Journalnummer: 2023-432-0016.
Resumé
Den 19. december 2022 indledte Datatilsynet en sag af egen drift mod Region Midtjylland som dataansvarlig, der omhandlede Aarhus Universitetshospitals brug af Instagram til at offentliggøre billeder af patienter. Baggrunden for sagen var en henvendelse fra en tidligere patient på hospitalet.
Datatilsynet anmodede Region Midtjylland om at forholde sig til en række spørgsmål – særligt om grundlaget for behandlingen og hospitalets efterlevelse af de generelle databeskyttelsesretlige principper i denne sammenhæng.
Efter en undersøgelse af sagen fandt Datatilsynet, at Region Midtjylland ikke kan anvende samtykke som behandlingsgrundlag, idet der foreligger et ulige forhold mellem patienten og regionen/hospitalet. Datatilsynet fandt endvidere, at behandlingen ikke er i overensstemmelse med principperne i databeskyttelsesforordningens artikel 5, stk. 1.
Datatilsynet har på den baggrund udstedt et påbud til Region Midtjylland om at slette opslag indeholdende helbredsoplysninger om patienter fra Instagramkontoen indenfor fire uger.
1. Indledende bemærkninger
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 19. december 2022 indledte en undersøgelse af egen drift af Aarhus Universitetshospitals (AUH) offentliggørelse af billeder af patienter med tilhørende oplysninger om patienternes helbredstilstande på Instagram.
2. Afgørelse og påbud
Datatilsynet finder – efter at sagen har været forelagt Datarådet – at Region Midtjyllands behandling af personoplysninger i forbindelse med offentliggørelse af fotos af patienter på AUH’s Instagramkonto ikke er i overensstemmelse med databeskyttelsesforordningens[1] artikel 9, stk. 2, litra a, og artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.
Endvidere finder Datatilsynet, at behandlingen ikke er i overensstemmelse med principperne i databeskyttelsesforordningens artikel 5, stk. 1.
Datatilsynet udtaler på den baggrund alvorlig kritik af Region Midtjylland.
Endvidere meddeler Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d, påbud til Region Midtjylland om at slette opslag indeholdende helbredsoplysninger om patienter fra Instagramkontoen auhdk.
Påbuddet omfatter alle fotos af identificerbare patienter, der er offentliggjort på den pågældende konto.
Fristen for efterlevelse af påbuddet er 4 uger fra dags dato. Regionen Midtjylland bedes – inden for samme frist – underrette Datatilsynet om, at påbuddet er efterlevet.
Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 5, er strafbart at undlade at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
3. Sagsfremstilling
På baggrund af en klage fra en borger over et billede af den pågældende på AUH’s Instagram konto indledte Datatilsynet den 19. december 2022 en nærmere undersøgelse af egen drift over for Region Midtjylland som dataansvarlig for behandlingen af personoplysninger på Instagramkontoen auhdk.
Datatilsynet kunne ved denne undersøgelse konstatere, at der på AUH’s Instagramkonto var offentliggjort oplysninger i form af billeder, i visse tilfælde navne og oplysninger, der direkte eller indirekte i flere tilfælde udgør oplysninger om helbredsmæssige forhold. Oplysningerne angår i overvejende grad fysiske personer, herunder børn og unge, som direkte kan identificeres ud fra opslagene.
På Instagramkontoen offentliggøres løbende billeder og videoer af dagligdagen på AUH. Billederne viser patienter, ansatte og pårørende og bliver delt som opslag eller i historier, der enten forsvinder efter 24 timer eller bliver gemt som et højdepunkt[2], der kan tilgås senere.
Kontoen, der har været aktiv siden juni 2015, har mere end 15.000 følgere, og der er delt mere end 1.400 opslag. Ved gennemgang af kontoen kunne det endvidere konstateres, at der var opslag med billeder af og oplysninger om patienter tilbage fra 2016.
Region Midtjylland har ved breve af 16. januar og 16. marts 2023 besvaret en række spørgsmål fra Datatilsynet.
3.1.
Region Midtjylland har i sine svar oplyst følgende om formålet med opslagene på Instagram:
”Oplysningerne på auhdk behandles med det formål at informere omverdenen om hospitalets virke. Opslagene har fokus på generel information til borgerne vedr. sundhed og/eller hospitalets dagligdag. Ofte har opslagene en personlig vinkel for at gøre formidlingen mere nærværende og vedkommende”
Derudover fremgår det af regionens ”Retningslinjer for udlån - Instagram takeovers”, som regionen har indsendt i forbindelse med besvarelse af spørgsmål fra Datatilsynet, at formålet med opslagene er at rekruttere nye medarbejdere.
Af retningslinjerne fremgår ligeledes, at regionen udlåner Instagramkontoen til forskellige afdelinger på hospitalet (en såkaldt ”takeover”). Der skal offentliggøres mindst ét opslag om dagen i forbindelse med de enkelte afdelingers takeovers af én uges varighed, og medarbejderne opfordres til at bruge hashtags og besvare eventuelle kommentarer. Region Midtjylland har oplyst, at opslagene som udgangspunkt laves af en afgrænset kreds af medarbejdere i hospitalets kommunikationsafdeling. Det er dog de enkelte afdelinger på hospitalet, som udarbejder de opslag, der offentliggøres under de ugentlige ”takeovers”, hvor man følger forskellige afdelinger på hospitalet.
3.2.
Region Midtjylland har overordnet anført, at opslag indeholdende oplysninger om borgere, herunder patienter, offentliggøres med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a. Samtykket indhentes skriftligt forud for offentliggørelsen af opslaget, og afgivelsen af samtykke påvirker ikke den sundhedsfaglige behandling, som patienten tilbydes. Ved udvælgelsen af patienter tages der hensyn til den enkeltes fysiske helbred og overskud, ligesom patienten gives betænkningstid, inden samtykkeerklæringen underskrives. Patienten får endvidere mulighed for at godkende opslagets indhold. Region Midtjylland har anført, at kriteriet om frivillighed er opfyldt, idet patienterne har et reelt frit valg i forhold til, om de ønsker deres personoplysninger offentliggjort på Instagram.
Region Midtjylland har i den forbindelse oplyst, at regionen – bl.a. henset til tillidsforholdet mellem hospitalet/regionen og patienterne – ikke har kunnet identificere et mere passende behandlingsgrundlag til den i sagen omhandlende behandling.
3.3.
Vedrørende princippet i databeskyttelsesforordningens artikel 5, stk. 1, litra a, om lovlighed, rimelighed og gennemsigtighed har Region Midtjylland anført, at behandlingen er lovlig, idet den baseres på et samtykke fra de registrerede. Kriterierne om rimelighed og gennemsigtighed iagttages ligeledes ved, at behandlingen er baseret på et samtykke. Dette skal ses i lyset af, at offentliggørelsen af oplysninger beror på frivillighed, og at offentliggørelsen derved altid sker i enighed med patienten.
Region Midtjylland har vedrørende princippet om dataminimering i databeskyttelsesforordningens artikel 5, stk. 1, litra c, anført, at der ikke behandles flere personoplysninger, end hvad der er nødvendigt for formålet. For at begrænse behandlingen af personoplysninger er der fra regionens side opmærksomhed på, om der fremgår oplysninger om personnummer, navne eller andet på bl.a. skærme, journaler og patientarmbånd på billederne. Der er generelt fokus på ikke at offentliggøre billeder af patienter i situationer, der kan virke krænkende, grænseoverskridende eller på anden måde upassende. Hertil kommer, at det i proportionalitetsafvejningen bør tillægges vægt, at offentliggørelsen af oplysningerne bygger på frivillighed og samtykke.
For så vidt angår princippet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e, fremgår det, at princippet ses iagttaget ved, at den registrerede har mulighed for at anmode om sletning. Såfremt den registrerede anmoder herom, fjernes opslaget fra Region Midtjyllands egne sociale medier.
Region Midtjylland har oplyst, at regionen ikke på tidspunktet for Datatilsynets iværksættelse af undersøgelsen har taget stilling til en generel slettefrist for behandling af oplysninger på sociale medier.
4. Retsgrundlag
4.1.
Behandling af personoplysninger kan finde sted, hvis én af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt, mens behandling af helbredsoplysninger som udgangspunkt er forbudt. Behandling af helbredsoplysninger kan dog alligevel ske, hvis den dataansvarlige kan identificere en undtagelse i forordningens artikel 9, stk. 2.
Det følger af databeskyttelsesforordningens artikel 9, stk. 2, litra a, at behandling af helbredsoplysninger – som en undtagelse til forbuddet i stk. 1 – kan finde sted, hvis den registrerede har givet udtrykkeligt samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Et samtykke fra den registrerede defineres i databeskyttelsesforordningens artikel 4, nr. 11, som:
”Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”
Det Europæiske Databeskyttelsesråd (EDPB) har vedtaget retningslinjer om samtykke, hvor forståelsen af forordningens definition af et samtykke – herunder kravet om frivillighed – er beskrevet[3].
Ifølge EDPB’s retningslinjer kan et samtykke generelt ikke anses for at være frivilligt afgivet, hvis den registrerede ikke har et reelt frit valg. Enhver form for upassende pres eller påvirkning af den registreredes frie vilje medfører, at samtykket er ugyldigt.
Endvidere følger det af præambelbetragtning nr. 43 til databeskyttelsesforordningen:
”[…] Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation.”
I overensstemmelse hermed følger det af EDPB’s retningslinjer for samtykke, at der alene er et snævert område for offentlige myndigheders anvendelse af samtykke.
4.2.
Et samtykke skal for at være gyldigt endvidere leve op til betingelserne i databeskyttelsesforordningens artikel 7.
Det følger af databeskyttelsesforordningens artikel 7, stk. 1, at hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
Bestemmelsen indebærer, at den dataansvarlige har en udtrykkelig forpligtelse til at påvise, at en registreret har givet gyldigt samtykke til behandlingen af vedkommendes personoplysninger[4]. Kravet indebærer ikke alene, at den dataansvarlige kan påvise, at den registrerede har givet samtykke til behandlingen, men også at det indhentede samtykke opfylder alle relevante kriterier for et gyldigt samtykke – dermed også kravet om frivillighed.
4.3.
Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«).
Endvidere fremgår det af præambelbetragtning nr. 39 til databeskyttelsesforordningen bl.a., at personoplysninger kun bør behandles, hvis formålet ikke med rimelighed kan opfyldes på anden måde.
5. Begrundelse for Datatilsynets afgørelse
5.1.
Behandling af personoplysninger, eksempelvis billeder med ledsagende tekst, kan ske, hvis én af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt, mens behandling af helbredsoplysninger som udgangspunkt er forbudt. Behandling af helbredsoplysninger kan dog ske, hvis den dataansvarlige kan identificere en undtagelse i forordningens artikel 9, stk. 2. Herudover skal de grundlæggende principper for behandling af personoplysninger i artikel 5 være opfyldt.
På grundlag af sagens oplysninger må Datatilsynet lægge til grund, at der på AUH’s Instagramkonto behandles en række personoplysninger om identificerbare personer, herunder oplysninger om patienter omfattet af databeskyttelsesforordningens artikel 6 samt oplysninger omfattet af forordningens artikel 9 om særlige kategorier af personoplysninger i form af helbredsoplysninger.
Datatilsynet har ved vurderingen af spørgsmålet om, hvorvidt der er tale om helbredsoplysninger bl.a. lagt vægt på, at de omhandlede billeder i flere tilfælde ledsages af oplysninger om hospitalsafdeling og oplysninger om, hvad patienten fejler eller skal undersøges for. I forhold til billeder af patienter under ”takeovers” er det muligt konkret at udlede oplysninger om den afdeling, patienten er indlagt eller er i behandling på, idet navnet på den enkelte afdeling, der følges, oplyses ved en takeover.
Billederne af patienterne er offentligt tilgængelige og kan tilgås af alle, uanset om man har en konto på Instagram.
Samtykke som behandlingsgrundlag fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Det følger af kravet om udtrykkeligt samtykke efter forordningens artikel 9, stk. 2, litra a, samt kravet om påvisning efter artikel 7, stk. 1, at der ikke må være tvivl om samtykkets gyldighed.
Ved vurderingen af om et samtykke opfylder betingelserne i bestemmelsen i artikel 4, nr. 11, skal betingelserne for samtykkets gyldighed vurderes ud fra de relevante omstændigheder ved indhentelsen af samtykket. Det betyder, at den registreredes situation skal inddrages i bl.a. spørgsmålet om, hvorvidt et samtykke kan anses for at være frivilligt.
Datatilsynet finder, at de omstændigheder, som en patient typisk befinder sig i, når man som patient almindeligvis er i en sårbar situation, når man er indlagt eller i et behandlingsforløb på et hospital, bør tillægges betydning.
Det er Datatilsynets vurdering, at en sådan sårbarhed skaber en ulighed mellem patienten og hospitalet og hospitalets personale, som kan indebære en risiko for, at patienten kan opleve at føle et pres ved en anmodning om samtykke.
Det kan endvidere påvirke patientens oplevelse af at have et reelt frit valg eller udgøre et pres for patienten, at Aarhus Universitetshospital er en offentlig myndighed, der tilbyder en sundhedsfaglig ydelse, som den registrerede har behov for.
Ved vurderingen af, om offentlige myndigheder kan anvende samtykke som behandlingsgrundlag, indgår det, om den dataansvarlige og den registrerede i den konkrete situation kan anses for at være jævnbyrdige, og om den registrerede oplever at have et reelt frit valg.
Datatilsynet har tillagt det betydning, at udgangspunktet for offentlige myndigheders behandling af personoplysninger er, at samtykke efter databeskyttelsesforordningen ikke kan anvendes som behandlingsgrundlag, som følge af det indbyggede ulige forhold mellem den dataansvarlige og den registrerede borger. Datatilsynet har ikke fundet grundlag for at fravige dette udgangspunkt, idet den dataansvarlige og den registrerede i den konkrete situation ikke kan anses for at være jævnbyrdige.
Det af Region Midtjylland anførte om, at der i udvælgelsen af patienter tages hensyn til den enkeltes fysiske helbred og overskud, ligesom patienten gives betænkningstid, inden samtykkeerklæringen underskrives, og at der gives mulighed for at godkende opslagets indhold, kan ikke føre til et andet resultat.
I en situation som den foreliggende er der efter Datatilsynets opfattelse skærpede krav til vurderingen af samtykke som grundlag for behandlingen af personoplysninger om patienter under henvisning til kategorien af de oplysninger, som behandlingen angår, behandlingens indgribende karakter i form af offentliggørelse og den omstændighed, at der foreligger et patientforhold. Det er herefter Datatilsynets vurdering, at betingelsen om, at et samtykke efter databeskyttelsesforordningens artikel 4, nr. 11, skal være frivilligt, derfor ikke kan anses for opfyldt.
På den baggrund finder Datatilsynet, at offentliggørelsen af personoplysninger om patienter på AUH’s Instagramkonto ikke er i overensstemmelse med databeskyttelsesforordningens artikel 9, stk. 2, litra a, og artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.
Datatilsynet bemærker, at et formål om at informere omverdenen om hospitalets virke og rekruttere medarbejdere kan opnås på en måde, som er mindre indgribende for de berørte personers grundlæggende rettigheder, navnlig deres ret til respekt for privatlivet og til beskyttelse af personoplysninger.
Datatilsynet finder derfor, at Region Midtjyllands behandling af personoplysninger heller ikke er i overensstemmelse med principperne i databeskyttelsesforordningens artikel 5, stk. 1.
5.2.
Datatilsynet finder grundlag for at udtale alvorlig kritik af Region Midtjyllands behandling af personoplysninger.
Endvidere meddeler Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d, påbud til Region Midtjylland om at slette opslag indeholdende helbredsoplysninger om patienter fra Instagramkontoen auhdk.
Påbuddet omfatter alle fotos af identificerbare patienter, der er offentliggjort på den pågældende konto.
Fristen for efterlevelse af påbuddet er 4 uger fra dags dato. Regionen Midtjylland bedes – inden for samme frist – underrette Datatilsynet om, at påbuddet er efterlevet.
Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 5, er strafbart at undlade at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.
5.3.
Datatilsynet tilføjer afslutningsvis, at tilsynet ikke ved afgørelsen har taget stilling til spørgsmål om overtrædelse af reglerne om tavshedspligt i sundhedsloven.
For så vidt angår overholdelse af reglerne om opbevaring efter databeskyttelsesforordningens artikel 5, stk. 1, litra e, skal Datatilsynet opfordre til, at Region Midtjylland generelt er opmærksom herpå, således at der fastsættes generelle frister for opbevaring af personoplysninger, hvor sådanne frister ikke følger af sundhedsretlige regler.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[2] Ved at gøre brug af højdepunkter bliver det muligt at gemme de historier, der ellers forsvinder efter 24 timer. Anvendelsen af højdepunkter medfører således, at historierne fortsat kan tilgås af andre brugere efter 24 timer.
[3] EDBP’s retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679, afsnit 3.1, s. 7-14 og Datatilsynets vejledning om samtykke, maj 2021, afsnit 2.3, s. 5-10.
[4] EDBP’s retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679, afsnit 5.1, pkt. 107.