Region Syddanmark anker GDPR-dom

SYDDANMARK: 23. december blev Region Syddanmark af Retten i Kolding  idømt to bøder á. hver 500.000 kr. for brud på GDPR-reglerne. Efter betænkningstid har Region Syddanmark nu valgt at anke dommen til Landsretten, oplyser regionen.

Regionen var indstillet til bødestraffene af Datatilsynet. Bøderne kommer på baggrund af to sager fra 2020, som begge ifølge regionen skyldes menneskelige fejl.

IT-direktør i regionen Morten Lundgaard siger:

- Vi mener, der er nogle principielle spørgsmål i sagen, der er behov for at få belyst. Når vi ser på Datatilsynets afgørelser i lignende sager, mangler der en rød tråd i forhold til sanktioner. Her har sagerne ofte medført kritik, men intet bødeforlæg, og det er denne afgørelse, vi mener, der bør kigges på igen. For os er det et spørgsmål om rimelighed, også i forhold til den retspraksis og linje, dommen danner for eftertiden.

Det er nu op til Vestre Landsret at beslutte, hvornår sagen kommer for en dommer.

Data bag Powerpoint 

I den ene af de to sager var der for nem adgang til oplysninger om 3.915 patienter. De lå i en PowerPoint-præsentation på regionens hjemmeside og kunne tilgås i de bagvedliggende data til et diagram.

Det andet forhold i sagen handler om data om 23.000 patienter. Her havde regionen ikke sikret et tilstrækkeligt sikkerhedsniveau i forbindelse med opsætning af en database til forskningsmæssige og kliniske formål.

Problemet var, at uvedkommende ved at ændre en URL-adresse kunne få uautoriseret adgang til PDF-dokumenter. Borgere der var med i registret, kunne få personlige oplysninger om de mange tusinde andre i databasen. For eksempel om mindreårige, der var tilknyttet psykiatrien.

ak