Datatilsynet har politianmeldt Region Syddanmark for ikke at have etableret tilstrækkelige sikkerhedsforanstaltninger. Regionen havde ikke sikret sig imod, at der utilsigtet var offentliggjort personoplysninger på deres hjemmeside. Datatilsynet har indstillet til en bøde på 500.000 kr.

Datatilsynet modtog den 9. marts 2020 en anmeldelse af et brud på persondatasikkerheden fra Region Syddanmark. Af anmeldelsen fremgik, at en PowerPoint-præsentation udarbejdet til uddannelsesformål på Odense Universitetshospital med diagrammer indeholdende personoplysninger (herunder helbredsoplysninger og oplysninger om personnummer) om 3.915 patienter havde været tilgængelig på Region Syddanmarks hjemmeside siden maj 2011. Oplysningerne fremgik af diagrammets bagvedliggende data.

Region Syddanmark anvendte et screeningsværktøj til regelmæssig scanning af, om der utilsigtet var offentliggjort personnumre på regionens hjemmeside. Screeningsværktøjet kunne dog ikke scanne de bagvedliggende data i PowerPoint-præsentationer og det var årsagen til, at regionen ikke havde levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Datatilsynet fandt i den sammenhæng, at Region Syddanmark ikke havde etableret passende sikkerhedsforanstaltninger, så regionen var i stand til at udføre passende kvalitetskontrol af indholdet i offentliggjorte dokumenter.

Utilstrækkelige sikkerhedsforanstaltninger
I forbindelse med sagens behandling hos Datatilsynet oplyste Region Syddanmark, at regionen siden marts 2013 havde anvendt det omtalte screeningværktøj til at scanne dokumenter på regionens hjemmeside for personnumre, der var blevet offentliggjort utilsigtet. Screeningsværktøjet scannede ikke for andre typer af oplysninger, herunder f.eks. helbredsoplysninger.

Region Syddanmark opdagede først, da Odense Universitetshospital blev kontaktet af en borger om PowerPoint-præsentationen i februar 2020, at screeningsværktøjet ikke var i stand til at finde personnumre i f.eks. diagrammers bagvedliggende data i PowerPoint-præsentationer.

- Vi ser desværre jævnligt, at myndigheder utilsigtet kommer til at offentliggøre oplysninger om borgere på hjemmesider. Når der offentliggøres dokumenter, som potentielt kan indeholde personoplysninger, er det vores opfattelse, at man som myndighed altid skal overveje relevansen af forudgående og efterfølgende kontrolforanstaltninger. I en sag som den foreliggende, hvor regionen behandler store mængder af følsomme oplysninger om mange borgere, øges kravene til de risikoovervejelser, som regionen skal foretage, ligesom kravene til de faktisk gennemførte foranstaltninger skærpes, siger kontorchef Frederik Viksøe Siegumfeldt.

Datatilsynet fandt overordnet, at Region Syddanmark ikke havde et tilstrækkeligt kendskab til screeningsværktøjets funktionalitet. Derudover havde regionen ikke gennemført løbende passende screening af filer for personoplysninger, der var blevet offentliggjort utilsigtet. Regionen havde heller ikke løbende afprøvet virkningen af regionens sikkerhedsforanstaltninger forbundet med screeningen af filer, der var offentliggjort på regionens hjemmeside.

Datatilsynet vurderede også, at Region Syddanmark burde have etableret foranstaltninger – enten tekniske eller organisatoriske – der gjorde regionen i stand til at screene regionens hjemmeside for andre typer af oplysninger, herunder f.eks. helbredsoplysninger.