Region Syddanmark er blevet idømt en bøde på én million kroner for grove brud på databeskyttelsesloven. Det er den hidtil største bøde til en offentlig myndighed i Danmark for overtrædelser af GDPR-reglerne. Dommen faldt mandag ved Retten i Kolding og markerer afslutningen på en af de mest omfattende GDPR-sager i dansk historie.
Uvedkommende fik adgang til følsomme oplysninger
Sagen omfatter to separate lovbrud, der fandt sted mellem 2018 og 2020. I det ene tilfælde var det muligt for uvedkommende at tilgå helbredsoplysninger om 3.915 patienter via en PowerPoint-præsentation på regionens hjemmeside. Præsentationen indeholdt bagvedliggende data, som kunne hentes frem af enhver med teknisk indsigt.
I det andet tilfælde var helbredsoplysninger om mere end 23.000 borgere – herunder børn tilknyttet psykiatrien – tilgængelige i en database, hvor ændringer i en URL kunne give adgang til oplysningerne.
“Det er en unødvendig og uacceptabel risiko for de berørte,” fremgår det af dommen.
Historisk straf
Bøden på én million kroner følger en anbefaling fra Datatilsynet, der politianmeldte Region Syddanmark i 2021. Det er første gang, en offentlig myndighed idømmes en så stor bøde for brud på GDPR-reglerne. Hidtil har Datatilsynet kun krævet lignende bøder fra private virksomheder.
Anklagemyndigheden fastslog under retssagen, at regionen havde forsømt at sikre passende tekniske og organisatoriske foranstaltninger. Manglen på tilstrækkelig datasikkerhed har ifølge Datatilsynet ført til et alvorligt tab af fortrolighed for borgerne.
Længere sagsforløb
Sagen mod Region Syddanmark begyndte efter Datatilsynets anmeldelser i sommeren 2021. Retssagen blev dog flere gange udskudt, senest i maj 2024, da Anklagemyndigheden indleverede nye bilag. Efter to dages retsmøder i december faldt dommen mandag.
Region Syddanmark håndterer helbredsoplysninger for over 1,2 millioner borgere og har tidligere været genstand for kritik i forbindelse med datalæk. Retten fandt dog, at de to sager fra 2018-2020 var de mest alvorlige.