Duński organ nadzorczy stwierdził, że do naruszenia danych zgłoszonego przez Urząd 13 sierpnia 2021 r. doszło po wdrożeniu aktualizacji platformy zdrowotnej, za której dane odpowiada Region Stołeczny (Hovedstaden). W tym zakresie Datatilsynet określił, że naruszenie danych spowodowało usunięcie informacji dotyczących dat zakończenia leczenia i dawkowania pacjentów na Wspólnej Karcie Leków, za której dane odpowiada Urząd.
Jako administrator danych Urząd powinien podjąć odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku związanemu z przetwarzaniem danych wrażliwych. W tym zakresie Datatilsynet określił, że Urząd powinien był przetestować prawdopodobne scenariusze błędów w związku z aktualizacjami platformy, nawet w przypadku, gdy to strona trzecia odpowiadała bezpośrednio za realizację tego procesu. W związku z tym organ nadzorczy stwierdził, że Urząd nie spełnił wymogów wynikających z art. 32 ust. 1 RODO. W przypadkach, w których kilka podmiotów uczestnicy w procesie przetwarzania każdy administrator musi dla swoich własnych systemów określić wytyczne i procedury dotyczące tego, jak zmiany w systemach źródłowych mogą wpłynąć na jego organizację.
Ponadto Datatilsynet stwierdził, że Urząd nie zgłosił naruszenia danych w terminie 72 godzin i wcześniej popełniał podobne błędy w zakresie bezpieczeństwa danych. Datatilsynet uznał to za okoliczności obciążające.