass eller identitetskort utfärdat av polisen. Även främlingspass och resedokument för flykting kan användas under förutsättning att de inte har försetts med anteckning om att identiteten inte har kunnat styrkas. Om sökanden inte kan visa upp en giltig identitetshandling, görs identifieringen av den utfärdande myndigheten. Hur det ska gå till anges inte i lagen eller förordningen. Det kan t.ex. vara fråga om att jämföra sökandens fingeravtryck med de som finns i passregistret eller ställa kontrollfrågor utifrån uppgifter i olika register. Om en person som ansöker om ett identitetskort för utlänningar inte kan visa upp en giltig identitetshandling ska personen visa upp ett giltigt uppehållstillståndskort eller uppehållskort. Den utfärdande myndigheten får då ta sökandens fingeravtryck och jämföra med de avtryck som är lagrade i uppehållstillståndskortet eller uppehållskortet.

Ansökan kan under vissa förutsättningar göras på elektronisk väg utan att sökanden behöver inställa sig hos polisen. Detta är möjligt

om ansökan görs inom sex år från utfärdandet av det tidigare passet eller id-kortet och sökanden i samband med den ansökan var personligen närvarande hos den utfärdande myndigheten. Det innebär att personlig inställelse krävs vid ungefär varannan ansökan en person gör. Sökanden måste också ha lämnat namnteckningsprov och, när det gäller pass, fingeravtryck i samband med den tidigare ansökan. Sökanden kan dock behöva inställa sig personligen hos polisen om det behövs för att identifiera sökanden, lämna nytt namnteckningsprov, lämna nya fingeravtryck eller av någon annan särskild orsak. Om ansökan görs på elektronisk väg måste sökanden identifiera sig genom en e-legitimation som når upp till tillitsnivån väsentlig eller hög enligt eIDAS-förordningen.

Innan ett pass eller identitetskort utfärdas ska den utfärdande myndigheten kontrollera sökandens personuppgifter i befolkningsdatasystemet. Vid ansökan om identitetskort för utlänningar ska uppgifterna även kontrolleras i utlänningsregistret.

Pass och id-kort lämnas ut av ett privat företag som anlitats av polisen. Identitetshandlingen skickas som rekommenderat brev eller motsvarande spårbar försändelse. Passet eller id-kortet överlämnas i förslutet kuvert till sökanden eller en person som sökanden har gett fullmakt. Den person som identitetshandlingen överlämnas till ska identifieras på ett tillförlitligt sätt. Det kan ske genom att ett pass eller id-kort visas upp men även körkort kan användas. Numret på den identitetshandling som visas upp antecknas och kan vid behov kontrolleras i efterhand. Personen måste även visa upp försändelsekoden och ha med sig det utgångna passet eller identitetskortet. Om det finns skäl för det kan pass eller id-kort i stället lämnas ut av den utfärdande myndigheten.

I Finland finns inte någon lagstadgad skyldighet att identifiera sig med pass eller identitetskort utfärdat av polisen annat än i vissa speciella situationer. Det gäller som framgått ovan i samband med ansökan om pass och identitetskort. Detsamma gäller vid ansökan om en e-legitimation som motsvarar tillitsnivån väsentlig eller hög enligt eIDAS-förordningen hos exempelvis en bank.3 I många andra situationer används körkort.

Enligt uppgift från Polisstyrelsen har antalet ansökningar om identitetskort ökat under de senaste åren. Sannolikt beror detta på möjligheten att ansöka elektroniskt via e-tjänsten samt att avgiften

3 Lagen om stark autentisering och betrodda elektroniska tjänster (617/2009).

är lägre såväl när ansökan görs elektroniskt som när ansökan om pass och identitetskort görs samtidigt. Även ett nytt tidbokningssystem har framhållits som en omständighet som fått positiva effekter. Om ansökan görs elektroniskt slussas sökanden direkt till bokningssystemet för det fall denne behöver inställa sig personligen för att komplettera ansökan.

Polisstyrelsen utvecklar för närvarande ett mobilt identitetskort och en mobil elektronisk identitetshandling. Id-kortet ska finnas i innehavarens mobiltelefon eller surfplatta och användas tillsammans med en pinkod. Den som id-kortet visas upp för läser av den QRkod som finns i innehavarens mobiltelefon och får genom en direkt uppkoppling mot aktuellt register upp innehavarens personuppgifter. Syftet är att det ska vara möjligt att på ett säkert sätt identifiera sig utan att behöva ha med sig det fysiska id-kortet.

Den e-legitimation, medborgarcertifikatet, som finns på de finska id-korten kan användas för identifiering i e-tjänster som tillhör såväl myndigheter som privata företag. Bankernas e-legitimationer dominerar dock och medborgarcertifikatet används endast vid cirka 1 procent av transaktionerna i Finland.

7.2. Norge

Regler om pass finns i en lag och en kompletterande förordning.4Pass utfärdas till norska medborgare. Polisen och vissa utlandsmyndigheter utfärdar pass. I passet lagras fingeravtryck och ansiktsbild. Passhinder föreligger t.ex. om sökanden är efterlyst eller dömd för brott till frihetsberövande påföljd. Giltighetstiden är som huvudregel tio år. I passregistret lagras ansiktsbild, namnteckning och övriga personuppgifter. Fingeravtryck lagras inte i registret.

Den som ansöker om pass ska inställa sig personligen hos den utfärdande myndigheten om det inte finns särskilda skäl. Den utfärdande myndigheten tar sökandens fotografi och fingeravtryck. Sökanden ska även lämna sin namnteckning och lämna in sitt gamla pass. Sökanden ska styrka sin identitet och sitt medborgarskap. Vid förnyelse av pass som inte görs senare än tre månader efter att giltighetstiden för det gamla passet har gått ut ska sökanden i första hand visa upp det gamla passet. Om det gamla passet är äldre eller om det

4 Lov om pass (LOV-1997-06-19-82) och forskrift om pass (FOR-1999-12-09-1263).

är första gången en ansökan görs ska i stället ett norskt körkort eller annat lika säkert id-kort försett med sökandens fotografi och födelsenummer (såsom ett bankkort med sökandens fotografi) visas upp. Den utfärdande myndigheten kan dessutom kräva ytterligare dokumentation som utvisar sökandens identitet. Sådan dokumentation kan också krävas om sökanden inte har någon identitetshandling. Den utfärdande myndigheten kan också kräva en skriftlig försäkran från en myndig norsk medborgare om att sökandens uppgifter är korrekta. Den som intygar sökandens uppgifter ska vara närvarande vid identitetskontrollen av sökanden och styrka sin identitet med giltigt norskt pass. Den utfärdande myndigheten ska kontrollera sökandens uppgifter mot ett register över befolkningen.

Passinnehavaren ska förvara passet på ett betryggande sätt. Om passet förkommer är innehavaren är skyldig att snarast anmäla detta till den utfärdande myndigheten. Ett pass som har förlustanmälts får inte tas i bruk på nytt.

Det finns ännu inte något nationellt identitetskort i Norge. En lag om nationellt identitetskort är beslutad men har ännu inte trätt i kraft.5 Arbete pågår med införandet som är planerat till år 2020 och en kompletterande förordning är under framtagande. Polisen ska utfärda id-kortet. Id-kortet ska utfärdas till norska medborgare och ska kunna användas som resehandling inom EU. Motsvarande hinder som gäller för utfärdande av pass ska gälla för id-kort med rätt att resa. Medborgare som inte har rätt att resa ska kunna få ett id-kort som inte kan användas för att resa. Föreskrifter om att även utländska medborgare ska kunna ansöka om ett nationellt identitetskort och villkoren för det ska få meddelas i förordning. Id-kortet får bara innehålla uppgifter som är nödvändiga för att kontrollera kortets äkthet och bekräfta innehavarens identitet. Fingeravtryck och ansiktsbild får lagras i korten. Uppgifter om nationella identitetskort ska finnas i ett register som får kopplas mot passregistret. I registret ska bl.a. ansiktsbild och underskrift lagras. Närmare bestämmelser om kortets och registrets innehåll meddelas i förordning. I förordning ska även bestämmelser om att förse id-kortet med en e-legitimation få meddelas. Även kortets giltighetstid kommer att framgå av förordning.

Den som ansöker om nationellt identitetskort ska inställa sig personligen hos polisen om det inte finns särskilda skäl. Sökanden

5 Lov om nasjonalt identitetskort (LOV-2015-06-05-39).

ska styrka sin identitet och sitt medborgarskap genom att lämna de uppgifter och visa upp de handlingar som den utfärdande myndigheten anser är nödvändiga. Ansiktsbild och fingeravtryck får inhämtas i syfte att senare kontrollera kortinnehavarens identitet. Ett tidigare utfärdat nationellt identitetskort ska lämnas in innan det nya lämnas ut.

Innehavaren ska förvara det nationella identitetskortet på ett betryggande sätt. Om kortet förkommer är innehavaren skyldig att snarast anmäla detta till den utfärdande myndigheten. Ett id-kort som har förlustanmälts får inte tas i bruk på nytt.

7.3. Danmark

Pass regleras i en lag med tillhörande förordning.6 Kommunerna utfärdar pass till danska medborgare som uppehåller sig i Danmark. Utlandsmyndigheterna kan utfärda pass till medborgare som befinner sig utomlands. Passet innehåller sökandens fingeravtryck och andra uppgifter om innehavaren. Passhinder föreligger t.ex. om sökanden dömts till en frihetsberövande påföljd som ännu inte är avtjänad. Passet är som huvudregel giltigt i tio år.

Sökanden ska inställa sig personligen vid kommunens kontor för medborgarservice i samband med ansökan. Till ansökan ska sökanden själv bifoga ett fotografi som uppfyller vissa krav. Sökanden ska lämna sina fingeravtryck och underteckna ansökan i kommunens närvaro. Identiteten ska styrkas genom att det senast utfärdade passet visas upp. Om sökanden inte har något sådant ska dop-, namn- eller födelseattest, sjukförsäkringskort eller annan lämplig legitimation och fotoförsedd legitimation visas upp. Dessa krav kan dock frångås om kommunen känner sökanden eller om denne styrker sin identitet genom att svara på kontrollfrågor. I särskilda fall kan sökanden styrka sin identitet genom att en person, som kan styrka sin egen identitet genom uppvisande av de dokument som anges ovan, skriftligen intygar sökandens uppgifter.

Även identitetskort regleras i lag och förordning.7 Alla personer över 15 år som är registrerade i ett register över den danska befolkningen kan få ett identitetskort utfärdat av kommunen. Id-kortet är

6 Bekendtgørelse af lov om pas til danske statsborgere m.v. och Bekendtgørelse om pas m.v. 7 Lov om udstedelse af legitimationskort och Bekendtgørelse om udstedelse af legitimationskort.

giltigt i tio år. Kortet infördes huvudsakligen i syfte att det skulle kunna användas för att uppfylla de krav på identifiering som uppställs i penningtvättslagstiftningen eller användas som identitetshandling i andra vardagliga situationer och inte i syfte att användas som resehandling.

Sökanden ska vara personligen närvarande i samband med ansökan. Till ansökan ska ett fotografi som uppfyller vissa krav bifogas. Identiteten ska styrkas genom uppvisande av dop-, namn- eller födelseattest eller pass, körkort eller sjukförsäkringsbevis. I särskilda fall kan i stället kontrollfrågor ställas.

8. Begränsning av antalet fysiska identitetshandlingar

8.1. Vårt uppdrag

Vilka handlingar som generellt ska accepteras som identitetshandlingar regleras inte i författning. Det förekommer dock att det i myndighetsföreskrifter anges vilka identitetshandlingar som godtas för att identiteten ska anses styrkt inom några få specifika områden. I övrigt gäller som utgångspunkt att det är den som identitetshandlingen visas för, som avgör om den kan godtas som bevis för någons identitet. Inom vissa branscher finns emellertid en gemensam standard för vilka handlingar som godtas.

Det finns som tidigare framgått fem allmänt accepterade svenska fysiska identitetshandlingar. Det rör sig om pass, nationellt identitetskort, identitetskort för folkbokförda i Sverige, körkort och SIS-märkt id-kort. Handlingarna förekommer i både äldre och nyare versioner vilket innebär att det totalt är cirka 13 olika versioner som nu är gällande. Utöver dessa identitetshandlingar finns det en mängd handlingar av skiftande kvalitet som i vissa sammanhang anses tillräckliga som bevis för någons identitet, såsom LMA-kort, medlemskort, kundkort, passerkort och tjänstekort.

Att det finns så många olika typer av identitetshandlingar, som dessutom förekommer i olika versioner, medför att det är svårt för den för vilken handlingen visas upp att kontrollera om den är äkta eller falsk. Eftersom det är många personer i samhället som i olika situationer ska kontrollera identiteter ökar risken för att oriktiga identitetshandlingar inte upptäcks. I våra direktiv anges att en ordning med färre giltiga identitetshandlingar skulle förbättra möjligheterna att kontrollera en handlings äkthet och giltighet. Vi ska därför föreslå hur antalet identitetshandlingar ska begränsas och särskilt över-

väga om det bör regleras i författning vilka handlingar som ska utgöra giltiga fysiska identitetshandlingar och vilka krav som ska ställas på en giltig identitetshandling. Vi ska också lämna nödvändiga författningsförslag.

8.2. Föreskrifter om vilka identitetshandlingar som godtas

Myndighetsföreskrifter om vilka identitetshandlingar som godtas för att styrka identiteten förekommer framför allt när det gäller ansökan om de identitetshandlingar som utfärdas av staten. Rikspolisstyrelsen och Skatteverket föreskriver vilka identitetshandlingar som godtas när identiteten ska styrkas i samband med ansökan om pass och nationellt identitetskort respektive identitetskort för folkbokförda i Sverige.1 För de utlandsmyndigheter som utfärdar pass och nationella identitetskort gäller föreskrifter som meddelats av Regeringskansliet.2 Föreskrifterna avseende utlandsmyndigheterna har, när det gäller vilka handlingar som godtas för att styrka identiteten, samma lydelse som Rikspolisstyrelsens föreskrifter.

Transportstyrelsen har meddelat föreskrifter om vilka handlingar som accepteras i samband med förarprov och utlämnande av körkort.3 Även för identifiering i samband med ansökan om utfärdande av körkort på elektronisk väg (dvs. utfärdande av körkort med anledning av förarprov, utbyte eller ersättande av utländskt körkort samt i de fall sökanden vid förnyelse eller utfärdande av körkort utan krav på förarprov väljer att göra ansökan hos Trafikverket) utfärdar Transportstyrelsen föreskrifter.4

1 4 kap. 2 § Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14) och 4 § Skatteverkets föreskrifter om identitetskort (SKVFS 2009:14). 2 15 § Regeringskansliets föreskrifter om handläggningen av ärenden om pass, Europeiska unionens provisoriska resehandling och nationellt identitetskort (UF 2009:9). 3 2 kap. 1 och 2 §§ Transportstyrelsens föreskrifter och allmänna råd om förarprov, gemensamma bestämmelser (TSFS 2012:41), 5 § Transportstyrelsens föreskrifter om utlämnande av körkort (TSFS 2017:120) samt 6 och 7 §§ Transportstyrelsens föreskrifter om utlämnande av körkort vid utlandsmyndighet (TSFS 2017:22). 4 3 § Transportstyrelsens föreskrifter om ansökan om körkort på elektronisk väg (TSFS 2013:114).

Det finns även föreskrifter om vilka handlingar som godtas vid de identitetskontroller som görs av bl.a. banker som en åtgärd mot penningtvätt och finansiering av terrorism. I lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism uppställs krav på i vilka situationer banker, fastighetsmäklare, spelbolag, handlare och vissa andra aktörer måste ha kundkännedom och kontrollera kundens identitet. I Finansinspektionens föreskrifter, som bl.a. gäller för bankerna, anges vilka identitetshandlingar som godtas.5 Länsstyrelserna och Fastighetsmäklarinspektionen har meddelat liknande föreskrifter för de verksamheter som står under dessa myndigheters tillsyn.6

I tabellen nedan görs en förenklad redovisning av vilka identitetshandlingar som accepteras i olika situationer enligt de föreskrifter som finns.

Tabell 8.1 Godtagbara identitetshandlingar enligt gällande föreskrifter

Ansökan om

pass och nationellt

id-kort

Ansökan om

id-kort för folkbokförda

Förarprov/

ansökan om

körkort

Utlämnande av

körkort

Åtgärder mot penningtvätt

Pass

X

X

X

X

X

Nationellt id-kort

X

X

X

X

X

Id-kort för folkbokförda

X

X

X

X

X

Körkort

X

X

X

X

X

SIS-kort

X

X

X

X

X

Statligt tjänstekort X

X

EU-pass

X

X

X

X

Pass från EES/Schweiz

X

X

X

X

Pass från övriga länder utanför EU

X

X

Nat. id-kort från Schengenländer

X

X

Övriga utländska id-handlingar

X

5 3 kap. 2 § Finansinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism (FFFS 2017:11). 6 Se t.ex. Länsstyrelsen i Skåne läns föreskrifter och allmänna råd om åtgärder mot penningtvätt och finansiering av terrorism (12FS 2017:22) och Fastighetsmäklarinspektionens föreskrifter och allmänna råd om åtgärder mot penningtvätt och finansiering av terrorism (KAMFS 2016:1).

I föreskrifterna anges alternativa sätt att styrka identiteten i de fall personen inte har någon godtagbar identitetshandling. Det kan röra sig om skriftliga intyg från närstående, arbetsgivare eller myndighetstjänstemän som i sin tur ska identifiera sig genom en godtagbar identitetshandling. I flera fall finns också möjlighet att göra en bedömning på grundval av andra handlingar eller uppgifter som sökanden åberopar.

Utöver de ovan uppräknade myndighetsföreskrifterna finns det även författningar om skyldigheten att styrka sin identitet i andra situationer utan att det regleras på vilket sätt det ska ske eller vilka handlingar som godtas. Som exempel kan nämnas 7 § lagen (1999:271) om handel med begagnade varor som anger att en handlare inte får ta emot begagnade varor av den som inte på ett tillförlitligt sätt styrker sin identitet eller är känd. Till den bestämmelsen finns inte några föreskrifter om på vilket sätt identiteten ska styrkas. Däremot har Rikspolisstyrelsen i ett allmänt råd angett att en identitet i denna situation kan styrkas genom att pass, körkort eller annan godkänd identitetshandling företes.7 Krav på att identiteten ska styrkas finns också i t.ex. pantbankslagen (1995:1000), lagen (2001:82) om svenskt medborgarskap och vallagen (2005:837).

8.3. Branschstandard om vilka identitetshandlingar som godtas

I andra situationer än de som omfattas av de ovan redovisade föreskrifterna gäller alltså att det är den som identitetshandlingen visas upp för som själv avgör om handlingen kan godtas som bevis för någons identitet. I handboken De 7 stegen, som ges ut av Kronan Säkerhet AB på uppdrag av Svenska Bankföreningen, listas de 13 svenska identitetshandlingar som bankerna godtar som bevis för någons identitet. Det är fråga om äldre och nyare versioner av svenska pass (en version), nationellt identitetskort (en version), identitetskort för folkbokförda i Sverige (tre versioner), svenskt körkort (fem versioner) och SIS-märkta identitetskort (tre versioner). Giltighetstiden för några av handlingarna har dock gått ut varför antalet godkända handlingar i realiteten är något lägre. Handboken fungerar som en

7 Allmänna råd till 6 § Rikspolisstyrelsens föreskrifter och allmänna råd om handel med begagnade varor (RPSFS 2009:3).

branschstandard för vilka identitetshandlingar som godtas och hur en identitetskontroll ska gå till och används förutom av bankerna också av posten och handeln. Den innehåller endast information om svenska identitetshandlingar men även utländska identitetshandlingar godtas i vissa fall.

Vid utlämning av paket, rekommenderat brev eller postförskott kan identiteten styrkas med något fler handlingar är de som anges i De 7 stegen. Av information på Postnords hemsida framgår att bl.a. vissa utländska handlingar och LMA-kort utfärdat av Migrationsverket godkänns. LMA-kort kan dock endast användas vid uthämtande av försändelser från Migrationsverket och utrikes paket där avsändaren är en privatperson. Postnord har nyligen även lanserat möjligheten att identifiera sig genom mobilt BankID i en app i mobiltelefonen.8

8.4. Närmare om problemet med att så många identitetshandlingar accepteras

8.4.1. Antalet identitetshandlingar försvårar kontroll och underlättar förfalskning

I dag finns det cirka 13 olika identitetshandlingar som är allmänt accepterade. Den stora mängden identitetshandlingar försvårar identitetskontroll och minskar möjligheten att upptäcka missbruket av identitetshandlingar. Problemet har lyfts i olika rapporter och skrivelser. Det tas upp i såväl Brås rapport9 som i betänkandet av Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden10. I en skrivelse från Svenska Bankföreningen till regeringen nämns även ett minskat antal godtagbara identitetshandlingar som exempel på åtgärd när det gäller att minska antalet identitetsstölder.11

Det förhållandet att det finns många olika typer av identitetshandlingar som utfärdas av flera olika aktörer leder till att handling-

8 www.postnord.se/ta-emot/hamta-brev-och-paket/legitimering/godkanda-legitimationer och www.postnord.se/vara-losningar/artiklar/e-handel/hamta-paket-med-hjalp-av-mobiltbankid. Hämtad 2019-01-25. 9 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 165 f. 10SOU 2017:37 s. 295 ff. 11 Dnr Ju2015/05176/L4.

arna ser olika ut. Det är många personer i samhället som i olika situationer ska hantera och kontrollera identiteter, t.ex. personal vid folkbokföringsverksamheten, posten, banken och handeln. Den som gör en identitetskontroll måste ha kunskap om de olika säkerhetsdetaljerna som finns på varje version av de olika typerna av identitetshandlingar. Det krävs också kunskap om hur giltighetskontroll för de olika handlingarna ska göras. Ju fler handlingar som den som utför kontrollen måste hålla reda på desto svårare blir det att bedöma om handlingarna är äkta. Därmed ökar också risken att oriktiga identitetshandlingar inte upptäcks. Beroende på hur ofta en kortutfärdare byter version och hur lång giltighetstid identitetshandlingen har kan samma typ av handling förekomma i flera olika versioner vilket ytterligare förstärker svårigheterna.

Flera av de aktörer vi har haft kontakt med under utredningen har bekräftat denna bild. Såväl Nationellt bedrägericenter (NBC) som Nationellt forensiskt centrum (NFC) vid Polismyndigheten är av uppfattningen att antalet godkända identitetshandlingar bör minskas. Med färre antal godkända identitetshandlingar behöver den som kontrollerar inte ha kunskap om lika många handlingar vilket underlättar den fysiska kontrollen av identitetshandlingen och dess säkerhetsdetaljer. Om färre identitetshandlingar godtas förenklar det också kontrollen av om handlingen är giltig eftersom den som tar emot handlingen har färre utfärdare att vända sig till för att göra kontrollen. Att minska antalet fysiska identitetshandlingar som accepteras har också, enligt uppgift från Finansiell ID-Teknik BID AB, betydelse för säkerheten vid utfärdande av e-legitimationer eftersom det alltid är en fysisk identitetshandling som ligger till grund för utfärdandet. Färre godkända fysiska identitetshandlingar medför således också mindre risk för bedrägerier genom användande av e-legitimation. Även företrädare för PostNord har vid kontakt med utredningen uppgett att de välkomnar en begränsning av antalet identitetshandlingar.

Det har också påtalats att identitetshandlingarna och processen för hur de utfärdas håller olika kvalitet vilket innebär att vissa identitetshandlingar är lättare att förfalska än andra. NFC har upplyst om att det förekommer förfalskningar som är mycket bra gjorda och som därför är svåra att upptäcka vid en identitetskontroll. Det är framför allt en version av de SIS-märkta id-korten och en av de äldre versionerna av körkorten som enligt NFC:s erfarenhet har varit

föremål för förfalskning. Av de totalt 1 090 svenska identitetshandlingar som undersökts av NFC mellan 2012 och 2017 har nästan 80 procent bedömts vara falska. Av de falska handlingarna var 58 procent SIS-märkta id-kort och 37 procent körkort. 3 procent av de förfalskade handlingarna var identitetskort för folkbokförda i Sverige. Nationella identitetskort och pass utgjorde knappt 1 procent vardera. Det är mycket ovanligt att svenska pass förfalskas. NBC har upplyst om att det är få av de falska identitetshandlingar som använts vid bedrägeribrott som hamnar hos NFC för analys. Det finns alltså handlingar som undersöks av polisen som NFC inte har kännedom om. Antalet identitetshandlingar som har undersökts av NFC ger därför inte en rättvisande bild av hur utbredd användningen av falska handlingar är. Enligt vår uppfattning ger uppgifterna dock en bild av vilka handlingar som ofta är föremål för förfalskning.

8.4.2. Särskilt om problemet med att körkort accepteras som identitetshandling

Det svenska körkortet är i första hand en behörighetshandling men fungerar av tradition även som en identitetshandling. Att körkortet av hävd accepteras som en identitetshandling konstaterades av Körkortsutredningen redan år 1970.12 Den omständigheten att körkortet, vid sidan av sin egentliga funktion som behörighetshandling, redan på 1970-talet i stor utsträckning användes som identitetshandling var en av de viktigaste anledningarna till att körkortet då bedömdes ha behov av ett effektivt förfalskningsskydd. Körkortsutredningen menade att det vore principiellt mest riktigt att körkortet endast användes som behörighetsbevis och att identifiering skedde genom en särskild identitetshandling. Eftersom det inte fanns någon allmän identitetshandling bedömde dock utredningen att den enda lösningen var att körkortet utformades för att även kunna gälla som identitetshandling. Körkortet skulle därför ha en teknisk utformning som motverkade förfalskning. Körkortets status som identitetshandling har därefter upprätthållits genom att körkortet har följt med i utvecklingen avseende säkerhet för identitetshandlingar.

12SOU 1970:26 s. 28 f.

På senare tid har det dock framförts kritik mot att det svenska körkortet accepteras som en identitetshandling. Problemen tas upp både i Brås rapport13 och av Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden14 och har bekräftats vid våra kontakter med bl.a. NFC och NBC. Kritiken har huvudsakligen sin grund i körkortets långa giltighetstid och den omständigheten att det inte krävs personlig inställelse i samband med förnyelse.

Körkortet är, bortsett från när det gäller de högre behörigheterna, giltigt i tio år och har alltså dubbelt så lång giltighetstid som pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige. Vid kontakt med NFC har framkommit att den långa giltighetstiden påverkar körkortets lämplighet som identitetshandling av flera skäl. Det utvecklas hela tiden nya säkerhetsdetaljer som nyare handlingar kan förses med men som saknas på de äldre körkorten. Dessutom innebär den omständigheten att en körkortsversion finns på marknaden under tio år att förfalskarna har lång tid på sig att försöka förfalska handlingen. När förfalskarna väl lärt sig hur en viss version av körkortet kan förfalskas kan den versionen ha en fortsatt lång giltighetstid vilket medför att förfalskningen kan användas under lång tid. En lång giltighetstid innebär alltså ett större problem när det gäller förfalskningar. Som angetts ovan står körkorten för över en tredjedel av de förfalskade svenska identitetshandlingar som undersökts av NFC. Den långa giltighetstiden medför också att det förekommer flera versioner av körkortet som är giltiga samtidigt vilket försvårar identitetskontrollen.

Körkortets giltighetstid styrs av reglerna i det tredje körkortsdirektivet. Enligt direktivet ska den administrativa giltighetstiden för körkort avseende de lägre behörigheterna vara tio år. Endast körkort för vissa högre behörigheter får ha en giltighetstid på fem år. Direktivet tillåter att giltighetstiden för körkort med de lägre behörigheterna utökas i upp till fem år. Direktivet ger också medlemsstaterna vissa möjligheter att begränsa giltighetstiden men endast i speciella situationer. Begränsning får bl.a. ske i syfte att tillämpa särskilda trafiksäkerhetshöjande åtgärder. Det är till följd av EU-regleringen inte möjligt att, i andra fall än de särskilda situationer som

13 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 166. 14SOU 2017:37 s. 298 f.

tillåts enligt direktivet, utfärda körkort med en giltighetstid understigande tio år för de lägre behörigheterna.

En annan omständighet som påverkar körkortets lämplighet som identitetshandling är att även körkortets fysiska utformning styrs av EU-regler. Regleringen innehåller bl.a. krav på vilken modell körkortet ska ha, vilka åtgärder som ska vidtas mot förfalskning och vilken information som ska finnas på körkortet. Eftersom körkortet måste uppfylla de EU-rättsliga kraven på format och vilka uppgifter som ska finnas på kortet är utrymmet för ytterligare säkerhetsdetaljer begränsat. Detta är delvis skälet till att inte heller nyare körkort innehåller samtliga säkerhetsdetaljer som finns på övriga identitetshandlingar. Körkorten saknar i dag en s.k. perforerad bild, något som enligt uppgift från NFC är en mycket bra säkerhetsdetalj. Säkerhetsdetaljen finns på pass, nationella identitetskort och identitetskort för folkbokförda i Sverige.

Ett annat problem som nämnts av NFC och i Brås rapport är att utländska körkort under vissa förutsättningar kan bytas in mot ett svenskt körkort, se avsnitt 4.5. Rätten att begära utbyte följer också av tvingande EU-reglering. Internationellt sett är det inte lika vanligt att körkort kan användas som identitetshandling. Ett utländskt körkort är ofta därför inte utfärdat i syfte att gälla som identitetshandling. Transportstyrelsen ställer samma krav på att identiteten ska fastställas i samband med utbyte som vid ansökan om körkort efter förarprov. I länder där körkortet endast är en handling som utvisar förarbehörighet är däremot den ursprungliga identitetskontrollen inte alltid av samma tyngd som vid utfärdande av en identitetshandling. Det är därför inte säkert att det andra landet har gjort en tillräcklig identitetskontroll i samband med utfärdandet.15 Om ett utländskt körkort byts in mot ett svenskt körkort erhåller dock sökanden ett körkort som även kan användas som en identitetshandling.

Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden har även nämnt de nya rutinerna för utlämnande av körkort som ett problem. Tidigare gällde enligt ett avtal mellan Posten och Transportstyrelsen att Posten vanligen utförde en s.k. utökad identitetskontroll vid utlämning av körkort. Det innebar att personen som hämtade ut körkortet visade upp en identitetshandling och att särskilt utbildad personal vid Posten öppnade försändel-

15 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 166.

sen i närvaro av personen. Posten kontrollerade därefter att personen och fotot på körkortet var välliknande samt att namnteckningarna på körkortshandlingen och kvittensen stämde överens. Den utökade identitetskontrollen gjordes i cirka två tredjedelar av fallen. I övriga fall lämnades körkorten ut som rekommenderat brev efter vanlig kontroll av identiteten genom uppvisande av en identitetshandling. Det gällde de fall då körkortshavaren hade fotograferats digitalt på något av Trafikverkets förarprovskontor och i samband med det varit föremål för en identitetskontroll, dvs. i huvudsak i samband med att körkortet utfärdats efter godkänt förarprov. Körkort kunde hämtas ut vid något av Postens cirka 300 företagscenter. I samband med en omorganisation vid Posten upphörde möjligheten att hämta ut körkort vid företagscentren. Sedan 2014 lämnas körkort i stället ut av något av de cirka 1 500 postombuden. Körkort lämnas numera alltid ut som vanligt rekommenderat brev. De nya rutinerna innebär att kuvertet med det nya körkortet inte längre öppnas och att det inte görs någon jämförelse mellan fotografiet på det nya körkortet och den person som hämtar ut det. I samband med den nya rutinen för utlämnande utökade Transportstyrelsen kraven på obligatorisk identifiering och fotografering vid Trafikverkets förarprovskontor till att omfatta även utbyte och ersättande av ett utländskt körkort.16

Personlig inställelse för fotografering och identifiering är däremot inte ett krav vid förnyelse av körkort. När ett körkort ska förnyas skickar Transportstyrelsen en särskild ansökningsblankett som kallas för grundhandling till körkortshavaren, se avsnitt 4.5. En grundhandling skickas exempelvis ut om ett körkort har förlustanmälts. Det finns ingen begränsning av hur många förlustanmälningar som kan göras för en och samma person. Grundhandlingen skickas till den adress där körkortshavaren är folkbokförd. Ansökan ska vara egenhändigt undertecknad och åtföljas av ett välliknande fotografi av körkortshavaren. Genom att den som skickar in ansökan själv tillåts ta det fotografi som ska bifogas finns det en risk att personen på fotot är en annan än körkortshavaren. Transportstyrelsen gör visserligen en manuell jämförelse av det gamla och det nya fotot, men det finns dock en risk att ett foto på en person som liknar körkortshavaren ändå kommer att godtas vid kontrollen.

16Prop. 2013/14:64 s. 5 f., SOU 2017:37 s. 298 och Transportstyrelsens föreskrifter om ansökan om körkort på elektronisk väg (TSFS 2013:114).

Ytterligare ett problemområde som påtalats under utredningen är körkort som utfärdas för personer med samordningsnummer, dvs. personer som inte är eller har varit folkbokförda i Sverige. Anledningen är att den kontroll av en persons identitet som föregår tilldelningen av samordningsnumret inte alltid görs lika grundligt.

8.5. Antalet fysiska identitetshandlingar ska begränsas

Utredningens bedömning: Endast pass och statliga identitets-

kort, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, bör godtas som fysiska identitetshandlingar i situationer som kräver en säker identifiering.

8.5.1. Pass och statligt utfärdade identitetskort

Som vi konstaterat i avsnitt 8.4, är pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige de handlingar som har högst dokumentsäkerhet av de fem identitetshandlingar som i dag är allmänt accepterade som identitetshandlingar i Sverige. Det är också dessa handlingar som har varit föremål för minst antal förfalskningar.

För att pass och de statligt utfärdade id-korten ska utfärdas krävs att den sökande personligen inställer sig vid såväl ansökan som utlämnande och att fotografi tas på plats av utfärdaren. Genom att sådana krav uppställs kan en kontroll av sökandens identitet göras av utfärdarens personal och det kan säkerställas att fotografiet föreställer sökanden. Detta är omständigheter som höjer kvaliteten och säkerheten i utfärdandeprocessen.

Giltighetstiden för pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige är begränsad till fem år vilket innebär att innehavarens utseende inte hinner förändras i så stor utsträckning. Den femåriga giltighetstiden medför också att risken för att det samtidigt finns flera olika versioner av samma identitetshandling tillgängliga på marknaden minskar. Den korta giltighetstiden gör också att det finns goda förutsättningar för att handlingarna ska kunna innehålla de senaste säkerhetsdetaljerna vilket motverkar förfalskningar.

Även om pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige bedöms hålla hög säkerhet har dock andra mindre säkra identitetshandlingar del i utfärdandeprocessen och minskar därigenom säkerheten i utfärdandet. Anledningen är att de mindre säkra identitetshandlingarna accepteras när sökanden ska styrka sin identitet i samband med ansökan. Genom att begränsa antalet identitetshandlingar som accepteras i samband med utfärdande av pass och de statligt utfärdade id-korten förbättras därför säkerheten avseende de handlingarna.

Pass är internationellt sett det dokument som i störst utsträckning accepteras som identitetshandling. Passet är i första hand en resehandling och behövs vid resa in i och ut ur Sverige. Några synpunkter på att passet även accepteras som identitetshandling har inte framförts under utredningens gång.

Det nationella identitetskortet har införts i syfte att underlätta resandet inom EU, men fungerar också som ett id-kort. Några synpunkter på att detta kort accepteras som identitetshandling har inte heller framförts under utredningens gång.

Identitetskort för folkbokförda i Sverige har, även om det också kan utfärdas för svenska medborgare, införts i det huvudsakliga syftet att säkerställa att personer som inte är svenska medborgare men som är bosatta i Sverige ska ha möjlighet att få ett id-kort utfärdat. Avsaknad av id-kort innebär att dessa personer inte kan få tillgång till viktiga samhällsfunktioner såsom exempelvis möjligheten att öppna bankkonto, kontakt med sjukvård, apotek och post.

Vi anser mot denna bakgrund att pass, och de statligt utfärdade identitetskorten, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, liksom i dag, bör godtas i alla situationer som kräver säker identifiering. Dessa kort bör alltså även fortsättningsvis godtas när det gäller styrkande av identitet vid ansökan om en av dessa identitetshandlingar. I avsnitt 10.2.1 föreslår vi att regleringen avseende nationellt identitetskort och identitetskort för folkbokförda i Sverige ska sammanföras och att båda korten ska betecknas statligt identitetskort. Statligt identitetskort ska kunna utfärdas med eller utan funktion som resehandling. Vi kommer därför fortsättningsvis i betänkandet att med statligt identitetskort avse sistnämnda kort och inga andra kort som utfärdas av staten.

8.5.2. Körkort

Körkortet är den handling som flest personer i dag använder som identitetshandling i Sverige. Körkortet är dock i första hand en behörighetshandling. De regelverk som styr körkortet som behörighetshandling är därför inte anpassade till dess användning som identitetshandling. Som framgått av redogörelsen i avsnitt 8.4.2 är det förknippat med en rad problem att körkortet accepteras som identitetshandling. Vid bedömningen av om körkort fortsättningsvis bör godtas som identitetshandling måste dock dessa problem vägas mot den enskildes tillgång till en identitetshandling.

En stor anledning till problemen med körkortet är den långa giltighetstiden. Att körkortet är giltigt i tio år medför både att dokumentsäkerheten försämras och att identitetskontrollen försvåras. Eftersom körkortets giltighetstid styrs av regleringen i det tredje körkortsdirektivet är det i dagsläget inte möjligt att begränsa denna. EU-regleringen gör det också svårare att föra på ytterligare säkerhetshöjande detaljer på körkortet. Även bestämmelserna om utbyte av körkort utfärdade av andra EU-länder styrs av EU-regleringen. Det innebär alltså att det finns hinder mot att föreslå förändringar inom flera av de områden där det finns ett stort behov av att vidta åtgärder för att förbättra körkortets säkerhet.

Utöver de problemområden som har samband med de EU-rättsliga kraven har vi också funnit en rad andra omständigheter som talar emot att körkortet ska gälla som identitetshandling. Det gäller sättet för utlämnande av körkort, förnyelse av körkort utan personlig inställelse och hantering av samordningsnummer. Genom åtgärder såsom att förändra rutinerna för utlämnande, kräva personlig inställelse vid förnyelse av körkort, begränsa antalet nya körkort som kan utfärdas för samma person efter förlustanmälan och förbättra hanteringen av samordningsnummer skulle man i och för sig kunna komma till rätta med vissa av de problem som framkommit. Detta skulle emellertid kräva omfattande förändringar av både lagstiftningen och myndigheternas rutiner.

Oavsett om de åtgärder som är möjliga att vidta för att öka säkerheten genomförs kommer körkortet dock inte att kunna bli lika säkert som pass och statliga identitetskort, så länge det inte är möjligt att komma till rätta med de problem som hänger samman med

den långa giltighetstiden. Vi menar därför att de problem som framkommit med att godta körkortet som identitetshandling är av sådan tyngd att det på goda grunder kan ifrågasättas om körkortet uppfyller de krav som bör ställas på identitetshandlingar.

Som anges i kapitel 3 har antalet bedrägeribrott ökat kraftigt under de senaste åren vilket har påverkat stora delar av samhället. Identitetsmissbruk får bl.a. allvarliga konsekvenser för den enskilde som drabbas av en identitetskapning. Förutom det obehag det kan innebära för en enskild att någon annan använder sig av identiteten är det svårt att överblicka de olika åtgärder som behöver vidtas och tidskrävande att utföra dessa. När ett personnummer spärras för kreditupplysning medför det även att den enskilde själv inte kan genomföra kreditköp så länge spärren finns kvar. I det nämnda kapitlet framgår också att en stor andel av befolkningen, en fjärdedel av de tillfrågade i Brås nationella trygghetsundersökning, oroar sig för att bli utsatta för bedrägeri. Att motverka missbruket av identitetshandlingar genom att begränsa antalet handlingar som godtas är således inte bara till nytta för samhället i stort utan gagnar i allra högsta grad den enskildes säkerhet.

När det gäller de ekonomiska konsekvenserna av den identitetsrelaterade brottsligheten är det framför allt det privata näringslivet såsom handeln, bankerna och kreditföretagen som drabbas. Den brottslighet som är riktad mot välfärdssystemen drabbar staten men i förlängningen även allmänheten. Som anges i avsnitt 3.7 finns det inte någon beräkning av de totala ekonomiska konsekvenserna av bedrägeribrott som begås med hjälp av falska eller oriktiga identitetshandlingar. Med beaktande av antalet bedrägerier, de belopp som bedragarna har kommit över och det faktum att i vart fall vissa av de olika typerna av bedrägerier ofta görs med hjälp av identitetshandlingar som är falska eller tillhör någon annan kan det dock antas att det rör sig om mycket stora belopp. En begränsning av antalet godtagbara identitetshandlingar motverkar bedrägerier och kan således leda till att samhällets kostnader kopplade till sådan brottslighet minskar.

Det finns således starka skäl som talar för att körkortet inte ska accepteras som identitetshandling i situationer som kräver hög grad av säkerhet.

Det finns dock också omständigheter som talar för att körkortet även fortsättningsvis ska godtas som identitetshandling. Det främsta skälet är att det i dag finns drygt 6,5 miljoner körkortshavare varav merparten sannolikt även använder körkortet för att identifiera sig. Om körkortet inte längre godtas som identitetshandling kan det få till följd att många personer måste skaffa sig en godtagbar identitetshandling. Avgiften för de statliga identitetskorten är i dag 400 kronor. Eftersom id-korten behöver förnyas vart femte år innebär det en merkostnad om 80 kronor per år och person med dagens avgiftsnivå. Den kostnaden kan enligt vår uppfattning inte väga upp de nackdelar med körkortet som identitetshandling som framkommit.

Förutom den ökade kostnaden innebär de krav som ställs för utfärdande av statliga identitetskort att den enskilde måste inställa sig personligen vart femte år för att förnya sitt id-kort. Vi menar dock att kravet på personlig inställelse är av central betydelse för säkerheten i utfärdandeprocessen. Att sökanden inställer sig personligen möjliggör för utfärdaren att göra en noggrann kontroll av identiteten och förhindrar att identitetshandlingar utfärdas på felaktiga grunder. Fördelarna med den personliga inställelsen väger enligt vår uppfattning klart över nackdelarna för den enskilde. Det är dessutom möjligt för svenska medborgare att ansöka om ett id-kort samtidigt som pass. Drygt 1,5 miljoner personer ansöker om pass varje år. Över en femårsperiod hanterar alltså Polismyndigheten över 7,5 miljoner ansökningar. Sifforna tyder på att en stor del av befolkningen förnyar sitt pass regelbundet vart femte år. Om ansökan om id-kort görs samtidigt kommer dessa personer alltså inte att behöva inställa sig fler gånger än de gör i dag. För personer som inte kan ta sig till den utfärdande myndigheten på grund av sjukdom, funktionsnedsättning eller hög ålder föreslår vi i avsnitt 10.2.7 en särskild reglering.

Ytterligare en aspekt som bör beaktas är tillgängligheten för den enskilde. Körkort kan i dag hämtas ut på något av Postnords cirka 1 500 utlämningsställen. Fram till år 2014 kunde körkort dock endast hämtas ut på cirka 300 platser i landet. Hos Skatteverket kan ansökan om id-kort göras på 27 platser och utlämning ske på ytterligare 18 platser. Polismyndigheten har omkring 110 platser där ansökan om pass och id-kort kan göras och ytterligare cirka 40 utlämningsställen. Tillgängligheten för den enskilde blir alltså försämrad om körkortet inte kan användas som id-kort. Det finns dock som

anges ovan skäl att ifrågasätta om dagens utlämningsrutiner för körkort är tillräckligt säkra. Även den omständigheten att antalet utlämningsställen har utökats från cirka 300 till cirka 1 500 kan i sig antas ha medfört en mer osäker utlämnandeprocess. Personlig inställelse vid en myndighet som gör en kontroll i samband med att identitetshandlingen lämnas ut utgör enligt vår mening en viktig åtgärd för att säkerställa att handlingen lämnas ut till rätt person. Fördelarna med denna ordning väger därför enligt vår uppfattning klart över nackdelarna för den enskilde. Vi föreslår dessutom i avsnitt 10.2.7 att formerna för utlämnande ska ses över i syfte att öka tillgängligheten med bibehållen säkerhet.

I detta sammanhang kan nämnas att det inte kan uteslutas att det i framtiden inte längre kommer att krävas ett fysiskt körkort för att visa behörigheten att köra bil. Vissa länder inom EU arbetar för att ta fram ett digitalt körkort som kan finnas i en mobiltelefon. De digitala körkorten kommer sannolikt under ett antal år att utgöra ett komplement till de fysiska korten eftersom bl.a. EU-regleringen ställer krav på körkortets utformning, men på sikt är avsikten att det fysiska körkortet inte ska behövas. Enligt gällande regelverk kan dock inte digitala körkort användas i internationell vägtrafik. Finland, som är det land som kommit längst, har nyligen infört ett mobilt körkort. Det möjliggör för förare att visa sin rätt att köra bil även digitalt. Det mobila körkortet kan laddas ner i mobila enheter som en frivillig och avgiftsfri tilläggstjänst som kompletterar det traditionella körkortet.17 Även i Sverige pågår vid Transportstyrelsen en förstudie som syftar till att undersöka möjligheten att införa en digital lösning som ska kunna erbjudas som ett komplement till det fysiska körkortet inom Sverige. Dessutom pågår ett internationellt standardiseringsarbete avseende hur ett mobilt körkort ska se ut och fungera för att kunna användas globalt.

Ett annat alternativ som undersöks är att helt avskaffa både fysiska och digitala körkort. För att avgöra om någon har behörighet att köra eller inte kan polisen göra en kontroll direkt mot körkortsregistret. Bilföraren skulle då enbart behöva identifiera sig med en giltig identitetshandling.18 Om sådana lösningar kommer till stånd kommer konsekvenserna för den enskilde av att körkortet inte längre

17 valtioneuvosto.fi/sv/artikeln/-/asset_publisher/mobiiliajokortti-perinteisen-ajokortinrinnal-2. Hämtad 2019-01-25. 18 Slingrig väg till digitalt körkort, Dagens nyheter 2018-10-06.

godtas som identitetshandling att blir mindre eftersom denne då inte behöver ha med sig två fysiska kort. Att inte behöva bära med sig två handlingar innebär även fördelar ur ett säkerhetsperspektiv.

Redan år 1970 gjorde Körkortsutredningen den bedömningen att det principiellt mest riktiga var att körkortet endast skulle betraktas som ett behörighetsbevis och att identifiering skulle göras med en särskild identitetshandling. Eftersom det vid den tiden inte fanns någon allmän identitetshandling fanns det dock inte något annat alternativ än att utforma körkortet på ett sätt som gjorde att det även kunde godtas som identitetshandling.19 I dag är situationen en annan. Det finns redan id-kort som utfärdas av statliga myndigheter och med våra förslag kommer det framöver att finnas endast ett statligt identitetskort som utfärdas efter en mycket säker process och som är tillgängligt för både svenska medborgare och personer som är folkbokförda i landet. De skäl som låg bakom ställningstagandet att körkortets status som identitetshandling skulle upprätthållas är därför inte längre aktuella.

Mot bakgrund av vad som framkommit gör vi bedömningen att körkort inte längre bör betraktas som en identitetshandling. Enligt vår bedömning uppfyller det inte de krav som vi menar bör ställas på identitetshandlingar. Körkortet bör därför endast betraktas som en handling som utvisar behörigheten att köra ett körkortspliktigt fordon och inte godtas som identitetshandling. De nackdelar det kan innebära för den enskilde uppväger enligt vår mening inte de omfattande fördelar en sådan ordning medför.

8.5.3. SIS-märkt id-kort

Användningen av de SIS-märkta id-korten är inte lika utbredd som användningen av de andra identitetshandlingar som accepteras i dag. I sammanhanget kan nämnas att SIS-märkta id-kort enligt uppgift från Skatteverket användes för identifiering vid cirka 1 800 av de cirka 162 000 ansökningar om id-kort som gjordes under 2017, vilket motsvarar 1 procent. Motsvarande siffra för intygsgivarna är 600 av 15 000 personer eller 4 procent. Användningen av de SIS-märkta id-korten har minskat de senaste åren. Ett par av de större bankerna har dessutom nyligen upphört med att utfärda SIS-märkta id-kort.

19SOU 1970:26 s. 29.

Invändningarna mot de SIS-märkta id-korten är inte lika omfattande som beträffande körkorten. En förklaring kan vara att korten inte används lika ofta. Ju färre identitetshandlingar som accepteras desto lättare blir det dock att göra en korrekt identitetskontroll. De ovan beskrivna konsekvenserna av att så många identitetshandlingar godtas utgör därför skäl för att inte heller acceptera de SIS-märkta id-korten.

Av uppgifterna från NFC har dessutom framkommit att det förekommer en hel del förfalskningar även beträffande de SIS-märkta id-korten. Över hälften av de förfalskade identitetshandlingar som har undersökts av NFC har utgjorts av SIS-märkta id-kort. Det är en hög andel, särskilt mot bakgrund av att användningen av dessa kort inte är så utbredd.

Ytterligare en anledning att inte acceptera de SIS-märkta id-korten är att goda skäl talar för att identitetshandlingar som ska godtas i alla sammanhang bör utfärdas av staten. De SIS-märkta id-korten utfärdas av privata aktörer och staten har begränsade möjligheter att påverka processen.

Det har inte heller framkommit att det finns något behov av dessa kort för landets invånare som inte tillgodoses genom möjligheten att få ett statligt identitetskort utfärdat. De tydligt påvisbara vinster som en begränsning av antalet identitetshandlingar innebär för bekämpningen av de identitetsrelaterade bedrägerierna talar enligt vår uppfattning starkt för att de SIS-märkta id-korten inte bör godtas som identitetshandlingar i situationer som kräver en säker identifiering.

De konsekvenser det kan komma att få för den enskilde att SISmärkta id-kort inte accepteras i alla situationer är inte lika stora som när det gäller körkort eftersom användningen av dessa kort inte är lika spridd. Det rör sig dessutom endast om konsekvenser under en övergångsperiod eftersom den enskilde kan ersätta ett SIS-märkt idkort med ett annat id-kort, till skillnad från vad som gäller beträffande körkortet. Kostnaden för att införskaffa ett statligt identitetskort är ungefär densamma som för de SIS-märkta id-korten. Det förekommer dock att banker erbjuder exempelvis yngre personer SIS-märkta id-kort utan kostnad. För dessa personer rör det sig alltså om en extra kostnad att skaffa ett annat id-kort. På samma sätt som för de statligt utfärdade id-korten krävs personlig inställelse vart femte år för att förnya det SIS-märkta id-kortet. Konsekvenserna för den enskilde bedöms därmed i de flesta fall vara marginella.

Att SIS-märkta id-kort inte godtas bedöms, liksom när det gäller körkorten, vara en viktig åtgärd för att motverka den ökande identitetsrelaterade bedrägeribrottsligheten. Fördelarna med en sådan begränsning överstiger de få nackdelar det innebär för den enskilde. Vi är därför av uppfattningen att SIS-märkta id-kort inte längre bör vara godtagbara som identitetshandlingar i situationer där det finns behov av en säker identifiering.

8.5.4. Tillgång till identitetshandlingar för personer som vistas i Sverige utan att vara folkbokförda

Som vi ovan har konstaterat kommer svenska medborgare och personer som är folkbokförda i Sverige som i dag använder körkort eller SIS-märkt id-kort att kunna ansöka om ett statligt identitetskort. Körkort och SIS-märkta id-kort kan emellertid utfärdas även till personer som vistas i Sverige men inte är folkbokförda här. Det kan vara fråga om asylsökande eller personer som vistas i Sverige för att arbeta här under en kortare period.

För körkort krävs enligt 3 kap. 1 § körkortslagen permanent bosättning eller studier i Sverige sedan minst sex månader. Med permanent bosättning avses enligt 1 kap. 3 § körkortslagen som huvudregel bosättning under minst 185 dagar varje kalenderår till följd av personlig och yrkesmässig anknytning. Körkort utfärdas med samordningsnummer i stället för personnummer för personer som inte är folkbokförda.

För att få ett SIS-märkt id-kort krävs enligt SBC 151-U att personen stadigvarande vistas i Sverige. Vad som avses med stadigvarande vistelse anges inte i standarden. Som en jämförelse kan nämnas att motsvarande begrepp i 3 kap. 3 § inkomstskattelagen (1999:1229) enligt praxis i princip har ansetts innebära en sammanhängande tidsperiod på minst sex månader utan annat än tillfälliga avbrott.20 Om en person inte är folkbokförd kan ett SIS-märkt id-kort utfärdas antingen med samordningsnummer eller födelsetid.

Av uppgifter från Transportstyrelsen framgår att det under år 2017 utfärdades 34 körkort i samband med förarprov för behörighet B där körkortshavaren hade samordningsnummer. Det kan också finnas körkort som utfärdats med samordningsnummer efter att ett utländskt

20Prop. 2004/05:19 s. 30.

körkort bytts ut. Det är enligt vår uppfattning svårt att veta om några av dessa personer har ansökt om körkort enbart i syfte att skaffa en identitetshandling. Det får antas att de flesta av de personer det är fråga om tar körkort eller byter ut sitt utländska körkort för att de har behov av ett bevis för sin förarbehörighet.

För att bli folkbokförd, och därmed få möjlighet att ansöka om ett statligt identitetskort krävs enligt 3 § folkbokföringslagen att en person är bosatt i Sverige. Med det avses att personen kan antas komma att regelmässigt tillbringa sin dygnsvila i landet under minst ett år. När det exempelvis gäller personer som vistas i landet för att arbeta under en kortare tid och som inte har för avsikt att vistas i landet under minst ett år skulle dessa, under förutsättning att de uppfyller kravet på permanent bosättning eller stadigvarande vistelse, kunna få ett körkort eller ett SIS-märkt id-kort utfärdat men inte ett statligt identitetskort. Personerna måste dock även uppfylla övriga krav som ställs för att dessa handlingar ska utfärdas. Sannolikt rör det sig därför inte om särskilt många personer vilket också siffrorna från Transportstyrelsen indikerar.

Id-kortsutredningen konstaterade i sitt betänkande att statens ansvar för att tillhandahålla en allmänt accepterad identitetshandling borde omfatta personer som är folkbokförda i Sverige. För att en utländsk medborgare ska bli folkbokförd i Sverige måste denne normalt antingen ha uppehållsrätt eller uppehållstillstånd. Utredningen menade att statens ansvar däremot inte borde omfatta en asylsökande eftersom det, så länge något uppehållstillstånd inte beviljats, inte med någon säkerhet går att säga om denne i framtiden kommer att ingå i det svenska samhället. Dessutom konstaterades att Migrationsverkets identitetsutredning pågår så länge personen är asylsökande. Utredningen var av uppfattningen att LMA-kortet i det skedet utgör en adekvat handling som får anses vara tillräcklig. Id-kortsutredningen ansåg inte heller att statens ansvar skulle omfatta personer som har samordningsnummer och som bor och arbetar i Sverige, exempelvis personer som arbetar i landet under kortare tid än ett år samt diplomater m.fl., jämför 5 § folkbokföringsförordningen (1991:749).21

21SOU 2007:100 s. 78 ff.

Vi delar Id-kortsutredningens uppfattning att, förutom svenska medborgare, endast personer som har en sådan anknytning till Sverige att de är folkbokförda, bör kunna erhålla en statlig fysisk identitetshandling. När det gäller personer som bor och arbetar här i landet under kortare tid är det rimligt att anta att de har tillräckligt goda möjligheter att identifiera sig när det behövs och för asylsökande finns LMA-kortet. De eventuella konsekvenser det kan få för dessa personer att körkort och SIS-märkt id-kort inte längre godtas som identitetshandlingar i alla sammanhang utgör därför enligt vår mening inte skäl mot att införa en sådan ordning.

8.5.5. Sammanfattande bedömning

Mot bakgrund av vad vi redogjort för ovan gör vi den bedömningen att pass och statligt identitetskort, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, uppfyller de krav som bör ställas på identitetshandlingar. Dessa handlingar täcker också enligt vår bedömning de behov av identitetshandlingar som finns hos landets medborgare och invånare. Vi menar därför att endast pass och statligt identitetskort (de statliga fysiska identitetshandlingarna) bör godtas som fysiska identitetshandlingar i situationer som kräver säkerhet vid identifieringen.

8.6. På vilket sätt ska begränsningen av antalet fysiska identitetshandlingar göras?

Utredningens förslag: Statligt identitetskort och pass ska vara de

enda fysiska identitetshandlingar som staten utfärdar (statliga fysiska identitetshandlingar).

En statlig fysisk identitetshandling ska krävas för att styrka identiteten i samband med

  • utfärdande av pass,
  • utfärdande av statligt identitetskort, samt
  • etablering av affärsförbindelser och utförande av transaktioner som omfattas av regleringen om åtgärder mot penningtvätt och finansiering av terrorism.

8.6.1. Användningen av andra fysiska identitetshandlingar än de statliga ska begränsas

Vi har i avsnitt 8.5 gjort bedömningen att endast pass och statliga identitetskort, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, bör vara godtagbara som identitetshandlingar i sammanhang där det krävs en säker identifiering. Vi har också bedömt att körkort inte bör godtas som en identitetshandling utan endast som en handling som utvisar behörigheten att köra ett körkortspliktigt fordon.

Att körkortet är en behörighetshandling följer redan av 1 kap. 1 § första stycket 2 körkortslagen som anger att lagen bl.a. innehåller bestämmelser om handlingar som ger behörighet att köra körkortspliktiga fordon, t.ex. körkort. För att förtydliga att avsikten inte är att körkortet dessutom ska godtas som en identitetshandling bör det i den lag om statliga identitetshandlingar som vi föreslår i avsnitt 10.2.2 i en inledande bestämmelse slås fast att det statliga identitetskortet tillsammans med pass är de enda fysiska identitetshandlingar som staten utfärdar (statliga fysiska identitetshandlingar). Motsatsvis innebär bestämmelsen alltså att körkortet inte är en statlig identitetshandling. Att avsikten inte är att körkortet ska betraktas som en identitetshandling innebär att staten inte tar ansvar för att körkortet når upp till den säkerhetsnivå som gäller för de identitetshandlingar som staten utfärdar.

Utöver de två fysiska identitetshandlingarna föreslår vi också i avsnitt 12.3 att staten ska utfärda en statlig e-legitimation. De fysiska identitetshandlingarna och e-legitimationen ska tillsammans utgöra de identitetshandlingar som staten utfärdar.

Att endast de statliga fysiska identitetshandlingarna bör vara godtagbara i alla sammanhang, innebär dock inte att andra handlingar aldrig ska kunna godtas. I många vardagliga situationer krävs inte sådan säkerhet vid identifieringen att det är motiverat att uppställa ett krav på att en statlig fysisk identitetshandling ska användas. Det är därför inte rimligt att kräva att identifiering ska ske med dessa handlingar i alla tänkbara situationer. Exempelvis kan ett kundkort vara tillräckligt för att identifiera en person vid kontakt med det företag som utfärdat det. Vi är därför av uppfattningen att det inte är en lämplig ordning att införa en reglering som innebär att andra fysiska identitetshandlingar än de statliga inte får utfärdas. I stället bör

användningen av mindre säkra handlingar begränsas genom att det uppställs krav på användande av de statliga fysiska identitetshandlingarna i situationer där det är särskilt viktigt med en säker identifiering.

Det finns olika sätt att åstadkomma en begränsning som innebär att endast statliga fysiska identitetshandlingar godtas i sådana situationer. I dag finns det som framgått inte någon reglering som anger vilka identitetshandlingar som är allmänt accepterade. Förutom inom de områden det finns myndighetsföreskrifter som anger vilka handlingar som godtas för identifiering är det upp till den som identitetshandlingen visas upp för att bedöma om handlingen kan accepteras. Ett alternativ är att även i fortsättningen låta denna ordning råda. Myndigheterna skulle då kunna ändra sina föreskrifter och branschen sina rekommendationer.

För att våra förslag ska få tydligare genomslag i arbetet med att motverka den identitetsrelaterade brottsligheten och för att åstadkomma den förändring som behövs, krävs det dock enligt vår bedömning viss reglering i lag eller förordning. Vi har övervägt olika alternativ för hur det rent lagstiftningsmässigt bör genomföras och stannat för att föreslå att bestämmelser om vilka handlingar som ska godtas för att styrka identiteten ska införas i de författningar som reglerar de förfaranden där vi menar att det är av störst vikt att säkra identifieringsprocessen.

Vi anser att detta är en bättre ordning än att införa en mer sammanhållen reglering av handlingarna som pekar ut vilka identitetshandlingar som ska vara allmänt accepterade och anger i vilka situationer dessa handlingar ska användas. Den ordning vi föreslår ligger närmast vad som gäller i dag med myndighetsföreskrifter för vissa specifika områden. Det är en flexibel lösning där sättet att styrka identiteten kan anpassas efter den situation som är aktuell. Även om endast pass och statligt identitetskort godtas kommer det nämligen även fortsatt att finnas behov av att identifiera sig på andra sätt i vissa situationer och detta kommer att kräva författningsstöd. En sådan lösning möjliggör också att krav på styrkande av identitet genom uppvisande av pass och statligt identitetskort läggs till i andra författningar efterhand som behov uppstår. Vidare underlättar det för den som ska tillämpa bestämmelserna om regleringen finns i den författning som i övrigt reglerar den situation i vilken identiteten ska styrkas.

8.6.2. Områden där krav på identifiering med statliga fysiska identitetshandlingar föreslås

Utfärdande av statliga fysiska identitetshandlingar

Det allra mest centrala området att överväga en begränsning som innebär att endast statliga fysiska identitetshandlingar ska användas för identifiering är vid utfärdande av pass och statligt identitetskort. Om handlingar som bedöms mindre säkra godtas vid utfärdande av pass och statligt identitetskort minskar säkerheten i utfärdandeprocessen även för de statliga fysiska identitetshandlingarna. Genom att färre och säkrare handlingar godtas i utfärdandeprocessen blir den identitetskontroll som görs enklare och sannolikheten för att falska och felaktiga handlingar upptäcks större. Identifieringen i samband med utfärdandet av de statliga fysiska identitetshandlingarna blir därmed säkrare och möjligheterna att få tillgång till en felaktig identitetshandling som kan användas i brottsligt syfte minskar. Genom att säkra utfärdandet av de statliga fysiska identitetshandlingarna blir också efterföljande identifiering med handlingarna mer tillförlitlig. Det framstår därför som klart att det som huvudregel bör krävas identifiering med en statlig fysisk identitetshandling vid ansökan om pass och statligt identitetskort, dvs. de kort som i dag betecknas nationellt identitetskort och identitetskort för folkbokförda i Sverige.

Vi föreslår i avsnitt 12.4 att det ska finnas en statlig e-legitimation på det statliga identitetskortet. E-legitimation kan inte bara användas vid identifiering på distans utan också i situationer då innehavaren är personligen närvarande. På grund av våra förslag om kontroll av fingeravtryck och ansiktsbild i avsnitt 11.6.1 ser vi dock inte något behov av att dessutom föreskriva krav på att den statliga elegitimationen ska användas för att styrka identiteten i samband med utfärdande av de statliga fysiska identitetshandlingarna.

Det kommer dock att finnas personer som ansöker om pass och statligt identitetskort som inte redan har en statlig fysisk identitetshandling. Det kan exempelvis vara fråga om ett barn som ska skaffa sin första identitetshandling eller en utländsk medborgare som fått uppehållstillstånd och för första gången ska ansöka om en svensk identitetshandling. Det kommer därför även framöver att finnas ett behov av att godta andra sätt att identifiera sig. Vi återkommer till denna fråga i avsnitt 10.2.8. Som huvudregel föreslår vi dock att

identifiering med pass eller statligt identitetskort ska krävas vid ansökan om pass och statligt identitetskort. Bestämmelser om detta bör införas i pass- och id-kortslagstiftningen.

Affärsförbindelser och transaktioner som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism

Av den beskrivning av bedrägeribrottsligheten som finns i kapitel 3 framgår att falska eller felaktiga identitetshandlingar framför allt används i samband med kreditbedrägerier, dvs. när någon tar lån eller genomför ett köp på kredit i någon annans namn. De verksamheter som är utsatta för dessa typer av bedrägerier är framför allt kreditinstituten och handeln.

För banker och andra kreditinstitut finns regler om kundkännedom och identitetskontroll i lagen om åtgärder mot penningtvätt och finansiering av terrorism och de föreskrifter som är meddelade med stöd av den lagen. Lagstiftningen omfattar inte bara kreditinstitut utan även ett stort antal andra verksamheter inom flera olika delar av samhället. Av 1 kap. 2 § lagen om åtgärder mot penningtvätt och finansiering av terrorism framgår att lagen även gäller för exempelvis vissa livförsäkringsrörelser, fastighetsmäklare, spelbolag, pantbanker och revisorer. Även handlare och advokater omfattas i vissa fall.

I 3 kap. lagen om åtgärder mot penningtvätt och finansiering av terrorism uppställs krav på att en verksamhetsutövare som omfattas av lagstiftningen måste ha tillräcklig kundkännedom för att kunna hantera risken för penningtvätt och finansiering av terrorism och kunna övervaka och bedöma kundens aktiviteter. Bestämmelserna i lagen gäller endast i vissa situationer. Verksamhetsutövaren måste bl.a. ha kundkännedom för att få etablera och upprätthålla en affärsförbindelse. Detsamma gäller vid utförandet av en enstaka transaktion under förutsättning att transaktionen uppgår till ett visst belopp som är olika beroende på vilken situation det rör sig om. Oavsett vilket belopp en transaktion uppgår till ska åtgärder för kundkännedom vidtas om verksamhetsutövaren inser eller borde inse att den har samband med andra transaktioner som tillsammans uppgår till det föreskrivna beloppet.

En av åtgärderna som ska vidtas för kundkännedom är identifiering av kunden. En verksamhetsutövare ska enligt 3 kap. 7 § identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden. I dag finns myndighetsföreskrifter för de flesta av de områden som omfattas av lagstiftningen. Föreskrifterna anger vilka identitetshandlingar som krävs i samband med den identitetskontroll som ska göras som ett led i processen att skaffa sig kundkännedom.

Av olika bestämmelser i 3 kap. följer att de åtgärder som krävs för att få kundkännedom kan variera med hänsyn till kundens riskprofil och övriga omständigheter. Om risken för penningtvätt eller finansiering av terrorism bedöms som låg får förenklade åtgärder vidtas. Identitetskontrollen kan då vara av mer begränsad omfattning än vad som anges i 3 kap. 7 §. Är risken hög ska i stället mer omfattande kontroller göras.

Vi menar att det är lämpligt att i normalfallet kräva identifiering med pass eller statligt identitetskort i samband med den identitetskontroll som ska göras av en fysisk person. I de fall personen vars identitet ska kontrolleras är personligen närvarande bör det därför krävas att identiteten styrks med en statlig fysisk identitetshandling om personen uppfyller villkoren för att få en sådan handling.

Den statliga e-legitimation vi i avsnitt 12.4 föreslår ska finnas på det statliga identitetskortet skulle dock också kunna användas. Eftersom den utfärdas på högsta tillitsnivå efter samma kontroller som de statliga fysiska identitetshandlingarna håller den en mycket hög säkerhetsnivå. Vi kan därför inte se något hinder mot att den används för identifiering som sker vid personlig närvaro om verksamhetsutövaren bedömer att det är lämpligt och har de tekniska förutsättningarna för att göra en sådan kontroll, se avsnitt 13.4.

Har en svensk medborgare eller en person som är folkbokförd i Sverige inte en statlig identitetshandling bör han eller hon i stället ansöka om en sådan för att kunna identifiera sig hos banken eller hos någon annan av de verksamhetsutövare som omfattas av lagstiftningen. En bestämmelse bör därför införas som innebär att en fysisk person som är svensk medborgare eller folkbokförd i landet och som

är personligen närvarande ska styrka sin identitet med pass, statligt identitetskort eller, om verksamhetsutövaren bedömer att det är lämpligt, statlig e-legitimation. På samma sätt som i dag bör dock förenklade kontroller kunna vidtas om risken för penningtvätt eller finansiering av terrorism bedöms vara låg. Någon ändring när det gäller den riskbedömning som ska göras – och som kan resultera i att de åtgärder som krävs för att få kundkännedom inte alltid är lika omfattande – är alltså inte avsedd.

Även affärsförbindelser och transaktioner som utförs av personer som varken är medborgare eller folkbokförda i Sverige kan omfattas av lagstiftningen. Det kan vidare i vissa situationer vara lämpligt att godta elektronisk identifiering på distans, t.ex. med hjälp av den statliga e-legitimation som vi föreslår i avsnitt 12.3. Det kommer således även framöver att finnas ett behov av att möjliggöra andra sätt att identifiera sig. I de myndighetsföreskrifter som gäller på området i dag finns bestämmelser som reglerar vilka andra identifieringssätt som godtas. Det rör sig bl.a. om identifiering genom utländska identitetshandlingar eller kontroll av andra tillförlitliga dokument. I vissa fall kan elektronisk identifiering göras. Föreskrifter som avser personer som inte uppfyller kraven för att få en statlig fysisk identitetshandling bör även fortsättningsvis kunna meddelas av myndigheterna. Detsamma gäller föreskrifter som tillåter elektronisk identifiering på distans. Lagstiftningen omfattar ett antal skilda områden och det är därför inte säkert att regleringen bör se likadan ut inom alla områden. Regeringen eller den myndighet regeringen bestämmer bör därför ha samma möjlighet som i dag att meddela föreskrifter om åtgärder för identitetskontroll i andra situationer än när kontrollen avser en fysisk person som är svensk medborgare eller folkbokförd i landet och som är personligen närvarande. Det är dock viktigt att i samband med framtagande av sådana föreskrifter beakta att de identifieringssätt som föreskrifterna medger håller en hög nivå av säkerhet. Exempelvis bör de utländska handlingar som godtas uppnå en tillräckligt hög säkerhetsnivå.

8.6.3. Områden där vi inte föreslår krav på identifiering med statliga fysiska identitetshandlingar

Utfärdande av körkort

Enligt vår bedömning ska körkort alltså inte betraktas som en statlig identitetshandling. Ett skäl som ändå talar för att överväga att införa ett krav i lag eller förordning på att använda en statlig fysisk identitetshandling i samband med att identiteten ska styrkas i körkortsprocessen är att körkortet, i vart fall under en tid, trots vår bedömning kan komma att användas som en identitetshandling i olika situationer. Syftet med våra förslag är dock att det statliga identitetskortet på sikt ska få en utbredd användning. I andra delar av betänkandet lämnar vi förslag som syftar till att skapa incitament för en ökad användning av det kortet. Behovet av att i lag eller förordning säkra upp identifieringen i samband med utfärdande av körkort kan därför inte anses vara lika påtagligt som när det gäller de statliga fysiska identitetshandlingarna, i vart fall inte av skäl som har att göra med att minska bedrägeribrottsligheten. Vi föreslår därför inte att ett krav på identifiering med en statlig fysisk identitetshandling vid utfärdande av körkort ska införas i lag eller förordning.

Transportstyrelsen har dock angett att det ur trafiksäkerhetssynpunkt kan vara befogat att säkerställa identifieringen vid utfärdande av körkort. Det finns därför all anledning för Transporstyrelsen att, mot bakgrund av vår bedömning att körkortet inte ska utgöra en statlig fysisk identitetshandling, överväga att i föreskrift uppställa krav på att identifiering ska göras med pass eller statligt identitetskort. Eftersom avsikten är att körkortet inte ska godtas som identitetshandling bör den enligt vår uppfattning inte godtas vid identitetskontroller som görs inom ramen för statlig verksamhet i situationer där det är viktigt med en säker identifiering.

Handel och utlämningsställen

Som framgått i avsnitt 3.6 drabbas även handeln av bedrägeribrottsligheten som begås med hjälp av falska eller felaktiga identitetshandlingar. Identitetshandlingar används även vid uthämtande av varor hos postutlämningsställen i samband med kortbedrägerier.

Handeln omfattas till viss del av lagen om åtgärder mot penningtvätt och finansiering av terrorism. I enlighet med 1 kap. 2 § första stycket 15 lagen om åtgärder mot penningtvätt och finansiering av terrorism omfattas dock handeln endast om det kan antas att det i verksamheten eller en del av verksamheten genomförs eller kommer att genomföras transaktioner som innebär att utbetalt eller mottaget belopp uppgår till motsvarande totalt 5 000 euro eller mer i kontanter. Verksamhet som inte bedriver kontant handel omfattas alltså inte. Inte heller verksamhet avseende utlämnande av paket och andra försändelser omfattas av penningtvättslagstiftningen.

Vi menar att det är viktigt att det införs begränsningar avseende vilka identitetshandlingar som accepteras även vid de identitetskontroller som görs inom handeln och när beställda varor lämnas ut. Den omständigheten att körkortet enligt vårt förslag inte ska vara en statlig fysisk identitetshandling gör att det inte heller bör accepteras som ett bevis på någons identitet i dessa sammanhang. Det bedöms dock i dagsläget inte lämpligt att utanför det område som regleras genom penningtvättslagstiftningen införa reglering som gäller för privata näringsidkare. Detta tillsammans med att vi inte har tillräckligt underlag för att bedöma hur omfattande användningen av falska identitetshandlingar är i dessa sammanhang gör att vi inte föreslår någon sådan reglering. Vi menar också att det är en fördel om initiativet kommer från branschen själv. Om verksamheterna själva får inflytande över vilka rutiner som ska införas ökar förutsättningarna för att de blir väl avpassade utifrån respektive bransch. Branschen torde tjäna på att införa riktlinjer som innebär att identifiering ska ske med de statliga fysiska identitetshandlingarna. Det inte bara motverkar bedrägerier utan underlättar också kontrollen av handlingarna. Vi lämnar också i avsnitt 12.4 ett förslag om att en statlig e-legitimation ska finnas på det statliga identitetskortet. Därigenom öppnar vi också upp för att e-legitimationen kan användas som enkel och effektiv identifiering i andra fall än på distans, t.ex. för kontroll med pinkod i kortläsare vid utlämnande av paket över disk. Även detta menar vi bör utgöra ett incitament för säkrare kontroller. Vi utgår därför ifrån att branschen själva tar fram nya rekommendationer för hur identitetskontroll ska gå till och vilka handlingar som ska godtas. Skulle det visa sig att våra förslag inte får genomslag på dessa områden kan det emellertid bli aktuellt att på nytt överväga om en begränsning bör införas i författning.

Välfärdssystemen

Även välfärdssystemen utsätts, som framgår av avsnitt 3.4, till viss del av identitetsrelaterad brottslighet. Det är dock svårt att bedöma i hur stor omfattning falska identitetshandlingar används i dessa sammanhang. Det är sannolikt vanligare att oriktiga uppgifter om identiteter som registrerats i folkbokföringsdatabasen på grundval av förfalskade eller manipulerade identitetshandlingar därefter används för att begå brott mot välfärdssystemen än att sådana handlingar används hos de utbetalande myndigheterna.

Vid ansökan om ersättning från de olika myndigheter som ingår i välfärdssystemet uppställs nämligen som regel inte krav på att sökanden ska inställa sig personligen och styrka sin identitet. När det exempelvis gäller socialförsäkringsförmånerna ska en skriftlig ansökan lämnas in. Ansökan ska vara egenhändigt undertecknad och sökanden ska lämna uppgifterna på heder och samvete, se 110 kap. 4 § socialförsäkringsbalken. Sökanden kan också i många fall använda självbetjäningstjänster via internet där en elektronisk underskrift görs, se 111 kap. socialförsäkringsbalken. Att uppställa krav på identifiering genom uppvisande av en statlig fysisk identitetshandling i samband med ansökan om sådana förmåner skulle medföra att ett personligt besök vid myndigheten skulle krävas i samband med varje ansökan om en förmån. Det skulle inte vara hanterbart för myndigheterna att införa ett sådant krav. Detta tillsammans med att det inte framkommit uppgifter som tyder på att de falska handlingarna används i någon större omfattning vid de utbetalande myndigheterna gör att vi inte lämnar något sådant förslag.

I de sammanhang en riktig identitetskontroll behöver göras av de utbetalande myndigheterna utgår vi från att dessa kommer att införa rutiner som stämmer överens med de förslag vi lämnar och de bedömningar vi gör. Mot bakgrund av vår bedömning att körkort inte ska anses vara en statlig identitetshandling bör dessa således inte accepteras av de utbetalande myndigheterna. Personer som uppfyller villkoren för att få en statlig fysisk identitetshandling bör alltså som huvudregel styrka sin identitet med en sådan handling.

Andra områden

Förutom de områden där det i dag uppställs krav på visst identifieringssätt i myndighetsföreskrifter finns det också annan lagstiftning som innehåller krav på att identiteten ska styrkas utan att det anges vilka handlingar som godtas. Så är t.ex. fallet i lagen om handel med begagnade varor, pantbankslagen och kasinolagen (1999:355). Även lagen om svenskt medborgarskap och vallagen innehåller sådana bestämmelser. Det finns också ett antal andra författningar som innehåller krav på identifiering.

Dessa områden har inte pekats ut som särskilt utsatta när det gäller bedrägeribrott. Att införa krav på identifiering genom uppvisande av en statlig fysisk identitetshandling på områden där det inte i dag finns någon reglering om hur identitetskontrollen ska gå till skulle dessutom innebära att konsekvenserna på varje område behöver övervägas mer noggrant än vad det finns utrymme till inom ramen för denna utredning. Det rör sig om vitt skilda områden vilket innebär att olika överväganden behöver göras för varje område. Vi lämnar därför inte några förslag i dessa delar.

Vi utgår dock från att de myndigheter som inom olika områden antingen själv gör identitetskontroller eller har rätt att meddela föreskrifter om hur sådana kontroller ska gå till inför krav som stämmer överens med de förslag vi lämnar och de bedömningar vi gör, i de fall det bedöms nödvändigt av säkerhetsskäl. Det kan också finnas skäl för regeringen att inom vissa mer centrala områden ta initiativ till sådan reglering. Att införa krav på identifiering med statliga fysiska identitetshandlingar även på andra områden än de som har ett direkt samband med att motverka bedrägeribrottslighet kan dessutom få den effekten att genomslaget av vårt förslag om att endast pass och statligt identitetskort bör godtas som identitetshandlingar ökar. Ju fler situationer som kräver att identifiering sker med dessa handlingar desto större anledning har den enskilde att skaffa en sådan handling som då även kommer att kunna användas i andra sammanhang.

Det kan även finnas områden som inte nämnts här där sådana krav är lämpliga att ställa. Ett exempel på en situation som i dag inte regleras i författning är utfärdande av e-legitimation. Eftersom det alltid är en fysisk identitetshandling som ligger till grund för den ursprungligen utfärdade e-legitimationen på de högsta tillitsnivåerna

menar vi att det är lämpligt att överväga krav på identifiering med pass eller statligt identitetskort.

8.7. Genomslaget av våra förslag

Utredningens bedömning: För att ytterligare öka spridningen

av det statliga identitetskortet bör den utfärdande myndigheten utreda om avgiften för ansökan bör vara lägre om den görs samtidigt med en ansökan om pass.

Det primära syftet för oss är att begränsa antalet godtagbara identitetshandlingar och säkra utfärdandet av dessa. Genom sådana åtgärder kan också efterföljande identifiering med dessa handlingar i olika situationer bli säkrare och identitetskontrollen förenklas. På så sätt motverkas den bedrägeribrottslighet som begås med hjälp av falska identitetshandlingar. Detta förutsätter dock att handlingarna införskaffas och används.

Vi har föreslagit begränsningar av vilka identitetshandlingar som ska få användas inom några områden som vi menar är mest centrala. Vi har också föreslagit en bestämmelse som slår fast att endast pass och statligt identitetskort är statliga fysiska identitetshandlingar. Detta är ett första steg när det gäller att minska antalet fysiska identitetshandlingar. Syftet med våra förslag i stort är att det statliga identitetskortet på sikt ska få en utbredd användning. Även om våra författningsförslag om vilka identitetshandlingar som ska godtas endast omfattar vissa områden kommer den omständigheten att det krävs vissa typer av identitetshandlingar i vissa situationer sannolikt leda till att många av landets invånare kommer att skaffa en statlig fysisk identitetshandling. Särskilt förslaget som avser krav i samband med affärsförbindelser och transaktioner som omfattas av penningtvättslagstiftningen tror vi bidrar till ett ökat genomslag.

Vi lämnar också i andra delar av betänkandet förslag som medför att det skapas ytterligare incitament för en ökad spridning och användning av det statliga identitetskortet. Vårt förslag i avsnitt 12.4 att en statligt utfärdad e-legitimation ska finnas på det statliga identitetskortet utgör enligt vår bedömning ett sådant incitament.

Även det arbete som pågår för att utreda möjligheten att på sikt avskaffa det fysiska körkortet är av betydelse. För att det ska vara möjligt att genomföra en sådan förändring måste körkortshavare inneha en annan säker handling att identifiera sig med. Det statliga identitetskortet kan i och med detta komma att få en ökad betydelse.

Vidare utgår vi, som ovan nämnts, ifrån att myndigheterna på de olika områden där det är aktuellt att utföra identitetskontroller går igenom sina föreskrifter och rutiner samt anpassar dem utifrån våra förslag om att endast de statliga fysiska identitetshandlingarna ska godtas. Våra förslag hindrar inte heller att krav på identifiering med statliga fysiska identitetshandlingar läggs till i andra lagar eller förordningar efter hand som behov uppstår.

Vi utgår också ifrån att banker och övriga aktörer som använder sig av riktlinjerna i De 7 stegen så småningom följer efter och ändrar rekommendationen avseende vilka handlingar som godtas. Svenska Bankföreningen, som står bakom handboken, har i den skrivelse till regeringen som tidigare nämnts framfört att staten enligt deras uppfattning bör ta ansvar för utfärdandet av svenska identitetshandlingar genom att det införs en nationell gemensam utfärdandeprocess och genom att antalet godkända handlingar begränsas.22 Då våra förslag syftar till att åstadkomma just detta får det förutsättas att riktlinjerna i De 7 stegen framöver anpassas utifrån de förslag vi lämnar om vilka handlingar som bör godtas. På så sätt kan förslagen få genomslag i stora delar av samhället.

Avgiften för ansökan om identitetskort bygger på principen om full kostnadstäckning. Ett sätt att ytterligare öka genomslaget och se till att det finns incitament att skaffa det statliga identitetskortet är att sänka priset för ansökan om statligt identitetskort om ansökan görs samtidigt med pass. Den tid handläggaren lägger ner vid ansökan bör rimligen vara ungefär densamma om en ansökan avser endast pass eller om den även avser statligt identitetskort eftersom de kontroller som ska göras endast behöver göras en gång. Det bör också bli en mer effektiv hantering för den utfärdande myndigheten om ansökningarna görs samtidigt i stället för vid två separata tillfällen. Vi menar därför att det är lämpligt att den utfärdande myndigheten utreder om avgiften bör differentieras. Ett sådant system med olika avgifter har införts i Finland. Detta synes ha varit en av de bidragande orsakerna till att antalet ansökningar om id-kort har ökat i Finland.

22 Dnr Ju2015/05176/L4.

Om utredningen visar att det är lämpligt att avgifterna differentieras kan en ändring av avgiftsnivån göras av regeringen genom en förordningsändring.

9. Begränsning av antalet utfärdare

9.1. Vårt uppdrag

Utfärdande av identitetshandlingar är en central funktion i samhället. Ansvaret för de statligt utfärdade handlingar som i dag godtas som identitetshandlingar är i huvudsak fördelat på tre myndigheter; Polismyndigheten, Skatteverket och Transportstyrelsen. Polismyndigheten utfärdade under år 2017 cirka 1,8 miljoner pass och nationella identitetskort. Skatteverket utfärdade under samma tid cirka 160 000 id-kort. Transportstyrelsen utfärdar cirka 1 miljon körkort per år. Utöver dessa tre myndigheter utfärdar utlandsmyndigheter som även är passmyndigheter pass och nationella identitetskort. Även Utrikesdepartementet utfärdar pass i vissa situationer. Därutöver utfärdar bankerna SIS-märkta id-kort. Det finns också företag och myndigheter som utfärdar SIS-märkta id-kort till sina anställda.

I våra direktiv påtalas att den omständigheten att identitetshandlingar utfärdas av en rad olika aktörer innebär att handlingarna kan se mycket olika ut och vara av skiftande kvalitet. Att det finns flera utfärdare innebär också att det ställs olika krav på ansökningsprocess, bakgrundskontroll av sökanden, tillverkning och utlämning. En ordning med färre utfärdare skulle förbättra möjligheterna att kontrollera en handlings äkthet och giltighet och skapa bättre förutsättningar för en enhetlig hantering av hela processen från ansökan till utlämnande. Vi ska därför föreslå hur antalet utfärdare av identitetshandlingar ska begränsas och lämna förslag på utfärdare. I avsnitt 8.6 föreslår vi att endast de statliga fysiska identitetshandlingarna, dvs. pass och statliga identitetskort (statliga identitetskort motsvarar de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige), ska vara godtagbara som identitetshandlingar i alla sammanhang. Det är därför utfärdande av dessa handlingar vi behandlar i detta kapitel.

9.2. Närmare om problemet med att det finns flera utfärdare

Problemet med att utfärdande av identitetshandlingar är utspritt på flera aktörer har uppmärksammats i flera rapporter och skrivelser av olika myndigheter och andra aktörer.

Brå har i sin rapport om bedrägeribrottslighet angett att det saknas en central aktör som garanterar säkra identitetshandlingar. Brå upplyser att en aktör, gärna en myndighet, som garanterar säkra identitetshandlingar är en åtgärd som har efterfrågats av flera berörda myndigheter och delar av näringslivet. De menar att ansvarsfrågan är grundläggande när det gäller identitetsmissbruk.1

Även Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden har konstaterat att färre utfärdare av identitetshandlingar minskar risken för att oriktiga identiteter används i brottsligt syfte. Utredningen anger som ett problem med att identitetshandlingar utfärdas av en rad olika aktörer att handlingarna ser olika ut och är av skiftande kvalitet. Det ökar svårigheterna för den som ska bedöma riktigheten i uppgifterna på handlingen. Utredningen anser att det i dag finns för många utfärdare av identitetshandlingar och att vissa av dessa inte håller tillräckligt hög kvalitet. I stället bör en ordning med en myndighet med ett övergripande ansvar för identitetsrelaterade frågor kunna leda till enhetliga processer och kompetenskrav för handläggarna vilket medför högre kvalitet och bättre förutsättningar att upptäcka och spåra identitetsrelaterade brott.2

E-legitimationsnämnden har i en rapport till regeringen föreslagit att endast en statlig myndighet ska ha som uppgift att utfärda identitetshandlingar. Nämnden menar att risken för id-kapningar skulle minska på ett avgörande sätt om utgivningen av fullvärdiga fysiska identitetshandlingar skulle samlas hos en enda statlig myndighet. I rapporten anges att det är svårt för den enskilde att skydda sig mot id-kapningar varför staten bör ta ett större ansvar för id-korten.3

Svenska Bankföreningen har i en skrivelse till regeringen föreslagit att staten bör ta på sig ansvaret för en nationell gemensam utfärdandeprocess av svenska identitetshandlingar i samtliga faser. Detta

1 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 166 f. och 225. 2SOU 2017:37 s. 297 ff. 3 E-legitimationsnämndens rapport Fortsatt försörjning av tjänster för e-legitimering och e-underskrift dnr 131 645711-15/9513 2016-10-25 s. 30.

bör ske genom krav på personlig inställelse och bakgrundskontroll av den sökande i ansöknings- och utlämningsprocessen, krav på tillverkningsprocessen och möjlighet att verifiera identitetshandlingen.4

De representanter från NFC och NBC vid Polismyndigheten som vi har haft kontakt med har bekräftat den bild som framkommit ovan. De menar att en begränsning som innebär att endast en aktör utfärdar svenska identitetshandlingar är en viktig åtgärd för att minska den identitetsrelaterade bedrägeribrottsligheten.

Även företrädare för PostNord har uppgett att endast en myndighet bör ansvara för utfärdande av identitetshandlingar. För dem är det viktigt att giltighetskontroll mot utfärdarens register kan göras i realtid, något som underlättas av om endast en aktör utfärdar identitetshandlingar.

Problemet med att det finns flera utfärdare av identitetshandlingar är alltså framför allt att utfärdandeprocessen inte är samordnad. Processen ser olika ut hos de olika aktörerna och är av skiftande kvalitet. Olika krav ställs på ansökan, bakgrundskontroll av sökanden, tillverkning och utlämning. Färre utfärdare skapar bättre förutsättningar för en enhetlig hantering av hela processen från ansökan till utlämnande.

Antalet utfärdare försvårar också kontrollen av identitetshandlingarnas giltighet. Färre utfärdare innebär färre ställen att vända sig till för den som ska kontrollera handlingens giltighet och bättre möjligheter till automatiserade giltighetskontroller.

Att ansvaret är spritt på flera aktörer innebär också att antalet identitetshandlingar som utfärdas av de olika aktörerna varierar. För en aktör som inte utfärdar ett så stort antal identitetshandlingar kan det medföra svårigheter när det gäller att upprätthålla den kompetens som krävs för att åstadkomma tillräckligt hög kvalitet i alla led i processen. Som exempel kan nämnas att det enligt uppgifter från Skatteverket fanns servicekontor som under år 2017 endast utfärdade cirka 200 identitetskort för folkbokförda i Sverige.

4 Dnr Ju2015/05176/L4.

9.3. Endast en myndighet bör utfärda statliga fysiska identitetshandlingar

Utredningens bedömning: Endast en myndighet bör ha det huvud-

sakliga ansvaret för utfärdande av statliga fysiska identitetshandlingar.

Enligt vår uppfattning bör staten ta ett samlat ansvar för utfärdande av de fysiska identitetshandlingar som ska vara godtagbara i alla situationer. Bara om det görs finns det möjlighet att verkligen göra processen enhetlig och säker, förbättra identitetshandlingarnas säkerhetsnivå och åstadkomma bättre kontrollmöjligheter. Detta är åtgärder som behöver komma till stånd för att motverka den identitetsrelaterade brottsligheten. Utgångspunkten för de överväganden som görs nedan är således att ansvaret för att utfärda de fysiska identitetshandlingar som ska vara godtagbara i alla sammanhang ska ligga hos staten. Fråga är då vidare om en eller flera myndigheter ska vara utfärdare.

Vi har i avsnitt 8.6 föreslagit att endast pass och statligt identitetskort, dvs. de kort som i dag benämns nationellt identitetskort och identitetskort för folkbokförda i Sverige, ska vara godtagbara identitetshandlingar i situationer som kräver en säker identifiering. Pass och nationella identitetskort utfärdas i dag av Polismyndigheten medan Skatteverket utfärdar identitetskort för folkbokförda i Sverige. Redan det förslaget medför alltså en begränsning av antalet utfärdare till två eftersom det innebär att Transportstyrelsen och de aktörer som utfärdar SIS-märkta id-kort och tjänstekort inte längre kommer att vara utfärdare av identitetshandlingar som accepteras i alla sammanhang. Det finns dock anledning att överväga om ansvaret för utfärdandet ska begränsas än mer, dvs. om endast en myndighet ska ha ansvaret.

Som anges ovan innebär en begränsning av antalet utfärdare bättre förutsättningar för en enhetlig hantering av hela processen från ansökan till utlämnande. Om endast en myndighet ansvarar för utfärdandet förenklas arbetet med att skapa en mer enhetlig process väsentligt. Samma eller liknande rutiner kan användas oavsett vilken identitetshandling som ska utfärdas och alla som arbetar med utfär-

dandet kan få samma utbildning. Om myndigheterna delar på ansvaret är det nödvändigt att, som i dag, upprätthålla parallella system, bl.a. när det gäller processen, utrustning och utbildning. Att samla utfärdandet vid en myndighet innebär att samma personal kommer att hantera en större mängd ansökningar vilket bidrar till att kompetensen kan upprätthållas på ett annat sätt än i dag. Om ansvaret delas mellan två myndigheter är risken för att det förekommer skillnader i hur samma eller liknande bestämmelser tillämpas större.

Utfärdandeverksamheten underlättas också om en och samma myndighet förfogar över registren för identitetshandlingarna eftersom myndigheten då har tillgång till fler uppgifter som kan vara av betydelse vid identifieringen av de sökande. Om det exempelvis råder oklarheter kring en handlings äkthet eller en sökandes identitet vid ansökan om ett id-kort är det möjligt att det finns uppgifter av betydelse i registret för pass.

Att endast en myndighet har huvudansvaret för utfärdandet underlättar också vid kontroll av identitetshandlingens giltighet. Den som identitetshandlingen visas upp för behöver då bara vända sig till en aktör för att kontrollera handlingen. Att begränsa utfärdandet till en myndighet underlättar dessutom utvecklingen av effektiva e-tjänster för kontroll av giltigheten.

Koncentration av verksamheten att utfärda identitetshandlingar till en myndighet leder även till kostnadsbesparingar. Att använda samma personal, utrustning och process för utfärdandet leder till ett effektivare utnyttjande av resurserna. Det finns också stora vinster att göra om upphandlingarna av de olika identitetshandlingarna kan samordnas. Även om det kommer att finns vissa mindre skillnader i vilka krav som ställs för de olika handlingarna leder det till stora effektivitetsvinster att samordna kravställningsarbetet.

Det är dessutom en fördel för den enskilde att bara behöva vända sig till en myndighet när det gäller frågor om identitetshandlingar och identifiering. Att allmänheten på ett och samma ställe kan ansöka, hämta och få information om samtliga statliga fysiska identitetshandlingar är en samhällsservice som bör eftersträvas.

En möjlig nackdel med att koncentrera ansvaret till endast en myndighet kan vara att tillgängligheten för den enskilde kan komma att minska. Vi har redan i avsnitt 8.5.2 konstaterat att tillgängligheten kommer att försämras på grund av vårt förslag att körkortet

inte ska vara en statlig identitetshandling. Om antalet utfärdare dessutom minskar från två till en skulle det kunna innebära ytterligare försämring när det gäller tillgången till identitetshandlingar. Målgrupperna för de olika id-korten ser dock olika ut. Även om det inte finns något hinder mot att den som är svensk medborgare ansöker om det id-kort som i dag benämns identitetskort för folkbokförda i Sverige och utfärdas av Skatteverket kan det antas att dessa personer även i fortsättningen i huvudsak kommer att ansöka om det id-kort som även kan användas som resehandling som Polismyndigheten utfärdar. Om våra förslag skulle innebära att någon annan myndighet än Polismyndigheten skulle få ansvaret skulle det leda till en försämrad tillgänglighet för de personer som söker id-kort som kan användas som resehandling. Skatteverket t.ex. utfärdar id-kort på färre antal platser än Polismyndigheten och de flesta andra svenska myndigheter har ännu sämre tillgänglighet. Om vi å andra sidan skulle föreslå att Polismyndigheten ska få ansvaret, så ökar tillgängligheten för dem som i dag är hänvisade till Skatteverket med sin ansökan. Om tillgängligheten påverkas är således snarare en fråga om vilken myndighet som får ansvaret än en fråga om det bör vara en eller flera myndigheter som utfärdar korten.

Det finns enligt vår uppfattning stora fördelar med att låta endast en myndighet ha huvudansvaret för att utfärda de statliga fysiska identitetshandlingarna. Det är också den lösningen som förespråkas i flera av de rapporter och skrivelser vi redogjort för ovan och av olika aktörer vi har haft kontakt med under utredningen. Mot bakgrund av de skäl som redovisats ovan, och då vi inte har funnit några bärande skäl emot, föreslår vi därför att huvudansvaret för utfärdandet läggs på endast en myndighet.

9.4. Polismyndigheten ska ansvara för att utfärda statliga fysiska identitetshandlingar

Utredningens förslag: Polismyndigheten ska ansvara för utfär-

dande av statliga fysiska identitetshandlingar.

Utlandsmyndigheterna och Utrikesdepartementet ska dock under samma förutsättningar som i dag kunna utfärda identitetshandlingar.

9.4.1. Aktuella myndigheter

För att åstadkomma en begränsning som innebär att endast en myndighet utfärdar de statliga fysiska identitetshandlingarna finns flera tänkbara lösningar. Ansvaret kan läggas antingen på en av de myndigheter som redan i dag ansvarar för utfärdandet av identitetshandlingar, på en annan befintlig myndighet som tar över ansvaret eller på en ny myndighet som inrättas för uppgiften.

Inledningsvis kan konstateras att det kräver ett stort omställningsarbete av en myndighet som i dag inte utfärdar identitetshandlingar att överta uppgiften. Om en sådan myndighet skulle överta ansvaret är det nödvändigt att bygga upp en ny organisation för verksamheten från grunden, vilket skulle innebära stora kostnader. Det skulle krävas en helt ny process, omfattande utbildningsinsatser och ny utrustning. Detta gäller såväl alternativet att inrätta en helt ny myndighet som att lägga uppgiften på en myndighet som inte har denna uppgift i dag. Skatteverket, som har erfarenhet av att bygga upp en ny verksamhet för utfärdande av id-kort, har uppgett att verksamheten till en början hade en hel del problem. Svårigheterna hängde till en del samman med att det var svårt att göra en korrekt kravställning i upphandlingen eftersom Skatteverket saknade erfarenhet på området. Vårt förslag att körkort inte ska vara en statlig identitetshandling kan i förlängningen komma att leda till att en stor andel av de cirka 6,5 miljoner körkortshavarna kommer att behöva skaffa en annan identitetshandling. Den myndighet som ansvarar för utfärdandet måste ha en stabil organisation som kan hantera övergången. De myndigheter som redan i dag utfärdar identitetshandlingar har enligt vår bedömning bättre förutsättningar att lyckas med detta.

Vi anser mot denna bakgrund att det finns klara fördelar med att ansvaret läggs på en myndighet som redan i dag utfärdar identitetshandlingar. På så sätt kan kvaliteten och kontinuiteten i utfärdandet upprätthållas och de kostnadsmässiga konsekvenserna begränsas. Fråga är då vidare vilken av dessa myndigheter som är lämpligast.

9.4.2. Transportstyrelsen

Transportstyrelsen utfärdar körkort, som är den handling som flest personer i dag använder för att identifiera sig. Redan det skälet att vi i avsnitt 8.6 föreslår att körkort inte ska vara en statlig fysisk identitetshandling gör att det inte är lämpligt att lägga ansvaret för utfärdandet på Transportstyrelsen. Transportstyrelsens verksamhet ligger dessutom relativt långt ifrån den verksamhet som utfärdande av identitetshandlingar innebär. Visserligen utfärdar Transportstyrelsen körkort som i dag även används som identitetshandling, men det primära syftet med körkortet är att det ska vara en behörighetshandling. Myndighetens erfarenhet av bevisvärderingsfrågor och identitetsbedömningar torde vidare vara mer begränsad än både Polismyndighetens och Skatteverkets. Transportstyrelsens verksamhet är dessutom uppbyggd kring körkortsprocessen och styrs delvis av EU-reglering. Myndigheten skulle därför behöva bygga upp en ny process för att utfärda identitetshandlingar. Vi bedömer därför att det inte är lämpligt att Transportstyrelsen ansvarar för utfärdande av de statliga fysiska identitetshandlingarna.

9.4.3. Polismyndigheten eller Skatteverket?

Polismyndigheten utfärdar som passmyndighet pass och nationellt identitetskort. Skatteverket har sedan år 2009 ansvar för att utfärda identitetskort för folkbokförda i Sverige. Servicekontorsutredningen har föreslagit att Statens servicecenter, på uppdrag av Skatteverket, från och med den 1 januari 2019 ska ta över utfärdandet av id-kort på servicekontoren.5 Överföringen till Statens servicecenter har flyttats fram till den 1 juni 2019. Id-kortsutredningen6 föreslog ursprungligen att identitetskort för folkbokförda i Sverige skulle utfärdas av Polismyndigheten. Under beredningen av utredningens förslag gjorde regeringen dock den bedömningen att Polismyndighetens arbete borde koncentreras till det som ligger inom myndighetens kärnverksamhet.7 Id-kortsutredningen framförde dock flera skäl som talade för att Polismyndigheten skulle ansvara för utfärdande av identitets-

5SOU 2017:109 s. 59 ff. 6SOU 2007:100. 7 Regeringsbeslut 2008-09-25, Fi 2008/5394.

kort för folkbokförda i Sverige som vi menar fortfarande är relevanta. Vi återkommer till dessa nedan.

Skatteverket utfärdade under år 2017 cirka 160 000 id-kort. I jämförelse med Polismyndigheten som utfärdade cirka 1,8 miljoner pass och nationella identitetskort framstår antalet som blygsamt. Vid enskilda servicekontor är antalet utfärdade id-kort dessutom så lågt att det torde vara svårt att upprätthålla den kompetens som krävs. Skatteverket utfärdar således inte alls identitetshandlingar i samma omfattning som Polismyndigheten. Detta gör, tillsammans med den omständigheten att Skatteverkets id-kortsverksamhet har pågått förhållandevis kort tid, att Skatteverkets erfarenhet av att utfärda identitetshandlingar inte är i närheten av den som finns vid Polismyndigheten.

Polismyndigheten har, som även Id-kortutredningen påpekade, stor erfarenhet av identitetsbedömningar även i den polisiära verksamheten. Identitetsbedömningar är t.ex. ett inte ovanligt inslag vid sådana inre utlänningskontroller som anges i 9 kap. 9 § utlänningslagen (2005:716). Polismyndigheten bör tillhöra de myndigheter som har bäst kompetens när det gäller att avgöra om en person styrkt sin identitet. Även Skatteverket gör identitetsbedömningar i vissa ärenden. Förutom i id-kortsärenden görs detta t.ex. i vissa folkbokföringsärenden. De identitetsbedömningar som görs i folkbokföringsärendena är dock av delvis annat slag och har ett annat syfte än den identitetsbedömning som görs i samband med utfärdande av en identitetshandling. Att låta Polismyndigheten ansvara för identifieringen i samband med ansökan om de statliga fysiska identitetshandlingarna bidrar bl.a. av det skälet enligt vår mening till att säkerställa utfärdandeprocessen.

Det finns även ur säkerhetssynpunkt en särskild fördel med att det sker en oberoende granskning av den identifiering som gjorts i tidigare led av Migrationsverket och Skatteverket, något som även Id-kortsutredningen konstaterade. Migrationsverkets identitetsutredning genomförs som en del av utredningen i tillståndsprocessen. Sökanden behöver i många fall bara göra sin identitet sannolik.8 Det primära är dock att klargöra om sökanden är i en sådan situation att han eller hon måste få skydd i Sverige. Det förekommer därför att uppehållstillstånd beviljas även för personer som anses ha ett skyddsbehov, men vars identitet inte är bekräftad. Både Skatteverket och

8 Se t.ex. Migrationsöverdomstolens dom MIG 2007:12.

Migrationsverket har således ett något annat syfte med sina identitetskontroller än den kontroll som görs vid utfärdande av identitetshandlingar. Om ansvaret för att utfärda identitetshandlingar läggs på Polismyndigheten kan den myndigheten göra en egen fristående bedömning av om identiteten är styrkt.

Polismyndighetens verksamhet med utfärdande av nationella identitetskort och pass bedöms effektiv och tillförlitlig. Skillnaderna mellan att utfärda id-kort med eller utan funktion som resehandling är, som också Id-kortsutredningen påpekade, knappast så stora att det skulle saknas möjligheter att använda sig av den befintliga strukturen. Att däremot lägga över ansvaret för att utfärda resehandlingar på Skatteverket skulle medföra ett större omställningsarbete, inte minst eftersom det skulle bli en avsevärt större ökning av antalet ärenden än om ansvaret läggs på Polismyndigheten.

En viktig omständighet som tillkommit sedan Id-kortsutredningen lämnade sitt förslag, vilket också är anledningen till vårt uppdrag, är den ökade bedrägeribrottsligheten där missbruk av identiteter och identitetshandlingar spelar en stor roll. Polismyndigheten har det huvudsakliga ansvaret för arbetet med att motverka bedrägeribrottsligheten. Sambandet mellan identitetshandlingar och bedrägeribrottslighet talar enligt vår mening starkt för att Polismyndigheten bör tilldelas ansvaret för att utfärda de statliga fysiska identitetshandlingarna. Polismyndighetens erfarenheter från det brottsbekämpande arbetet, där falska eller felaktiga identitetshandlingar används i bedrägligt syfte, är värdefull för att utveckla och säkra utfärdandeprocessen. Kunskapen om och erfarenheterna från utfärdandeverksamheten kan även gagna brottsbekämpningen. Att ge Polismyndigheten ansvaret för utfärdandet kan således förväntas leda till samordningsvinster för båda delarna av verksamheten. En sådan ordning har därför goda förutsättningar att verka i brottsförebyggande riktning.

En annan fördel med att lägga ansvaret hos Polismyndigheten är att myndigheten redan har lanserat en e-tjänst för kontroll av giltigheten när det gäller de identitetshandlingar som utfärdas av myndigheten. E-tjänsten, som beskrivs i avsnitt 13.2, kan användas av exempelvis banker eller andra som gör identitetskontroll för att på ett enkelt sätt kontrollera giltigheten av svenska pass och nationella identitetskort. Tjänsten har inneburit att kontrollen av identitetshandlingarnas giltighet har förenklats och effektiviserats avsevärt.

Det är av stor vikt att det finns ett effektivt sätt att kontrollera en identitetshandlings giltighet. En enkel kontroll mot utfärdaren minskar risken för missbruk av identitetshandlingar samtidigt som den medför stora effektivitetsvinster. Det finns alltså redan en väl fungerande e-tjänst för kontroll hos Polismyndigheten vilket inte finns hos Skatteverket. E-tjänsten bör kunna användas även för kontroll av id-kort som inte kan användas för resa. Om Polismyndigheten blir enda utfärdare möjliggörs dessutom en vidareutveckling av kontrollen så att den på sikt skulle kunna bli helt automatiserad. Exempelvis skulle det vid en avläsning av uppgifter på kortet kunna skickas en automatisk förfrågan till e-tjänsten varvid svar erhålls utan att den som utför kontrollen själv behöver slå in några uppgifter. En sådan lösning försvåras av att det i dag finns flera utfärdare.

Ansökan om de id-kort som utfärdas av Skatteverket kan göras på 27 platser. Därutöver finns det ytterligare 18 kontor där det är möjligt att hämta ut färdiga id-kort. Servicekontorsutredningen har, som framgått i avsnitt 6.5.1, föreslagit att dessa ska vara kvar i avvaktan på att vi redovisar våra förslag. Pass och nationellt identitetskort utfärdas av Polismyndigheten på omkring 110 platser. Därutöver finns det ytterligare cirka 40 utlämningsställen. Tillgängligheten för allmänheten är alltså väsentligt bättre hos Polismyndigheten än hos Skatteverket.

Vi föreslår i avsnitt 11.4.4 att både ansiktsbild och fingeravtryck ska sparas på ett lagringsmedium i de statliga identitetskorten precis som gäller för pass i dag. Hantering av sådana uppgifter är särskilt känslig och kräver särskild säkerhet i processen. Polismyndigheten hanterar redan i dag ansiktsbild och fingeravtryck som sparas i ett lagringsmedium i passen samt ansiktsbild som sparas i de nationella identitetskortens lagringsmedium. Myndigheten har dessutom stor vana vid att hantera sådana uppgifter i den polisiära verksamheten. Polismyndigheten har alltså redan den erfarenhet och kunskap som krävs medan Skatteverket inte har samma vana vid att hantera sådana uppgifter.

Ett annat argument som talar för Polismyndigheten som utfärdare är att myndigheten har goda förutsättningar för att bedriva det informationsarbete som vi ser behov av. En av förklaringarna till de brister som i vissa fall finns i kontrollen av en persons identitet är okunskap om vad man ska titta på och varför. Det är därför av stor vikt att öka kunskapen om hur kontroller ska utföras och förståelsen

för varför kontroller behöver göras hos den personal som utför identitetskontroller i olika verksamheter. Inom Polismyndigheten finns en stor kunskap om såväl de bedrägerier som utförs med användning av identitetshandlingar som utfärdandeprocessen. Det är värdefullt för verksamheter som ägnar sig åt identitetskontroller att få del av den kunskapen. Genom att öka kunskapen om hur bedrägerier går till kan risken för att bedrägerier genomförs minskas.

Sammantaget finns det alltså enligt vår uppfattning mycket starka skäl som talar för att Polismyndigheten ska utfärda de statliga fysiska identitetshandlingarna.

Som skäl emot denna ordning kan anföras att Polismyndighetens verksamhet bör renodlas i syfte att frigöra resurser för att förstärka kärnverksamheten, dvs. att upprätthålla allmän ordning och säkerhet. Detta angavs som skäl för beslutet att Skatteverket skulle utfärda identitetskort för folkbokförda i Sverige, trots att Id-kortsutredningen på goda grunder föreslog att ansvaret skulle läggas på Polismyndigheten. Frågan om renodling av polisens verksamhet har genom åren varit föremål för olika utredningar. Polisverksamhetsutredningen gjorde år 2001 den bedömningen att passhanteringen varken krävde polismans befogenheter eller kunskap eller kunde motiveras av polisens uppgift att upprätthålla allmän ordning och säkerhet och att passhanteringen därmed till stor del saknade polisiär relevans. Utredningen kom trots det fram till att polisen fortfarande borde vara passmyndighet. Det huvudsakliga skälet var att ett överförande av passärendena till någon annan myndighet skulle innebära så stora konsekvenser för framför allt poliskontoren i glesbebyggda områden, som skulle kunna tvingas lägga ner, att det skulle få orimliga konsekvenser ur servicesynpunkt.9

Det skäl som gjorde att Polisverksamhetsutredningen inte föreslog att passverksamheten skulle föras över till en annan myndighet är alltjämt gällande. Det finns orter där det skulle vara svårt att upprätthålla en receptionsverksamhet om Polismyndigheten inte längre skulle bedriva pass- och id-kortsverksamhet eftersom övrig receptionsverksamhet inte har så stor omfattning. Om verksamheten flyttas från Polismyndigheten finns det därför en risk att ett antal poliskontor skulle behöva stänga. Även om inte avgiftsintäkterna från pass- och id-kortsverksamheten finansierar annan receptionsverksamhet så motiverar verksamheten att det även finns en mottagning

9SOU 2001:87 s. 125 ff. och SOU 2002:70 s. 172 f.

för andra ärenden, exempelvis tillståndsärenden. Många medborgare har dessutom bara kontakt med Polismyndigheten i samband med ansökan om pass eller id-kort. Verksamheten blir då en viktig del för att skapa förtroende för myndigheten. Ett bra bemötande och servicemottagande i ett passärende kan öka förtroendet för Polismyndigheten vilket kan bli avgörande för om medborgaren i ett annat sammanhang väljer att göra en anmälan, ställa upp som vittne eller liknande.

Argumentet att en överflyttning av pass- och id-kortshanteringen till Skatteverket skulle medföra en renodling av Polismyndighetens verksamhet och medföra att resurser frigörs till Polismyndighetens övriga verksamhet är inte helt adekvat. Rimligen skulle, som också Polisverksamhetsutredningen konstaterade, resurser som motsvarar pass- och id-kortshanteringen behöva föras över från Polismyndigheten till Skatteverket. Verksamheten är dessutom avgiftsfinansierad. Om verksamheten skulle flytta från Polismyndigheten flyttas även avgiftsintäkterna. Det är således svårt att se att det brottsbekämpande arbetet skulle komma att gynnas av att pass- och id-kortsverksamheten flyttas bort från Polismyndigheten. Tvärtom gör vi, som ovan framgått, snarare bedömningen att det brottsförebyggande arbetet gynnas av att myndigheten har denna verksamhet.

Det kan visserligen hävdas att utfärdande av identitetshandlingar inte tillhör Polismyndighetens kärnverksamhet, men det kan å andra sidan inte heller sägas vara främmande för den verksamheten. Vi menar i stället att den rådande samhällsutvecklingen med en kraftig ökning av bedrägeribrottsligheten och där brott många gånger begås med hjälp av förfalskade eller felaktiga identitetshandlingar gör att det numera finns starka skäl att verksamheten avseende utfärdande av identitetshandlingar är samordnad med Polismyndighetens brottsbekämpande verksamhet. Polismyndigheten bör genom en sådan ordning få ökade förutsättningar att förebygga bedrägeribrott. Uppgiften att utfärda pass och id-kort kan därför i dag, på ett annat sätt än då Polisverksamhetsutredningen tog ställning i frågan, motiveras av Polismyndighetens kärnuppgift att upprätthålla allmän ordning och säkerhet.

Det finns således enligt vår uppfattning starka skäl för att Polismyndigheten ska ansvara för utfärdande av de statliga fysiska identitetshandlingarna. Vi har funnit få skäl som talar emot en sådan ordning. Vid de kontakter som utredningen har haft med ledningen för

Polismyndigheten och Skatteverket har framkommit att båda myndigheterna är positiva till att Polismyndigheten tar detta ansvar. Polismyndigheten ser fördelar ur ett brottsförebyggande perspektiv med att arbetet med att bekämpa bedrägeribrott kan samordnas med utfärdande av identitetshandlingar. Vi föreslår därför att Polismyndigheten ska ha huvudansvaret för att utfärda de statliga fysiska identitetshandlingarna, dvs. pass och statligt identitetskort.

Behovet av att utlandsmyndigheterna kan utfärda pass och id-kort till svenska medborgare kvarstår. Detsamma gäller Utrikesdepartementets möjlighet att utfärda pass i vissa fall. Våra förslag innebär inte någon förändring beträffande den hantering som i dag sker vid dessa myndigheter.

9.4.4. Behov av författningsändringar

Att Polismyndigheten tar över id-kortsverksamheten från Skatteverket föranleder en del författningsändringar av mer formellt slag. I de författningar som reglerar utfärdande av id-kort bör det till en början framgå att Polismyndigheten är utfärdare. Någon ändring behöver dock inte göras i förordningen (2014:1102) med instruktion för Polismyndigheten eftersom det i 1 § anges att myndighetens uppgifter och ansvar framgår av polislagen (1984:387), polisförordningen (2014:1104) och av andra författningar. Däremot bör bestämmelsen om att Skatteverket utfärdar identitetskort för folkbokförda i Sverige i 3 § förordningen (2017:154) med instruktion för Skatteverket upphävas. Detsamma gäller bestämmelsen i 3 § 3 förordningen (2009:315) om samtjänst vid medborgarkontor som möjliggör utfärdande av id-kort på servicekontoren, för det fall bestämmelsen alltjämt kvarstår efter att de författningsändringar som har samband med övergången av servicekontorsverksamheten till Statens servicecenter genomförts.10

Även bestämmelsen i 38 § första stycket 2 i Skatteverkets instruktion, som anger att Skatteverket ska disponera intäkter från avgifter som myndigheten tar ut i id-kortsverksamheten, bör upphävas. Någon motsvarande bestämmelse finns inte i Polismyndighetens instruktion. Det följer i stället av budgetpropositionen och reglerings-

10 Jämför prop. 2018/19:47.

brevet för myndigheten att avgiften för pass och nationellt identitetskort disponeras av myndigheten. Om detta är en lämplig ordning även framgent eller om det i stället bör införas en reglering av avgifterna i förordning tar vi inte ställning till. Det är en fråga som bäst lämpar sig för regeringen att ta ställning till i ett senare skede.

Vidare bör bestämmelsen i 13 § utlänningsdataförordningen (2016:30) som tillåter att Skatteverket har direktåtkomst till uppgifter hos Migrationsverket som behövs för handläggningen av en ansökan om id-kort upphävas. Eftersom detta är uppgifter som Polismyndigheten och de utlandsmyndigheter som är passmyndigheter kommer att behöva bör det i stället införas en bestämmelse om direktåtkomst för dessa myndigheter. Bestämmelser om direktåtkomst och uppgiftsskyldighet för Migrationsverket finns i dag också i 14 § IdF men föreslås i avsnitt 10.2.3 föras in i en ny förordning om statliga identitetshandlingar. Anpassning krävs även av bestämmelsen i 6 § offentlighets- och sekretessförordningen (2009:641) som i dag reglerar sekretessen i Skatteverkets databas över identitetskort för folkbokförda i Sverige och Polismyndighetens register över nationella identitetskort. Bestämmelsen bör framöver gälla för samma uppgifter i Polismyndighetens register över de statliga identitetskorten. Eftersom direktåtkomsten kommer att avse samma uppgifter som ska få behandlas för samma ändamål som i dag gäller för Skatteverket är de överväganden som tidigare gjorts beträffande behovet och integritetsskyddsaspekten alltjämt aktuella. Detsamma gäller de överväganden som gjorts beträffande sekretess.11 Någon ny bedömning i dessa avseenden behöver därför inte göras.

11 Finansdepartementets promemoria Vissa id-kortsfrågor 2010-04-21 och prop. 2015/16:65 s. 8891.

10. En enhetlig reglering av utfärdandeprocessen

10.1. Vårt uppdrag

Vi har i avsnitt 9.2 beskrivit de problem som är förknippade med att identitetshandlingar i dag utfärdas av en rad olika aktörer. Det huvudsakliga problemet är att utfärdandeprocessen ser olika ut hos de olika aktörerna. Olika krav ställs på ansökan, bakgrundskontroll av sökanden, tillverkning och utlämnande. Det leder till att de identitetshandlingar som finns är av skiftande kvalitet och ser olika ut vilket försvårar för den som ska kontrollera handlingens giltighet och äkthet. Vi har i avsnitt 9.4 föreslagit att endast Polismyndigheten ska utfärda de statliga fysiska identitetshandlingarna, dvs. pass och de idkort som utfärdas av staten. En begränsning av antalet utfärdare skapar bättre förutsättningar för en enhetlig hantering av hela processen från ansökan till utlämnande. Förutom att föreslå hur antalet utfärdare ska begränsas, ska vi enligt våra direktiv även analysera och vid behov föreslå en enhetlig reglering av giltiga identitetshandlingar när det gäller processen för ansökan, bakgrundskontroll av den sökande, tillverkning och utlämnande. Vi ska även lämna nödvändiga författningsförslag. Eftersom vi i avsnitt 8.6 föreslår att endast pass och statliga identitetskort (de statliga fysiska identitetshandlingarna) ska vara godtagbara i alla situationer är det dessa handlingar som berörs i kapitlet.

10.2. En ny lag om statliga identitetshandlingar

10.2.1. Ett statligt identitetskort med eller utan funktion som resehandling

Utredningens förslag: De identitetskort som i dag betecknas

nationellt identitetskort och identitetskort för folkbokförda i Sverige ska ersättas av ett statligt identitetskort med eller utan funktion som resehandling. Endast svenska medborgare ska kunna få ett kort med funktion som resehandling, men de ska kunna välja att i stället ansöka om att få ett kort utan sådan funktion.

En gemensam författning om statligt utfärdade identitetskort

Pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige regleras i dag i separata författningar. Pass och identitetskort för folkbokförda i Sverige regleras i lag med kompletterande bestämmelser i förordning medan bestämmelser om nationellt identitetskort endast finns på förordningsnivå. Merparten av bestämmelserna om utfärdande i de olika författningarna ser likadana eller liknande ut. Ett effektivt sätt att se till att regelverken blir enhetliga är att reglera samtliga statliga fysiska identitetshandlingar i samma författning. Eftersom vi föreslår att en och samma myndighet ska utfärda handlingarna skulle en sådan ordning även underlätta för tillämparen som då endast skulle ha ett regelverk att förhålla sig till.

Passet är primärt en resehandling och passlagstiftningen innehåller, förutom bestämmelser om utfärdandet, även bestämmelser om skyldigheten att medföra pass vid in- och utresa samt de kontroller som då ska göras. Passregleringen innehåller dessutom ett antal bestämmelser kopplade till passhinder som inte är aktuella beträffande idkorten. Det verkar därför mindre lämpligt att sammanföra den regleringen med bestämmelserna om id-kort.

Även det nationella identitetskortet kan användas vid resa till andra EU-länder. Det är dock inte primärt en resehandling utan en identitetshandling med vilken innehavaren även kan styrka sitt medborgarskap i syfte att visa att denne har rätt att uppehålla sig i en annan medlemsstat. Kortet används också, på samma sätt som iden-

titetskort för folkbokförda i Sverige, som ett id-kort i Sverige. Skillnaden mellan de båda id-korten när det gäller kortets innehåll är liten, i huvudsak består den av att uppgift om medborgarskap endast framgår av det nationella identitetskortet. Att sammanföra regleringen avseende dessa båda id-kort skulle göra det enklare att få utfärdandeprocessen mer överskådlig och enhetlig. Det skulle också underlätta för utfärdaren som då endast behöver tillämpa ett och samma regelverk. Eftersom det är på dessa båda id-kort som vi i avsnitt 12.4 föreslår att det ska finnas en statlig e-legitimation skulle en gemensam författning även underlätta regleringen av e-legitimationen.

Även om bestämmelserna förs samman kommer det dock att finnas ett behov av att ha kvar viss särreglering. De bestämmelser som krävs för att reglera avvikelserna är dock inte fler än att fördelarna med en sammanhållen reglering väger över denna nackdel. Vi menar därför att de statligt utfärdade id-korten bör regleras i en gemensam författning.

Identitetskortens beteckning

Om id-korten regleras i samma författning och utfärdas av samma myndighet är skälen för att korten ska ha olika beteckning inte längre lika starka. Att endast kort som utfärdas för svenska medborgare kan användas vid resor inom EU bör kunna markeras fysiskt på korten på liknande sätt som i Finland.

Begreppet nationellt identitetskort används inte i rörlighetsdirektivet. Inte heller i det förslag till Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet COM (2018) 212 som lämnades av EU-kommissionen under 2018 (EU:s id-kortsförordning) används begreppet. Det finns således inte några EU-rättsliga krav på att korten benämns på det sättet. Av förslaget till EU:s id-kortsförordning, som om det antas kommer att vara tillämplig på de id-kort som kan användas som resehandling, framgår i stället att benämningen identitetskort ska anges på kortet. Detta ska anges på ytterligare minst ett officiellt EU-språk.

Både regleringen och den praktiska hanteringen förenklas om korten benämns på samma sätt. Vi föreslår att de ska betecknas statliga identitetskort. På så sätt går de att särskilja från identitetskort som utfärdas av andra aktörer. Det statliga identitetskortet kan utfärdas med eller utan funktion som resehandling beroende på om det avser en svensk medborgare eller inte. Att kortet utfärdas med funktion som resehandling innebär att det, precis som det nationella identitetskortet, kan användas vid resor inom EU. Även om kortet i författning benämns statligt identitetskort hindrar det givetvis inte att det på det fysiska kortet endast anges identitetskort om det bedöms lämpligt eller nödvändigt mot bakgrund av kommande EUreglering.

En person – ett identitetskort

Det är som framgått ovan endast svenska medborgare som kan få ett identitetskort med funktion som resehandling utfärdat. Om id-korten utfärdas av samma myndighet och regleras i samma författning finns det anledning att på nytt överväga om svenska medborgare både ska kunna få ett kort med funktion som resehandling och ett utan sådan funktion utfärdat med giltighet under samma tid.

Att begränsa antalet identitetshandlingar som utfärdas är av stor vikt för att motverka missbruk och det ligger också i våra direktiv att undersöka hur det ska kunna ske. En person kan enligt gällande lagstiftning endast inneha en identitetshandling av samma slag samtidigt. Det följer av bestämmelserna om att en tidigare utfärdad handling av samma slag ska lämnas in för makulering i samband med ansökan (se t.ex. 3 § fjärde stycket förordningen om nationellt identitetskort). Det har emellertid inneburit att en person har kunnat ha både ett nationellt identitetskort och ett kort för folkbokförda samtidigt eftersom de inte ansetts vara av samma slag.

Vi föreslår i avsnitt 10.2.9 att en liknande bestämmelse ska finnas i den nya lagen. Eftersom vi föreslår att de båda tidigare korten ska ses som ett kort medför det att en person inte kommer att kunna inneha både ett id-kort som kan användas som en resehandling och ett som inte har denna funktion samtidigt. Det finns som vi ser det inget skäl varför en svensk medborgare förutom pass skulle behöva två identitetshandlingar. Dubbleringen motverkar syftet med våra

förslag, dvs. att minska antalet identitetskort som är i omlopp samtidigt, och bör därför inte tillåtas.

Frågan är då om en svensk medborgare ska kunna välja vilket av dessa kort som ansökan ska omfatta. Vi kan i och för sig inte se att det finns något större behov för svenska medborgare att inneha ett kort utan funktion som resehandling. Det finns dock, som framgått, svenska medborgare som innehar identitetskort för folkbokförda i Sverige i dag. En förklaring kan vara att det kortet, till skillnad från det nationella identitetskortet, innehåller en e-legitimation. Det kan också vara så att det inte är känt för alla att det finns ett nationellt identitetskort. Det kan emellertid även finnas andra förklaringar till varför svenska medborgare väljer att ansöka om ett sådant kort i stället för ett nationellt identitetskort som gör att det bör övervägas om en möjlighet att ansöka om ett id-kort utan funktion som resehandling bör kvarstå.

Id-kortsutredningen övervägde inför införandet av identitetskort för folkbokförda i Sverige om svenska medborgare endast skulle kunna ansöka om nationellt identitetskort och inte identitetskort för folkbokförda i Sverige.1 Utredningen anförde att en central utgångspunkt för integrationspolitiken är att särlösningar som riktar sig till personer med utländsk bakgrund som grupp bör begränsas till insatser och åtgärder som kan behövas under den första tiden i Sverige. Därefter ska dessa personer endast få insatser från den generella politiken och dess generella insatser. Anledningen är framför allt att samhället inte ska peka ut personer med utländsk bakgrund som annorlunda. Vårt förslag om att det statliga identitetskortet ska ses som ett kort, med eller utan funktion som resehandling, innebär emellertid att skillnaden mellan de båda korten minskar vilket i sin tur leder till att de särlösningar för personer med utländsk bakgrund som skulle undvikas genom att svenska medborgare fick ansöka om identitetskortet för folkbokförda i Sverige försvinner. Det talar för att svenska medborgares id-kort alltid skulle ha funktion som resehandling.

Id-kortsutredningen menade dock att det inte kunde uteslutas att det finns svenska medborgare som har skäl att föredra identitetskort för folkbokförda i Sverige före det nationella identitetskortet. Dessutom menade utredningen att om även svenska medborgare kan få identitetskort för folkbokförda i Sverige finns det större möjligheter

1SOU 2007:100 s. 81 f. och 103 f.

att vid behov införa regler om återkallelse av det nationella identitetskortet när det gäller bl.a. personer som är intagna på kriminalvårdsanstalt, på samma sätt som gäller för pass, eftersom dessa då kan få ett annat id-kort. Att ha tillgång till en identitetshandling är viktigt i arbetet med att förbereda personer som avtjänar fängelsestraff för tillvaron utanför anstalten. Utredningen gjorde mot den bakgrunden bedömningen att det var en bättre lösning att låta alla som är folkbokförda i landet, dvs. även svenska medborgare, få ansöka om identitetskort för folkbokförda i Sverige. Det kan i sammanhanget noteras att regeringen, i samband med att möjligheten att resa med det nationella identitetskortet utvidgades till att avse resa till samtliga EU-medlemsstater, gjorde bedömningen att det inte var motiverat att införa sådana bestämmelser om återkallelse och hinder mot att få nationellt identitetskort som finns beträffande pass. Regeringen avsåg dock att följa utvecklingen i frågan.2

Ytterligare en omständighet som talar för att även svenska medborgare bör ges möjlighet att ansöka om ett identitetskort utan funktion som resehandling är att dessa kort kan antas vara mindre stöldbegärliga. Om en person inte har behov av en resehandling finns det därför även ur ett säkerhetsperspektiv anledning att tillåta att denne i stället får inneha en identitetshandling som inte har denna funktion. Som framgår av avsnitt 10.2.7 kommer vi att föreslå ett förfarande med ansökan genom bud när personer på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan komma till den utfärdande myndighetens lokaler för att ansöka om id-kort. Vi anser att det även i dessa fall finns skäl att inte förse korten med funktionen resehandling.

Mot bakgrund av ovanstående har vi har inte anledning att göra en annan bedömning än Id-kortsutredningen i frågan om även svenska medborgare ska få ansöka om identitetskort som inte kan användas vid resa. Svenska medborgare som av någon anledning önskar ansöka om ett id-kort utan funktion som resehandling bör därför kunna få ett sådant utfärdat i stället för ett identitetskort som samtidigt utgör en resehandling.

I dag kan inte en person som är svensk medborgare utan att vara folkbokförd i Sverige få ett kort som inte fungerar som resehandling utfärdat. Även svenska medborgare som inte bor i Sverige kan dock ha behov av ett id-kort som inte samtidigt är en resehandling. Det

2Prop. 2014/15:69 s. 14 f.

förfarande med ansökan genom bud som nämns ovan bör exempelvis omfatta även dessa personer. Det kan också finnas andra skäl som gör att ett sådant behov finns. Även svenska medborgare som inte är folkbokförda i landet bör därför kunna få ett identitetskort utan funktion som resehandling.

10.2.2. En ny lag med bestämmelser om statligt identitetskort införs

Utredningens förslag: Det statliga identitetskortet ska regleras i

en ny lag om statliga identitetshandlingar. Lagen ska kompletteras med en ny förordning.

Identitetskort för folkbokförda i Sverige reglerades till en början i förordningen (2009:284) om identitetskort för folkbokförda i Sverige. Med anledning av införandet av bestämmelsen i 2 kap. 6 § andra stycket regeringsformen (RF) gjordes en översyn i syfte att bedöma om bestämmelserna måste eller borde tas in i lag.

Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar kan enligt 2 kap. 20 § RF endast göras genom lag och bara under de förutsättningar som anges i 2 kap. 21 § RF. Av den bestämmelsen följer att begränsningar endast får göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

I förarbetena till bestämmelsen i 2 kap. 6 § andra stycket RF anges att en åtgärd som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas förhållanden. Så torde enligt förarbetena vara fallet i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. Uppgifter i register och databaser med information som är knuten till en myndighets ärendehantering är i

många fall tillgängliga för myndigheten på ett sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.

Av förarbetena framgår också att bestämmelsen endast omfattar sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär. Stor vikt ska vid bedömningen läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt sett anses vara. Även ändamålet med behandlingen har stor betydelse vid bedömningen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Därutöver kan mängden uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen.3

Regeringen gjorde i det ovan nämnda lagstiftningsärendet bedömningen att vissa bestämmelser om identitetskort för folkbokförda i Sverige skulle föras in i lag. Regeringen kom fram till att det var lämpligt att i lag reglera de mest centrala kriterierna för att utfärda ett identitetskort, vissa krav i samband med ansökan, grunder för återkallelse och grundläggande bestämmelser om den databas som förs i verksamheten med id-korten.4 Översynen resulterade därför i en ny lag om identitetskort för folkbokförda i Sverige som trädde i kraft den 1 januari 2016 och som kompletteras av en förordning.

När det gäller tillämpligheten av 2 kap. 6 § andra stycket RF gör vi följande överväganden. I det register över identitetskort som berörs i avsnitt 10.3 behandlas sådana uppgifter om enskildas personliga förhållanden som avses i bestämmelsen. Eftersom den enskilde inte har något annat val än att låta den utfärdande myndigheten behandla vissa av hans eller hennes personuppgifter för att kunna få ett statligt identitetskort kan behandlingen av personuppgifterna inte anses ske med ett sådant samtycke som avses i bestämmelsen. Som

3Prop. 2009/10:80 s. 180 ff. och 250. 4Prop. 2015/16:28 s. 57 f.

framgår av avsnitt 10.3.1 är samtycke inte heller den rättsliga grund som behandlingen stöder sig på enligt dataskyddsförordningen.

När det gäller frågan om behandlingen av personuppgifterna i registret kan anses innebära kartläggning är alltså inte syftet med behandlingen avgörande utan vilken effekt åtgärden har. Id-kortsregistret innehåller uppgifter om bl.a. namn, personnummer, längd och kön. Registret innehåller även ansiktsbilder och kommer, i enlighet med vårt förslag i avsnitt 11.4.4, även att innehålla biometriska uppgifter som tas fram ur ansiktsbilderna. Även om syftet med behandlingen av personuppgifterna i registret är ett helt annat får den därmed anses innefatta en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket RF.

Frågan är då om behandlingen innebär ett betydande intrång i den personliga integriteten. Det är som nämnts bara vissa kvalificerade intrång som omfattas av grundlagsskyddet. I registret behandlas en förhållandevis stor mängd personuppgifter. Registret kommer att innehålla ansiktsbilder och biometriska uppgifter som tas fram ur dessa. Vi föreslår också att biometriska jämförelser av ansiktsbilder ska få göras i samband med ansökan om id-kort. Detta är omständigheter som skulle kunna tala för att intrånget i den enskildes personliga integritet ska anses vara betydande.

Även ändamålet med behandlingen av personuppgifterna måste dock beaktas. Uppgifterna i registret behandlas för att id-kort ska kunna utfärdas och id-kortsverksamheten i sig kan inte betraktas som särskilt integritetskänslig. De flesta av de personuppgifter som behandlas är inte av känslig karaktär. De biometriska uppgifter som tas fram ur ansiktsbilderna ska endast i begränsad omfattning kunna användas som sökbegrepp. Vidare har den enskilde kännedom om att personuppgifterna behandlas, eftersom han eller hon har ansökt om id-kort och därvid lämnat sina uppgifter.

Behandlingen av personuppgifter i id-kortsregistret får mot denna bakgrund anses innebära ett visst intrång i den enskildes personliga integritet, men inte så betydande att det omfattas av grundlagsskyddet i 2 kap. 6 § andra stycket RF. Det innebär att behandlingen av personuppgifter i registret inte på grund av den bestämmelsen behöver regleras i lag.

Eftersom id-kortsregistret som framgått innehåller uppgifter om ett stort antal personer och vissa av uppgifterna är av mer integritetskänsligt slag framstår det dock ändå som lämpligt att i huvudsak

ta in bestämmelserna om behandling av personuppgifter i lag. I sammanhanget kan också nämnas att både riksdagen och regeringen har uttalat att myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll bör regleras i lag.5 Även de mest centrala kriterierna för att utfärda ett id-kort, vissa krav i samband med ansökan och grunder för återkallelse är, som konstaterades i det tidigare lagstiftningsärendet, lämpliga att reglera i lag. Vi kommer därmed till samma slutsats när det gäller frågan om regleringen bör tas in i lag eller förordning som i det tidigare lagstiftningsarbetet. Den sammanhållna regleringen avseende identitetskorten bör således införas i en ny lag som innehåller de mest centrala bestämmelserna. Mer detaljerade bestämmelser bör föras in i en kompletterande förordning.

Eftersom vi i avsnitt 12.6 även föreslår att bestämmelser om den statliga e-legitimationen ska tas in i de nya författningarna bör dessa benämnas lagen respektive förordningen om statliga identitetshandlingar. Att även passen är en statlig identitetshandling, som regleras i en separat lag, framgår av den bestämmelse som anger att statligt identitetskort och pass är de fysiska identitetshandlingar som staten utfärdar, som vi föreslår i avsnitt 8.6.

Som en följd av att de nya författningarna införs bör IdL, IdF och förordningen om nationellt identitetskort upphävas.

10.2.3. Övergripande om den nya regleringen

Utredningens förslag: De bestämmelser som finns i de författ-

ningar som i dag reglerar nationellt identitetskort och identitetskort för folkbokförda i Sverige förs med i huvudsak oförändrat innehåll in i den nya lagen eller i den nya förordningen om statliga identitetshandlingar.

Vissa bestämmelser som i dag finns i förordning förs in i lag.

De bestämmelser som finns i de författningar som i dag reglerar nationellt identitetskort och identitetskort för folkbokförda i Sverige bör med i huvudsak samma innehåll föras in i lagen och förordningen om statliga identitetshandlingar. Bestämmelserna som i samband med

5 Bet. 1990/91:KU11 s. 11 och prop. 1990/91:60 s. 58.

det i avsnitt 10.2.2 nämnda lagstiftningsarbetet avseende IdL placerades i lag föreslår vi, om inget annat anges, ska föras över till den nya lagen om statliga identitetshandlingar och omfatta även identitetskort med funktion som resehandling. På motsvarande sätt bör de bestämmelser som är placerade i förordning med några undantag föras in i den nya förordningen om statliga identitetshandlingar. Vissa bestämmelser som i dag finns på förordningsnivå föreslår vi dock ska föras in i lag. Det rör sig framför allt om bestämmelser som reglerar krav på personlig inställelse och id-kortets giltighetstid. Skälet till det är att sådana bestämmelser är centrala för säkerheten i utfärdandet. De bestämmelser vi föreslår i avsnitt 11.4.4 om att den utfärdande myndigheten vid den personliga inställelsen ska ta sökandens fingeravtryck innebär dessutom en sådan olägenhet för den enskilde att det utgör skäl för lagreglering. I vilka avseenden bestämmelser som i dag finns i förordning bör föras in i lag återkommer vi till i de kommande avsnitten.

De bestämmelser som föreslås föras in i den nya lagen oförändrade eller med endast redaktionella ändringar berörs inte i avsnitten nedan. Det gäller bestämmelserna om att id-kortet ska utfärdas efter ansökan, att sökanden ska styrka sin identitet, övriga personuppgifter och medborgarskap, att den utfärdande myndigheten ska ta sökandens ansiktsbild, under vilka förutsättningar en ansökan ska avslås samt att beslut enligt lagen ska gälla omedelbart. Inte heller berörs de bestämmelser som vi föreslår ska föras in i princip oförändrade i den nya förordningen. Det gäller krav på att ansökan ska göras skriftligen och undertecknas i närvaro av utfärdarens personal samt att en underårig sökande ska ge in medgivande från vårdnadshavare om det inte finns synnerliga skäl. Förutom dessa bestämmelser bör även bestämmelserna som innehåller särskilda rutiner för utlandsmyndigheterna när det gäller översändande av information och återkallelse föras in i förordning. Detsamma gäller bestämmelserna om skyldighet att överlämna ett identitetskort som har återkallats, tillgång till uppgifter hos Migrationsverket, makulering av identitetskort och avgift.

I IdL finns i dag ett antal bestämmelser som anger att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela ytterligare föreskrifter. Föreskrifterna får bl.a. avse ansökan och utfärdande av id-kort och förfarandet vid återkallelse. Det följer dock redan av bestämmelsen i RF att regeringen

får meddela föreskrifter om verkställighet av lag. Sådana bemyndiganden införs ibland i informationssyfte men är alltså inte nödvändiga. Passlagen innehåller inte några motsvarande bestämmelser. Vi menar att bestämmelserna är överflödiga och att de därför inte bör föras in i den nya lagen om statliga identitetshandlingar.

När det gäller övriga bestämmelser än de som räknats upp ovan bör innehållet anpassas något för att regleringen av de båda id-korten ska bli enhetlig och för att utfärdandet ska bli säkrare. Dessa förändringar behandlas i avsnitten nedan.

10.2.4. Åldersgräns

Utredningens bedömning: Det bör inte införas någon ålders-

gräns för att få det statliga identitetskortet.

Identitetskort för folkbokförda i Sverige kan enligt 1 § IdL endast utfärdas till personer som har fyllt 13 år. För det nationella identitetskortet finns ingen åldersgräns vilket sannolikt har att göra med att det också kan användas som resehandling. Id-kortsutredningen angav att behovet av identitetskort för folkbokförda i Sverige var kopplat till behovet av att kunna utöva sin rättshandlingsförmåga. Id-kortsutredningen föreslog med hänvisning till en bestämmelse i 9 kap. 3 § föräldrabalken, som innebär att den som har fyllt 16 år själv får råda över vad han eller hon förvärvat genom eget arbete, att personer som fyllt 16 år skulle kunna få id-kortet.6 Åldersgränsen sattes dock till 13 år.

Behovet av att kunna identifiera sig torde inte vara så stort bland barn som är yngre än 13 år. I vissa situationer kan det dock finnas ett sådant behov, exempelvis vid uthämtande av en beställd vara.

Svenska medborgare har möjlighet att skaffa pass eller statligt identitetskort med funktion som resehandling oavsett ålder. Sådana handlingar får, som vi redan konstaterat, antas vara mer stöldbegärliga än ett id-kort utan funktion som resehandling. Ur ett säkerhetsperspektiv är det därför mer lämpligt att tillåta att en yngre person som inte har behov av en resehandling i stället får inneha ett id-kort utan funktion som resehandling. Genom att ta bort åldersgränsen

6SOU 2007:100 s. 104.

blir också regleringen densamma för svenska medborgare och personer som är folkbokförda i landet. Vi anser därför att den nya lagen inte bör innehålla någon åldersgräns för att få id-kortet, oavsett om det rör sig om ett kort med eller utan funktion som resehandling. På samma sätt som i dag bör det i förordning regleras att en ansökan av en underårig person måste medges av vårdnadshavare om det inte finns synnerliga skäl.

10.2.5. Id-kortets giltighetstid

Utredningens förslag: Att det statliga identitetskortet ska vara

giltigt i fem år ska regleras i den nya lagen och inte längre anges i förordning. Regeringen eller den myndighet regeringen bestämmer ska få meddela föreskrifter om begränsning av giltighetstiden i särskilt angivna fall.

Giltighetstiden för såväl det nationella identitetskortet som identitetskortet för folkbokförda är högst fem år. Detta regleras i dag i förordning (5 § förordningen om nationellt identitetskort och 8 § IdF). Att giltighetstiden är begränsad till fem år är, som framgår av avsnitt 8.5.1, av stor betydelse ur ett säkerhetsperspektiv. Det innebär att innehavarens utseende inte hinner förändras i så stor utsträckning under giltighetstiden. Vidare minskar risken för att det samtidigt finns flera olika versioner av id-kortet tillgängligt på marknaden vilket försvårar kontrollen. Det gör också att det finns goda förutsättningar för att handlingarna ska kunna innehålla de senaste säkerhetsdetaljerna vilket motverkar förfalskningar. Att id-kortet inte ska kunna utfärdas med en längre giltighetstid än fem år är enligt vår mening av så central betydelse att det finns skäl att reglera det i den nya lagen och inte, som i dag, i förordning.

Undantag som innebär en begränsning av giltighetstiden bör dock i särskilt angivna fall kunna föreskrivas av regeringen eller den myndighet regeringen bestämmer. I dag finns det i 5 § förordningen om nationellt identitetskort ett undantag när det gäller sökande som kan antas komma att förlora eller befrias från sitt svenska medborgarskap. För dessa sökande ska kortet endast gälla till den tidpunkt då medborgarskapet beräknas upphöra. Det undantaget bör föras in i den nya förordningen. Även den bestämmelse om begränsning av

giltighetstiden som vi i avsnitt 11.4.4 föreslår för sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck bör föras in i förordning.

10.2.6. Det statliga identitetskortets innehåll

Utredningens förslag: Ett identitetskort med funktion som rese-

handling ska innehålla uppgift om innehavarens medborgarskap och ett kort utan funktion som resehandling en upplysning om att kortet inte har den funktionen.

Båda typerna av identitetskort ska i ett lagringsmedium på kortet innehålla en e-legitimation samt kortinnehavarens ansiktsbild och fingeravtryck.

Regeringen eller den myndighet som regeringen bestämmer ska kunna meddela föreskrifter om vilka andra uppgifter som det statliga identitetskortet ska innehålla.

Som anges i avsnitt 10.2.1 bör den omständigheten att endast kort som utfärdas för svenska medborgare kan användas vid resor inom EU markeras fysiskt på korten. Syftet med en sådan markering är att de id-kort som inte kan användas vid resa inte ska förväxlas med resehandlingar. Det bör därför anges på id-kort utan funktion som resehandling att de inte kan användas för att resa. En bestämmelse om detta bör föras in i den nya lagen. Texten bör anges på engelska eftersom informationen framför allt riktar sig till myndigheter i andra länder. Det kan också vara lämpligt att korten tillverkas i olika färger. Eftersom id-kort med funktion som resehandling ska kunna användas för att styrka innehavarens rätt att uppehålla sig i ett annat EU-land bör det även regleras att sådana kort ska innehålla uppgift om innehavarens medborgarskap.

I lag bör också regleras att det i ett lagringsmedium på id-kortet ska finnas en statlig e-legitimation som vi föreslår i kapitel 12.4 samt kortinnehavarens fingeravtryck och ansiktsbild som vi föreslår i avsnitt 11.4.4. Se vidare övervägandena i dessa kapitel.

Det statliga identitetskortet måste naturligtvis också innehålla uppgifter om innehavarens identitet, såsom namn och personnummer. De flesta personer som kommer att kunna få ett statligt identitetskort har ett personnummer. Eftersom id-kortet ska kunna utfärdas

till alla svenska medborgare finns det dock ett behov av att de även innehåller samordningsnummer i vissa fall. Svenska medborgare som är födda utomlands och som aldrig har varit folkbokförda i Sverige har nämligen inte något personnummer. Kortet måste därför utfärdas med samordningsnummer för dessa personer. Enligt vår bedömning är det dock inte nödvändigt att i lag detaljreglera id-kortets innehåll. För det fall det uppstår behov av att uppställa krav på kortets innehåll i övrigt bör detta kunna göras genom föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.

10.2.7. Personlig inställelse

Utredningens förslag: Kravet på att sökanden ska inställa sig per-

sonligen vid ansökan om och utlämnade av identitetshandlingar ska föras in i den nya lagen.

Personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten kan genom bud ansöka om identitetskort utan funktion som resehandling. Att hinder föreligger ska styrkas med ett intyg från en företrädare för den inrättning för vård eller omsorg som sökanden vistas på eller den som ansvarar för sökandens vård eller omsorg. Till ansökan ska också bifogas ett välliknande fotografi.

Budet ska ansöka genom personlig inställelse och styrka sin identitet med en statlig fysisk identitetshandling eller ett pass från vissa länder i Europa. Budet och ett vittne ska i en skriftlig försäkran intyga att det är sökanden som har gjort ansökan och att fotografiet föreställer sökanden. Identitetskortet får även lämnas ut till budet.

Personlig inställelse i samband med ansökan

I 3 § IdF och 2 § förordningen om nationellt identitetskort finns bestämmelser som innehåller krav på personlig inställelse vid ansökan om id-kort. Som vi anfört i avsnitt 8.5.1 är det av stor vikt att sökanden inställer sig personligen när ansökan görs. På så sätt ökar förutsättningarna att fastställa sökandens identitet och därigenom

förhindra att id-kort utfärdas till fel person. Kravet på personlig inställelse vid ansökan om identitetskort är enligt vår mening av så central betydelse att det finns skäl att ta in det i den nya lagen och inte, som i dag, i förordning. Denna ordning gäller redan i dag för ansökan om pass (6 § första stycket passlagen). Vi föreslår dessutom i avsnitt 11.4.4 bestämmelser om att den utfärdande myndigheten ska ta sökandens fingeravtryck. Att vid en personlig inställelse låta myndigheten göra sådana kontroller innebär en sådan olägenhet för den enskilde att det även av det skälet är lämpligt att ta in kravet på personlig inställelse i lag. Kravet på personlig inställelse bör därför regleras i den nya lagen.

Personlig inställelse i samband med utlämnande

Sökanden ska enligt 9 § IdF och 6 § förordningen om nationellt identitetskort inställa sig personligen även vid utlämnande av identitetskortet. Även dessa bestämmelser har införts av säkerhetsskäl. Kravet på personlig inställelse i samband med utlämnande av identitetskort bör, av de skäl som angetts ovan beträffande ansökan, föras in i den nya lagen. Detsamma gäller bestämmelsen i 6 § förordningen om nationellt identitetskort som ger utrymme för en utlandsmyndighet att medge att identitetskortet lämnas ut hos ett ombud för myndigheten, eftersom det fortfarande finns behov av en sådan bestämmelse.

En personlig inställelse är emellertid resurskrävande för den utfärdande myndigheten eftersom det krävs både personal och lokaler för att hantera de personliga besöken. Våra förslag kommer att medföra ett ökat antal ansökningar om id-kort. Det kommer därmed att krävas ytterligare resurser hos den utfärdande myndigheten. Kravet på personlig inställelse både vid ansökan och vid utlämnande innebär dessutom att personer som bor långt ifrån någon av den utfärdande myndighetens lokaler vid två tillfällen måste resa en lång sträcka för att få sina identitetshandlingar. Sammantaget gör detta att det finns anledning att, både av effektivitetsskäl och av serviceskäl, överväga om det är möjligt att hantera utlämnandet på andra sätt än i dag. Det är dock viktigt att detta kan ske utan att det görs avkall på säkerheten.

Risken för att identitetshandlingar utfärdas på felaktiga grunder finns framför allt i det första steget i utfärdandeprocessen. Det är

därför av största vikt att ansökningsprocessen är kringgärdad av olika säkerhetsåtgärder. Ansökningsförfarandet skyddas förutom av kravet på personlig inställelse även av ett antal andra säkerhetshöjande föreskrifter. Bestämmelserna om att den utfärdande myndigheten ska ta sökandens ansiktsbild och fingeravtryck (se avsnitt 11.4.4), att identiteten ska styrkas och att ansökan ska undertecknas i närvaro av myndighetens personal utgör exempel på sådana regler. Sammantaget medför denna reglering att ansökningsförfarandet uppnår en mycket hög nivå av säkerhet.

Av uppgifter från Polismyndigheten framgår att det i dag inte identifierats som ett problemområde att personer försöker få ut identitetshandlingar som någon annan har ansökt om. Det är således inte i utlämnandesteget som de stora riskerna finns. Vi menar mot denna bakgrund att Polismyndigheten bör undersöka om utlämnandet skulle kunna effektiveras ytterligare utan att det därmed blir osäkert.

Vi föreslår i avsnitt 11.6.1 att Polismyndigheten i samband med utlämnandet ska kunna kontrollera sökandens fingeravtryck och ansiktsbild och jämföra dessa med de uppgifter som är lagrade i identitetshandlingens chip. Det förslaget möjliggör ett mer flexibelt utlämnande som också kan baseras på en riskbedömning. Det innebär att Polismyndigheten kan ersätta eller komplettera en kontroll av sökandens identitetshandling med en kontroll av fingeravtryck eller ansiktsbild. Förslaget öppnar dessutom för införandet av ett mer automatiserat utlämnande. Vi lämnar inte några ytterligare författningsförslag i denna del eftersom vi bedömer att redan den befintliga regleringen ger utrymme för viss utveckling av utlämnandeprocessen. Frågan kan dock behöva övervägas på nytt beroende på vad Polismyndighetens utvecklingsarbete visar.

För att förbättra servicen till de som har långt till närmaste polisstation där id-kort utfärdas skulle man även kunna tänka sig att utlämnandet sker med hjälp av andra myndigheter. Utlämnande skulle då kunna ske på fler orter. Statens servicecenter, som enligt nuvarande planering från och med den 1 juni 2019 kommer att ta över de servicekontor som i dag drivs gemensamt av Skatteverket, Försäkringskassan och Pensionsmyndigheten, skulle t.ex. kunna vara en lämplig myndighet att samverka med. Vi menar därför att Polismyndigheten bör överväga om en sådan lösning är lämplig. Vi kan inte se att de förslag till reglering av id-kortsverksamheten som vi lämnar utgör hinder mot en sådan utveckling. Det finns däremot anledning att

överväga om det krävs andra författningsändringar för att en sådan samverkan ska vara möjlig. En sådan analys är dock inte möjlig att göra inom ramen för vårt uppdrag utan bör göras först då Polismyndigheten bedömer att det finns förutsättningar för sådan samverkan.

Undantag från kravet på personlig inställelse för äldre, sjuka och personer med funktionsnedsättning

Tillgången till id-kortet för äldre, sjuka och personer med funktionsnedsättning

En konsekvens av vårt förslag att körkort inte ska godtas som identitetshandling i alla situationer är, som anges i avsnitt 8.5.2, att den enskilde kan behöva inställa sig personligen vart femte år för att förnya sitt id-kort. För den som i dag använder körkortet som identitetshandling innebär detta en skillnad eftersom förnyelse av körkort inte kräver personlig inställelse. På grund av den personliga inställelsens centrala betydelse för säkerheten i utfärdandet har vi i det ovan nämnda avsnittet gjort bedömningen att fördelarna med den personliga inställelsen klart överväger nackdelarna för den enskilde.

Det finns dock personer som särskilt skulle kunna drabbas av vårt förslag. Det gäller t.ex. äldre personer eller personer som är allvarligt sjuka eller har någon fysisk eller psykisk funktionsnedsättning som gör att de inte kan ta sig till Polismyndighetens lokaler. Det finns i dag inte någon möjlighet att göra undantag från kravet på den personliga inställelsen när ansökan om id-kort görs i Sverige. Det har kommit till utredningens kännedom att detta redan i dag förorsakar problem för personer med svåra fysiska eller psykiska funktionsnedsättningar. Eftersom personerna inte kan ta sig till utfärdaren har de inte någon möjlighet att få id-kort. För att göra id-kortet tillgängligt för alla menar vi att det bör övervägas om det är möjligt att införa en särskild process för de situationer då en person på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till utfärdarens lokaler.

Alternativa lösningar

Vi har övervägt om det skulle vara lämpligt att låta dessa personer göra en elektronisk ansökan. Vi har därför tittat närmare på det finska systemet som innebär att en sökande vid ansökan om förnyelse av sitt id-kort varannan gång har möjlighet att göra ansökan elektroniskt utan att inställa sig personligen. Detta gäller oavsett om personen har möjlighet att ta sig till utfärdarens lokaler eller inte. För att kunna göra en ansökan elektroniskt i Finland måste sökanden ha lämnat namnteckningsprov och, när ansökan gäller pass, fingeravtryck vid ett personligt besök hos myndigheten i samband med föregående ansökan. Identifiering sker genom användning av e-legitimation. Sökanden tar sitt fotografi hos en fotograf som laddar upp detta på polisens server. Det finska förfarandet förutsätter att sökanden vid något tidigare tillfälle har gjort en ansökan vid ett personligt besök och då lämnat namnteckningsprov och i förekommande fall fingeravtryck som kan återanvändas vid ett senare tillfälle. Det måste också finnas ett foto som tagits tidigare infört i den utfärdande myndighetens register för att det ska kunna göras en jämförelse med det nya foto som skickas in. Dessa förutsättningar kommer sannolikt inte att vara uppfyllda när det gäller de personer som här är aktuella eftersom det framför allt handlar om personer som i dag använder körkort som identitetshandling. Merparten av personerna finns inte i id-kortsregistret. Troligen saknas det också tillräckligt aktuella uppgifter i passregistret för många av dem. Det är dessutom osäkert om dessa sökande har en e-legitimation som skulle kunna användas för identifiering. Av statistik från Finansiell ID-Teknik BID AB framgår att andelen personer som innehar BankID är betydligt lägre bland den äldre delen av befolkningen.

Den lösning som valts i Finland är därför enligt vår mening inte möjlig för närvarande. Det brister både när det gäller de praktiska förutsättningarna och förutsättningarna för att säkerställa att risken för missbruk minimeras. Det kan dock inte uteslutas att det, i takt med att utfärdandeverksamheten utvecklas, senare kan finnas skäl att överväga en sådan lösning.

Ett annat alternativ skulle kunna vara att den utfärdande myndighetens personal tar upp ansökan om id-kort på exempelvis boenden för äldre eller personer med funktionsnedsättning med hjälp av

mobila id-kortstationer. Vid vissa utlandsmyndigheter finns det redan i dag mobila passtationer som används för att medborgare med långt avstånd till ambassaden ska kunna ansöka om resehandlingar. En sådan lösning innebär att sökanden sammanträffar personligen med personal från den utfärdande myndigheten. Ansökan kan göras på samma sätt som när den görs i utfärdarens ordinarie lokaler och säkerhetsnivån motsvarar därmed den som gäller för det vanliga ansökningsförfarandet. Att införa en sådan modell även i Sverige kräver enligt vår bedömning inte någon särskild författningsreglering. Kravet på personlig inställelse innebär endast att sökanden måste sammanträffa personligen med den utfärdande myndighetens representanter och kräver inte att det måste ske i myndighetens ordinarie lokaler. Polismyndigheten bör därför utan särskilt författningsstöd kunna införa mobila stationer om myndigheten anser det lämpligt. Ett sådant förfarande medför dock sannolikt merkostnad för utrustning och personal.

Det finns därför skäl att överväga om det finns något annat alternativ för personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till Polismyndigheten.

Utlandsmyndigheterna har enligt 2 § förordningen om nationellt identitetskort en möjlighet att medge att sökanden inställer sig hos ett ombud för myndigheten eller, om det finns särskilda skäl, efterge kravet på personlig inställelse vid ansökan om nationellt identitetskort. Av uppgifter från Utrikesdepartementet framgår att undantaget framför allt tillämpas beträffande äldre personer som inte har möjlighet att ta sig till passmyndigheten. Det rör sig om personer som inte ska resa men som är i behov av en gällande svensk identitetshandling eftersom de som regel inte kan få en handling utfärdad i bosättningslandet på grund av att de inte är medborgare där. Eftersom det inte finns någon möjlighet att göra undantag från kravet på personlig inställelse när det gäller ansökan om vanligt pass kan dessa personer inte få pass. De kan som regel inte heller förnya ett eventuellt svenskt körkort eftersom de inte uppfyller kravet på bosättning i Sverige. Ansökan om id-kort sker i dessa fall enligt Utrikesdepartementet med hjälp av t.ex. sjukhus, läkare eller lokal myndighet som även hjälper till att ta foto på sökanden. Till ansökan bifogas ett läkarintyg. Undantaget tillämpas restriktivt. En liknande modell bör vara möjlig i Sverige. Det bör dock noga övervägas under vilka förutsättningar ett sådant förfarande ska vara tillåtet för att det inte ska

kunna missbrukas. Det är betydligt fler personer som skulle kunna vara aktuella än vad som är fallet för utlandsmyndigheterna. Förfarandet bör därför regleras i lag och förordning och inte överlåtas till den utfärdande myndigheten att bestämma på det sätt som gäller för utlandsmyndigheterna i dag.

Vi har undersökt om den ordning som gäller i samband med budröstning vid val skulle kunna vara en möjlig lösning även vid ansökan om id-kort. Röstningsreglerna vid val är kringgärdade av särskilda bestämmelser som syftar till att förfarandet ska vara säkert.

Enligt 7 kap. 4 § vallagen (2005:837) är det möjligt för den som på grund av sjukdom, funktionsnedsättning eller ålder inte själv kan ta sig till ett röstmottagningsställe att lämna sina valsedlar där genom bud. Väljarens make eller sambo och väljarens, makens eller sambons barn, barnbarn, föräldrar eller syskon får enligt 7 kap. 5 § vallagen vara bud. Även de som yrkesmässigt eller på liknande sätt ger väljaren vård eller som annars brukar hjälpa väljaren i personliga angelägenheter kan agera bud.

I vallagen finns även bestämmelser om hur förfarandet med budröstning går till. Väljaren ska enligt 7 kap. 7 § själv lägga ner valsedeln i valkuvertet och därefter i närvaro av budet och ett vittne lägga valkuverten i ett särskilt ytterkuvert. På ytterkuvertet ska väljaren ange sitt namn och personnummer och intyga att den föreskrivna proceduren iakttagits. Väljaren ska vidare på ytterkuvertet intyga att han eller hon på grund av sjukdom, funktionsnedsättning eller ålder inte kan ta sig till ett röstmottagningsställe. Även vittnet och budet ska på ytterkuvertet intyga att allt gått rätt till. Budet ska i samband med att kuvertet lämnas på ett röstmottagningsställe legitimera sig eller på annat sätt styrka sin identitet (8 kap. 8 §). Syftet med bestämmelserna är att förfarandet ska vara säkert och att risken för att väljarna utsätts för otillbörlig påverkan vid röstningen ska minskas.

En möjlighet att ansöka genom bud bör införas

Att använda bud på liknande sätt som i samband med val bör kunna vara ett lämpligt tillvägagångssätt även vid ansökan om id-kort. Genom användning av bud skulle även äldre, sjuka och personer med funktionsnedsättning som har behov av ett id-kort kunna få tillgång till

ett sådant. Eftersom detta innebär ett avsteg från den viktiga principen om personlig inställelse bör ett sådant undantag dock tillämpas mycket restriktivt. Det bör främst vara fråga om sökande som till följd av fysisk funktionsnedsättning är förhindrade att ta sig till den utfärdande myndigheten. Det bör i princip vara fråga om personer som inte kan förflytta sig alls. Enbart t.ex. det förhållandet att någon är rullstolsburen hindrar inte denne från att komma till myndigheten även om det måste ske med hjälp av en annan person. Även personer med grav psykisk funktionsnedsättning kan under vissa omständigheter vara förhindrade att ta sig till den utfärdande myndigheten.

För att förhindra missbruk bör det krävas att någon oberoende person intygar att sökanden är förhindrad att ta sig till den utfärdande myndigheten. Att sökanden är förhindrad bör styrkas genom intyg från den inrättning som sökanden vistas på. Det kan exempelvis vara ett sjukhem, äldreboende eller boende för personer med funktionsnedsättning. För det fall sökanden ges vård eller omsorg i hemmet bör intyget skrivas av den som ansvarar för sökandens vård eller omsorg. Intyget ska skrivas av en representant för vårdinrättningen eller boendet, men bör inte skrivas av den som ger sökanden den faktiska vården eller omsorgen. Det kan vara en läkare eller annan legitimerad personal som kan göra den medicinska bedömningen men även exempelvis verksamhetschefen för ett boende eller annan administrativ personal som har kännedom om sökandens hälsotillstånd bör kunna lämna intyg. I intyget ska en försäkran att sökanden inte kan ta sig till den utfärdande myndigheten på grund av sjukdom, funktionsnedsättning eller ålder lämnas. Eftersom intygsgivandet begränsas till att omfatta personer som företräder vårdinrättningar och boenden ges den myndighet som utfärdar id-kortet möjlighet att kontrollera intygets äkthet genom kontakt med inrättningen.

En förutsättning för att ett ansökningsförfarande med hjälp av bud ska kunna fungera är, förutom att undantag görs från den personliga inställelsen, även att det görs undantag från bestämmelsen om att den utfärdande myndigheten ska ta sökandens ansiktsbild. Sökanden måste i stället tillåtas att lämna in ett eget fotografi. Fotografiet ska vara välliknande och uppfylla de krav som ställs på de bilder som tas av utfärdaren. Ytterligare föreskrifter om fotografiet och i vilket format det ska lämnas in bör meddelas av regeringen eller den utfärdande myndigheten. I avsnitt 11.4.4 föreslår vi även undantag från

den skyldighet att lämna fingeravtryck som vi menar bör införas. Denna kategori av personer omfattas dock inte av något undantag från kravet på att lämna fingeravtryck i förslaget till EU:s id-kortsförordning. Av det skälet och då ansökningsförfarandet inte kommer att kringgärdas av samma säkerhet som gäller i övrigt bör idkorten inte gälla som resehandling.

För att väga upp den sänkta säkerhetsnivån som det innebär att sökanden inte själv sammanträffar med personal hos utfärdaren som tar sökandens ansiktsbild måste det ställas höga krav på förfarandet. Processen måste vara så pass säker att risken för missbruk minimeras. Vissa säkerhetshöjande föreskrifter om hur ansökan med hjälp av bud ska gå till bör därför införas.

Vi menar till en början att budet, på motsvarande sätt som gäller enligt vallagen, bör känna sökanden väl. Detta eftersom budet måste kunna intyga att det är rätt person som ansöker. Endast personer som har en viss närmare relation till sökanden bör därför godtas. Det ligger nära till hands att låta några av de kategorier av personer agera som bud som vi i avsnitt 10.2.8 föreslår ska kunna vara intygsgivare för det fall sökanden inte kan identifiera sig med en identitetshandling. En nära anhörig till sökanden (vårdnadshavare, förälder, barn eller barnbarn över 18 år, hel- eller halvsyskon över 18 år, mor- eller farförälder, make eller maka, registrerad partner eller sambo) bör således kunna vara bud. Relationen bör kunna styrkas genom en kontroll av folkbokföringsuppgifter eller andra tillförlitliga uppgifter. Även god man, förvaltare och familjehemsförälder bör kunna vara bud. Dessa bör då styrka sitt uppdrag genom beslut om förordnande. En anställd vid den vårdinrättning eller det boende som sökanden vistas på eller får vård av som har nära kontakt med personen bör också kunna agera som bud. Det bör då vara någon annan hos inrättningen än den som utfärdat intyget om att personen inte kan ta sig till den utfärdande myndigheten, exempelvis den som vårdar sökanden.

Ansökan bör undertecknas av sökanden i närvaro av budet och ett vittne. På så sätt säkerställs att det är rätt person som gör ansökan och att ansökan har gjorts på ett korrekt sätt. Budet och vittnet bör genom en skriftlig försäkran intyga att ansökan gjorts av sökanden och att det fotografi som bifogas ansökan föreställer sökanden. Vittnet bör, liksom budet, ha fyllt 18 år.

Budet bör därefter inställa sig personligen hos den utfärdande myndigheten för att lämna in ansökan. Sökandens identitet bör styrkas på motsvarande sätt som när sökanden själv är närvarande vid ansökningstillfället, se avsnitt 8.6.2 och 10.2.8. Budet bör därför som huvudregel visa upp en statlig fysisk identitetshandling som tillhör sökanden. Även pass från andra EU-länder samt pass utfärdat av Island, Liechtenstein, Norge och Schweiz bör godtas. Har sökanden inte en sådan handling bör identiteten kunna styrkas genom att budet intygar att sökandens uppgifter om identiteten är riktiga. Sökande som beviljats uppehållstillstånd bör även kunna styrka sin identitet genom en jämförelse med uppgifter som finns registrerade hos Migrationsverket i fråga om personens uppehållstillstånd, se avsnitt 10.2.8. Eftersom ansökan ska göras genom ett bud som känner sökanden väl finns det däremot inte något behov av att låta den utfärdande myndigheten godta att sökandens identitet styrks på något annat tillförlitligt sätt, på det sätt som vi i avsnitt 10.2.8 föreslår beträffande sökande som är närvarande vid ansökan.

Budet bör styrka sin identitet genom att visa upp en statlig fysisk identitetshandling. Av de skäl som anges i avsnitt 10.2.8 när det gäller sökanden bör även pass från andra EU-länder samt pass utfärdat av Island, Liechtenstein, Norge och Schweiz godtas.

Att ansökan görs genom bud bör sannolikt föranleda Polismyndigheten att göra en mer fördjupad kontroll än i andra ärenden. Kontrollen kan exempelvis bestå i att kontakt tas med den som skrivit intyget om att sökanden är förhindrad att inställa sig för att säkerställa att intyget är korrekt. Kontakt kan även behöva tas med vittnet för en kontroll av att intyget om att ansökan gjorts på föreskrivet sätt är riktigt. I tveksamma fall kan också ytterligare kontakt behöva tas med budet. Det är därför viktigt att uppgifter om vem som agerat bud samt kontaktuppgifter till budet registreras, se avsnitt 10.3.4. Även uppgifter om vårdinrättningen och dess företrädare samt vittnet behöver finnas i registret. Om identitetskort eller pass tidigare har utfärdats för sökanden bör naturligtvis även en noggrann jämförelse mellan fotografiet som fogas till ansökan och ansiktsbilden som finns i registret göras. Kontrollen kan med fördel göras elektroniskt för att säkerställa att det är samma person på bilderna. Närmare föreskrifter om hur dessa ärenden ska hanteras bör meddelas av Polismyndigheten.

För att möjligheten att ansöka genom bud ska fungera måste budet även tillåtas hämta ut det färdiga id-kortet. Av säkerhetsskäl bör det vara samma bud som bistått vid ansökan. Även i samband med att id-kortet hämtas ut bör budets och sökandens identitet styrkas på samma sätt som vid ansökan.

Ansökan genom bud bör enligt vår bedömning tillämpas även vid ansökan som görs vid en utfärdande myndighet utom riket i stället för det mer generellt utformade undantag som i dag finns i 2 § förordningen om nationellt identitetskort. Hanteringen vid utlandsmyndigheterna bör bli ännu säkrare genom en tydligare reglering. Genom att samma regler tillämpas blir hanteringen också mer enhetlig.

Budet bör också, på samma sätt som gäller vid en vanlig ansökan, ha med sig ett identitetskort som tidigare utfärdats för sökanden och ge in det för makulering.

Eftersom förfarandet att ansöka genom bud innebär ett avsteg från det centrala kravet på personlig inställelse bör det regleras i lag. Detaljerade föreskrifter om exempelvis vem som kan vara bud bör dock föras in i förordning.

10.2.8. Undantag från huvudregeln om styrkande av identitet för personer som saknar en statlig fysisk identitetshandling

Utredningens förslag: Sökande som inte har ett pass eller statligt

identitetskort ska kunna styrka sin identitet med pass från vissa europeiska länder. Har den sökande inte heller ett sådant pass ska identiteten kunna styrkas med hjälp av en intygsgivare eller i sista hand på något annat tillförlitligt sätt.

Sökande som har beviljats uppehållstillstånd, och som inte har en godtagbar identitetshandling, ska även kunna styrka sin identitet genom en jämförelse med uppgifter som finns registrerade hos Migrationsverket i fråga om uppehållstillståndet.

Sökande ska innan ett statligt identitetskort lämnas ut vara skyldig att på begäran styrka sin identitet på samma sätt som vid ansökan.

Övergripande om regleringen av styrkande av identitet

Både IdL och förordningen om nationellt identitetskort innehåller bestämmelser om att sökanden ska styrka sin identitet i samband med ansökan. Vi föreslår att kravet på att identiteten ska styrkas förs in i den nya lagen om statliga identitetshandlingar. Motsvarande reglering finns i passlagen. På vilket sätt identiteten ska styrkas anges i dag varken i lag eller i förordning utom i ett särskilt fall som avser sökande som har uppehållstillstånd i Sverige. Sökanden ska i sistnämnda fall anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om identitetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet.

I stället för reglering i lag eller förordning har de utfärdande myndigheterna tagit fram föreskrifter som anger hur identiteten ska styrkas. Skatteverkets och Polismyndighetens föreskrifter innehåller bestämmelser som i stort sett liknar varandra men som skiljer sig åt i vissa avseenden.

Vi föreslår i avsnitt 8.6.2 att det i lag införs krav på att pass eller statligt identitetskort ska användas för att styrka identiteten i samband med ansökan om pass och statligt identitetskort. Det kommer dock att finnas personer som inte har tillgång till dessa handlingar. Det kan exempelvis vara fråga om ett barn som ska skaffa sin första identitetshandling eller en utländsk medborgare som har fått uppehållstillstånd och blivit folkbokförd i Sverige och för första gången ska ansöka om en svensk identitetshandling. Även i fortsättningen kommer det därför att finnas ett behov av att godta andra sätt att identifiera sig. För att göra utfärdandeprocessen mer enhetlig bör dessa alternativa sätt att styrka sin identitet i möjligaste mån samordnas.

Bestämmelser om styrkande av identitet är centrala för att garantera att utfärdandet av id-korten sker på en hög säkerhetsnivå. Enligt vår mening bör därför regleringen tas in i författningar på högre nivå än myndighetsföreskrifter. Huvudregeln om att endast statliga fysiska identitetshandlingar ska tillåtas för att styrka identiteten bör, som anges ovan, tas in i lag. Eftersom de undantag som kan komma i fråga behöver regleras på en relativt detaljerad nivå bedömer vi att det är mest lämpligt att ta in dessa i förordning. Regeringen bör därför ges möjlighet att meddela undantag från huvudregeln om hur identiteten

ska styrkas. Vi behandlar de olika undantag som vi menar bör införas i avsnitten nedan.

Utländska pass

Identitetskort för folkbokförda i Sverige kan utfärdas till personer som är folkbokförda i Sverige oavsett medborgarskap. Detsamma kommer enligt vårt förslag att gälla för identitetskort utan funktion som resehandling. Enligt 4 § 7 och 8 i Skatteverkets föreskrifter om identitetskort (SKVFS 2009:14) godtas vid utfärdande av identitetskort för folkbokförda i Sverige även pass från andra EU-länder samt pass utfärdat av Island, Liechtenstein, Norge och Schweiz för att styrka sökandens identitet. Eftersom pass som utfärdas av dessa länder har en säkerhetsstandard som uppfyller den minimisäkerhetsnivå som gäller inom EU har dessa ansetts godtagbara som identitetshandlingar. En bestämmelse som medger identifiering med sådana pass bör därför kunna införas. Identifiering med sådana pass bör dock endast godtas om sökanden inte har en svensk statlig fysisk identitetshandling.

Någon motsvarande bestämmelse finns inte i de föreskrifter som avser nationellt identitetskort. Eftersom nationellt identitetskort endast utfärdas till svenska medborgare kan det antas att det inte har funnits något större behov av att möjliggöra identifiering med utländska pass. Det kan dock inte uteslutas att en person som precis har blivit svensk medborgare och även är medborgare i en annan EUmedlemsstat endast har ett pass från det andra landet. En identifiering med ett EU-pass bedöms uppnå högre säkerhet än de andra förfaranden som beskrivs i avsnitten nedan. Bestämmelsen bör därför omfatta även identitetskort med funktion som resehandling. På så sätt blir också regleringen mer enhetlig.

I sammanhanget kan nämnas att Europaparlamentet i sitt betänkande om EU-kommissionens förslag till EU:s id-kortsförordning har föreslagit att medlemsstaterna ska erkänna nationella identitetskort som medlemsstaterna utfärdar till sina medborgare som identitetskort.7 Eftersom EU-förordningen inte är färdigförhandlad går

7 Europaparlamentets betänkande om förslaget till Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet (COM(2018)0212 – C8-0153/2018 – 2018/0104(COD)) A8-0436/2018.

det inte att veta hur den slutligen kommer att se ut. Skulle det visa sig att en sådan bestämmelse införs får det i det fortsatta författningsarbetet övervägas om det även bör införas en bestämmelse om att id-kort utfärdade av andra EU-länder ska godtas.

Intygsgivare

I såväl Skatteverkets föreskrifter om id-kort som i Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14) finns bestämmelser som möjliggör för personer som inte har en godtagbar identitetshandling att styrka sin identitet genom att någon som känner sökanden väl intygar att sökandens uppgifter är korrekta. Även om detta sätt att identifiera sig inte är lika säkert som genom uppvisande av en identitetshandling behöver det finnas en sådan möjlighet. Personer som ansöker om en svensk identitetshandling första gången, och som inte har ett godtagbart utländskt pass, saknar annars möjlighet att styrka sin identitet. Genom vårt förslag i avsnitt 11.6.1, att en person som har beviljats uppehållstillstånd i Sverige och styrker sin identitet på annat sätt än genom att visa upp en statlig fysisk identitetshandling ska vara skyldig att låta den utfärdande myndigheten jämföra dennes fingeravtryck med de som finns i uppehållstillståndkortet, höjs dessutom säkerheten i förfarandet ytterligare när det gäller identitetskort för dessa personer. En bestämmelse om intygsgivning bör därför införas i förordning.

Vissa krav måste dock ställas på intygsförfarandet för att det ska vara tillräckligt säkert. Intygsgivaren bör, för att förfarandet ska vara tillförlitligt, känna personen väl. På samma sätt som gäller i dag bör därför endast personer som har en viss relation till sökanden godtas. Relationen mellan sökanden och intygsgivaren måste styrkas. Om relationen inte framgår av folkbokföringen bör krävas att sökanden styrker den på annat sätt. Det har varken framkommit något behov av att utvidga eller inskränka kretsen av de personer som enligt gällande föreskrifter kan intyga sökandens uppgifter. Intyg bör således kunna lämnas av en nära anhörig till sökanden (vårdnadshavare, förälder, barn eller barnbarn över 18 år, hel- eller halvsyskon över 18 år, mor- eller farförälder, make eller maka, registrerad partner eller sambo). Även god man, förvaltare och familjehemsförälder bör

fortsättningsvis kunna vara intygsgivare. Dessa bör styrka sitt uppdrag genom att visa upp ett beslut om förordnande. Ett intyg från en arbetsgivare bör även framöver godtas. Det bör dock inte, som anges i Polismyndighetens föreskrifter, krävas att det är behörig firmatecknare som lämnar intyget eftersom det inte är säkert att det är denne som känner sökanden bäst. I stället är det lämpligt att t.ex. sökandens chef lämnar intyget. Sökanden bör dock liksom i dag ha varit anställd minst ett år för att en försäkran från arbetsgivaren ska godtas. Relationen kan styrkas genom uppvisande av arbetsgivarintyg, anställningsbevis eller liknande handling där anställningstiden framgår. Slutligen bör en försäkran från en tjänsteman vid en myndighet som har en yrkesmässig relation till sökanden kunna intyga sökandens uppgifter. Tjänstemän vid såväl statliga myndigheter som kommuner på både lokal och regional nivå kan komma i fråga. För att tjänstemannen ska anses känna sökanden väl krävs att relationen har pågått under en viss tid. Även denna typ av relation bör styrkas med en handling.

För att uppnå en så stor säkerhet i utfärdandet som möjligt bör intygsgivaren på samma sätt som i dag vara personligen närvarande vid identitetskontrollen av sökanden. Intygsgivaren bör vidare genom en skriftlig försäkran intyga att sökandens uppgifter om identiteten är korrekta. Intygsgivaren måste även styrka sin egen identitet med en statlig fysisk identitetshandling. Om intygsgivaren inte har en sådan handling bör, av samma skäl som anges ovan beträffande identifiering av sökanden, även vissa europeiska pass godtas.

För att Polismyndigheten ska ha möjlighet att vid behov göra en fördjupad kontroll av dessa ärenden är det viktigt att uppgifter om intygsgivaren registreras, se avsnitt 10.3.4 nedan.

Uppgifter i uppehållstillståndet

Utöver möjligheten att identifiera sig med hjälp av en identitetshandling eller intygsgivare kan en sökande som har uppehållstillstånd i enlighet med 3 § IdL styrka sin identitet genom en jämförelse av de uppgifter som finns registrerade hos Migrationsverket i fråga om personens uppehållstillstånd. Detta gäller under förutsättning att inte särskilda skäl talar emot det. Sökanden ska ange om han eller

hon vill styrka identiteten på detta sätt. De uppgifter som ska stämma överens med de som lämnas i ansökan är enligt 7 § IdF de uppgifter som anges i 13 § andra stycket utlänningsdataförordningen (2016:30), dvs. namn, personnummer, längd, fotografi, underskrift, typ av resehandling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd.

Bestämmelsen har införts med anledning av svårigheterna att styrka sin identitet för vissa asylsökande som saknar såväl identitetshandling som någon nära anhörig som kan vara intygsgivare. Den innebär att den bedömning som har gjorts beträffande identiteten i ärendet om uppehållstillstånd ska kunna godtas av den myndighet som utfärdar id-kortet. Detta gäller även om identiteten vid Migrationsverkets prövning endast gjorts sannolik, vilket i många fall är tillräckligt för att uppehållstillstånd ska beviljas. En förutsättning för att bevilja ansökan om id-kort är dock att det måste vara klarlagt att det är samma person som beviljats uppehållstillstånd som ansöker om id-kort.8

Regleringen lämnar dock utrymme för den utfärdande myndigheten att inte lägga Migrationsverkets uppgifter till grund för sin bedömning om det finns särskilda skäl. Den utfärdande myndigheten kan t.ex. ha fått kännedom om att de uppgifter som är registrerade hos Migrationsverket av någon anledning är felaktiga. Tillståndet kan också vara återkallat.9

När denna möjlighet att identifiera sig infördes gjordes bedömningen att det skulle ge en bättre tillgång till id-kort med bibehållen säkerhet. I promemorian angavs dock att det skulle kunna medföra en större risk för att personer skulle kunna få id-kort utfärdat under fel namn. Det kunde inge betänkligheter om det t.ex. var fråga om någon som begått grova kriminella handlingar. Mot bakgrund av att en person som har ett id-kort kan agera mer öppet i samhället, och därigenom också bör vara enklare att nå, bedömdes dock fördelarna med att utfärda id-kort till personer som beviljats uppehållstillstånd överväga eventuella nackdelar. Vidare gjordes bedömningen att den föreslagna lösningen inte var mindre säker än styrkande av identitet genom det vedertagna sättet med intygsgivning.10

8 Finansdepartementets promemoria 2010-04-21 Vissa id-kortsfrågor Fi 2010/02345/S3. 9Prop. 2015/16:28 s. 55. 10 Finansdepartementets promemoria 2010-04-21 Vissa id-kortsfrågor Fi 2010/02345/S3.

De skäl som föranledde införandet av denna möjlighet att identifiera sig är fortfarande aktuella. Enligt uppgift från Skatteverket används detta identifieringssätt vid ungefär hälften av ärendena om ansökan om identitetskort. Om denna identifieringsmöjlighet skulle tas bort kommer det åter att finnas ett antal personer som har beviljats uppehållstillstånd som inte kan få id-kort utfärdat. En sådan utveckling är inte önskvärd. Regleringen innebär dock att även en person vars identitet vid Migrationsverkets prövning endast gjorts sannolik kan få ett id-kort. En förutsättning för att bevilja ansökan om id-kort är dock att det klarlagts att det är samma person som beviljats uppehållstillstånd som ansöker om id-kort. Genom vårt förslag i avsnitt 11.6.1, att personer som har beviljats uppehållstillstånd i Sverige och styrker sin identitet på annat sätt än genom att visa upp en statlig fysisk identitetshandling ska vara skyldig att låta den utfärdande myndigheten jämföra dennes fingeravtryck och ansiktsbild med de som finns i uppehållstillståndskortet, kommer säkerheten i förfarandet att höjas betydligt. Det kan därmed säkerställas att det är samma person som beviljats uppehållstillstånd som ansöker om id-kort. Med detta tillägg för att öka säkerheten bedömer vi att kontroll mot Migrationsverkets uppgifter även fortsättningsvis bör kunna användas som en metod för att styrka identiteten. Även vårt förslag i avsnitt 11.4.4 om att tillåta jämförelse med ansiktsbilder som är sparade i det register över id-kort som den utfärdande myndigheten ska föra hindrar personer att få id-kort för olika identiteter. Det förslaget innebär således ytterligare en höjning av säkerheten i förfarandet.

För att en sökande ska få styrka sin identitet på detta sätt krävs i dag inte att sökanden saknar möjlighet att identifiera sig på något av de andra sätt som angetts ovan. Det innebär att en sökande som har en godtagbar identitetshandling trots det skulle kunna välja att använda uppgifterna hos Migrationsverket för att identifiera sig. Mot bakgrund av att vi menar att identifiering med hjälp av en statlig fysisk identitetshandling är det säkraste sättet att identifiera sig bör det emellertid vara huvudregeln även för personer som har beviljats uppehållstillstånd.

Om sökanden saknar en identitetshandling finns det däremot inte någon anledning att kräva att sökanden använder sig av en intygsgivare även om det är möjligt. Som anges i den ovan nämnda promemorian bedöms säkerheten när det gäller identifiering med hjälp

av uppgifter från Migrationsverket motsvara den som gäller vid intygsgivning. Oavsett på vilket av dessa sätt identiteten styrks är sökanden dessutom enligt vårt förslag i avsnitt 11.6.1 skyldig att låta den utfärdande myndigheten jämföra dennes fingeravtryck och ansiktsbild med de som finns i uppehållstillståndskortet. Det synes dessutom medföra stora svårigheter att bevisa att det inte finns någon som kan intyga uppgifterna. Det bör därför fortfarande vara möjligt för sökanden att själv välja om identifiering ska göras genom en intygsgivare eller genom en jämförelse med uppgifterna som finns hos Migrationsverket.

En bestämmelse som möjliggör identifiering genom användning av uppgifter hos Migrationsverket bör därför införas i den nya regleringen. Enligt den nuvarande bestämmelsen i IdL ska sökanden ange om han eller hon vill styrka identiteten på detta sätt. Det är enligt vår uppfattning naturligt att sökanden oavsett på vilket sätt han eller hon avser att styrka sin identitet talar om det för den utfärdande myndigheten. Någon reglering i detta avseende synes dock inte nödvändig.

Annan tillförlitlig identifiering

Det finns slutligen i såväl Polismyndighetens som Skatteverkets föreskrifter en möjlighet att styrka identiteten på annat sätt än de som nämns i avsnitten ovan. För nationellt identitetskort gäller att om sökanden inte kan styrka sin identitet på något av de ovan angivna sätten får myndigheten godta att identiteten styrks på något annat tillförlitligt sätt. När det gäller identitetskort för folkbokförda i Sverige anges i stället att sökanden får åberopa andra officiella handlingar utfärdade av myndigheter och organisationer. Skatteverket gör en sammanvägd bedömning av om de åberopade handlingarna styrker sökandens identitet och övriga personuppgifter. Enligt Skatteverkets föreskrifter krävs det alltså att någon form av dokumentation visas upp. Den sammanvägda bedömningen kan dock förstärkas genom att en tillförlitlig person bekräftar sökandens identitet.11 Polismyndighetens föreskrifter lämnar utrymme för att identiteten i ett enskilt fall kan styrkas genom en tillförlitlig intygsgivare som inte

11 Skatteverkets ställningstagande Utfärda id-kort version maj 2018.

har den relation till sökanden som anges ovan i avsnittet om intygsgivare. Det kan också vara fråga om att ställa kontrollfrågor utifrån registeruppgifter.

Bestämmelserna som möjliggör annan tillförlitlig identifiering är nödvändiga för att personer som både saknar identitetshandling och någon som kan vara intygsgivare ska kunna få identitetskort. Det kan t.ex. vara en äldre person som inte längre har några anhöriga kvar i livet. Vi ser därför ett behov av att behålla denna möjlighet. En bestämmelse som innebär att myndigheten, om identiteten inte kan styrkas på annat sätt, får godta att identiteten styrks på något annat tillförlitligt sätt bör därför införas. Det innebär att den utfärdande myndigheten själv kan avgöra på vilket sätt identiteten kan styrkas i dessa fall, så längre identifieringen bedöms tillförlitlig. Bestämmelsen bör dock tillämpas restriktivt. För att identiteten ska anses styrkt bör bedömningen ge ett mycket starkt stöd för att sökandens uppgifter stämmer.

Styrkande av identitet i samband med utlämnande av id-kort

Det finns inte något författningsreglerat krav på att sökanden ska styrka sin identitet i samband med att en identitetshandling lämnas ut. En kontroll av att det är rätt person som hämtar ut handlingen görs dock regelmässigt både av Polismyndigheten och Skatteverket. Myndigheterna har infört egna rutiner för utlämnandet och det skiljer sig åt hur kontrollen går till.

Vid Polismyndigheten går kontrollen till på i stort sett samma sätt som vid ansökan. I första hand sker identifiering med en identitetshandling men även intygsgivning och annan tillförlitlig identifiering kan bli aktuellt. Skatteverket kontrollerar i första hand den kvittens för ansökan som sökanden fick vid ansökningstillfället och gör en jämförelse mellan sökandens utseende och namnteckning på kvittensen och uppgifterna i ansökan. Vid behov kan ytterligare kontroller göras.

För att stärka säkerheten vid utfärdande av de statliga identitetskorten bör sökanden styrka sin identitet även när identitetshandlingen lämnas ut på motsvarande sätt som krävs i samband med ansökan. På så sätt ökar förutsättningarna för att det är rätt person som hämtar ut handlingen. Det innebär att sökanden som huvudregel ska

visa upp en statlig fysisk identitetshandling. Om sökanden inte har en sådan handling kan de alternativa sätt som beskrivs ovan, som t.ex. intygsgivning, användas. Bestämmelser om att identiteten ska styrkas även vid utlämnandet bör, på grund av dess centrala betydelse, införas i den nya lagen. För att, på sätt som anges i avsnitt 10.2.7, möjliggöra förändringar av utlämnandeförfarandet av skäl som är hänförliga till effektivitet eller tillgänglighet bör kravet dock inte vara ovillkorligt. Det bör därför anges att identiteten ska styrkas på begäran. På så sätt kan myndigheten framöver välja att lämna ut idkort på andra sätt än i dag. Detta under förutsättning att säkerheten i utlämnandet upprätthålls.

10.2.9. Inlämning av ett tidigare utfärdat id-kort

Utredningens förslag: Om ett statligt identitetskort tidigare har

utfärdats för sökanden och det inte har förstörts, kommit bort eller makulerats, ska kortet ges in för makulering vid utlämnande av ett nytt identitetskort.

Av 6 § IdF och 3 § fjärde stycket förordningen om nationellt identitetskort framgår att ett tidigare utfärdat id-kort ska lämnas in för makulering i samband med ansökan om det inte har förstörts, kommit bort eller makulerats. Detta gäller inte om kortet inte längre är giltigt eller om det finns andra särskilda skäl. Av 15 § IdF och 21 § förordningen om nationellt identitetskort följer att makulering ska ske när innehavaren ansöker om ett nytt id-kort eller, om innehavaren har behov av det tidigare id-kortet under handläggningstiden, när det nya kortet lämnas ut. Det torde vara mer regel än undantag att sökandens gamla id-kort inte ges in för makulering förrän det nya kortet lämnas ut. Vanligen behöver sökanden det gamla id-kortet till dess att det nya lämnas ut. En regel som anger att det gamla id-kortet ska lämnas in vid ansökan ter sig därför mindre lämplig. Id-kortet bör i stället ges in för makulering när det nya kortet lämnas ut.

För att minska antalet id-kort i omlopp menar vi att det finns anledning att makulera även ett id-kort vars giltighetstid har gått ut när det nya kortet lämnas ut. Visserligen är kortet inte längre gällande. Det hindrar dock inte att det kan komma till användning i en situation där kontrollen av kortet inte görs med den noggrannhet

som behövs. Om kortet däremot makuleras syns det tydligt att det inte längre gäller. Vi menar därför att det inte längre bör göras undantag från makulering när det gäller id-kort som inte längre är giltiga. Bestämmelser om detta bör föras in i den nya lagen och förordningen om statliga identitetshandlingar.

10.2.10. Återkallelse

Utredningens förslag: Ett statligt identitetskort ska återkallas

1. om någon väsentlig uppgift som framgår av identitetskortet är

felaktig eller inte längre gäller,

2. om det är trasigt, utslitet eller obehörigen ändrat,

3. om det fanns hinder mot att utfärda det vid tiden för utfärdan-

det och hindret består, eller

4. om någon annan än den som identitetskortet är utställt på för-

fogar över det.

För såväl nationellt identitetskort som identitetskort för folkbokförda i Sverige gäller att id-kortet ska återkallas om det fanns hinder mot att utfärda det vid tiden för utfärdandet och hindret består eller om någon annan än den som id-kortet är utställt på förfogar över det (9 § förordningen om nationellt identitetskort och 6 § IdL). Dessa grunder för återkallelse bör föras in i den nya regleringen.

Ett nationellt identitetskort ska vidare återkallas om innehavaren har förlorat eller efter ansökan befriats från sitt svenska medborgarskap. För identitetskort för folkbokförda i Sverige gäller i stället att det ska återkallas om någon väsentlig uppgift som framgår av id-kortet är felaktig eller inte längre gäller. I den utredning som föregick införandet av identitetskort för folkbokförda i Sverige angavs att det inte var lämpligt att en person som byter namn eller personnummer har ett id-kort som inte utvisar rätt personuppgifter och att det var viktigt att det gick att lita på id-kortet.12 Av det skälet föreslogs bestämmelsen om återkallelse på grund av att någon väsentlig uppgift är felaktig. Samma skäl gör sig enligt vår uppfattning gällande när det gäller det identitetskort som har funktion som resehandling. Även

12SOU 2007:100 s. 113 f.

ett kort som kan användas vid resa bör därför återkallas om någon väsentlig uppgift som framgår av identitetskortet är felaktig eller inte längre gäller. Svenskt medborgarskap är en förutsättning för att ett sådant identitetskort ska kunna utfärdas och är således en väsentlig uppgift som framgår av id-kortet. Även en ändring beträffande medborgarskapet omfattas därmed av den återkallelsegrunden. Någon särskild återkallelsegrund beträffande medborgarskap när det gäller identitetskort med funktion som resehandling är därför inte nödvändig.

För pass finns det, utöver bestämmelser om återkallelse, även en bestämmelse i 27 § passförordningen om att pass under vissa förutsättningar kan dras in. Indragning kan ske om passet är förslitet, trasigt eller obehörigen ändrat eller om det innehåller en uppenbar felskrivning. Innehavaren är i ett sådant fall berättigad att utan avgift få ett nytt pass med det indragna passets återstående giltighetstid.

Av säkerhetsskäl bör inte heller trasiga, utslitna eller obehörigen ändrade id-kort gälla som identitetshandlingar. Vi anser dock inte att det är rimligt att i alla sådana fall låta innehavaren få ett nytt id-kort utan avgift. Han eller hon kan ju själv vara ansvarig för att kortet har ändrats, gått sönder eller slitits ut. Innehavaren bör därför ansöka om ett nytt id-kort och betala ansökningsavgift på vanligt sätt. Om id-kortet gått sönder på grund av fabrikationsfel eller liknande får frågan om vem som slutligen ska stå kostnaden för det nya kortet hanteras som ett skadeståndsärende. Vi gör därför den bedömningen att ett statligt identitetskort bör återkallas om det är trasigt, utslitet eller obehörigen ändrat.

Id-kort som innehåller uppenbara felskrivningar omfattas som regel av den grund för återkallelse som föreslagits ovan, dvs. att en väsentlig uppgift som framgår av identitetskortet är felaktig. Någon särskild återkallelsegrund i det avseendet bedöms därför inte behövas.

10.2.11. Överklagande

Utredningens förslag: Beslut enligt lagen får överklagas till all-

män förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I 22 § förordningen om nationellt identitetskort finns det i dag en hänvisning till 40 § förvaltningslagen (2017:900). En sådan hänvisning fanns även i 18 § i den tidigare gällande förordningen om identitetskort för folkbokförda i Sverige. I samband med att den regleringen togs in i lag uttalade regeringen att eftersom en lagreglering infördes borde det i stället framgå direkt av lagen att beslut enligt lagen får överklagas till allmän förvaltningsdomstol och att det krävs prövningstillstånd vid överklagande till kammarrätten. Det är därför lämpligt att föra in en bestämmelse i den nya lagen som motsvarar 19 § IdL och låta den omfatta överklaganden av beslut avseende båda typerna av id-kort. Bestämmelsen bör föreskriva att beslut enligt lagen får överklagas till allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätten.

10.3. Behandling av personuppgifter i id-kortsverksamheten

10.3.1. Ett nytt id-kortsregister

Utredningens förslag: Polismyndigheten ska föra och vara per-

sonuppgiftsansvarig för ett id-kortsregister. Innehållet i följande bestämmelser som i dag endast gäller för identitetskort för folkbokförda i Sverige förs i princip oförändrat in i den nya regleringen och kommer därmed att omfatta både identitetskort med och utan funktion som resehandling.

  • Bestämmelsen om lagens förhållande till annan dataskyddsreglering.
  • Bestämmelsen om att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. inte får användas som sökbegrepp.
  • Bestämmelsen om att uppgift om giltigheten av ett statligt identitetskort får lämnas ut genom direktåtkomst.
  • Bestämmelsen som anger att rätten att göra invändningar mot behandling av personuppgifter inte gäller.

Bestämmelserna om förhållandet till annan dataskyddsreglering och begränsning av rätten att göra invändningar ska även omfatta sådan behandling av personuppgifter i id-kortsverksamheten som sker utanför id-kortsregistret.

Polismyndigheten ska föra id-kortsregister

Polismyndigheten ska enligt 14 § förordningen om nationellt identitetskort med hjälp av automatiserad behandling föra och vara personuppgiftsansvarig för ett register över nationella identitetskort. En liknande bestämmelse finns i 8 § IdL som anger att Skatteverket med hjälp av automatiserad behandling ska föra en databas med en samling uppgifter om identitetskort för folkbokförda i Sverige. Olika begrepp används alltså i de olika författningarna när det gäller den samling med uppgifter om identitetskorten som den utfärdande myndigheten ska behandla.

Begreppet register har ibland kritiserats eftersom det för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter, vilket inte längre är ett helt relevant sätt att se på alla samlingar av uppgifter i elektronisk form. Det finns dock enligt förarbetsuttalanden flera elektroniska samlingar av personuppgifter som fortfarande måste ses som register i ordets egentliga bemärkelse. Det gäller samlingar då uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Det kan därför finnas anledning att inte helt frångå registerbegreppet. Som exempel på register i mer traditionell mening har nämnts misstankeregistret och belastningsregistret.13

Registreringen av nationella identitetskort förs i resehandlingssystemet (RES). RES är ett kombinerat system som består av dels ett ärendehanteringssystem, dels uppgifter om utfärdade nationella identitetskort.14 RES innehåller alltså två olika uppgiftssamlingar när det gäller identitetskorten.

Behandlingen av personuppgifter i ärendehanteringssystemet regleras inte i förordningen om nationella identitetskort, utan det är endast uppgifterna om utfärdade id-kort som regleras. Det får anses

13Prop. 2004/05:164 s. 60 f. 14Ds 2015:44 s. 90 och 98.

ingå i vårt uppdrag att se över bestämmelserna i sistnämnda reglering. För den uppgiftssamlingen menar vi att det är mest lämpligt att använda begreppet register. Det är det begrepp som regeringen tidigare ansett bäst beskriver den uppgiftssamling som innehåller uppgifter om utfärdade id-kort i Polismyndighetens verksamhet. Det är också det begrepp som används för motsvarande uppgiftssamling beträffande pass. Passregistret finns också i RES. Vi kommer därför fortsättningsvis att benämna den uppgiftssamling som innehåller uppgifter om utfärdade id-kort som id-kortsregistret. I id-kortsregistret kommer det, som framgår av avsnitt 12.16, även att finnas vissa uppgifter om den statliga e-legitimationen.

Polismyndigheten bör liksom i dag vara registerförande myndighet. Det är därför naturligt att myndigheten också är personuppgiftsansvarig för den behandling som sker i id-kortsregistret. Eftersom flera olika myndigheter är involverade i id-kortsverksamheten framstår det som lämpligt att tydliggöra detta i den nya lagen. Att bestämmelser om personuppgiftsansvar kan införas i nationell rätt, om ändamålen och medlen för behandlingen också bestäms av den nationella rätten, följer av artikel 4.7 i dataskyddsförordningen. Se vidare avsnitt 10.3.2.

Att göra en total översyn av den behandling av personuppgifter som i övrigt görs i id-kortsverksamheten, i den delen av RES som innehåller ärendehanteringssystemet, kan däremot inte anses ingå i vårt uppdrag. Vi föreslår dock att några bestämmelser ska gälla även behandling utanför id-kortsregistret.

I vårt uppdrag ingår inte heller att se över behandlingen av personuppgifter inom passverksamheten. Ett sådant arbete pågår inom Justitiedepartementet. Avsikten är att i en promemoria lägga fram ett förslag om en ny lag som ska reglera personuppgiftsbehandlingen inom passverksamheten, passdatalagen. Om både detta förslag och vårt förslag genomförs kommer alltså Polismyndigheten och de andra passmyndigheterna att få tillämpa olika bestämmelser om behandling av personuppgifter i två mycket närliggande verksamheter. Om bestämmelserna är liknande kommer det sannolikt inte att innebära några svårigheter. Det kan emellertid finnas fördelar med att senare föra samman regleringen i en gemensam författning som gäller för behandling av personuppgifter i både pass- och id-kortsverksamheten. Ett alternativ kan då vara föra in den reglering vi föreslår beträffande id-kortsregistret i passdatalagen och anpassa den så att

den kan gälla även för behandlingen av personuppgifter i verksamheten med statliga identitetskort.

Rättslig grund för behandling av personuppgifter

För att personuppgifter ska få behandlas i id-kortsregistret måste det enligt dataskyddsförordningen finnas en rättslig grund för behandlingen. För behandling som utförs av myndigheter är det framför allt de rättsliga grunderna som anges i artikel 6.1 c och e i dataskyddsförordningen som är aktuella. Där anges att behandling får utföras om den är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c) eller för utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). När det gäller behandling som sker med stöd av dessa grunder måste grunden för behandlingen enligt artikel 6.3 i dataskyddsförordningen fastställas i nationell rätt eller EU-rätt.

En rättslig förpliktelse kan enligt 2 kap. 1 § dataskyddslagen följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Vidare måste syftet med behandling som grundar sig på en rättslig förpliktelse framgå av författningen, beslutet eller kollektivavtalet. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifterna ska ske.

En uppgift av allmänt intresse kan enligt 2 kap. 2 § dataskyddslagen följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. För myndighetsutövning gäller att denna ska ha stöd i lag eller annan författning. Regeringen har i förarbetena angett att all den verksamhet som en myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Myndigheternas uppdrag och åligganden framgår av författningar och regeringsbeslut, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund. Myndighetsutövning kan enligt RF aldrig utövas utan stöd i gällande rätt. Till skillnad från vad som gäller behandling som grundas på en rättslig förpliktelse behöver syftet med behandling som grundar sig på en uppgift av allmänt intresse eller myndighetsutövning inte framgå av

författning. Däremot måste syftet med behandlingen vara nödvändigt för ändamålet. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning ger uttryck för det samband som måste finnas mellan behandlingen och uppgiften av allmänt intresse eller myndighetsutövningen och innebär en spärr mot helt onödig behandling av personuppgifter.15

Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

En översyn av regleringen avseende den databas med uppgifter om identitetskort för folkbokförda i Sverige som ska föras enligt IdL gjordes inför att dataskyddsförordningen skulle börja tillämpas i maj 2018. Översynen av IdL ingick i det lagstiftningsarbete som omfattade författningar inom skatt, tull och exekution. I förarbetena uttalade regeringen att den behandling som avsågs i de aktuella författningarna regelmässigt sker för att utföra en uppgift av allmänt intresse. I vissa fall är det fråga om att fullgöra rättsliga förpliktelser. Det kan t.ex., enligt förarbetena till den nya dataskyddslagen, vara fallet om en myndighet ges i uppdrag att föra ett visst register. För myndigheternas del innefattar uppgifterna dessutom ofta myndighetsutövning. Därutöver menade regeringen att grunderna i artikel 6.1 har sina motsvarigheter i det tidigare gällande dataskyddsdirektivet från 1995. Regeringens bedömning var därför att dataskyddsförordningen i de nu aktuella fallen inte innebär att utrymmet för tillåten behandling har blivit mindre. Den behandling av personuppgifter som får eller måste utföras enligt IdL bedömdes således ha rättslig grund enligt artikel 6.1 i dataskyddsförordningen.16 Någon motsvarande översyn har ännu inte gjorts beträffande registret över nationella identitetskort varför det saknas uttalanden om behandlingens stöd i dataskyddsförordningen.

Uppgiften att utfärda id-kort är av allmänt intresse och för att kunna fullgöra den uppgiften på ett säkert sätt krävs att det finns ett register över utfärdade kort. Utfärdaren måste kunna kontrollera att inte samma person innehar flera kort med olika identiteter och att den sökande inte ansöker om att få ett kort med en annan persons

15Prop. 2017/18:105 s. 5563. 16Prop. 2017/18:95 s. 44 och prop. 2017/18:105 s. 53.

identitet. Den rättsliga grunden för behandlingen som avses i artikel 6.1 e är fastställd i författningarna avseende utfärdande av id-kort. Behandlingen i id-kortsregistret är helt nödvändig för att kunna uppfylla det allmänna intresset. Även övriga krav enligt artikel 6 bedöms vara uppfyllda. Behandlingen har således stöd i dataskyddsförordningen.

Vid behandlingen måste även övriga bestämmelser i dataskyddsförordningen och dataskyddslagen tillämpas. Hänsyn måste exempelvis tas till de allmänna principerna i artikel 5. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt. De ska samlas in för särskilda uttryckligen angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet samt korrekta och om nödvändigt uppdaterade. Behandlingen ska inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet och det ska ske på ett säkert sätt. Även regleringen avseende den registrerades rättigheter och bestämmelserna om säkerhet för personuppgifter måste beaktas.

Förhållandet till annan dataskyddsreglering

I 10 § IdL finns en bestämmelse som upplyser om förhållandet till annan dataskyddsreglering. I bestämmelsen anges att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning och att dataskyddslagen är subsidiär till IdL. Någon motsvarande bestämmelse finns inte i förordningen om nationellt identitetskort och behövs egentligen inte eftersom det som anges i bestämmelsen ändå gäller. Bestämmelser av det slaget finns trots det i många registerförfattningar som en upplysning till tillämparen om att det finns andra dataskyddsbestämmelser som är tillämpliga. Av tydlighetsskäl föreslår vi därför att en sådan bestämmelse förs in i den nya lagen. Bestämmelsen bör även omfatta behandling av personuppgifter i idkortsverksamheten som sker utanför id-kortsregistret.

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Eftersom dataskyddsförordningen är direkt

tillämplig och syftet med hänvisningen endast är att upplysa om att förordningen gäller bör en dynamisk hänvisning göras. Hänvisningen kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

Sökbegränsningar

Känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får enligt 17 § andra stycket IdL inte användas som sökbegrepp. Med känsliga personuppgifter avses de uppgifter som anges i artikel 9 i dataskyddsförordningen, nämligen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. I dataskyddsförordningen benämns uppgifterna som särskilda kategorier av personuppgifter men den svenska lagstiftaren har valt att behålla det inarbetade begreppet känsliga personuppgifter, se t.ex. 3 kap. 1 § dataskyddslagen.

Någon bestämmelse om sökförbud finns inte avseende registret över nationella identitetskort. Eftersom det i förordningen om nationellt identitetskort inte finns några bestämmelser om behandling av känsliga personuppgifter gäller bestämmelserna i 3 kap. 3 § dataskyddslagen för sådan behandling. Av första stycket i den bestämmelsen följer att känsliga personuppgifter får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling av känsliga personuppgifter som sker enbart med stöd av bestämmelsen i första stycket är det enligt andra stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Behandlingen av känsliga personuppgifter i registret avseende nationella identitetskort omfattas således i dag av ett liknande sökförbud som finns i IdL.

Eftersom vi i avsnitt 10.3.3 föreslår att behandlingen av känsliga personuppgifter i id-kortsregistret ska omfattas av en uttrycklig bestämmelse i den nya lagen kommer behandlingen av känsliga personuppgifter inte att utföras med stöd av bestämmelsen i dataskyddslagen. Därmed kommer inte heller sökförbudet i dataskyddslagen att gälla. Sökförbudet avseende känsliga personuppgifter som finns i IdL bör därför föras in i den nya lagen och omfatta även behandlingen av känsliga personuppgifter avseende identitetskort med funktion som resehandling. I avsnitt 11.4.4 föreslår vi dock ett undantag för viss sökning avseende biometriska uppgifter som tas fram ur ansiktsbilder.

Polismyndigheten behandlar i enlighet med vad som anges i promemorian Passdatalag17 inte uppgifter om lagöverträdelser i verksamheten avseende nationella identitetskort. Myndigheten har inte heller något behov av att behandla sådana uppgifter när det gäller nationella identitetskort. Det finns därför inte heller något egentligt behov av att begränsa behandlingen av sådana uppgifter. En bestämmelse som förbjuder sökning med hjälp av uppgifter om lagöverträdelser finns dock när det gäller identitetskort för folkbokförda i Sverige. Av uppgifter från Skatteverket framgår att det inte hör till vanligheterna att sådana uppgifter behandlas men att det inte kan uteslutas att det någon gång uppstår ett sådant behov. Sökbegränsningen avseende uppgifter om lagöverträdelser bör därför föras in i den nya lagen. För att undvika onödig särreglering bör den omfatta både identitetskort med och utan funktion som resehandling.

Direktåtkomst till uppgift om giltighet av identitetskort

Uppgift om giltigheten av ett identitetskort för folkbokförda i Sverige får enligt 16 § IdL lämnas ut genom direktåtkomst. Någon motsvarande bestämmelse finns inte beträffande nationella identitetskort. Det innebär dock inte att direktåtkomst inte är tillåten utan endast att en bedömning av en sådan åtkomst måste göras av den personuppgiftsansvarige bl.a. med beaktande av tillämpliga dataskyddsbestämmelser.18

17Ds 2015:44 s. 228. 18 Jfr SOU 2012:90 s. 210 ff.

Vi bedömer att det är lämpligt att föra in bestämmelsen om direktåtkomst i den nya lagen och låta den omfatta både identitetskort med och utan funktion som resehandling. Med en sådan bestämmelse underlättas utvecklingen av e-tjänster för kontroll av giltighet. Genom sådana kontrollmöjligheter kan missbruket av identitetshandlingar motverkas.

Utlämnande genom direktåtkomst anses typiskt sett vara en integritetskänslig åtgärd. Direktåtkomsten är dock i detta fall begränsad till att endast avse uppgift om giltigheten av ett id-kort. En åtkomst som endast avser sådana uppgifter är inte av särskilt integritetskänslig karaktär. Integritetsriskerna för den enskilde är således försumbara. Det kan dessutom hävdas att syftet med åtkomsten är just att minska det integritetsintrång det innebär att någon använder ett id-kort som tillhör en annan person.

Enligt 22 kap. 1 § OSL och 6 § OSF gäller sekretess för uppgift om en enskilds personliga förhållanden i id-kortsregistren, om det av särskild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs. En uppgift om ett identitetskorts giltighet torde inte omfattas av sekretess enligt bestämmelsen.

Varken dataskyddsregleringen eller sekretessregleringen bör därför utgöra något hinder mot en bestämmelse om direktåtkomst som även omfattar identitetskort med funktion som resehandling. En bestämmelse om direktåtkomst till uppgift om id-korts giltighet bör därför föras in i den nya lagen.

Ingen rätt att invända mot behandlingen

Av 18 § IdL följer att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar mot behandling av personuppgifter inte gäller vid behandling som är tillåten enligt IdL eller föreskrifter som har meddelats i anslutning till lagen. Någon motsvarande bestämmelse finns inte i förordningen om nationellt identitetskort.

När personuppgiftslagen gällde ansågs det i vissa fall behövas en uttrycklig bestämmelse om att den registrerade inte hade rätt att motsätta sig den behandling som reglerades i en viss registerförfattning. Bestämmelsen i 12 § andra stycket personuppgiftslagen som stadgade att den registrerade inte hade rätt att motsätta sig sådan

behandling som skedde på annan grund än samtycke och som var tillåten enligt personuppgiftslagen ansågs nämligen svår att hänvisa till när det gällde behandling som skedde med stöd av en registerförfattning. I många registerförfattningar har det därför även innan dataskyddsförordningen började tillämpas tagits in bestämmelser om att den registrerade inte hade rätt att invända. I andra fall har en sådan bestämmelse ansett obehövlig eftersom det har ansetts följa direkt av ändamålsbestämmelserna att behandling utan samtycke var tillåten.19 Till en början fanns det inte heller någon reglering avseende den registrerades inställning när det gäller registret över identitetskort för folkbokförda i Sverige. Den ursprungliga bestämmelsen om att den registrerade inte har rätt att motsätta sig behandling tillkom i samband med att bestämmelserna infördes i lag. I förarbetena uttalade regeringen att någon uttrycklig bestämmelse om att den registrerade inte kan invända mot behandlingen av personuppgifter i registret egentligen inte behövdes men att en sådan bestämmelse trots det infördes i klargörande syfte.20

Det finns inte skäl att tro att bedömningen i denna fråga skulle skilja sig beroende på om det är fråga om registret över nationella identitetskort eller registret över identitetskort för folkbokförda i Sverige. Det kan också noteras att en bestämmelse om att den registrerade inte kan motsätta sig behandling som sker i registret över nationella identitetskort har föreslagits i promemorian Passdatalag.21

Rätten att göra invändningar regleras numera i artikel 21 i dataskyddsförordningen. Vid behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning (dvs. behandling enligt artikel 6.1 e eller f i dataskyddsförordningen) ska den registrerade enligt artikel 21.1 ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Begränsningar i rätten att göra

19 Se t.ex. prop. 2000/01:33 s. 346 och prop. 2015/16:65 s. 46. 20Prop. 2015/16:28 s. 64 f. 21Ds 2015:44 s. 224.

invändningar får dock göras under de förutsättningar som anges i artikel 23.

Som anges ovan behandlas personuppgifterna i registren på den grunden att det är nödvändigt för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Rätten att göra invändningar enligt artikel 21.1 gäller vid sådan behandling.

Begränsningar av rätten att göra invändningar får enligt artikel 23.1 göras i syfte att säkerställa bl.a. ett viktigt mål av generellt allmänt intresse för medlemsstaten. Det krävs också att begränsningen uppfyller krav på nödvändighet och proportionalitet. Vidare måste lagstiftningen enligt artikel 23.2 innehålla specifika bestämmelser om bl.a. ändamål, kategorier av uppgifter, omfattningen av begränsningen, skyddsåtgärder, personuppgiftsansvar, lagringstid, riskerna för de registrerades rättigheter och friheter samt rätten att bli informerad om begränsningen, när så är relevant.

I det lagstiftningsärende där bl.a. lagstiftningen beträffande identitetskort för folkbokförda i Sverige sågs över med anledning av dataskyddsförordningen anförde regeringen att det är av stor betydelse att personuppgifter får behandlas oberoende av den registrerades inställning i de aktuella verksamheterna. Behandlingen är en förutsättning för att myndigheterna ska kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Den personuppgiftsansvariga myndigheten får närmast undantagslöst anses kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna att behandla relevanta personuppgifter menade regeringen att den registrerade inte heller fortsättningsvis bör ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning ansågs utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Lagstiftningen innehåller dessutom ett flertal olika integritetsskyddande bestämmelser såsom ändamål med behandlingen och kategorier av uppgifter som får behandlas. Regleringen innebär en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Regeringen ansåg därför att lagstiftningen uppfyllde de krav på bl.a. skyddsåtgärder som uppställs i artikel 23.2 i dataskyddsförordningen.22

22Prop. 2017/18:95 s. 85 f.

Det finns inte något skäl att göra en annan bedömning beträffande de identitetskort som kan användas som resehandling. Utöver de skäl som regeringen anförde kan tilläggas att det för ett säkert utfärdande av id-korten är av stor vikt att myndigheten kan kontrollera att inte samma person innehar flera kort med olika identiteter och att en person inte ansöker om ett id-kort i en annan persons identitet. Det är därför viktigt att det finns ett register med uppgifter om utfärdade id-kort i vilket personuppgifter får behandlas oberoende av den registrerades inställning. En bestämmelse om att behandling av personuppgifter i registret får utföras även om den registrerade invänder mot behandlingen är därmed enligt vår bedömning förenlig med dataskyddsförordningen. En sådan bestämmelse bör därför föras in i den nya lagen om statliga identitetshandlingar och omfatta båda typerna av id-kort. Bestämmelsen bör även omfatta sådan behandling av personuppgifter i id-kortsverksamheten som sker utanför id-kortsregistret.

Dataskyddsförordningen är direkt tillämplig. Undantaget motiveras av behovet av balans mellan det skydd som dataskyddsförordningen ger den registrerade och verksamhetens behov. För att säkerställa att balansen består även vid en eventuell ändring av dataskyddsförordningen bör hänvisningen göras dynamisk. Den kommer därmed att avse förordningen i dess vid varje tidpunkt gällande lydelse.

10.3.2. Ändamål

Utredningens förslag: Personuppgifter ska få behandlas om det

är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av statligt identitetskort och statlig e-legitimation.

Personuppgifter som har samlats in i utfärdandeverksamheten ska även få behandlas

1. om det är nödvändigt för utfärdande av pass,

2. av Polismyndigheten om det är nödvändigt för gränskontroll,

3. av Polismyndigheten om det är nödvändigt för att förebygga,

förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

4. om det är nödvändigt för att fullgöra uppgiftsutlämnande som

sker i överensstämmelse med lag eller förordning, och

5. för andra ändamål, under förutsättning att uppgifterna inte

behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Ändamålsbestämmelserna ska även omfatta sådan behandling av personuppgifter i id-kortsverksamheten som sker utanför id-kortsregistret.

Beträffande identitetskort för folkbokförda i Sverige får personuppgifter enligt 12 § IdL behandlas i databasen om det behövs i den utfärdande myndighetens utfärdandeverksamhet. När det gäller registret över nationella identitetskort anges i 15 § förordningen om nationellt identitetskort att det ska ha till ändamål att ge information om sådana uppgifter som behövs i den utfärdande myndighetens utfärdandeverksamhet. Bestämmelserna reglerar de primära ändamålen för behandlingen och syftar till att tillgodose behoven av att behandla personuppgifter i de utfärdande myndigheternas id-kortsverksamhet, till skillnad från sekundära ändamål som i första hand syftar till att tillgodose behov utanför den verksamheten. Regleringen innebär att personuppgifter inte får samlas in för några andra ändamål. Ändamålsbestämmelserna såg från början likadana ut beträffande båda registren. Bestämmelsen avseende identitetskort för folkbokförda i Sverige ändrades dock i samband med att den fördes in i lag. I förarbetena angavs att någon skillnad i sak inte var avsedd.23 Vi föreslår därför att den primära ändamålsbestämmelsen i den nya lagen formuleras på det förenklade sätt som anges i IdL. Personuppgifter bör således få behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av statligt identitetskort.

Uppgifter om de statliga identitetskorten kan också ha betydelse vid utfärdande av pass och vice versa. Om det exempelvis råder oklarhet kring en handlings äkthet eller en sökandes identitet vid ansökan om pass kan det finnas uppgifter i registret för id-kort som underlättar kontrollen. För att få vetskap om att inte samma person innehar flera identitetshandlingar med olika identiteter eller att den sökande inte ansöker om att få ett pass med en annan persons identitet

23Prop. 2015/16:28 s. 61.

krävs kontroll i id-kortsregistret. Det bör därför även vara tillåtet att behandla personuppgifter om det är nödvändigt för passverksamheten. Behovet av sådan behandling väger enligt vår bedömning tyngre än den eventuella risk för integritetsintrång som en sådan behandling kan innebära för den enskilde. För att det inte ska råda någon oklarhet i fråga om sådan behandling är tillåten eller inte bör en bestämmelse om behandling för det ändamålet införas. Eftersom det inte bör vara tillåtet att samla in uppgifter för andra ändamål än för id-kortsverksamheten bör bestämmelsen utformas som ett sekundärt ändamål. Bestämmelsen bör därför ange att personuppgifter, som får behandlas i id-kortsverksamheten, även får behandlas om det är nödvändigt för att utfärda pass.

I promemorian Passdatalag föreslogs att uppgifterna i registret över de nationella identitetskorten även skulle få behandlas vid gränskontroll. Förslaget motiverades med att det nationella identitetskortet kan användas som en resehandling vid resor inom EU. Det fanns således ett behov av att i samband med sådan gränskontroll kunna kontrollera identitetsuppgifter och uppgifter om själva identitetskortet, t.ex. uppgifter om ett identitetskort är återkallat. Detta behov ansågs väga tyngre än den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde.24 Det statliga identitetskortet med funktion som resehandling ska kunna användas vid resor inom EU och kontrolleras på samma sätt som det nationella identitetskortet. Polismyndigheten ansvarar enligt 5 a § passlagen och 9 kap. 1 § utlänningslagen (2005:716) för kontroll av personer som passerar Sveriges gränser eller Schengengränserna.

Den behandling som krävs i samband med gränskontroll ryms inte inom det primära ändamålet att utfärda id-kort. Behandlingen kan visserligen i och för sig anses vara förenlig med det primära ändamålet, eftersom det statliga identitetskortet med funktion som resehandling utfärdas delvis för att kunna fungera som resehandling. För att undvika otydlighet i detta avseende menar vi dock att det bör införas en sekundär ändamålsbestämmelse som anger att de personuppgifter som har samlats in för att de behövs i utfärdandeverksamheten även får behandlas av Polismyndigheten om det är nödvändigt för gränskontroll. Behovet av att behandla personuppgifterna i syfte att utföra en effektiv gränskontroll får anses väga tyngre än den risk för integritetsintrång som behandlingen kan medföra.

24Ds 2015:44 s. 222.

Polismyndigheten biträds i verksamheten med gränskontroll av Kustbevakningen, Tullverket och Migrationsverket, se 5 a § passlagen och 9 kap. 1 § utlänningslagen. Även dessa myndigheter kan vid gränskontrollen behöva ta del av de personuppgifter som finns i id-kortsregistret. Detta behov kan tillgodoses bl.a. genom den sekundära ändamålsbestämmelse vi föreslår nedan om behandling som är nödvändig för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.

I promemorian Passdatalag föreslogs att personuppgifter som behandlas i verksamheten avseende nationellt identitetskort skulle få behandlas i andra delar av Polismyndighetens verksamhet. I promemorian angavs att fotografierna t.ex. behövs i samband med fotokonfrontationer och som ett led i spaningsarbete och att de används i dessa syften redan i dag. I promemorian bedömdes därför Polismyndigheten ha ett behov av att, i sin brottsförebyggande och brottsbekämpande verksamhet samt vid myndighetens upprätthållande av den allmänna ordningen och säkerheten, kunna behandla sådana personuppgifter som behandlas i verksamheten avseende nationella identitetskort. Behovet ansågs väga tyngre än den risk för integritetsintrång som en sådan behandling kan innebära för den enskilde.25

Vi är också av uppfattningen att Polismyndigheten även i framtiden bör få använda sig av personuppgifter från id-kortsverksamheten för att bekämpa och lagföra brott samt upprätthålla allmän ordning och säkerhet. Det är centrala samhällsintressen som kan förväntas underlättas väsentligt om uppgifterna i id-kortregistret får användas. Uppgifterna har naturligtvis störst värde vid utredning av identitetsrelaterad brottslighet, men även i utredningar som rör andra typer av brott är det väsentligt att identiteten på de inblandade kan fastställas.

Personuppgifterna är ofta harmlösa, eller i vart fall inte av särskilt integritetskänsligt slag. När uppgifterna behandlas i Polismyndighetens brottsbekämpande verksamhet kommer de att omfattas av brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område. Regelverken innehåller bestämmelser som syftar till att skydda den enskildes personliga integritet.

25 Ibid. s. 222 f.

Mot bakgrund av ovanstående menar vi därför att de personuppgifter som har samlats in för utfärdande av statligt identitetskort bör få behandlas av Polismyndigheten även när det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

För att det inte ska vara oklart om en sådan behandling är förenlig med det ursprungliga ändamålet bör det införas en sekundär ändamålsbestämmelse som uttryckligen tillåter behandling för dessa ändamål. Ändamålen i den sekundära bestämmelsen motsvarar vad som anges i 1 kap. 1 § lagen om polisens behandling av personuppgifter inom brottsdatalagens område, dvs. den lag som tillsammans med brottsdatalagen kommer att gälla för den fortsatta behandlingen av personuppgifterna.

De behov av att ta del av uppgifter från id-kortsregistret som kan finnas hos andra brottsbekämpande myndigheter kan tillgodoses bl.a. genom den sekundära ändamålsbestämmelse vi föreslår nedan om behandling som är nödvändig för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.

När det gäller identitetskort för folkbokförda i Sverige anges i den nuvarande regleringen att personuppgifter som behandlas enligt det primära ändamålet också får behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Bestämmelserna tillkom i samband med att ändamålsbestämmelsen fördes in i lag. Syftet var att undvika osäkerhet kring hur sådant utlämnande förhöll sig till bestämmelserna i lagen samt att i förtydligande syfte upplysa om att även behandling som inte strider mot finalitetsprincipen är tillåten. Någon sådan bestämmelse finns inte när det gäller de nationella identitetskorten. Det ändamål som anges i förordningen om nationellt identitetskort synes dock inte vara uttömmande varför detta torde gälla ändå. Motsvarande bestämmelser har också föreslagits beträffande registret över nationella identitetskort i promemorian Passdatalag.26 Mot denna bakgrund menar vi att det finns skäl att låta behandlingen av personuppgifter beträffande både id-kort med och utan funktion som resehandling omfattas av motsvarande bestämmelser som redan

26 Ibid. s. 223.

gäller för identitetskort för folkbokförda i Sverige. På så sätt förtydligas att sådan vidarebehandling är tillåten beträffande uppgifter om båda korten.

Att uppgiftslämnandet ska ske i överensstämmelse med lag eller förordning innebär att det ska ske med stöd av bestämmelser som antingen påbjuder eller tillåter utlämnande. Som ett exempel kan nämnas att det när det gäller uppgifter som inte omfattas av sekretess finns en allmän skyldighet i 6 kap. 5 § OSL för en myndighet att på begäran av en annan myndighet lämna ut uppgifter, om det inte skulle hindra arbetets behöriga gång. Regeringen har ansett att uppgifter i passärenden i de flesta fall måste betraktas som harmlösa.27Detsamma får antas gälla för uppgifter om identitetskort. Bortsett från de fotografier som kommer att sparas i registret kommer det enligt 22 kap. 1 § OSL och 6 § OSF att råda en presumtion för offentlighet när det gäller uppgifter om en enskilds personliga förhållanden på samma sätt som i dag, se avsnitt 11.7. För fotografierna råder i stället en presumtion för sekretess. När det gäller många av uppgifterna i id-kortsverksamheten är Polismyndigheten således skyldig att lämna ut uppgifterna till den myndighet som begär det, om det inte hindrar arbetets gång.

Ändamålsbestämmelserna bör formuleras i enlighet med den terminologi som används i dataskyddsförordningen. De bör därför ange att behandling är tillåten om den är nödvändig i förhållande till ändamålen. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att bedriva id-kortsverksamheten utan att personuppgifterna behandlas. Det unionsrättsliga begreppet nödvändig har inte denna strikta innebörd. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster. I dagsläget bör det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ.28

Bestämmelserna som innebär en begränsning av de ändamål för vilka personuppgifter får behandlas bör omfatta all behandling i idkortsverksamheten och inte bara den som sker i id-kortsregistret. Den kommer därmed att omfatta även den tillfälliga behandling av

27Prop. 2004/05:119 s. 44. 28Prop. 2017/18:105 s. 46 f. och 189.

biometriska uppgifter som berörs i avsnitt 11.4.4. På så sätt höjs skyddet av uppgifterna i hela id-kortsverksamheten.

10.3.3. Känsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter ska få behandlas

i id-kortsregistret endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Med känsliga personuppgifter avses som nämnts de uppgifter som anges i artikel 9 i dataskyddsförordningen, nämligen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Känsliga personuppgifter får enligt 13 § IdL behandlas i databasen över identitetskort för folkbokförda i en handling som har lämnats i ett ärende. Sådana uppgifter får också behandlas i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.

För att känsliga personuppgifter ska få behandlas är det inte tillräckligt att det finns en rättslig grund enligt artikel 6 i dataskyddsförordningen. Vid sådan behandling måste även artikel 9 i dataskyddsförordningen beaktas. Av artikel 9.1 i dataskyddsförordningen framgår att behandling av känsliga personuppgifter som huvudregel är förbjuden. Känsliga personuppgifter får dock enligt artikel 9.2 g i dataskyddsförordningen behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen gjorde vid översynen av IdL med anledning av dataskyddsförordningens tillkomst, bedömningen att verksamheten avseende identitetskort är ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Regeringen anförde att kraven på viktigt allmänt intresse dessutom gällde

även enligt 1995 års dataskyddsdirektiv och alltså inte var nytt. I författningen finns vidare särskilda bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det och regler om förbud mot att söka på känsliga personuppgifter. Regleringen i IdL bedömdes därmed uppfylla dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.29

Någon bestämmelse om behandling av känsliga personuppgifter finns inte i förordningen om nationellt identitetskort och inte heller i det förslag till förordning om behandling av personuppgifter i verksamhet avseende nationellt identitetskort som lämnats i promemorian Passdatalag. I promemorian anges att känsliga personuppgifter normalt inte behandlas i verksamhet avseende nationella identitetskort. Av 3 § andra stycket 2 förordningen om nationellt identitetskort följer dock att sökanden i samband med ansökan är skyldig att styrka sin identitet och sitt svenska medborgarskap. I samband härmed behandlas t.ex. uppgifter om sökandens namn och medborgarskap. Vid ansökan tas också en ansiktsbild på sökanden. En isolerad uppgift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. De uppgifter som anges ovan skulle dock i undantagsfall kunna avslöja en persons ras eller etniska ursprung. I promemorian konstaterades därför att personuppgifter som kan avslöja någons ras eller etniska tillhörighet, framför allt sökandens namn och medborgarskap samt hans eller hennes ansiktsbild, behöver behandlas i verksamheten avseende nationellt identitetskort. Eftersom uppgifterna normalt lämnas av sökanden vid ansökningstillfället torde behandlingen enligt uttalanden i promemorian därmed kunna ske med hans eller hennes samtycke. I annat fall torde behandlingen kunna ske med stöd av 8 § personuppgiftsförordningen (1998:1191) som angav att känsliga personuppgifter fick behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I promemorian gjordes därför bedömningen att det inte fanns något behov av att ytterligare begränsa passmyndigheternas möjlighet att behandla känsliga personuppgifter.30

29Prop. 2017/18:95 s. 62 f. 30Ds 2015:44 s. 226 f. jämförd med prop. 2008/09:70 s. 142.

Personuppgiftsförordningen är numera upphävd. I förhållande till den nu gällande generella regleringen av behandling av känsliga personuppgifter enligt dataskyddslagen gjordes i samband med översynen av IdL en annan bedömning än den som gjordes i förhållande till bestämmelsen i personuppgiftsförordningen i promemorian Passdatalag. Av 3 kap. 3 § dataskyddslagen följer att känsliga personuppgifter får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. När det gäller behandlingen av känsliga personuppgifter i verksamheten avseende identitetskort för folkbokförda i Sverige har regeringen ansett att det skulle innebära en utvidgning av möjligheterna att behandla känsliga personuppgifter jämfört med vad som gäller enligt IdL att i stället låta den generella regleringen om behandling av känsliga personuppgifter gälla. Av den anledningen behöll man bestämmelsen om behandling av känsliga personuppgifter i IdL och den utgör därmed en i förhållande till 3 kap. 3 § dataskyddslagen avvikande reglering som ska tillämpas i stället för den lagen.31

Av de skäl som redovisats beträffande IdL gör vi bedömningen att den behandling av känsliga personuppgifter som behöver göras beträffande både identitetskorten som har funktion som resehandling och de som inte har en sådan funktion är nödvändig av hänsyn till ett viktigt allmänt intresse och att de krav som i övrigt följer av artikel 9.2 g i dataskyddsförordningen är uppfyllda.

De känsliga personuppgifter som behöver behandlas är uppgifter som normalt lämnas av sökanden vid ansökningstillfället. Det kan alltså vara fråga även om uppgifter som inte finns i en handling. En bestämmelse som tillåter sådan behandling, och inte enbart behandling av uppgifter som finns i handlingar bör därför föras in i den nya lagen.

Polismyndigheten kommer enligt våra förslag i avsnitt 11.4.4 även att behandla vissa biometriska uppgifter som tas fram ur ansiktsbilder i id-kortsregistret. Vi har i det avsnittet bedömt att även den behandling vi föreslår i det avseendet är förenlig med dataskyddsförordningen.

31Prop. 2017/18:95 s. 63.

I förtydligande syfte bör det i bestämmelsen göras en hänvisning till definitionen av känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen. Eftersom den terminologi som används i lagen måste följa den begreppsutveckling som sker inom EU bör hänvisningen till dataskyddsförordningen göras dynamisk. Det innebär att hänvisningen kommer att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

10.3.4. Registrets innehåll

Utredningens förslag: Vilka uppgifter id-kortsregistret ska inne-

hålla ska regleras både i den nya lagen och förordningen. Registret ska bl.a. innehålla uppgifter om sökanden, utfärdade identitetskort och uppgifter från handläggningen av ärenden om identitetskort.

Vi föreslår i avsnitt 11.4.4 att den ansiktsbild som tas av sökanden vid ansökan om statligt identitetskort och biometriska uppgifter som tas fram ur denna ska sparas i id-kortsregistret och att detta ska regleras i den nya lagen. Bestämmelser om id-kortsregistrets innehåll i övrigt bör inte tas in i den nya lagen utan meddelas av regeringen.

Vilka uppgifter som ska finnas i registren regleras i dag i 11 § IdF och 16 § förordningen om nationella identitetskort. En bestämmelse med motsvarande innehåll bör föras in i den nya förordningen. Uppräkningarna av vilka uppgifter som ska finnas i registren skiljer sig åt i några avseenden. Uppgifter om födelsetid, postadress och andra kontaktuppgifter, eventuell anledning till att namnteckning inte kan göras, uppgift om hur sökanden har styrkt sin identitet och uppgift om förlustanmälan som ska finnas i registret över identitetskort för folkbokförda i Sverige finns inte reglerade för de nationella identitetskorten. Detsamma gäller handlingar som kommit in eller upprättats i ett ärende. Dessa uppgifter är dock enligt vår bedömning lika relevanta att registrera beträffande båda typerna av identitetskort. Flera av uppgifterna registreras också redan i dag även avseende de nationella identitetskorten.32 Den uppräkning av uppgifter som ska finnas i registret över identitetskort för folkbokförda i Sverige

32Ds 2015:44 s. 9499.

bör därför omfatta både identitetskort med och utan funktion som resehandling. Även uppgift om att en ansökan har återkallats bör registreras på samma sätt som redan i dag gäller för nationella identitetskort.

Utöver de uppgifter som redan i dag ska finnas i registret bör även uppgift om att sökanden har svenskt medborgarskap i förekommande fall registreras. Den uppgiften är av betydelse för frågan om sökanden kan få ett id-kort med funktion som resehandling.

Vidare finns det behov av att i vissa fall ta in uppgift om samordningsnummer i id-kortsregistret. Det finns nämligen svenska medborgare som är födda utomlands som aldrig har varit folkbokförda i Sverige och därför inte har något personnummer. Även medborgare som bor utomlands kan få ett statligt identitetskort. Har personen inte något personnummer utfärdas id-kortet med samordningsnummer i stället för personnummer. Samordningsnummer bör därför finnas med i uppräkningen av de uppgifter som ska finnas i id-kortsregistret.

I de fall ansökan om id-kort görs genom bud bör, som anges i avsnitt 10.2.7, även uppgifter om budet, vittnet och företrädaren för den inrättning som intygat att sökanden inte kan ta sig till den utfärdande myndigheten registreras. Detta för att Polismyndigheten ska ha möjlighet att göra en kontroll av de uppgifter som lämnats i ansökan. Det kan i dessa ärenden exempelvis finnas behov av att ta kontakt med inrättningen för att säkerställa att intyget om att sökanden är förhindrad att inställa sig är korrekt. Ytterligare kontakt kan också behöva tas med vittnet eller budet.

Även i ärenden där sökanden styrker sin identitet genom en intygsgivare kan en fördjupad kontroll i vissa fall behöva göras. Som anges i avsnitt 10.2.8 bör därför uppgifter om intygsgivaren registreras.

Databasen över identitetskort för folkbokförda i Sverige får enligt 12 § IdF tillföras sådana uppgifter från Skatteverkets folkbokföringsdatabas som anges i 11 § första stycket, dvs. de uppgifter som ska finnas i databasen över id-korten. Vid ansökningstillfället hämtas de uppgifter som anges i bestämmelsen ur folkbokföringsregistret och visas på handläggarens skärm varvid en kontroll kan göras. Polismyndigheten har med stöd av 2 kap. 8 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet direktåtkomst till vissa uppgifter i folkbokföringsdatabasen. Polismyndigheten hämtar folkbokföringsuppgifter vid handläggningen av

en ansökan om nationellt identitetskort. Det kan även finnas ett behov av att hämta folkbokföringsuppgifter och uppdatera id-kortsregistret när Skatteverket registrerar nya uppgifter som kan ha betydelse för t.ex. återkallelse. För att tydliggöra att id-kortsregistret får tillföras sådana uppgifter bör en bestämmelse motsvarande den i 12 § IdF föras in i den nya förordningen och omfatta både identitetskort med och utan funktion som resehandling.

10.3.5. Längsta tid för behandling av personuppgifter

Utredningens förslag: Uppgifter och handlingar i id-kortsregist-

ret ska inte få behandlas under längre tid än vad som är nödvändigt för ändamålet med behandlingen, dock längst tio år efter utgången av det kalenderår då giltighetstiden för ett identitetskort gått ut eller ansökan om identitetskort avslagits eller återkallats.

Riksarkivet ges möjlighet att meddela föreskrifter om att uppgifter och handlingar får bevaras under längre tid.

I 17 § förordningen om nationellt identitetskort anges att en uppgift i registret ska gallras senast sex månader efter att giltighetstiden för ett identitetskort har gått ut. Samma gallringsfrist har föreslagits i promemorian Passdatalag dock med det tillägget att Riksarkivet får meddela föreskrifter om bevarande.33

Enligt 13 § IdF gäller i stället en gallringsfrist om ett år för uppgifter och handlingar i databasen. Vidare anges att om ansökan om identitetskort för folkbokförda i Sverige har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft. Riksarkivet får, efter att ha inhämtat synpunkter från Skatteverket, när det gäller identitetskort för folkbokförda i Sverige meddela föreskrifter om att uppgifter och handlingar får bevaras under längre tid. Bestämmelserna gäller endast för uppgifter i registren och, när det gäller bestämmelsen i IdF, handlingar i registret.

Riksarkivet har med stöd av 13 § IdF meddelat föreskrifter om bevarande av uppgifter och handlingar i databasen.34 Av föreskrifterna följer bl.a. att ansökningshandlingar inklusive underskrift och

33Ds 2015:44 s. 234 ff. 34 Riksarkivets föreskrifter om bevarande och gallring hos Skatteverket (RA-MS 2011:33).

ansiktsbild i ärenden om identitetskort som har beviljats och merparten av de uppgifter som ska finnas i databasen enligt 11 § IdF ska bevaras. Övriga handlingar i ärenden om identitetskort som beviljats och handlingar i ärenden om identitetskort som har avslagits ska gallras efter tio år. Regleringen medför att det i praktiken inte är några uppgifter eller handlingar som gallras inom den frist på ett år som anges i IdF. För registret över nationella identitetskort finns inte någon föreskriftsrätt för Riksarkivet.

Föreskriftsrätten för Riksarkivet när det gäller uppgifter och handlingar i databasen om identitetskort för folkbokförda i Sverige infördes sedan Skatteverket framfört behov av att kunna bevara handlingar och uppgifter för längre tid än ett år. Anledningen var att man såg ett behov av att exempelvis kunna ta del av skälen till ett beslut om avslag eller återkallelse. Dessutom hade leverantören av den e-legitimation som finns på id-kortet behov av att vissa uppgifter bevarades i tio år till följd av gallringsfristen i bokföringslagen. Även bankerna framförde behov av att kunna kontrollera bankhändelser i tio år efter genomförd transaktion varvid uppgifter om utfärdandet av den identitetshandling som använts för att styrka identiteten också kunde behöva kontrolleras. Även ur ett brottsbekämpande perspektiv ansågs det finnas behov av att kontrollera handlingar rörande id-kort som utfärdats till en person som t.ex. var misstänkt för bedrägeri.

För uppgifter och handlingar som inte finns i registren, exempelvis pappershandlingar, finns inga gallringsbestämmelser i de författningar som reglerar id-korten. För dessa uppgifter gäller därför arkivlagen. Huvudprincipen enligt arkivlagen är att allmänna handlingar ska bevaras. Statliga myndigheter får enligt 14 § arkivförordningen gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Riksarkivet har med stöd av arkivförordningen meddelat föreskrifter om gallring av pappershandlingar i ärenden om identitetskort för folkbokförda i Sverige.35 Riksarkivet har även meddelat föreskrifter beträffande nationella identitetskort när det gäller annat än uppgifter i registret.36

35 Riksarkivets föreskrifter om bevarande och gallring hos Skatteverket (RA-MS 2011:33). 36 Riksarkivets föreskrifter om bevarande och gallring hos Polismyndigheten (RA-MS 2017:45).

Informationssamlingar som innehåller ett stort antal personuppgifter innebär integritetsrisker för den enskilde. Det är anledningen till att det i registerförfattningar är vanligt med bestämmelser som, tvärtemot arkivlagens huvudprincip om bevarande, anger att gallring ska ske på visst sätt eller som anger en längsta tid för behandling av uppgifterna. Om sådana bestämmelser inte skulle finnas gäller arkivlagens huvudregel om bevarande. Vi menar därför att bestämmelser som anger under hur lång tid uppgifterna får sparas i id-kortsregistret bör föras in i den nya lagstiftningen.

Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, medan gallring i lagstiftning om behandling av personuppgifter syftar till att skydda enskildas personliga integritet. När syftet med bestämmelserna är att skydda den personliga integriteten bör regleringen, i enlighet med regeringens bedömning när det gäller den lagstiftning som kompletterar brottsdatalagen, i stället för gallring ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Detta för att begreppen bevarande och gallring enbart ska användas i den betydelse de har i arkivlagstiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och regler om dataskydd. Avsikten är dock inte att den ändrade terminologin ska innebära några ändringar i sak.37 Även bestämmelserna avseende id-kortsregistret bör därför formuleras så att de anger den längsta tid som uppgifterna får behandlas.

Vid utformningen av sådana bestämmelser måste en avvägning göras mellan å ena sidan intresset av skyddet för den personliga integriteten och å andra sidan verksamhetens behov. Som framgått behandlas uppgifter och handlingar avseende identitetskort för folkbokförda i Sverige i realiteten under betydligt längre tid än den som anges i IdF. Behovet av att behandla uppgifter och handlingar torde vara detsamma oavsett om de gäller identitetskort med eller utan funktion som resehandling. Förutom de behov som redovisats ovan är det av stor vikt för säkerheten i utfärdandeprocessen att den utfärdande myndigheten kan kontrollera uppgifter i registret i samband med att en person ansöker om ett nytt id-kort. Uppgifterna behövs således bl.a. för att kunna kontrollera att inte samma person innehar flera kort med olika identiteter och att den sökande inte ansöker om att få ett kort med en annan persons identitet. Detta gäller inte minst de ansiktsbilder och biometriska data som vi i

37Prop. 2017/18:269 s. 120 f.

avsnitt 11.4.4 föreslår ska sparas i id-kortsregistret i syfte att möjliggöra sökning på dessa uppgifter. Många uppgifter kan av det skälet behöva sparas under lång tid. Vi menar att det är en lämpligare ordning att utforma lagregleringen så att den bättre återspeglar den behandling som faktiskt sker än att enbart låta detta framgå av myndighetsföreskrifter.

Olika typer av uppgifter kan behöva sparas under olika lång tid. Det har dock inte varit möjligt att inom ramen för vårt arbete fullt ut utreda hur lång tid olika uppgifter behöver behandlas. Vi bedömer därför att det är lämpligt att införa en bestämmelse som knyter an till ändamålet med behandlingen i stället för att ange en viss tid för behandling. Personuppgifter som behandlas i id-kortsregistret bör därför inte få behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det kan diskuteras om en sådan bestämmelse verkligen behövs eftersom detta följer redan av de allmänna principerna i artikel 5 i dataskyddsförordningen. Bestämmelsen kan också tyckas vara alltför vag för att tillföra något ur integritetsskyddsintresse. Regeringen har dock ansett att en bestämmelse som knyter an till ändamålet med behandlingen, i stället för bestämda tidsfrister, är tillräcklig för att tillgodose integritetsskyddsintresset.38 För att ytterligare avgränsa den behandling som är tillåten kan bestämmelsen förenas med en yttersta tidsfrist.

Frågan är då hur lång denna tidsfrist ska vara. Som framgått gäller enligt Riksarkivets föreskrifter om identitetskort för folkbokförda i Sverige att ansökningshandlingar, inklusive underskrift och ansiktsbild i ärenden som har beviljats, och merparten av de uppgifter som ska finnas i databasen ska bevaras utan någon tidsgräns. Ur verksamhetens perspektiv kan det dock knappast finnas skäl att spara uppgifterna så länge. Övriga uppgifter får enligt Riksarkivets föreskrifter behandlas i tio år.

Enligt tillitsramverket för Svensk e-legitimation ska tiden för bevarande av uppgifter om utfärdade e-legitimationer inte understiga tio år. Uppgifter om ansökan, utlämnande och spärr av den statliga e-legitimation som vi i avsnitt 12.3 föreslår ska utfärdas kommer alltså att behöva sparas under minst tio år. Tidsfristen bör därför inte sättas kortare än så. Några tydliga behov av att behandla uppgifter under ännu längre tid har inte framkommit. Uppgifterna i registret bör därför få behandlas under längst tio år.

38 Se t. ex. prop. 2002/03:135 s. 121 f.

Att det sätts en yttersta tidsgräns innebär naturligtvis inte att alla uppgifter i registret ska behandlas under så lång tid. Polismyndigheten måste som personuppgiftsansvarig göra en bedömning av behovet av olika typer av uppgifter och utifrån det behovet ta fram rutiner för hur länge olika uppgifter ska behandlas.

I avsnitt 11.4.4 och 11.6.1 föreslår vi att vissa bestämmelser om förstörande av biometriska uppgifter ska föras in i den nya lagen om statliga identitetshandlingar. Även den bestämmelse avseende under hur lång tid uppgifter och handlingar i registret får behandlas som vi nu föreslår bör föras in lag, för att bestämmelserna om tidsbegränsning för behandling ska vara samlade.

I lagen bör också anges att regeringen eller den myndighet regeringen föreskriver får meddela föreskrifter om att uppgifter och handlingar får behandlas under längre tid, på motsvarande sätt som i dag gäller enligt IdF. Bestämmelsen bör utformas i enlighet med dataskyddsförordningens terminologi och således ange att föreskrifter får meddelas om att personuppgifter får behandlas under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Sådana föreskrifter kan ges för att understödja rätten att ta del av allmänna handlingar samt för att tillgodose rättskipningens, förvaltningens och forskningens behov. Motsvarande formuleringar återfinns i andra registerförfattningar. Föreskriftsrätten bör i förordningen delegeras till Riksarkivet.

10.4. Ändringar i passregleringen

10.4.1. Personlig inställelse vid utlämnande av pass

Utredningens förslag: Kravet på att sökanden ska inställa sig per-

sonligen i samband med utlämnade av pass ska föras in i passlagen och inte längre regleras i förordning. Detsamma gäller undantaget som ger utlandsmyndigheterna möjlighet att medge sökanden rätt att inställa sig hos ett ombud för myndigheten.

Vi föreslår i avsnitt 10.2.7 att kravet på att sökanden inställer sig personligen för att hämta ut det statliga identitetskortet ska föras in i den nya lagen om statliga identitetshandlingar och inte som i dag regleras i förordning. Även kravet på personlig inställelse när det

gäller utlämnande av pass finns i dag i förordning (21 § passförordningen). I passförordningen regleras också möjligheten för en passmyndighet utom riket att medge att utlämnande sker hos ett ombud för myndigheten. Bestämmelser om personlig inställelse finns av säkerhetsskäl. Kravet på personlig inställelse i samband med utlämnande är som anges i det ovan nämnda avsnittet av så central betydelse att goda skäl talar för att det bör föras in i lag och inte som i dag regleras i förordning.

Vi föreslår dessutom i avsnitt 11.6.1 att det av passlagen ska framgå att den utfärdande myndigheten vid behov kan ta sökandens fingeravtryck och ansiktsbild vid utlämnandet. Att vid en personlig inställelse låta myndigheten göra sådana kontroller innebär en sådan olägenhet för den enskilde att det även av det skälet är lämpligt att ta in kravet på personlig inställelse i lag. Kravet på personlig inställelse bör därför tas in i passlagen. Även bestämmelsen som möjliggör för utlandsmyndigheterna att medge att utlämnandet sker hos ett ombud bör föras över till passlagen.

10.4.2. Undantag från huvudregeln om styrkande av identitet för personer som saknar en statlig fysisk identitetshandling

Utredningens förslag: Sökande som inte har ett pass eller statligt

identitetskort kan styrka sin identitet med pass från vissa europeiska länder. Har sökanden inte heller ett sådant pass kan identiteten styrkas med hjälp av en intygsgivare eller i sista hand på något annat tillförlitligt sätt.

Sökanden ska innan ett pass lämnas ut vara skyldig att på begäran styrka sin identitet på samma sätt som vid ansökan.

Passlagen innehåller, precis som författningarna beträffande id-kort, bestämmelser om att sökanden ska styrka sin identitet i samband med ansökan. Det anges dock inte heller i passlagen på vilket sätt identiteten ska styrkas. Detta framgår i stället av de i avsnitt 4.2 nämnda föreskrifterna som Polismyndigheten har utfärdat och som är gemensamma för pass och id-kort.

Vi föreslår i avsnitt 8.6.2 att pass och statligt identitetskort ska användas för att styrka identiteten i samband med ansökan om pass och statligt identitetskort. Som anges i avsnitt 10.2.8 beträffande idkort kommer det dock även i fortsättningen finnas ett behov av att godta andra sätt att identifiera sig. För att göra utfärdandeprocessen enhetlig bör de alternativa sätten att styrka sin identitet som vi föreslår ska godtas när det gäller ansökan om statligt identitetskort, även gälla vid ansökan om pass. Av samma skäl som anges i det avsnittet bör endast huvudregeln om på vilket sätt identiteten ska styrkas tas in i lag, medan undantagen kan meddelas av regeringen i förordning.

De bestämmelser om identifiering med utländska pass, intygsgivare och annan tillförlitlig identifiering som vi i avsnitt 10.2.8 föreslår ska gälla vid ansökan om statligt identitetskort bör därmed föras in även i passlagstiftningen. Det finns dock inte något behov av att möjliggöra identifiering genom jämförelse med de uppgifter som finns registrerade hos Migrationsverket i fråga om personens uppehållstillstånd, eftersom det endast är svenska medborgare som kan få pass utfärdade.

Även när det gäller styrkande av identitet i samband med att pass lämnas ut gör vi samma bedömning som i avsnitt 10.2.8 beträffande statligt identitetskort. En bestämmelse om att sökanden på begäran ska styrka sin identitet på motsvarande sätt som i samband med ansökan även när passet lämnas ut, bör därför införas i passlagen.

10.4.3. Inlämning av ett tidigare utfärdat pass

Utredningens förslag: Om ett pass tidigare har utfärdats för

sökanden och det inte har förstörts, kommit bort eller makulerats, ska passet ges in för makulering vid utlämnande av ett nytt pass.

Ett tidigare utfärdat pass ska enligt 6 § fjärde stycket passlagen lämnas in för makulering i samband med ansökan om det inte har förstörts, kommit bort eller makulerats om det inte finns särskilda skäl. Om sökanden av särskilda skäl har behov av passet under handläggningstiden behöver det enligt 1 § andra stycket 1 passförordningen inte ges in förrän i samband med att det nya passet lämnas ut. I avsnitt 10.2.9 har vi i stället föreslagit att ett tidigare utfärdat statligt identitetskort alltid ska ges in för makulering vid utlämnande av

det nya kortet eftersom sökanden vanligen behöver det gamla idkortet till dess att det nya lämnas ut. Bestämmelserna i passlagen och passförordningen bör av samma skäl ändras på det sättet att det framgår att passet i stället ska ges in för makulering när det nya passet lämnas ut.

För att minska antalet pass som finns tillgängliga i samhället bedömer vi, på samma sätt som beträffande id-kort, att det finns anledning att föreskriva att även ett pass vars giltighetstid har gått ut ska makuleras.

10.4.4. Återkallelse av pass

Utredningens förslag: Pass ska kunna återkallas om någon väsent-

lig uppgift som framgår av passet är felaktig eller inte längre gäller.

I 12 § passlagen anges i vilka situationer ett pass kan återkallas. Det rör sig t.ex. om när passinnehavaren har förlorat eller efter ansökan befriats från sitt svenska medborgarskap, vårdnadshavaren begär att ett barns pass ska återkallas, passinnehavaren är föremål för olika frihetsberövande påföljder, det fanns hinder mot att bifalla passansökan vid utfärdandet och hindret fortfarande består eller någon annan än den för vilket passet är utställt förfogar över det.

I avsnitt 10.2.10 föreslår vi att det statliga identitetskortet ska kunna återkallas om någon väsentlig uppgift som framgår av id-kortet är felaktig eller inte längre gäller. Precis som när det gäller det statliga identitetskortet är det viktigt att det går att lita på att uppgifterna i passet är riktiga. Det är inte lämpligt att en person som exempelvis byter namn eller personnummer har ett pass som inte anger rätt personuppgifter. Även pass bör därför kunna återkallas om någon väsentlig uppgift som framgår av detta är felaktig eller inte längre gäller.

Svenskt medborgarskap är en förutsättning för att ett pass ska kunna utfärdas. Det svenska medborgarskapet är således en väsentlig uppgift som framgår av passet. En ändring beträffande medborgarskapet omfattas därmed av den nya återkallelsegrunden. Någon särskild återkallelsegrund beträffande medborgarskap behövs därför inte längre när det gäller pass.

11. Fysiska identitetshandlingars säkerhetsnivå

11.1. Vårt uppdrag

De fysiska identitetshandlingar som används i dag är utformade på olika sätt vilket innebär att säkerhetsnivån varierar. Ett sätt att förbättra säkerhetsnivån, som nämns i våra direktiv, är att förse identitetshandlingarna med ett biometriskt underlag. I nationella identitetskort och pass finns i dag ansiktsbild lagrad i ett lagringsmedium. I passet lagras även fingeravtryck. Att förse identitetshandlingar med uppgifter som kan ligga till grund för biometriska kontroller innebär dels att handlingen blir svårare att förfalska, dels att det vid en kontroll med stor säkerhet går att avgöra om handlingens innehavare är den person som handlingen har utfärdats till. Det sistnämnda förutsätter dock att den som ska kontrollera handlingen har tillgång till viss teknisk utrustning.

Det finns även andra möjligheter att förbättra identitetshandlingars säkerhetsnivå. En sådan säkerhetshöjande ordning, som också nämns i våra direktiv, skulle kunna vara att förse identitetshandlingar med en pinkod som innehavaren verifierar sig med på samma sätt som man gör med ett bankkort.

Vårt uppdrag i denna del består i att utreda och ta ställning till om det bör ställas krav på att giltiga identitetshandlingar ska innehålla biometrisk information i någon form eller andra säkerhetshöjande detaljer. Vi ska också lämna nödvändiga författningsförslag.

11.2. Dagens säkerhetsnivå

11.2.1. Biometri

Definitioner

Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag eller beteenden hos den som ska identifieras. Genom mätningen kan särskiljande egenskaper hos olika personer hittas. Med biometri avses i detta sammanhang tekniker som läser av en persons unika drag och översätter dem till en datakod i syfte att använda koden vid maskinell och automatisk identifiering. Förutom mätning av fingeravtryck och ansiktsbilder finns det också teknik som innebär mätning av andra fysiska egenskaper såsom iris, näthinna, ögonbotten, hand- och fingergeometri. Även vissa beteendemässiga kännetecken såsom tangentbordsrytm, signaturbiometri och gångstil kan användas.1 Gemensamt för teknikerna är att kroppen mäts elektroniskt.

Med biometriskt underlag avses rådata om en persons fysiska karaktärsdrag, t.ex. ett digitalt fotografi av ett ansikte eller av ett fingeravtryck. Biometriska uppgifter eller data är den information som kan tas fram ur ett biometriskt underlag. De biometriska uppgifter som tas fram (extraheras) ur ett biometriskt underlag utgörs av de särdrag som systemet lokaliserat i bilden. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.

Biometriska uppgifter definieras enligt artikel 4.14 i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. Motsvarande definition finns i artikel 3.13 i det nya dataskyddsdirektiv2 som gäller i brottsbekämpande verksamhet.

1SOU 2016:41 s. 583 ff. 2 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

I såväl dataskyddsförordningen som det nya dataskyddsdirektivet som gäller i den brottsbekämpande verksamheten anges alltså att ansiktsbilder är ett exempel på biometriska uppgifter. I skäl 51 till dataskyddsförordningen anges dock att behandling av foton inte systematiskt bör anses utgöra behandling av biometriska uppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Regeringen har vidare i förarbetena till brottsdatalagen, som är den svenska reglering som huvudsakligen genomför det nya dataskyddsdirektivet, angett att den omständligheten att ansiktsbilder anges som ett exempel på en biometrisk uppgift kan leda tanken till att vanliga fotografier skulle omfattas av definitionen. Om fotografierna inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de dock utanför definitionen. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden omfattas de av definitionen. Regeringen har också anmärkt att de personuppgifter, t.ex. fingeravtryck, som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska uppgifter inte i sig utgör biometriska uppgifter.3

Dagens användning av biometri

Pass och nationella identitetskort innehåller redan i dag ett biometriskt underlag i det lagringsmedium (chip) som finns på identitetshandlingarna. Pass innehåller både fingeravtryck och ansiktsbild. Nationella identitetskort innehåller endast ansiktsbild. Fingeravtrycken och bilden i digitalt format av sökandens ansikte tas av passmyndigheten i samband med ansökan. Barn under sex år och personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck är undantagna från skyldigheten att lämna fingeravtryck (2 § passförordningen). Avtryck tas i första hand av båda pekfingrarna (2 kap. 4 § RPSFS 2009:14).

3 Prop. 2017/18:232 s. 85 f.

Vid utlämnande av passet eller id-kortet görs en kontroll av att chipet fungerar genom att chipets information läses av. När passet eller id-kortet har lämnats ut eller ansökan har återkallats eller avslagits ska de fingeravtryck som tillfälligt lagrats i resehandlingssystemet (RES) och de biometriska data som tas fram ur fingeravtrycken och ur ansiktsbilden förstöras (6 a § passlagen och 4 § förordningen om nationellt identitetskort). Det finns alltså inte något register över de fingeravtryck som tagits i samband med ansökan om pass utan dessa mellanlagras endast i RES från ansökningstillfället till dess att de sparas ner i passets lagringsmedium och det lämnas ut. Den digitala ansiktsbilden sparas i RES. Även uppgift om från vilka fingrar fingeravtryck tagits finns i RES. Uppgiften går dock inte att söka på utan visas endast vid utskrift. Varken fingeravtrycken, ansiktsbilden eller de biometriska data som kan tas fram ur dessa får användas vid sökning med hjälp av automatiserad behandling (6 b § passlagen och 18 § förordningen om nationellt identitetskort).

Fingeravtrycken och ansiktsbilderna i de svenska passen och nationella identitetskorten kan kontrolleras vid in- och utresa. En svensk medborgare som reser ut ur eller in i landet ska på begäran av behörig befattningshavare lämna över sitt pass eller sitt nationella identitetskort för kontroll av uppgifterna i handlingen. Innehavaren av handlingen är också skyldig att på begäran låta kontrollanten ta innehavarens fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns lagrade i passet eller identitetskortet. När en sådan kontroll har genomförts ska fingeravtrycken, ansiktsbilden och de biometriska data som då har tagits fram omedelbart förstöras (5 och 5 a §§passlagen). Någon lagring av kontrollunderlaget får alltså inte ske. Syftet med kontrollen är att fastställa att det är rätt person som innehar passet eller identitetskortet. Fingeravtrycken och ansiktsbilderna kontrolleras inte i andra sammanhang än vid in- och utresa.

De fingeravtryck som finns lagrade i passet kan inte läsas av vem som helst. För att kunna läsa av informationen behövs särskilda certifikat eller nycklar. Dessa nycklar tillhandahålls av Polismyndigheten och lämnas endast ut till myndigheter i andra länder med vilka

Polismyndigheten har ett samarbete.4 Ansiktsbilden är dock inte skyddad utan går att läsa utan tillgång till någon nyckel.5

På identitetskort för folkbokförda i Sverige finns inte någon digital ansiktsbild i något lagringsmedium på kortet, utan endast en bild av innehavarens ansikte på det fysiska id-kortet. En kopia av den ansiktsbild som tas vid ansökan sparas också i det register som förs över id-korten.

11.2.2. Andra säkerhetsdetaljer

Pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige innehåller ett antal synliga säkerhetsdetaljer som kan kontrolleras relativt enkelt utan att någon utrustning används. Vissa kontroller underlättas dock om lupp eller förstoringsglas används. Samtliga handlingar innehåller t.ex. reliefer, dvs. upphöjda detaljer, av olika slag. På handlingarna finns också en yta med växlande motiv som skiftar när man rör på handlingen. Vidare har handlingarna ett perforerat foto av innehavaren. Handlingarna innehåller också detaljer som skiftar färg.6

Andra detaljer kan, liksom de biometriska uppgifterna, endast kontrolleras med hjälp av viss utrustning. Pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige innehåller exempelvis olika UV-mönster som syns vid belysning med UV-ljus.7

Dessa säkerhetsdetaljer kan kontrolleras av alla som en identitetshandling visas upp för i syfte att avgöra om handlingen är äkta eller falsk. Eftersom pass, nationellt identitetskort och identitetskort för folkbokförda i Sverige innehåller flera olika säkerhetsdetaljer uppnår dessa enligt NFC en hög dokumentsäkerhet. Enligt NFC:s bedömning behövs inte några ytterligare detaljer för att kunna avgöra om handlingen är äkta eller inte. Till skillnad mot vad som gäller t.ex. lagring av ansiktsbilder och fingeravtryck, så ger dessa detaljer inte något stöd för att bedöma om det är rätt person som innehar handlingen. För att säkerheten vid identifieringen ska kunna höjas krävs således andra åtgärder.

4Ds 2015:44 s. 112. 5Ds 2015:12 s. 147. 6 Kontroll av ID-handlingar 2018 Dokumentanalysgruppen NFC. 7 De 7 stegen utgåva september 2017.

I handboken De 7 stegen som ges ut av Kronan Säkerhet AB på uppdrag av Svenska Bankföreningen finns rekommendationer om vilka åtgärder som bör vidtas vid en identitetskontroll. Där anges bl.a. vilka säkerhetsdetaljer som ska kontrolleras för de olika handlingarna. På Polismyndighetens och Skatteverkets webbplatser finns också information om säkerhetsdetaljer som kan kontrolleras för att avgöra om de identitetshandlingar som utfärdas av dessa myndigheter är äkta.

11.3. Närmare om problemet

Som framgått ovan varierar alltså säkerhetsnivån beträffande pass, nationella identitetskort och identitetskort för folkbokförda i Sverige när det gäller användningen av biometri. Pass innehåller både fingeravtryck och ansiktsbild, nationella identitetskort innehåller endast ansiktsbild och identitetskort för folkbokförda i Sverige innehåller inget biometriskt underlag alls. När det däremot gäller de säkerhetsdetaljer som kan kontrolleras för att bedöma om en identitetshandling är äkta innehåller samtliga handlingar alla de olika detaljer som nämnts ovan.

Behovet av att använda biometri i större omfattning har lyfts från olika håll. I Brås rapport om bedrägeribrottslighet anges att användningen av biometriska uppgifter är den mest effektiva metoden både när det gäller att säkra handlingens ursprung och förbättra identitetskontrollen. I rapporten nämns lagring av fingeravtryck, ansiktsbild och iris med hjälp av chip, som exempel på lösningar som har diskuterats. Det har bedömts nödvändigt att förse identitetshandlingar med ytterligare säkerhetshöjande detaljer i takt med att förfalskningarna blir svårare att genomskåda.8

Även Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden påtalade att den tekniska utvecklingen gör att det är möjligt att använda biometriska uppgifter för att göra identifieringen säkrare. Utredningen ansåg att det borde utredas om det vore lämpligt om identitetshandlingar innehöll biometriska uppgifter i större utsträckning, bl.a. för att förhindra missbruk av identitetshandlingar och bedrägerier. Utredningen ansåg att en utökad användning av biometri leder till säkrare identifiering men även till

8 Brottsförebyggande rådets rapport Bedrägeribrottsligheten i Sverige (2016:9) s. 163 f.

att identifieringsprocessen blir enklare, snabbare och bekvämare för den enskilde.9

E-legitimationsnämnden har också pekat på behovet av att lagra biometriska uppgifter i fysiska identitetshandlingar för att kunna användas vid utfärdande av identitetshandlingar och vid andra identitetskontroller. Nämnden menar att biometriska metoder bidrar till en säker kontroll både av om handlingen är äkta och om den används av rätt person.10

11.4. Biometriskt underlag på statliga identitetskort

11.4.1. Inledning

I vårt uppdrag ingår att utreda och ta ställning till om det bör ställas krav på att identitetshandlingar ska innehålla ett biometriskt underlag. Användningen av biometriska uppgifter innebär ett inte obetydligt intrång i den enskildes personliga integritet. Det kan också medföra ett sådant kroppsligt ingrepp som skyddas av grundlagen. Regeringsformens och Europakonventionens bestämmelser om grundläggande fri- och rättigheter måste därför beaktas. Införande av ytterligare biometriskt underlag på identitetshandlingar innebär att automatiserad behandling av sådana personuppgifter kommer att behöva utföras. Bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen måste därför också beaktas.

11.4.2. Regeringsformen och Europakonventionen

Enligt 2 kap. 6 § första stycket RF är var och en skyddad gentemot det allmänna mot påtvingat kroppsligt ingrepp. Att ta fingeravtryck är ett sådant kroppsligt ingrepp som omfattas av bestämmelsen. Att fotografera någon utgör däremot inte ett kroppsligt ingrepp i den mening som avses i bestämmelsen.11

Även bestämmelsen i 2 kap. 6 § andra stycket RF bör beaktas. Av den bestämmelsen framgår att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det

9SOU 2017:37 s. 300 f. 10 E-legitimationsnämndens rapport Fortsatt försörjning av tjänster för e-legitimering och e-underskrift 2016-10-25 dnr 131 645711-15/9513 s. 30. 11 Se t.ex. prop. 2017/18:35 s. 12.

sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är enligt förarbetena inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Som exempel anges att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, många gånger kan anses innebära kartläggning av enskildas förhållanden även om det inte var avsikten med åtgärden. Förutom mängden uppgifter som behandlas kan uppgifternas karaktär ha betydelse i bedömningen av vad som utgör ett betydande intrång. En hantering av känsliga uppgifter kan innebära ett betydande intrång i den personliga integriteten även om det rör sig om ett fåtal uppgifter. Även ändamålet med en behandling är av betydelse vid bedömningen. En hantering som syftar till att utreda brott anses normalt vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättring av kvaliteten i handläggningen. Omfattningen av utlämnande av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan också vara av betydelse vid bedömningen.12

Skyddet enligt 2 kap. 6 § RF är inte absolut utan kan begränsas under vissa förutsättningar. En begränsning måste dock enligt 2 kap. 20 § RF ske genom lag och får enligt 2 kap. 21 § RF göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan åskådning.

Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller Europakonventionen som lag i Sverige. Av 2 kap. 19 § RF följer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Av artikel 8.1 i Europakonventionen framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Denna

12Prop. 2009/10:80 s. 180, 183184 och 250.

rättighet inbegriper bl.a. i vissa fall en rätt till skydd mot att bli fotograferad.13 Det får också antas att fingeravtryckstagning omfattas av skyddet enligt artikel 8.1.14 Enligt artikel 8.2 får en offentlig myndighet inte inskränka dessa rättigheter annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Motsvarande rätt till respekt för privat- och familjelivet, hemmet och korrespondensen gäller enligt artikel 7 i EU:s stadga om de grundläggande rättigheterna.

11.4.3. Dataskyddsförordningen

För att personuppgifter ska få behandlas krävs, som anges i avsnitt 10.3.1, att det finns en rättslig grund enligt artikel 6.1 i dataskyddsförordningen. Behandlingen i id-kortsregistret sker i huvudsak med stöd av artikel 6.1 e i dataskyddsförordningen eftersom den är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska fastställas i den nationella rätten. En uppgift av allmänt intresse kan enligt 2 kap. 2 § dataskyddslagen följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Syftet med behandlingen ska vara nödvändigt för att utföra uppgiften av allmänt intresse. Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Biometriska uppgifter är känsliga personuppgifter enligt dataskyddsförordningen. Som anges i avsnitt 11.2.1 faller fotografier utanför definitionen av känsliga personuppgifter. Om de bearbetas tekniskt genom en särskild metod som syftar till identifiering tillskapas dock biometriska uppgifter. Detsamma får anses gälla för fingeravtryck. Av artikel 9.1 i dataskyddsförordningen framgår att behandling av känsliga personuppgifter som huvudregel är förbju-

13 Danelius, Mänskliga rättigheter i europeisk praxis, 5 uppl. 2015 s. 377. 14Prop. 2014/15:32 s. 26.

den. Känsliga personuppgifter får dock enligt artikel 9.2 g i dataskyddsförordningen behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

11.4.4. Fingeravtryck och ansiktsbild

Utredningens förslag: Den som ansöker om ett statligt identi-

tetskort ska vara skyldig att låta den utfärdande myndigheten ta fingeravtryck och en bild i digitalt format av ansiktet. Fingeravtrycken och ansiktsbilden ska sparas i ett lagringsmedium på identitetskortet.

Fingeravtrycken och de biometriska uppgifter som tas fram ur dessa får inte behandlas i id-kortsregistret. De får lagras tillfälligt i ärendehanteringssystemet, men inte användas som sökbegrepp. När identitetskortet lämnas ut eller då ansökan återkallas eller avslås ska uppgifterna omedelbart förstöras.

Ansiktsbilden och de biometriska uppgifter som tas fram ur denna ska sparas i id-kortsregistret, men får endast användas som sökbegrepp vid ansökan om pass eller id-kort för att då kontrollera om sökandens ansiktsbild finns i registret.

Innehavare av ett identitetskort ska ha rätt att hos den utfärdande myndigheten kontrollera den information som har sparats i lagringsmediet på identitetskortet.

Barn under sex år, personer som av fysiska skäl är förhindrade att lämna fingeravtryck samt personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten och därför ansöker om identitetskort genom bud ska undantas från kravet att lämna fingeravtryck.

Sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck ska kunna få ett identitetskort med en giltighetstid som motsvarar den tid som det fysiska hindret förväntas bestå. Giltighetstiden får dock inte överstiga sju månader.

Fingeravtryck och ansiktsbild på statliga identitetskort

Behovet av att förse id-korten med fingeravtryck och ansiktsbild

I dag lagras ansiktsbild i pass och nationella identitetskort. Pass innehåller även fingeravtryck. Användningen av ansiktsbild och fingeravtryck är väl beprövad och det har inte framkommit annat än att kontroll av sådana uppgifter är ett säkert sätt att fastställa att innehavaren av identitetshandlingen också är den som handlingen utfärdades till. Vidare finns det redan utrustning och en process för hanteringen av ansiktsbilder och fingeravtryck hos Polismyndigheten. Att pass innehåller ansiktsbild och fingeravtryck har sitt ursprung i EU:s passförordning. Det har inte framkommit att det för närvarande finns behov av ytterligare någon typ av biometriskt underlag. Vi avgränsar därför våra överväganden i denna del till att bedöma om även det statliga identitetskortet bör innehålla både fingeravtryck och ansiktsbild.

Det finns i dag inte någon EU-reglering avseende biometriska uppgifter när det gäller identitetskort. Det förslag till EU:s id-kortsförordning som kommissionen la fram i april 2018 syftar till att höja säkerheten i id-kort som medlemsstaterna utfärdar till sina medborgare. Förordningen kommer att vara tillämplig på statliga identitetskort med funktion som resehandling. Förslaget förhandlas för närvarande. Kommissionens förslag bär stora likheter med EU:s passförordning. Kommissionen föreslår att det ska bli obligatoriskt att införa fingeravtryck och ansiktsbild i ett lagringsmedium på idkorten. Syftet med förslaget är att begränsa användningen av bedrägliga handlingar som bl.a. kan användas av terrorister och brottslingar för att resa in i EU. Barn under tolv år föreslås kunna undantas från kravet på att lämna fingeravtryck. Även personer som av fysiska skäl är förhindrade att lämna fingeravtryck undantas. Förslaget innehåller också bestämmelser om hur insamlingen av det biometriska underlaget ska gå till, bl.a. uppställs krav på att den personal som tar fingeravtryck och ansiktsbild ska vara kvalificerad. Fingeravtrycken och ansiktsbilden ska endast få användas för att kontrollera handlingens äkthet eller innehavarens identitet när uppvisande av identitetskort krävs enligt lag.

Identitetshandlingar som innehåller biometriskt underlag säkerställer kopplingen mellan handlingen och den person den är utfärdad till. Genom att id-kortets innehavare kan kontrolleras mot den information som finns på kortet kan exempelvis den identitetskontroll som görs vid utfärdande av id-kort bli väsentligt bättre. Användningen av biometriska uppgifter är därför ett effektivt sätt att motverka missbruk av identitetshandlingar. Det gör också att den enskilde har bättre möjlighet att skydda sin identitet. Identitetskorten innehåller visserligen redan i dag sådana säkerhetsdetaljer att de enligt NFC uppnår en hög dokumentsäkerhet. Dessa säkerhetsdetaljer bidrar till att motverka förfalskningar men förhindrar inte att någon annan än den id-kortet är utfärdat till använder handlingen. Införandet av biometriskt underlag som kan kontrolleras är ett effektivt sätt att motverka att id-kort utfärdas till fel person eller används av personer som liknar innehavaren. Detta förutsätter dock att den som ska kontrollera handlingen har tillgång till den utrustning som krävs och har rätt att kontrollera uppgifterna som finns på handlingen. Att förse id-kort med sådana uppgifter försvårar även möjligheten att förfalska id-kortet.

Nationella identitetskort innehåller redan i dag ansiktsbild. Att använda två olika typer av biometriskt underlag innebär en ökad säkerhet jämfört med om bara en slags uppgift används. Det gör också att det finns fler valmöjligheter när det gäller teknik för verifiering av innehavarens identitet. Att, förutom ansiktsbild, införa fingeravtryck på id-korten möjliggör också att det i samband med en ansökan om id-kort kan göras en kontroll av att sökandens fingeravtryck stämmer överens med fingeravtryck som finns i andra dokument som sökanden har, t.ex. pass och uppehållstillståndskort, se vidare i avsnitt 11.6.1. Flera EU-länder har redan fingeravtryck på sina nationella id-kort.15 Om även fingeravtryck lagras på id-korten kommer säkerhetsnivån för id-korten att motsvara den som gäller för pass och ligga i linje med ovan nämnda förslag till tvingande EUförordning. Det är därför lämpligt att de statliga identitetskorten, oavsett om de har funktion som resehandling eller inte, innehåller både fingeravtryck och ansiktsbild.

15 Commission staff working document Impact assessment accompanying the document Proposal for a regulation of the European Parliament and of the Council on strengthening the security of identity cards of Union citizens and of residence documents issued to Union citizens and their family members exercising their right of free movement COM (2018) 212.

Behovet av att spara ansiktsbild och fingeravtryck i register

En annan fråga är vilka av dessa uppgifter som ska sparas i id-kortsregistret och vilken behandling som ska få göras av uppgifterna där. Ansiktsbilder sparas i dag i såväl passregistret som registren över idkort. Fingeravtrycken sparas endast tillfälligt i ärendehanteringssystemet till dess att passet lämnas ut och förstörs därefter. Vare sig ansiktsbilderna eller de biometriska data som kan tas fram ur dessa får användas för sökning med hjälp av automatiserad behandling. Med det menas att det inte är tillåtet att använda en ansiktsbild som tagits exempelvis i samband med ansökan för att söka i registret med hjälp av ansiktsigenkänning i syfte att se om det blir träff på någon av alla de bilder som redan finns i registret.

Ansiktsbilderna i registret används i den verksamhet som utfärdar id-korten när en ny ansökan görs. En manuell jämförelse kan då göras mellan sökanden och en bild som tagits tidigare av sökanden och som finns i registret. Ansiktsbilderna fyller således en viktig funktion i den identitetsbedömning som görs i samband med utfärdande av identitetshandlingarna. Genom att jämföra sökanden med ansiktsbilden som finns i registret kan en bedömning göras av om det är samma person.

Eftersom den utfärdande myndigheten inte får göra automatiserade sökningar på samtliga ansiktsbilder i registret och jämföra med sökandens ansikte är det däremot inte möjligt att upptäcka om en person ansöker om identitetshandlingar för flera identiteter. Det kan därmed inte garanteras att det inte för en och samma person utfärdas flera identitetshandlingar för olika identiteter. I samband med införandet av ansiktsbilder i pass angav regeringen att det inte skulle vara tillåtet att använda ansiktsbilden eller de biometriska data som kan tas fram ur den vid sökning med hjälp av automatiserad behandling, t.ex. för identifiering av någon okänd person.16 Sökförbudet infördes som en av flera åtgärder för att tillgodose integritetsskyddsaspekterna. Mot bakgrund av den ökade bedrägeribrottsligheten som begås med hjälp av falska och felaktiga identitetshandlingar, och att det är mycket svårt att upptäcka om samma person gör flera ansökningar under olika identiteter, har det påtalats att det finns ett stort behov av att kunna använda ansiktsbilden och de biometriska uppgifter

16Prop. 2004/05:119 s. 25.

som kan tas fram ur den vid sökning i syfte att kontrollera innehavarens identitet i samband med ansökan. Det finns därför enligt vår uppfattning anledning att göra nya överväganden i förhållande till integritetsriskerna.

Integritetsskyddsaspekter

Att införa en skyldighet för sökanden att låta den utfärdande myndigheten ta både sökandens fingeravtryck och en digital ansiktsbild vid ansökan innebär att automatiserad behandling av sådana personuppgifter kommer att behöva utföras. Behandlingen blir mer omfattande än i dag eftersom ansiktsbilden kommer att sparas i ett lagringsmedium även på det statliga identitetskortet som utfärdas utan funktion som resehandling. Fingeravtryck ska dessutom sparas i ett lagringsmedium såväl på det statliga identitetskortet med funktion som resehandling som på kortet utan sådan funktion. Om en möjlighet att söka med hjälp av biometriska uppgifter införs medför även det en utökad behandling av personuppgifter av integritetskänsligt slag. En bedömning måste därför göras av riskerna för den personliga integriteten utifrån tillämpliga dataskyddsbestämmelser.

Att utfärda säkrare identitetshandlingar i syfte att motverka förfalskningar och annat missbruk av identitetshandlingar är av stort samhälleligt intresse. Brottslig verksamhet som har koppling till identitetsproblematik har ständigt ökat. Syftet med att behandla de biometriska uppgifterna är att identifieringen ska bli säkrare. Identitetshandlingar som innehåller fingeravtryck och ansiktsbild säkerställer kopplingen mellan handlingen och den person den är utfärdad till. Användningen av sådana uppgifter är därför ett mycket effektivt sätt att motverka missbruk av identitetshandlingar. Det finns inte något alternativt mindre integritetskänsligt sätt att säkerställa kopplingen och förhindra missbruket. Den behandling som behöver göras av uppgifterna är således nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Även kravet på proportionalitet, liksom övriga villkor enligt artikel 6.3 i dataskyddsförordningen är enligt vår mening uppfyllda.

Med hänsyn till de starka skäl som anges i föregående stycke bör behandlingen av de biometriska uppgifterna också anses vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i

dataskyddsförordningen. Trots att det är fråga om känsliga uppgifter bör de alltså få behandlas. Mot bakgrund av att det är fråga om en omfattande insamling av känsliga uppgifter bör dock en förutsättning vara att behandlingen kringgärdas av skyddsåtgärder.

Lagstiftningen beträffande pass och nationella identitetskort innehåller redan i dag bestämmelser om skyddsåtgärder som krävs för att sådan behandling ska vara tillåten.

I 6 a § passlagen anges att fingeravtryck och biometriska data som kan tas fram ur dessa och ur ansiktsbilden omedelbart ska förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits. Detsamma gäller enligt 4 § förordningen om nationellt identitetskort för de biometriska data som tas fram ur ansiktsbilden. Vidare gäller enligt 6 b § passlagen att fingeravtrycken samt de biometriska data som kan tas fram ur dessa inte får användas vid sökning med hjälp av automatiserad behandling. Även det sökförbud som i dag finns beträffande ansiktsbilden och de biometriska data som kan tas fram ur den enligt 6 b § passlagen och 18 § förordningen om nationellt identitetskort har införts av integritetsskyddsskäl.

I samband med införandet av ansiktsbilder i pass uttalade regeringen att det på grund av informationens känsliga karaktär var viktigt att den inte lagrades i onödan. I förarbetena konstaterades att det finns behov av att innan passet lämnas ut ta fram biometriska data ur ansiktsbilden i passets lagringsmedium och jämföra med det digitala fotografi som togs vid ansökningstillfället för att kontrollera att uppgifterna i passet har en sådan kvalitet att de kan användas vid en automatisk gränskontroll. Däremot menade regeringen att de biometriska data som togs fram vid kontrollen omedelbart borde förstöras när passet har lämnats ut. Det anfördes också, som nämnts ovan, att det inte borde vara tillåtet att använda ansiktsbilden eller de biometriska data som kan tas fram ur den vid sökning med hjälp av automatiserad behandling, t.ex. för identifiering av någon okänd person. Genom sökförbudet förhindras att ett register byggs upp med de biometriska data som kan tas fram ur ansiktsbilden efter att passet utfärdats, när ansiktsbilden sparas i registret. Genom införandet av dessa begränsningar menade regeringen att integritetsskyddsaspekterna blev tillgodosedda.17

När det därefter blev aktuellt att införa fingeravtryck i pass framfördes synpunkten att passäkerheten skulle förbättras om de digitala

17Prop. 2004/05:119 s. 25 och 51.

ansiktsbilderna och/eller fingeravtrycken sparades i passregistret och fick användas för sökning. Genom att möjliggöra en sökning mot lagrade ansiktsbilder eller fingeravtryck vid en ny ansökan om pass skulle man kunna förhindra att en person kan skaffa två eller flera pass i olika identiteter. Regeringen instämde i att en sådan lösning skulle minska möjligheterna till missbruk men menade att riskerna för den personliga integriteten gjorde att det inte fanns anledning att göra någon annan bedömning än den som gjordes i samband med införande av ansiktsbilder. Fingeravtrycken och de biometriska data som kan tas fram ur dessa skulle därför förstöras efter att passet lämnats ut och inte få användas för sökning med hjälp av automatiserad behandling.18

Frågan om lagring av fingeravtryck har därefter behandlats i departementspromemorian Missbruk av svenska pass. I promemorian diskuterades om det fanns en risk att intresset för personer att ansöka om pass i någon annans identitet och då lämna sina egna fingeravtryck som därefter sparas i passet skulle öka om den i promemorian föreslagna obligatoriska kontrollen av fingeravtryck vid gränskontroll infördes. Införandet av en sådan kontroll skulle nämligen försvåra användningen av någon annans pass eftersom den andra personens fingeravtryck finns lagrade i passet. I promemorian gjordes bedömningen att det visserligen kunde finnas en sådan risk men att den inte var så överhängande att den övervägde det integritetsintrång som är skälet till att fingeravtryck inte lagras i dag. Det bedömdes därför inte finnas skäl att införa en sådan ordning.19

De fingeravtryck och ansiktsbilder som ska samlas in i samband med ansökan om id-kort bör, som konstaterats i de tidigare förarbetena, inte lagras längre än vad som är nödvändigt. Det kan, av samma skäl som när det gäller pass, vara nödvändigt att ta fram biometriska uppgifter ur ansiktsbilden och fingeravtrycken i lagringsmediet och jämföra med de som togs vid ansökningstillfället innan id-kortet lämnas ut. På så sätt kan det säkerställas att uppgifterna har en sådan kvalitet att de kan användas vid en senare kontroll.

Frågan är hur uppgifterna ska hanteras därefter. Ansiktsbilder lagras som ovan nämnts redan i dag i registren över pass och id-kort. Bilderna fyller en viktig funktion bl.a. i den identitetsbedömning som görs i samband med utfärdandet. För att möjliggöra kontroller

18Prop. 2008/09:132 s. 12 f. 19Ds 2015:12 s. 187.

i samband med senare ansökningar bör de ansiktsbilder som tas eller de fotografier som lämnas in vid ansökningstillfället alltjämt sparas i id-kortsregistret. Det gäller inte bara bilder som finns på utfärdade id-kort, utan även bilder som tas i ärenden som leder till att ansökan avslås.

Att spara fingeravtryck i id-kortsregistret och möjliggöra sökning på dessa eller att möjliggöra sökning på de ansiktsbilder som finns i registret skulle i princip omöjliggöra att samma person kan skaffa sig flera identitetshandlingar i olika identiteter. Ett register med möjlighet att söka bland ansiktsbilder och/eller fingeravtryck avseende en stor del av befolkningen i Sverige medför dock stora risker för den personliga integriteten.

När det gäller ansiktsbilderna kan emellertid konstateras att de redan lagras i syfte att användas bl.a. i den identitetskontroll som görs vid ansökan. Att tillåta viss sökning på dessa medför inte att något ytterligare biometriskt underlag sparas utan enbart att ansiktsbilderna får behandlas på ett nytt sätt. För att en sådan sökning ska vara möjlig behöver även vissa biometriska uppgifter kopplade till ansiktsbilderna sparas i id-kortsregistret. Bedrägeribrottsligheten som begås med hjälp av falska och felaktiga identitetshandlingar får stora konsekvenser för både den enskilde, privata aktörer och samhället. Brottsligheten har som framgått ökat under de senaste åren. För att kunna stävja den brottslighet som beror på att identitetshandlingar utfärdas för en och samma person i flera identiteter finns ingen annan effektiv metod än sökning på ansiktsbilderna. Vi anser mot denna bakgrund att det finns tungt vägande skäl som talar för att möjliggöra sådana sökningar. För att uppnå syftet att inte samma person ansöker om identitetshandlingar i flera olika identiteter bör sökning på ansiktsbilder i id-kortsregistret även få göras vid en ansökan om pass.

Sökmöjligheten måste dock förenas med effektiva säkerhetsåtgärder för att undvika att sökningar görs i andra syften än de avsedda. Det bör därför bara vara tillåtet att använda ansiktsbilden och de biometriska uppgifter som kan tas fram ur den för att göra en sökning vid ansökan i syfte att kontrollera om sökandens ansikte finns i registret, dvs. för att kontrollera om ansiktsbilden har förekommit i en annan ansökan. Sökning bör endast tillåtas om det är nödvändigt för detta syfte.

Att sökning på ansiktsbilder görs innebär inte att den manuella kontroll som görs i dag kan underlåtas. Automatiska ansiktsigenkänningsprogram kan användas som ett hjälpmedel vid identitetskontrollen men kan inte ersätta den kontroll som handläggaren gör. Även om det i dag finns program för ansiktsigenkänning som har mycket hög träffsäkerhet kan ett förändrat utseende på grund av exempelvis åldrande eller sjukdom göra att en person av det automatiska systemet felaktigt klassificeras som två olika personer. Det kan också förekomma att två personer, exempelvis nära släktingar, av systemet av misstag klassificeras som samma person. Det är därför viktigt att handläggaren inte enbart litar till den automatiska kontrollen utan att även andra kontroller görs. Den utfärdande myndigheten behöver ta fram rutiner för hur detta ska gå till och hur de ärenden som beskrivits ovan ska hanteras.

Ansiktsbilderna och de biometriska uppgifterna kopplade till bilderna bör inte lagras i registret länge än vad som är nödvändigt. Detta följer av de allmänna principerna i dataskyddsförordningen. Behandlingen av uppgifterna kommer också att omfattas av den bestämmelse vi i avsnitt 10.3.5 föreslår ska gälla för uppgifterna i idkortsregistret. Det innebär att uppgifterna inte får behandlas under längre tid än vad som behövs för ändamålet med behandlingen, längst tio år efter utgången av det kalenderår då giltighetstiden för ett identitetskort gått ut eller ansökan om identitetskort avslagits eller återkallats.

Att lagra fingeravtryck i id-kortsregistret skulle medföra behandling av ytterligare en typ av biometriskt underlag avseende en stor del av befolkningen. Det skulle visserligen öppna för en mycket effektiv sökmetod men mot bakgrund av det stora integritetsintrång det medför, och vårt förslag avseende sökning på ansiktsbilder i idkortsregistret, anser vi att det för närvarande inte är motiverat att lagra även fingeravtryck. Integritetsskyddsintresset överväger enligt vår bedömning behovet av sådan behandling. De fingeravtryck som samlas in och de biometriska uppgifter som kan tas fram ur dessa bör därför endast få lagras tillfälligt under tiden som ärendet om idkort pågår, liksom vad gäller för pass, och därefter förstöras efter det att id-kortet lämnats ut eller ansökan har återkallats eller avslagits. Fingeravtrycken bör inte heller få användas som sökbegrepp vid sökning med hjälp av automatiserad behandling.

Sökanden bör, av de skäl vi angett i avsnitt 10.3.1 inte kunna invända mot den tillfälliga behandlingen av fingeravtrycken.

För att ytterligare höja skyddet av uppgifterna menar vi att den tillfälliga behandlingen av fingeravtrycken och de biometriska uppgifterna bör omfattas av den ändamålsbegränsning som vi i avsnitt 10.3.2 föreslår ska gälla för uppgifterna i id-kortsregistret. Begränsningen innebär att uppgifterna som regel endast får behandlas om det är nödvändigt för den utfärdande myndighetens verksamhet för utfärdande av statligt identitetskort och statlig e-legitimation. De personuppgifter som har samlats in i den verksamheten ska bara få behandlas för andra ändamål om de inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Vi bedömer att begränsningarna i tid, sökmöjlighet och ändamål uppfyller kravet på skyddsåtgärder i artikel 9.2 g i dataskyddsförordningen. Regleringen är också enligt vår mening proportionerlig i förhållande till syftet att förbättra identitetshandlingarnas säkerhet.

Att ta fingeravtryck innebär som framgått ovan ett sådant kroppsligt ingrepp som omfattas av skyddet i 2 kap. 6 § första stycket RF. En begränsning av det skyddet måste således ske genom lag. Vi har ovan redovisat skälen för varför vi anser det är nödvändigt att införa regleringen. Mot bakgrund av de skyddsåtgärder som kommer att omgärda behandlingen menar vi att skyddet av personuppgifterna tillgodoses. Begränsningen av grundlagsskyddet går därmed inte utöver vad som är nödvändigt med hänsyn till ändamålet. Även den hantering vi föreslår ska tillåtas när det gäller ansiktsbilderna utgör en så integritetskänslig behandling att den lämpligen bör regleras i lag.

Avslutande bedömning

Sammanfattningsvis menar vi alltså att det statliga identitetskortet i ett lagringsmedium på kortet bör innehålla både fingeravtryck och ansiktsbild. Fingeravtrycken bör inte få sparas i id-kortsregistret utan endast lagras tillfälligt under handläggningen av ansökan om idkort. När identitetskortet lämnas ut eller ansökan har återkallats eller avslagits bör de fingeravtryck som lagrats tillfälligt i Polismyndighetens ärendehanteringssystem och de biometriska uppgifter som kan tas fram ur dessa omedelbart förstöras. Fingeravtrycken och de biometriska uppgifter som kan tas fram ur dessa bör inte få

användas som sökbegrepp vid sökning med hjälp av automatiserad behandling. Att biometriska uppgifter inte får användas som sökbegrepp framgår redan av den bestämmelse om förbud mot att använda känsliga personuppgifter som vi föreslår i avsnitt 10.3.1. Eftersom fingeravtrycket i sig inte är en känslig personuppgift måste det införas en särskild reglering om sökförbudet för det.

Ansiktsbilden och de biometriska uppgifter som tas fram ur denna bör däremot sparas i id-kortsregistret. Dessa uppgifter bör kunna användas som sökbegrepp för att kontrollera om den ansiktsbild som tas vid ansökan om id-kort eller pass motsvarar någon ansiktsbild som finns i registret. Sådan sökning bör endast få göras i samband med ansökan och om det är nödvändigt. I övrigt bör sådana sökningar inte tillåtas. De biometriska uppgifterna omfattas av sökförbudet avseende känsliga personuppgifter. Av samma skäl som för fingeravtrycken krävs dock även för ansiktsbilden en särskild reglering som förbjuder sökning.

Bestämmelserna bör införas i den nya lagen om statliga identitetshandlingar. I syfte att följa dataskyddsförordningens terminologi bör begreppet biometriska uppgifter användas i stället för biometriska data som i dag anges i förordningen om nationellt identitetskort och passlagen.

När det gäller vilka fingrar som ska användas för avtryck bör någon reglering inte införas i lag utan sådana meddelas lämpligast genom verkställighetsföreskrifter, liksom redan i dag gäller för pass. Sådana föreskrifter bör utformas med beaktande av relevant EUrättslig reglering.

Eftersom fingeravtrycken och de biometriska uppgifter som kan tas fram ur dessa inte ska sparas i det id-kortsregister som Polismyndigheten är personuppgiftsansvarig för omfattas inte behandlingen av dessa uppgifter av den bestämmelse om personuppgiftsansvar vi föreslår i avsnitt 10.3.1. Det följer av artikel 4.7 i dataskyddsförordningen att den som ensam eller tillsammans med andra bestämmer ändamålen eller medlen med behandlingen av personuppgifter är personuppgiftsansvarig för behandlingen. Varje utfärdande myndighet ansvarar själv för sin id-kortsverksamhet, inom de ramar lagstiftningen ställer upp, varför de enligt vår bedömning också ansvarar för den behandling av personuppgifter som görs i samband med utfärdandet. Detta gäller även den behandling vi föreslår att de ska göra när det gäller fingeravtryck m.m. Eftersom flera olika myndigheter

är involverade i utfärdandeverksamheten bör det tydliggöras i lagen att respektive myndighet är personuppgiftsansvarig för den behandling som utförs. Att bestämmelser om personuppgiftsansvar kan införas i nationell rätt, om ändamålen och medlen för behandlingen också bestäms av den nationella rätten, följer också av artikel 4.7 i dataskyddsförordningen.

På samma sätt som redan i dag gäller för nationella identitetskort enligt 20 § förordningen om nationellt identitetskort bör innehavaren av ett statligt identitetskort ha rätt att kontrollera den information som har sparats i lagringsmediet i identitetskortet hos utfärdaren. Bestämmelsen kan föras in i den nya förordningen.

Undantag från kravet på ansiktsbild

För identitetskort för folkbokförda i Sverige finns det i dag enligt 2 § 1 IdL en möjlighet för den utfärdande myndigheten att, om det finns synnerliga skäl, låta sökanden ge in ett välliknande fotografi i stället för att myndigheten tar en ansiktsbild. Eftersom kravet på personlig inställelse i dag är utan undantag kan det ifrågasättas om det finns något behov av bestämmelsen. Möjligen skulle den kunna tillämpas om fotostationen vid något tillfälle inte fungerar. Det skulle dock sannolikt vara enklare och mindre kostsamt för sökanden att återkomma vid ett annat tillfälle än att uppsöka en fotograf för att ta ett fotografi. Det finns, som vi tidigare har nämnt, också stora fördelar framför allt när det gäller säkerheten men även när det gäller kvaliteten med att den utfärdande myndigheten tar den ansiktsbild som används till id-korten. Skatteverket har uppgett att myndigheten inte ser något behov av bestämmelsen. Vi menar därför att möjligheten att låta sökanden ge in ett välliknande fotografi om det finns synnerliga skäl bör tas bort. Som vi berört i avsnitt 10.2.7 ser vi dock ett behov av att tillåta att personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten i stället ger in ett eget foto.

Regeringskansliet får enligt 3 § tredje stycket förordningen om nationellt identitetskort meddela föreskrifter om att sökanden vid en passmyndighet utom riket är skyldig att i samband med ansökan om ett nationellt identitetskort ge in ett välliknande fotografi. Undantaget torde höra samman med utlandsmyndigheternas möjlighet att

efterge kravet på personlig inställelse vid ansökan som vi behandlat i avsnitt 10.2.7. I enlighet med våra överväganden i det avsnittet behövs inte längre något särskilt undantag beträffande hanteringen vid utlandsmyndigheterna. Bestämmelsen som möjliggör att sökanden ger in ett välliknande fotografi behöver därmed inte heller föras in i den nya regleringen.

Undantag från kravet på fingeravtryck

Av 6 § tredje stycket passlagen framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från skyldigheten att lämna fingeravtryck vid ansökan om pass när det gäller barn under tolv år och personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck. Regeringen har meddelat sådana föreskrifter i 2 § passförordningen. Av den bestämmelsen följer att barn under sex år och personer som är permanent förhindrade att lämna fingeravtryck är undantagna från skyldigheten att lämna fingeravtryck. Polismyndigheten har meddelat föreskrifter om att fingeravtryck primärt ska tas av båda pekfingrarna. I föreskrifterna anges också vilka fingeravtryck som ska tas om sökanden är förhindrad att lämna avtryck från dessa fingrar, se 2 kap. 4 § RPSFS 2009:14.

Undantagen baseras på artikel 1.2 a i EU:s passförordning. I förordningen anges att barn under tolv år ska undantas från kravet på att lämna fingeravtryck. Medlemsstaterna har dock getts möjlighet att tillämpa en lägre åldersgräns under en övergångsperiod. Åldersgränsen får under övergångsperioden vara lägst sex år. I artikel 1.2 b i EU:s passförordning anges också att provisoriskt pass med en giltighetstid på högst tolv månader ska utfärdas om det är tillfälligt omöjligt att ta fingeravtryck på sökanden.

Även enligt förslaget till EU:s id-kortsförordning ska barn under tolv år och personer för vilka det är fysiskt omöjligt att ta fingeravtryck kunna undantas från kravet på fingeravtryck.

Liksom gäller för pass bör barn undantas från kravet på att lämna fingeravtryck vid ansökan om id-kort. Vi bedömer att det är en fördel om åldersgränsen blir samstämmig med den som gäller för pass. Den bör därför sättas till sex år. Eftersom EU-förordningen inte är färdigförhandlad är det inte känt exakt hur undantaget beträffande

barn kommer att se ut. Skulle det visa sig att en sådan åldersgräns inte är förenlig med kommande EU-reglering får åldersgränsen övervägas på nytt. Det kan också nämnas att Europaparlamentet i sitt betänkande om förslaget till EU:s id-kortsförordning har föreslagit att id-kort som utfärdas till barn och som inte innehåller fingeravtryck ska upphöra att vara giltiga senast sex månader efter det att innehavaren har uppnått den ålder då fingeravtryck krävs.20 Om en sådan bestämmelse införs bör därför giltighetstiden för id-kort som utfärdas till barn och som inte innehåller fingeravtryck begränsas.

Undantag måste vidare medges personer som av fysiska skäl inte kan lämna fingeravtryck. Detta motsvarar vad som föreslås av kommissionen och som redan gäller beträffande pass. Id-kort för personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck bör gälla i fem år, liksom andra id-kort.

För personer som av fysiska skäl endast är tillfälligt förhindrade att lämna fingeravtryck bör ett tillfälligt id-kort med kortare giltighetstid kunna utfärdas, på motsvarande sätt som gäller provisoriskt pass. Ett sådant id-kort bör endast gälla för den tid som sökanden av fysiska skäl inte kan lämna fingeravtryck. Giltighetstiden bör vara väsentligt kortare än fem år. Vi bedömer preliminärt att id-kortet bör kunna utfärdas med en giltighetstid om högst sju månader. Motsvarande tidsgräns gäller för provisoriska pass enligt 13 § passförordningen. Visar det sig att en sådan tidsgräns inte stämmer överens med kommande EU-reglering bör den ändras i enlighet med denna. Hur lång giltighetstiden ska vara i det enskilda fallet bör dock avgöras av utfärdaren beroende på omständigheterna.

Vi föreslår i avsnitt 10.2.7 ett undantag från den personliga inställelsen som innebär att den som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten ska kunna göra en ansökan om id-kort genom bud. Eftersom dessa personer inte kommer att inställa sig vid den utfärdande myndigheten har de inte heller någon möjlighet att lämna fingeravtryck. Det är därför nödvändigt att göra undantag från kravet på att lämna fingeravtryck även för dessa personer. Som anges i avsnitt 10.2.7 bör dessa id-kort inte gälla som resehandling. I det avsnittet anges också

20 Europaparlamentets betänkande om förslaget till Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet (COM(2018)0212 – C8-0153/2018 – 2018/0104(COD)) A8-0436/2018.

att förfarandet att ansöka genom bud innebär ett avsteg från det centrala kravet på personlig inställelse. Undantaget bör därför regleras i lag.

I avsnitt 10.2.7 behandlar vi utlandsmyndigheternas möjlighet att efterge kravet på personlig inställelse vid ansökan. Som framgått i det avsnittet finns det till följd av vårt förslag om ansökan genom bud inte längre ett behov av att behålla den möjligheten. Det behövs därmed inte heller något särskilt undantag från skyldigheten att lämna fingeravtryck i dessa situationer.

Utlämnande av ansiktsbild

I 23 § andra stycket passförordningen finns en bestämmelse som reglerar att Polismyndigheten på begäran ska lämna ut ett fotografi av en enskild från passregistret till Säkerhetspolisen, Ekobrottsmyndigheten, svensk ambassad, svenskt lönat konsulat, Försvarsmakten, Kustbevakningen, Tullverket, Skatteverket och Kronofogdemyndigheten. I promemorian Passdatalag föreslås att bestämmelsen förs in i lag.21 Bestämmelsen om utlämnande av fotografier bryter den sekretess som normalt råder för fotografierna i passregistret enligt 22 kap. 1 § OSL och 6 § OSF. Andra myndigheters behov av ansiktsbilder torde vara detsamma när det gäller de bilder som sparas i idkortsregistret. Det har dock inte varit möjligt att utreda behovet av utlämnande av ansiktsbilder till de myndigheter som räknas upp i bestämmelsen i passförordningen inom ramen för denna utredning. Det kan dock finnas skäl att framöver överväga om en motsvarande bestämmelse bör införas när det gäller de ansiktsbilder som sparas i id-kortsregistret.

11.5. Utökad sökmöjlighet i passregistret

Utredningens förslag: Ansiktsbilden och de biometriska upp-

gifter som tas fram ur denna ska behandlas i passregistret. Dessa uppgifter får endast användas som sökbegrepp vid ansökan om pass eller statligt identitetskort och då endast om det är nödvändigt för att kontrollera om sökandens ansiktsbild finns i registret.

21Ds 2015:44 s. 203.

Enligt 6 b § passlagen får den ansiktsbild som tas i samband med ansökan samt de biometriska data som kan tas fram ur denna inte användas vid sökning med hjälp av automatiserad behandling. Vi föreslår i avsnitt 11.4.4 att den ansiktsbild som sparas i registret över statliga identitetskort och de biometriska uppgifter som kan tas fram ur den ska kunna användas vid sökning, men endast i samband med ansökan om statligt identitetskort eller pass och under förutsättning att det är nödvändigt för att kontrollera om sökandens ansiktsbild finns i registret.

För att möjliggöra sådana sökningar behöver vissa biometriska uppgifter kopplade till ansiktsbilderna sparas i registret. Vi har i det avsnittet gjort avvägningar mellan intresset av att kunna utföra sådana sökningar och de integritetsrisker en sådan möjlighet innebär. Samma intressen gör sig gällande i passverksamheten. Den bedömning som gjorts beträffande sökningar i registret över de statliga identitetskorten är lika relevant beträffande passregistret. Sådana sökningar bör därför tillåtas även i passverksamheten. För att möjliggöra kontroll av att inte samma person ansöker om identitetshandlingar i flera olika identiteter bör sökning på ansiktsbilder i passregistret även få göras vid en ansökan om statligt identitetskort. En bestämmelse om att ansiktsbilderna och de biometriska uppgifter som tas fram ur dessa ska sparas i registret bör därför införas i passlagen. Vidare bör en bestämmelse som tillåter sökning på ansiktsbilderna och de biometriska uppgifterna på motsvarande sätt som vi föreslår beträffande de statliga identitetskorten införas som ett undantag till det sökförbud som nu gäller.

I promemorian Passdatalag föreslås att bestämmelsen om sökförbud ska föras in i den föreslagna passdatalagen. Ett arbete med att ta fram en ny lag som ska reglera personuppgiftsbehandlingen inom passverksamheten, passdatalagen, pågår för närvarande inom Justitiedepartementet. Om det arbetet leder till att en separat lag om behandling av personuppgifter i passverksamheten införs bör de nu föreslagna bestämmelserna tas in i den lagen.

11.6. Kontroll av biometriska uppgifter i lagringsmedium på statliga fysiska identitetshandlingar

11.6.1. Kontroll i samband med utfärdande av statliga fysiska identitetshandlingar

Utredningens förslag: Vid ansökan om en statlig fysisk identi-

tetshandling får den utfärdande myndigheten kontrollera om sökandens fingeravtryck och ansiktsbild motsvarar dem som finns på den handling som sökanden använder för att styrka sin identitet eller – om sökanden har beviljats uppehållstillstånd och saknar en godtagbar identitetshandling – på sökandens uppehållstillståndskort.

När en kontroll har genomförts vid ansökan ska de fingeravtryck och den ansiktsbild som då har tagits fram ur den handling som sökanden identifierar sig med och de biometriska uppgifter som tagits fram ur dessa omedelbart förstöras.

Vid utlämnandet av handlingen får den utfärdande myndigheten kontrollera om sökandens fingeravtryck och ansiktsbild motsvarar dem som finns lagrade på den identitetshandling som ska lämnas ut.

När en kontroll har genomförts vid utlämnandet ska de fingeravtryck och den ansiktsbild som då har tagits för att kunna göra kontrollen och de biometriska uppgifter som tagits fram då omedelbart förstöras.

För att ytterligare förbättra säkerheten i utfärdandeprocessen beträffande pass och statligt identitetskort kan de kontroller av sökandens identitet som görs vid utfärdandet utökas. Detta kan ske genom att en kontroll av fingeravtryck och/eller ansiktsbild i andra handlingar som innehas av sökanden görs i samband med ansökan om en identitetshandling. Dessa uppgifter kan jämföras med de fingeravtryck och den ansiktsbild som tas vid ansökan för att på så sätt säkerställa att det är rätt person som ansöker.

Merparten av de svenska medborgarna innehar ett pass där det redan i dag finns både fingeravtryck och ansiktsbild lagrade. De uppgifterna ska enligt EU:s passförordning samlas in och lagras i syfte att utfärda pass och resehandlingar. Uppgifterna får enligt artikel 4.3

i EU:s passförordning användas för att kontrollera passets äkthet och innehavarens identitet genom direkt tillgängliga jämförbara kännetecken, när uppvisande krävs enligt lag. Enligt vår bedömning hindrar inte EU-regleringen att de fingeravtryck och den ansiktsbild som finns i passen används i syfte att identifiera sökanden vid ansökan om en identitetshandling. En liknande bestämmelse finns i förslaget till EU:s id-kortsförordning. Med våra förslag kommer båda de identitetshandlingar vi menar ska vara godtagbara i alla situationer att innehålla fingeravtryck och ansiktsbild. Det är också dessa handlingar som enligt huvudregeln ska användas för att styrka identiteten i samband med ansökan om sådana identitetshandlingar, se avsnitt 8.6.2. Genom en kontroll av biometriska uppgifter säkerställs att det är samma person som den identitetshandling som används för identifiering är utfärdad för som ansöker om en ny identitetshandling.

För utländska medborgare som beviljas uppehållstillstånd i Sverige utfärdas uppehållstillståndskort. Uppehållstillståndskortet är inte en identitetshandling utan ett bevis på att personen har uppehållstillstånd i Sverige. På uppehållstillståndskortet finns ett lagringsmedium där fotografi och fingeravtryck lagras, se 9 kap. 8 a § utlänningslagen. Bestämmelsen är införd med anledning av en EU-förordning om enhetlig utformning av uppehållstillstånd. Den finska lagstiftningen innehåller en bestämmelse om att en person som ansöker om identitetskort och som inte kan visa upp en giltig handling som styrker personens identitet, ska visa upp ett giltigt uppehållstillståndskort. Den utfärdande myndigheten får då verifiera sökandens identitet genom att ta sökandens fingeravtryck och jämföra med de fingeravtryck som lagras i uppehållstillståndskortet.22 Av EU-regleringen följer att de biometriska kännetecknen i uppehållstillståndskorten endast får användas för att kontrollera handlingens autenticitet och innehavarens identitet genom direkt tillgängliga jämförbara kännetecken, när uppvisande av uppehållstillstånd krävs enligt nationell lagstiftning.23 Det är således möjligt att i samband med ansökan om en identitetshandling kontrollera fingeravtryck och ansiktsbild även beträffande personer som folkbokförts i landet efter beviljat

22 2 kap. 11 § tredje stycket lagen (663/2016) om identitetskort. 23 Artikel 4 tredje stycket i rådets förordning (EG) nr 1030/2002 av den 13 juni 2002 om en enhetlig utformning av uppehållstillstånd för medborgare i tredjeland.

uppehållstillstånd. Genom en sådan kontroll säkerställs att det är den person som beviljats uppehållstillstånd som ansöker om id-kort.

EU-medborgare som är folkbokförda i Sverige har som regel tillgång till ett pass från sitt hemland innehållande fingeravtryck och ansiktsbild. Vi föreslår i avsnitt 10.2.8 att pass som är utfärdade av vissa andra europeiska länder godtas för att styrka identiteten vid ansökan om pass och id-kort om sökanden inte redan har ett svenskt pass eller statligt identitetskort. Genom en jämförelse med fingeravtryck och ansiktsbild i det utländska passet säkerställs att det är samma person som passet har utfärdats för som ansöker om den svenska identitetshandlingen.

Flertalet av de personer som kommer att ansöka om pass och statligt identitetskort innehar alltså redan i dag en handling som innehåller fingeravtryck och ansiktsbild vilket möjliggör en jämförelse med de uppgifter som samlas in vid ansökningstillfället. Polismyndigheten uppfattar att det är ett växande problem att personer försöker skaffa pass eller id-kort med hjälp av en identitetshandling som tillhör en person som liknar sökanden, s.k. ”lookalike”. Någon statistik finns inte men passverksamheten i Stockholm uppskattar det till cirka 50 tillfällen per år. Genom att göra en biometrisk kontroll i samband med ansökan förbättras identifieringen av sökanden och möjligheten att ansöka om en identitetshandling med hjälp av någon annans handlingar minskar.

Det finns också anledning att överväga möjligheten att låta Polismyndigheten göra en jämförelse mellan sökandens biometri och uppgifterna som lagras i den nya identitetshandlingen när handlingen ska lämnas ut. På så sätt kan det säkerställas att den person som ansökt om identitetshandlingen också är den som hämtar ut den. EU:s passförordning hindrar inte heller en sådan kontroll. Av uppgifter från Polismyndigheten framgår dock att det för närvarande inte upplevs som ett stort problem att en person försöker hämta ut ett pass som någon annan har ansökt om. Problemet ligger i stället framför allt i det första steget, i samband med ansökan. Däremot skulle en möjlighet att kontrollera sökandens biometriska kännetecken och jämföra dessa med de uppgifter som är lagrade på chipet möjliggöra ett mer flexibelt utlämnande. Det möjliggör också att risken i det enskilda fallet kan vägas in i bedömningen av vilka kontroller som bör göras vid utlämnandet. Polismyndigheten skulle kunna ersätta en kontroll av sökandens identitetshandling med en kontroll av fingeravtryck

och/eller ansiktsbild. På så sätt behöver en sökande som i samband med ansökan identifierat sig med hjälp av en intygsgivare inte ta med sig intygsgivaren till Polismyndigheten vid utlämnandet. Även för en sökande med en identitetshandling vars giltighetstid gått ut mellan ansökan och utlämnande skulle en sådan lösning vara positiv. Om det i något fall finns behov av ytterligare säkerhetsmoment i utlämnandet skulle en kontroll av sökandens identitetshandling kunna kompletteras med en kontroll av biometriska uppgifter. En möjlighet till biometrisk jämförelse skulle dessutom öppna för införandet av ett mer automatiserat utlämnande på sikt. På så sätt skulle utlämnandeprocessen kunna effektiviseras. Genom att möjliggöra en sådan kontroll i samband med att identitetshandlingen lämnas ut förbättras identifieringen av sökanden. Det skapar även möjlighet till ett utlämnade som är mer flexibelt för både den enskilde och den utfärdande myndigheten.

Fördelarna med att göra biometriska kontroller vid såväl ansökningstillfället som vid utlämnandet måste dock vägas mot integritetsintrånget som förfarandet medför. I dessa fall är det emellertid endast fråga om en jämförelse mellan sökandens ansikte och fingeravtryck och de uppgifter som finns lagrade på handlingen. Det rör sig alltså inte om behandling av ett stort antal uppgifter. De skäl som vi har redovisat i avsnitt 11.4.4 angående behovet av att säkra utfärdandeprocessen för att undvika missbruk av identitetshandlingar väger enligt vår bedömning tyngre än det integritetsintrång som behandlingen kan tänkas medföra. Att möjliggöra en biometrikontroll i samband med utlämnandet skulle dessutom kunna underlätta för sökanden. Som anges i avsnitt 11.4.4 krävs det dock att lagstiftningen innehåller vissa skyddsåtgärder för att behandlingen av biometriska uppgifter ska vara tillåten. Fingeravtrycken och ansiktsbilden som har tagits för kontroll av sökandens identitet bör inte få användas för andra ändamål. För att kontrollen ska kunna tillåtas bör därför fingeravtrycken och ansiktsbilden och de biometriska data som har tagits fram vid de nu aktuella kontrollerna, både vid ansökan och vid utlämnandet förstöras omedelbart efter att kontrollen har genomförts. Genom dessa skyddsåtgärder menar vi att skyddet av personuppgifterna tillgodoses. Bestämmelserna uppfyller därmed de krav som ställs såväl i dataskyddsregleringen som i grundlagen.

Som framgått pågår ett arbete med en särskild lag om personuppgiftsbehandling inom passverksamheten inom Regeringskansliet. De

bestämmelser vi föreslår avseende förstöring av fingeravtryck, ansiktsbild och biometriska data som har tagits fram vid kontrollen kan när det gäller pass, om det bedöms lämpligare, i stället föras in i den lagen.

11.6.2. Kontroll i samband med in- och utresa

Utredningens förslag: Den som reser med ett statligt identitets-

kort med funktion som resehandling ska i en gränskontroll på begäran, förutom att låta behörig befattningshavare ta dennes ansiktsbild, även låta befattningshavaren ta dennes fingeravtryck för kontroll av att dessa motsvarar de fingeravtryck som finns lagrade på identitetskortet.

När en sådan kontroll har genomförts ska ansiktsbilden, fingeravtrycken och de biometriska data som tagits fram omedelbart förstöras.

En svensk medborgare som reser in i och ut ur landet ska på begäran av en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Kustbevakningen, Tullverket eller Migrationsverket lämna över sitt pass eller nationella identitetskort. Passinnehavaren är skyldig att på begäran låta kontrollanten ta dennes fingeravtryck och en bild i digitalt format av hans eller hennes ansikte för kontroll av att dessa motsvarar de fingeravtryck och den ansiktsbild som finns lagrade i passet. Den som i stället medför ett nationellt identitetskort är på samma sätt skyldig att låta behörig befattningshavare ta en bild i digitalt format av hans eller hennes ansikte för kontroll av att den motsvarar den ansiktsbild som finns lagrad på identitetskortet. När en sådan kontroll har genomförts ska fingeravtrycken, ansiktsbilden och de biometriska data som har tagits fram omedelbart förstöras (5 och 5 a §§passlagen).

Vi menar att regleringen bör ge stöd för samma kontroller av den som reser med statligt identitetskortet som när det gäller pass. Att använda både ansiktsbild och fingeravtryck innebär att säkerheten i kontrollen kan höjas ytterligare. På så sätt möjliggörs också alternativa sätt att göra kontrollen. Att möjliggöra kontroll av fingeravtryck innebär att säkerheten motsvarar den som gäller för pass. För den som medför ett statligt identitetskort med funktion som resehandling bör det därför också finnas en skyldighet att låta en

behörig befattningshavare ta dennes fingeravtryck för att kontrollera att dessa stämmer överens med de fingeravtryck som lagras på idkortet.

Även när det gäller denna typ av kontroll menar vi att intresset av en säker identifiering väger över de integritetsrisker som kan uppkomma. Det rör sig i detta fall om uppgifter i en handling som den enskilde själv förfogar över. Inte heller här är det alltså aktuellt med behandling av ett större antal uppgifter. Det saknas därför skäl att göra någon annan bedömning när det gäller id-korten än den regeringen gjort beträffande kontroll av fingeravtryck i pass.24 Som anges i avsnitt 11.4.4 krävs dock att lagstiftningen innehåller vissa skyddsåtgärder. Fingeravtrycken och de biometriska uppgifter som har tagits fram vid kontrollen bör därför, precis som gäller för fingeravtryck i pass, förstöras omedelbart efter att kontrollen har genomförts. Genom att en sådan skyddsåtgärd införs uppfylls, enligt vår bedömning, kraven både i dataskyddsregleringen och i grundlagen.

11.6.3. Kontroll av biometriska uppgifter i andra sammanhang

Utredningens bedömning: Det bör för närvarande inte införas

någon skyldighet för den som innehar ett pass eller ett statligt identitetskort att i andra sammanhang lämna fingeravtryck och låta ansiktsbild tas för kontroll av om dessa motsvarar dem som finns lagrade på identitetshandlingen.

Kontroll av en persons identitet görs i flera andra sammanhang än de vi berört ovan. Identitetskontroll görs exempelvis i samband med utfärdande av körkort, utförande av olika banktjänster och utlämning av paket. Införande av fingeravtryck och ansiktsbilder på de statliga identitetskorten öppnar för en möjlighet att göra biometriska kontroller även i sådana sammanhang.

Vi har i avsnitt 8.6.2 föreslagit att pass eller statligt identitetskort som huvudregel ska användas i samband med identitetskontroller som görs inom ramen för sådana åtgärder för kundkännedom som krävs av verksamhetsutövare som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism. Identitetskontroll görs

24Prop. 2004:05/119 s. 26 ff.

vid etablering av affärsförbindelser och utförande av vissa transaktioner. En möjlighet att ta fingeravtryck och ansiktsbild och jämföra med de fingeravtryck och den ansiktsbild som finns i passet eller identitetskortet i dessa situationer skulle innebära att säkerheten i identifieringen höjdes ytterligare. Samtidigt innebär en sådan möjlighet risker för den personliga integriteten. Sökanden skulle behöva lämna sina fingeravtryck och ansiktsbild hos en privat aktör utan statlig kontroll. Det rör sig om mycket känsliga uppgifter som kräver stor säkerhet vid hanteringen. Integritetsskyddsintresset väger därför enligt vår uppfattning över fördelarna med att införa en möjlighet till sådana kontroller. Enligt vår uppfattning bör sådana kontroller därför inte tillåtas för närvarande.

Utöver de situationer vi berört i de tidigare avsnitten lämnar vi inte några förslag om krav på att visa upp pass eller statligt identitetskort. Det kan dock, som vi anger i avsnitt 8.6.3, finnas anledning att senare överväga om krav på identifiering med en statlig fysisk identitetshandling ska införas även i andra situationer. Innan det införs sådana krav inom andra områden är det inte heller aktuellt att överväga om det i något annat sammanhang bör införas skyldighet att lämna fingeravtryck och låta en bild av ansiktet tas.

De förslag vi lämnar ovan om biometrikontroller i samband med utfärdande av pass och statligt identitetskort medför dock tillsammans med övriga förslag som verkar i säkerhetshöjande riktning att dessa identitetshandlingar kommer att bli mycket säkra. Därmed blir också den identifiering som görs med hjälp av dessa handlingar i andra sammanhang säkrare. Förslagen i detta kapitel innebär därför även en förbättring av den identifiering som görs på områden där biometriska uppgifter inte kontrolleras.

11.7. Sekretessfrågor

Utredningens förslag: Sekretess ska gälla för de biometriska

uppgifter som tas fram ur ansiktsbilden och sparas i pass- och idkortsregistret om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men.

Av 22 kap. 1 § första stycket OSL följer att sekretess gäller för uppgift i verksamhet som avser folkbokföringen eller annan liknande

registrering av befolkningen och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen. Sekretessen gäller för enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.

Regeringen har i 6 § OSF föreskrivit att såväl passregistret, registret över nationella identitetskort och databasen över identitetskort för folkbokförda i Sverige omfattas av sekretessregleringen.

Sekretess gäller vidare enligt 22 kap. 1 § andra stycket OSL och 6 § andra stycket OSF i samma verksamheter för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

De ansiktsbilder som redan i dag lagras i id-kortsregistren omfattas alltså av denna sekretessreglering. I avsnitt 9.4.4 föreslår vi att bestämmelserna i 22 kap. 1 § OSL och 6 § OSF ska omfatta även uppgifter i registret över statliga identitetskort.

Vi föreslår i avsnitt 11.4.4 och 11.5 att även biometriska uppgifter som kan tas fram ur ansiktsbilderna ska få lagras i pass- och id-kortsregistren. Dessa uppgifter bör omfattas av samma sekretesskydd som ansiktsbilderna. Ett tillägg bör därför göras i 22 kap. 1 § OSL och 6 § OSF som innebär att sekretess ska gälla även för dessa uppgifter om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men. Tillägget innebär att samma sekretess kommer att gälla om det skulle vara aktuellt att spara biometriska uppgifter kopplade till ansiktsbilder i något av de andra register som omfattas av bestämmelserna. Eftersom det rör sig om uppgifter som är minst lika skyddsvärda som ansiktsbilder bör de omfattas av samma sekretessreglering.

Fingeravtrycken och de biometriska uppgifter som kan tas fram ur dessa ska inte sparas i id-kortsregistret utan endast lagras tillfälligt under handläggningen av ansökan. Efter att Polismyndigheten vid ansökningstillfället tagit sökandens fingeravtryck och ansiktsbild framställs ett underlag som tillverkaren använder för att kunna tillverka identitetshandlingen. I förarbetena till passlagens bestämmelser om införande av ansiktsbild i pass uttalade regeringen att hela detta underlag, inklusive de biometriska data som tas fram i syfte att göra en kvalitetskontroll, får anses utgöra en mellanprodukt till det

färdiga passet. Sådana handlingar blir inte allmänna om de inte expedieras eller tas om hand för arkivering. I förarbetena till 2 kap. 6 § tryckfrihetsförordningen (TF) anfördes att om en myndighet sänder över en handling till någon utomstående endast för teknisk bearbetning är det naturligt att se det som att handlingen aldrig har befunnit sig utanför myndigheten. De biometriska data som tas fram för kvalitetskontroll och därefter omedelbart förstörs när passet har lämnats ut arkiveras inte heller hos myndigheten. Det blir således inte fråga om allmänna handlingar varför inte heller frågan om sekretess blir aktuell.25 Samma bedömning måste enligt vår uppfattning kunna göras beträffande fingeravtrycken och de biometriska uppgifter som tas fram ur dessa eftersom det även i detta fall endast är fråga om en mellanprodukt som ska förstöras när identitetshandlingen har lämnats ut. Någon särskild sekretessregel infördes inte heller i samband med att fingeravtryck började sparas i passen. Mot denna bakgrund gör vi bedömningen att frågan om sekretess inte blir aktuell beträffande hanteringen av fingeravtryck och de biometriska uppgifter som tas fram ur dessa i samband med ansökan om statligt identitetskort.

Vi föreslår i avsnitt 11.6.1 och 11.6.2 nya möjligheter att göra biometrikontroller. Kontroller ska kunna göras i id-kortsverksamheten och vid gränskontroll. De biometriska uppgifter som tas fram vid sådana kontroller ska förstöras omedelbart. Eftersom inte heller dessa uppgifter arkiveras blir sekretessfrågan inte heller aktuell för dessa uppgifter.

11.8. Andra säkerhetshöjande lösningar

Utredningens bedömning: Pass och statliga identitetskort bör

inte förses med en pinkod som innehavaren kan identifiera sig med. Den e-legitimation som kortet ska innehålla kan användas i samma syfte.

Som anges ovan innehåller pass och statliga identitetskort så många olika säkerhetsdetaljer att de enligt NFC uppnår en tillräckligt hög dokumentsäkerhet. Några ytterligare detaljer som endast kan användas för att avgöra om handlingen är äkta synes därmed inte behövas.

25Prop. 2004/05:119 s. 46.

Våra förslag ovan innebär att pass och statliga identitetskort kommer att innehålla både fingeravtryck och ansiktsbild, vilket ytterligare försvårar möjligheten att förfalska identitetshandlingarna. De medför dessutom att det med stor säkerhet går att kontrollera att innehavaren av handlingen är den som handlingen har utfärdats till. Förslagen om kontroll av biometriska uppgifter i samband med utfärdande av pass och statligt identitetskort medför en väsentlig höjning av säkerheten i utfärdandeprocessen. Det innebär att de pass och statliga identitetskort som utfärdas kommer att bli ännu säkrare. Säkrare handlingar gör att även efterföljande identifiering med handlingarna blir säkrare.

Vi föreslår inte någon mer generell möjlighet att kontrollera biometriska uppgifter. Privata aktörer, såsom banker och postutlämningsställen, kommer därför inte att göra sådana kontroller.

De aktörer som i olika sammanhang kontrollerar enskildas identitet kommer däremot att ha möjlighet att, utöver den kontroll som görs i dag, även låta den enskilde identifiera sig genom att använda den statliga e-legitimationen, som vi i avsnitt 12.4 föreslår ska finnas på statliga identitetskort, tillsammans med en kod. E-legitimationen kan alltså, förutom att användas för att identifiera användare på distans i olika e-tjänster, även användas som en extra säkerhet i samband med identifiering som sker vid ett personligt möte, förutsatt att den som kontrollerar identiteten upprättar en relation med den utfärdande myndigheten i syfte att elektronisk identifiering ska kunna göras. Det krävs också viss teknisk utrustning. Vårt förslag i den delen innebär alltså, förutom att staten tar ansvar för att utfärda en säker e-legitimation som kan användas vid identifiering på distans, även en möjlighet att öka säkerheten i den kontroll av identiteten som görs vid ett personligt möte.

I våra direktiv anges som ett exempel på andra säkerhetshöjande åtgärder än användning av biometriska uppgifter, att identitetshandlingar förses med en pinkod som innehavaren kan identifiera sig med på samma sätt som när bankkort används. Detta är en lösning som har förespråkats av NBC. Mot bakgrund av vårt förslag om att en statlig e-legitimation ska finnas på statliga identitetskort menar vi att det saknas skäl att överväga en sådan lösning. I stället kan den statliga e-legitimationen, som används tillsammans med kod, användas för att förbättra säkerheten vid identifiering som sker vid ett personligt besök.

Sammantaget menar vi att de förslag vi har lämnat avseende införande av möjlighet att göra biometriska kontroller tillsammans med förslaget om en statlig e-legitimation innebär att identitetshandlingars säkerhetsnivå förbättras väsentligt. Några ytterligare säkerhetshöjande detaljer bedöms inte behövas i nuläget.

12. En statlig e-legitimation på fysiska identitetshandlingar

12.1. Vårt uppdrag

I våra direktiv anförs att det blir allt svårare att klara sig i det svenska samhället utan en e-legitimation och att sådana handlingars tillförlitlighet därför är ett allt viktigare samhällsintresse. En e-legitimation är en förutsättning för att personer på ett säkert sätt ska kunna identifiera sig elektroniskt bl.a. för att kunna använda myndigheternas etjänster.

I ett digitaliserat samhälle måste medborgarna skyddas mot identitetskapning, stöld av identitetshandlingar och bedrägerier. Säker elektronisk identifiering försvårar brott och är därför en viktig nyckel till förtroendet för det digitala samhället. Att använda elektronisk identifiering för att genomföra transaktioner bedöms som relativt säkert. De risker som är förknippade med en sådan identifiering ligger snarare i det första steget, dvs. vid identifieringen i samband med att en person skaffar e-legitimationen. Det är därför viktigt att säkerställa identiteten vid den tidpunkten.

Det saknas i dag möjlighet att få en statligt utfärdad e-legitimation på högsta tillitsnivån, nivå 4 (jämför avsnitt 5.3). Vi ska därför analysera och ta ställning till om giltiga fysiska identitetshandlingar bör innehålla en e-legitimation på den nivån och lämna nödvändiga författningsförslag.

12.2. Digitaliseringen och behovet av e-legitimation

Regeringens mål för digitaliseringen av den offentliga förvaltningen är en enklare vardag för medborgarna, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten. Regeringen har gjort bedömningen att digitala tjänster ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatpersoner och företag. Det innebär att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lösningar vid utformningen av sin verksamhet. Samtidigt ska säkerheten och skyddet för den personliga integriteten säkerställas.1

I regeringens digitaliseringsstrategi, som anger inriktningen för regeringens digitaliseringspolitik, betonas att en förutsättning för fortsatt utveckling av digital service till privatpersoner och företag är att medborgarna har en digital identitet. Att kunna styrka sin identitet digitalt på ett enkelt och säkert sätt är avgörande för möjligheten att kunna ta del av digitala tjänster inom såväl den privata som den offentliga sektorn. Identitetskapningar och bedrägerier på internet är ett stort samhällsproblem som får stora konsekvenser både för den enskilde och för samhällsekonomin.2

En grundläggande förutsättning för att kunna uppfylla regeringens mål är att det är möjligt att säkerställa att den person som får tillgång till en e-tjänst hos exempelvis en myndighet också är den som han eller hon utger sig för att vara. En väl fungerande och säker elektronisk identifiering är alltså en förutsättning för en väl fungerande digital förvaltning.

En stor andel av Sveriges befolkning har redan i dag tillgång till en e-legitimation. BankID är den e-legitimation som dominerar på den svenska marknaden, se avsnitt 5.5.

Staten har hittills inte tagit ansvar för att medborgarna ska ha tillgång till en statligt utfärdad säker e-legitimation. I regeringsuppdraget till Skatteverket att ta fram ett identitetskort för folkbokförda i Sverige angavs att kortet skulle vara förberett för att kunna bära e-legitimationer och därför borde innehålla ett chip motsvarande det som finns på det nationella identitetskortet.3 Skatteverket har därefter på eget initiativ sett till att det finns en e-legitimation på

1Prop. 2017/18:1 utgiftsområde 2 s. 93. 2 För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi dnr. N2017/03643/D. 3 Regeringsbeslut Fi 2008/5394, delvis, Uppdrag till Skatteverket att ta fram ett id-kort för folkbokförda i Sverige 2008-09-25.

id-kortet. Den e-legitimation som finns på id-kortet utfärdas dock inte av Skatteverket utan av AB Svenska Pass. Bolaget har avtal med Skatteverket om att förse det fysiska id-kortet med en e-legitimation. Det innebär att det är AB Svenska Pass och inte Skatteverket som har det juridiska ansvaret gentemot både innehavaren av e-legitimationen och de förlitande aktörer som ingått avtal med AB Svenska Pass.

I regeringsuppdraget till dåvarande Rikspolisstyrelsen att ta fram ett nationellt identitetskort angavs endast att kortet skulle innehålla en funktion för lagring av elektronisk information som i framtiden skulle kunna användas för att lagra t.ex. elektroniska signaturer.4

Det finns i dagsläget således inte någon e-legitimation som utfärdas av en statlig myndighet och som är tillgänglig för alla.

12.3. En statlig e-legitimation

Utredningens förslag: En statlig e-legitimation på högsta tillits-

nivå ska utfärdas av staten.

I och med den ökade digitaliseringen är det allt svårare att klara sig i samhället utan tillgång till en e-legitimation. Det är av stor vikt att alla invånare har möjlighet att skaffa en säker e-legitimation som ger tillgång till samhällsfunktionerna. Samtidigt bidrar också en säker elektronisk identifiering till att motverka den identitetsrelaterade brottsligheten. Den betydelse som en säker e-legitimering har för samhällsfunktionerna och brottsbekämpningen gör att det bör övervägas om inte staten bör ta ett större ansvar för att tillförsäkra alla invånare en sådan identitetshandling.

Många personer i Sverige har som framgått redan en e-legitimation. Det finns emellertid vissa betänkligheter mot att endast en privat aktör ges en så dominerande ställning på den svenska marknaden för e-legitimationer. Att endast privata aktörer utfärdar e-legitimation medför att staten inte kontrollerar villkoren för e-legitimationerna. Staten har därmed också begränsade möjligheter till insyn och påverkan. Det finns behov av alternativa lösningar för e-legitimation utifrån flera perspektiv, särskilt när det gäller säkerhet, robusthet och

4 Regeringsbeslut 2003-09-25 Uppdrag att ta fram ett nationellt identitetskort Ju2003/7370/PO.

tillgänglighet. I dag finns det inte något reellt alternativ att använda sig av om de privat utfärdade e-legitimationerna av någon anledning inte skulle fungera. Det finns därför behov av en säker lösning som kan användas om de privata e-legitimationerna upphör att fungera. Ett enskilt företag kan också gå i konkurs eller ändra inriktning av något skäl. Det finns därför ur ett beredskaps- och kontinuitetsperspektiv behov av ett komplement till de e-legitimationer som i dag dominerar på marknaden.

Som framgått av våra direktiv är den största risken med elektronisk identifiering kopplad till identifieringen av sökanden i samband med utfärdandet. Det är därför av stor vikt att säkerställa identiteten vid den tidpunkten. Med en säker grundidentifiering som görs av en myndighet vid ett personligt besök minskar risken för att fel person får tillgång till e-legitimationen. Motsvarande bedömning gjordes av Utredningen om effektiv styrning av nationella digitala tjänster.5

Det som också motiverar ett införande av en statlig e-legitimation är att tillgången till en e-legitimation som är anmäld enligt eIDASförordningen för att möjliggöra identifiering i andra EU-länders digitala tjänster bör säkerställas. För att en e-legitimation ska kunna anmälas för gränsöverskridande identifiering måste vissa villkor vara uppfyllda. Utredningen om effektiv styrning av nationella digitala tjänster har gjort bedömningen att det finns behov av att anmäla minst en svensk e-legitimation för gränsöverskridande identifiering. Personer som har behov av att använda en e-legitimation i e-tjänster i Europa är t.ex. utlandsstudenter, patienter som behöver vård utomlands, företagare som vill etablera sig i en annan medlemsstat, pensionärer som bor utomlands, arbetssökande i andra medlemsstater och boende i gränstrakter till andra länder.6

Det är visserligen tillåtet att enligt eIDAS-förordningen anmäla även e-legitimationer som utfärdas av privata aktörer men bedömningen av om en viss e-legitimation bör anmälas blir enklare när det gäller en handling som utfärdas av staten. Det är inte heller säkert att de privata aktörerna kan tillgodose de behov som finns. Den privat utfärdade e-legitimation som dominerar i Sverige, BankID, anses motsvara tillitsnivå 3 i tillitsramverket för Svensk e-legitimation.7 Tillitsnivå 3 är en för låg nivå vid transaktioner där den högsta tillitsnivån

5SOU 2017:114 s. 175 ff. 6 Ibid. s. 357 f. 7 elegnamnden.se/elegitimering/kvalitetsmarketsvenskelegitimation/godkandaelegitimationer.4.4 498694515fe27cdbcf1a3.html. Hämtad 2019-02-08.

enligt eIDAS-förordningen krävs. Som framgått av avsnitt 5.3 är det den som har e-tjänsten, t.ex. en myndighet i ett annat EU-land, som bedömer vilken tillitsnivå som krävs. För att säkerställa att svenska invånare får tillgång till e-tjänster i andra EU-länder finns det därför ett behov av att anmäla en e-legitimation på tillitsnivå 4.

Utredningen om effektiv styrning av nationella digitala tjänster framhåller vidare att det faktum att det är staten som ansvarar för eventuella säkerhetsincidenter och skador även när det gäller e-legitimationer som utfärdats av en privat aktör talar för att staten behöver ha största möjliga kontroll över de e-legitimationer som anmäls enligt eIDAS-förordningen.8

Det kan även finnas e-tjänster i Sverige där det egentligen finns ett behov av att användarna identifierar sig med en e-legitimation på tillitsnivå 4 men där det i nuläget inte går att ställa det kravet eftersom det inte utfärdas några e-legitimationer som är allmänt spridda på den nivån. Behovet gör sig särskilt gällande vid e-tjänster där mycket integritetskänsliga uppgifter är tillgängliga. Det kan exempelvis röra sig om vissa särskilt känsliga tjänster på hälso- och sjukvårdsområdet. Det finns därför även av detta skäl ett behov av en e-legitimation på tillitsnivå 4 som utfärdas av staten.

En e-legitimation som utfärdas av en statlig myndighet efter en grundidentifiering av en myndighet vid ett personligt besök kan utgöra underlag vid utfärdande av andra e-legitimationer (s.k. id-växling). Det får till följd att även utfärdandeprocessen beträffande andra elegitimationer som utfärdas med stöd av den statliga blir säkrare. Därmed minskar risken att någon med brottsliga avsikter på felaktiga grunder får tillgång till en e-legitimation. Väsentligt i sammanhanget är också att det är tillåtet enligt eIDAS-förordningen att använda en e-legitimation för att få en annan utfärdad. Bankerna tilllåter dock inte att BankID används på det sättet.9 Att staten ansvarar för den grundläggande identifieringen som sedan kan utnyttjas vid tillhandahållande av andra e-legitimationer underlättar också för andra utfärdare. Det är både kostsamt och svårt att utföra grundidentifiering. Kravet i Tillitsramverket för Svensk e-legitimation10, på fysisk identitetskontroll innebär att utfärdaren måste finnas på

8SOU 2017:114 s. 358 ff. 9 Förstudierapport på uppdrag av E-legitimationsnämnden Framtida spelplan för e-legitimering version 1.0 2017-02-23. 10 Myndigheten för digital förvaltnings Tillitsramverk för Svensk e-legitimation ärendenr 2018-158.

många ställen i landet och ha personal som kan utföra en identitetskontroll på ett tillförlitligt sätt. Om utfärdare i stället kan förlita sig på identifiering som görs av en statlig myndighet i samband med utfärdande av den statliga e-legitimationen underlättar det vid nyutgivning av innovativa och säkra e-legitimationer.11

En annan viktig aspekt är att bankerna som regel utfärdar BankID endast till sina kunder. De har inte någon skyldighet att utfärda en e-legitimation till alla som vill ha en sådan. Det finns därför personer som inte kan få BankID. Med en statligt utfärdad e-legitimation kan fler tillförsäkras tillgång till en sådan handling.

En statlig e-legitimation skulle även kunna användas som en extra säkerhetsåtgärd när den enskilde i olika sammanhang identifierar sig vid ett personligt besök. En kontroll av e-legitimationen tillsammans med en kontroll av den fysiska identitetshandlingen innebär att säkerheten i den identitetskontroll som görs vid det personliga mötet höjs. En kontroll av e-legitimationen skulle också kunna ersätta en kontroll av den fysiska handlingen i de fall det bedöms tillräckligt. Kontrollen skulle på så vis kunna effektiviseras. Eftersom en sådan kontroll innebär att en giltighetskontroll sker i realtid mot ett register skulle en kontroll av enbart e-legitimationen i många fall kunna anses säkrare än enbart en kontroll av en fysisk identitetshandling. Det förutsätter dock att den som kontrollerar identiteten har den utrustning som krävs samt upprättar en relation till utfärdaren för att kunna utnyttja utfärdarens funktion för identitetskontroll.

Det finns som nämnts redan i dag en e-legitimation på identitetskort för folkbokförda i Sverige. E-legitimationen utfärdas inte av Skatteverket utan av företaget AB Svenska Pass. Det är dock Skatteverket som utför den identifiering av sökanden som föregår utfärdandet. AB Svenska Pass har som utfärdare det juridiska ansvaret gentemot innehavaren och de förlitande aktörerna. Detta är enligt vår bedömning inte tillräckligt för att staten ska få den kontroll som krävs för att kunna säkerställa att invånarna har tillgång till en säker e-legitimation.

En e-legitimation på tillitsnivå 4 måste finnas på en personlig säkerhetsmodul som skyddar uppgifterna från obehörig åtkomst, vanligen ett kort, se avsnitt 5.3. För att e-legitimationen ska vara enkel att

11 E-legitimationsnämnden rapport Fortsatt försörjning av tjänster för e-legitimering och eunderskrift dnr 131 645711-15/9513 2016-10-25.

bära med sig är det naturligt att placera den på en fysisk identitetshandling. Det underlättar för den enskilde som endast behöver ha en handling med sig. Det är också mer effektivt att utfärda den fysiska identitetshandlingen och e-legitimationen samordnat eftersom samma process kan användas.

E-legitimationer på fysiska kort är visserligen i dag ofta krångligare för användaren än mobila lösningar eftersom det krävs någon form av tekniskt hjälpmedel för att använda dem. Man kan därför ställa sig frågan om en statlig e-legitimation som finns på en fysisk identitetshandling kommer att användas i någon större utsträckning. En statlig e-legitimation på ett fysiskt kort som komplement till mobila varianter bidrar dock till att systemet som helhet blir mer stabilt eftersom det finns en alternativ lösning på en stabil bärare. Att endast ha en mobil e-legitimation är en sårbar lösning. Om mobiltelefonen exempelvis blir stulen eller slutar fungera krävs en reservlösning för att den enskilde inte ska stå utan e-legitimation under den tid det tar till dess att en ny finns tillgänglig. Av det skälet och mot bakgrund av den omfattande användningen av e-legitimation som sker i dag behöver det finnas en säker och stabil e-legitimation att använda som ett alternativ. Det finns också tekniska lösningar som kan underlätta användandet, se nedan.

Mot bakgrund av de skäl som angetts ovan, menar vi att det är av stor vikt att staten säkerställer tillgången till en säker och stabil lösning för elektronisk identifiering som inte är beroende av privata aktörer eller mobila lösningar. I ett allt mer digitaliserat samhälle är det viktigt att medborgarnas elektroniska identitet kan skyddas från missbruk. Vi bedömer därför, i likhet med Utredningen om effektiv styrning av nationella digitala tjänster12, att staten bör ta ansvar för att utfärda en e-legitimation på högsta tillitsnivå som ska finnas på någon eller några av de statliga fysiska identitetshandlingarna. Att elegitimationen utfärdas av en statlig myndighet innebär att myndigheten har det juridiska ansvaret både gentemot innehavaren och de förlitande aktörerna.

Det är av stor vikt att det säkerställs att den statliga e-legitimationen kan användas på ett enkelt sätt. För att e-legitimationen ska komma till användning är det angeläget att underlätta för den enskilde så långt det är möjligt. För att kunna använda en e-legitima-

12SOU 2017:114 s. 187 ff.

tion som finns på ett id-kort behövs någon form av kortläsare. Kortläsare finns inbyggd i många datorer. Det finns också fristående kortläsare som kan kopplas till en dator. I dag finns det dessutom tekniska lösningar som skulle kunna användas som alternativ till en traditionell kortläsare. Ett alternativ kan vara en applikation i mobiltelefonen som läser av informationen på kortets chip genom s.k. NFC-teknik13. Genom att läsa av kortet i en sådan applikation kan användaren, precis som vid användning av en mobil e-legitimation, identifiera sig i en e-tjänst. De tekniska lösningarna och deras tillgänglighet är under ständig utveckling. En fördjupad analys av frågor kopplade till användbarhetsaspekter behöver därför göras. Analysen bör omfatta hur den statliga e-legitimationen ska utformas för att säkerställa en hög användbarhet vid användning i e-tjänster. En sådan analys är varken möjlig eller lämplig att göra i denna utredning. Det är därför av stor vikt att den myndighet som kommer att ansvara för utfärdandet av den statliga e-legitimationen noga överväger vilka alternativ för läsning av e-legitimationen som ska finnas tillgängliga för användarna.

Särskilt möjligheterna till användning av kortläsning genom mobiltelefon bör analyseras. Tekniska lösningar kan exempelvis upphandlas av samma leverantör som levererar e-legitimationen och behöver självklart inte utvecklas av personal hos den utfärdande myndigheten. En annan sak är att ansvaret för att de tas fram ligger hos myndigheten. Om det förutsätts att särskilda kortläsare används bör myndigheten särskilt analysera hur en bred spridning och enkel användning av sådana kan åstadkommas på ett säkert och kostnadseffektivt sätt.

Att det införs en statlig e-legitimation på en fysisk identitetshandling hindrar inte att staten i framtiden även utfärdar en e-legitimation som finns i exempelvis en mobiltelefon, om det bedöms lämpligt. Den skulle då kunna utfärdas på grundval av identifiering med den statliga e-legitimation som finns på den fysiska identitetshandlingen, precis som e-legitimationer som utfärdas av andra aktörer.

Genomförandet sker naturligen i nära samarbete eller samråd med andra myndigheter såsom Myndigheten för digital förvaltning och myndigheter som tillhandahåller e-tjänster i stor omfattning.

13 NFC står för Near Field Communication och innebär kontaktlös överföring av data på kort avstånd.

12.4. Den statliga e-legitimationen ska finnas på det statliga identitetskortet

Utredningens förslag: Den statliga e-legitimationen ska finnas

på det statliga identitetskortet.

Vi har i avsnitt 8.6 föreslagit att endast pass och statligt identitetskort (statliga fysiska identitetshandlingar) ska vara godtagbara fysiska identitetshandlingar i alla situationer. Det är alltså endast dessa handlingar som kan vara aktuella som bärare av den statliga e-legitimationen. Utredningen om effektiv styrning av nationella digitala tjänster har, mot bakgrund av vårt uppdrag, inte lämnat förslag när det gäller frågan om på vilka fysiska identitetshandlingar den statliga e-legitimationen ska finnas. Den utredningen har föreslagit att den statliga e-legitimationen ska kunna utfärdas till personer som kan få de identitetshandlingar som staten utfärdar och vars huvudsakliga syfte inte är att utvisa en behörighet. De har bedömt att e-legitimationen ska kunna utfärdas både till svenska medborgare och personer som är folkbokförda i Sverige. Detta motiveras med att dessa personer har sådan anknytning till Sverige som bör krävas för att få en statlig e-legitimation.14

De fysiska identitetshandlingar som kan vara aktuella som bärare av den statliga e-legitimationen enligt den utredningens ställningstaganden är alltså pass och det id-kort som vi i avsnitt 10.2.1 föreslår ska benämnas statligt identitetskort. Den avgränsning som har gjorts av Utredningen om effektiv styrning av nationella digitala tjänster stämmer överens med den bedömning vi har gjort när det gäller frågan om för vilken personkrets staten bör ansvara för utfärdandet av fysiska identitetshandlingar, se avsnitt 8.5.4. Det är rimligt att statens ansvar för att tillhandahålla e-legitimationer omfattar samma personkrets som de statliga fysiska identitetshandlingarna (se dock i avsnitt 12.7 angående våra bedömningar när det gäller ålder). Vi instämmer därför i utredningens bedömning.

Både det statliga identitetskortet med och utan funktion som resehandling bör således innehålla en statlig e-legitimation. Härigenom kommer både personer som är folkbokförda i Sverige och svenska medborgare att omfattas. För att omfatta den personkrets som bör

14SOU 2017:114 s. 195 f.

omfattas krävs det inte att passen förses med en e-legitimation. Det är inte heller önskvärt. Passets format gör att det är mindre lämpligt som bärare. Passet är inte är lika smidigt att bära med sig och det kan inte användas i en vanlig kortläsare.

Som anges i avsnitt 12.11 bör det krävas att en ansökan om en statlig e-legitimation görs för att en sådan ska kunna utfärdas. Vidare menar vi att det bör krävas att sökanden uppnått en viss ålder för att få en statlig e-legitimation, se avsnitt 12.7. Regleringen av den statliga e-legitimationen bör därför lämna utrymme för att ett statligt identitetskort kan utfärdas även utan att innehålla en e-legitimation eftersom en sådan inte kommer att kunna utfärdas i samtliga fall då ett identitetskort utfärdas. Av andra bestämmelser i lagen kommer det sedan att framgå vad som krävs för att e-legitimationen ska kunna utfärdas.

Som anges i avsnitt 11.4.4 har EU-kommissionen i april 2018 lagt fram förslag om en id-kortsförordning som syftar till att höja säkerheten i id-kort som utfärdas till unionsmedborgare. Förslaget innebär att fingeravtryck och ansiktsbild ska lagras i ett lagringsmedium på id-korten. Förslaget hindrar inte att medlemsstaterna, i enlighet med nationell lagstiftning, även lagrar en e-legitimation i ett lagringsmedium på id-kortet. Sådana uppgifter måste dock enligt förslaget vara fysiskt eller logiskt separerade från fingeravtrycken och ansiktsbilden.

12.5. Utfärdare

Utredningens förslag: Polismyndigheten ska utfärda den statliga

e-legitimationen.

I avsnitt 9.4 har vi föreslagit att de statliga fysiska identitetshandlingarna, dvs. pass och statligt identitetskort, ska utfärdas av Polismyndigheten. Frågan är om Polismyndigheten även ska utfärda den statliga e-legitimationen eller om ansvaret ska läggas på någon annan myndighet. Utredningen om effektiv styrning av nationella digitala tjänster har, på grund av vårt uppdrag, inte lagt något förslag i fråga om vilken statlig myndighet som ska utfärda den statliga e-legitimationen.

Att Polismyndigheten träffar avtal med en privat aktör som utfärdar en e-legitimation som läggs på id-korten, på det sätt Skatteverket har gjort med den e-legitimation som finns på identitetskort för folkbokförda i Sverige, är enligt vår mening inte tillräckligt för att staten ska få den kontroll som krävs för att kunna säkra invånarnas rätt till tillgänglighet. Om en privat aktör är utfärdare av e-legitimationen är det den privata aktören, och inte myndigheten, som har det juridiska ansvaret. För att staten ska kunna få den kontroll som krävs måste det juridiska ansvaret gentemot innehavaren och de förlitande aktörerna ligga på staten och då måste det också vara en statlig myndighet som är utfärdare.

Att en myndighet ska utfärda den statliga e-legitimationen innebär naturligtvis inte att myndigheten också måste utveckla den eller hantera alla andra aspekter av den löpande förvaltningen av e-legitimationen, exempelvis användarsupport. Myndigheten kan upphandla själva handhavandet av e-legitimationen från en leverantör.

Det som måste finnas hos den utfärdande myndigheten är emellertid kompetens att utforma kraven vid upphandlingen av e-legitimationen. Myndigheten måste också kontinuerligt följa upp hanteringen, särskilt säkerheten, för att kunna åtgärda eventuella risker kopplade till e-legitimationen. I övrigt bör upphandlingen kunna utformas på olika sätt beroende på hur stor del av arbetet som läggs ut på en leverantör och omfatta exempelvis utveckling, förvaltning, support och elektronisk identitetskontroll. Även tekniska hjälpmedel som underlättar användningen av e-legitimationen skulle kunna omfattas av en sådan upphandling.

Skillnaden mellan att en utfärdande myndighet upphandlar e-legitimationen och den lösning Skatteverket har i dag är att det juridiska ansvaret gentemot innehavaren och de förlitande aktörerna ligger på en statlig myndighet och inte som i dag på en privat aktör. Det innebär att det är myndigheten som ansvarar för e-legitimationen under hela dess livslängd. Myndigheten ansvarar inte bara för att säkerställa att e-legitimationen utfärdas på rätt sätt utan också för den identitetskontroll som görs vid varje användningstillfälle. Den privata elegitimationsleverantören kan naturligtvis vara ansvarig gentemot den utfärdande myndigheten för sådant som leverantören åtagit sig enligt avtalet men det är myndigheten som har det skadeståndsrättsliga ansvaret gentemot innehavare och förlitande aktörer. En annan

sak är att den utfärdande myndigheten kan ha regressrätt mot leverantören.

Man kan också tänka sig att den utfärdande myndigheten uppdrar åt en annan myndighet att ta fram e-legitimationen. Oavsett vem som är leverantör av e-legitimationen måste dock den ansvariga myndigheten vara utfärdare och bestämma villkoren för den.

Eftersom vi föreslår att Polismyndigheten ska utfärda de statliga fysiska identitetshandlingarna, ligger det närmast till hands att den myndigheten också ansvarar för utfärdande av den statliga e-legitimationen. Det finns stora samordningsvinster med att en och samma myndighet utfärdar såväl den fysiska identitetshandlingen som den elektroniska. Den största fördelen är att samma utfärdandeprocess kan användas. Det innebär att endast en myndighet utför det mest centrala momentet i utfärdandeprocessen, nämligen identifieringen. Detta medför inte bara vinster ur ett säkerhetsperspektiv, utan är även det alternativ som är minst resurskrävande. Att upprätthålla ytterligare en process för utfärdande av identitetshandlingar hos en annan myndighet bedöms både mer kostsamt och mindre lämpligt.

Att lägga ansvaret för utfärdande på två olika myndigheter motverkar också vår ambition att begränsa antalet utfärdare i syfte att höja kvaliteten i utfärdandeprocessen, se avsnitt 9.3. Att endast en myndighet ansvarar för utfärdandet medför bättre förutsättningar för en enhetlig hantering av hela processen från ansökan till utlämnande. Samma eller liknande rutiner kan användas och alla som arbetar med utfärdandet kan få samma utbildning. Risken att det förekommer skillnader i bedömningen av om en identitet är styrkt är större om ansvaret läggs på olika myndigheter. Det är dessutom en fördel för den enskilde att bara behöva vända sig till en myndighet.

Tillgängligheten hos Polismyndigheten är god, identitetshandlingar utfärdas i dag på över 100 platser i landet. Polismyndigheten har vidare stor erfarenhet av att utfärda identitetshandlingar och göra identitetsbedömningar.

En stor fördel med att lägga ansvaret på Polismyndigheten är att det möjliggör för myndigheten att få bättre insyn och arbeta förebyggande när det gäller brottslighet kopplad till användande av e-legitimation på ett sätt som inte är möjligt i dag. Det har på senare tid förekommit att bedragare via telefon lurar personer att använda sitt BankID och på så sätt får tillgång till personens internetbank. Polismyndigheten arbetar därför redan i dag intensivt med dessa frågor.

De riskanalyser som behöver göras inom ramen för det löpande säkerhetsarbetet är även till nytta i den brottsbekämpande verksamheten. På motsvarande sätt är de kunskaper om risker som finns inom den polisiära verksamheten värdefulla för utfärdandeverksamheten. Om Polismyndigheten utfärdar den statliga e-legitimationen kan det alltså leda till samordningsvinster i båda delarna av verksamheten. Det är därför enligt vår uppfattning en stor fördel om Polismyndighetens kontroll och närvaro på området kan öka.

Det finns andra alternativ än att låta Polismyndigheten utfärda den statliga e-legitimationen. Två myndigheter som ligger långt fram när det gäller digitalisering och e-förvaltningsfrågor är Skatteverket och Försäkringskassan. Båda dessa myndigheter tillhandahåller ett stort antal e-tjänster på sina webb-sidor i vilka e-legitimation används för att identifiera användaren. Försäkringskassan utvecklar vidare elegitimationer för anställda inom offentlig sektor. Detta skulle kunna tala för att i stället lägga ansvaret på någon av dessa myndigheter.

En lösning med två statliga utfärdare har valts i Finland. Där utfärdar Polismyndigheten id-korten medan e-legitimationen som finns på korten utfärdas av Befolkningsregistercentralen. Polismyndighetens utfärdandeprocess används dock även för e-legitimationen vilket innebär att identifieringen av sökanden endast görs av en myndighet. Processen påminner om den ordning som i dag gäller för elegitimationen på identitetskort för folkbokförda i Sverige med den skillnaden att det i Finland alltså är en statlig myndighet och inte en privat aktör som utfärdar e-legitimationen. Genom att på detta sätt dra nytta av den utfärdandeprocess som gäller för det fysiska id-kortet även vid utfärdandet av e-legitimationen skulle många av de samordnings- och säkerhetsvinster vi pekat på ovan uppnås. Även detta alternativ skulle därför kunna vara en möjlig lösning.

Vi har trots det stannat för att föreslå att Polismyndigheten ska utfärda även den statliga e-legitimationen. Genom att lägga ansvaret på Polismyndigheten kan kvaliteten och säkerheten som kringgärdar utfärdandet av de fysiska identitetshandlingarna utnyttjas fullt ut och de kostnadsmässiga konsekvenserna begränsas. Detta alternativ medför inte heller samma behov av samordning som skulle uppstå om ansvaret att utfärda e-legitimationen i stället skulle läggas på en annan myndighet. Ett system med två olika utfärdare motverkar också syftet med vårt uppdrag att minska antalet utfärdare.

Vi ser dessutom stora fördelar för det brottsförebyggande arbetet om Polismyndigheten är utfärdare av den statliga e-legitimationen. Därtill kommer det som Utredningen om effektiv styrning av nationella digitala tjänster har påtalat om att processen för utfärdande av de statliga identitetshandlingarna bör utnyttjas vid utfärdande av elegitimationen.

I en förstudierapport från E-legitimationsnämnden har dessutom gjorts bedömningen att Polismyndigheten är den myndighet som bör ansvara för en statlig e-legitimation. Som skäl har bl.a. anförts att myndigheten redan utfärdar pass och id-kort och därför är väl lämpad att göra identitetsbedömningar samt att den dessutom har god tillgänglighet.15

Det kan även tilläggas att både Polismyndigheten och Skatteverket är av uppfattningen att ansvaret för att utfärda såväl de statliga fysiska identitetshandlingarna som den statliga e-legitimationen bör läggas på Polismyndigheten. Polismyndigheten bör därför utfärda den statliga e-legitimationen.

Som anges ovan kan ansvaret som utfärdare utföras på olika sätt. Polismyndigheten kan antingen utveckla e-legitimationen i egen regi eller uppdra åt någon annan aktör att göra detta. Även andra former av samarbete med andra myndigheter kan vara aktuella. Hur mycket av arbetet med den statliga e-legitimationen som Polismyndigheten själv ska utföra och hur mycket som kan eller bör läggas på en annan aktör bör dock analyseras vidare av myndigheten.

Polismyndigheten får genom vårt förslag en ny arbetsuppgift. Någon ändring behöver dock inte göras i Polismyndighetens instruktion. Enligt 1 § förordningen (2014:1102) med instruktion för Polismyndigheten framgår nämligen att Polismyndighetens huvudsakliga uppgifter och ansvar framgår av polislagen (1984:387). Myndighetens uppgifter och ansvar framgår också av polisförordningen (2014:1104) och av andra författningar. Bestämmelser om att Polismyndigheten ska utfärda den statliga e-legitimationen kommer enligt vårt förslag att finnas i de nya författningarna om statliga identitetshandlingar.

Som anges i avsnitt 9.4.3 kommer utlandsmyndigheterna även fortsättningsvis att kunna utfärda id-kort till svenska medborgare. Även dessa id-kort bör kunna innehålla en statlig e-legitimation.

15 Förstudierapport på uppdrag av E-legitimationsnämnden Framtida spelplan för e-legitimering version 1.0 2017-02-23.

12.6. Regleringen av den statliga e-legitimationen förs in i lagen om statliga identitetshandlingar

Utredningens förslag: Den statliga e-legitimationen ska regleras

i den nya lagen om statliga identitetshandlingar.

Vi ska enligt utredningsdirektiven även lämna nödvändiga författningsförslag. Utredningen om effektiv styrning av nationella och digitala tjänster har lämnat förslag på en ny lag om statlig elektronisk identitetshandling. I den lagen föreslås följande regleras. Den statliga elektroniska identitetshandlingen ska kunna utfärdas till den som är svensk medborgare eller folkbokförd i Sverige och innehålla innehavarens namn, födelsedatum och personnummer. Den ska utfärdas på den högsta svenska tillitsnivån enligt tillitsramverket i den av den utredningen föreslagna lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Den ska också utformas enligt de tekniska specifikationerna i sistnämnda lag och ha samma giltighetstid som den fysiska identitetshandling som den finns på, dvs. som huvudregel fem år. Den ska godtas vid elektronisk identifiering inom den offentliga sektorn och få användas som underlag vid ansökan om en annan elektronisk identitetshandling. I sistnämnda fallet ska den utfärdande myndigheten informeras om användningen. Den utfärdande myndigheten ska registrera uppgift om den andra elektroniska identitetshandlingen i syfte att kunna informera den andra utfärdaren om en eventuell spärr av den statliga elektroniska identitetshandlingen. Det föreslås även bestämmelser om ansökan som i stora delar stämmer överens med vad som gäller för fysiska identitetshandlingar och regler om under vilka förutsättningar den statliga elektroniska identitetshandlingen ska spärras som påminner om regleringen om återkallelse av fysiska identitetshandlingar. Det föreslås också vissa processuella bestämmelser. Förslaget innehåller inte några bestämmelser om utfärdare eller bärare av den statliga elektroniska identitetshandlingen eftersom utredningen avstått från att lämna sådana förslag i avvaktan på vår utrednings slutsatser.

Som skäl för en särskild reglering har utredningen anfört att den statliga e-legitimationen ska utgöra en egen handling, som dock använder en fysisk identitetshandling som bärare. Ett annat skäl som

anförts är att en e-legitimation, till skillnad från en fysisk handling, kräver tekniska hjälpmedel för att uppfattas. Utredningen menar att detta utgör goda skäl för att särreglera den statliga e-legitimationen och inte låta den ingå som en delmängd i informationen på fysiska identitetshandlingar.16

Vi är också av uppfattningen att den statliga e-legitimationen utgör en egen handling, även om den lagras på det fysiska id-kortet. Enligt vår uppfattning saknar detta dock betydelse vid bedömningen av om regler om handlingen bör införas i en egen lag eller i den författning som reglerar det fysiska id-kortet. Det är i stället en fråga om vad som blir mest överskådligt och hanterligt när bestämmelserna ska införas och utformas.

Ett stort antal av de bestämmelser som finns i den föreslagna lagen om statlig elektronisk identitetshandling avser bestämmelser om ansökningsförfarandet. Bestämmelserna har i stort sett samma innehåll som bestämmelserna som finns både i nuvarande reglering av fysiska identitetshandlingar och i den av oss föreslagna lagen om statliga identitetshandlingar. Eftersom utfärdandet av den statliga elegitimationen ska följa processen för utfärdande av det statliga identitetskortet och ske i ett samordnat förfarande menar vi att utfärdandet av e-legitimationen i huvudsak bör omfattas av samma regelsystem som gäller för det fysiska kortet.

En gemensam reglering underlättar också för utfärdaren som då endast behöver tillämpa ett och samma regelverk. Regler kring den statliga e-legitimationen bör därför tas in i den nya lagen om statliga identitetshandlingar. Genom detta undviks onödig dubbelreglering eftersom endast de bestämmelser som specifikt gäller för e-legitimationen, och som avviker från vad som gäller för det fysiska idkortet, behöver föras in i lagen.

Ett skäl som skulle kunna anföras emot en sådan lösning är att det inte nu går att förutse om den statliga e-legitimationen i framtiden kan komma att finnas på andra bärare. En framtida utveckling av den statliga e-legitimationen skulle möjligen kunna underlättas av att regleringen inte är så tätt sammankopplad med regleringen av det statliga identitetskortet. Enligt vår mening torde dock innehållet i bestämmelserna sannolikt vid en sådan utveckling ändå behövas anpassas. Vi kan därför inte se att en eventuell framtida förändring av

16SOU 2017:114 s. 194.

hanteringen medför att vi nu inte bör föreslå att regleringen av elegitimationen inordnas i lagen om statliga identitetshandlingar.

I de följande avsnitten berör vi frågan om vilka bestämmelser om den statliga e-legitimationen som bör finnas i den nya lagen om statliga identitetshandlingar.

12.7. Personer som kan få en statlig e-legitimation

Utredningens förslag: En statlig e-legitimation kan utfärdas till

en person som har fyllt 13 år.

Som anges i avsnitt 12.4 ska den statliga e-legitimationen kunna utfärdas till svenska medborgare och personer som är folkbokförda i Sverige. I det förslag till lag som Utredningen om effektiv styrning av nationella digitala tjänster lämnat finns en bestämmelse om att den statliga e-legitimationen ska kunna utfärdas till den personkretsen. Som en följd av att den statliga e-legitimationen ska regleras genom bestämmelserna i lagen om statliga identitetshandlingar behöver några särskilda bestämmelser om vem som kan få e-legitimationen inte införas. Detta kommer i stället att framgå genom de bestämmelser som anger vem som kan få ett statligt identitetskort.

Någon åldersgräns för att få den statliga e-legitimationen har inte föreslagits av Utredningen om effektiv styrning av nationella digitala tjänster. Vi har i avsnitt 10.2.4 föreslagit att det inte ska finnas någon åldersgräns för att få det statliga identitetskortet. Det bör dock övervägas om en åldersgräns för den statliga e-legitimationen ska införas.

I den utredning som föregick införandet av identitetskort för folkbokförda i Sverige angavs att behovet av det id-kortet var kopplat till behovet av att kunna utöva sin rättshandlingsförmåga. Idkortsutredningen föreslog med hänvisning till en bestämmelse i 9 kap. 3 § föräldrabalken, som innebär att den som har fyllt 16 år själv får råda över vad han eller hon förvärvat genom eget arbete, att personer som fyllt 16 år skulle kunna få id-kortet.17 Åldersgränsen kom dock att sättas till 13 år. Även behovet av den statliga e-legitimationen kan kopplas till den rättsliga handlingsförmågan. Förutom den situation som Id-kortsutredningen hänvisade till finns det

17SOU 2007:100 s. 104.

även andra situationer i vilka underåriga tillerkänns viss rättshandlingsförmåga utan att det föreskrivs någon nedre åldersgräns. Exempel på en sådan situation är det som föreskrivs i 9 kap. 1 § föräldrabalken om underårigs rätt att råda över egendom på grund av villkor vid förvärv genom gåva m.m. Underåriga kan alltså i vissa fall ha behov av en e-legitimation. Samtidigt måste det beaktas att den underårige bör ha uppnått en sådan mognad att han eller hon kan hantera en e-legitimation på ett säkert sätt. Den e-legitimation som i dag finns på identitetskort för folkbokförda i Sverige utfärdas till samma personkrets som kan få id-kortet, dvs. till personer som har fyllt 13 år. Åldersgränsen för BankID bestäms av de utfärdande bankerna men normalt utfärdas den till personer från 13 eller 18 års ålder.18 Det har inte framkommit några synpunkter på åldersgränsen för den e-legitimation som finns på identitetskort för folkbokförda i Sverige. Enligt vår bedömning utgör den en lämpligt avvägd åldersgräns med beaktande av de behov och risker som finns. Den statliga e-legitimationen bör därför kunna utfärdas till personer som har fyllt 13 år.

Eftersom utfärdandet av den statliga e-legitimationen ska följa processen för utfärdande av det statliga identitetskortet kommer det att krävas medgivande från vårdnadshavare om ansökan görs av sökande som är under 18 år. Det innebär att vårdnadshavarna har möjlighet att välja att endast medge ansökan om id-kort för det fall dessa anser att den underårige i något fall inte uppnått den mognad som krävs för att hantera e-legitimationen på ett omsorgsfullt sätt.

12.8. Tillitsnivå

Utredningens förslag: Den statliga e-legitimationen ska utfärdas

på den högsta tillitsnivån enligt tillitsramverket i lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Den ska utformas enligt de tekniska specifikationerna i den lagen.

18 www.bankid.com/om-bankid/privatpersoner-som-kan-fa-bankid. Hämtad 2019-02-12.

I den av Utredningen om effektiv styrning av nationella digitala tjänster föreslagna lagen anges att en statlig e-legitimation ska utfärdas på den högsta svenska tillitsnivån enligt tillitsramverket i den av utredningen föreslagna lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Den ska vidare utformas enligt de tekniska specifikationerna i samma lag. Det tillitsramverk som avses är det som i dag benämns tillitsramverket för Svensk e-legitimation och som förvaltas av Myndigheten för digital förvaltning.19 Utredningen har föreslagit att tillitsramverket ska författningsregleras.

Den föreslagna bestämmelsen innebär att den utfärdande myndigheten ska följa de krav som tillitsramverket ställer upp för den högsta nivån, inte bara när det gäller den tekniska säkerheten i e-legitimationen utan även när det gäller informationssäkerhet samt fysisk, administrativ och personorienterad säkerhet. I tillitsramverket finns också ytterligare krav beträffande utfärdandeprocessen, spärrtjänst och tillhandahållande av elektronisk identitetskontroll vid verifiering av användarens identitet.

Som anges i avsnitt 12.3 ska den statliga e-legitimationen utfärdas på den högsta tillitsnivån. Det är inte lämpligt att i lagen specificera vad det innebär eftersom tillitsnivåerna ständigt utvecklas. Bedömningen av hur tillitsnivåerna ska beskrivas bör i stället, som också Utredningen om effektiv styrning av nationella digitala tjänster har anfört, vara en fråga för Myndigheten för digital förvaltning som utvecklar och förvaltar tillitsramverket. Det är däremot lämpligt att i lagen om statliga identitetshandlingar föra in en bestämmelse motsvarande den som Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit. Skulle det visa sig att den lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling inte införs måste bestämmelsen anpassas till det som i stället kommer att gälla. Om nuvarande ordning ska upprätthållas, dvs. utan reglering av tillitsramverket, kan då en lämplig lösning vara att direkt i bestämmelsen hänvisa till det tillitsramverk som förvaltas av Myndigheten för digital förvaltning. Ett annat alternativ skulle kunna vara att i stället föreskriva att den statliga e-legitimationen ska utfärdas på den högsta tillitsnivån enligt eIDAS-förordningen.

19 Myndigheten för digital förvaltning Tillitsramverk för Svensk e-legitimation ärendenr 2018-158.

Tillitsramverket är framtaget utifrån den nu rådande situationen på marknaden för elektronisk identifiering. Viss anpassning av tillitsramverket kan därför behöva göras inför att den statliga e-legitimationen ska börja utfärdas. Som exempel kan nämnas att tillitsramverket bygger på att ett avtal ingås mellan användaren och utfärdaren om utfärdande av e-legitimationen. Utfärdande av den statliga e-legitimationen kommer däremot att ske i form av myndighetsbeslut. Myndigheten för digital förvaltning bör därför göra en översyn av tillitsramverket och göra de anpassningar som införandet av en statlig e-legitimation föranleder med beaktande av de internationella standarder som tillitsramverket baseras på.

12.9. Elektronisk underskrift

Utredningens förslag: Den statliga e-legitimationen ska kunna

användas för att skapa en avancerad elektronisk underskrift enligt eIDAS-förordningen.

Som framgår av avsnitt 5.9 fyller e-legitimationen även en viktig funktion för framställande av elektroniska underskrifter. En mycket stor andel av de förlitande aktörerna i såväl offentlig som privat sektor använder sig av e-legitimationens funktion för e-underskrift i sina digitala tjänster. Statistik från E-legitimationsnämnden visar att 40 procent av de tillfrågade myndigheterna, kommunerna och landstingen har digitala tjänster som användaren kan skriva under i. Av de tillfrågade som hade sådana digitala tjänster, hade 30 procent anskaffat en fristående underskriftstjänst för hantering av e-underskrifter via det indirekta förfarande som beskrivs översiktligt i avsnitt 5.9.20 Majoriteten hanterar således fortsatt e-underskrifter i sina e-tjänster via det direkta förfarandet där ett särskilt underskriftscertifikat på e-legitimationen används för att framställa e-underskriften.

En statlig e-legitimation som inte kan framställa en e-underskrift skulle således inte möta de behov och förväntningar som finns. Det är därför rimligt att uppställa krav på att den statliga e-legitimationen

20 E-legitimationsnämnden Resultat från e-legitimationsenkäten 2017 2017-09-11.

bör utformas på ett sådant sätt att den även kan användas för att framställa e-underskrifter.

Frågan är då vidare vilken nivå e-underskriften ska uppnå. Som framgår av avsnitt 5.9 görs det i eIDAS-förordningen en uppdelning i avancerade och kvalificerade elektroniska underskrifter. Det finns i dag inga författningsreglerade krav på användning av kvalificerade elektroniska underskrifter i svensk rätt. De formkrav som finns tar antingen sikte på avancerade elektroniska underskrifter eller elektroniska underskrifter i mer allmän bemärkelse utan att nivån specificeras (se avsnitt 5.9). Det finns inte heller några aktiva svenska utfärdare av kvalificerade elektroniska certifikat för att framställa kvalificerade elektroniska underskrifter.21 Sett till svenska e-tjänster sträcker sig därmed inte behoven av elektronisk underskrift i dagsläget rimligtvis längre än till nivån avancerad elektronisk underskrift. Utgångspunkten bör därför vara att den statliga e-legitimationen i vart fall ska leva upp till de krav som ställs i eIDAS-förordningen på avancerade elektroniska underskrifter.

Det finns dock vissa skäl som talar för att den e-underskrift som ska kunna framställas ändå bör uppfylla den högre nivån. Inom EU är kvalificerade elektroniska underskrifter vanligt förekommande. Om den statliga e-legitimationen även uppfyller de krav som ställs på framställande av kvalificerade elektroniska underskrifter möjliggörs elektronisk underskrift i sådana utländska e-tjänster. Både den finska och den estniska statliga e-legitimationen uppfyller kraven för kvalificerade elektroniska underskrifter.22

För att utfärda kvalificerade elektroniska certifikat krävs att utfärdaren beviljas status som kvalificerad tillhandahållare av betrodda tjänster av den nationella tillsynsmyndigheten (artikel 20 och 21 i eIDAS-förordningen). Den kvalificerade tillhandahållaren av betrodda tjänster står därefter under tillsyn av den nationella tillsynsmyndigheten, Post- och telestyrelsen, och ska bl.a. löpande genomgå förnyade bedömningar. Som framgår av avsnitt 5.9 ställs även särskilda krav på de tekniska egenskaperna för framställning av kvalificerade elektroniska underskrifter.

21 Europeiska unionens eIDAS Trusted list https://webgate.ec.europa.eu/tl-browser/#/ Hämtad 2019-02-12. 22 Europeiska unionens eIDAS Trusted list https://webgate.ec.europa.eu/tl-browser/#/ Hämtad 2019-02-12.

Om Polismyndigheten som utfärdare av den statliga e-legitimationen blir en kvalificerad tillhandahållare av betrodda tjänster och står under tillsyn och krav på löpande revision innebär det en tillkommande kostnad. Även kostnaden för varje enskild e-legitimation ökar eftersom den behöver uppfylla särskilda tekniska krav.

Mot bakgrund av den nuvarande behovsbilden när det gäller elektroniska underskrifter i svenska e-tjänster är det enligt vår mening svårt att motivera den ökade komplexitet och kostnad som följer av kraven på särskilda tekniska och säkerhetsmässiga egenskaper i elegitimationen för att kunna framställa kvalificerade elektroniska underskrifter.

Ett mer kostnadseffektivt alternativ kan i stället vara att myndigheten vid särskilt behov kan utfärda den statliga e-legitimationen med ett kvalificerat elektroniskt certifikat och anordning för skapande av kvalificerade elektroniska underskrifter. Då kan en kvalificerad elektronisk underskrift vid användning av utländska digitala tjänster tillhandahållas de personer och företag som har behov av det, utan att det orsakar onödiga kostnader för utfärdande av majoriteten av e-legitimationerna. En fördjupad analys vid utvecklingen av den statliga e-legitimationen kan dock visa att kostnaden för att förse samtliga e-legitimationer med förmåga att framställa kvalificerade elektroniska underskrifter är så pass låg att det ändå kan vara samhällsekonomiskt motiverat trots den nuvarande behovsbilden.

Vi föreslår mot denna bakgrund att det uppställs ett krav på att den statliga e-legitimationen ska kunna användas för att skapa en avancerad elektronisk underskrift enligt eIDAS-förordningen. Det är dock lämpligt att Polismyndigheten i enlighet med vad vi anfört ovan utreder förutsättningarna för att utfärda en statlig e-legitimation som kan användas för att framställa en kvalificerad e-underskrift.

Det är viktigt att den terminologi som används i den nationella regleringen följer begreppsutvecklingen inom EU och att e-underskriften uppfyller de krav som vid var tid uppställs i eIDAS-förordningen. Hänvisningen till eIDAS-förordningen bör därför göras dynamisk vilket innebär att den avser förordningen i dess vid varje tidpunkt gällande lydelse.

12.10. Den statliga e-legitimationens innehåll

Utredningens förslag: Regeringen eller den myndighet som reger-

ingen bestämmer ska kunna meddela föreskrifter om vilka uppgifter som den statliga e-legitimationen ska innehålla.

Den statliga e-legitimationen ska enligt det förslag till lag som Utredningen om effektiv styrning av nationella digitala tjänster lämnat innehålla uppgift om innehavarens nuvarande efternamn och förnamn, födelsedatum samt personnummer. Detta är uppgifter som, enligt minimikrav som gäller enligt en genomförandeförordning till eIDAS-förordningen23, ska finnas vid gränsöverskridande identifiering. Eftersom syftet är att den statliga e-legitimationen ska kunna anmälas för användning inom EU enligt eIDAS-förordningen är det nödvändigt att den innehåller de uppgifter som krävs enligt det regelverket.

De flesta personer som kommer att kunna få en statlig e-legitimation har ett personnummer. Eftersom e-legitimationen ska kunna utfärdas till alla svenska medborgare finns det dock ett behov av att den även innehåller samordningsnummer i vissa fall. Svenska medborgare som är födda utomlands och som aldrig har varit folkbokförda i Sverige har nämligen inte något personnummer. Den statliga e-legitimationen måste därför utfärdas med samordningsnummer i stället för personnummer för dessa personer.

Enligt vår bedömning är det dock inte nödvändigt att i lag reglera e-legitimationens innehåll. För det fall det uppstår behov av att uppställa krav på e-legitimationens innehåll bör detta kunna göras genom föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.

23 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

12.11. Ansökningsförfarandet

Utredningens förslag: En statlig e-legitimation ska utfärdas efter

ansökan. Ansökningsförfarandet ska följa processen för ansökan om statligt identitetskort.

Av tillitsramverket följer att en e-legitimation får utfärdas endast på begäran av sökanden eller genom annat likvärdigt acceptförfarande och först sedan sökanden har uppmärksammats på villkoren för utfärdandet och det ansvar som kan komma att vila på sökanden. Syftet med att utfärdandet ska ske på sökandens initiativ är att motverka att någon tilldelas en e-legitimation per automatik utan att det står klart för personen att så sker. Mot den bakgrunden anser vi att det i lagen om statliga identitetshandlingar bör införas ett krav om att utfärdande endast får ske efter ansökan.

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit bestämmelser som innehåller krav på den ansökan som ska göras. Det föreskrivs bl.a. att sökanden ska inställa sig personligen och styrka sin identitet. Att sökanden ska identifieras vid ett personligt besök följer av de krav som ställs enligt tillitsramverket. Där anges att utfärdaren ska kontrollera sökandens identitet vid ett personligt besök, på likvärdigt sätt som vid utgivning av en fullgod identitetshandling. I den vägledning24 som kompletterar tillitsramverket anges att kravet innebär att det förväntas att sökanden styrker sin identitet med en fullgod identitetshandling som han eller hon redan innehar. De alternativa sätt som utfärdare av fysiska identitetshandlingar tillämpar för att identifiera personer som saknar en fullgod identitetshandling bör i normalfallet inte tillämpas. Saknas fullgod identitetshandling bör i stället sökanden skaffa en sådan innan e-legitimationen utfärdas.

Vi föreslår att utfärdande av den statliga e-legitimationen ska följa processen för utfärdande av det statliga identitetskortet. Lagen om statliga identitetshandlingar kommer enligt vårt förslag att innehålla krav på personlig inställelse och styrkande av identiteten. Om sökanden inte har en statlig fysisk identitetshandling föreslår vi att identiteten ska kunna styrkas på andra sätt. Bedömningen i vägledningen

24 E-legitimationsnämndens Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation version 2018-02-01.

att sådana alternativa sätt att identifiera sig normalt inte ska tillämpas vid utfärdande av e-legitimation utan att sökanden normalt bör skaffa en identitetshandling innan en e-legitimation utfärdas är inte relevant i den situation som nu är aktuell. Skrivningen torde handla om situationer där det inte är samma aktör som utfärdar identitetshandlingen och e-legitimationen. Eftersom utfärdandet av den statliga e-legitimationen ska göras i samma förfarande som utfärdandet av det statliga identitetskortet åstadkoms den säkerhet som är syftet med skrivningen i vägledningen. Det gäller även den e-legitimation som i dag finns på identitetskort för folkbokförda i Sverige. Det innebär att även alternativa sätt att styrka identiteten tillämpas vid utfärdande av den e-legitimationen. Vi bedömer att identitetskontrollen kommer att uppnå den säkerhet som krävs enligt tillitsramverket.

Som framgått ovan uppställer alltså tillitsramverket krav på att utfärdaren ska kontrollera sökandens identitet vid ett personligt besök, på likvärdigt sätt som vid utgivning av en fullgod identitetshandling. Vi har i avsnitt 10.2.7 föreslagit att personer som på grund av sjukdom, funktionsnedsättning eller hög ålder inte kan ta sig till den utfärdande myndigheten under vissa förutsättningar ska kunna göra en ansökan om statligt identitetskort genom bud. Dessa personer kommer alltså inte själva besöka den utfärdande myndigheten.

Det är enligt vår mening av stor vikt att staten tar ansvar för att se till att de som har behov av en e-legitimation ska kunna få en statlig e-legitimation utfärdad. Det är sannolikt så att personer som på grund av svårighet att röra sig utanför hemmet eller vårdinrättningen har störst behov att ta del av samhällets tjänster digitalt med hjälp av e-legitimation. Det kan t.ex. gälla beställning av medicin och andra varor på internet, bankärenden eller ärenden hos Försäkringskassan och Skatteverket.

Även om de personer det nu är fråga om inte själva kommer att inställa sig hos den utfärdande myndigheten har vi gjort bedömningen att det förfarande vi föreslår i avsnitt 10.2.7 uppnår en sådan säkerhet att ett statligt identitetskort ska kunna utfärdas. Förfarandet innebär bl.a. att budet kommer att inställa sig personligen i samband med att ansökan lämnas in varvid dennes identitet ska kontrolleras. Sökandens identitet kontrolleras bl.a. genom granskning av den identitetshandling som budet visar upp och de handlingar som bifogas ansökan.

Tillitsramverkets krav på identitetskontroll vid personligt besök på likvärdigt sätt som vid utgivning av en identitetshandling bör enligt vår bedömning tolkas mot bakgrund av vad som anges i genomförandeförordningen till eIDAS-förordningen.25 När det gäller styrkande och kontroll av identitet anges i 2.1.2 i bilagan att för att uppfylla den högsta tillitsnivån enligt eIDAS-förordningen ska samma förfaranden som används på nationell nivå i medlemsstaten av den enhet som ansvarar för registreringen för att erhålla ett erkänt fotografiskt eller biometriskt identifieringsbevis tillämpas. En ansökan genom bud kan därmed enligt vår bedömning godtas enligt genomförandeförordningen eftersom det sker enligt samma förfarande som vid utfärdande av en fullgod identitetshandling. Tillitsramverket bör tolkas på samma sätt som genomförandeförordningen. Även de personer som gör ansökan genom bud bör därför kunna få en statlig elegitimation utfärdad. Det kan dock övervägas om en justering bör göras i tillitsramverket och den tillhörande vägledningen för att förtydliga att det förfarande vi föreslår är godkänt enligt ramverket.

Utfärdande av den statliga e-legitimationen ska alltså följa processen för utfärdande av det statliga identitetskortet. Några särskilda bestämmelser om ansökan om en statlig e-legitimation är mot bakgrund av vad som anförts ovan inte nödvändiga. I lagen om statliga identitetshandlingar bör i stället införas en bestämmelse om att det som anges om ansökan om identitetskort gäller både för en ansökan om statligt identitetskort och för en ansökan om statlig e-legitimation. De övriga krav som ställs enligt tillitsramverket, som t.ex. kontroll mot ett officiellt register, måste naturligtvis också beaktas vid ansökan. Det följer av de bestämmelser vi föreslår i avsnitt 12.8.

25 Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

12.12. Utlämnande

Utredningens bedömning: En statlig e-legitimation ska lämnas

ut enligt den process som gäller för statligt identitetskort.

En e-legitimation på högsta tillitsnivån ska enligt tillitsramverket tillhandahållas vid ett personligt besök efter en identitetskontroll som motsvarar den som görs vid utgivning av en fullgod identitetshandling. Vidare anges att den kod som ska användas för att aktivera elegitimationen av säkerhetsskäl ska tillhandahållas separat från själva identitetshandlingen.

Även utlämnandet av den statliga e-legitimationen kommer att följa processen för det statliga identitetskortet. Lagen om statliga identitetshandlingar kommer enligt vårt förslag att innehålla krav på personlig inställelse och bestämmelser om styrkande av identitet. Genom dessa bestämmelser uppnås den säkerhet som krävs enligt tillitsramverket. Några särskilda bestämmelser om utlämnande av en statlig e-legitimation bedömer vi därför inte är nödvändiga. Att även tillitsramverkets krav på att koden till e-legitimationen inte ska lämnas ut vid samma förfarande som utlämnande av själva handlingen ska följas, framgår redan av vårt förslag i avsnitt 12.8.

12.13. Föreskrifter om användning av den statliga e-legitimationen

Utredningens förslag: Regeringen eller den myndighet som reger-

ingen bestämmer ska få meddela föreskrifter om villkor för när och hur den statliga e-legitimationen får användas.

Genom att använda sig av den statliga e-legitimationen möjliggörs ett helt elektroniskt ansökningsförfarande för andra utfärdares elegitimationer på de tillitsnivåer det är tillåtet. Genom införandet av en statlig e-legitimation på den högsta tillitsnivån som utfärdas av en myndighet efter samma säkra process som det statliga identitetskortet skapas förutsättningar även för andra aktörer att kunna lita på identitetshandlingen. För att den statliga e-legitimationen ska kunna an-

vändas måste det etableras en relation mellan den som behöver kontrollera innehavarens identitet (den förlitande aktören) och utfärdaren. Detta krävs eftersom utfärdaren vid varje användning under identitetshandlingens hela giltighetstid måste utföra en identitetskontroll.

Även om avsikten är att den statliga e-legitimationen ska kunna användas inom stora delar av samhället bedömer vi att det finns ett behov av att kunna meddela föreskrifter om villkor avseende i vilka situationer eller hos vilka aktörer den statliga e-legitimationen ska kunna användas. Det kan t.ex. behöva regleras vilka krav som ska ställas för att en aktör ska få använda identifiering med den statliga e-legitimationen i sin e-tjänst. Sådana villkor kan exempelvis behöva ställas upp för att säkerställa att den statliga e-legitimationen inte kan användas i oseriösa sammanhang. Regeringen eller den myndighet regeringen bestämmer bör därför få meddela föreskrifter om villkor för när den statliga e-legitimationen får användas.

Syftet är att den statliga e-legitimationen ska kunna användas för att identifiera användare i olika e-tjänster hos både myndigheter och privata aktörer. Som anges i avsnitt 12.3 bör den även kunna användas vid s.k. id-växling, dvs. vid identifiering som görs vid utfärdande av en annan e-legitimation. På så sätt blir även utfärdandet av den andra e-legitimationen säkrare. Det underlättar också för utfärdaren eftersom denne i många fall annars skulle behöva utföra en egen grundidentifiering med fysisk identitetskontroll.

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit att det i lag ska regleras att den statliga e-legitimationen ska få användas vid identifiering som sker vid utfärdande av en annan e-legitimation.26 Vi bedömer dock inte att det är nödvändigt att reglera en skyldighet för den utfärdande myndigheten att tillåta sådan användning i lag. Det finns inte något förbud mot sådan användning. Om någon reglering inte införs gäller därför att den statliga e-legitimationen får användas i dessa sammanhang. För det fall det framöver trots allt finns behov av en författningsreglering bör en sådan bestämmelse kunna meddelas i förordning.

Utredningen om effektiv styrning av nationella digitala tjänster har även föreslagit att det i lag ska regleras att myndigheter ska erkänna identifiering med den statliga e-legitimationen. Utredningen

26SOU 2017:114 s. 202 ff.

anför som skäl att den statliga e-legitimationen ska vara en grundbult i den offentliga förvaltningen.27 Även vi är av uppfattningen att den statliga e-legitimationen ska kunna användas vid identifiering i e-tjänster i den offentliga sektorn. Vi utgår ifrån att myndigheterna i samarbete med den utfärdande myndigheten ser till att möjliggöra en sådan identifiering. Någon lagreglerad skyldighet ser vi dock för närvarande inte behov av att införa. För det fall det framöver trots allt uppkommer ett behov av styrning i frågan bedömer vi att det kan ske på annat sätt.

12.14. Giltighetstid

Utredningens förslag: En statlig e-legitimation ska ha samma

giltighetstid som det statliga identitetskort den finns på.

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit att en bestämmelse om att den statliga e-legitimationen ska ha samma giltighetstid som den fysiska identitetshandling som den finns på ska tas in i lag. Giltighetstiden för e-legitimationer ska enligt tillitsramverket begränsas med hänsyn till handlingens säkerhetsegenskaper och riskerna för missbruk. Giltighetstiden får vara högst fem år. I den vägledning som kompletterar tillitsramverket anges att det för de typer av e-legitimationer vars koder löper större risk att röjas till obehöriga är rimligt att begränsa giltighetstiden till kortare tid än fem år. Det rör sig framför allt om e-legitimationer som innebär enfaktorsautentisering med personlig kod eller som inte baseras på en personlig säkerhetsmodul.

Den statliga e-legitimationen innebär autentisering med hjälp av två faktorer, dels e-legitimationen på id-kortet (den personliga säkerhetsmodulen), dels den personliga koden. Vi bedömer därför att det normalt inte finns anledning att begränsa giltighetstiden till kortare tid än fem år. Att e-legitimationen är giltig i fem år innebär också att den får samma giltighetstid som det statliga identitetskort den finns på vilket är en klar fördel.

27 Ibid. s. 201.

Vi har i avsnitt 11.4.4 föreslagit att identitetskort som utfärdas för sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck och sökande som kan antas komma att förlora eller befrias från sitt svenska medborgarskap ska ha kortare giltighetstid än fem år. Även för dessa sökande bör den statliga e-legitimationen ges samma giltighetstid som id-kortet.

En bestämmelse om att den statliga e-legitimationen ska ha samma giltighetstid som det identitetskort den finns på bör därför införas i den nya lagen om statliga identitetshandlingar.

12.15. Återkallelse

Utredningens förslag: Den statliga e-legitimationen ska upphöra

att gälla om det statliga identitetskort som den finns på återkallas.

Den statliga e-legitimationen ska dessutom återkallas av Polismyndigheten om det är nödvändigt av säkerhetsskäl.

Om det är lämpligt med hänsyn till omständigheterna kan återkallelsen begränsas till viss bestämd tid, dock högst sex månader. Återkallelsen ska hävas så snart de omständigheter som påkallat den har upphört.

Utredningen om effektiv styrning av nationella digitala tjänster har lämnat förslag på bestämmelser som reglerar under vilka förutsättningar den statliga e-legitimationen ska spärras. Enligt förslaget ska e-legitimationen spärras om det fanns hinder mot att utfärda den vid tiden för utfärdandet och hindret fortfarande består, någon väsentlig uppgift som framgår av e-legitimationen är felaktig och inte längre gäller eller någon annan förfogar över e-legitimationen. Förutsättningarna för att spärra e-legitimationen motsvarar i huvudsak de förutsättningar vi föreslagit för återkallelse av det statliga identitetskortet.

Behovet av att återkalla e-legitimationen torde oftast sammanfalla med behovet av att återkalla det fysiska id-kortet. Eftersom det med våra förslag inte är möjligt att inneha en statlig e-legitimation utan att samtidigt ha ett giltigt statligt identitetskort, ska e-legitimationen upphöra att gälla om det statliga identitetskortet återkallas. En bestämmelse om detta bör införas i lagen om statliga identitetshandlingar.