Hospital kan ikke bruge samtykke til at offentliggøre billeder af patienter på Instagram

Baggrund

Datatilsynet indledte en sag mod Region Midtjylland efter en klage over Aarhus Universitetshospitals (AUH) brug af Instagram til at offentliggøre billeder af patienter. Tilsynet undersøgte, om regionen havde et tilstrækkeligt behandlingsgrundlag og overholdt de databeskyttelsesretlige principper.

Sagens kerne

Sagen drejer sig om, hvorvidt Region Midtjylland lovligt kunne bruge samtykke som grundlag for at offentliggøre billeder af patienter på AUH's Instagramkonto, og om regionen overholdt principperne for databehandling.

Region Midtjyllands argumenter

• Region Midtjylland anførte, at de indhentede skriftligt samtykke fra patienterne forud for offentliggørelsen.
• Samtykket påvirkede ikke patienternes sundhedsfaglige behandling.
• Patienterne fik betænkningstid og mulighed for at godkende opslagets indhold.
• Regionen mente, at kriteriet om frivillighed var opfyldt, da patienterne havde et reelt frit valg.
• Regionen kunne ikke identificere et mere passende behandlingsgrundlag.

Datatilsynets undersøgelse

• Datatilsynet konstaterede, at AUH's Instagramkonto indeholdt billeder og oplysninger om patienter, herunder helbredsoplysninger.
• Kontoen havde over 15.000 følgere og mere end 1.400 opslag, hvoraf nogle var flere år gamle.
• Region Midtjylland udlånte kontoen til forskellige afdelinger, der delte opslag om hospitalets dagligdag.
• Datatilsynet vurderede, at patienternes sårbarhed skabte en ulighed mellem patient og hospital, hvilket kunne påvirke frivilligheden af samtykket.

Afgørelse

Datatilsynet udtalte alvorlig kritik af Region Midtjylland og meddelte et påbud om at slette opslag med helbredsoplysninger om patienter fra Instagramkontoen auhdk inden for fire uger.

Begrundelse

• Datatilsynet fandt, at Region Midtjylland ikke lovligt kunne anvende samtykke som behandlingsgrundlag, da der er et ulige forhold mellem patienten og regionen/hospitalet.
• Offentliggørelsen af patientoplysninger på Instagram er ikke i overensstemmelse med Databeskyttelsesforordningen § 6, stk. 1 og Databeskyttelsesforordningen § 9, stk. 2.
• Behandlingen er ikke i overensstemmelse med principperne om lovlighed, rimelighed og gennemsigtighed i Databeskyttelsesforordningen § 5, stk. 1.
• Datatilsynet bemærkede, at formålet med at informere om hospitalets virke og rekruttere medarbejdere kunne opnås på en mindre indgribende måde.
• Manglende overholdelse af Databeskyttelsesloven § 41, stk. 2 kan medføre straf.