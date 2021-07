30.000 børns data var ikke beskyttet - region risikerer bøde

Region Syddanmark er blevet anmeldt til politiet af Datatilsynet, fordi 30.000 børns helbredsoplysninger har ligget i en database på nettet uden at være beskyttet tilstrækkeligt.

Der er tale om børn, som har været tilknyttet psykiatrien. Det oplyser Datatilsynet på sin hjemmeside.

Deres oplysninger lå i en database til forskningsmæssige og kliniske formål, hvor uvedkommende kunne få adgang til PDF-dokumenter i databasen ved blot at ændre en URL-adresse.

Det betød, at borgere, der var registreret i databasen, kunne tilgå oplysninger på alle de øvrige 30.000 i databasen gennem 1,5 år.

Datatilsynet blev opmærksom på sagen, da en forælder til et barn henvendte til tilsynet, og kort tid efter anmeldte også regionen selv sagen til Datatilsynet.

Datatilsynet gør opmærksom på, at der ikke er andre end den pågældende forælder, som anmeldte sagen, der været inde i databasen.

Hos Datatilsynet fortæller kontorchef Frederik Viksøe Siegumfeldt, at Region Syddanmark burde have opdaget hullet.

- I en situation som denne er der tale om en sårbarhed, som har været nem at identificere.

- Man kan med en relativt basal it-viden ud fra URL-adressen se, at den kan ændres, så man potentielt kan tilgå andre dokumenter. Dette betyder, at der er større risiko for, at adgangen bliver misbrugt.

- Hertil kommer at det er en velkendt sårbarhed, som man burde havde taget højde for under udviklingen af løsningen, og som man i hvert fald burde have opdaget i forbindelse med test, siger han i en skriftlig kommentar.

Datatilsynet har indstillet til, at Region Syddanmark får en bøde på 500.000 kroner.

Det er i mellemstørrelsen af bøder, som myndigheder og virksomheder har fået de seneste år for brud på reglerne om databeskyttelse. Her har bøderne svinget mellem 50.000 og op til 1,5 millioner kroner.

Region Syddanmark oplyser til DR, at regionen er uenig i, at bruddet bør føre til en bøde.

Det er nu op til politiet at afgøre, om der skal rejses sigtelse, og herefter skal en domstol tage stilling til, om regionen i så fald skal have en bøde.