GDPR och AI i skolan
Vad du som lärare behöver veta om GDPR, personuppgifter och säker användning av AI-verktyg i undervisningen.
Varför är GDPR viktigt för vibekodning?
När du använder AI-verktyg som ChatGPT, Claude eller Gemini skickar du text till en extern tjänst — och den texten kan innehålla uppgifter som räknas som personuppgifter enligt GDPR. Som lärare har du ett ansvar för de uppgifter du hanterar om elever, vårdnadshavare och kollegor.
Det behöver inte vara komplicerat. Du behöver inte vara jurist för att använda AI på ett ansvarsfullt sätt. Det handlar mest om att tänka ett steg extra innan du skriver din prompt: Innehåller det här något jag egentligen inte borde dela med en extern tjänst?
Den goda nyheten är att vibekodning — att använda AI för att skapa undervisningsmaterial — i grunden är ett utmärkt sätt att arbeta GDPR-säkert. Du skapar resurser, inte behandlar elevdata. Men det finns ändå några saker du behöver känna till.
GDPR gäller i hela EU
GDPR (General Data Protection Regulation) är en EU-förordning som gäller alla svenska skolor. Den reglerar hur personuppgifter får samlas in, lagras och användas. Din skola är personuppgiftsansvarig, och du som lärare är en del av den kedjan.
Grundläggande GDPR-principer
Det finns tre principer som är extra viktiga att ha i bakhuvudet när du arbetar med AI-verktyg:
Dataminimering — Dela bara det som är absolut nödvändigt. Om du kan skriva en prompt utan att nämna en enskild elev, gör det. En AI behöver nästan aldrig veta vem din elev är för att hjälpa dig skapa ett bra material.
Ändamålsbegränsning — Uppgifter som samlats in för ett syfte får inte användas för ett annat. Om du har tillgång till känslig information om en elev i egenskap av mentor, ska den inte hamna i en AI-prompt för att du råkade använda ett verkligt exempel.
Lagringsminimering — Personuppgifter ska inte lagras längre än nödvändigt. Tänk på att AI-tjänster kan spara dina chattar — även om det bara är tillfälligt. Undvik att lagra känsliga uppgifter i externa tjänster överhuvudtaget.
Tumregeln som håller
Fråga dig själv: "Skulle jag vara bekväm om skolans rektor eller en vårdnadshavare läste exakt det jag skickade till AI-tjänsten?" Om svaret är nej — omformulera prompten.
Vad får du INTE skriva i en AI-prompt?
Det här är det viktigaste avsnittet i hela artikeln. Nedan är exempel på uppgifter som aldrig ska skickas till en extern AI-tjänst utan att du har specifikt tillstånd och ett databehandlingsavtal på plats.
Dela aldrig detta i en AI-prompt
- Namn på elever — Inte förnamn, inte efternamn, inte kombination av båda
- Personnummer — Varken fullständigt eller förkortat
- Betyg och omdömen — Inklusive IUP-anteckningar och skriftliga omdömen
- Hälsoinformation — Diagnoser, mediciner, fysiska eller psykiska tillstånd
- Beteendeanteckningar — Incidentrapporter, disciplinärenden, uppgifter från elevhälsan
- Familjeförhållanden — Vårdnadstvister, ekonomisk situation, hemförhållanden
- Kontaktuppgifter — Adresser, telefonnummer till elever eller vårdnadshavare
Lägg märke till att det räcker med att kombinera två till synes harmlösa uppgifter för att det ska bli en personuppgift. "Klass 8B" är inte en personuppgift. "Eleven i 8B som har en IEP för dyslexi" börjar bli det — och med ett namn är det definitivt en känslig personuppgift.
Vad du kan göra istället: Använd fiktiva namn (Elev A, Elev B), beskriv situationen i generella termer, eller anonymisera genom att ändra detaljer som inte påverkar din fråga.
Säker användning av AI-verktyg
Med rätt arbetssätt kan du använda AI-verktyg på ett tryggt och lagligt sätt. Här är konkreta riktlinjer:
Anonymisera alltid. Istället för "Min elev Fatima i år 7 har svårt med..." skriver du "En elev i mellanstadiet har svårt med...". Resultatet från AI:n blir lika bra — eller bättre, eftersom AI:n inte distraheras av irrelevanta detaljer.
Använd generiska exempel. När du ber AI:n skapa uppgifter eller material behöver du sällan referera till verkliga elevsituationer. "Skapa en övning om bråkräkning för elever som har svårt att visualisera täljare och nämnare" fungerar utmärkt utan att nämna någon specifik elev.
Kolla skolans IT-policy. Din skola eller kommun har förmodligen riktlinjer för vilka digitala tjänster som är godkända. Dessa kan skilja sig mycket åt — och de uppdateras kontinuerligt i takt med att nya verktyg godkänns.
Läs sekretesspolicyn. Tar AI-tjänsten hand om din data på ett sätt du är bekväm med? Används dina chattar för att träna modellen? Många tjänster har möjlighet att stänga av det, men du måste ofta aktivt välja det i inställningarna.
Företagskonton ger mer skydd
Många AI-tjänster erbjuder skolkonton eller teamkonton med starkare dataskyddsavtal. Om din skola har ett sådant avtal ger det dig som regel bättre juridisk trygghet än att använda ett privat gratiskonto.
Vilka verktyg är godkända?
Det varierar — och det är ett ärligt svar. Sverige har ingen nationell lista över godkända AI-tjänster för skolor. Varje kommun och skola gör egna bedömningar, ofta i samarbete med sin IT-avdelning och jurister.
Det som däremot är vanligt:
- Många kommuner har godkänt ChatGPT för lärarbruk, men inte för direkt elevbruk utan föräldratillstånd
- Microsoft Copilot ingår i många kommuners befintliga Microsoft 365-avtal och kan ha ett databehandlingsavtal redan på plats
- Google Gemini är tillgängligt via Workspace for Education för skolor som använder Google-plattformen
- Specialiserade pedagogiska verktyg som Skolon samarbetar ofta med kommuner och kan ha GDPR-klara avtal
Det allra viktigaste rådet: Kontakta din IT-ansvarig eller rektor innan du börjar använda ett nytt AI-verktyg i tjänsten. Det tar fem minuter och kan spara dig en stor huvudvärk.
Fråga kollegor
Chansen är stor att någon på din skola redan har navigerat den här djungeln. Fråga en kollega eller din förstelärare om de vet vilka verktyg som är godkända — erfarenhet sprids bäst mellan lärare.
Checklista innan du börjar
Gå igenom den här listan innan du sätter igång med ett nytt AI-projekt på jobbet:
- Kontrollera skolans policy — Är verktyget du vill använda godkänt av din skola eller kommun?
- Sätt upp ett lämpligt konto — Använd helst ett skolkonto, inte ett privat konto, om skolan erbjuder det.
- Stäng av träning av modellen — Hitta inställningen som förhindrar att dina chattar används för att träna AI:n (finns i de flesta tjänster).
- Anonymisera din arbetsplan — Bestäm dig för hur du ska hantera eventuella elevreferenser i dina prompts — och håll dig till det.
- Granska materialet du skapar — Innan du sparar eller delar ett AI-skapat material, kontrollera att inga personuppgifter har smugit sig in i innehållet.
- Dokumentera om det behövs — Vid mer systematisk AI-användning kan din skola behöva en registerförteckning. Prata med din rektor.
Delning av resurser på VibeTeacher
När du delar en resurs på VibeTeacher — en HTML-fil, ett spel, en interaktiv övning — är det själva koden eller länken du delar. Det är i grunden oproblematiskt ur GDPR-synpunkt.
Men ett steg är viktigt: kontrollera att inga elevdata har hamnat i resursen.
Det kan hända utan att du tänker på det. Kanske testade du ditt spel med riktiga elever och deras namn finns i en highscore-lista som råkade bli inbakad i koden. Kanske skapade du en ordlista med exempel som innehåller ett verkligt elevnamn.
Ta en snabb titt igenom koden eller HTML-filen innan du publicerar. Sök efter namn, klasser eller annan information som kan kopplas till specifika individer.
Dela resursen, inte datan
Det vackra med vibekodning för undervisning är att du skapar generiska verktyg som fungerar för alla elever. Håll det så — ett välgjort mattespel behöver inga elevnamn för att vara pedagogiskt värdefullt.
GDPR och AI-verktyg går att kombinera på ett tryggt sätt. Skriv aldrig elevers namn, personnummer, betyg eller hälsoinformation i en AI-prompt. Anonymisera alltid, kolla vilka verktyg din skola godkänt, och granska materialet du skapar innan du delar det. Med de vanorna på plats kan du vibekoda fritt och tryggt.