Utvidet spørsmål
Kan en skole opprette en intern digital elevinfo-base for elever med sammensatte behov som trenger koordinerte tjenester? Aktuell informasjon er elevens navn, fødselsdato, klasse, avkryssingsbokser for ulike hjelpeinstanser (PPT, helsesøster, rådgiver og andre hjelpeinstanser) og et loggfelt der det kort noteres hva som er gjort i saken.Svar
Svaret avhenger av flere forhold, og det er her bare mulig å gi en oversikt over forhold som
er særlig avgjørende. Etablering av en slik elevinfo-base vil aktualisere mange bestemmelser
i loven. Når vi her svarer er det for å illustrere at personopplysningsloven primært stiller
vilkår om bestemte fremgangsmåter, og har få absolutte barrierer. Ofte er taushetsplikt det
vanskeligste punktet, og slike bestemmelser ligger utenfor personopplysningsloven.
Det korte svaret er at siden basen forutsettes å innhente opplysninger fra hjelpeinstanser, er
sannsynligheten stor for at den vil inneholde sensitive personopplysninger. I så fall kreves
konsesjon fra Datatilsynet. I en slik situasjon bør en først ta kontakt med Datatilsynet for
å avklare om det er konsesjonsplikt, og deretter søke konsesjon slik Datatilsynet krever. En
konsesjonsbehandling vil gjelde mange spørsmål som vi her bare stikkordsmessig skal nevne.
I konsesjonsvedtak vil det vanligvis bli stilt vilkår for å gjøre bruken av systemet.
Listen nedenfor viser til de viktigste bestemmelsene i personopplysningsloven som kan sies å
gjelde krav til selve informasjonssystemet:
- Klarlegge behandlingsansvar.
- Klarlegge formålet med å samle inn og behandle opplysninger i elevinfo-basen.
- Klarlegge det rettslige grunnlaget for behandlingen (vil trolig være samtykke).
Ved samtykke og innsamling av informasjon er det særlig viktig å sørge for at den
registrerte/foresatte er tilstrekkelig informert, se §§ 19 og 20. - Klarlegge hvilke opplysningskilder og opplysningstyper som skal benyttes, og sikre
at opplysningene kan bli tilgjengelig uten hinder av taushetsplikt og begrensninger
som kan følge av formålet med den behandling av personopplysninger som
avgiverorganet har fastsatt. Ulike regler om taushetsplikt for de forskjellige aktørene
som skal bidra med opplysninger, kan være en kompliserende faktor. - Klargjøre hvorledes en kan sikre tilstrekkelig kvalitet på opplysningene (feilfrie og
oppdaterte opplysninger mv). - Klargjøre hvorledes personopplysningene skal sikres, herunder ikke minst rutiner
for autorisering av personer som skal ha tilgang til opplysninger i basen, og
påloggingsrutiner mv. - Klargjøre hvor lenge opplysninger skal kunne lagres, jf § 28.
Relevante lovtekster
- § 2. Definisjoner
- § 11. Grunnkrav til behandling av personopplysninger
- § 13. Informasjonssikkerhet
- § 19. Informasjonsplikt når det samles inn opplysninger fra den registrerte
- § 20. Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte
- § 28. Forbud mot å lagre unødvendige personopplysninger
- § 33. Konsesjonsplikt
