Region Syddanmark skal betale en halv million kroner i bøde for grov overtrædelse af GDPR-lovgivningen.
Regionen er efter tre retsdage netop blevet dømt i Vestre Landsret i sagen.
Selv om den halve million kroner i bøde hører til blandt de største GDPR-bøder herhjemme - og den største, som en offentlig myndighed har fået - er der tale om en halvering af den bøde, som Region Syddanmark indkasserede i Byretten i Kolding lige før julen i 2024.
Her fik regionen nemlig en samlet bøde på en million kroner for to grove overtrædelser af GDPR. Regionen var utilfreds med afgørelsen og ankede den derfor til landsretten.
Vestre Landsret frikendernu regionen i den ene af de to sager, nemlig en GDPR-overtrædelse, der omfatter helbredsoplysninger på mere end 3.000 borgere, som indgik i en PowerPoint-præsentation, der var udarbejdet af en læge til undervisningsformål.
Præsentationen havde i ni år ligget frit tilgængelig via en hjemmeside.
Region Syddanmark har selv peget på, at en intern undersøgelse efterfølgende viste, at præsentationen blev åbnet 15 gange fra 2011 og frem til 6. februar 2020, hvor den blev fjernet fra hjemmesiden.
Halv million kroner
Vestre Landsret har stadfæstet byrettens dom på en halv million kroner i bøde i den anden sag, hvor regionen i byretten blev dømt for ikke i tilstrækkelig grad at have sikret oplysninger om mere end 23.000 børn i Børne- og Ungdomspsykiatrien i Odense i en database med svar på en spørgeskemaundersøgelse.
Oplysninger om navne og fødselsdatoer indgik i databasen, men ikke det fulde CPR-nummer.
Datatilsynet oplyste i første omgang, at der var tale om spørgeskemaer indeholdende "helbredsoplysninger om mere end 30.000 børn tilknyttet psykiatrien," men tallet blev senere sænket til 23.000.
Regionen har selv peget selv på, at sårbarheden kun nåede at blive udnyttet af den borger, der anmeldte overtrædelsen.
"Det er en ærgerlig sag, men vi tager dommen til efterretning, og vi har siden hændelserne tilbage i 2020 iværksat mange initiativer, der skal medvirke til, at lignende datasikkerhedsbrud ikke sker igen. Det drejer sig blandt andet om mere avancerede screeningsværktøjer, øget fokus på leverandører og informationskampagner og undervisning af medarbejdere i informationssikkerhed. Men når det er sagt, så er menneskelige fejl bare enormt svære at gardere sig imod," meddeler it-chef Morten Lundgaard.
Ankede afgørelsen
Han har tidligere peget på, at han havde svært ved at se den røde tråd i den måde, som overtrædelser af GDRP-loven bliver straffet på herhjemme.
Ifølge hans opfattelse mangler der en klar linie i den måde, som Datatilsynet takserer overtrædelser af GDPR på.
Han meddelte i forbindelse med anken for et år siden, at han mener, at Datatilsynets sanktioner spænder fra kritik til store bøder for samme typer sager.
Derfor er det nødvendigt at få sikret retspraksis på området, sagde han.
"Når vi ser på Datatilsynets afgørelser i lignende sager, mangler der en rød tråd i forhold til sanktioner. Her har sagerne ofte medført kritik, men intet bødeforlæg, og det er denne afgørelse, vi mener, der bør kigges på igen," sagde Morten Lundgaard dengang.
"For os er det et spørgsmål om rimelighed, også i forhold til den retspraksis og linje, som dommen danner for eftertiden," lød det dengang fra it-direktøren.
Region Syddanmark vil nu overveje, om den vil forsøge at få sagen for Højesteret.
Vestre Landsret har tidligere afsagt dom i en anden af de store prøvesager om overtrædelse af GDPR.
En af Datatilsynets allerførste prøvesager vedrørende overtrædelse af GDPR sad møbelkæden Ilva på anklagebænken efter, at statsadvokaten i Viborg havde anket Byretten i Aarhus' afgørelse til landsretten.
Vestre Landsret 15-doblede her den bøde, som Ilva havde fået i byretten. Det kan du læse mere om her.
Læs om Region Syddanmarks GDPR-sag:
