Region Syddanmark
Att.: Databeskyttelsesrådgiver
Damhaven 12
7100 Vejle
Sendt med Digital Post

19.12.2018

Brud på persondatasikkerheden i Region Syddanmark

Datatilsynet
Borgergade 28, 5.
1300 København K

1. Datatilsynet vender hermed tilbage i sagen, hvor tilsynet den 1. juni 2018
blev informeret af Region Syddanmark om, at det i perioden fra omkring 2013
til den 23. maj 2018 har været muligt for regionens 26.000 ansatte og eksterne
samarbejdspartnere at tilgå forskellige typer af personoplysninger (herunder
navn, personnummer og EKG oplysninger) om regionens patienter.

CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail dt@datatilsynet.dk
www.datatilsynet.dk
J.nr. 2018-442-0021
Dok.nr.
Sagsbehandler
Ditte Koefoed

Datatilsynet kan indledningsvis oplyse, at der på tidspunktet for bruddet på
persondatasikkerheden hos Region Syddanmark ikke eksisterede en pligt for
den dataansvarlige til at underrette Datatilsynet herom.
Datatilsynet kan endvidere oplyse, at persondataloven pr. 25. maj 2018 er
blevet ophævet og erstattet af databeskyttelsesforordningen1 og databeskyttelsesloven2. Denne afgørelse er derfor truffet efter reglerne i databeskyttelsesforordningen. Datatilsynet har dog ved fastlæggelsen af nedennævnte sanktion
skelet til, hvilke regler der gjaldt på tidspunktet for Region Syddanmarks behandling af personoplysningerne og til, hvad sanktionen ville have været efter
disse regler.
2. Efter en gennemgang af sagen finder Datatilsynet anledning til at udtale
kritik af, at oplysninger om 504.596 patienter har været tilgængelige for regionens 26.000 ansatte og eksterne samarbejdspartnere. Region Syddanmarks
behandling af personoplysninger har således efter Datatilsynets opfattelse
ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i databeskyttelsesforordningens artikel 32.
Datatilsynet har herved lagt vægt på, at adgangen til personoplysningerne for
ansatte i regionen har eksisteret siden 2013/2014, at der er tale om oplysninger om 504.596 personer og, at der - ifølge Region Syddanmark - er tale om

1

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
2
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven).

 2

tilgængeliggørelse af oplysninger om bl.a. EKG-oplysninger, som personer
med en vis lægefaglig viden kan udlede helbredsoplysninger fra.
3. Persondataloven er pr. 25. maj 2018 blevet afløst af nye databeskyttelsesregler i form af en generel forordning fra EU om beskyttelse af personoplysninger, som gælder i både den private og offentlige sektor, og databeskyttelsesloven, der supplerer reglerne i forordningen.
Datatilsynet kan til orientering om databeskyttelsesforordningen oplyse, at
forordningen ifølge dennes artikel 2, stk. 1, finder anvendelse på behandling
af personoplysninger, der helt eller delvist foretages ved hjælp af automatisk
databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og
den pågældende behandlings karakter, omfang, sammenhæng og formål samt
risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren
passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
I forordningens artikel 32, stk. 1, litra a-d er herefter oplistet foranstaltninger,
som kan være relevante at gøre brug af i sikkerhedsmæssige sammenhænge,
herunder bl.a. pseudonymisering og kryptering af personoplysninger samt
evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester.
Af databeskyttelsesforordningens artikel 32, stk. 2, fremgår det, at ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn
til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
4. Datatilsynet har noteret sig, at Region Syddanmark har oplyst, at adgangen
til personoplysningerne for ansatte i regionen og eksterne samarbejdspartnere
blev lukket den 23. maj 2018, hvorefter den brede adgang ikke længere var
mulig, at Region Syddanmark den 31. maj 2018 har foretaget adgangsbegrænsning i systemet, og at Region Syddanmark fremadrettet vil justere den
proces, hvori nye it-systemer bliver risikovurderet i regionens staging-miljø
med det formål at undgå, at lignende brud kan opstå.
Datatilsynet betragter herefter sagen som afsluttet og foretager sig ikke yderligere.
Med venlig hilsen

Katrine Valbjørn Trebbien