Region Syddanmark indstillet til bøde

Dato: 17-09-2021
Afgørelse Offentlige myndigheder Politianmeldelse Anmeldt brud på persondatasikkerheden Utilsigtet videregivelse Behandlingssikkerhed CPR-nummer Følsomme oplysninger

Datatilsynet vurderer, at Region Syddanmark ikke havde sikret sig imod utilsigtet offentliggørelse af personoplysninger på regionens hjemmeside.

Datatilsynet har politianmeldt Region Syddanmark for ikke at have etableret tilstrækkelige sikkerhedsforanstaltninger. Regionen havde ikke sikret sig imod, at der utilsigtet var offentliggjort personoplysninger på deres hjemmeside. Datatilsynet har indstillet til en bøde på 500.000 kr.

Datatilsynet modtog den 9. marts 2020 en anmeldelse af et brud på persondatasikkerheden fra Region Syddanmark. Af anmeldelsen fremgik, at en PowerPoint-præsentation udarbejdet til uddannelsesformål på Odense Universitetshospital med diagrammer indeholdende personoplysninger – herunder helbredsoplysninger og oplysninger om personnummer – om 3.915 patienter havde været tilgængelig på Region Syddanmarks hjemmeside siden maj 2011. Oplysningerne fremgik af diagrammets bagvedliggende data.

Region Syddanmark anvendte et screeningsværktøj til regelmæssig scanning af, om der utilsigtet var offentliggjort personnumre på regionens hjemmeside. Screeningsværktøjet kunne dog ikke scanne de bagvedliggende data i PowerPoint-præsentationer og det var årsagen til, at regionen ikke havde levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Datatilsynet fandt i den sammenhæng, at Region Syddanmark ikke havde etableret passende sikkerhedsforanstaltninger, så regionen var i stand til at udføre passende kvalitetskontrol af indholdet i offentliggjorte dokumenter.

Utilstrækkelige sikkerhedsforanstaltninger

I forbindelse med sagens behandling hos Datatilsynet oplyste Region Syddanmark, at regionen siden marts 2013 havde anvendt det omtalte screeningværktøj til at scanne dokumenter på regionens hjemmeside for personnumre, der var blevet offentliggjort utilsigtet. Screeningsværktøjet scannede ikke for andre typer af oplysninger, herunder f.eks. helbredsoplysninger.

Region Syddanmark opdagede først, da Odense Universitetshospital blev kontaktet af en borger om PowerPoint-præsentationen i februar 2020, at screeningsværktøjet ikke var i stand til at finde personnumre i f.eks. diagrammers bagvedliggende data i PowerPoint-præsentationer.

”Vi ser desværre jævnligt, at myndigheder utilsigtet kommer til at offentliggøre oplysninger om borgere på hjemmesider. Når der offentliggøres dokumenter, som potentielt kan indeholde personoplysninger, er det vores opfattelse, at man som myndighed altid skal overveje relevansen af forudgående og efterfølgende kontrolforanstaltninger. I en sag som den foreliggende, hvor regionen behandler store mængder af følsomme oplysninger om mange borgere, øges kravene til de risikoovervejelser, som regionen skal foretage, ligesom kravene til de faktisk gennemførte foranstaltninger skærpes,” siger kontorchef Frederik Viksøe Siegumfeldt.

Datatilsynet fandt overordnet, at Region Syddanmark ikke havde et tilstrækkeligt kendskab til screeningsværktøjets funktionalitet. Derudover havde regionen ikke gennemført løbende passende screening af filer for personoplysninger, der var blevet offentliggjort utilsigtet. Regionen havde heller ikke løbende afprøvet virkningen af regionens sikkerhedsforanstaltninger forbundet med screeningen af filer, der var offentliggjort på regionens hjemmeside.

Datatilsynet vurderede også, at Region Syddanmark burde have etableret foranstaltninger – enten tekniske eller organisatoriske – der gjorde regionen i stand til at screene regionens hjemmeside for andre typer af oplysninger, herunder f.eks. helbredsoplysninger.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Region Syddanmark behandler store mængder af personoplysninger, herunder helbredsoplysninger – som er af følsom karakter - og oplysninger om personnummer.

Datatilsynet har også lagt vægt på, at regionen har en skærpet forpligtelse til at beskytte disse oplysninger mod utilsigtet offentliggørelse eller videregivelse, og at det i den forbindelse særligt påhviler regioner, der offentliggør mange dokumenter og store mængder af oplysninger, at føre en passende kontrol med offentliggjorte dokumenter og oplysninger.

Vil du vide mere? 

Bliv klogere på dine forpligtelser som dataansvarlig og hvilke betingelser, der er afgørende for dig. 

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Har du spørgsmål?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.