Indland

Region risikerer rekordbøde for at sløse med patientdata

Oplysninger om 27.000 borgeres helbred lå tilgængelige på nettet.

Ledelsen i Region Syddanmark vil i dag ikke udtale sig om sagen. (Foto: © Dennis Olsgaard, DR)
Af
Mere end 30 dage gammel

Du har ret til at bestemme, hvem du vil fortælle, hvad du fejler.

Den ret er Region Syddanmark tiltalt for at have krænket.

I dag begynder en straffesag ved Retten i Kolding, hvor regionen står anklaget for i to tilfælde at have gjort helbredsoplysninger om sammenlagt 27.000 borgere tilgængelige for uvedkommende på internettet.

- Det er nogle oplysninger, man som udgangspunkt skal passe ekstra godt på, fordi de har et ret stort potentiale for at blive misbrugt, siger Allan Frank, der er it-sikkerhedsspecialist og jurist i Datatilsynet.

Det er netop Datatilsynet, der har meldt Region Syddanmark til politiet – og indstillet dem til to bøder på sammenlagt én million kroner.

Selvom Datatilsynet har indstillet Region Syddanmark til bøder, er det domstolene, der i sidste ende afgør sagen. (Foto: © Ida Marie Odgaard, Ritzau Scanpix)

Hvis retten er enig, vil det være den største bøde til en dansk myndighed for at overtræde persondata-lovgivningen nogensinde.

Let at finde

Sagerne mod Region Syddanmark kom frem i 2021.

I den ene havde der ligget en PowerPoint-præsentation på regionens hjemmeside, hvorfra man kunne klikke sig videre til cpr-nummer og helbredsoplysninger om 3915 patienter.

I det andet tilfælde drev regionen en forsknings-database med helbredsoplysninger om flere end 23.000 borgere, herunder flere børn tilknyttet psykiatrien.

Her kunne deltagerne, ved at lave små ændringer i adressefeltet i deres internetbrowsere, komme ind og læse om andres sygdomme og helbred.

- Vi er i den alleralvorligste ende, siger Allan Frank.

Han og Datatilsynet har takseret hver af overtrædelserne til en bøde på 500.000 kr.

Ingen ofre

Ledelsen i Region Syddanmark vil i dag ikke udtale sig om sagen – men det ville den gerne i 2021.

Her mente lægefaglig direktør i psykiatrien Anders Meinert Pedersen ikke, at det var rimeligt med en bøde.

- Det er vigtigt at slå fast, at der er ikke nogen, der har misbrugt adgangen. Så der er ikke nogen, der har lidt skade, sagde han dengang.

Hos Datatilsynet siger Allan Frank, at det nu er op til domstolene at afgøre, om regionen har brudt loven, og hvor stor straffen i så fald skal være.

Men:

- Vi kigger på, om der var passende sikkerhedsforanstaltninger. Når der er tale om, om man bare kan ændre et eller andet i en URL (webadresse, red.), så er det så dårlig sikkerhed, at det ikke er passende. Uanset om det er blevet udnyttet eller ej.

Der er afsat to retsdage til sagen, som forventes afsluttet onsdag den 11. december.

Facebook