En powerpoint-præsentation udarbejdet til uddannelse på Odense Universitetshospital (OUH) har ført til, at Datatilsynet har politianmeldt Region Syddanmark for brud på persondatasikkerheden.
Datatilsynet indstiller regionen til en bøde på 500.000 kroner, fordi powerpoint-præsentationen indeholdt 3.915 patienters helbredsoplysninger og cpr-numre.
Desuden fremgår det af en pressemeddelelse fra Datatilsynet, at oplysningerne havde været tilgængelige på Region Syddanmarks hjemmeside siden maj 2011 - altså i mere end 10 år.
Oplysningerne fremgik af nogle diagrammers bagvedliggende data og kom frem, når man trykkede på dem.
Utilstrækkelig screening
Når man opdager et brud på persondatasikkerheden, har man 72 timer til at melde det til Datatilsynet, som i denne sag vurderer, at Region Syddanmark ikke havde sikret sig imod utilsigtet offentliggørelse af personoplysninger på regionens hjemmeside.
Datatilsynet har politianmeldt Region Syddanmark for ikke at have etableret tilstrækkelige sikkerhedsforanstaltninger.
Region Syddanmark opdagede først fejlen, da OUH i februar 2020 blev kontaktet af en borger om powerpoint-præsentationen.
Anmeldelsen gik på, at det screeningsværktøj, regionen benyttede til at scanne dokumenter på regionens hjemmeside, ikke var i stand til at finde personnumre i for eksempel diagrammers bagvedliggende data i powerpoint-præsentationer.
- Vi er super ærgerlige over den sag. Det burde ikke være sket. Da vi opdager det, gør vi alt, hvad vi kan, for at orientere de berørte og fjerne det pågældende powerpoint-dokument, siger regionsdirektør Jane Kraglund og fortsætter:
- Vi har håndteret sagen, som vi skal, men det ændrer ikke på, at vi er ærgerlige over sagen. Vi kan kun tage det til efterretning, og så må sagen gå den gang, som den skal.
Anden gang på to måneder
Men det er ikke første gang i år, at Region Syddanmark politianmeldes for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.
I juli blev Region Syddanmark også indstillet til en bøde på 500.000 kroner for ikke i tilstrækkelig grad at have sikret sig imod, at uvedkommende kunne opnå uautoriseret adgang til en database til forskningsmæssige og kliniske formål.
I databasen lå der blandt andet helbredsoplysninger om mere end 30.000 børn tilknyttet psykiatrien.
Datatilsynet blev opmærksom på sagen, da en borger i 2020 rettede henvendelse til tilsynet over manglende sikkerhed ved regionens behandling af personoplysninger vedrørende borgerens barn.