Manglende sikkerhedsforanstaltninger udløste GDPR-bøde

Manglende sikkerhedsforanstaltninger udløste GDPR-bøde

EU-ret Sundhedsret Persondata og cybersikkerhed Procesret
Vestre Landsret nedsætter byrettens bøde til 500.000 kr., men fastslår brud på GDPR artikel 32 efter langvarig URL-sårbarhed i en regional database med følsomme sundhedsdata. Frifindelse gives for en ældre PowerPoint, da rimelige tiltag var truffet.

Landsrettens bøde for utilstrækkelige sikkerhedsforanstaltninger efter GDPR artikel 32

Vestre Landsret har idømt Region Syddanmark en bøde på 500.000 kr. for overtrædelse af GDPR’s krav om passende sikkerhedsforanstaltninger. Dommen angik en database anvendt til forskning og kliniske formål, hvor registrerede via ændring af URL-adresser kunne tilgå andre personers data.

Sårbarheden bestod i en langvarig mulighed for uautoriseret opslag, der potentielt berørte omkring 23.000 registrerede, herunder følsomme helbredsoplysninger om børn i psykiatrien. Landsretten lagde vægt på, at regionen burde have været opmærksom på risikoen, navnlig i lyset af et tidligere lignende sikkerhedsbrud, og fandt derfor, at artikel 32 var overtrådt.

Retlig vurdering af ansvar og bevis i straffesagen

Byretten i Kolding dømte oprindeligt regionen for to forhold og udmålte en samlet bøde på 1 mio. kr. Landsretten frifandt for det ene forhold og stadfæstede skyld for det andet, hvilket førte til en lavere bøde. Forskellen afspejler en skarp afvejning af kendte risici, proportionalitet og de faktiske muligheder for forebyggelse.

Efter artikel 32 skal sikkerhedsniveauet stå mål med risikoen og den teknologiske udvikling. Når en dataansvarlig kender – eller burde kende – en konkret sårbarhed, skærpes pligten til at forebygge. Dette gælder i særlig grad ved behandling af følsomme oplysninger.

Frifindelsen for offentliggjort PowerPoint og tekniske muligheder

Det frifundne forhold vedrørte en ældre PowerPoint-præsentation, som efter at være fjernet fra hjemmesiden fortsat kunne findes via søgemaskiner. Præsentationen indeholdt en graf, der gav indirekte adgang til personnumre.

Landsretten lagde vægt på, at regionen havde iværksat relevante organisatoriske tiltag, og at der på det pågældende tidspunkt ikke fandtes effektive tekniske værktøjer til at identificere sådanne indlejrede data. Ansvar pålægges derfor ikke automatisk, hvis myndigheden har handlet rimeligt.

Praktiske implikationer for dataansvarlige myndigheder

Dommen understreger et vedvarende ansvar for at adressere kendte sårbarheder og dokumentere risikobaserede valg. Følgende tiltag kan styrke efterlevelsen:

  • Stram adgangsstyring, segmentering og systematisk sårbarhedstest af bruger- og URL-flows.
  • Regelmæssig penetrationstest og kodegennemgang med fokus på IDOR og lignende adgangsfejl.
  • Hændelseshåndtering, læring fra tidligere brud og hurtig afhjælpning.
  • Dokumentation af risikovurderinger, proportionalitet og valgte kontroller i lyset af “state of the art”.
  • Løbende kortlægning af offentligt tilgængeligt materiale og deindeksering ved behov.

Samlet viser dommen, at beviskravet i straffesager om GDPR knytter sig til kendskab til risici og rimelige foranstaltninger, især hvor der behandles særligt følsomme sundhedsdata.

Læs hele artiklen hos Littler Danmark →
Søgeord
GDPR, Retspraksis, Informationssikkerhed, Sårbarhedsstyring, Databeskyttelsesforordningen, Sikkerhedsbrud, Vestre Landsret, Helbredsoplysninger, Dataansvarlig, Dataminimering, Kryptering, Datasikkerhed, Sundhedsdata, Proportionalitet, Behandlingssikkerhed, Brud på persondatasikkerhed, Offentlig myndighed, Tekniske og organisatoriske foranstaltninger, Logning, Dokumentationspligt, Bøde, Adgangskontrol, Straffesag, Ansvarsvurdering, Strafansvar, GDPR artikel 32, Følsomme oplysninger, Forskningsdata, Fortrolighed integritet tilgængelighed, Persondataret, Revisionsspor, Risikoanalyse, Retten i Kolding, Organisatoriske kontroller, Klinisk forskning, Passende sikkerhedsforanstaltninger, URL manipulation, IDOR, Google caching, Arkivmateriale

Relaterede artikler

Straffesager bliver digitale: Det skal advokater vide
Danske Advokater

Straffesager bliver digitale: Det skal advokater vide

Straffesager går nu fuldt digitalt. Advokater får adgang til akter, retsbøger og mødedatoer i Straffesagsportalen, som bliver obligatorisk fra september 2026. Portalen udbygges med kommunikation med retten, salæranmodninger og fristoverblik – kræver klar adgangs- og friststyring.
EU-direktivforslag til yderligere harmonisering af insolvensretten er nu vedtaget
Kromann Reumert

EU-direktivforslag til yderligere harmonisering af insolvensretten er nu vedtaget

EU 2026/799 skærper insolvensrammerne: kuratorer får adgang til aktivregistre på tværs af EU, pre-pack overdragelser formaliseres i to faser, og ledelser pålægges egenbegæring inden tre måneder. Tiltagene kan øge kreditorprovenu og lette grænseoverskridende inddrivelse.
Nyt EU direktiv styrker den fælles insolvensret
TVC Advokatfirma

Nyt EU direktiv styrker den fælles insolvensret

Det nye EU-insolvensdirektiv skærper aktiversporing på tværs af grænser via BARIS, indfører fælles pre pack-rammer og tydeliggør ledelsens pligt til rettidig egenbegæring. Danmark forventer begrænsede ændringer, men praksis kan strammes ved grænseoverskridende sager og ledelsesansvar.
Forstyrrelser i forsyningskæden
HortenDahl

Forstyrrelser i forsyningskæden

Ustabile forsyningskæder kræver skarp kontraktstyring. Få overblik over force majeure, told- og handelsrestriktionsklausuler, Incoterms 2020 og prisregulering, samt hvordan organisatoriske tiltag og standardvilkår kan styrke leveringssikkerhed og økonomisk forudsigelighed.

Relaterede kurser

Den forenklede proces - Den nye småsagsproces
7
JUC
Den forenklede proces - Den nye småsagsproces
Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR

Relaterede jobs

Protector Forsikring Danmark
Spændende karrieremulighed indenfor opgørelse af personskade og ansvarsvurderinger
Protector Forsikring Danmark
Erhvervsministeriet
Vil du arbejde med udbudsret på tværs af staten?
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren databeskyttelsesjurist – vær med til at forme fremtidens digitale sundhed
Sundhedsdatastyrelsen
FOA
FOA Overenskomst søger en juridisk konsulent (barselsvikar) til Sektionen for det private område
FOA
Elmann Advokatpartnerselskab
Advokatfuldmægtig søges til Elmann fast ejendom og entreprise
Elmann Advokatpartnerselskab
Skau Reipurth Advokatpartnerselskab
Stud.jur. til Teknologi, IP og Compliance
Skau Reipurth Advokatpartnerselskab
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.
Opret gratis profil →