Datatilsynet har politianmeldt Region Syddanmark for ikke at have etableret tilstrækkelige sikkerhedsforanstaltninger. Regionen havde ikke sikret sig imod, at der utilsigtet var offentliggjort personoplysninger på deres hjemmeside. Datatilsynet har indstillet til en bøde på 500.000 kr.
Datatilsynet modtog den 9. marts 2020 en anmeldelse af et brud på persondatasikkerheden fra Region Syddanmark. Af anmeldelsen fremgik, at en PowerPoint-præsentation udarbejdet til uddannelsesformål på Odense Universitetshospital med diagrammer indeholdende personoplysninger – herunder helbredsoplysninger og oplysninger om personnummer – om 3.915 patienter havde været tilgængelig på Region Syddanmarks hjemmeside siden maj 2011. Oplysningerne fremgik af diagrammets bagvedliggende data.
Region Syddanmark anvendte et screeningsværktøj til regelmæssig scanning af, om der utilsigtet var offentliggjort personnumre på regionens hjemmeside. Screeningsværktøjet kunne dog ikke scanne de bagvedliggende data i PowerPoint-præsentationer og det var årsagen til, at regionen ikke havde levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.
Datatilsynet fandt i den sammenhæng, at Region Syddanmark ikke havde etableret passende sikkerhedsforanstaltninger, så regionen var i stand til at udføre passende kvalitetskontrol af indholdet i offentliggjorte dokumenter.
Utilstrækkelige sikkerhedsforanstaltninger
I forbindelse med sagens behandling hos Datatilsynet oplyste Region Syddanmark, at regionen siden marts 2013 havde anvendt det omtalte screeningværktøj til at scanne dokumenter på regionens hjemmeside for personnumre, der var blevet offentliggjort utilsigtet. Screeningsværktøjet scannede ikke for andre typer af oplysninger, herunder f.eks. helbredsoplysninger.
Region Syddanmark opdagede først, da Odense Universitetshospital blev kontaktet af en borger om PowerPoint-præsentationen i februar 2020, at screeningsværktøjet ikke var i stand til at finde personnumre i f.eks. diagrammers bagvedliggende data i PowerPoint-præsentationer.
”Vi ser desværre jævnligt, at myndigheder utilsigtet kommer til at offentliggøre oplysninger om borgere på hjemmesider. Når der offentliggøres dokumenter, som potentielt kan indeholde personoplysninger, er det vores opfattelse, at man som myndighed altid skal overveje relevansen af forudgående og efterfølgende kontrolforanstaltninger. I en sag som den foreliggende, hvor regionen behandler store mængder af følsomme oplysninger om mange borgere, øges kravene til de risikoovervejelser, som regionen skal foretage, ligesom kravene til de faktisk gennemførte foranstaltninger skærpes,” siger kontorchef Frederik Viksøe Siegumfeldt.
Datatilsynet fandt overordnet, at Region Syddanmark ikke havde et tilstrækkeligt kendskab til screeningsværktøjets funktionalitet. Derudover havde regionen ikke gennemført løbende passende screening af filer for personoplysninger, der var blevet offentliggjort utilsigtet. Regionen havde heller ikke løbende afprøvet virkningen af regionens sikkerhedsforanstaltninger forbundet med screeningen af filer, der var offentliggjort på regionens hjemmeside.
Datatilsynet vurderede også, at Region Syddanmark burde have etableret foranstaltninger – enten tekniske eller organisatoriske – der gjorde regionen i stand til at screene regionens hjemmeside for andre typer af oplysninger, herunder f.eks. helbredsoplysninger.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Region Syddanmark behandler store mængder af personoplysninger, herunder helbredsoplysninger – som er af følsom karakter - og oplysninger om personnummer.
Datatilsynet har også lagt vægt på, at regionen har en skærpet forpligtelse til at beskytte disse oplysninger mod utilsigtet offentliggørelse eller videregivelse, og at det i den forbindelse særligt påhviler regioner, der offentliggør mange dokumenter og store mængder af oplysninger, at føre en passende kontrol med offentliggjorte dokumenter og oplysninger.
Vil du vide mere?
Bliv klogere på dine forpligtelser som dataansvarlig og hvilke betingelser, der er afgørende for dig.