Datatilsynet har beslutat att polisanmäla Region Syddanmark för att inte ha fastställt tillräckliga säkerhetsåtgärder enligt artikel 32 i dataskyddsförordningen (“GDPR”). Datatilsynet har rekommenderat böter på 500 000 danska kronor.
Den 9 mars 2020 tog Datatilsynet emot en anmälan om en personuppgiftsincident från Region Syddanmark. I anmälan stod att en PowerPoint-presentation förberedd för utbildningsändamål vid Odense universitetssjukhus med diagram innehållande personuppgifter, inklusive hälsoinformation och personnummer, om cirka 3 915 patienter funnits tillgänglig på Region Syddanmarks webbplats sedan maj 2011. PowerPoint-presentationen innehöll information från diagrammets underliggande data.
Region Syddanmark använde ett screeningsverktyg för regelbunden skanning av om personnummer oavsiktligt publicerats på regionens webbplats. Screeningsverktyget kunde dock inte skanna de underliggande uppgifterna i PowerPoint-presentationer och detta var anledningen till att regionen inte uppfyllt kraven på en lämplig säkerhetsnivå enligt artikel 32 GDPR. Datatilsynet konstaterade därför, efter en genomgång av ärendet, att Region Syddanmark inte har vidtagit lämpliga säkerhetsåtgärder för att kunna utföra lämpliga kvalitetskontroller av innehållet i publicerade dokument.
I samband med behandlingen av ärendet uppgav Region Syddanmark att regionen sedan mars 2013 använt det aktuella screeningsverktyget för att skanna dokument på regionens webbplats efter personnummer som hade publicerats oavsiktligt. Screeningsverktyget sökte dock inte efter andra typer av information, som exempelvis hälsoinformation.
Först när Odense universitetssjukhus kontaktades av en medborgare om PowerPoint-presentationen i februari 2020 upptäckte Region Syddanmark att screeningsverktyget inte kunde hitta personnummer i underliggande data i exempelvis diagram i PowerPoint-presentationer.
Datatilsynet ser regelbundet att offentliga verksamheter oavsiktligt publicerar information om medborgare på webbplatser. När offentliga verksamheter publicerar dokument som potentiellt kan innehålla personuppgifter är det Datatilsynets uppfattning att verksamheten alltid måste överväga relevansen av tidigare och efterföljande kontrollåtgärder. I ett fall som det detta, där regionen behandlar stora mängder känslig information om många medborgare, ökar kraven enligt Datatilsynet på de kontroller som regionen måste genomföra, liksom att kraven på de åtgärder som faktiskt genomförs skärps.
Sammantaget anser Datatilsynet att Region Syddanmark inte haft tillräcklig kunskap om funktionerna i screeningverktyget. Dessutom har regionen inte kontinuerligt genomfört lämplig screening av filer innehållandes personuppgifter som publicerats oavsiktligen. Regionen har inte heller kontinuerligt testat effekterna av regionens säkerhetsåtgärder i samband med screening av filer som publicerats på regionens webbplats. Datatilsynets ansåg slutligen att Region Syddanmark borde ha infört åtgärder, antingen tekniska eller organisatoriska, som gjorde det möjligt för regionen att screena regionens webbplats för andra typer av information, inklusive exempelvis hälsoinformation.
Vid bedömningen av att böter ska dömas ut betonar Datatilsynet att Region Syddanmark behandlar stora mängder personuppgifter, inklusive hälsoinformation, som är av känslig karaktär, och information om personnummer. Enligt Datatilsynet har regionen en striktare skyldighet att skydda denna information mot oavsiktlig publicering eller avslöjande, och att det är regionernas ansvar att utföra lämpliga kontroller av publicerade dokument och information. Mot bakgrund av detta rekommenderar Datatilsynet böter på 500 000 danska kronor.