Lovgivning

I lovgivningen, der regulerer et sygehus og dets virke, er der flere bestemmelser, som er med til at definere rammerne for et sygehus kommunikation – regler der, ifølge min vurdering som lægmand, også kan have betydning for mulighederne for kommunikation med borgere, patienter og pårørende på Facebook og andre sociale medier. Det er krav om tavshedspligt, sikker behandling af personfølsomme oplysninger, herunder helbredsinformationer, notat- og journalføringspligt, journaliseringspligt samt regler om aktindsigt, der er de afgørende i forhold til dette. Kravene er reguleret i bl.a. Sundhedsloven, Autorisationsloven, Offentlighedsloven, Forvaltningsloven samt EU Databeskyttelsesforordningen og Databeskyttelsesloven.

Lovene er komplekse og flere love har regler og krav, som handler om det samme, blot ud fra forskellige perspektiver. F.eks. er der regler om tavshedspligt i både Forvaltningsloven og Sundhedsloven. Det kræver indsigt og stort fokus at sikre, at lovene overholdes i alle aspekter af et sygehus virke og kommunikation.

I det følgende vil jeg forsøge at give et overblik over de regler i lovgivningen, som jeg umiddelbart vurderer man bør være opmærksom på, når man som sygehus vil bruge Facebook og andre sociale medier i sin kommunikation med borgere, patienter og pårørende.

Opmærksomhedspunkter

Love og regler

Opmærksomhedspunkt og tolkning

Tavshedspligt

For at sikre fortrolighed og at fortrolige oplysninger ikke misbruges eller offentliggøres gælder følgende:

Forvaltningsloven:

Alle, der arbejder indenfor den offentlige forvaltning har tavshedspligt med hensyn til oplysninger om enkeltpersoners private oplysninger.

Sundhedsloven:

Sundhedspersoner har tavshedspligt med hensyn til såkaldte fortrolige oplysninger, der er indsamlet af sundhedsprofessionelle. Dvs. oplysninger vedrørende pleje og behandling af patienten, helbredsoplysninger, indlæggelse på sygehus, behandling skadestue, sociale problemer, misbrug af nydelsesmidler o.l., strafbare forhold, privatøkonomi mv.

Personfølsomme oplysninger og sagsbehandling på sociale medier
  • Ingen samtaler/dialog på sociale medier, som kan indeholde personfølsomme oplysninger.
  • Ingen sagsbehandling på sociale medier.
Det betyder:
  • Ingen besvarelse eller kommentering på henvendelser, der indeholder spørgsmål til patienters konkrete forløb.
  • Ingen besvarelse eller kommentering på patientklager.
  • Ingen ”tage til genmæle” på patientklager eller andre sager, som indeholder personfølsomme oplysninger.
To do:

Henvisning til sagsbehandling i andre, mere sikre kanaler (f.eks. henvendelse via E-boks eller telefon) og de lovbestemte klagemuligheder.

Facebook-grupper som platform for patientnetværk

Kan sundhedspersoner deltage i samtaler i patientnetværk, som må formodes at indeholder fortrolige oplysninger, uden at komme til at overtræde sin tavshedspligt?

Notatpligt og journalføringspligt
Offentlighedsloven:

Pålægger alle myndigheder notatpligt i sager, hvor der vil blive truffet en afgørelse. Notatpligten gælder, så snart myndigheden mundtligt eller på anden vis bliver bekendt med oplysninger om en sags faktiske grundlag eller eksterne faglige vurderinger, der er af betydning for sagens afgørelse.

Autorisationsloven:

Af hensyn til patientsikkerheden skal der føres en patientjournal, når der foretages undersøgelse og behandling m.v. af patienter.
En patientjournal er optegnelser om patientens tilstand, planlagt og udført behandling m.v. herunder den information, der er givet, og hvad patienten har tilkendegivet.

Journalisering af henvendelser og klager med personfølsomme oplysninger på Facebook og andre sociale medier

I forhold til henvendelser og brugeropslag på Facebook, der indeholder personfølsomme oplysninger herunder klager, skal man være opmærksom notatpligten med henblik på en senere sagsbehandling og en evt. anmodning om aktindsigt.

Spørgsmålet er, om man skal journalisere sådanne henvendelser og herefter slette dem fra Facebooksiden?

Facebook-grupper som platform for patientnetværk

Gør reglerne om sundhedspersoners journalføringspligt sig gældende i forhold til deres muligheder for facilitering af patientnetværk?

Skal der føres journal, hvis sundhedspersonen i dialogen i gruppen, kommer med f.eks. gode råd til patienterne?

Hvis der på et senere tidspunkt køres en patientklagesag, kan sundhedspersonen så blive ”hængt op på” manglende journalføring af en rådgivning i en Facebookgruppe?

Journaliseringspligt
Offentlighedsloven:

Pålægger alle myndigheder at journalisere dokumenter, der er modtaget eller afsendt som led i administrativ sagsbehandling, i det omfang dokumentet har betydning for en sag eller sagsbehandlingen i øvrigt.

Journalisering af henvendelser og klager med personfølsomme oplysninger på Facebook og andre sociale medier

Se under ”Notatpligt og journalføringspligt”.

Aktindsigt
Offentlighedsloven:

Enhver kan forlange at blive gjort bekendt med dokumenter (akter), der er indgået til eller oprettet af en myndighed som led i en sagsbehandling.

Forvaltningsloven:

Enhver, der er part i en sag, hvor der er, eller vil blive truffet afgørelse, kan forlange at blive gjort bekendt med sagens dokumenter, dvs. søge aktindsigt.

Sundhedsloven:

Alle patienter har ret til fuld indsigt i egne helbredsoplysninger og patientjournaler.

Journalisering af henvendelser og klager med personfølsomme oplysninger på Facebook og andre sociale medier

Se under ”Notatpligt og journalføringspligt”.

Facebook-grupper som platform for patientnetværk

Se under ”Notatpligt og journalføringspligt”.

At vise rettidig omhu
Autorisationsloven:

En autoriseret sundhedsperson er forpligtet til at ”udvise omhu og samvittighedsfuldhed under udøvelsen af sin virksomhed”.

Facebook-grupper som platform for patientnetværk

Hvornår og hvordan skal og kan man som sundhedsperson reagere på informationer fra patienter, som kan have betydning for patientens tilstand og kræve en evt. indsats?

Hvad hvis man som sundhedsfaglig facilitator overser sådanne tilkendegivelser og dermed ikke reagerer på, dem, kan man så holdes ansvarlig?

Beskyttelse af personfølsomme oplysninger
EU Databeskyttelsesforordningen (GDPR) og Databeskyttelsesloven:

En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.

Oplysninger om en persons helbredstilstand hører til af typen “Særlige kategorier af personoplysninger (følsomme personoplysninger)”, som skal beskyttes allermest. De er desuden underlagt de strengeste bestemmelser om indhentning, videregivelse, behandling af data.

Når man som sygehus indhenter følsomme personoplysninger, er man ifølge loven, dataansvarlig og har derfor pligt til at sikre, at behandling af personoplysningerne lever op til EU Databeskyttelsesforordningens bestemmelser, herunder at træffe sikkerhedsforanstaltninger mod, at de kommer til uvedkommendes kendskab.

 

 

 

 

 

 

 

 

 

 

 

Facebook-grupper som platform for patientnetværk

Hvis behandling af personoplysninger skal foregå via systemer, som ikke ejes af sygehuset, kan man som dataansvarlig overlade det til en anden at udføre selve den praktiske databehandling på sygehusets vegne. Det kræver, at der indgås en databehandleraftale.

Sygehuset vil være dataansvarlig ved brug af Facebookgrupper som platform for sygehusinitierede patientnetværk. Men da det jo er Facebook, der håndterer data i grupperne er de databehandler ifølge loven, og sygehuset skal derfor indgå en databehandleraftale med Facebook, for at kunne bruge platformen til dette formål.

Facebook ønsker generelt IKKE at indgå databehandleraftaler med nogen!

Lidt flere detaljer:
Hvis en sygehusafdeling opretter og/eller administrerer en gruppe på Facebook, er indholdet omfattet af GDPR. Dermed er gruppens administrator dataansvarlig for, hvad der indsamles, lagres, bruges og offentliggøres og derfor også ansvarlig for at gribe ind, hvis gruppens medlemmer poster følsomme personoplysninger om sig selv eller andre.
Facebook vil ifølge loven være databehandler for sygehuset og afdelingen, der har oprettet gruppen

Den dataansvarlige (sygehuset og afdelingen) skal sikre sig, at databehandleren (Facebook) lever op til gældende love og regler for at behandle persondata, ligesom den dataansvarlige også har et juridisk medansvar for, hvad Facebook gør med de data, der postes i gruppen.

For at sikre disse ting skal der laves en  databehandleraftale mellem sygehuset og Facebook.

Direkte besked via Messenger

Det samme gælder, hvis man vil give brugerne mulighed for at skrive direkte til sygehuset via Facebooks besked funktion (Messenger).

Indholdsstrategier – Go eller No Go for sygehuse

Jeg har udarbejdet en oversigt over generelle indholdsstrategier for sociale medier og sygehuses muligheder for at udnytte dem på baggrund af den gældende lovgivning.

Hent oversigt

Kilder: