Region Midtjylland indstillet til bøde

Dato: 08-09-2021

Datatilsynet vurderer, at Region Midtjylland ikke havde etableret passende adgangsbegrænsning til et arkiv i et livstilscenter.

Datatilsynet har politianmeldt Region Midtjylland for ikke at sikre et tilstrækkeligt højt sikkerhedsniveau omkring regionens opbevaring af patientjournaler i et arkiv i Livstilscenter Brædstrup. Datatilsynet har indstillet til en bøde på 400.000 kr.

Datatilsynet modtog den 12. juni 2020 en anmeldelse af et brud på persondatasikkerheden fra Region Midtjylland. Af anmeldelsen fremgik, at alle patienter og medarbejdere i et livstilscenter havde haft adgang til en bygning, hvor der blev opbevaret op mod 100.000 fysiske patientjournaler indeholdende bl.a. helbredsoplysninger og oplysninger om personnummer. Herudover var det muligt for forbipasserende at se omslaget på nogle af journalerne – hvor personnummer, navn og speciale fremgik – igennem et vindue til bygningen.

Den utilsigtede adgang skyldtes, at de nøglekort, som medarbejdere og patienter fik udleveret, gav adgang til alle tre bygninger i Livstilscenter Brædstrup, uanset om brugeren havde et behov herfor. Herudover var vinduerne til bygningen ikke matterede eller lignende.

Datatilsynet fandt i den forbindelse, at Region Midtjylland ikke havde etableret passende sikkerhedsforanstaltninger omkring opbevaringen af personoplysningerne.

Utilstrækkelige sikkerhedsforanstaltninger

I forbindelse med sagens behandling hos Datatilsynet oplyste Region Midtjylland, at den utilsigtede adgang havde stået på siden arkivets flytning til livstilscentret i 2016, og at regionen ikke har udført periodisk kontrol af de fysiske sikkerhedsforanstaltninger i perioden.

Ved anmeldelsen af bruddet havde Region Midtjylland oplyst, at regionen havde retningslinjer for, hvem der gives adgang til hvilke lokaler på hospitalet, der drev Livstilscenter Brædstrup. Regionen fremsendte flere versioner af samme retningslinje, der omhandler "ID-kort og adgangskontrol", som var en retningslinje, der ikke nævner patienters adgang med nøglekort eller indblik via en rude. Retningslinjen har i alle versioner fokus på personale, herunder elever, studerende og andre ikke fastansatte. En anden retningslinje havde kun fokus på at vejlede i den praktiske fremstilling af nøglekort, og ikke i, hvilke adgange, der skulle gives de forskellige nøglekort.

Datatilsynet fandt overordnet, at Region Midtjylland ikke havde etableret passende fysiske sikkerhedsforanstaltninger omkring opbevaring af de fysiske patientjournaler, herunder at regionen ikke havde etableret tilstrækkelige retningslinjer for adgangsbegrænsninger ved fremstilling af nøglekort, og at regionen ikke havde udført passende regelmæssig afprøvning, vurdering og evaluering af trufne sikkerhedsforanstaltninger.

”Regioner skal passe godt på de store mængder af helbredsoplysninger, som de behandler, hvilket de ikke gjorde i denne situation. At alle medarbejdere og patienter, der befandt sig på et livstilscenter, har haft adgang til et arkiv med ca. 100.000 patientjournaler, er en alvorlig fejl, man burde have opdaget tidligere. Regionen skulle have haft helt klare retningslinjer for kodning og brug af nøglekort, og regelmæssigt have efterprøvet, om adgangsstyringen virkede, som den skulle,” forklarer Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Region Midtjylland behandler store mængder afsærlige kategorier af personoplysninger, herunder helbredsoplysninger, og dermed har en skærpet forpligtelse til at beskytte disse oplysninger med en tilstrækkelig adgangsbegrænsning.Herudover har Datatilsynet lagt vægt på, at det har været tilsynets vurdering, at Region Midtjylland i tidligere sager, som tilsynet har behandlet, har haft udfordringer med adgangsstyring og adgangsbegrænsning til behandling af personoplysninger.

Vil du vide mere?

Du kan læse om, hvordan man beskytter personoplysninger her.

Har du spørgsmål?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bøder efter GDPR