Sjusk med patientjournaler: Datatilsynet kræver GDPR-bøde på 400.000 kroner til Region Midt

9. september 2021 kl. 10:437
Livsstilcenter Brædstrup
Illustration: Livsstilcenter Brædstrup/Regionshospitalet Horsens.
Region Midtjylland har sjusket med sikkerheden omkring borgernes helbredsoplysninger, og derfor indstiller Datatilsynet regionen til en bøde på 400.000 kroner - den næststørste af slagsen en offentlig myndighed hidtil er indstillet til.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet har politianmeldt Region Midtjylland og indstillet til en bøde på 400.000 kroner for brud på GDPR, efter man har sjusket med sikkerheden omkring patientjournaler.

Det skriver tilsynet på sin hjemmeside.

Regionen meldte den 12. juni sidste år til Datatilsynet, at alle medarbejdere og patienter i Livsstilcenter Brædstup har haft adgang til en bygning, hvor der blev opbevaret op mod 100.000 fysiske patientjournaler med helbredsoplysninger og personnumre.

Medarbejderne og patienterne fik nemlig udleveret et nøglekort, der gav adgang til alle tre af livsstilscenterets bygninger – uanset om brugeren havde behov for at komme ind alle steder eller ej.

Artiklen fortsætter efter annoncen

Datatilsynets bødeindstillinger til offentlige myndigheder

Gladsaxe Kommune: 100.000 kroner
Hørsholm Kommune: 50.000 kroner
Lejre Kommune: 50.000 kroner
Guldborgsund Kommune: 50.000 kroner
Vejle Kommune: 200.000 kroner
Region Syddanmark: 500.000 kroner
Udlændingestyrelsen: 150.000 kroner
Region Midtjylland: 400.000 kroner

Folk, der gik forbi bygningen med journalerne, kunne endda se omslaget, hvor personnummer, navn og speciale stod, fordi vinduerne ikke var matterede.

»Regioner skal passe godt på de store mængder af helbredsoplysninger, som de behandler, hvilket de ikke gjorde i denne situation. At alle medarbejdere og patienter, der befandt sig på et livstilscenter, har haft adgang til et arkiv med ca. 100.000 patientjournaler, er en alvorlig fejl, man burde have opdaget tidligere. Regionen skulle have haft helt klare retningslinjer for kodning og brug af nøglekort, og regelmæssigt have efterprøvet, om adgangsstyringen virkede, som den skulle,« forklarer Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet, i pressemeddelelsen.

Problemet er stået på siden 2016, hvor man flyttede arkivet til livsstilscentret, fordi regionen har ikke udført regelmæssige tjek på sikkerheden.

Bøden på 400.000 kroner er den næststørste, Datatilsynet hidtil har indstillet en offentlig myndighed til kun overgået af en bøde på 500.000 kroner, tilsynet indstillede Region Syddanmark til i midten af juli i år.

Der er indtil videre kun rent faktisk uddelt en enkelt GDPR-bøde til møbelkæden ILVA. Den dom er i øvrigt anket.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
19. september 2021 kl. 12:10

Hvis ens budget bliver ædt af bøder, så vil det med tiden få konsekvenser,

Den tid har vi ikke, de ansvarlige folkevalgte opererer i et højst 4-årigt rum, og hvis de ikke bliver genvalgt , skal andre politikere gøre samme erfaringer. Bøder til kommunen hjælper ikke. Personlige bøder vil afskrække de fleste borgere fra at søge valg. Om andre strafformer kan trække i den rette retning, det må komme an på en prøve.

5
17. september 2021 kl. 15:41

Altså, hvis de skattepenge der financierer dette show skal gå til bøder, kan jeg så i det ikke mindste selv bestemme hvilke bøder de så skal gå til ?

Jeg synes personligt hastighedsbøder er sjovere end GDPR-bøder :-)

Man græmmes over hvad borgernes skattepenge i virkeligheden går til.

Der burde falde bøder !

4
17. september 2021 kl. 14:10

</p>
<blockquote>
<p>At give en region eller en anden offentlig myndighed en pengebøde</p>
</blockquote>
<p>Desværre fru Hansen, De kan ikke blive opereret i år. Vi har klumret med datasikkerheden og fået en bøde, så der er ikke råd til operationen.

Og netop derfor giver det mening at give det offentlige bøder: Hvis ens budget bliver ædt af bøder, så vil det med tiden få konsekvenser, som ikke kan skjules for borgerne og dermed vil jeg forvente, at det også får konskvenser for den ansvarlige.

2
10. september 2021 kl. 03:17

..ubetinget fængsel eller anden adfærdsrestriktion..

Tusinde tak for, at der trods alt sker bitter bitte bitte små fremskridt hos Datatilsynet. Og glem de folktevalgte, de har meget sjældent forstand på data, it eller datasikkerhed.

Ansvaret er, som om der bliver stjålet af kassen - se det er noget enhver kan forstå.

Når den 1. ansvarlige tumpe, der sjusker med borgernes information, sidder i tremmely og græmmes, så rynkes og løftes øjenbryn overalt i det offentlige.. de bliver urolige.

Og når den næste ansvarlige tumpe bliver buret inde, bliver der heftigt trafik på gangene og bonede gulve.. der tages ansvar, og de får lappet deres huller og rettet deres klyt samt flytte uansvarlige/uoplyste/uvidende personager væk fra X, Y og Z.

Men ikke et sekund før.

Bøder, løftet pegefinger og andet småtteri er jo til brug i børnehaver, eller den daglige øvelse i en far, mor og børn relation.

1
9. september 2021 kl. 12:45

At give en region eller en anden offentlig myndighed en pengebøde (der er kun dig og mig til at betale). Giv i stedet de ledende medarbejdere og folkevalgte med ansvar for lovbruddet en betinget fængsselsstraf, og i gentagelsestilfælde ubetinget fængsel eller anden adfærdsrestriktion.