Ingen godtgørelse for databrud

Sidst opdateret den 17. februar 2026

En medarbejders bærbare computer blev stjålet fra arbejdspladsen over en weekend. Det var et databrud, fordi der lå en fil gemt lokalt. Filen indeholdt en stor mængde personoplysninger, og både Datatilsynet samt de berørte fik besked. Efterfølgende blev der rejst krav af de berørte, men Højesteret afviste, at der var grundlag for at kræve godtgørelse.

En kommune behandlede i forbindelse med en halvårlig kontrol af refusion et regneark med oplysninger om cirka 20.000 borgere. Regnearket indeholdt blandt andet oplysninger om navn, cpr-nummer, adresse og udbetalte sociale ydelser.

Over weekenden blev arbejdspladsen udsat for tyveri. En bærbar computer, som regnearket var gemt på, blev stjålet sammen med en række andre ting. Filen var gemt på et lokaldrev uden kryptering, og kommunen anmeldte tyveriet som et databrud. Efter at have fået underretning om hændelsen, rejste en række borgere krav om godtgørelse, fordi de følte, at bruddet var en krænkelse.

Kommunen havde overtrådt databeskyttelsesreglerne, og personoplysningerne var ikke sikret tilstrækkeligt. Trods retningslinjer om at gemme på et netværksdrev, var medarbejderen nødsaget til at gemme lokalt på grund af regnearkets størrelse. Medarbejderens computer havde alene været beskyttet med et brugernavn og en adgangskode, og hverken harddisken eller regnearket var krypteret. Kommunen havde også tidligere oplevet tyveri på arbejdspladsen..

På trods af overtrædelsen afviste Højesteret borgernes krav på godtgørelse. Borgerne havde ikke bevist, at de havde lidt skade i form af negative følelser og konsekvenser. De havde heller ikke bevist, at de følelser og konsekvenser, de havde oplevet, var en følge af sikkerhedsbruddet. Flere havde forklaret, at bruddet havde gjort dem bange og nervøse. Én havde forklaret, at hun et par måneder efter bruddet havde været udsat for identitetstyveri. Højesteret understregede, at der ikke udover borgernes forklaringer var faktiske beviser for, at de havde lidt skade. 

iuno mener

Brud på databeskyttelsesreglerne kan udløse ret til godtgørelse for de berørte. Det gælder, når der lidt skade som følge af overtrædelsen. Der er ingen bagatelgrænse for skadens omfang. Skaden kan også tage mange former, og både være tab af kontrol over oplysninger, identitetstyveri og forskelsbehandling. Som Højesterets afgørelse viser, skal sammenhæng og tab dog være tilstrækkeligt bevist og dokumenteret.  

iuno anbefaler, at jeres virksomhed i rollen som dataansvarlig er opmærksom på, at udgangspunktet er, at en overtrædelse er jeres ansvar. Det gælder som hovedregel også, hvis en medarbejder udløser et databrud ved at miste en arbejdscomputer eller gemme arbejdsfiler lokalt imod jeres retningslinjer.

[Højesterets dom af den 19. december 2025 i sagerne BS-14485/2025-HJR, BS-14653/2025-HJR, BS-15152/2025-HJR og BS-16195/2025-HJR]