VibeTeacher
GDPR & säkerhet
GDPR & säkerhet

Elevdata och samtycke — en praktisk guide

Vad räknas egentligen som elevdata, när behöver du samtycke, och hur arbetar du med AI-verktyg på ett sätt som skyddar elevernas integritet?

8 min read9 april 2026Nybörjare

Du sitter och planerar en Jeopardy-quiz för fredag. Det vore kul att ha frågorna på ett tema klassen älskar — och du funderar på att be AI:n skapa spelet. Men sedan tänker du: "Kan jag skriva att det är för klass 8B? Och om jag testar spelet med elevernas namn i highscore-listan — är det okej?"

De frågorna är precis rätt att ställa sig. Den här guiden ger dig ett praktiskt ramverk för att navigera dem — utan att du behöver läsa GDPR-förordningen från pärm till pärm.

Vad räknas som elevdata?

"Elevdata" är inte ett juridiskt begrepp, men det är ett användbart samlingsord för personuppgifter som rör elever. Enligt GDPR är en personuppgift all information som direkt eller indirekt kan kopplas till en identifierbar person.

Det uppenbara är lätt att känna igen:

  • Namn (för- och efternamn)
  • Personnummer
  • Foton och videoinspelningar
  • E-postadresser och telefonnummer

Men det finns ett mellanlager som är viktigt att förstå:

  • En klass ("8B") är inte en personuppgift — det är en grupp
  • "Elev i 8B" är i sig inte en personuppgift
  • "Elev i 8B med diagnosen ADHD" börjar bli en personuppgift — för i en liten grupp kan det peka ut en specifik person
  • "Elev i 8B med diagnosen ADHD som heter Elias" är en känslig personuppgift

Kombinationer av uppgifter skapar risk. Det behöver du ha i bakhuvudet när du formulerar prompts.

Känsliga personuppgifter — som hälsoinformation, etnicitet, religion och sexuell läggning — har ett starkare skydd i GDPR. De ska aldrig nämnas i en AI-prompt, inte ens indirekt eller anonymiserat. "En elev med en viss diagnos" kan i ett litet klassrum fortfarande peka ut någon.

När behöver du samtycke?

Samtycke är ett av flera rättsliga stöd för att behandla personuppgifter, men det är inte alltid rätt väg att gå. I skolan finns faktiskt ett starkare och mer stabilt stöd i de flesta fall: myndighetsutövning och uppgift av allmänt intresse (GDPR artikel 6.1 e).

Det innebär att du som lärare normalt inte behöver inhämta separat samtycke för att behandla elevuppgifter i din undervisning — det är din uppgift som offentliganställd. Det är grunden för att du kan sätta betyg, föra frånvaroregister och dokumentera pedagogiska åtgärder.

Men det finns situationer där samtycke ändå spelar in:

Du behöver samtycke (eller liknande rättslig grund) om du:

  • Publicerar foton på elever på skolans webbplats eller sociala medier
  • Skickar elevinformation till ett externt system utan databehandlingsavtal
  • Använder elevdata i ett syfte som ligger utanför din normala läraruppgift

Du behöver normalt inte samtycke för att:

  • Behandla elevuppgifter i skolans egna system (lärplattform, betygsystem)
  • Använda anonymiserade uppgifter i AI-prompts
  • Skapa generiska undervisningsmaterial med AI — även om de används av dina elever

Det är din skola — inte du personligen — som är personuppgiftsansvarig. Det innebär att frågan om rättslig grund hanteras på organisationsnivå. Din uppgift är att följa skolans policy och undvika onödig delning av elevdata till externa tjänster.

Beslutsflöde: behöver jag tänka på samtycke för det här?

Använd det här resonemanget nästa gång du är osäker:

Fråga 1: Ingår elevdata (namn, personnummer, hälsoinfo, etc.) i det jag gör? Nej → Du behöver inte tänka på samtycke. Fortsätt. Ja → Gå till fråga 2.

Fråga 2: Delar jag elevdata med en extern tjänst (AI-verktyg, appar, webbplatser)? Nej → Data stannar inom skolan. Behandlingen regleras av skolans egna rutiner. Ja → Gå till fråga 3.

Fråga 3: Har skolan ett databehandlingsavtal med den externa tjänsten? Ja → Behandlingen är i regel laglig inom ramen för avtalet. Dubbelkolla med IT-ansvarig. Nej → Dela inte elevdata med den tjänsten. Anonymisera eller välj ett godkänt alternativ.

Det är i grunden enkelt: om data stannar hos er, eller om ni har ett avtal, brukar det vara okej. Om data skickas till en extern tjänst utan avtal — där är gränsen.

Konkreta scenarier

"Kan jag skriva klassbeteckningen i min prompt?"

Ja. "Skapa en quiz för en klass i år 8" eller "Det här materialet är för högstadiet" är helt okej. Klassbeteckning i sig identifierar inte en individ.

"Kan jag använda elevnamn i ett Jeopardy-spel?"

Det beror på hur du skapar det. Tänk på skillnaden:

Okej: Du skapar ett Jeopardy-spel med Claude utan att nämna några elevnamn i prompten. Du laddar sedan ner HTML-filen och öppnar den i klassrummet. Du skriver in elevnamnen på tavlan eller i spelet lokalt, i webbläsaren, utan att något skickas vidare. Data lagras aldrig hos en extern tjänst.

Inte okej: Du skriver i prompten "Skapa ett Jeopardy-spel för min klass — de heter Aisha, Marcus, Lena och Viktor..." Nu har du delat elevdata med en AI-tjänst.

Slutsats: Vibekodade spel är faktiskt ett av de mer integritetsskyddande sätten att ha roliga klassrumsaktiviteter — om du håller elevnamnen borta från prompten och hanterar dem lokalt.

"Kan jag skriva att 'en elev i min klass har svårt med multiplikation' i min prompt?"

Ja, om det är helt anonymt. "En elev har svårt med multiplikation — vad är bra övningar?" är en generell pedagogisk fråga. Ingen enskild elev kan identifieras. Det är precis den typ av prompt du kan använda hur mycket som helst.

Det blir problematiskt om du lägger till detaljer som gör eleven identifierbar: namn, klass, diagnos, skolans namn, med mera.

"Vad händer om elevdata råkar hamna i ett spel jag skapar?"

Det kan hända utan att du tänker på det — till exempel om du testade ett spel med riktiga elevnamn i en highscore-lista och sedan råkade inkludera det i koden du delar. Gör för vana att:

  1. Söka igenom HTML-koden innan du delar den (Ctrl+F i textredigeraren)
  2. Kontrollera highscore-listor, namnfält och exempeldata
  3. Återställa eventuell testdata till fiktiva namn innan du publicerar

Anonymiseringsteknik — praktiska tips

Anonymisering innebär att du tar bort eller ersätter information så att en individ inte längre kan identifieras. Det finns ett enkelt och ett mer genomtänkt sätt att göra det.

Enkelt och ofta tillräckligt:

  • Byt ut namn mot "Elev A", "Elev B" eller helt enkelt "eleven"
  • Ersätt klassbeteckning med "en mellanstageklass" eller "en grupp år 6-elever"
  • Ta bort alla detaljer som inte behövs för din fråga

Tänk ett steg längre när det gäller känsliga uppgifter:

  • Ändra kön, ålder eller andra egenskaper som inte är relevanta för frågan
  • Kombinera flera elevers situation till ett generellt exempel
  • Skapa ett helt fiktivt scenario som speglar den pedagogiska frågan

Det är nästan alltid möjligt att omformulera en prompt på ett sätt som ger minst lika bra svar från AI:n — och som inte innehåller personuppgifter. AI:n behöver inte veta vem din elev är för att hjälpa dig hitta bra övningar, förklaringsstrategier eller undervisningsmaterial.

Anonymiserad pedagogisk frågaclaude

Lägg märke till att prompten ovan inte innehåller ett enda elevnamn, personnummer, diagnos eller annan personuppgift. Ändå ger den AI:n precis tillräckligt med kontext för att ge ett värdefullt pedagogiskt svar. Så här ser en bra GDPR-säker prompt ut.

Varför vibekodning är mer integritetsskyddande än du tror

Det finns en viktig poäng som förtjänar att lyftas fram: många kommersiella EdTech-verktyg — spel, quizzar, adaptiva lärplattformar — samlar aktivt in data om hur varje enskild elev interagerar med verktyget. Klick, svarstider, felfrekvenser, progression. Det lagras i molnet, säljs kanske till annonsörer, och du har ofta liten insyn i vad som händer.

En HTML-fil du skapade med Claude och öppnar i klassrummet gör ingenting av det. Den körs lokalt, i webbläsaren, utan nätverksanrop. Eleven som spelar ditt mattespel lämnar inga spår alls.

Det innebär inte att du ska undvika alla EdTech-verktyg — många är utmärkta och GDPR-granskade. Men det innebär att vibekodning inte är ett alternativ som är sämre ur integritetsperspektiv. I rätt kontext är det faktiskt bättre.

Viktigt att komma ihåg

GDPR och AI i skolan

Grunderna i GDPR, vad du aldrig ska skriva i en prompt och hur du arbetar ansvarsfullt med AI-verktyg.

Vilka AI-verktyg är säkra att använda?

En genomgång av ChatGPT, Claude, Gemini, Copilot och Lovable — datainsamling, åldersgränser och när de passar i skolan.

Föregående

Vilka AI-verktyg är säkra att använda?