Vad är hälsodata och var lagrar du dem?

Ett LMS bör inte lagra hälsodata

I takt med att skolorna digitaliseras har Learning Management Systems (LMS) blivit vardagliga verktyg för lärarna. De hjälper till att organisera lektioner, uppgifter och kommunikation. Men en sak som de inte bör användas till är att lagra information om elev hälsa.

Vad är hälsodata och varför kan den inte lagras?

Hälsouppgifter avser all information som rör en persons fysiska eller psykiska hälsa, inklusive medicinska tillstånd, allergier, mediciner och särskilda anpassningar. Enligt den allmänna dataskyddsförordningen (GDPR) klassificeras hälsouppgifter som uppgifter av särskild kategori, vilket innebär att de kräver extra skydd och inte får lagras utan en solid rättslig grund. Artikel 9 om uppgifter i särskilda kategorier kan läsas här.

Många lärare kanske inte är medvetna om att även om det är okej att notera att en elev är frånvarande på grund av sjukdom, är det inte okej att ange den exakta sjukdomen. Det går till exempel bra att skriva "Jane är sjuk", men att skriva "Jane har influensa" kan vara ett brott mot GDPR-reglerna.

Denna distinktion är viktig eftersom omnämnandet av en specifik sjukdom avslöjar detaljerad hälsoinformation, som faller under särskilda kategorier av uppgifter. GDPR kräver en tydlig rättslig grund för att behandla sådana uppgifter, och utan uttryckligt samtycke eller annan giltig anledning kan det vara olagligt att lagra dem, även i ett LMS. Dessutom kräver känsliga hälsodata strängare säkerhets- och sekretessåtgärder än vad ett LMS vanligtvis tillhandahåller.

Varför ett LMS är fel plats för hälsodata

1. LMS-plattformar är inte byggda för det
   LMS-plattformar är utformade för lärande, inte för att lagra känslig information som elev , medicinering eller medicinska tillstånd. Även om itslearning och liknande plattformar har strikta säkerhetsåtgärder på plats är de inte särskilt utformade för att lagra hälsodata. Dessutom är åtkomstkontroll och datahantering i slutändan skolans ansvar, vilket innebär att samma nivå av tillsyn och kontroll som i ett särskilt journalsystem inte kan garanteras.
2. Det kan strida mot lagen
   Enligt GDPR är det vanligtvis inte tillåtet att lagra hälsodata i ett LMS om inte ett specifikt undantag gäller (som uttryckligt samtycke från vårdnadshavare). Skolor som inte följer reglerna riskerar betydande juridiska konsekvenser.
3. För många människor kan se det
   Ett LMS är avsett att användas av lärare, administratörer och studenter. Det är för många personer när det gäller privata hälsouppgifter. Hälsodata ska bara vara tillgänglig för dem som verkligen behöver den, som skolsköterskan.
4. Du ska bara lagra det som är nödvändigt
   GDPR säger att skolor bara får samla in den minsta mängd personuppgifter som behövs för ett tydligt syfte. Att lagra detaljerade hälsojournaler i ett LMS är vanligtvis onödigt och kan strida mot dessa regler.
5. Svårt att hålla reda på och radera
   Skolor bör endast behålla personuppgifter så länge de behövs och sedan radera dem på ett säkert sätt. De flesta LMS-plattformar har inte rätt verktyg för att spåra och helt ta bort hälsodata på rätt sätt.

Var ska hälsodata lagras?

Istället för att använda ett LMS bör skolor använda:

• Säkra journalsystem - Lämpliga plattformar som är utformade för att hantera känslig information.
• Officiella skoldatabaser - System som godkänts av lokala myndigheter och som uppfyller lagstadgade krav.
• Krypterade filer med strikt åtkomstkontroll - Om det är absolut nödvändigt ska filer lagras på ett säkert sätt med begränsad åtkomst.

Vad kan skolorna göra i stället?

• Få tydligt tillstånd - Om hälsouppgifter måste lagras, inhämta uttryckligt samtycke från vårdnadshavare eller förmyndare.
• Begränsa åtkomsten - Låt bara personer som verkligen behöver informationen se den.
• Håll det till ett minimum - Samla bara in det som är absolut nödvändigt för elev säkerhet.
• Ha en tydlig plan för radering - Se till att hälsouppgifter raderas när de inte längre behövs.