Hvorfor blev Region Syddanmark dømt efter GDPR art. 32?

Regionen havde en database, hvor adgang til andres oplysninger var mulig ved URL-ændring. Retten fandt, at dette afspejlede utilstrækkelige sikkerhedsforanstaltninger, særligt i lyset af tidligere lignende hændelser.

Hvad begrundede frifindelsen i sagen om PowerPoint-filen?

Landsretten lagde vægt på, at regionen havde gennemført relevante organisatoriske foranstaltninger, og at effektive tekniske værktøjer til at opspore indlejrede data ikke var tilgængelige på det tidspunkt.

Kan dommen indbringes for Højesteret?

En anke kræver tilladelse fra Procesbevillingsnævnet. Uden tilladelse står landsretsdommen ved magt som endelig afgørelse i sagen.

Vestre Landsret har afsagt dom i straffesag mod Region Syddanmark

I dag

•

Datatilsynet

Vestre Landsret har afsagt dom i straffesag mod Region Syddanmark

Offentlig ret EU-ret Persondata og cybersikkerhed Strafferet

Vestre Landsret halverer bøden til Region Syddanmark til 500.000 kr. Regionen dømmes for URL-baseret sårbarhed efter GDPR art. 32, men frifindes i sagen om en ældre, indekseret PowerPoint. Dommen skærper fokus på forudgående viden og passende foranstaltninger.

GDPR art. 32 og dommens hovedresultat

Vestre Landsret nedsatte Region Syddanmarks samlede bøde til 500.000 kr., idet regionen alene blev dømt for ét af to forhold vedrørende brud på GDPR art. 32 om behandlingssikkerhed. Dermed afveg landsretten fra Retten i Kolding, som tidligere havde idømt 1 mio. kr. for to overtrædelser.

Landsretten lægger vægt på, om en dataansvarlig har identificeret risici og indrettet sikkerheden i lyset af tidligere hændelser og tilsynsmæssig kritik. Dommen præciserer dermed både ansvarsvurderingen og rammerne for bødeudmåling ved sikkerhedsbrud hos offentlige myndigheder.

URL-sårbarhed og forudgående viden som skærpende moment

Skyldkendelsen vedrørte en forsknings- og klinikdatabase, hvor login-brugere i mere end 1,5 år kunne tilgå andre borgeres PDF-dokumenter ved at ændre URL’er. Oplysningerne omfattede bl.a. helbredsdata, hvilket skærper kravet til passende foranstaltninger efter GDPR art. 32.

Retten lagde vægt på, at regionen burde have været bekendt med denne sårbarhedstype, bl.a. fordi et lignende brud var anmeldt i 2018. Den forudgående viden gjorde manglen på effektive kontroller ansvarspådragende, uanset at sårbarheden kun blev udnyttet af den borger, der opdagede forholdet.

Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026

Læs mere her →

Indekseret præsentation og betydningen af organisatoriske foranstaltninger

Frifindelsen angik en PowerPoint om kræftbehandling, hvor bagvedliggende personnumre kunne fremfindes via en graf. Filen blev senere flyttet til et dokumentarkiv, men var fortsat søgbar via søgemaskineindeksering indtil regionen blev alarmeret.

Landsretten fandt, at regionen på daværende tidspunkt havde iværksat relevante organisatoriske tiltag (undervisning og generel orientering), og at effektive tekniske værktøjer til at afdække indlejrede data ikke var tilgængelige. Kravet om passende foranstaltninger blev derfor anset for opfyldt.

Læs Datatilsynets baggrundsnyt om sagerne her: nyhed 1 og nyhed 2. Byretsdommen kan findes i Domsdatabasen. Eventuel anke til Højesteret forudsætter tilladelse fra Procesbevillingsnævnet.

Læs hele artiklen hos Datatilsynet →

Søgeord