Hur värdefullt är ett personnummer?

2017-06-20

Personnummer har i Sverige en stark förankring i vårt samhälle, det är direkt kopplat till dig som individ och det är en förutsättning för att kunna använda många av de tjänster som vi tar för givet idag.

Carl-Magnus Brandt
Carl-Magnus Brandt Specialist Säkerhet

Behandlingen av personnummer utan den registrerades samtycke sker redan idag med stöd av PUL men endast med specifika ändamål. Frågor som många ställer sig är om det kommer att förändras med GDPR?

Vad säger lagen idag?

I 22§ PUL kan vi läsa att personnummer eller samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller liknande beaktansvärt skäl. Alltså tre motiv till behandling utan samtycke. Lagen syftar då på att behovet av behandlingen utan samtycke ska motiveras med det behövs för att t ex möjliggöra en säker identifiering och tillämpas bl a inom polisens, Migrationsverkets och domstolarnas verksamhet.

Vad säger dataskyddsförordningen?

Dataskyddsförordningen har gett medlemsstaterna möjlighet att själva bestämma när nationella identifikationsnummer får behandlas i identifieringssyfte. Användandet ska endast tillämpas med iakttagande av lämpliga skyddsåtgärder. Vilka lämpliga skyddsåtgärder som här rekommenderas kommer jag återkomma till i ett senare blogginlägg.

Vad är utredningens förslag?

Förslaget är likvärdigt med nu gällande lagstiftning och det innebär att det även fortsättningsvis bör vara tillåtet att behandla personnummer utan samtycke under förutsättning att behandlingen motiveras med hänsyn till ändamålet, vikten av säker identifiering eller annat beaktansvärt skäl. Regeringen har dock möjlighet att tillföra ytterligare föreskrifter om behandling. Detta kan komma att regleras i sektorspecifik lagstiftning.

Sammanfattning

Bevisbördan, motiveringen och ansvaret åligger personuppgiftsansvarig eller personuppgiftsbiträdet vid behandling av personnummer utan samtycke. Definitionen av de ”lämpliga skyddsåtgärderna” är inte definierade och kraven för desamma antas inte bli höga eftersom det är upp till medlemsstaterna själva att bestämma om särskilda villkor ska införas.

Personnummer och samordningsnummer har inte bedömts som känsliga personuppgifter dock har de fått en liten särställning då medlemsstaterna själva får ta ställning till hur de nationellt vill göra.

I Sverige är just personnumret starkt förankrat till individen och en stor del av vårt välfärdssystem är uppbyggt på denna identifierare. Detta är en styrka men även en sårbarhet som vi kan se i trenden när det gäller ID-kapning, där just personnumret har varit en attackvektor i det initiala övertagandet av en annans identitet.

Med detta resonemang bör kanske försiktighetsprincipen tillämpas och ge personnumret det skydd som det förtjänar. Så för att svara på hur värdefullt ett personnummer är bör vi kanske först ställa oss frågan vad skulle innebära att förlora dem.