Kakor på Försäkringskassan

På forsakringskassan.se använder vi kakor (cookies) för att webbplatsen ska fungera så bra som möjligt för dig.
Vi använder också kakor för webbanalys för att göra webbplatsen bättre.

Så här använder Försäkringskassan kakor

Godkänner du att vi också använder kakor för webbanalys?

Försäkringskassans logotyp
Logga in
Tänk på att...

Din webbläsare är av en äldre modell. Det innebär att du kanske inte kan använda alla funktioner på webbplatsen. Vi rekommenderar att du uppdaterar till en nyare version.

Behandling av personuppgifter

Försäkringskassan har många uppgifter om privatpersoner. När vi behandlar dina personuppgifter skyddas de av EU:s dataskyddsförordning och andra kompletterande regler.

Vad menas med behandling av personuppgifter?

Personuppgifter är all slags information som kan kopplas till dig, antingen direkt eller indirekt.

Hos Försäkringskassan kan till exempel personnummer, namn och bostadsadress vara personuppgifter som kan kopplas till dig direkt. Personuppgifter som kopplas till dig indirekt kan vara exempelvis foton, röntgenbilder, ett ärendes diarienummer eller hälsouppgifter.

I princip allt som går att göra med personuppgifter räknas som behandling av personuppgifter. Hos Försäkringskassan kan det till exempel vara att vi läser, samlar in, registrerar, lagrar, loggar, samkör eller skriver ut uppgifterna. Det gör vi bland annat när någon ansöker om ersättning, när vi tar fram officiell statistik och när någon söker jobb hos oss.

Försäkringskassan är personuppgiftsansvarig

Alla som behandlar personuppgifter har ett ansvar för att behandlingen sker lagligt, säkert och korrekt. Det kallas för att vara personuppgiftsansvarig.

Det är aldrig en fysisk person som är personuppgiftsansvarig, utan alltid en organisation, ett företag eller en myndighet. När vi behandlar dina personuppgifter är det alltså Försäkringskassan (organisationsnummer 202100-5521) som är personuppgiftsansvarig.

Vi måste alltid ha ett ändamål och en rättslig grund för att behandla personuppgifter

Försäkringskassan får bara behandla dina personuppgifter om det finns ett uttryckligt angivet ändamål för det. Dessutom behövs en så kallad rättslig grund. Det betyder att vi bara får behandla personuppgifter när vi behöver det för att utföra vårt uppdrag.

Det finns flera rättsliga grunder för vår behandling av personuppgifter, men de vanligaste är myndighetsutövning eller allmänt intresse.

Försäkringskassan ska arbeta med flera olika allmänna intressen enligt vår myndighetsinstruktion från regeringen (förordning 2009:1174). Vår rätt att behandla personuppgifter som gäller dessa allmänna intressen bestäms bland annat av

  • socialförsäkringsbalken, där kapitel 114 styr hur vi får behandla personuppgifter när vi utreder och beslutar om rätten till ersättningar
  • lagen om den officiella statistiken, där det står vilka behandlingar som är tillåtna när Försäkringskassan tar fram statistik.

Se vad socialförsäkringsbalken säger om behandling av personuppgifter (riksdagen.se)

I vår övriga verksamhet kan det till exempel bli aktuellt att behandla personuppgifter om anställda med stöd av kollektivavtalsregler. Ibland grundar sig behandlingen också i vår skyldighet att följa ett avtal som Försäkringskassan har ingått med någon.

I vissa sällsynta situationer kan Försäkringskassan behöva ditt samtycke för att få behandla dina personuppgifter. I de fallen ska du alltid få klar och tydlig information om vad du samtycker till, och du har rätt att när som helst återkalla samtycket.

Behandling av personuppgifter när du söker jobb hos Försäkringskassan

Försäkringskassans behandling av personuppgifter för officiell statistik

Behandling av personuppgifter vid ärenden om ersättning

Så behandlar vi känsliga personuppgifter

Dataskyddsförordningen skiljer mellan personuppgifter och känsliga personuppgifter. Enligt förordningen räknas det som en känslig personuppgift om uppgiften avslöjar en persons etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i en fackförening, hälsa, sexualliv, sexuella läggning, genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person (till exempel fingeravtryck).

Dataskyddsförordningen (eur-lex.europa.eu)

Känsliga personuppgifter har ett starkare skydd än andra personuppgifter. Därför är det som regel förbjudet att behandla känsliga personuppgifter, men det finns undantag. En grundläggande princip för all behandling av personuppgifter är att vi bara får behandla uppgifter som är nödvändiga i vår verksamhet. Det gäller också känsliga personuppgifter.

När Försäkringskassan behandlar känsliga personuppgifter handlar det framför allt om hälsa, eftersom vi utreder och beslutar om ersättning vid till exempel sjukdom och funktionsnedsättning. Men vi kan också behandla känsliga personuppgifter när någon söker jobb hos oss, och exempelvis delar med sig av känsliga personuppgifter i sin ansökan.

Vi kan begära in och lämna ut uppgifter till andra

Försäkringskassan har rätt att både ta del av och lämna ut uppgifter med stöd av olika rättsliga grunder. Men då måste vi alltid ta hänsyn till reglerna om dataskydd, lagstiftningen om sekretess och internationella regler.

 

Vi på Försäkringskassan har rätt att ta del av dina personuppgifter, men bara när det behövs för att vi ska kunna utföra vårt uppdrag. Det är bland annat att handlägga ärenden, rekrytera medarbetare eller ta fram statistik. Det är alltså behovet som avgör vilka personuppgifter som vi måste behandla.

 

Ibland anlitar Försäkringskassan externa aktörer för att behandla personuppgifter för vår räkning. De externa aktörerna blir då så kallade personuppgiftsbiträden åt oss. Ett exempel på personuppgiftsbiträde är leverantörer av it‑tjänster, såsom rekryteringsverktyg.

Vad som gäller för behandlingen och hur personuppgifterna skyddas bestämmer vi i ett så kallat personuppgiftsbiträdesavtal (pub-avtalet). Pub-avtalet reglerar även vilka möjligheter och begränsningar som finns när det gäller att anlita så kallade underbiträden.

 

Försäkringskassan lyder under offentlighetsprincipen. Det betyder att vi måste lämna ut dina personuppgifter, om personuppgifterna ingår i en allmän handling som någon begär att få ta del av. Vi lämnar däremot inte ut personuppgifter om de omfattas av sekretess enligt offentlighets- och sekretesslagen.

Så fungerar offentlighet och sekretess hos Försäkringskassan

 

Att föra över personuppgifter till ”tredje land” är att göra personuppgifterna tillgängliga för någon i ett land som ligger utanför EU och EES.

Hos Försäkringskassan kan det handla om att vi anlitar ett personuppgiftsbiträde i ett land utanför EU/EES, genom att vi lagrar personuppgifter i en molntjänst hos en leverantör som är baserad där. I så fall behandlar vi personuppgifterna enligt de skyddsregler som finns i dataskyddslagstiftningen.

Så länge sparar vi dina personuppgifter

Försäkringskassan har rätt att spara dina personuppgifter så länge vi behöver dem för att uppnå syftet med behandlingen.

Ofta måste vi också spara dina personuppgifter längre än så. Det beror på att en mycket stor del av Försäkringskassans information är så kallade allmänna handlingar, som i regel måste bevaras enligt bestämmelserna i arkivlagen. Alltså är vi nästan alltid skyldiga att spara personuppgifter för arkivering, även när vi inte längre behöver personuppgifterna i vår löpande verksamhet. Vi får bara radera allmänna handlingar om det finns särskilda föreskrifter om det.

Automatiserade beslut och profilering

På Försäkringskassan handläggs och beslutas många ärenden helt automatiserat, till exempel om föräldrapenning och ersättning för vab (tillfällig föräldrapenning).

  • Automatiserad handläggning innebär att ett datasystem handlägger ärenden utifrån inprogrammerade regler (algoritmer). Då skapar, handlägger och avslutar systemet ärendet utan att någon människa är med.
  • Automatiserade beslut är beslut som fattas på maskinell väg utan att en människa är delaktig i beslutsfattandet.

För att det ska vara möjligt med automatiserad handläggning och automatiserade beslut måste ansökan vara komplett, och alla kriterier för att få ersättningen ska vara uppfyllda. Om systemet av någon anledning inte kan komma fram till att alla kriterier för att få ersättning är uppfyllda, så fördelas ärendet i stället till en människa som handlägger och bedömer ärendet. Om handläggaren bedömer att kriterierna är uppfyllda, så kan den fortsatta handläggningen vara antingen manuell eller automatiserad.

 

Försäkringskassan gör kontroller som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.

Urvalet till en kontroll kan göras på många olika sätt. När vi gör urval med hjälp av riskprofiler behandlar vi personuppgifter i en större mängd ärenden för att identifiera vilka av ärendena som ska ingå i urvalet. Syftet är att ringa in personer eller ärenden som är relevanta ur ett visst perspektiv. Med hjälp av riskprofiler identifierar och värderar vi risker för felaktiga utbetalningar och bidragsbrott för att kunna styra kontrollerna till de ärenden där riskerna är störst.

När det gäller automatiserade beslut kan vi i vissa ärenden använda en riskprofil för att sortera ut till exempel ansökningshandlingar i ärenden som inte är lämpliga för automatiserad handläggning. De ärendena fördelas då till manuell handläggning i stället.

Vi tar med stöd av riskprofiler också fram urval för kontroller som görs i ett senare skede av handläggningen eller efter att vi har beslutat att bevilja en ersättning. Syftet är att förhindra felaktiga utbetalningar och bidragsbrott.

 

Försäkringskassan använder artificiell intelligens (AI) bland annat i vissa it-stöd som försäkringsutredare behöver i sin handläggning och inför beslut. Ett exempel är metodstöd för strukturerad analys av medicinska underlag (SAMU). AI används även för att tolka handskriven text i inskannade blanketter.

Försäkringskassan och AI

 

Vi följer hela tiden upp att våra it-system behandlar personuppgifter på ett säkert sätt och med hög kvalitet. Det gör vi bland annat genom att utföra tester och utveckla systemen när det behövs. Det innebär att vi hanterar personuppgifter.

Dina rättigheter enligt dataskyddslagstiftningen

När Försäkringskassan behandlar dina personuppgifter har du rättigheter gentemot Försäkringskassan enligt reglerna i dataskyddsförordningen. Om du lämnar in en begäran om att ta tillvara dina rättigheter, så kommer vi att ta ställning till den.

 

Du har nästan alltid rätt att ta del av de personuppgifter om dig som finns på Försäkringskassan. Men om några personuppgifter omfattas av sekretess, så kan du bli nekad att ta del av dem.

Om du begär att få ta del av personuppgifterna vi har av dig, så får du informationen i form av ett registerutdrag. Du som vill begära ett registerutdrag behöver fylla i en blankett:

9352 Begäran om information (registerutdrag) enligt EU:s dataskyddsförordning

Om du har en digital brevlåda så får du registerutdraget i den. Annars skickar vi ett registerutdrag på papper till din folkbokföringsadress.

 

Försäkringskassan är skyldiga att se till att de personuppgifter vi behandlar om dig är riktiga och uppdaterade. Om du tycker att personuppgifterna om dig är felaktiga eller ofullständiga, så kan du begära att få dem kompletterade eller rättade.

Du kan också begära att få personuppgifter raderade, men vi kan inte radera dina personuppgifter om de behövs för att Försäkringskassan ska kunna följa andra lagar, utföra en uppgift av allmänt intresse eller sköta myndighetens uppdrag. Vi kan inte heller radera personuppgifter om de är en del av en allmän handling. Det betyder att vi sällan kan radera personuppgifter.

I vissa fall kan du kräva att Försäkringskassan begränsar behandlingen av dina personuppgifter. Det betyder att vi markerar dina uppgifter, så att de i framtiden bara får behandlas för vissa avgränsade syften. Om du begär en sådan begränsning så kan du, åtminstone under en viss tid, hindra att Försäkringskassan använder uppgifterna till annat.

Du kan också hindra oss från att radera uppgifter, om du till exempel behöver dem för att kräva skadestånd.

 

Du har rätt att invända mot att Försäkringskassan behandlar dina personuppgifter i en specifik situation. Om vi inte kan visa att vi har avgörande berättigade skäl att fortsätta behandla uppgifterna, så måste vi upphöra med behandlingen.

 

Om en personuppgiftsansvarig behandlar personuppgifter om någon för att uppfylla ett avtal, så kan den personen i vissa fall få ut de personuppgifter som hen själv har lämnat för att använda dem på annat håll, till exempel hos en annan personuppgiftsansvarig. Samma sak gäller för personuppgifter som någon har lämnat med samtycke till behandling.

Rätten att flytta uppgifter är i praktiken begränsad på Försäkringskassan, eftersom vi i de allra flesta fall behandlar uppgifter utifrån andra rättsliga grunder än just avtal och samtycke.

 

När Försäkringskassan fattar helt automatiska beslut som kan ha rättsliga följder eller på liknande sätt påverkar dig i betydande grad, så ska du få information om det.

Helt automatiserade beslut innebär att en maskin beslutar utifrån de uppgifter som du har lämnat, utan att någon människa är inblandad alls.

Så här gör du för att ta tillvara dina rättigheter

Meddela oss vad du vill att vi ska göra med dina personuppgifter, till exempel komplettera, rätta, ändra eller radera dem. Beskriv också vilka uppgifter det gäller, och i vilket sammanhang de finns.

Du kan också begära information om automatiserade beslut.

När vi får din begäran är vi skyldiga att så snart som möjligt meddela dig vad vi kommer att göra med anledning av den.

 

Om Försäkringskassan i egenskap av personuppgiftsansvarig har fattat ett beslut som rör dina rättigheter, så kan du överklaga det till förvaltningsrätten. För att kunna överklaga behöver du be om ett skriftligt och överklagbart beslut från Försäkringskassan, om du inte redan har fått det.

 

Försäkringskassans dataskyddsombud övervakar att vi som myndighet följer EU:s dataskyddsförordning (GDPR) och annan dataskyddslagstiftning.

Dataskyddsombudet är också kontaktperson för dig som har frågor om personuppgifter.

Telefon: 08-786 90 00 (växel)
Postadress: 103 51 Stockholm
Mejl: dataskyddsombud@forsakringskassan.se

 

IMY är tillsynsmyndighet när det gäller behandling av personuppgifter. Du kan kontakta IMY om du vill lämna in ett tips eller ett klagomål för att du anser att Försäkringskassan har behandlat dina personuppgifter i strid med reglerna om dataskydd.

Integritetsskyddsmyndigheten.se (imy.se)

 

Om Försäkringskassan har behandlat dina personuppgifter i strid med EU:s dataskyddsförordning, den kompletterande dataskyddslagen eller andra författningar som kompletterar dataskyddsförordningen kan Försäkringskassan bli skyldig att ersätta dig för den skada och kränkning som den felaktiga personuppgiftsbehandlingen har orsakat.

Om du inte är nöjd – begära skadestånd av Försäkringskassan

Du kan även vända dig till Justitiekanslern med en begäran om skadestånd.

Justitiekanslern – begära skadestånd (jk.se)

Kontakta Försäkringskassan

Du kan kontakta oss på olika sätt om du har frågor om hur vi behandlar personuppgifter.

Du kan mejla oss om du har allmänna frågor om behandling av personuppgifter. Mejla inte personliga uppgifter eller frågor om ett ärende. Alla mejl blir allmän handling, vilket innebär att vem som helst kan begära att få ta del av innehållet.

Skicka allmänna frågor om behandlingen av personuppgifter via mejl

Telefon: 08-786 90 00 (växel)

Senast uppdaterad