Region Midtjylland indstillet til bøde

Dato: 08-09-2021

Datatilsynet vurderer, at Region Midtjylland ikke havde etableret passende adgangsbegrænsning til et arkiv i et livstilscenter.

Datatilsynet har politianmeldt Region Midtjylland for ikke at sikre et tilstrækkeligt højt sikkerhedsniveau omkring regionens opbevaring af patientjournaler i et arkiv i Livstilscenter Brædstrup. Datatilsynet har indstillet til en bøde på 400.000 kr.

Datatilsynet modtog den 12. juni 2020 en anmeldelse af et brud på persondatasikkerheden fra Region Midtjylland. Af anmeldelsen fremgik, at alle patienter og medarbejdere i et livstilscenter havde haft adgang til en bygning, hvor der blev opbevaret op mod 100.000 fysiske patientjournaler indeholdende bl.a. helbredsoplysninger og oplysninger om personnummer. Herudover var det muligt for forbipasserende at se omslaget på nogle af journalerne – hvor personnummer, navn og speciale fremgik – igennem et vindue til bygningen.

Den utilsigtede adgang skyldtes, at de nøglekort, som medarbejdere og patienter fik udleveret, gav adgang til alle tre bygninger i Livstilscenter Brædstrup, uanset om brugeren havde et behov herfor. Herudover var vinduerne til bygningen ikke matterede eller lignende.

Datatilsynet fandt i den forbindelse, at Region Midtjylland ikke havde etableret passende sikkerhedsforanstaltninger omkring opbevaringen af personoplysningerne.

Utilstrækkelige sikkerhedsforanstaltninger

I forbindelse med sagens behandling hos Datatilsynet oplyste Region Midtjylland, at den utilsigtede adgang havde stået på siden arkivets flytning til livstilscentret i 2016, og at regionen ikke har udført periodisk kontrol af de fysiske sikkerhedsforanstaltninger i perioden.

Ved anmeldelsen af bruddet havde Region Midtjylland oplyst, at regionen havde retningslinjer for, hvem der gives adgang til hvilke lokaler på hospitalet, der drev Livstilscenter Brædstrup. Regionen fremsendte flere versioner af samme retningslinje, der omhandler "ID-kort og adgangskontrol", som var en retningslinje, der ikke nævner patienters adgang med nøglekort eller indblik via en rude. Retningslinjen har i alle versioner fokus på personale, herunder elever, studerende og andre ikke fastansatte. En anden retningslinje havde kun fokus på at vejlede i den praktiske fremstilling af nøglekort, og ikke i, hvilke adgange, der skulle gives de forskellige nøglekort.

Datatilsynet fandt overordnet, at Region Midtjylland ikke havde etableret passende fysiske sikkerhedsforanstaltninger omkring opbevaring af de fysiske patientjournaler, herunder at regionen ikke havde etableret tilstrækkelige retningslinjer for adgangsbegrænsninger ved fremstilling af nøglekort, og at regionen ikke havde udført passende regelmæssig afprøvning, vurdering og evaluering af trufne sikkerhedsforanstaltninger.

”Regioner skal passe godt på de store mængder af helbredsoplysninger, som de behandler, hvilket de ikke gjorde i denne situation. At alle medarbejdere og patienter, der befandt sig på et livstilscenter, har haft adgang til et arkiv med ca. 100.000 patientjournaler, er en alvorlig fejl, man burde have opdaget tidligere. Regionen skulle have haft helt klare retningslinjer for kodning og brug af nøglekort, og regelmæssigt have efterprøvet, om adgangsstyringen virkede, som den skulle,” forklarer Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Region Midtjylland behandler store mængder afsærlige kategorier af personoplysninger, herunder helbredsoplysninger, og dermed har en skærpet forpligtelse til at beskytte disse oplysninger med en tilstrækkelig adgangsbegrænsning.Herudover har Datatilsynet lagt vægt på, at det har været tilsynets vurdering, at Region Midtjylland i tidligere sager, som tilsynet har behandlet, har haft udfordringer med adgangsstyring og adgangsbegrænsning til behandling af personoplysninger.

Vil du vide mere?

Du kan læse om, hvordan man beskytter personoplysninger her.

Har du spørgsmål?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.