To minutter i jul blev Region Syddanmark idømt en en millionbøde for uforsvarlig omgang med patientdata og brud på GDPR-reglerne ved Retten i Kolding.
Tiltalen drejede sig om to lovbrud, hvor uvedkommende for snart fire år siden kunne få adgang til mange tusinde borgeres personfølsomme data.
Det var Datatilsynet, der havde rullet det hårde skyts frem med krav om de største bøder nogensinde mod en offentlig virksomhed. Samlet set en million kroner (En halv for hver sag). oplyser Datatilsynet.
I dommen lægges der vægt på, at regionen tidligere havde fået alvorlig kritik for en overtrædelse af lignede forhold. Også det faktum, at der var tale om oplysninger om flere tusinde mennesker, indgår i bedømmelsen.
Læs også: Efter flere år afsiges der snart dom i sag om regionalt databrud
“Vi tager dommen til efterretning, og vi har siden hændelserne iværksat mange initiativer, der skal medvirke til, at lignende datasikkerhedsbrud ikke sker igen,” lyder det fra it-direktør Morten Lundgaard i en pressemeddelelse.
Det drejer sig bl.a. om mere avancerede screeningsværktøjer, øget fokus på leverandører og informationskampagner og undervisning af medarbejdere i informationssikkerhed.
Ønsker sig klarere retningslinjer
“Men når det er sagt, så er menneskelige fejl bare enormt svære at gardere sig imod,” understreger han.
Morten Lundgaard ærgrer sig over, at regionen har tabt de to sager.
“Når vi ser på sammenlignelige sager i både det offentlige og det private, har de ofte medført kritik – men ikke noget bødeforlæg. Derfor har vi svært ved at se en rød tråd i forhold til, hvad der giver kritik, og hvad der medfører bøde. Der kunne vi godt ønske os nogle klarere retningslinjer,” siger han.
Data om børn i psykiatrien
Flere elementer gør, at de to databrud ifølge Datatilsynet er vurderet alvorlige.
I det ene tilfælde var der alt for let adgang til oplysninger om næsten 4000 patienter, hvor data lå i en PowerPoint-præsentation på regionens hjemmeside, hvorfra data kunne findes i et bagvedliggende dataark til et diagram.
Den anden sag omhandler en database med spørgeskemasvar fra ca. 30.000 patienter i Børne- og Ungdomspsykiatrien Odense ifølge Datatilsynet. Der indgik ikke CPR-numre i databasen, men blandt andet navn og fødselsdato kunne tilgås.
En efterfølgende undersøgelse har ifølge Region Syddanmark vist, at kun få personer, havde skaffet sig adgang til de tilgængelige data.
Desuden blev begge databrud anmeldt af borgere.