En IS-kvinnes retur med to barn til Norge har skapt regjeringskrise. Helsen til det ene barnet er begrunnelsen for at kvinnen fikk komme tilbake. Det har ført til krav om offentliggjøring av hva som feiler barnet. Med henvisning til taushetsplikten har ikke det skjedd. Det er forhold jeg ikke skal kommentere, men saken kan være en påminnelse om at helse og barn har et særlig vern også i henhold til personvernreglene i GDPR og personopplysningsloven.
I loven er en del personopplysninger listet opp som sensitive opplysninger. De har et sterkere vern enn andre opplysninger og behandling av dem er i utgangspunktet forbudt. Det gjelder blant annet helseopplysninger.
Et samfunn vil selvsagt ikke kunne fungere hvis et forbud mot behandling av slike personopplysninger var absolutt. Derfor finnes det flere unntaksbestemmelser. For at unntakene skal gjelde må det i tillegg til et generelt behandlingsgrunnlag, foreligge et særskilt grunnlag. To av de viktigste grunnlagene blir da at behandlingen er hjemlet i lov eller at det er gitt uttrykkelig samtykke. Hvilke samtykker barn kan gi selv, avhenger av barnets alder.
Andre unntak er blant annet at behandlingen er nødvendig for at den personen opplysningene er registrert om, skal ha muligheter til å utøve rettighetene sine, at det er åpenbart at den registrerte selv har offentliggjort opplysningene, at behandlingen er nødvendig av allmenne folkehelsehensyn, at behandlingen er nødvendig for arkivformål i allmennhetens interesse eller er nødvendig for ytelse av helse- og sosialtjenester.
De som skal registrere og behandle personopplysninger har en omfattende informasjonsplikt. Informasjonen kan gis på flere måter. Eksempler er personvernerklæringer, opplysninger når brukere/kunder skal ivareta rettighetene sine, eller når det skal informeres om avvik.
Det stilles krav til måten informasjonen gis på. Åpenhet er en forutsetning, og det kreves klart og tydelig språk som gjør all informasjon forståelig for alle. Særlig viktig er dette når det gjelder barn.
I forbindelse med personverndagen 28. januar har det vært et fokus på det særskilte personvernet barn har og hvordan informasjonssikkerheten er i skoleverket. Det har sammenheng med at det har vært ganske mange tilfeller av at barns personopplysninger har kommet på avveie. De største GDPR-bøtene i Norge hittil har Oslo og Bergen kommuner fått på grunn av slike hendelser. I Bergen har i tillegg en skole-app ført til at en familie med sterkt beskyttelsesbehov har fått sine nye navn og hemmelige adresse eksponert.
I en kronikk i Aftenposten opplyser direktør Bjørn Erik Thon i Datatilsynet at de har mottatt over 100 saker hvor barns personvern har blitt skadelidende på grunn av tekniske mangler eller menneskelige feil i skolen. Han etterlyser et nasjonalt løft for å bedre kompetansen og sikkerheten i den digitale skolehverdagen.
Datatilsynet, Forbrukertilsynet og Medietilsynet påpeker i en felles kronikk at de som tilbyr tjenester til barn og unge må gjøre informasjonen lett tilgjengelig. I kronikken viser de til at de nye personvernreglene understreker at informasjonen skal være både enkel å finne og lett å forstå. Den skal være tilpasset ulike målgrupper, utformet i et lettfattelig språk eller visuelt fremstilt. Bakgrunnen for dette er at undersøkelser viser at seks av ti ungdommer hopper bukk over personvernerklæringene når de benytter ulike tjenester. De unge begrunner det med at erklæringene er for lange og vanskelige å forstå. Ansvaret for å gjøre noe med dette hviler da på tilbyderne.
Det er naturlig for meg også å minne om at det er et krav i GDPR at personopplysninger skal slettes når det ikke lenger er et grunnlag for å beholde dem. Særlig viktig er det for å hindre at opplysninger om barn og unge kommer på avveie. Blant annet kan det gjelde innhold på utstyr som elevene leverer tilbake. En løsning kan da være å makulere dette utstyret.