Landsret frifinder region for GDPR-sjusk med 3.915 patienter

Artiklen er opdateret kl. 13.21 med citat fra Region Syddanmark.

Det kunne betale sig for Region Syddanmark at anke til landsretten i en sag om GDPR-sjusk. For mens udfaldet i byretten blev en bøde på en million kroner, har Vestre Landsret mandag frifundet regionen for den ene af de to anklager, og dermed ender bøden også på det halve, oplyser landsretten til Ritzau.

Region Syddanmark var tiltalt for to påståede brud på databeskyttelsesloven. Det ene omhandler data om 23.000 patienter, og her er regionen dømt i både by- og landsret. Fra 4. januar 2019 til 23. august 2020 havde regionen ikke sikret et tilstrækkeligt sikkerhedsniveau i forbindelse med opsætning af en database til forskningsmæssige og kliniske formål. Problemet var, at borgere i databasen kunne tilgå personoplysninger om de mere end 23.000 andre personer i databasen ved at ændre i URL-adressen, altså hjemmesidelinket.

I databasen var der blandt andet helbredsoplysninger om mindreårige, der var tilknyttet psykiatrien. Ingen uvedkommende fik dog adgang til dataene – bortset fra den, som opdagede fejlen. Det har regionens log vist, skrev Datatilsynet i 2021.

Det andet forhold, som regionen er blevet frifundet for i landsretten, omhandler 3.915 patienter. Anklageskriftet beskriver, at en PowerPoint-præsentation med blandt andet helbredsoplysninger og personnumre på de mange patienter lå på regionens hjemmeside. Det var i perioden 25. maj 2018 til 5. marts 2020. De mange data lå ikke til frit skue. Det var i stedet bagvedliggende data til et diagram, har Datatilsynet tidligere oplyst.

I dette forhold blev regionen frifundet, fordi landsretten fandt, at regionen havde passende foranstaltninger på området. Det oplyser advokat Dan Bjerg Geary, der har repræsenteret regionen i sagen.

Også i forholdet om databasen så landsretten mildere på regionens ageren, end byretten gjorde, beretter Dan Bjerg Geary.

»Regionen havde gjort meget, men der var behov for endnu flere test og kontroller, end man havde«, siger han til Ritzau.

Sandsynligt med anke til Højesteret

Der er gået næsten seks år, fra regionen indberettede sagerne, til der er afsagt dom i landsretten, men regionen har ikke ventet i alle de år med at øge sikkerheden. Det understreger regionens it-direktør, Morten Lundgaard.

»Det har vi naturligvis håndteret i 2021-2021, hvor sagen var helt ny«, siger han til Ritzau.

Blandt andet har regionen elimineret fejlen, der førte til sikkerhedsproblemet med databasen, og PowerPoint-præsentationer og lignende skal nu ændres til pdf’er, før de lægges ud på hjemmesiden.

Adspurgt, om regionen nu har et sikkerhedsniveau, så han selv vil have ro i maven over at have sine egne data opbevaret der, svarer it-direktøren:

»Ja, inden for de rammer, vi har, så mener jeg, at vi gør alt, hvad vi kan, for at passe på både mine og andre borgeres data«.

Selv om landsretten så med mildere øjne på det lovbrud, ender bødestørrelsen på samme niveau. Det skyldes ifølge advokaten, at den blev udregnet på en anden måde og ud fra markant større budgettal i landsretten. Hvert af de to forhold udløste i byretten en bøde på 500.000 kroner. Selv om bøden er halveret i landsretten, er 500.000 kroner det højeste beløb, der er givet til en offentlig myndighed for GDPR-brud.

It-direktør Morten Lundgaard vurderer, at det er usandsynligt, at regionen vil forsøge at få sagen for Højesteret.