Region Syddanmark idømt en bøde på 1 mio. kr.

Dom afsagt: 23. december 2024

Straffesagsnr. 5399/2023

Sagen kort fortalt
Region Syddanmark var (forhold 1) tiltalt for overtrædelse af databeskyttelsesloven og databeskyttelsesfor-ordningen ved i en periode umiddelbart efter den 4. januar 2019 og frem til den 23. august 2020 ved, i forbindelse med opsætning af en database til forskningsmæssige og kliniske formål, ikke at have sikret sig imod, at uvedkommende ved at ændre en URL-adresse kunne opnå uautoriseret adgang til PDF-dokumenter i databasen, hvilket medførte at borgere, der var registreret i databasen, og som i øvrigt havde et login til databasen, kunne tilgå personoplysninger om de mere end 23.000 andre registrerede i databasen, herunder helbredsop-lysninger om mindreårige tilknyttet psykiatrien.

Regionen var desuden (forhold 2) tiltalte for at have overtrådt samme regelsæt ved i perioden fra den 25. maj 2018 til den 5. marts 2020 ikke at have sikret sig imod, at en PowerPoint præsentation indeholdende oplysninger om 3.915 patienter - herunder oplysninger om personnummer og helbreds oplysninger - var tilgængelig på regionens hjemmeside, hvorved oplysningerne utilsigtet blev gjort tilgængelige for uvedkommende, hvilket udgjorde en unødigt høj risiko for de registrerede borgere og tab af fortrolighed af deres personoplysninger.

Regionen nægtede sig skyldig.

Dommens resultat
Retten udtalte bl.a., at Region Syddanmark i begge forhold havde foretaget anmeldelse til Datatilsynet af datasikkerhedsbrud, og at det var ubestridt, at Region Syddanmark var dataansvarlig i begge forhold. Retten lagde derfor overordnet til grund, at der var sket brud på datasikkerheden i begge forhold, og at Region Syd-danmark var den ansvarlige.

Efter oplysningerne i sagen og de forklaringer retten havde hørt, fandt retten det bevist, at regionen var skyldig i overensstemmelse med tiltalen (dog sådan, at gerningsperioden i forhold 2 sluttede den 5. februar 2020).
 
Om sanktionen/bødens størrelse udtalte retten:

”Retten finder, at det i Datatilsynets supplerende udtalelse af 8. maj 2024 anførte om bødefastsættelse, herunder formildende og skærpende omstændigheder, jf. databeskyttelsesfordningens artikel 83, stk. 2 har betydning for rettens fastsættelse af bøden.

Som anført af Østre Landsret i U.2023.5579Ø, fremgår det af databeskyttelsesforordningens præambel 150, at der med forordningen er tilsigtet en harmonisering af sanktioner, ligesom det fremgår af databeskyttelses-forordningens præambel 151, at de kompetente nationale domstole bør tage hensyn til en anbefaling fra den tilsynsmyndighed, der har taget skridt til en bøde. Det er videre anført, at de idømte bøder under alle omstændigheder skal være effektive, stå rimeligt i forhold til overtrædelsen og have afskrækkende virkning.

Retten har ved bødens fastsættelse lagt vægt på Region Syddanmarks driftsbevilling for 2019 på 25,5 milliarder kroner. Det er Region Syddanmark, der er dataansvarlig i begge forhold, og det derfor regionens samlede driftsbevilling, og ikke kun den del, der kan henføres til enkeltsygehuse eller behandlingsområder, der skal lægges til grund i forbindelse med bødeberegningen. 

Retten har videre lagt vægt på, at Region Syddanmark i forhold 1 tidligere havde fået alvorlig kritik for en lignende overtrædelse, samt på karakteren af de personoplysninger, der er omfattet af sagen, gerningsperiodens varighed, og det ret store antal registrerede personer, der har været berørt og potentielt udsat for risiko for at lide skade, og endvidere på det forholdsvis begrænsede antal berørte, der konkret har fået offentliggjort personoplysninger.

Uanset Region Syddanmark efterfølgende har taget skridt til at undgå lignende databrud, finder retten, at der ikke er påvist omstændigheder i skærpende eller formildende retning, der giver grundlag for at fravige Datatilsynets indstilling til bøde i sagen.

Herefter og efter en samlet vurdering finder retten, at den samlede bøde passende kan fastsættes til 1.000.000 kroner (…)”

Regionen vil inden for 14 dage beslutte, om dommen skal ankes.

Afgørelsesdato
Dommen blev afsagt af Retten i Kolding den 23. december 2024.