500.000 kr. i bøder — og de tabte ankesagen: Hvad Region Syddanmarks GDPR-dom betyder for din klinik
I december 2024 idømte Retten i Kolding Region Syddanmark to bøder på 500.000 kr. for manglende sikkerhedsforanstaltninger. I marts 2026 afgjorde Vestre Landsret ankesagen — og regionen tabte. Det sender et klart signal til alle behandlere af sundhedsdata i Danmark.
Hvad skete der?
Region Syddanmark behandlede patientdata uden tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Datatilsynet indledte en straffesag, og i december 2024 afsagde Retten i Kolding dom: to bøder på 500.000 kr. hver — i alt 1.000.000 kr.
Regionen ankede dommen, men den 25. marts 2026 stadfæstede Vestre Landsret afgørelsen. Anken endte med at gøre sagen endnu mere offentlig og forstærke præcedensbruddet.
GDPR artikel 32 kræver, at dataansvarlige og databehandlere iværksætter passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger. Region Syddanmark opfyldte ikke dette krav. Det er den samme bestemmelse, der gælder for din klinik.
Hvad tæller som "passende tekniske og organisatoriske foranstaltninger"?
Datatilsynet har præciseret, at kravet er konkret og dokumenterbart. Det er ikke nok at have gode intentioner. Du skal aktivt kunne dokumentere, at du har truffet foranstaltninger — og at de virker.
Typisk forventer Datatilsynet:
- Regelmæssig, dokumenteret træning af alt personale i databeskyttelse
- Klare interne procedurer for håndtering af brud på persondatasikkerheden
- Adgangsstyring — kun de medarbejdere der har behov, har adgang
- Skriftlig instruks til medarbejderne om behandling af patientdata
- Opdaterede databehandleraftaler med alle it-leverandører
Bemærk: "dokumenteret træning" er et nøglebegreb. Det er ikke tilstrækkeligt at sige, at personalet er orienteret. Du skal kunne bevise hvornår, hvem og hvad de er trænet i.
Hvad betyder det for din klinik?
Region Syddanmark er en stor offentlig organisation med en IT-afdeling. Alligevel var de ikke i stand til at opfylde kravene. Forestil dig hvad Datatilsynet finder, hvis de ser på en privatklinik uden dokumenteret personaleträning.
Bødeniveauet i Region Syddanmark-sagen er sat i forhold til en regions størrelse og økonomi. For en privatklinik med 5-20 ansatte vil bøderne naturligvis være lavere — men en bøde på 25.000-75.000 kr. for en lille klinik er fuldt ud muligt, og sagen viser at Datatilsynet er parat til at gå rettens vej.
Derudover: den reelle skade ved et databrud er sjældent kun bøden. Det er tabet af patienternes tillid, den tid der bruges på at håndtere sagen, og den offentlige opmærksomhed.
1. Dokumenter, at alle medarbejdere har gennemgået GDPR-træning — med dato og indhold.
2. Sørg for en skriftlig procedure for databrud: hvem kontaktes, hvad dokumenteres, hvornår anmeldes det til Datatilsynet (inden 72 timer).
3. Gennemgå adgangsrettigheder: har alle medarbejdere kun adgang til de data de har brug for?
4. Hav en opdateret fortegnelse over behandlingsaktiviteter (artikel 30-fortegnelse).
Kan du bevise at dit personale er trænet?
Det er det centrale spørgsmål. Datatilsynet spørger ikke bare om din klinik har trænet personalet — de spørger om du kan dokumentere det. Hvornår? Hvem? Hvad indeholdt træningen? Bestod de en test?
SikkerKlinik er bygget specifikt til at løse dette problem for sundhedsklinikker. Personalet gennemfører korte, klinik-specifikke moduler om GDPR og phishing — og systemet genererer automatisk en compliance-rapport med navne, datoer og resultater. Den rapport kan du eksportere og vise Datatilsynet med ét klik.
Er din klinik klar til et tilsyn?
Generér automatisk dokumentation for al GDPR-træning. Gratis for klinikker med op til 5 medarbejdere.
Start gratis — ingen kort kræves →Kildehenvisning
Datatilsynet: Vestre Landsret har afsagt dom i straffesag mod Region Syddanmark (25. marts 2026).