Alvorlig kritik til Region Syddanmark for brud på persondatasikkerheden vedrørende graviditetsoplysninger

Region Syddanmark anmeldte et brud på persondatasikkerheden, hvor ca. 2000 gravide kvinder blev anmodet om at udfylde et spørgeskema. Ved en fejl kunne respondenterne få adgang til en liste med navne og personnumre på andre respondenter. Det kunne udledes af spørgeskemaets indhold, at personerne på listen var gravide. 365 kvinders personoplysninger blev eksponeret, og logfiler viste, at seks personer havde tilgået listen. Region Syddanmark oplyste, at der ikke forelå en risikovurdering Databeskyttelsesforordningen § 32 for systemet, og at fejl ved tildeling af brugeradgange var en medvirkende årsag. Datatilsynet bemærkede, at Region Syddanmark havde givet skiftende forklaringer om hændelsesforløbet og måtte indhente yderligere oplysninger fra en ekstern leverandør. Underretningen til de registrerede indeholdt desuden ukorrekte oplysninger om, hvilke data der var blevet eksponeret.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Region Syddanmark for manglende overholdelse af databeskyttelsesforordningens regler.

• Region Syddanmark har ikke truffet passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau, jf. Databeskyttelsesforordningen § 32, stk. 1. Dette skyldes manglende risikovurdering og utilstrækkelig fokus på it-sikkerhed under udvikling og test.
• Region Syddanmark har ikke tilstrækkeligt dokumenteret bruddet på persondatasikkerheden, herunder de faktiske omstændigheder og virkninger, jf. Databeskyttelsesforordningen § 33, stk. 5.
• Region Syddanmark har ikke underrettet de registrerede tilstrækkeligt om karakteren af bruddet, jf. Databeskyttelsesforordningen § 34, stk. 2, da underretningen indeholdt ukorrekte oplysninger om de eksponerede data.