English Till intranät

En registerlag för Inspektionen för socialförsäkringen

Diarienummer: DNR 83/2023

Remisställare:

Socialdepartementet
s.remissvar@regeringskansliet.se

Sammanfattning

  • IFAU uppfattar att en särskild registerlag underlättar ISF:s tillämpning av rådande rätt.
  • IFAU anser också att det är viktigt att ISF genom en registerlag ges förutsättningar att genomföra sitt uppdrag.
  • IFAU bedömer att föreliggande förslag till registerlag ger ISF tillräckliga förutsättningar att behandla personuppgifter avseende systemtillsyn och effektivitetsgranskning.

Specifika kommentarer

Omvärldsbevakning samt planering

I 12 § stipuleras att behandling av personuppgifter ska ske i projekt, där ramarna för projekten fastställs och görs tillgängliga för allmänheten i enlighet med 13 §. De båda paragraferna utgör en central del av lagförslagets samlade skyddsåtgärder. I 12 § undantas dock personuppgiftsbehandlingar för omvärlds­bevakning samt planering av ISF:s egen verksamhet från dessa krav. Givet undantagen är det naturligt att noga beskriva omfattning och karaktär på ISF:s arbete med omvärldsbevakning och planering. IFAU tycker att förarbetena inte är tillräckligt utförliga i detta avseende (avsnitt 3.5.2 samt 6.11). Även kopplat till 6 § (Ändamål) hade det varit klargörande att explicit diskutera omvärlds­bevakning och verksamhetsplanering.

I Avsnitt 3.5.2 samt 6.11 (sid. 84) ges vissa beskrivningar av ISF:s arbete med omvärldsbevakning samt planering av den egna verksamheten. Flera av de aktiviteter som nämns, såsom att läsa domar och beslut, samt användande av ”avidentifierade uppgifter” och statistik torde dock normalt sett inte falla inom registerlagens tillämpningsområde enligt 1 § (helt eller delvis automatiserad behandling och om personuppgifterna ska ingå i ett register). Hur betydelsefullt undantaget enligt föregående stycke faktiskt är för verksamheten skulle bli  tydligare om beskrivningen endast avsåg förekommande aktiviteter inom lagens tillämpningsområde.

Pseudonymiserade personuppgifter

IFAU anser, precis som promemorian, att behandling av personuppgifter som direkt kan hänföras till den registrerade är förenat med väsentligt större integritetsrisker än behandling av personuppgifter som endast genom kompletterande uppgifter kan kopplas till den registrerade (typiskt sett  pseudonymiserade personuppgifter). Ett sätt att ytterligare stärka integritetsskyddet vid ISF, utöver vad ges i lagförslaget, vore då att komplettera 13 §, så att eventuell behandling av identitetsangivna personuppgifter tydliggörs. 

Utlämnanden

IFAU saknar i avsnitt 6.6.3 en mer utförlig diskussion om för vilka sekundära ändamål ISF bör lämna ut personuppgifter när detta är tillåtet, men inte tvingande. Vi uppfattar att en sådan diskussion hade kunnat fungera som ett stöd för ISF. Vi uppfattar också att frågan torde ha särskild relevans då ISF behandlar identitetsangivna personuppgifter. 

I detta ärende har generaldirektör Maria Hemström Hemmingsson beslutat. Databasansvarig Helge Bennmarker och IT-strateg Jörgen Moen har varit föredragande