Rapport 2018-5

Tydligheten i det juridiska stödet och de rättsliga riskerna 73 4 Tydligheten i det juridiska stödet och de rättsliga riskerna Detta kapitel redogör för vilket rättsligt stöd det finns för att behandla personuppgifter på det sätt som krävs för att göra riskbaserade urval. EU:s dataskyddsförordning och några aspekter av sekretesslagstift- ningen behandlas också. Kapitlet tar också upp hur Rättsavdelningen på Försäkringskassan deltar i arbetet med riskbaserade kontroller. 4.1 Det rättsliga stödet för riskbaserat urval är otydligt En urvalsprofil kan innehålla personuppgifter, men den behöver inte göra det. För att kunna bygga modeller för riskbaserade kontroller använder sig Försäkringskassan dels av uppgifter från myndighetens socialförsäkringsregister (personregister), dels av uppgifter hämtade från databasen Store. Syftet med att använda personuppgifter är att beräkna vikter för hur olika personegenskaper samvarierar med risken att ett ärende är fel. Dessa vikter tillämpas därefter på en enskild per- son för att beräkna ett riskvärde för att ärendet innehåller någon typ av felaktighet. I Store lagras både uppgifter från enskilda ärenden och mer generella uppgifter om olika förmåner. Store används primärt för statistikändamål, men uppgifterna motsvarar i många fall de uppgifter som finns i socialförsäkringsregister. Datamängderna som används för att skapa urvalsprofiler utgörs alltså delvis av personuppgifter. Syftet med att behandla personuppgifterna är att göra kontroller. För att Försäkringskassan ska få behandla personuppgifter krävs att det finns rättsligt stöd för att göra det. Lag- stödet för myndighetens personuppgiftsbehandling finns i 114 kap. socialförsäkringsbalken. I lagen räknas upp för vilka ändamål som