Region Syddanmark er blevet både dømt og frifundet i to sager om brud på GDPR-reglerne, som vi tidligere har skrevet om på Regional-Indsigt.
Læs også: Regionalt databrud udløser dom på millionbøde
Vestre Landsret har således idømt regionen en bøde på 500.000 kroner i den ene sag, mens regionen i en anden sag er blevet frifundet.
I en pressemeddelelse fremhæver regionen selv frifindelsen: “Region Syddanmark frikendt i en sag og idømt bøde i en anden sag om brud på GDPR-reglerne,” skriver man.
Her ærgrer regionens IT-direktør Morten Lundgaard sig over udfaldet i den tabte sag:
“Jeg ærgrer mig over, at vi taber den ene sag. Når vi ser på sammenlignelige sager i både det offentlige og det private, har de ofte medført kritik – men ikke noget bødeforlæg,” siger han.
To forskellige typer databrud
Sagen udspringer af to konkrete databrud, som domstolene har vurderet forskelligt.
Den sag, hvor regionen dømmes, handler om en database med oplysninger om omkring 23.000 patienter. Her kunne uvedkommende få adgang til oplysninger ved at ændre i en internetadresse:
Borgere i databasen kunne så, at sige tilgå personoplysninger om de mere end 23.000 andre personer i databasen ved at ændre i URL-adressen.
Læs også: Efter flere år afsiges der snart dom i sag om regionalt databrud
Landsretten vurderer, at regionen ikke havde sikret et tilstrækkeligt sikkerhedsniveau, og derfor fastholdes bøden fra byretten.
Frifindelse i sag om præsentation
Den anden sag handler om oplysninger om 3.915 patienter, der indgik i en PowerPoint-præsentation på regionens hjemmeside.
Oplysningerne var ikke direkte synlige, men lå i bagvedliggende data til et diagram.
Her vurderer landsretten, at regionen havde truffet tilstrækkelige sikkerhedsforanstaltninger, og derfor bliver regionen frifundet.
Bøde halveret efter anke
Oprindeligt blev regionen i byretten dømt til at betale to bøder á 500.000 kroner.
Efter landsrettens afgørelse bortfalder den ene, og den samlede bøde ender dermed på 500.000 kroner.
“Det er en ærgerlig sag, men vi tager dommen til efterretning,” siger IT-direktør Morten Lundgaard.
Han peger på, at regionen har arbejdet meget på at forbedre situationen siden hændelserne tilbage i 2020, hvor man har iværksat mange initiativer, der skal medvirke til, at lignende datasikkerhedsbrud ikke sker igen.
Det drejer sig bl.a. om mere avancerede screeningsværktøjer, øget fokus på leverandører og informationskampagner og undervisning af medarbejdere i informationssikkerhed.
Region Syddanmark vil nu nærlæse dommen og i samråd med regionens advokat overveje, om sagen skal søges indbragt for Højesteret.
Faktaboks
To databrud – to forskellige udfald
- Sag 1 (dømt):
- Database med ca. 23.000 patienter
- Adgang via ændring af URL
- Vurderet som utilstrækkelig sikkerhed
- → Bøde på 500.000 kr.
- Sag 2 (frifundet):
- 3.915 patienter i PowerPoint
- Data i bagvedliggende struktur
- Vurderet som tilstrækkelig sikkerhed
- → Frifindelse
