Fråga 1.

Behövs samtycke från elev eller vårdnadshavare för att samla uppgifter om elevers hälsa i en databas?
Svar: Om uppgifter om en elevs hälsa samlas in i förebyggande eller vårdande syfte inom hälso- och sjukvården ska uppgifterna journalföras. Journalförda uppgifter får sammanställas för kvalitetssäkring och uppföljning av den egna verksamheten. För dessa ändamål krävs inget samtycke. Att samla in hälsouppgifter i syfte att använda för exempelvis forskning eller för kartläggning av folkhälsan i ett län kräver samtycke. Vad gäller forskning krävs även att projektet godkänns av en etikprövningsnämnd.

Se Etikprövningsnämnderna

Fråga 2.

Vem har rätt att samla uppgifter om elevers hälsa i en databas?
Svar: Den som är vårdgivare för elevhälsan (vanligtvis skolhuvudmannen) har en skyldighet att föra journal över elevernas hälsa enligt 3 kap. patientdatalagen (2008:355). Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten.
Uppgifterna får också användas för att exempelvis systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten samt för att ta fram statistik om hälso- och sjukvården (jmf 2 kap 4 § patientdatalagen). Andra aktörer än skolhuvudmannen kan ha rätt att samla in uppgifter i en databas men i dessa fall krävs dock normalt samtycke.

Fråga 3.

Finns det någon juridisk konstruktion som gör det möjligt för ett landsting eller en privat aktör att drifta en elevhälsodatabas och ta fram statistik åt en kommun eller fristående skolhuvudman?

Svar: Personuppgiftslagen (1998:204) (PuL) medger att en personuppgiftsansvarig (i detta fall vanligtvis skolhuvudmannen) får anlita ett biträde för att behandla personuppgifter åt den personuppgiftsansvarige. För det krävs dock ett personuppgiftsbiträdesavtal (se nedan). I ett sådant avtal kan den personuppgiftsansvarige även ge biträdet en fullmakt att anlita en annan aktör att sköta databasen. Det är dock viktigt att komma ihåg att det fortfarande är den personuppgiftsansvarige som är ansvarig för att personuppgifterna behandlas på ett lagligt sätt. I det fall den personuppgiftsansvarige lämnar ut hälsouppgifter om en elev till en annan aktör kan också sekretessfrågor aktualiseras. Vanligen krävs ett samtycke från eleven/vårdnadshavaren för att känsliga uppgifter ska få lämnas ut.

Fråga 4.

Vad är ett personuppgiftsbiträdesavtal och hur används det i relation till elevhälsodata?

Svar: Om den personuppgiftsansvarige (i detta fall troligen skolhuvudmannen) väljer att anlita ett personuppgiftsbiträde ska det finnas ett skriftligt personuppgiftsbiträdesavtal. I det avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med de instruktioner som den personuppgiftsansvarige ger och att personuppgiftsbiträdet är skyldigt att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av:

  • de tekniska möjligheter som finns,
  • vad det skulle kosta att genomföra åtgärderna,
  • de särskilda risker som finns med behandlingen av personuppgifterna, och
  • hur pass känsliga de behandlade personuppgifterna är.

När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna (30-31 §§ PuL).

Ytterligare information om personuppgiftsbiträdesavtal finns att läsa på datainspektionens hemsida

Förlsag på personuppgiftsbiträdesavtal med fullmakt

Det bör observeras att personuppgiftsbiträdesavtalet ovan endast är att se som ett inspirationsdokument och måste anpassas efter de särskilda förhållanden som landsting, region, vårdgivare och annat personuppgiftsbiträde kan komma överens om i det enskilda fallet.

Fråga 5.

Finns det något som hindrar att kommuner delar med sig av elevhälsouppgifter på kommunnivå för jämförelse med andra kommuner (till exempel genom att skicka in kommunsammanställningar till Sveriges Kommuner och Landsting)?

Svar: Det finns ingenting som hindrar att kommuner delar med sig av avidentifierade uppgifter. Det är dock viktigt att komma ihåg att en uppgift är avidentifierad först när det inte finns någon möjlighet att identifiera eleven. Det räcker inte att endast ta bort namn och personnummer utan alla uppgifter som direkt eller indirekt kan identifiera eleven måste tas bort för att ett utlämnande ska vara tillåtet.

  • Senast ändrad den 11 januari 2017