Datatilsynet anser att Århus universitetssjukhus publicering av personuppgifter om patienter på Instagram inte är förenlig reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet på eget initiativ inlett ett ärende mot Region Midtjylland som personuppgiftsansvarig avseende Århus universitetssjukhus användning av Instagram för att publicera bilder på patienter. Bakgrunden till ärendet var en förfrågan från en tidigare patient på sjukhuset.
Datatilsynet bad Region Midtjylland att besvara ett antal frågor, särskilt om grunden för behandlingen och sjukhusets efterlevnad av de allmänna principerna i dataskyddslagstiftningen i detta sammanhang.
Efter en undersökning av ärendet konstaterade Datatilsynet att Region Midtjylland inte kan använda samtycke som grund för behandlingen enligt artiklarna 6.1 (a) och 9.2 GDPR, eftersom det finns ett ojämlikt förhållande mellan patienten och regionen/sjukhuset. Datatilsynet konstaterade också att behandlingen inte är förenlig med principerna i artikel 5.1 GDPR.
Mot denna bakgrund har Datatilsynet utfärdat ett föreläggande mot Region Midtjylland om att radera inlägg som innehåller hälsoinformation om patienter på Instagram-kontot inom fyra veckor.