Da Region Syddanmark mandag meldte ud om landsrettens afgørelse i en sag om databrud, var overskriften klar: “Region Syddanmark frikendt i en sag og idømt bøde i en anden sag om brud på GDPR-reglerne”
Det blev til overskrifter som: “Landsret frifinder region for GDPR-sjusk,” og “Region Syddanmark skal ikke betale bøden for persondata-sjusk på 1.000.000 kroner.”
Men læser man videre i sagen, tegner der sig et mere nuanceret – og mere problematisk – billede.
For selv om regionen bliver frifundet i den ene sag, bliver den samtidig dømt for brud på GDPR-reglerne i den anden. Så hvad er lige op og ned i kommunikationen og er det rimeligt at frifindelsen står forrrest?
Gråzone løftes – svigt tones ned
Det er ikke usædvanligt, at organisationer fremhæver de dele af en dom, der falder ud til egen fordel. Men i dette tilfælde er der en markant forskel på de to sager.
Frifindelsen handler om en juridisk gråzone: Hvor tilgængelige var data egentlig?
Læs også: Find fakta om to domme om databrud
Her vurderer landsretten, at oplysningerne ikke lå frit fremme, men i bagvedliggende datastrukturer.
Den domfældte sag er af en anden karakter.
Her slår landsretten fast, at regionen ikke havde et tilstrækkeligt sikkerhedsniveau i en database med oplysninger om tusindvis af patienter:
Borgere i databasen kunne tilgå personoplysninger om de mere end 23.000 andre personer i databasen ved at ændre i URL-adressen. – Og det er ikke en gråzone – men et reelt sikkerhedsproblem, som man bliver dømt for.
Det principielle problem består
Regionen har tidligere argumenteret for, at der mangler en “rød tråd” i sanktionerne på området, særligt i relation til frifindelsessagen. Men landsrettens dom viser samtidig noget andet:
At datasikkerheden i praksis ikke var tilstrækkelig i den ene sag. Og det er netop den del, der har størst betydning for borgerne.
For mens spørgsmålet om bagvedliggende data kan diskuteres juridisk, er en database, hvor adgang kan opnås ved at ændre en URL, et mere håndgribeligt problem – og det blev nedtonet – Ikke gemt væk – blot nedtonet.
En kommunikation i balance – eller ubalance?
Regionen anerkender da også selv udfaldet: “Jeg ærgrer mig over, at vi taber den ene sag.”
Men ved at placere frifindelsen først og bøden som en sekundær oplysning, bliver fortællingen forskudt. Fra: En dom om utilstrækkelig datasikkerhed
Til: 👉 En historie om delvis frifindelse
Konsekvensen
Resultatet er en kommunikation, hvor:
- Den juridiske gråzone fylder mest
- Det dokumenterede sikkerhedssvigt fylder mindre
Og det er netop den prioritering, der gør sagen interessant – ikke kun juridisk, men også politisk og forvaltningsmæssigt.
