Det kunne betale sig for Region Syddanmark at anke til landsretten i en sag om GDPR-sjusk.
For mens udfaldet i byretten blev en bøde på en million kroner, har Vestre Landsret mandag frifundet regionen for den ene af de to anklager, og dermed ender bøden også på det halve.
Det oplyser landsretten til Ritzau.
Region Syddanmark var tiltalt for to påståede brud på databeskyttelsesloven. Det ene omhandler data om 23.000 patienter, og her er regionen dømt i både by- og landsret.
Fra 4. januar 2019 til 23. august 2020 havde regionen ikke sikret et tilstrækkeligt sikkerhedsniveau i forbindelse med opsætning af en database til forskningsmæssige og kliniske formål.
Problemet var, at borgere i databasen kunne tilgå personoplysninger om de mere end 23.000 andre personer i databasen ved at ændre i URL-adressen, altså hjemmesidelinket.
I databasen var der blandt andet helbredsoplysninger om mindreårige, der var tilknyttet psykiatrien.
Ingen uvedkommende fik dog adgang til dataene – bortset fra den, som opdagede fejlen. Det har regionens log vist, skrev Datatilsynet i 2021.
Det andet forhold, som regionen er blevet frifundet for i landsretten, omhandler 3.915 patienter.
Personnumre lå på hjemmeside
Anklageskriftet beskriver, at en PowerPoint-præsentation med blandt andet helbredsoplysninger og personnumre på de mange patienter lå på regionens hjemmeside. Det var i perioden 25. maj 2018 til 5. marts 2020.
De mange data lå ikke til frit skue. Det var i stedet bagvedliggende data til et diagram, har Datatilsynet tidligere oplyst.
I dette forhold blev regionen frifundet, fordi landsretten fandt, at regionen havde passende foranstaltninger på området. Det oplyser advokat Dan Bjerg Geary, der har repræsenteret regionen i sagen.
Også i forholdet om databasen så landsretten mildere på regionens ageren, end byretten gjorde, beretter Dan Bjerg Geary.
- Regionen havde gjort meget, men der var behov for endnu flere test og kontroller, end man havde, siger han til Ritzau.
Selv om landsretten så med mildere øjne på det lovbrud, ender bødestørrelsen på samme niveau. Det skyldes ifølge advokaten, at den blev udregnet på en anden måde og ud fra markant større budgettal i landsretten.
Hvert af de to forhold udløste i byretten en bøde på 500.000 kroner.
Selv om bøden er halveret, er 500.000 kroner det højeste beløb, der er givet til en offentlig myndighed for GDPR-brud.
/ritzau/
Red.: Opdateret 11.57 + 12.35 med yderligere detaljer.
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Nyts artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Nyts artikler med personer, der ikke selv har et personligt abonnement på DK Nyt
Afvigelse fra ovenstående kræver skriftligt tilsagn fra DK Medier.
