Ny afgørelse: Samtykke fra medvirkende var ikke nok
Et midtjysk hospital indhentede samtykke fra patienter til at dele opslag om patienterne på hospitalets Instagram. Men en ny afgørelse fra Datatilsynet viser, at samtykket ikke var gyldigt. Læs her, hvad I som bureau skal vide om sagen.
NB: Denne artikel er blevet opdateret 5. februar 2024 kl. 11.32. Se rettelserne nederst.
På Aarhus Universitetshospitals (AUH) Instagramkonto delte man løbende billeder og videoer af dagligdagen – fx via takeovers fra de enkelte afdelinger. Opslagene viste patienter, ansatte og pårørende med fokus på generel information til borgerne vedr. sundhed og/eller hospitalets dagligdag – ofte med en personlig vinkel for at gøre formidlingen mere nærværende og vedkommende.
Men i en ny afgørelse udtaler Datatilsynet alvorlig kritik af Region Midtjylland og pålægger dem inden for fire uger at fjerne alle opslag, der er omfattet af kritikken. Kritikken omhandler det juridiske grundlag for at kunne dele opslagene – et juridisk grundlag, som Regionen havde taget stilling til, men som Datatilsynet underkender.
Følsomme persondata
Alle former for behandling og brug af persondata kræver et juridisk grundlag. Persondata om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er defineret som følsomme persondata og kræver et særligt juridisk grundlag.
Et af de mulige juridiske grundlag er at indhente et samtykke til behandling af følsomme persondata. Det var netop sådan et samtykke, som Aarhus Universitetshospitals (AUH) delte opslag med og af patienter på Instagram. Opslagene bestod af billeder og i nogle tilfælde navne og direkte eller indirekte oplysninger om helbredsmæssige forhold, hvor sidstnævnte er kategoriseret som følsomme persondata.
Belæg for afgørelsen
Et samtykke skal være frivilligt, specifikt, informeret og utvetydigt. Og kravet om frivillighed er dét, som Datatilsynets kritik er udløst af.
Datatilsynet skriver i afgørelsen, at de omstændigheder, som en patient typisk befinder sig i, når man er indlagt eller i et behandlingsforløb på et hospital, som almindeligvis er en sårbar situation, som bør tillægges betydning. Det var Datatilsynets vurdering, at den sårbarhed skabte en ulighed mellem patienterne og hospitalet og hospitalets personale, som ville kunne indebære en risiko for, at patienten kunne opleve at føle et pres ved en anmodning om samtykke.
Datatilsynet skriver derudover i afgørelsen (red. markering lavet af KreaKom):
” Ved vurderingen af, om offentlige myndigheder kan anvende samtykke som behandlingsgrundlag, indgår det, om den dataansvarlige og den registrerede i den konkrete situation kan anses for at være jævnbyrdige, og om den registrerede oplever at have et reelt frit valg.
Datatilsynet har tillagt det betydning, at udgangspunktet for offentlige myndigheders behandling af personoplysninger er, at samtykke efter databeskyttelsesforordningen ikke kan anvendes som behandlingsgrundlag, som følge af det indbyggede ulige forhold mellem den dataansvarlige og den registrerede borger. Datatilsynet har ikke fundet grundlag for at fravige dette udgangspunkt, idet den dataansvarlige og den registrerede i den konkrete situation ikke kan anses for at være jævnbyrdige.
Det af Region Midtjylland anførte om, at der i udvælgelsen af patienter tages hensyn til den enkeltes fysiske helbred og overskud, ligesom patienten gives betænkningstid, inden samtykkeerklæringen underskrives, og at der gives mulighed for at godkende opslagets indhold, kan ikke føre til et andet resultat.”.
Det er her vigtigt at understrege, at en offentlig myndighed som udgangspunkt ikke kan anvende samtykke som juridisk grundlag – det gælder ikke kun for følsomme persondata, men er en del af den overordnede vejledning for samtykker. Læs Datatilsynets vejledning om samtykke her, og se særligt afsnit 2.3.1 om ulige roller ved samtykke, her.
De overordnede GDPR-principper
GDPR indeholder nogle grundlæggende principper, som gælder for al behandling af persondata. Et af principperne siger, at al persondata skal ”behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)”, GDPR artikel 5, stk. 1.
AUH havde oplyst, at formålet med opslagene var at informere omverdenen om hospitalets virke og rekruttere medarbejdere. Datatilsynet konkluderede i afgørelsen, at det formål ville kunne opnås på en mindre indgribende måde for de berørte personers grundlæggende rettigheder, særligt med fokus på patienternes ret til respekt for privatlivet og til beskyttelse af personoplysninger. Derfor var en del af kritikken også, at man ikke opfyldte de grundlæggende principper for GDPR.
Læs afgørelsen fra Datatilsynet her.
Bureauernes rolle
Når man på bureauerne skal indhente, producere, lave eller på anden måde arbejde med indhold, hvor der indgår almindelig eller følsomme persondata, så vær opmærksom på, hvilket juridisk grundlag I bruger.
Hvis man anvender samtykke fra medvirkende, så sørg for at undersøge, om der er et ulige forhold, som kan påvirke gyldigheden af samtykket.
Ofte ser vi samtykke anvendt, når der er tale om følsomme persondata, fordi der er få gyldige juridiske grundlag. Ofte fordi, at det altid er muligt at trække et samtykke tilbage, hvilket giver mulighed for at den medvirkende kan fortryde sit samtykke. Her er det vigtigt at være opmærksom på, om der er et ulige forhold, der umuliggør brugen af sådanne samtykker. Det er uklart, hvornår noget er et ulige forhold, udover de konkrete situationer, der beskrives i vejledningen om samtykke (afsnittet som citeres ovenfor).
Er du medlem af Kreativitet & Kommunikation?
Er du medlem af Kreativitet & Kommunikation og har brug for rådgivning, så kontakt vores juridiske seniorrådgiver, Cecilie Kunz Paulsen, på ckp@kreakom.dk eller tlf +45 41 31 60 08.