Brud på data-sikkerhed koster Region Syddanmark ‘en million kroner

Dommen er faldet ved Retten i Kolding og består af to bøder på hver 500.000 kroner. En eventuel anke overvejes i regionen

Retten i Kolding har 23. december 2024 idømt Region Syddanmark bøder for to alvorlige brud på GDPR-reglerne. Regionen anerkender dommen, men udtrykker frustration over mangel på klare retningslinjer.

Region Syddanmark er blevet pålagt at betale to bøder på hver 500.000 kr. for to separate sager om databrud fra 2020. Ifølge dommen skyldes bruddene menneskelige fejl. Regionens IT-direktør, Morten Lundgaard, har udtrykt ærgrelse over dommen og understreger, at regionen har implementeret flere tiltag for at forhindre lignende hændelser i fremtiden.

Sagerne bag dommen

De to sager, der ligger til grund for bøderne, vedrører følgende:

1. Database med spørgeskemasvar:
   En database fra Børne- og Ungdomspsykiatrien i Odense indeholdt personoplysninger som navn og fødselsdato, men ikke CPR-numre. Databasen havde en sårbarhed, der blev opdaget og rapporteret af en borger. Regionens undersøgelse konkluderede, at sårbarheden kun var udnyttet af borgeren selv.
2. PowerPoint-præsentation med følsomme oplysninger:
   En PowerPoint-præsentation udarbejdet til undervisning af en læge i regionen indeholdt følsomme persondata og lå offentligt tilgængelig på regionens hjemmeside. Præsentationen, der blev fjernet i februar 2020, havde været downloadet 15 gange siden 2011. De fleste CPR-numre i dokumentet krævede teknisk viden at tilgå, da de var indlejret som bagvedliggende data.

Regionens reaktion

IT-direktør Morten Lundgaard peger på en manglende rød tråd i, hvordan databrud i Danmark behandles:

“Når vi ser på sammenlignelige sager i både det offentlige og det private, har de ofte medført kritik – men ikke noget bødeforlæg. Der kunne vi godt ønske os nogle klarere retningslinjer,” siger Lundgaard.

Han understreger, at begge sager er beklagelige eksempler på menneskelige fejl, som regionen arbejder på at undgå fremadrettet:

“Vi har iværksat mange initiativer, der skal medvirke til, at lignende datasikkerhedsbrud ikke sker igen. Det drejer sig blandt andet om avancerede screeningsværktøjer, fokus på leverandører og undervisning af medarbejdere i informationssikkerhed.“

Tiltag for fremtiden

Region Syddanmark har efter de to hændelser skærpet sin tilgang til datasikkerhed og implementeret flere tiltag, herunder:

• Avancerede screeningsværktøjer til at identificere og forhindre datasikkerhedsrisici.
• Øget fokus på leverandører, der håndterer følsomme data.
• Informationskampagner og undervisning for at styrke medarbejderes kendskab til GDPR-regler og informationssikkerhed.

Anke overvejes

Region Syddanmark har nu 14 dage til at beslutte, om dommen skal ankes. Uanset beslutningen vil sagen sandsynligvis bidrage til den fortsatte debat om, hvordan databrud håndteres og sanktioneres i Danmark.