AM2025.06.02B

AM2025.06.02B Retten i Horsens

DOM

Dato: 2. juni 2025 Rettens sagsnr.: 1125/2023 Politiets sagsnr.: 3700-84266-00014-21 Anklagemyndigheden mod Tiltalte, cvr-nummer … Anklageskrift er modtaget den 30. marts 2023.

Tiltalte er tiltalt for overtrædelse af databeskyttelseslovens § 41, stk. 1, nr. 1 jf. stk. 3, jfr. stk. 6, jf. databeskyttelsesforordningens artikel 83, stk. 2 og stk. 4, litra a, jf. stk. 9, jf. artikel 32, stk. 1, ved i en længere periode op til den 9. juni 2020 ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt højt niveau, idet der på regionens Center, P-nr. …, beliggende Adresse i By, blev opbevaret ca. 100.000 patientjournaler indeholdende personoplysninger, herunder helbredsoplysninger og personnumre i et rum, uden at der var sikret en tilstrækkelig begrænsning af adgangen til rummet, så det kun var medarbejdere med et arbejdsbetinget behov, der havde adgang, og uden at der var sikret logning af udnyttelsen af adgangen, idet ca. 48 medarbejdere uden et arbejdsbetinget behov og alle Centers patienter, når de var på centeret, fra en pulje på i alt 60 nøglebrikker havde udleveret brikker, der gav adgang til rummet, ligesom logningen kun blev gemt i 6 måneder og ikke blev kontrolleret, ligesom rummets vinduer ikke var afblændede, matterede eller lignende, alt hvorved ca. 48 medarbejdere og alle Centers patienter havde uautoriseret adgang til patientjournalerne, ligesom medarbejdere, patienter og andre udenforstående personer gennem vinduerne havde uautoriseret indblik til omslag, med personoplysninger, på flere fritliggende journaler.

Påstande

Anklagemyndigheden har nedlagt påstand om bødestraf på 400.000 kr. Tiltalte har erkendt sig delvist skyldig og har nedlagt påstand om bortfald af bøde, således at regionen tildeles en advarsel, subsidiært påstand om rettens mildeste dom.

Sagens oplysninger

[FORKLARINGER UDELADT] Der har bl.a. været fremlagt datatilsynets politianmeldelse af 8. september 2021 med bilag og høringssvar og datatilsynets supplerende udtalelse af 31. marts 2025 med indstilling af bødens størrelse. Det fremgår af Datatilsynets politianmeldelse af 8. september 2021, at Datatilsynet den 12. juni 2020 modtog en anmeldelse af et brud på persondatasikkerheden fra Tiltalte.

Som følge sendte Datatilsynet flere høringer til Tiltalte. Af politianmeldelsen pkt. 2, uddybende beskrivelse af sagen, fremgår bl.a.: "... Det fremgår af sagen, at Regionshospital … , som hører under Tiltalte driver Center, hvor patienter tilbydes livsstilsforløb og genoptræningsforløb. På Center er der 3 bygninger.

Den ene bygning har siden 2016 været anvendt til arkiv med patientjournaler indsamlet fra nedlagte sygehuse i regionen. Forud herfor blev bygningen anvendt af personalet på Center til andre formål. Patienter, som anvendte Center, og personale tilknyttet centeret, har fået adgang til alle 3 bygninger, uagtet at de ikke havde et behov for at få adgang til bygningen, som huser arkivet.

Den fysiske adgang blev etableret for patienter og personel gennem kodning af nøglekort. 54 medarbejdere havde via nøglekort adgang til arkivbygningen, hvoraf kun 6 medarbejdere havde et arbejdsbetinget behov for adgang. Ingen af patienterne havde behov for adgangen til arkivbygningen.

Fra en pulje på 60 nøglekort med adgang til arkivbygningen, blev der udleveret kort til patienter, når de mødte til "opstart" på Center. Regionen kunne ikke fastslå, hor længe disse kort har givet patienter adgang til arkivbygningen, eller hvor mange patienter der derved har haft en sådan adgang.

Der er desuden vinduer i arkivbygningen, og fordi de ikke var matterede var det muligt herigennem at se frit liggende patientjournaler, dog kun omslaget med navn, personnummer og speciale. Bruddet blev opdaget ved, at en patient informerede koncerndirektøren om forholdet.

Patienten påstod, at der var adgang til arkivet med det nøglekort patienten havde fået udleveret, men regionen har oplyst, at loggen ikke viste, at et sådant nøglekort var blevet anvendt. Regionen er blevet spurgt om, hvor længe der har været uautoriseret adgang via nøglekort for både patienter og personale. Regionen har svaret, at arkivet blev flyttet til den nuværende adresse den 24. marts 2016.

Regionen har endvidere oplyst, at årsagen til, at nøglekortet blev kodet forkert var, at man ikke har været opmærksom på, at den bygning, der huser arkivet, ikke længere benyttes af Centers patienter. ..." Af politianmeldelsen pkt. 4.2, bødestørelse, fremgår bl.a.: "... Tiltalte havde i 2019 et driftsbudget på ikke under 28.873.400.000 kr.

Bødeloftet for offentlige myndigheder i en sag om overtrædelse af artikel 32 er 2 % af myndighedens driftsbevilling, dog maksimalt 8 mio. kr. Bødeloftet i denne sag er således 8 mio. kr. ... Det er Datatilsynets vurdering, at en bøde på 400.000 kr. vil være passende. ..."

Rettens begrundelse

og afgørelse Det følger af databeskyttelsesforordningens art. 32, at den dataansvarlige har pligt til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, herunder bl.a. ved en procedure fore regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Tiltalte har erkendt, at patienterne på Center i en periode fra 2016 til 9. juni 2020 havde fået udleveret nøglebrikker, der ved en fejl var kodet til også at give adgang til rummet med arkivet, hvor der blev opbevaret ca. 100.000 patientjournaler indeholdende personoplysninger, herunder helbredsoplysninger og personnumre, at flere medarbejdere end nødvendigt havde adgang til arkivet, og at dette har været en overtrædelse af databeskyttelsesforordningens art. 32, stk. 1.

Tiltalte har dog bestridt, at deres logning af adgang til arkivet ikke har været tilstrækkeligt langvarig, at antallet af medarbejdere uden behov for adgang til arkivet har været så mange som anført i tiltalen, og at det var muligt at se personfølsomme oplysninger igennem arkivets vinduer.

Det kan efter bevisførelsen lægges til grund, at Centerets skiftende patienter i perioden fra marts 2016 til 9. juni 2020 løbende har haft mulighed for at skaffe sig uautoriseret og uberettiget adgang til arkivet ved anvendelse af de 60 nøglebrikker, som patienterne fik udleveret i forbindelse med deres ophold på Centeret, og at arkivet indeholdt ca. 100.000 patientjournaler med personoplysninger, herunder helbredsoplysninger og personnumre.

Som anført af Datatilsynet, er der ikke fornødent grundlag for at fastslå, at denne mulighed for at tilgå personoplysninger har været udnyttet af nogle af patienterne.

Det kan efter bevisførelsen endvidere lægges til grund, at man igennem arkivets vinduer ville have mulighed for at se de CPR-numre, der stod skrevet udenpå flere af de kasser, der stod spredt omkring på arkivet, og at dette er en overtrædelse af databeskyttelsesforordningens art. 32.

Det fremgår af sagen, at alle de ansatte ved Centeret og flere af regionens tekniske medarbejdere havde adgang til arkivet, til trods for at flere af disse ikke havde et berettiget behov for adgang til arkivet med det formål at tilgå arkivets journaler.

Efter bevisførelsen finder retten, at flere medarbejdere end nødvendigt har haft mulighed for uberettiget at tilgå arkivet, hvilket retten finder er en overtrædelse af databeskyttelsesforordningens art. 32, uden at retten dog har de fornødne oplysninger til mere præcist at fastslå, hvor stort et antal af medarbejdere ved Tiltalte, der har haft mulighed for adgang uden et berettiget behov.

Det fremgår af Vidnes forklaring, at man opbevarede logning af adgang til arkivet i 6 måneder, og at man ikke havde fundet indikationer i loggen på, at ansatte eller øvrige personer uden behov havde tilgået arkivet og bygningen i øvrigt. Han har endvidere forklaret, at der ikke har været et behov for stikprøvekontrol.

Retten finder efter det fremlagte, at der ikke er fornødent grundlag for at fastslå, at der har været behov for at foretage kontrol af loggen, hvorfor Tiltalte frifindes i den del af tiltalen, der angår spørgsmålet om logning og kontrol heraf.

Retten finder det herefter bevist, at Tiltalte har misligholdt sin forpligtigelse til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau efter databeskyttelsesforordningens art. 32, og med de ovenfor anførte begrænsninger er Tiltalte herefter skyldig i den rejste tiltale.

Straffen fastsættes til en bøde på 300.000 kr., jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningens art. 83, stk. 2, og stk. 4, litra a, jf. stk. 2, jf. art. 32, stk. 1.

Retten har ved fastsættelse af bødens størrelse i skærpende retning lagt vægt på, at fejlen der medførte mulighed for uberettiget adgang til arkivet har eksisteret i en lang periode fra 2016 til 2020, og at der med adgangen var mulighed for at tilgå ca. 100.000 patientjournaler.

Retten har i formildende retning lagt vægt på, at der alene er tale om en potentiel mulighed for uberettiget adgang, og at Tiltalte selv har indberettet forholdet til Datatilsynet til trods for, at man ved egen undersøgelse ikke kunne konstatere, at der var sket et egentligt databrud til trods for det af patienten til regionen oplyste.

Henset til sagens karakter finder retten, at der ikke er grundlag for at lade bøden reducere grundet sagsbehandlingstiden.

Thi kendes for ret

: Tiltalte skal betale en bøde på 300.000 kr. Tiltalte skal betale sagens omkostninger.