I dag starter en straffesag mod Region Syddanmark i Retten i Kolding, hvor regionen er anklaget for at have bragt helbredsoplysninger om omkring 27.000 borgere på internettet, hvilket har gjort dem tilgængelige for uvedkommende.
Det skriver DR.
Sagen, der drejer sig om to separate hændelser, kan føre til den største bøde til en offentlig myndighed i Danmark for overtrædelse af persondata-lovgivningen.
Links i PowerPoint
I den ene sag blev en PowerPoint-præsentation offentliggjort på regionens hjemmeside, som indeholdt links til cpr-numre og helbredsdata for 3.915 patienter.
I den anden sag drejede det sig om en forskningsdatabase, hvor helbredsoplysninger om mere end 23.000 personer, herunder børn i psykiatrien, kunne tilgås ved at ændre en simpel URL-adresse.
Dette gjorde det muligt for brugere at læse andres sygdomshistorie og helbredsoplysninger uden at være autoriserede.
Allan Frank, IT-sikkerhedsspecialist og jurist i Datatilsynet, understreger, at helbredsoplysninger er særligt følsomme og kræver stor opmærksomhed for at undgå misbrug. Ifølge ham var sikkerheden i disse tilfælde "så dårlig, at det ikke var passende".
Risikerer rekordstor bøde
Datatilsynet har anmeldt sagen til politiet og foreslået bøder på 500.000 kr. for hver af overtrædelserne. Hvis retten er enig, kan bøderne samlet nå én million kroner, hvilket vil være en rekordstraf for en offentlig institution.
Region Syddanmark har ikke udtalt sig om sagen under retssagen, men tidligere i 2021 argumenterede lægefaglig direktør i psykiatrien, Anders Meinert Pedersen, for, at der ikke var sket nogen skade, da adgangen til oplysningerne ikke var blevet misbrugt.
Datatilsynet påpeger dog, at det ikke er nødvendigt, at oplysningerne faktisk er blevet misbrugt for, at det er en overtrædelse af persondatareglerne.
Retten vil afgøre, om regionen har overtrådt loven, og om bøderne skal idømmes. Sagen ventes afsluttet i morgen, den 11. december.
