SEKRETESS

KLIENTDATA // TYSTNADSPLIKT // GRÄNSER

UTGÅNGSPUNKT

Sekretessen i socialtjänsten är mycket stark

Socialtjänsten hanterar information om människor i utsatta situationer — om barn som far illa, missbruk, psykisk ohälsa, ekonomiska svårigheter, kriminalitet och familjerelationer. Det är information som klienter delar i förtroende, under ibland tvingande omständigheter, och som kan få allvarliga konsekvenser om den hamnar fel.

Socialtjänstsekretessen i 26 kap. offentlighets- och sekretesslagen (OSL) ger ett starkt skydd. I många fall är sekretessen starkare än inom hälso- och sjukvården. Utgångspunkten är att uppgifter om enskilda inom socialtjänsten är sekretessbelagda — och att det krävs ett tydligt lagstöd för att de ska lämnas ut.

Att mata in klientuppgifter i ett icke-godkänt AI-verktyg är ett brott mot dessa regler — oavsett om du gör det av okunskap eller med gott syfte.

SEKRETESSEN SKYDDAR KLIENTEN
DEN GÄLLER ÄVEN NÄR DU ANVÄNDER AI

ALDRIG

Detta ska du aldrig mata in i icke-godkänt AI-verktyg

Följande information är aldrig tillåten i AI-verktyg som inte explicit godkänts av din organisation för detta ändamål:

  1. Namn + sociala eller ekonomiska uppgifter i kombination — det räcker med förnamn och situation för att det ska vara identifierande
  2. Personnummer — aldrig, under inga omständigheter
  3. Utredningstext och journalanteckningar — även delar av dessa kan vara identifierande
  4. Uppgifter om barns situation — barnets utsatthet, hemförhållanden, skolsituation
  5. Uppgifter om missbruk, psykisk hälsa eller kriminalitet kopplade till en individ
  6. Ekonomiska uppgifter — skulder, försörjningsstödsärenden, inkomst
  7. Uppgifter om anhöriga kopplade till ett ärende
  8. Adresser och kontaktuppgifter
  9. LVU- och LVM-relaterade uppgifter — dessa är extra känsliga
  10. Uppgifter om skyddad identitet — information om var en person befinner sig om hen har skyddad adress

Tumregel:

Kan den här informationen identifiera en specifik person — direkt eller i kombination med annat? Om ja — mata inte in den.

VID MINSTA OSÄKERHET: DELA INTE

KRITISKT

ANONYMISERING

Hur du anonymiserar på rätt sätt

Att ta bort ett namn är inte alltid tillräckligt för att en text ska vara anonymiserad. En ensamstående mamma med tre barn i ett specifikt LVU-ärende i en liten kommun är identifierbar även utan namn.

Effektiv anonymisering för AI-användning:

  • Ta bort namn, personnummer och adress
  • Generalisera ålder (istället för "6-åring" → "yngre barn")
  • Generalisera ort (inte "Pajala" → "liten norrlandskommun")
  • Ta bort ovanliga kombinationer av omständigheter som identifierar
  • Generalisera insatstyp om den är specifik nog att identifiera
  • Ta bort uppgifter om skola, arbetsplats, specifika familjemedlemmar

Det enklaste testet: Skulle en kollega på din enhet kunna lista ut vem det handlar om? Om ja — anonymisera mer.

ANONYMISERING ÄR INTE BARA ATT TA BORT NAMNET
DET ÄR ATT GÖRA DET OMÖJLIGT ATT IDENTIFIERA

LAGSTIFTNING

Tre regelverk du behöver känna till

Offentlighets- och sekretesslagen (OSL) 26 kap. reglerar sekretessen inom socialtjänsten. Uppgifter om enskildas personliga förhållanden inom socialtjänsten är sekretessbelagda om det inte är uppenbart att uppgiften kan röjas utan men för den enskilde eller dennes närstående. Omvänt skaderekvisit i känsliga delar innebär ett mycket starkt skydd. Att lämna ut sådana uppgifter till ett externt AI-verktyg utan godkännande kan utgöra ett sekretessbrott.

Socialtjänstlagen (SoL) 11 kap. 5 § kräver att handläggning inom socialtjänsten dokumenteras. Det innebär att dokument du skapar i tjänsten är officiella dokument — och kan begäras ut som allmänna handlingar. AI-genererade dokument som du använder i tjänsten är tjänstedokument. Behandla dem därefter.

GDPR gäller som grundnivå för all behandling av personuppgifter. I socialtjänsten är OSL ofta mer restriktiv. GDPR är golvet, inte taket — men det är ett viktigt golv.

OSL + SoL + GDPR = TRE LAGER AV SKYDD FÖR KLIENTEN
ALLA TRE GÄLLER NÄR DU ANVÄNDER AI

JURIDIK

OFFENTLIGHETSPRINCIPEN

Kommunal verksamhet och offentlighetsprincipen

Socialtjänsten är kommunal verksamhet — offentlighetsprincipen gäller. Det innebär att dokument du skapar i tjänsten i princip kan begäras ut som allmänna handlingar, om de inte är sekretessbelagda.

Det påverkar AI-användningen på två sätt:

  • AI-genererade dokument som du använder i din tjänsteutövning är allmänna handlingar — om de inte är sekretessbelagda. Behandla dem som officiella dokument.
  • Konversationer med AI-verktyg i tjänsten kan potentiellt räknas som allmänna handlingar. Behandla dem som om de vore det.

Konsekvensen: slarvig eller oprofessionell formulering i en AI-konversation i tjänsten kan bli ett offentligt dokument. Skriv alltid som om texten kan begäras ut.

KOMMUNAL SOCIALTJÄNST → OFFENTLIGHETSPRINCIPEN GÄLLER
AI-KONVERSATIONER I TJÄNSTEN KAN VARA ALLMÄNNA HANDLINGAR

INRE SEKRETESS

Sekretess inom socialtjänsten — inte bara utåt

En viktig aspekt som ofta förbises: socialtjänstsekretessen gäller också inom socialtjänsten. Uppgifter om ett ärende ska bara delas med de kollegor som faktiskt behöver dem för sitt arbete (behovsprincipen).

Det innebär att du även ska tänka på:

  • AI-verktyg som är godkända inom organisationen kan ändå ha tillgång till data som fler ser än nödvändigt
  • Om ett godkänt AI-verktyg sparar konversationshistorik som andra administratörer kan läsa — kontrollera det
  • Dela inte fler uppgifter med AI-verktyget än vad som krävs för uppgiften

MINSTA NÖDVÄNDIGA INFORMATION
GÄLLER ÄVEN MED GODKÄNT VERKTYG

INRE SEKRETESS

OM NÅGOT GÅR FEL

Vad gör du om du matat in fel information?

Om du inser att du av misstag matat in klientidentifierande information i ett icke-godkänt AI-verktyg:

  1. Stäng konversationen omedelbart
  2. Rapportera till din chef samma dag
  3. Dokumentera vad som hände, när och vad som matades in
  4. Följ din organisations rutin för dataskyddsincidenter

GDPR kräver att dataskyddsincidenter rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar om de riskerar att påverka enskildas rättigheter. Din organisation har ett dataskyddsombud (DSO) — vid en incident är det DSO som koordinerar rapporteringen.

MISSTAG HÄNDER — RAPPORTERA OMEDELBART
TYSTNAD FÖRVÄRRAR ALLTID SITUATIONEN

RUTIN

NÄSTA STEG

ETIK OCH JURIDIK // ANSVAR, SoL OCH FÖRVALTNINGSLAGEN