Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Manglende sikkerhedsforanstaltninger udløste GDPR-bøde

Littler Denmark
16/04/2026
Manglende sikkerhedsforanstaltninger udløste GDPR-bøde
Littler Denmark logo
Den 23. marts 2026 afsagde Vestre Landsret dom i en straffesag mod Region Syddanmark, som var tiltalt for to forhold om overtrædelse af GDPR’s krav om passende sikkerhedsniveau.

Landsretten fandt, at Region Syddanmark var skyldig i ét af forholdene og idømte en bøde på kr. 500.000 kr. Regionen blev samtidig frifundet for det andet forhold. 


Sagen var tidligere blevet behandlet ved retten i Kolding, og her blev Region Syddanmark fundet skyldig i begge forhold og idømt en samlet bøde på 1 mio. kr. Retten lagde til grund, at der i begge tilfælde var sket brud på datasikkerheden, og at regionen som dataansvarlig bar ansvaret herfor.


Manglende sikring af database 

Det første forhold angik en database, som regionen anvendte til forskningsmæssige og kliniske formål. I en periode på mere end 1,5 år var muligt for borgere, der var registreret i databasen, at få adgang til andre registreredes oplysninger ved at ændre i URL-adressen.


Dette medførte, at borgere med login til databasen kunne tilgå personoplysninger om cirka 23.000 andre registrerede og blandt andet opnå adgang til helbredsoplysninger om børn tilknyttet psykiatrien. 


Landsretten lagde vægt på, at regionen burde have været bekendt med den sårbarhed, der var forbundet med anvendelsen af URL-adresser. Dette gjaldt ikke mindst i lyset af et tidligere anmeldt brud i 2018, som vedrørte samme type sårbarhed. På den baggrund fandt landsretten, at regionen havde overtrådt GDPR’s artikel 32 om krav om til passende sikkerhedsforanstaltninger.


Frifindelse for tilgængelig PowerPoint 

Det andet forhold angik en PowerPoint-præsentation fra 2011, som regionen havde uploadet på sin hjemmeside. I præsentationen var det via en graf muligt at tilgå en række bagvedliggende personnumre. Præsentationen var senere blevet fjernet fra hjemmesiden og lagt i et dokumentarkiv, hvor den forsat kunne fremsøges via Google. 


Landsretten lagde vægt på, at regionen havde truffet organisatoriske foranstaltninger, og at der på det relevante tidspunkt ikke fandtes tekniske værktøjer til effektivt at identificere de indlejrede data. Regionen blev herefter frifundet for dette forhold.


Littler bemærker 

Dommen tydeliggør, at man som dataansvarlig har pligt til at reagere på kendte risici i sine it‑løsninger – særligt hvis der tidligere har været lignende sikkerhedsbrud. 


Samtidig viser frifindelsen, at ansvar ikke pådrages automatisk, hvis myndigheden har gjort, hvad der med rimelighed kunne forventes ud fra de tekniske muligheder på det pågældende tidspunkt.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.

Denne artikel er udgivet efter aftale med Littler Denmark. Den er oprindeligt udgivet her.

Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.

Littler Denmark logo

Littler | Denmark kontoret er en del af det globale Littler. Littler er det største advokatfirma i verden, der udelukkende beskæftiger sig med at repræsentere ledelsen i sager om arbejds- og ansættelsesret.

Med kontorer i 28 lande giver mere end 1.800 arbejds- og ansættelsesadvokater firmaets kunder repræsentation og daglig rådgivning om stort set alle områder inden for arbejds- og ansættelsesret.

Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Jurainfo Exclusive logo
PODCAST
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Bliv klogere på whistleblowerloven, herunder hvilke virksomheder, der har pligt til at etablere en whistleblowerordning.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Ny fælles europæisk skabelon for anmeldelse af brud på persondatasikkerheden
Ny fælles europæisk skabelon for anmeldelse af brud på persondatasikkerheden
18/06/2026
Persondataret, Compliance
Højesteret: Langvarige vikariater kan stadig være midlertidige
Højesteret: Langvarige vikariater kan stadig være midlertidige
25/06/2026
Ansættelsesret og arbejdsret
Forældre kan få indsigt i afdøde børns oplysninger
Forældre kan få indsigt i afdøde børns oplysninger
25/06/2026
Persondataret, Compliance
Datatilsynet igangsætter undersøgelse af oplysningspligten over for ansatte og jobansøgere.
Datatilsynet igangsætter undersøgelse af oplysningspligten over for ansatte og jobansøgere.
06/07/2026
Persondataret, Compliance
Arbejdsretten: Boligtillæg til medarbejdere uden bopæl i Danmark var ikke i strid med EU-retten
Arbejdsretten: Boligtillæg til medarbejdere uden bopæl i Danmark var ikke i strid med EU-retten
10/07/2026
Ansættelsesret og arbejdsret
Den Internationale Arbejdsorganisation vedtager de første globale standarder for platformsarbejdere
Den Internationale Arbejdsorganisation vedtager de første globale standarder for platformsarbejdere
10/07/2026
Ansættelsesret og arbejdsret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62A, DK-2860 Søborg
(+45) 71 99 01 11
[email protected]
Ønsker du at udgive materiale?
2026 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted