SEKRETESS OCH GDPR

OSL // PERSONUPPGIFTER // KÄNSLIGA UPPGIFTER // GRÄNSER

PRINCIP

Offentlig sektor hanterar samhällets känsligaste information

Myndigheter och kommunala förvaltningar hanterar information om enskilda personers hälsa, ekonomi, familjeförhållanden, brottslighet och sociala situation. Mycket av detta är skyddat av offentlighets- och sekretesslagen (OSL) och utgör känsliga personuppgifter enligt GDPR.

Att mata in sekretessbelagd eller känslig information i ett externt AI-system utan godkänt personuppgiftsbiträdesavtal kan vara ett brott mot OSL, GDPR eller båda.

SEKRETESSBELAGD INFORMATION: ALDRIG I EXTERNT AI-SYSTEM
UTAN GODKÄNT PERSONUPPGIFTSBITRÄDESAVTAL

ABSOLUTA GRÄNSER

Information som inte matas in i icke-godkänt AI-system

  • Socialtjänstuppgifter. Information om enskilda personers sociala situation, omhändertaganden, biståndsbeslut — sekretesskyddade och känsliga personuppgifter.
  • Hälso- och sjukvårdsuppgifter. Patientuppgifter, diagnoser, behandlingar — starkaste möjliga sekretessskydd.
  • Brottsuppgifter. Information som rör brott, misstankar, domar och påföljder om enskilda — känsliga personuppgifter.
  • Ekonomiuppgifter om enskilda. Inkomster, skulder, ekonomiskt bistånd — sekretesskyddat.
  • Uppgifter i pågående utredningar. Information i löpande ärenden som kan vara sekretessbelagda under handläggningstiden.

KÄNSLIGA PERSONUPPGIFTER: BARA I GODKÄNT SYSTEM MED PUB-AVTAL
TVEKA? FRÅGA DATASKYDDSOMBUDET

KRITISKT

GDPR I OFFENTLIG SEKTOR

Personuppgiftsbehandling och AI

GDPR gäller fullt ut i offentlig sektor — och i vissa avseenden med extra krav på känsliga personuppgifter. Vad det innebär för AI-användning:

  • Personuppgiftsbiträdesavtal krävs. Om du matar in personuppgifter i ett externt AI-verktyg är leverantören ett personuppgiftsbiträde. Det krävs ett godkänt PUB-avtal. Kontrollera med din dataskyddsansvarig.
  • Ändamålsbegränsning. Personuppgifter insamlade för ett syfte (t.ex. ärendehandläggning) får bara behandlas för det syftet — inte matas in i ett AI-system för andra ändamål.
  • Rätten att inte bli föremål för automatiserat beslut. Enskilda har rätt att inte vara föremål för beslut som enbart grundas på automatiserad behandling om det väsentligt påverkar dem.
GDPR

PRAKTISK LÖSNING

Anonymisering och aggregering

Du kan använda AI för arbete med sekretessbelagda ämnen om du anonymiserar informationen tillräckligt:

  • Ta bort eller ersätt alla namn, personnummer och adresser
  • Ersätt specifika kommuner, stadsdelar eller enheter med generiska beteckningar
  • Arbeta med aggregerade data (totalsiffror) istället för individdata
  • Beskriv en ärendetyp eller situation generellt utan identifierande detaljer

Tänk på att anonymisering kan vara otillräcklig om kombinationen av uppgifter ändå gör en person identifierbar. En liten grupp i en specifik situation kan vara identifierbar trots borttagna namn.

ANONYMISERING ÄR SVÅRARE ÄN DET VERKAR
NÄR DU ÄR OSÄKER: KONSULTERA DATASKYDDSOMBUDET

LÖSNING

NÄSTA STEG

ETIK OCH JURIDIK // RÄTTSSÄKERHET OCH ANSVAR