Region idømt bøde på 300.000 kr. for mangelfuld sikring af 100.000 patientjournaler

Sagen omhandler en tiltale mod en region for overtrædelse af databeskyttelseslovgivningen. Regionen havde ikke sikret personoplysninger tilstrækkeligt i et fysisk arkiv, hvilket skabte risiko for uautoriseret adgang til ca. 100.000 patientjournaler.

Baggrund: Usikret arkiv med patientjournaler

I en bygning tilhørende regionens Center blev ca. 100.000 patientjournaler, indeholdende følsomme helbredsoplysninger og personnumre, opbevaret. Bygningen havde tidligere været anvendt som gymnastiksal for patienter, og adgangen blev administreret via nøglebrikker.

Efter omlægningen til arkiv blev adgangen for patienter ikke fjernet fra nøglebrikkerne. Dette var ifølge regionen en forglemmelse.

Tiltalen mod regionen

Anklagemyndigheden rejste tiltale for overtrædelse af Databeskyttelsesforordningen på flere punkter:

• Manglende adgangsbegrænsning: Ca. 48 medarbejdere uden arbejdsbetinget behov samt alle patienter på Centeret (via en pulje på 60 nøglebrikker) havde adgang til arkivrummet.
• Mangelfuld logning: Logning af adgang blev kun gemt i 6 måneder og blev ikke kontrolleret.
• Manglende fysisk sikring: Vinduerne til arkivet var ikke afblændede, hvilket muliggjorde uautoriseret indkik til omslag på fritliggende journaler.

Anklagemyndigheden påstod en bødestraf på 400.000 kr.

Regionens erkendelse og påstand

Tiltalte Region erkendte sig delvist skyldig. De anerkendte, at patienter ved en fejl havde fået udleveret nøglebrikker med adgang til arkivet, og at flere medarbejdere end nødvendigt havde adgang. Regionen bestred dog, at logningen var utilstrækkelig, og at man kunne se personfølsomme oplysninger gennem vinduerne.

Regionen nedlagde påstand om bortfald af bøde (en advarsel) eller subsidiært rettens mildeste dom.

Retten fandt det bevist, at Tiltalte Region havde misligholdt sin forpligtelse til at sikre et passende sikkerhedsniveau for behandlingen af personoplysninger, som krævet i Databeskyttelsesforordningens artikel 32, stk. 1.

Rettens vurdering af beviserne

Retten lagde til grund, at:

• Skiftende patienter på Centeret fra marts 2016 til juni 2020 havde haft mulighed for uautoriseret adgang til arkivet via udleverede nøglebrikker.
• Arkivet indeholdt ca. 100.000 patientjournaler med helbredsoplysninger og personnumre.
• Flere medarbejdere end nødvendigt havde adgang til arkivet uden et arbejdsbetinget behov.
• Det var muligt at se CPR-numre på kasser i arkivet gennem vinduerne.

Retten fandt dog ikke grundlag for at fastslå, at der havde været behov for yderligere kontrol af adgangsloggen. Regionen blev derfor frifundet for denne del af tiltalen.

Domfældelse og strafudmåling

Med de ovennævnte begrænsninger blev Tiltalte Region fundet skyldig i den rejste tiltale. Straffen blev fastsat til en bøde på 300.000 kr. i henhold til Databeskyttelsesloven § 41, stk. 1, nr. 1.

Ved strafudmålingen lagde retten vægt på følgende:

• Skærpende omstændigheder: Fejlen havde eksisteret i en lang periode (2016-2020), og den potentielle adgang omfattede et meget stort antal patientjournaler.
• Formildende omstændigheder: Der var tale om en potentiel, ikke en konstateret, uberettiget adgang. Desuden havde regionen selv indberettet forholdet til Datatilsynet.

Retten fandt ikke grundlag for at nedsætte bøden på grund af sagsbehandlingstiden.

Afgørelse

Thi kendes for ret:

• Tiltalte Region skal betale en bøde på 300.000 kr.
• Tiltalte Region skal betale sagens omkostninger.