Regionen

Retten i Kolding er hård: Region Syddanmark skal betale 1 million i bøde

Skatteyderne i Syddanmark må betale en million i bøde, fordi en powerpoint med interne oplysninger var tilgængelig på nettet og navne på nogle børn og unge blev set på nettet – af én person.

IT-direktør Morten Lundgaard undrer sig over dommen. Foto: Linkedin.

Retten i Kolding idømte Lillejuleaften den 23. december Region Syddanmark to bøder a 500.000 kr. for brud på GDPR-reglerne. Region Syddanmark undrer sig over dommen.

Bøderne kommer på baggrund af to sager fra 2020, som begge skyldes menneskelige fejl. Region Syddanmark har siden indført foranstaltninger, der skal medvirke til, at lignende brud ikke sker igen.

– Jeg ærgrer mig over, at vi taber de to sager, siger IT-direktør i Region Syddanmark Morten Lundgaard:

– Når vi ser på sammenlignelige sager i både det offentlige og det private, har de ofte medført kritik – men ikke noget bødeforlæg. Derfor har vi svært ved at se en rød tråd i forhold til, hvad der giver kritik, og hvad der medfører bøde. Dér kunne vi godt ønske os nogle klarere retningslinjer.

Kun set af én borger

Den første sag omhandler en database med spørgeskemasvar, der blev brugt af Børne- og Ungdomspsykiatrien Odense. Der indgik ikke CPR-numre i databasen, men blandt andet navn og fødselsdato.

Region Syddanmarks undersøgelser viste efterfølgende, at sårbarheden kun er blevet anvendt af den borger, der anmeldte sårbarheden til Region Syddanmark.

En læges powerpoint

Den anden sag omhandler en PowerPoint-præsentation udarbejdet af en af regionens læger til undervisningsformål. Præsentationen, der lå på regionens hjemmeside, indeholdt fortrolige og følsomme personoplysninger.

Region Syddanmarks efterfølgende undersøgelser viste, at præsentationen har været åbnet i alt 15 gange i perioden 2011 til den blev fjernet 6. februar 2020. De følsomme oplysninger har været tilgængelige på en af de sidste sider i præsentationen, der er på 52 sider, og langt de fleste CPR-numre har ligget som bagvedliggende data, som det har krævet teknisk viden at tilgå.

Menneskeligt at fejle

IT-direktør Morten Lundgaard siger om dommen:

– Det er to ærgerlige sager, der er udløst af menneskelige fejl for flere år siden. Vi tager dommen til efterretning, og vi har siden hændelserne iværksat mange initiativer, der skal medvirke til, at lignende datasikkerhedsbrud ikke sker igen. Det drejer sig bl.a. om mere avancerede screeningsværktøjer, øget fokus på leverandører og informationskampagner og undervisning af medarbejdere i informationssikkerhed. Men når det er sagt, så er menneskelige fejl bare enormt svære at gardere sig imod.

Henri Nissen

Journalist (medl. af Dansk Journalistforbund), Bachelor i journalistik, Master og Dr. RE (religious studies, USA). Forfatter til 18 bøger. Har arbejdet i Folketinget. Rejst i Asien og Afrika for bl.a. Det Lutherske Verdensforbund.

Se også
Regionen

Nogle læger i Region Syddanmark snyder med afregningerne

Regionen

Landmænd strømmede til Støjberg

Regionen

Hjerteløberne bruger mest bilen

Regionen

Sygehusene får nu behandlingsansvar