JO dnr 6466-2015

Kritik mot barn- och utbildningsförvaltningen i Luleå kommun för att e-postmeddelanden med känsliga personuppgifter skickats utan att särskilda säkerhetsåtgärder vidtagits och för dröjsmål med att besvara frågor

Beslutet i korthet: Barn- och utbildningsförvaltningen skickade ett e-postmeddelande med en elevs läkarintyg mellan e-postservrar över internet till vårdnadshavarna och till flera befattningshavare. Det borde ha vidtagits särskilda säkerhetsåtgärder för att säkerställa att rätt person fick åtkomst till uppgifterna och att de överfördes på ett säkert sätt (t.ex. genom kryptering). Eftersom det inte gjordes fanns det risk för att obehöriga, dvs. andra än de avsedda mottagarna, kunde ta del av de känsliga personuppgifterna. Förvaltningen kritiseras för hanteringen. Dessutom kritiseras förvaltningen för att man dröjde nästan sju månader med att besvara frågor från elevens far som gällde bl.a. hanteringen av läkarintyg.

AA klagade i en anmälan till JO på barn- och utbildningsförvaltningen i Luleå kommun när det gällde bl.a. hanteringen av vissa läkarintyg och dröjsmål med att besvara frågor.

Han uppgav bl.a. följande: Vid flera tillfällen har de som föräldrar uppmanats av barn- och utbildningsförvaltningen att skanna in och skicka läkarintyg om sonens allergi till förvaltningen via e-post. De har lämnat in papperskopior av intygen i stället. Intygen har sedan – utan samtycke – skannats in och cirkulerats mellan olika personalkategorier inom förvaltningen. Förvaltningen har även kontaktat sjukvården via e-post i ärendet. Dessutom har förvaltningen dröjt med att svara på en skrivelse där föräldrarna har efterfrågat rutiner och förklaringar.

Till anmälan bifogades bl.a. barn- och utbildningsförvaltningens skrivelse den 8 september 2015 med svar på frågor som AA hade ställt i ett e-postmeddelande till förvaltningen den 12 februari 2015.

JO uppmanade Barn- och utbildningsnämnden i Luleå kommun att yttra sig över det som framfördes i anmälan, dvs. hur intyg från sjukvården hanterades

Rättsliga förutsättningar

Sekretess inom elevhälsan Enligt 2 kap. 25 § skollagen (2010:800) ska det för eleverna i förskoleklassen, grundskolan, grundsärskolan, sameskolan, specialskolan, gymnasieskolan och gymnasiesärskolan finnas elevhälsa. Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser.

Sekretesskyddet för uppgifter om enskildas personliga förhållanden i förskoleklass, grundskola, grundsärskola, specialskola, sameskola, gymnasieskola och gymnasiesärskola inom det offentliga skolväsendet regleras i 23 kap. 2 § offentlighets- och sekretesslagen (2009:400) , OSL. Av första stycket framgår att sekretess gäller för uppgift om enskilds personliga förhållanden i sådan elevhälsa som hänför sig till psykologiska, psykosocial eller specialpedagogisk insats, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Sekretessen gäller således med ett omvänt skaderekvisit, dvs. det råder presumtion för sekretess.

Elevhälsans medicinska del, dvs. skolläkare och skolsköterska, omfattas av tillämpningsområdet för hälso- och sjukvårdssekretessen i 25 kap. l § OSL och utgör en egen verksamhetsgren i förhållande till den övriga elevhälsan ( prop. 2009/10:165 s 656 f.). Sekretessen i den verksamheten gäller också med ett omvänt skaderekvisit, dvs. det råder presumtion för sekretess.

Av 25 kap. 13 a § OSL följer att sekretessen enligt l § samma kapitel inte hindrar att en uppgift om en enskild lämnas från sådan elevhälsa som avser medicinsk insats till annan elevhälsa eller särskild elevstödjande verksamhet i övrigt inom samma myndighet, om det krävs att uppgiften lämnas för att eleven ska få nödvändigt stöd.

Sekretess inom elevstödjande verksamhet Särskilt elevstödjande verksamhet finns reglerad i 23 kap. 2 § andra stycket OSL . För uppgifter inom sådan verksamhet gäller ett rakt skaderekvisit, dvs. det råder presumtion för offentlighet. Med särskilt elevstödjande verksamhet i övrigt avses stödverksamhet som bedrivs av andra än psykologer, kuratorer eller specialpedagoger. Med särskild elevstödjande verksamhet i övrigt avses sådant särskilt stöd till enskilda elever som går utöver det stöd som varje elev ska få inom ramen för den gemensamma undervisningen och sociala samvaron i skolan. I den elevstödjande verksamheten i övrigt ryms en verksamhet av betydande omfattning. Dit räknas bl.a. lärarnas inhämtande av uppgifter om elevernas personliga förhållanden i syfte att förebygga eller hjälp vid skolsvårigheter. Det kan t.ex. gälla uppgifter om elevernas fysiska eller psykiska förutsättningar, deras beteenden och prestationer i skolan, hemmet eller fritidsmiljön.

Sekretess inom övrig skolverksamhet Enligt 23 kap. 2 § tredje stycket OSL gäller sekretess inom förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan i andra fall än som avses i första och andra styckena för uppgift om en enskilds identitet, adress och andra liknande uppgifter om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen i detta stycke gör det möjligt att vid befarad personförföljelse och andra former av trakasserier sekretessbelägga uppgifter som rör enskildas identitet, adress och andra liknande uppgifter ( prop. 1997/98:9 ).

I 5 a § PUL stadgas att bestämmelserna i 9, 10, 13–19, 21–26, 28, 33, 34 och 42 §§ inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Sådan behandling får dock inte utföras om den innebär en kränkning av den registrerades personliga integritet.

Enligt 10 § d PUL gäller att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras.

Som sådan verksamhet av allmänt intresse som avses i denna punkt har ansetts t.ex. skolornas fullgörande av arbetsuppgifter ( SOU 2003:103 s. 199 ). Enligt nämnda utredning torde det inte föreligga någon tvekan om att skolmyndigheter enligt skollagen och andra författningar har en rättslig skyldighet i personuppgiftlagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård.

Enligt 13 § PUL är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av denna art betecknas som känsliga personuppgifter.

I 31 § PUL stadgas att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av bl.a. hur pass känsliga de behandlade personuppgifterna är.

Av 8 § personuppgiftsförordningen (1998:1191) framgår att känsliga personuppgifter även får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggningen av ärendet.

Av nämnda utredning ( SOU 2003:103 ) framgår att för behandlingen inom ramen för ett elevvårdsärende – eller annan ärendehantering – torde därför de restriktiva bestämmelserna om känsliga personuppgifter inte hindra användandet av ordbehandling, även om samtycke saknas. Bestämmelsen är dock inte tillämplig på behandling som sker i den del av skolornas verksamhet som utgör faktiskt handlande, dvs. när det inte är fråga om ett pågående ärende (s. 201 f.).

Av Datainspektionens rapport 2002:2 framgår att inspektionen bedömer att uppgifter om elevers hälsa, t.ex. allergier är känsliga uppgifter enligt PUL och att samtycke ska inhämtas innan sådana uppgifter behandlas för elevadministrativa ändamål.

Serviceskyldighet Enligt 4 § förvaltningslagen ska en myndighet lämna upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör myndighetens verksamhetsområde.

1. Barn- och utbildningsnämndens/förvaltningens hantering av intyg om specialkost Interna rutiner Enligt gällande rutin har skolsköterskan samtal med vårdnadshavare och elev om behov av specialkost. Vissa allergier kräver läkarintyg, som skolsköterskan får ifrån vårdnadshavaren. Utifrån läkarintyget skriver skolsköterskan ett

Barn- och utbildningsnämndens bedömning av rutinerna i förhållande till OSL och PUL Barn- och utbildningsnämnden (nämnden) bedömer att OSL kräver att skolsköterskan som huvudregel har ett samtycke från föräldrarna om att lämna uppgifter om allergier och specialkost vidare i skolverksamheten, till köket. Nämnden bedömer att Barn- och utbildningsförvaltningens (förvaltningen) rutiner säkerställer att sådant samtycke inhämtas.

Uppgifter om elevers allergier är en känslig personuppgift enligt PUL, se Datainspektions rapport 2002:2. Hanteringen av elevers behov av specialkost hamnar inom den del av skolans verksamhet som utgör faktiskt handlande, eftersom specialkosten måste hanteras i skolans verksamhet varje dag. Nämnden bedömer därför, om uppgifterna ska behandlas i strukturerad verksamhet, att det enligt PUL krävs ett samtycke från vårdnadshavarna om uppgiften ska få behandlas i den delen av verksamheten som utgör faktiskt handlande. Förvaltningen har rutiner för att säkerställa att ett samtycke från vårdnadshavarna inhämtas för att specialkostintygen ska få lämnas till köket. I köket sitter intygen i en pärm och enligt nämndens bedömning sker därefter inte någon sådan behandling av uppgifterna som omfattas av PUL:s tillämpningsområde i den delen av verksamheten som utgör faktiskt handlande. Nämndens bedömning är därför att rutinerna är förenliga med PUL.

Förvaltningens hantering av intyg i anmält ärende Nu aktuellt ärende har hanterats utifrån ovan beskriven rutin. Intyget som är utfärdat 2011 har kompletterat ett tidigare intyg om specialkost och har lämnats till köket utan att skolsköterskan har skrivit ett nytt intyg om specialkost. Dåvarande skolsjuksköterska har gått i pension. Utifrån elevens allergier och behov av specialkost har kontinuerliga nätverksträffar hafts en gång per termin, (nätverksträffar runt elever med allergier är väldigt ovanligt. Det förekommer endast i enstaka fall där elever har mycket kraftig allergi). Vid upprättande av ny matsedel inför vårterminen 2014 framförde vårdnadshavarna önskemål om förändringar i maträtterna. Vårdnadshavarna uppmanades att lämna in kostintyg för att styrka ett förändrat behov av specialkost. Det har dock inte framställts krav på att intyget skulle scannas och skickas in via e-post. I syfte att säkerställa att Måltidsservice hade det senast upprättade intyget om specialkost skickades ett e-postmeddelande i vilket intyget bifogades. E-postmeddelandet, med det bifogade intyget, skickades till vårdnadshavarna, rektor för skolan, kostchef, kock, skolsköterska och elevens resurs/lärare, vilka samtliga medverkar i systematiska nätverksträffar kring elevens situation. Vid dessa träffar har intyget diskuterats. Det var av vikt att säkerställa att mottagarna av e-postmeddelandet arbetade efter samma kostintyg för att garantera att serveringen av specialkost skedde på ett säkert sätt.

Nämndens bedömning av handläggningen i anmält ärende Nämnden kan inledningsvis konstatera att intyget om specialkost har hanterats på ett avvikande sätt utifrån förvaltningens rutiner genom att det har scannats och skickats till flera personer inom förvaltningen. Uppgifterna i intyget torde omfattas av sekretessbestämmelserna i 23 kap. 2 § första och andra stycket OSL. Skolverksamheten, förutom den medicinska delen av elevhälsan, utgör dock en och samma verksamhet. Nämnden bedömer därmed inte att e-postmeddelandet har skickats i strid med bestämmelserna i OSL. Intyget har också behandlats på ett sådant sätt som faller inom undantaget för behandling av personuppgifter i ostrukturerat material enligt 5 a § PUL . E-postmeddelandet ingår inte i något

För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Det finns särskilda risker med hantering av personuppgifter i e-post. I detta fall har e-postmeddelandet skickats över e-postservrar över internet. Intyget som har skickats med i meddelandet innehåller enligt nämndens bedömning inte några känsliga personuppgifter och hanteringen har därför inte skett i strid med PUL. Däremot anser nämnden att det är viktigt att de interna rutinerna säkerställer vilka typer av personuppgifter som under vilka omständigheter får respektive inte får skickas med e-post. Förvaltningen har för avsikt att se över de interna rutinerna och komplettera dessa vid behov.

2. Förvaltningens kontakter med hälso- och sjukvården i detta ärende

Måltidsservice har kontaktat behandlande vårdenhet för att få råd och stöd i arbetet med att erbjuda en säker specialkost. I e-postmeddelandet beskrivs ärendet med stöd av uppgifter som framkommit till Måltidsservice.

Nämndens bedömning Uppgifter om elevens hälsotillstånd som personal vid måltidsservice har eller får kännedom i verksamheten torde omfattas av sekretessbestämmelserna i 23 kap. 2 § första och andra stycket OSL. I detta fall har inte personalen namngivit eleven och kontakten bedömdes inte innebära att eleven lider men. Nämnden bedömer därför att kontakten som tagits med vårdinrättningen inte har varit i strid med OSL. Nämnden bedömer inte heller att hanteringen strider mot PUL. Meddelandet ingår inte i och ska inte heller infogas i en databas med en personuppgiftsanknuten struktur som t.ex. ett ärendehanteringssystem. Inte heller uppfattar nämnden det som att meddelandet innehåller uppgifter som kränker den personliga integriteten. Meddelandet innehåller inte något namn, personnummer eller annan personuppgift.

Nämnden anser dock att kontakt med vårdinrättning för rådgivning som berör enskild som huvudregel bör ske på ett sätt som vårdnadshavarna samtyckt till varför förvaltningen avser att vidta åtgärder för att säkerställa att så sker. Nämnden anser också, som nämnts ovan, att det är viktigt att de interna rutinerna säkerställer vilka typer av personuppgifter som under vilka omständigheter får respektive inte får skickas med e-post och förvaltningen har för avsikt att se över de interna rutinerna i detta syfte.

3. Förvaltningens hantering av inkomna frågor i ärendet

Den 12 februari 2015 inkom ett e-postmeddelande med frågor ställda till Förvaltningen. Frågeställaren fick dagen efteråt en återkoppling om att ärendet inkommit och att det överlämnats till en handläggare för besvarande. Under handläggningen uppdagades att förvaltningen var tvungen att inhämta extern kompetens, detta medförde tyvärr att svarstiden blev lång. Den 8 september 2015 besvarades frågorna. Detta har föregåtts av en förfrågan om ett möte med vårdnadshavaren som denne avböjde.

Nämndens bedömning Nämnden är medveten om den långtgående serviceskyldighet som följer av förvaltningslagen och att den långa svarstiden inte är acceptabel. Någon form av besked borde ha lämnats till den sökande i ett tidigt skede. Förvaltningen har därför förändrat sina interna rutiner så att det inte ska upprepas.

AA kommenterade remissvaret.

Sekretess betyder ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt ( 3 kap. 1 § OSL ).

Bestämmelser om sekretess till skydd för enskild i utbildningsverksamhet, m.m. finns i 23 kap. OSL . Sekretess gäller i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan för uppgift om en enskilds personliga förhållanden i sådan elevhälsa som avser psykologisk, psykosocial eller specialpedagogisk insats, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. På samma område gäller sekretess dels i särskild elevstödjande verksamhet i övrigt för uppgift om en enskilds personliga förhållanden, dels för uppgift som hänför sig till ärende om tillrättaförande av en elev eller om skiljande av en elev från vidare studier, med undantag för beslut i ett ärende. Denna sekretess gäller dock endast om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. På samma område gäller sekretess i andra fall för uppgift om en enskilds identitet, adress och andra liknande uppgifter om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (2 § första–tredje styckena).

I 25 kap. OSL finns bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård, m.m. Sekretess gäller inom vården och i annan medicinsk verksamhet för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (1 § första stycket). Sekretessen hindrar emellertid inte att en uppgift om en enskild lämnas från sådan elevhälsa som avser medicinsk insats till annan elevhälsa eller särskild elevstödjande verksamhet i övrigt inom samma myndighet, om det krävs att uppgiften lämnas för att en elev ska få nödvändigt stöd (13 a §).

Säkerhet vid behandling av personuppgifter

Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §). Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte (3 §).

Det är som huvudregel förbjudet att behandla s.k. känsliga personuppgifter. Hit hör personuppgifter om bl.a. hälsa (13 §). Ett uttryck för att det är fråga om känsliga uppgifter kan vara att de omfattas av sekretess (se Datainspektionens allmänna råd Säkerhet för personuppgifter, reviderade i november 2008, s. 18).

Undantag från förbudet att behandla känsliga personuppgifter gäller bl.a. vid nödvändig behandling inom hälso- och sjukvården samt vid samtycke till behandlingen (14–19 §§). Dessa bestämmelser behöver inte tillämpas på behandling av personuppgifter i ostrukturerat material. Sådan behandling får dock inte utföras om den innebär en kränkning av den registrerades personliga integritet (5 a §). Som utgångspunkt för bedömningen av om en behandling av personuppgifter innebär en kränkning av den registrerades personliga integritet kan man ta bestämmelserna om grundläggande krav på behandling av personuppgifter och om när behandling av personuppgifter är tillåten (se 9 och 10 §§ samt Öman och Lindblom, Personuppgiftslagen – En kommentar, version den 20 december 2016, Zeteo, kommentaren till 5 a §).

Uppgifter om elevers hälsa, t.ex. allergier, betraktas som känsliga, och det krävs samtycke för att sådana uppgifter ska få behandlas för elevadministrativa ändamål (se Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8).

Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för åtgärderna, särskilda risker med behandlingen och hur pass känsliga uppgifterna är (31 § första stycket).

Kraven på säkerhetsåtgärder kan inte frångås ens med den registrerades samtycke (se Öman och Lindblom, Personuppgiftslagen – En kommentar, version den 20 december 2016, Zeteo, kommentaren till 31 §, med där angivna hänvisningar).

Informationssäkerhet vid användande av e-post

Hantering av personuppgifter i e-post innefattar särskilda risker. Det krävs därför en hög säkerhetsnivå vid sådan hantering. På Datainspektionens webbplats finns information om säkerhet för personuppgifter i e-post (http://www.datainspektionen.se/lagar-och-regler/ personuppgiftslagen /sakerhetenligt-personuppgiftslagen/sakerhet-for-personuppgifter-i-e-post/). Där anförs bl.a. följande: Det är svårt att försäkra sig om att endast den avsedda mottagaren kan ta del av ett e-postmeddelande. I många fall är det omöjligt att säkerställa identiteten hos en mottagare enbart utifrån en uppgiven e-postadress. När ett e-postmeddelande skickas mellan olika e-postservrar över internet passerar det ofta andra servrar på vägen. Om informationen i e-postmeddelandet är

På utbildningsområdet saknas föreskrifter som talar om i vilken utsträckning och under vilka förutsättningar e-post får användas. Generellt gäller dock att det måste ställas höga krav på säkerhet vid överföring av uppgifter som omfattas av sekretess. Om en tillfredsställande säkerhetsnivå inte kan upprätthållas bör sådana uppgifter inte föras över via e-post (se prop. 2002/03:62 s. 12 och JO 2001/02 s. 201, dnr 3570-2000 ).

Föreskrifter om när och hur e-post får användas finns i viss utsträckning på andra områden. När det gäller hälso- och sjukvårdsområdet finns bestämmelser i 5 kap. 6 § patientdatalagen (2008:355) och i Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). Enligt Socialstyrelsens föreskrifter får patientuppgifter överföras över öppna nät om det kan göras så att inga obehöriga kan ta del av uppgifterna och om åtkomst till patientuppgifter föregås av stark autentisering (3 kap. 15 §). Det innebär i praktiken ett krav på att patientuppgifterna i ett e-postmeddelande ska krypteras på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem. En vårdgivare får dock efter en behovs- och riskanalys besluta om undantag från kraven i 15 § vid överföring av påminnelser och kallelser till vård och behandling (3 kap. 16 §). Sådana uppgifter kan då skickas med sms eller oskyddad e-post. En överföring av en påminnelse eller en kallelse får endast göras efter att patienten har gett sitt medgivande, och överföringen får inte avslöja detaljer om patientens hälsotillstånd eller andra personliga förhållanden (3 kap. 17 §).

JO har i ett beslut som gäller socialtjänstens möjligheter att skicka sekretessbelagda uppgifter per e-post uttalat bl.a. följande: När ett e-postmeddelande innehåller känsliga personuppgifter krävs särskilda säkerhetsåtgärder för att säkerställa att rätt person får åtkomst till uppgifterna och att de överförs på ett säkert sätt (t.ex. genom kryptering). Om det däremot rör sig om personuppgifter som inte är känsliga ur integritetssynpunkt bör viss kommunikation kunna ske även utan kryptering eller liknande (JO 2016/17 s. 333, dnr 1376-2013 ).

Myndigheters serviceskyldighet och tillgänglighet

Varje myndighet ska lämna upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör myndighetens verksamhetsområde. Hjälpen ska lämnas i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Frågor från enskilda ska besvaras så snart som möjligt ( 4 § första och andra styckena förvaltningslagen [1986:223]).

Barn- och utbildningsnämnden har i sitt remissvar uppgett att ett e-postmeddelande med den aktuella elevens läkarintyg, som gällde behov av specialkost på grund av allergi, har skickats mellan e-postservrar över internet till vårdnadshavarna samt till rektorn, kostchefen, kocken, skolsköterskan och resursen/läraren. E-postmeddelandet innehöll uppgifter som enligt nämnden torde omfattas av sekretess.

Som har redovisats ovan anges det i Datainspektionens allmänna råd Säkerhet för personuppgifter att ett uttryck för att det är fråga om känsliga personuppgifter kan vara att de omfattas av sekretess. Vidare har Datainspektionen i sin rapport Behandling av elevers personuppgifter i grundskolan uttalat att uppgifter om elevers hälsa, t.ex. allergier, betraktas som känsliga, och att det krävs samtycke för att sådana uppgifter ska få behandlas för elevadministrativa ändamål.

När e-postmeddelandet med läkarintyget skickades borde det därför ha vidtagits särskilda säkerhetsåtgärder för att säkerställa att rätt person fick åtkomst till uppgifterna och att de överfördes på ett säkert sätt (t.ex. genom kryptering). Eftersom det inte gjordes fanns det risk för att obehöriga, dvs. andra än de avsedda mottagarna, kunde ta del av de känsliga personuppgifterna. Förvaltningen förtjänar kritik för hanteringen.

I sitt remissvar har barn- och utbildningsnämnden också redovisat att ett epostmeddelande har skickats till en vårdenhet för att få råd och stöd i arbetet med att erbjuda en säker specialkost. E-postmeddelandet saknade uppgift om elevens namn, personnummer, adress och andra identifikationsuppgifter. Det är tveksamt om informationen i e-postmeddelandet kunde hänföras till en fysisk person. Utredningen i ärendet klarlägger således inte att e-postmeddelandet innehöll uppgifter som omfattades av sekretess eller andra känsliga personuppgifter vars behandling krävde säkerhetsåtgärder. Jag har inte grund för att kritisera hanteringen i denna del.

Barn- och utbildningsnämnden har uppgett att förvaltningen har för avsikt att se över rutinerna för hantering av personuppgifter i e-postmeddelanden. Jag välkomnar denna översyn och utgår från att nämnden säkerställer att det finns tydliga rutiner som talar om i vilken utsträckning och under vilka förutsättningar e-post får användas.

AA fick svar på de frågor som han ställde i sitt e-postmeddelande den 12 februari 2015 först nästan sju månader senare, den 8 september 2015. Som barn- och utbildningsnämnden har uppgett i sitt remissvar är det ett oacceptabelt dröjsmål. Förvaltningen förtjänar kritik för dröjsmålet med att besvara hans frågor.

Ärendet avslutas.