Jurist forklarer: Derfor er det ulovligt at optage og opbevare patientbilleder på sin telefon

Hvis du som læge nogensinde har optaget, opbevaret eller sendt et patientbillede via din private mobiltelefon, er det meget sandsynligt, at du har brudt loven.

Siden GDPR-reglerne trådte i kraft i maj 2016, har det været ulovligt for sundhedspersoner at anvende private mobiltelefoner til at optage patientbilleder, uanset formålet. Om det er til gavn for patienten, lægefaglig forskning eller andre formål er ligegyldigt.

»I det øjeblik en læge tager et billede af en patient på sin egen telefon, kommer arbejdspladsen til at videregive oplysninger til den pågældende sundhedsfaglige som privatperson, og det må de ikke,« siger Birgitte Kofod Olsen.

Hun er jurist, ph.d. i persondatabeskyttelse og forfatter til bogen ’Håndbog i dataansvarlighed’, og så har hun fungeret som konsulent for det digitale patientfotosystem Photologic, som er en app udviklet af speciallægerne Christian Bonde og Alessandro Venzo, der gør det muligt at tage, opbevare og dele GDPR-kompatible patientbilleder uden at komme i konflikt med lovgivningen.

Lovligt formål og lovlig behandling

Når det kommer til patientbilleder på private mobiltelefoner, finder man ifølge Birgitte Kofod Olsen den første udfordring i EU’s databeskyttelsesforordnings artikel 5.

Artikel 5 fastsætter principper for behandling af personoplysninger og bestemmer blandt andet, at personoplysninger kun skal indsamles til klart angivne og legitime formål, og ikke må viderebehandles på en måde, der strider imod disse formål.

Oplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige formål, og skal beskyttes mod uautoriseret adgang eller skade for at sikre integritet og fortrolighed.

Vi har arbejdet med forskellige løsninger på optagelse og opbevaring af patientfotos igennem længere tid for bedst at kunne imødekomme GDPR-retningslinjerne

Katrine Norborg, presserådgiver, Rigshospitalet

»I henhold til artikel 5 skal man altså have et lovlig formål for indsamling af persondata, og det har lægen ikke, da ideen med at opbygge en portefølje eller lignende på deres private mobiltelefoner ligger uden for hospitalets formål med at indsamle persondata om patienter,« siger Birgitte Kofod Olsen og uddyber:

»Problemet ligger i, at det sker på den private mobil og ikke i et lukket system som f.eks. Photologics system, som drives af hospitalet. Og der er det ligegyldigt, om lægen har opnået patientens samtykke, da det ikke tilsidesætter det grundlæggende krav om formålsbestemthed.«

Ifølge juristen skal principperne altid være opfyldt, og først derefter kan man fastlægge det lovlige grundlag for behandling af data.

Herefter er behandlingen af personoplysninger kun lovlig under mindst ét af de forhold, der er fastsat i artikel 6, såsom samtykke fra den registrerede, krav i lovgivningen eller myndighedsudøvelse.

Risiko for videredeling

Udover artikel 5 og 6 kan patientbilleder på private mobiltelefoner også være omfattet af databeskyttelsesforordningens kapitel 5 om overførsler af personoplysninger.

Ifølge Birgitte Kofod Olsen er der nemlig en risiko for, at billeder kan blive spredt via cloud services og ende på andre enheder i husstanden, ligesom der også er fare for, at billederne kan blive delt til andre apps og dermed potentielt nå andre virksomheder og lande.

Det skyldes, at mange apps kræver adgang til ens ‘kamerarulle’ på mobilen, og hvis denne adgang gives, øges risikoen for, at de billeder, man har taget, kan deles eller offentliggøres uden tilladelse, forklarer hun.

Det er dog ikke kun på private mobiltelefoner, at patientbilleder kan være ulovlige. Hvis billedet kan henføres til en bestemt person, er det ulovligt, uanset hvilken enhed der er tale om, forklarer Birgitte Kofod Olsen.

Juristen påpeger, at det ikke blot handler om oplysninger, der direkte kan identificere en person, såsom deres ansigt. Selv et billede af for eksempel en lever eller en nyre, som ikke umiddelbart identificerer patienten, kan medføre ulovlig praksis.

Forklaringen på, at det er sådan, ligger i det faktum, at billederne ofte er forbundet med metadata, som tidsstempel eller geografisk placering, der sammen med andre oplysninger potentielt kan være med til at fastslå patientens identitet, siger hun.

Hvem bærer ansvaret?

Hvis en læge så alligevel ender med at overtræde GDPR-reglerne, er det ifølge Birgitte Kofod Olsen højst sandsynligt arbejdsgiveren, som må stå til regnskab.

»Det kommer lidt an på, hvordan sagen bliver rejst. Hvis man rejser den over for hospitalet, så er der tale om ulovlig videregivelse til lægen og måske ulovlig overførsel, fordi hospitalet ikke har sikret sig mod, at lægerne ikke bruger deres private mobiltelefoner til at optage billeder,« siger hun.

Og det kan ende med at koste arbejdspladsen dyrt. En overtrædelse af GDPR-reglerne kan føre til en politianmeldelse fra Datatilsynet, og i værste fald kan det resultere i en betydelig bøde.

I 2021 politianmeldte Datatilsynet Charlottenlund Lægehus Medical Nordic I/S ’for at have behandlet fortrolige oplysninger og helbredsoplysninger om borgere i forbindelse med COVID-19-test, uden at virksomheden havde etableret den fornødne sikkerhed omkring behandlingen af oplysningerne’. Det gav en bøde på 600.000 kr. til virksomheden.

I december 2023 slap Aarhus Universitetshospital med en påtale fra Datatilsynet efter at have delt billeder af patienter på sociale medier. Men derudover har tilsynsorganet ikke haft andre sager at behandle i relation til patientfotografering, fortæller tilsynet i et skriftligt svar til Dagens Medicin.

En rundspørge foretaget af Photologic på to videnskabelige konferencer i henholdsvis Danmark og Europa afslørede imidlertid, at ni ud af ti læger stadig optager og opbevarer patientbilleder på deres personlige telefoner.

Hospitaler uenige om problemets omfang

På trods af Photologics egen undersøgelse kan man på de fleste af landets hospitaler ikke genkende problemets omfang.

»Vi overholder de gældende regler på området,« siger Lene Birk-Sørensen, cheflæge ved Plastik- og Mammakirurgisk Afdeling på Aalborg Universitetshospital.

»Vores læger er udstyret med smart-phones uden SIM-kort. De optager billeder på denne (som ligner en telefon), og via kabel bliver billederne overført til patienternes journal (NordEPJ). Billederne ligger således der, hvor de skal,« siger hun.

På Nordsjællands Hospital, Aarhus Universitetshospital og Aleris Hospitaler er man heller ikke bekendt med problemet, mens man på Rigshospitalet er opmærksomme på problemstillingen.

»Vi kan ikke sige noget om, hvor udbredt fænomenet er på tværs af hospitalet, men vi er opmærksomme på problemstillingen. Vi har arbejdet med forskellige løsninger på optagelse og opbevaring af patientfotos igennem længere tid for bedst at kunne imødekomme GDPR-retningslinjerne, behovet for fotos i patientbehandlingen og lægernes kliniske arbejdsgang,« siger Katrine Norborg, specialkonsulent og presserådgiver ved Rigshospitalet.

Selvom flere hospitaler altså umiddelbart ikke genkender, at der skulle være et problem, understreger jurist Birgitte Kofod Olsen vigtigheden af at adressere problemstillingen generelt.

»Det er jo egentlig ligegyldigt, om der er 1, 10 eller 100.000 sundhedsfolk, der gør det. Det er jo forkert under alle omstændigheder,« siger hun.

Om Photologic

I dag bruges der flere forskellige systemer og enheder til at optage og opbevare patientbilleder på landets hospitaler.

Tidligere i år blev fotosystemet Photologic implementeret ved Rigshospitalets Afdeling for Plastikkirurgi. Det skal fremover gøre det muligt for læger, sygeplejersker og andet sundhedspersonale at benytte deres egen mobiltelefon til at tage lovlige og GDPR-kompatible billeder af patienterne uden bekymring for ulovlig spredning af følsomme oplysninger.

Photologic har på nuværende tidspunkt knap 50 oprettede brugere på Rigshospitalet samt et pilotprojekt planlagt ved Aleris Hamlet og en igangværende dialog med Sjællands Universitetshospital.

Læs også:

10. maj 2024: Ny app hjælper læger med at overholde GDPR-regler for brug af patientfotos