Manglende sikkerhedsforanstaltninger udløste GDPR-bøde
Den 23. marts 2026 afsagde Vestre Landsret dom i en straffesag mod Region Syddanmark, som var tiltalt for to forhold om overtrædelse af GDPR’s krav om passende sikkerhedsniveau.
Landsretten fandt, at Region Syddanmark var skyldig i ét af forholdene og idømte en bøde på kr. 500.000 kr. Regionen blev samtidig frifundet for det andet forhold.
Sagen var tidligere blevet behandlet ved retten i Kolding, og her blev Region Syddanmark fundet skyldig i begge forhold og idømt en samlet bøde på 1 mio. kr. Retten lagde til grund, at der i begge tilfælde var sket brud på datasikkerheden, og at regionen som dataansvarlig bar ansvaret herfor.
Manglende sikring af database
Det første forhold angik en database, som regionen anvendte til forskningsmæssige og kliniske formål. I en periode på mere end 1,5 år var muligt for borgere, der var registreret i databasen, at få adgang til andre registreredes oplysninger ved at ændre i URL-adressen.
Dette medførte, at borgere med login til databasen kunne tilgå personoplysninger om cirka 23.000 andre registrerede og blandt andet opnå adgang til helbredsoplysninger om børn tilknyttet psykiatrien.
Landsretten lagde vægt på, at regionen burde have været bekendt med den sårbarhed, der var forbundet med anvendelsen af URL-adresser. Dette gjaldt ikke mindst i lyset af et tidligere anmeldt brud i 2018, som vedrørte samme type sårbarhed. På den baggrund fandt landsretten, at regionen havde overtrådt GDPR’s artikel 32 om krav om til passende sikkerhedsforanstaltninger.
Frifindelse for tilgængelig PowerPoint
Det andet forhold angik en PowerPoint-præsentation fra 2011, som regionen havde uploadet på sin hjemmeside. I præsentationen var det via en graf muligt at tilgå en række bagvedliggende personnumre. Præsentationen var senere blevet fjernet fra hjemmesiden og lagt i et dokumentarkiv, hvor den forsat kunne fremsøges via Google.
Landsretten lagde vægt på, at regionen havde truffet organisatoriske foranstaltninger, og at der på det relevante tidspunkt ikke fandtes tekniske værktøjer til effektivt at identificere de indlejrede data. Regionen blev herefter frifundet for dette forhold.
Littler bemærker
Dommen tydeliggør, at man som dataansvarlig har pligt til at reagere på kendte risici i sine it‑løsninger – særligt hvis der tidligere har været lignende sikkerhedsbrud.
Samtidig viser frifindelsen, at ansvar ikke pådrages automatisk, hvis myndigheden har gjort, hvad der med rimelighed kunne forventes ud fra de tekniske muligheder på det pågældende tidspunkt.
Spørgsmål til artiklen og den juridiske ramme kan rettes til advokat Christian Bonne Rasmussen på
