Dom
RETTEN I HORSENS
D O M
afsagt den 2. juni 2025
Rettens nr. 1125/2023
Politiets nr. 3700-84266-00014-21
Anklagemyndigheden
mod
Tiltalte Region
CVR nr.
Anklageskrift er modtaget den 30. marts 2023.
Tiltalte Region er tiltalt for overtrædelse af
databeskyttelseslovens § 41, stk. 1, nr. 1 jf. stk. 3, jfr. stk. 6, jf. databes-kyttelsesforordningens artikel 83, stk. 2 og stk. 4, litra a, jf. stk. 9, jf. ar-tikel 32, stk. 1, ved i en længere periode op til den 9. juni 2020 ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende tek-niske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt højt ni-veau, idet der på regionens Center, P-Nr., be-liggende Adresse i By, blev opbevaret ca. 100.000 patientjour-naler indeholdende personoplysninger, herunder helbredsoplysninger og per-sonnumre i et rum, uden at der var sikret en tilstrækkelig begrænsning af ad-gangen til rummet, så det kun var medarbejdere med et arbejdsbetinget be-hov, der havde adgang, og uden at der var sikret logning af udnyttelsen af adgangen, idet ca. 48 medarbejdere uden et arbejdsbetinget behov og alle Centers patienter, når de var på centeret, fra en pulje på i alt 60 nøg-lebrikker havde udleveret brikker, der gav adgang til rummet, ligesom log-ningen kun blev gemt i 6 måneder og ikke blev kontrolleret, ligesom rum-mets vinduer ikke var afblændede, matterede eller lignende, alt hvorved ca. 48 medarbejdere og alle Centers patienter havde uautoriseret ad-gang til patientjournalerne, ligesom medarbejdere, patienter og andre uden-forstående personer gennem vinduerne havde uautoriseret indblik til omslag, med personoplysninger, på flere fritliggende journaler.
Påstande
Anklagemyndigheden har nedlagt påstand om bødestraf på 400.000 kr.
Tiltalte Region har erkendt sig delvist skyldig og har nedlagt påstand om bortfald af bøde, således at regionen tildeles en advarsel, subsidiært på-stand om rettens mildeste dom.
Std 75271
side 2
Sagens oplysninger
Vidne 1 har til retsbogen forklaret følgende:
"...
Vidnet forklarede blandt andet, at han siden 2019 har været ansat som teknisk chef for regionshospitalet. Han havde været ansat i regionen siden 2007. Hans arbejdsopgaver var det daglige ansvar for regions-hospitalets bygninger og tekniske installationer, herunder Centers bygninger i By. Centers bygninger havde tidli-gere fungeret som Hospital 1.
Bygningen med arkivet blev blot anvendt, fordi man manglede opbe-varingsplads i regionens øvrige bygninger. Arkivet blev flyttet til ste-det i 2016. Center lå i en anden bygning ved siden af. Der var adgangskontrol, hvis man anvendte indgangene med nøglebrik. Ved adgangen igennem tunnelen til Center var der ikke ad-gangskontrol. Døren til tunnelen var låst, og vidnet havde ikke haft kendskab til, at denne skulle have været efterladt ulåst.
Patienter fra Center kunne få adgang til bygningen med arki-vet igennem tunnelen, men så var de kommet meget på afveje. Døren fra tunnelen til bygningen med arkivet var forsynet med lås. Patienter-ne fik i forbindelse med deres introduktion til Center ikke op-lyst, at der var en tunnel. Tunnelen var en gammel transportgang fra ti-den, hvor bygningerne fungerede som hospital. Der var engang køkken i arkivbygningen.
Fra 2020 og frem blev det tilstødende rum til arkivet anvendt som mø-beldepot for regionen. Arkivet og møbeldepotet kunne godt fremstå rodet som gengivet i billederne på sagen.
I arkivet var et bord, som hans ansatte anvendte, når de blev sendt til arkivet for at finde en gammel journal. Der brugte de bordet til at gen-nemgå kasserne med journaler. Der kunne godt ligge journaler på bor-det. Det var for at gøre det nemmere at pakke den bortlånte journal rig-tigt ned igen, når den kom tilbage til arkivet.
Arkivet indeholdt papirjournaler fra nedlagte hospitaler. Det var et krav, at journalerne blev gemt. Det var sundhedsoplysninger fra både levende og døde patienter. Der var CPR-numre på nogle af kasserne, så man på kassen kunne se, hvilket interval af journaler, som kassen indeholdt. På journalernes omslag stod typisk patientens navn og CPR-nummer.
Der var vinduer ind til bygningen og arkivet. Vinduerne var dog place-ret ca. 2 meter oppe, og man havde derfor ikke forestillet sig, at indkik var et problem. Man havde dog valgt at afblænde dem i forbindelse
side 3
med indberetningen. Dette havde man gjort for en sikkerheds skyld. Han mente ikke, at man havde indkik til nogle personfølsomme oplys-ninger på hverken journalerne, kasserne eller bordet, hvis man så ind ad vinduet.
Der var nok 600-700 kasser med journaler på arkivet.
Hans ansatte havde adgang til bygningen med arkivet. Det var nødven-digt for hans tekniske personale at have adgang til bygningen, så den kunne vedligeholdes. Regionen havde pligt til at vedligeholde bygnin-gen.
Hvis nogen skulle bruge en journal fra arkivet, kunne han sende en af sine ansatte eller en sekretær fra Center til arkivet for at finde journalen. Man havde opretholdt et fysisk arkiv, idet det ville være u-forholdsmæssigt ressourcetungt at digitaliserer journalerne.
Der var ca. 20 af hans teknikere, som havde fysisk nøgle til den låste dør, der gav adgang til tunnelen mellem arkivet og Center. Der var ca. 18 ansatte ved Center og 30 teknikere, der havde adgang til arkivet med nøglebrik. Ud af de 30 teknikere havde 25 en funktion, der nødvendiggjorde adgang til bygningen med arkivet.
På Center var der kun 2-3 ansatte ad gangen. Det kunne være nødvendigt at sende en af de tilstedeværende over på arkivet for at hente en journal, lave et opslag eller tilse bygningen.
Det kunne godt være, at man tidligere havde meddelt tilsynet, at det kun var 6 personer, der havde behov for adgang, men han mente nu, at antallet var højere. Man havde i panik angivet et for lavet antal til til-synet, fordi man ikke havde fået overvejet det tilstrækkeligt.
Lokalet, der blev anvendt til møbeldepot, havde tidligere været an-vendt som gymnastiksal for Center. Patienterne på Center havde dengang haft behov for med nøglebrik at kunne tilgå gymnastiksalen. Bygningen blev dengang ikke anvendt som arkiv. Hans teori var, at man havde glemt at ophæve nøglebrikkernes adgang til bygningen, dengang man omlagde bygningen fra gymnastiksal til arkiv og møbeldepot.
Ved opstart af et forløb på Center fik patienterne udleveret en nøglebrik, så de kunne komme ind og ud på Center. Et op-hold på Center var med overnatning, og dørene til Center blev låst kl. 20.00. Det var derfor nødvendigt, at patienterne kunne låse dørene på centeret op efter kl. 20.00, hvis de f.eks. gik en tur om aftenen.
side 4
Man havde efter datatilsynets henvendelse fundet ud af, at patienternes nøglebrik havde givet mulighed for adgang til den bygning, hvor arki-vet lå. Patienterne havde ikke noget at bruge den bygning til, og man havde ikke fortalt patienterne om arkivet, når de påbegyndte et forløb på Center.
Man havde gennemgået loggen over bygningen, og der havde ikke væ-ret nogen uberettiget adgang. Der havde ikke været patienter inde på arkivet. Det var korrekt, at en patient med nøglebrik kunne have fået adgang, men det var så ikke sket. Loggen blev gemt i 6 måneder. Han mente, at 6 måneder var en passende periode at gemme loggen i. Selv-om det fremgik af tilsynets rapport, at døren i tunnelen havde været u-låst, havde man ikke selv kunnet konstatere dette. Man kunne ikke få oplysningerne i rapporten til at passe med, at der skulle have været en patient fra Center inde på arkivet. Hvis en patient havde væ-ret på arkivet, måtte det altså have været mere end 6 måneder tilbage, eller ved anvendelse af tunnelen, hvor det ikke blev logget, hvem der kom igennem døren dertil. Man havde ikke konstateret, at den dør havde været efterladt ulåst.
Der fandtes 60 nøglebrikker til brug for patienterne. Normalt var der ca. 50 patienter ad gangen på Center. Man havde anvendt nøglebrikker til patienterne siden før etableringen af arkivet. Det var dengang, hvor dele af bygningen havde været brugt som gymnastiksal for patienterne på Center, og det havde derfor dengang været nødvendigt for patienterne at kunne tilgå bygningen. Det må have væ-ret en forglemmelse, at man ikke fik fjernet adgangen til bygningen, efter gymnastiksalen blev nedlagt og arkivet blev etableret i bygnin-gen.
Det var kun på Center, at patienter fik udleveret nøglebrikker. Det var ikke noget, man havde gjort andre steder i regionen. På Center havde det været en god ordning. Det var korrekt, at de etablerede retningslinjer for anvendelse af nøglebrikker kun havde haft fokus på ansattes anvendelse af nøglebrikker og ikke patienters. Han var ikke klar over, hvorfor man ikke havde udarbejdet retningslinjer for patienters anvendelse af nøglebrikker.
Der var nok 17 ansatte, der havde et arbejdsbetinget behov for adgang til arkivet. Det kunne godt være, at det var mange mennesker, men det var en stor bygning, der skulle holdes ved lige.
Han mente ikke, at der var behov for at lave stikprøvekontrol i loggen over, hvem der havde været i arkivrummet.
Han mente ikke, at man fra vinduerne kunne se de journaler, der lå åb-net på bordet.
side 5
..."
Vidne 2 fra Datatilsynet har til retsbogen forklaret føl-gende:
"...
Vidnet forklarede blandt andet, at man først fra 2018 og frem havde haft mulighed for at straffe offentlige myndigheder for brud på regler-ne. Størrelsen af bøden til en offentlig myndighed afhænger af myn-dighedens driftsbevilling og Justitsministeriet havde besluttet, at det var nettodriftsudgifterne, der skulle anvendes som udgangspunkt ved fastsættelsen af bødens størrelse.
Man havde hos datatilsynet vurderet, at der i herværende sag var tale om en grov overtrædelse af forordningen, da der var tale om risiko for uberettiget adgang til mange borgeres helbredsoplysninger. Det var skærpende, at der var tale om et fysisk arkiv, hvor man ikke havde mulighed for at kontrollere en digital log og se, om der havde været u-berettiget adgang til journalerne.
Man havde udarbejdet flere udtalelser vedrørende tilsynet og bødefast-sættelsen.
..."
Der har bl.a. været fremlagt datatilsynets politianmeldelse af 8. september 2021 med bilag og høringssvar og datatilsynets supplerende udtalelse af 31. marts 2025 med indstilling af bødens størrelse.
Det fremgår af Datatilsynets politianmeldelse af 8. september 2021, at Data-tilsynet den 12. juni 2020 modtog en anmeldelse af et brud på persondata-sikkerheden fra Tiltalte Region. Som følge sendte Datatilsynet flere hø-ringer til Tiltalte Region.
Af politianmeldelsen pkt. 2, uddybende beskrivelse af sagen, fremgår bl.a.:
"...
Det fremgår af sagen, at Hospital 2, som hører under Tiltalte Region - driver Center, hvor patienter tilbydes livsstilsforløb og genoptræningsforløb.
På Center er der 3 bygninger. Den ene bygning har siden 2016 været anvendt til arkiv med patientjournaler indsamlet fra nedlagte sygehuse i regionen. Forud herfor blev bygningen anvendt af personalet på Center til andre formål.
Patienter, som anvendte Center, og personale tilknyttet cente-ret, har fået adgang til alle 3 bygninger, uagtet at de ikke havde et be-
side 6
hov for at få adgang til bygningen, som huser arkivet. Den fysiske ad-gang blev etableret for patienter og personel gennem kodning af nøgle-kort. 54 medarbejdere havde via nøglekort adgang til arkivbygningen, hvoraf kun 6 medarbejdere havde et arbejdsbetinget behov for adgang.
Ingen af patienterne havde behov for adgangen til arkivbygningen. Fra en pulje på 60 nøglekort med adgang til arkivbygningen, blev der ud-leveret kort til patienter, når de mødte til "opstart" på Center. Regionen kunne ikke fastslå, hor længe disse kort har givet patienter adgang til arkivbygningen, eller hvor mange patienter der derved har haft en sådan adgang.
Der er desuden vinduer i arkivbygningen, og fordi de ikke var mattere-de var det muligt herigennem at se frit liggende patientjournaler, dog kun omslaget med navn, personnummer og speciale.
Bruddet blev opdaget ved, at en patient informerede koncerndirektøren om forholdet. Patienten påstod, at der var adgang til arkivet med det nøglekort patienten havde fået udleveret, men regionen har oplyst, at loggen ikke viste, at et sådant nøglekort var blevet anvendt.
Regionen er blevet spurgt om, hvor længe der har været uautoriseret adgang via nøglekort for både patienter og personale. Regionen har svaret, at arkivet blev flyttet til den nuværende adresse den 24. marts 2016. Regionen har endvidere oplyst, at årsagen til, at nøglekortet blev kodet forkert var, at man ikke har været opmærksom på, at den byg-ning, der huser arkivet, ikke længere benyttes af Centers pa-tienter.
..."
Af politianmeldelsen pkt. 4.2, bødestørelse, fremgår bl.a.:
"...
Tiltalte Region havde i 2019 et driftsbudget på ikke under 28.873.400.000 kr. Bødeloftet for offentlige myndigheder i en sag om overtrædelse af artikel 32 er 2 % af myndighedens driftsbevilling, dog maksimalt 8 mio. kr. Bødeloftet i denne sag er således 8 mio. kr.
...
Det er Datatilsynets vurdering, at en bøde på 400.000 kr. vil være pas-sende.
..."
Rettens begrundelse og afgørelse
Det følger af databeskyttelsesforordningens art. 32, at den dataansvarlige har
side 7
pligt til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, herunder bl.a. ved en procedure fore regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker-hed.
Tiltalte Region har erkendt, at patienterne på Center i en periode fra 2016 til 9. juni 2020 havde fået udleveret nøglebrikker, der ved en fejl var kodet til også at give adgang til rummet med arkivet, hvor der blev opbevaret ca. 100.000 patientjournaler indeholdende personoplysnin-ger, herunder helbredsoplysninger og personnumre, at flere medarbejdere end nødvendigt havde adgang til arkivet, og at dette har været en overtræ-delse af databeskyttelsesforordningens art. 32, stk. 1.
Tiltalte Region har dog bestridt, at deres logning af adgang til arkivet ikke har været tilstrækkeligt langvarig, at antallet af medarbejdere uden be-hov for adgang til arkivet har været så mange som anført i tiltalen, og at det var muligt at se personfølsomme oplysninger igennem arkivets vinduer.
Det kan efter bevisførelsen lægges til grund, at Centers skiftende pa-tienter i perioden fra marts 2016 til 9. juni 2020 løbende har haft mulighed for at skaffe sig uautoriseret og uberettiget adgang til arkivet ved anvendelse af de 60 nøglebrikker, som patienterne fik udleveret i forbindelse med deres ophold på Center, og at arkivet indeholdt ca. 100.000 patientjourna-ler med personoplysninger, herunder helbredsoplysninger og personnumre. Som anført af Datatilsynet, er der ikke fornødent grundlag for at fastslå, at denne mulighed for at tilgå personoplysninger har været udnyttet af nogle af patienterne.
Det kan efter bevisførelsen endvidere lægges til grund, at man igennem arki-vets vinduer ville have mulighed for at se de CPR-numre, der stod skrevet udenpå flere af de kasser, der stod spredt omkring på arkivet, og at dette er en overtrædelse af databeskyttelsesforordningens art. 32.
Det fremgår af sagen, at alle de ansatte ved Center og flere af regio-nens tekniske medarbejdere havde adgang til arkivet, til trods for at flere af disse ikke havde et berettiget behov for adgang til arkivet med det formål at tilgå arkivets journaler. Efter bevisførelsen finder retten, at flere medarbej-dere end nødvendigt har haft mulighed for uberettiget at tilgå arkivet, hvilket retten finder er en overtrædelse af databeskyttelsesforordningens art. 32, u-den at retten dog har de fornødne oplysninger til mere præcist at fastslå, hvor stort et antal af medarbejdere ved Tiltalte Region, der har haft mu-lighed for adgang uden et berettiget behov.
Det fremgår af Vidne 1's forklaring, at man opbevarede logning af ad-gang til arkivet i 6 måneder, og at man ikke havde fundet indikationer i log-gen på, at ansatte eller øvrige personer uden behov havde tilgået arkivet og
side 8
bygningen i øvrigt. Han har endvidere forklaret, at der ikke har været et be-hov for stikprøvekontrol. Retten finder efter det fremlagte, at der ikke er for-nødent grundlag for at fastslå, at der har været behov for at foretage kontrol af loggen, hvorfor Tiltalte Region frifindes i den del af tiltalen, der an-går spørgsmålet om logning og kontrol heraf.
Retten finder det herefter bevist, at Tiltalte Region har misligholdt sin forpligtigelse til at gennemføre passende tekniske og organisatoriske foran-staltninger for at sikre et passende sikkerhedsniveau efter databeskyttelses-forordningens art. 32, og med de ovenfor anførte begrænsninger er Tiltalte Region herefter skyldig i den rejste tiltale.
Straffen fastsættes til en bøde på 300.000 kr., jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningens art. 83, stk. 2, og stk. 4, litra a, jf. stk. 2, jf. art. 32, stk. 1.
Retten har ved fastsættelse af bødens størrelse i skærpende retning lagt vægt på, at fejlen der medførte mulighed for uberettiget adgang til arkivet har ek-sisteret i en lang periode fra 2016 til 2020, og at der med adgangen var mu-lighed for at tilgå ca. 100.000 patientjournaler.
Retten har i formildende retning lagt vægt på, at der alene er tale om en po-tentiel mulighed for uberettiget adgang, og at Tiltalte Region selv har indberettet forholdet til Datatilsynet til trods for, at man ved egen undersø-gelse ikke kunne konstatere, at der var sket et egentligt databrud til trods for det af patienten til regionen oplyste.
Henset til sagens karakter finder retten, at der ikke er grundlag for at lade bøden reducere grundet sagsbehandlingstiden.
Thi kendes for ret:
Tiltalte Region skal betale en bøde på 300.000 kr.
Tiltalte skal betale sagens omkostninger.
Dommer