SEKRETESS OCH GDPR

OSL // PERSONUPPGIFTER // KÄNSLIGA UPPGIFTER // GRÄNSER

SENAST INNEHÅLLSGRANSKAD: 2026-05-24 — REDAKTIONEN
SENAST TEKNISKT UPPDATERAD: 2026-05-24

Senast uppdaterad: 2026-05-24

AVSÄNDARE OCH GRANSKNING

Vem står bakom innehållet?

Den här guiden ingår i AI på svenska och är redaktionellt framtagen för yrkesverksamma. Innehållet skrivs och underhålls av redaktionen bakom sajten med praktisk erfarenhet av digitalt arbete, AI-arbetsflöden och webbutveckling.

Sidan är ett praktiskt arbetsstöd och ska användas som stöd i vardagen — inte som ersättning för professionell bedömning, lokala riktlinjer, juridiskt ansvar eller verksamhetsspecifika beslut.

REDAKTIONELLT ANSVAR: AI PÅ SVENSKA

Läs mer om redaktionen och hur innehållet tas fram.

PRINCIP

Offentlig sektor hanterar samhällets känsligaste information

Myndigheter och kommunala förvaltningar hanterar information om enskilda personers hälsa, ekonomi, familjeförhållanden, brottslighet och sociala situation. Mycket av detta kan omfattas av offentlighets- och sekretesslagen (OSL). Personuppgifter kan dessutom omfattas av dataskyddsförordningen (GDPR), och vissa uppgifter har särskilt skydd.

När en extern leverantör får del av information behöver myndigheten först bedöma om uppgifter röjs och om ett lagligt undantag medger överföringen. Ett personuppgiftsbiträdesavtal hanterar dataskyddsrelationen när personuppgifter behandlas, men gör inte i sig ett röjande av sekretessuppgifter tillåtet.

SEKRETESSUPPGIFTER: UTRED RÖJANDE OCH RÄTTSLIGT STÖD FÖRST
PERSONUPPGIFTER: KONTROLLERA ÄNDAMÅL, GRUND, AVTAL OCH SÄKERHET

ABSOLUTA GRÄNSER

Information som inte matas in i icke-godkänt AI-system

  • Socialtjänstuppgifter. Information om enskilda personers sociala situation, omhändertaganden, biståndsbeslut — sekretesskyddade och känsliga personuppgifter.
  • Hälso- och sjukvårdsuppgifter. Patientuppgifter, diagnoser, behandlingar — starkaste möjliga sekretessskydd.
  • Uppgifter om lagöverträdelser. Information som rör brott, misstankar, domar och påföljder om enskilda — särskilt reglerade enligt GDPR.
  • Ekonomiuppgifter om enskilda. Inkomster, skulder, ekonomiskt bistånd — sekretesskyddat.
  • Uppgifter i pågående utredningar. Information i löpande ärenden som kan vara sekretessbelagda under handläggningstiden.

UPPGIFTER OM ENSKILDA: BARA EFTER DATASKYDDSBEDÖMNING
SEKRETESS: BEDÖM OSL OCH EVENTUELLT LAGSTÖD SEPARAT

KRITISKT

GDPR I OFFENTLIG SEKTOR

Personuppgiftsbehandling och AI

GDPR gäller fullt ut i offentlig sektor — och i vissa avseenden med extra krav på känsliga personuppgifter. Vad det innebär för AI-användning:

  • Klargör rollerna och avtalen. Om leverantören behandlar personuppgifter för myndighetens räkning krävs personuppgiftsbiträdesavtal. Det behöver utredas före användning tillsammans med rättslig grund, säkerhet och eventuella överföringar.
  • Ändamålsbegränsning. Personuppgifter insamlade för ett syfte (t.ex. ärendehandläggning) får bara behandlas för det syftet — inte matas in i ett AI-system för andra ändamål.
  • Automatiserade beslut kräver särskild bedömning. Om behandlingen kan innebära beslut som enbart grundas på automatiserad behandling och får rättsliga eller liknande betydande följder behöver reglerna i GDPR och verksamhetens särskilda stöd analyseras.
GDPR

PRAKTISK LÖSNING

Dataminimering, anonymisering och aggregering

Börja med att ta bort uppgifter som inte behövs. För verkligt anonym information kan GDPR falla bort, men att ersätta namn innebär normalt bara avidentifiering eller pseudonymisering. OSL-bedömningen måste fortfarande göras om underlaget kan röja en skyddad uppgift.

  • Ta bort eller ersätt alla namn, personnummer och adresser
  • Ersätt specifika kommuner, stadsdelar eller enheter med generiska beteckningar
  • Arbeta med aggregerade data (totalsiffror) istället för individdata
  • Beskriv en ärendetyp eller situation generellt utan identifierande detaljer

Tänk på att anonymisering kan vara otillräcklig om kombinationen av uppgifter ändå gör en person identifierbar. En liten grupp i en specifik situation kan vara identifierbar trots borttagna namn.

ANONYMISERING ÄR SVÅRARE ÄN DET VERKAR
VID TVEKAN: STÄM AV MED JURIDIK, DATASKYDD OCH INFORMATIONSSÄKERHET

LÖSNING

KÄLLOR OCH FÖRDJUPNING

Kontrollera mot officiell vägledning

Lokala riktlinjer och den ansvariga myndighetens prövning styr alltid det konkreta användningsfallet.

FÖRDJUPNING

Relaterade artiklar

LIKNANDE ROLL

När sekretessen gäller socialtjänstens arbete

Socialtjänstguiden fördjupar hur känsliga uppgifter, OSL-prövning och individuella ärenden påverkar AI-användningen.

SOCIALTJÄNSTSekretess i socialtjänsten

NÄSTA STEG

ETIK OCH JURIDIK // RÄTTSSÄKERHET OCH ANSVAR

Fortsätt

KÄLLOR OCH FÖRDJUPNING

Relevant regelverk och vägledning

  • Förvaltningslagen (SFS 2017:900) — krav på objektivitet, saklighet och likabehandling i myndighetsutövning.
  • Offentlighets- och sekretesslagen (SFS 2009:400) — offentlighetsprincipen och sekretess i offentlig verksamhet.
  • Dataskyddsförordningen (GDPR, förordning (EU) 2016/679) — personuppgiftsbehandling och automatiserade beslut (artikel 22).
  • DIGG (Myndigheten för digital förvaltning), digg.se — vägledningar och ramverk för digital förvaltning och AI.
  • EU AI Act (förordning (EU) 2024/1689) — högrisk-AI i myndighetsutövning kräver konsekvensanalys och mänsklig tillsyn.

AI FÅR INTE ERSÄTTA MÄNSKLIGT ANSVAR OCH OMDÖME I MYNDIGHETSUTÖVNING. KONTROLLERA ALLTID LOKALA RIKTLINJER OCH TILLÄMPLIGA SEKRETESSREGLER.