Identitetsstöld - brott eller bara dåligt dataskydd?
Efter flera års utredningar ska Justitiedepartementet föreslå att kriminalisera identitetsstöld, skriver Dagens juridik. Hittills har identitetsstöldsbrotten täckts av bedrägeri, dataintrång, urkundsförfalskning och liknande lagar. Dataskydd.net kan observera att nykriminalisering är populärare än förebyggande åtgärder i digitala miljöer, vilket både skadar individens intressen och riskerar att leda till långsammare och ineffektivare förbättringar av datasäkerheten.
I likhet med åklagaren i ett rättsfall som rörde en felaktigt utfärdad e-legitimation, anser Dataskydd.net att man bör begränsa mängden information om privatpersoner som är tillgänglig att köpa från svenska myndigheter. Sättet myndigheterna finansierar sin registerverksamhet idag skadar enskildas intressen på en rad områden, från att individen utsätts för telefonförsäljning mot sin vilja till att individens bevis för vem den är kan komma på villovägar. Vad gäller individers kontakter med företag, särskilt finansiella verksamheter som banker och långivare, är det idag så att individen bär risken för att den har identifierats korrekt. Man måste kunna bevisa att man inte efterfrågat ett lån för att inte behöva betala tillbaka, istället för att banken ska bevisa att man har efterfrågat lånet för att få kräva en på pengar.
Det finns en risk att regeringen förlitar sig för mycket på straffrätt för att komma till bukt med de problem som privatpersoner drabbas av i digitala miljöer. Förvaltare av stora identitetshanteringssystem, som banker och myndigheter, har idag få förpliktelser mot enskilda. När det gäller dataskydd och identifiering ligger risken för att dessa sker på bästa möjliga sätt ofta på den enskilde själv, trots att en enskild har mycket få möjligheter att säkerställa sig om eller visa att en bank eller en myndighet sköter sina system på bästa möjliga sätt.
I SOU 2013:85, Stärkt straffrättsligt skydd för egendom, föreslås kriminalisering av identitetsstöld, med den tillhörande problemformulering att det är enkelt att med mycket lite information om en enskild vidta finansiella åtgärder i dess namn (t ex ta lån). Utredningen har inte utrett huruvida problemet kan vara att banker och andra finansiella institutioner inte bär ett risken för att en person är korrekt identifierad (det vill säga - det är den enskilde som måste bevisa att banken identifierat denne fel, istället för att banken ska bevisa att den identifierat en enskild rätt). Dataskydd.net menar att man av respekt för individens rätt till dataskydd bör ålägga de aktörer som vidtar åtgärder mot individer baserat på individens identitet, och som i likhet med en bank är i uppenbart bättre ställning än individen att verifiera identiteten, bör åläggas en skyldighet att göra detta.
I SOU 2015:77 om fakturabedrägerier konstateras att bluffakturor redan i stor utsträckning går att åtgärda, men att företagare och enskilda ofta inte är medvetna om enkelheten i att bestrida fakturor. Därför föreslås informationsåtgärder istället för nykriminalisering. I SOU 2015:39 om en ny myndighetsdatalag föreslås att myndigheter ska begränsa användningen av personnummer och samordningsnummer vid upprättande av myndighetsbeslut, så att besluten fortsatt kan täckas av offentlighetsprincipen utan att det utgör en risk för identitetskapningar för individen.
Identitetskapningar kan vara ett av de områden där det är allra tydligast att brottsförebyggande åtgärder i form av ändrad lagstiftning kring myndigheters hantering av personuppgifter och överläggande av bevisbördan för individers korrekta identitet på de finansiella institutionerna vore bättre än nykriminalisering.