Region Syddanmark indstilles til bøde

Dato: 16-07-2021

Datatilsynet anmelder Region Syddanmark til politiet, da tilsynet vurderer, at regionen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Region Syddanmark er blevet indstillet til en bøde på 500.000 kr. for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger. Datatilsynet blev opmærksom på sagen, da en borger i 2020 rettede henvendelse til tilsynet over manglende sikkerhed ved regionens behandling af personoplysninger vedrørende borgerens barn, og kort tid efter anmeldte regionen forholdet som et brud på persondatasikkerheden til tilsynet.

Region Syddanmark havde i en periode på mere end 1,5 år haft en database til forskningsmæssige og kliniske formål, hvor regionen ikke i tilstrækkelig grad havde sikret sig imod, at uvedkommende kunne opnå uautoriseret adgang til PDF-dokumenter i databasen ved blot at ændre en URL-adresse. Det medførte, at borgere, der var registreret i databasen – og som i øvrigt havde et login til databasen – kunne tilgå personoplysninger om de mere end 30.000 andre registrerede i databasen. I databasen lå der bl.a. spørgeskemaer indeholdende helbredsoplysninger om mere end 30.000 børn tilknyttet psykiatrien.

Sårbarheden i adgangen til databasen ses ikke at være udnyttet af andre end den pågældende borger, som blev opmærksom på forholdet. Dette understøttes af regionens log, som viser, at oplysningerne ikke er blevet tilgået af andre uvedkommende.

Krav om passende sikkerhed

Det er Datatilsynets opfattelse, at håndtering af bl.a. helbredsoplysninger om en særlig udsat gruppe af mindreårige stiller større krav til myndighedens omhyggelighed i forbindelse med behandling af personoplysninger. En behandlingsaktivitet, hvor personoplysninger lagres i en database og videregives via en URL-løsning, skal foregå på en måde, der sikrer den fornødne fortrolighed, således at der ikke er en potentiel adgang til beskyttelsesværdige personoplysninger.

”Som offentlig myndighed har man et særligt ansvar for at passe godt på borgernes oplysninger. I en situation som denne er der tale om en sårbarhed, som har været nem at identificere. Man kan med en relativt basal it-viden ud fra URL-adressen se, at den kan ændres, så man potentielt kan tilgå andre dokumenter. Dette betyder, at der er større risiko for, at adgangen bliver misbrugt. Hertil kommer at det er en velkendt sårbarhed, som man burde havde taget højde for under udviklingen af løsningen, og som man i hvert fald burde have opdaget i forbindelse med test,” forklarer Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at der er tale om helbredsoplysninger om en udsat gruppe af børn. Yderligere er der tale om manglende udvikling og regelmæssig afprøvning, vurdering og evaluering af effektiviteten af en tidligere kendt hændelse og sårbarhed - idet regionen tidligere har anmeldt et lignende brud på persondatasikkerheden til Datatilsynet, som gav anledning til alvorlig kritik fra tilsynet.

 

 

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.