Region Syddanmark er blevet indstillet til en bøde på 500.000 kr. for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger. Datatilsynet blev opmærksom på sagen, da en borger i 2020 rettede henvendelse til tilsynet over manglende sikkerhed ved regionens behandling af personoplysninger vedrørende borgerens barn, og kort tid efter anmeldte regionen forholdet som et brud på persondatasikkerheden til tilsynet.
Region Syddanmark havde i en periode på mere end 1,5 år haft en database til forskningsmæssige og kliniske formål, hvor regionen ikke i tilstrækkelig grad havde sikret sig imod, at uvedkommende kunne opnå uautoriseret adgang til PDF-dokumenter i databasen ved blot at ændre en URL-adresse. Det medførte, at borgere, der var registreret i databasen – og som i øvrigt havde et login til databasen – kunne tilgå personoplysninger om de mere end 30.000 andre registrerede i databasen. I databasen lå der bl.a. spørgeskemaer indeholdende helbredsoplysninger om mere end 30.000 børn tilknyttet psykiatrien.
Sårbarheden i adgangen til databasen ses ikke at være udnyttet af andre end den pågældende borger, som blev opmærksom på forholdet. Dette understøttes af regionens log, som viser, at oplysningerne ikke er blevet tilgået af andre uvedkommende.
Krav om passende sikkerhed
Det er Datatilsynets opfattelse, at håndtering af bl.a. helbredsoplysninger om en særlig udsat gruppe af mindreårige stiller større krav til myndighedens omhyggelighed i forbindelse med behandling af personoplysninger. En behandlingsaktivitet, hvor personoplysninger lagres i en database og videregives via en URL-løsning, skal foregå på en måde, der sikrer den fornødne fortrolighed, således at der ikke er en potentiel adgang til beskyttelsesværdige personoplysninger.
”Som offentlig myndighed har man et særligt ansvar for at passe godt på borgernes oplysninger. I en situation som denne er der tale om en sårbarhed, som har været nem at identificere. Man kan med en relativt basal it-viden ud fra URL-adressen se, at den kan ændres, så man potentielt kan tilgå andre dokumenter. Dette betyder, at der er større risiko for, at adgangen bliver misbrugt. Hertil kommer at det er en velkendt sårbarhed, som man burde havde taget højde for under udviklingen af løsningen, og som man i hvert fald burde have opdaget i forbindelse med test,” forklarer Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at der er tale om helbredsoplysninger om en udsat gruppe af børn. Yderligere er der tale om manglende udvikling og regelmæssig afprøvning, vurdering og evaluering af effektiviteten af en tidligere kendt hændelse og sårbarhed - idet regionen tidligere har anmeldt et lignende brud på persondatasikkerheden til Datatilsynet, som gav anledning til alvorlig kritik fra tilsynet.