Datatilsynet er en uafhængig enhed, der skal sørge for, at persondataloven overholdes. Det vil sige, at de eksempelvis skal kontrollere, at der ikke kommer personoplysninger på nettet.
Det gjorde de tilbage i oktober 2009, hvor Region Syddanmark også var i søgelyset for ikke at overholde reglerne. Her nåede Datatilsynet frem til følgende konklusion
Datatilsynets konklusion i 2009:
"Region Syddanmark vil ved hjælp af regionens intranet oplyse om og indskærpe de gældende retningslinjer over for medarbejderne. Region Syddanmark vil således ved indskærpelse af ovennævnte retningslinjer tage de nødvendige forholdsregler til sikring af, at der ikke fremtidigt sker uberettiget offentliggørelse af personoplysninger.
Datatilsynet har desuden forespurgt Region Syddanmark, om regionen vil foretage en gennemgang af samtlige internetsider, som regionen er ansvarlig for med henblik på at sikre, at, at personoplysninger ikke er offentligt tilgængelige.
Region Syddanmark har dertil svaret, at regionen har sørget for, at alle, der er ansvarlige for de omhandlede hjemmesider, er blevet gjort bekendt med de gældende retningslinjer og henvendelsen fra Datatilsynet. Region Syddanmark finder herefter, at der er skabt sikkerhed for, at der ikke længere bør kunne opstå en lignende situation."
Men en lignende situation kunne åbenbart opstå.
I weekenden havnede 69 kræftpatienters fortrolige oplysninger på nettet, og nu forlanger Datatilsynet en ny redegørelse, hvor de vil have svar på ti konkrete spørgsmål.
De ti spørgsmål Regionen skal svare på:
1. Hvor mange personer der er offentliggjort oplysninger om
2. Hvilke oplysninger der er offentliggjort
3. Hvornår offentliggørelsen fandt sted
4. Hvad der var årsagen til det skete
5. Om der er offentliggjort et eller flere dokumenter
6. Om oplysningerne stammer fra et forskningsprojekt
7. Hvad Region Syddanmark har gjort for at afbøde konsekvenserne af den skete offentliggørelse, herunder fjernelse af oplysningerne fra nettet og underretning af de berørte personer
8. Om Region Syddanmark inden den skete offentliggørelse havde truffet
forholdsregler for at undgå uberettiget offentliggørelse af personoplysninger,
og i givet fald ønskes en beskrivelse af disse forholdsregler
9. Hvilken instruktion de medarbejdere, der har offentliggjort oplysningerne, har fået om håndtering af personoplysninger, jf. herved kravet i sikkerhedsbekendtgørelsens § 62
10. Hvad Region Syddanmark vil gøre for at sikre, at en lignende hændelse
Regionen har fået tre uger til at komme med et passende svar.