Retten i Kolding idømte den 23. december 2024 Region Syddanmark to bøder på hver 500.000 kroner for brud på GDPR-reglerne. Nu har regionen besluttet at anke dommen til Vestre Landsret, fremgår det af en pressemeddelelse fra Region Syddanmark.
Sagen drejer sig om to separate hændelser, hvor følsomme personoplysninger om tusindvis af borgere blev gjort tilgængelige for uvedkommende mellem 2018 og 2020.
I det ene tilfælde lå helbredsoplysninger om 3.915 patienter frit tilgængelige via en PowerPoint-præsentation på regionens hjemmeside. Præsentationen indeholdt skjulte data, som kunne hentes frem med teknisk indsigt. Det andet forhold omhandlede en database, hvor oplysninger om over 23.000 borgere – herunder psykiatriske patienter – kunne tilgås ved at ændre en URL-adresse.
Retten beskrev forholdene som en “unødvendig og uacceptabel risiko” for borgerne og fulgte Datatilsynets anbefaling om bødestørrelsen.
Regionen søger principiel afklaring
IT-direktør Morten Lundgaard fra Region Syddanmark har i en pressemeddelelse forklaret, at beslutningen om at anke skyldes et ønske om at få belyst principielle spørgsmål om rimeligheden i bødestørrelsen. Han fremhæver, at lignende sager i både offentlige og private virksomheder ofte kun har medført kritik fra Datatilsynet – ikke bødestraf.
– Vi mener, der er nogle principielle spørgsmål i sagen, der er behov for at få belyst. Når vi ser på Datatilsynets afgørelser i lignende sager, mangler der en rød tråd i forhold til sanktioner. Her har sagerne ofte medført kritik, men intet bødeforlæg, og det er denne afgørelse, vi mener, der bør kigges på igen. For os er det et spørgsmål om rimelighed, også i forhold til den retspraksis og linje, dommen danner for eftertiden, siger Lundgaard.
Vestre Landsret næste skridt
Bøden til Region Syddanmark er den første af sin størrelse rettet mod en offentlig myndighed og markerer en skærpet praksis i håndhævelsen af GDPR-reglerne. Hidtil har lignende sanktioner primært ramt private virksomheder. Ifølge Datatilsynet var det alvorlige mangler i regionens tekniske og organisatoriske datasikkerhedsforanstaltninger, der førte til sagerne.
Regionen håndterer helbredsoplysninger for over 1,2 millioner borgere og har tidligere været genstand for kritik i forbindelse med datalæk. Retten vurderede dog, at netop de to sager fra 2018-2020 var særligt alvorlige og eksemplificerede, hvor stor risikoen var for tab af fortrolighed for de berørte.
Det er nu op til Vestre Landsret at afgøre, hvornår sagen bliver behandlet.
