Skip til primært indhold

Region Syddanmark taber to sager om brud på GDPR-reglerne

Retten i Kolding har 23. december 2024 idømt Region Syddanmark to bøder a 500.000 kr. for brud på GDPR-reglerne. Region Syddanmark undrer sig over dommen, men tager den til efterretning og har iværksat initiativer, der skal medvirke til, at lignende brud ikke sker igen.

23. december 2024

It-sikkerhed

Retten i Kolding har 23. december 2024 idømt Region Syddanmark to bøder a 500.000 kr. for brud på GDPR-reglerne. Bøderne kommer på baggrund af to sager fra 2020, som begge skyldes menneskelige fejl. Region Syddanmark har siden indført foranstaltninger, der skal medvirke til, at lignende brud ikke sker igen.

IT-direktør i Region Syddanmark Morten Lundgaard siger:

- Jeg ærgrer mig over, at vi taber de to sager. Når vi ser på sammenlignelige sager i både det offentlige og det private, har de ofte medført kritik – men ikke noget bødeforlæg. Derfor har vi svært ved at se en rød tråd i forhold til, hvad der giver kritik, og hvad der medfører bøde. Der kunne vi godt ønske os nogle klarere retningslinjer.

Den første sag omhandler en database med spørgeskemasvar, der blev brugt af Børne- og Ungdomspsykiatrien Odense. Der indgik ikke CPR-numre i databasen, men blandt andet navn og fødselsdato. Region Syddanmarks undersøgelser viste efterfølgende, at sårbarheden kun er blevet anvendt af den borger, der anmeldte sårbarheden til Region Syddanmark.

Den anden sag omhandler en PowerPoint-præsentation udarbejdet af en af regionens læger til undervisningsformål. Præsentationen, der lå på regionens hjemmeside, indeholdt fortrolige og følsomme personoplysninger. Region Syddanmarks efterfølgende undersøgelser viste, at præsentationen har været åbnet i alt 15 gange i perioden 2011 til den blev fjernet 6. februar 2020. De følsomme oplysninger har været tilgængelige på en af de sidste sider i præsentationen, der er på 52 sider, og langt de fleste CPR-numre har ligget som bagvedliggende data, som det har krævet teknisk viden at tilgå.

IT-direktør Morten Lundgaard siger om dommen:

- Det er to ærgerlige sager, der er udløst af menneskelige fejl for flere år siden. Vi tager dommen til efterretning, og vi har siden hændelserne iværksat mange initiativer, der skal medvirke til, at lignende datasikkerhedsbrud ikke sker igen. Det drejer sig bl.a. om mere avancerede screeningsværktøjer, øget fokus på leverandører og informationskampagner og undervisning af medarbejdere i informationssikkerhed. Men når det er sagt, så er menneskelige fejl bare enormt svære at gardere sig imod.

Region Syddanmark har nu 14 dage til at overveje, om dommene skal ankes.

Nyheder

Se flere nyheder

23. december 2024

It-sikkerhed

Region Syddanmark taber to sager om brud på GDPR-reglerne

Retten i Kolding har 23. december 2024 idømt Region Syddanmark to bøder a 500.000 kr. for brud på GDPR-reglerne. Region Syddanmark undrer sig over dommen, men tager den til efterretning og har iværksat initiativer, der skal medvirke til, at lignende brud ikke sker igen.

24. februar 2023

It-sikkerhed

Underretning om brud på persondatasikkerheden i Region Syddanmark

Region Syddanmark har konstateret et brud på persondatasikkerheden i et udkaldssystem til akut- og førstehjælpere. Regionen har håndteret bruddet og efter reglerne anmeldt det til Datatilsynet, og regionen underretter hermed berørte borgerne, akut- og førstehjælpere og ejere af hjertestartere.

4. februar 2022

It-sikkerhed

Underretning om brud på persondatasikkerheden i Region Syddanmark

Region Syddanmark har konstateret brud på persondatasikkerheden i 3 af regionens it-systemer. Regionen har anmeldt bruddene til Datatilsynet. Bruddene er blevet fundet i forbindelse med en intern undersøgelse. Alle bruddene er håndteret.
APPFWU01V