Region Syddanmark får historisk stor bøde i danmarkshistoriens største GDPR-sag mod en offentlig myndighed.
Dommen er faldet for Region Syddanmark efter flere års ventetid og udskydelse af en af Danmarks største GDPR-sager nogensinde.
Retten i Kolding har netop besluttet, at Region Syddanmark skal betale en million kroner i bøde. Det meddeler retten til Computerworld.
Det er den største bøde nogensinde til en offentlig myndighed herhjemme og en af de største GDPR-bøder overhovedet i Danmark.
Med dommen giver Retten i Kolding medhold til Datatilsynet og politiets anklagemyndighed, der begge havde forlangt netop en million kroner i bøde til Region Syddanmark.
Datatilsynet meldte regionen til politiet med kort tids mellemrum i henholdsvis juli og september 2021.
I den første sag kunne uautoriserede personer ifølge Datatilsynets politianmeldelse tilgå oplysninger om 30.000 børn tilknyttet psykatrien, mens mere end 3.000 borgeres personplysninger i den anden sag havde været tilgængelige via en url i en årrække fra 2011.
Det har udsat de mange tusinder danskere for 'en unødigt høj risiko' for 'tab af fortrolighed af deres personoplysninger,' som det hedder.
I den endelige dom var antallet i den første sag blevet sænket til 'mere end 23.000 personer - herunder helbreds-oplysninger om mindreårige tilknyttet psykiatrien," som det lyder fra Retten i Kolding.
Det var oprindeligt meningen, at Region Syddanmark skulle have været for retten i slutningen af maj, men her blev retsmødet afblæst i sidste øjeblik.
Det skyldtes, at Anklagemyndigheden havde fundet yderligere bilag og dokumenter, som den vil anvende i sin fremlæggelse i retten.
Siden kom regionen for retten for et par uger siden, og dommer Peter Hageman Christensen og sagens domsmænd har siden voteret.
Stribe af GDPR-brud
Region Syddanmark, der håndterer helbredsoplysninger for godt 1,2 millioner danskere, har gennem årene anmeldt en hel stribe af GDPR-brud og datalæk til Datatilsynet, men disse to sager er de mest alvorlige og de eneste striben, som Datatilsynet har vurderet skal koste store bøder.
I anklageskriftet havde Anklagemyndigheden fastslået, at regionen har forsømt at overholde sin “forpligtelse som dataansvarlig til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau,” som det hedder.
Bødeforlægget på en million kroner er usædvanligt i sager mod offentlige myndigheder.
Datatilsynet har således ellers kun krævet bøder på mere end en halv million kroner for GDPR-overtrædelser fra kommercielle selskaber som Danske Bank, Netcompany og Ilva.
Læs også:
