Data protection and data security should be considered during due diligence

Under år 2018 och 2019 drabbades psykoterapikliniken Vastaamo av dataintrång som resulterade i att cirka 30 000 patienters patientjournaler läcktes. Dataintrånget rapporterades till den finska tillsynsmyndigheten först år 2020, vilket sedan mynnade ut i en sanktionsavgift på 608 000 euro. Företaget hade vidtagit knapphändiga säkerhetsåtgärder, inte rapporterat dataintrånget till tillsynsmyndigheten och i övrigt saknat nödvändig dokumentation. Tillsynsmyndigheten ansåg därför att företaget försummat sina skyldigheter enligt GDPR.

Under perioden efter att dataintrånget inträffade (men innan intrånget hade rapporterats till tillsynsmyndigheten) hade en investerare förvärvat en majoritetsandel i Vastaamo. Då dataintrånget slutligen rapporterades och intrångets allvar avslöjades för allmänheten krävde investeraren att förvärvet skulle hävas. Investeraren menade att underlåtenheten att informera om dataintrånget innebar bristande avslöjanden under due diligence-processen. Förvärvet hävdes sedermera.

Källor: Administrative fine imposed on psychotherapy centre Vastaamo for data protection violations | Data Protection Ombudsman’s Office (tietosuoja.fi)