Den nya lagen, GDPR/dataskyddsförordningen träder ikraft nästa vecka. Lagen ruskar om företag och myndigheter, och få vet var den innebär. Vid Luleå kommun arbetas det för fullt sedan länge med att se över vad som ska göras för att följa den.
Enligt Mattias Gotthold, dataskyddsombud och jurist vid Luleå kommun, är grunden PUL, personuppgiftslagen. Den nya lagen ger ökat skydd för medborgarnas integritet.
– Alla ska kunna känna sig trygga med hur deras personuppgifter används, säger han.
En personuppgift är allt som kan identifiera en levande person. Exempelvis namn, personnummer, e-postadress, foto, ljudupptagning, ip-nummer, bilder, telefonnummer och adressen, eller sådant som tillsammans ger möjlighet för identifikation.
Luleåborna kommer inte märka så mycket av kommunens arbete, förutom att de ska kunna se vilka uppgifter som finns om dem i där.
– Vi kommer att utveckla en e-tjänst där medborgare kan hitta den, säger Gotthold.
GDPR omfattar personuppgifter i löpande text, något PULinte gjorde.
– Det är uppgifter som kan finnas i pärmar eller i filer på datorn. Det krävs nu ett annat tänk, och det kommer vara nödvändigt att gå igenom det man har i pärmar och liknande och slänga det som innehåller personuppgifter som inte behövs längre.
E-post har inte heller varit reglerat i den tidigare lagen.
– Kring det här finns många frågor, det ser vi över. Vi har inte svar på dem ännu.
Kortfattat ska kommunen slänga alla personuppgifter som inte behövs. Gotthold ger ett konkret exempel för gallring som måste göras.
– Vid en konferens tar man in namn, kontaktinformation, fakturauppgifter och vilken kost personen ska ha. Vissa delar av det här måste vara kvar för bokföring. Men information om kost ska rensas bort när den inte behövs.
Eija Salmi Rutfors är systemförvaltare vid barn- och utbildningsnämnden i Luleå och arbetar med GDPR där.
– Den nya lagen lägger vikt på ändamålet och syftet med uppgifter vi har lagrat. Uppgifter som inte krävs ska slängas bort, man får inte ha "bra att ha tänket". Vi kartlägger system, vilka uppgifter har vi och att förvarar vi dem på rätt sätt. I de flesta fallen gör vi det, men skolor måste se över var de förvarar exempelvis pärmar med personuppgifter till elever och vårdnadshavare så de inte är lättåtkomliga.
Det finns stödpersoner i skolor och förskolor för att svara på frågor. All personal i skolan ska också gå en e-utbildning.
– Inte för att lära sig hela lagen, men det ska ringa en klocka när det gäller personuppgifter: Är det här rätt sätt? säger Salmi Rutfors.
Får en lärare ha vårdnadshavares telefonnummer i sin mobiltelefon?
– Det är tveksamt, magkänslan är att det är mindre lämpligt, i alla fall om det är en privat mobil, säger Salmi Rutfors.
En lapp i väskan?
– GDPR gör ingen skillnad för hur lagringen sker. Att en lärare vill ha vårdnadshavares kontaktuppgifter med sig på utflykter till exempel, är förståeligt. Lagen förbjuder inte hantering av kontaktuppgifter, utan att du skall hantera dem med största respekt. Man måste alltid kunna motivera syftet och ändamålet och förvara uppgifterna på ett sådant sätt att bara de som behöver informationen har tillgång till den.
Sven-Erik Molin, rektor för Residensskolan, säger att skolan arbetar med en plan för hur de ska arbeta utifrån lagen.
– I dag använder vi mejl för vardagskommunikation, om en lärare vill informera om en elev till exempel. Men även om vi inte skriver ut elevens namn i mejlen har jag fått uppgift om att det inte duger. Jag känner att det blir mycket tungrott om vi inte kan använda oss av det i framtiden, säger han.