Data protection and data security should be considered during due diligence

21 November 2022

Following the disclosure of a data breach, an investor demanded the acquisition of a majority stake in the affected company Vastaamo to be rescinded due to lack of disclosures during the due diligence process.

Under år 2018 och 2019 drabbades psykoterapikliniken Vastaamo av dataintrång som resulterade i att cirka 30 000 patienters patientjournaler läcktes. Dataintrånget rapporterades till den finska tillsynsmyndigheten först år 2020, vilket sedan mynnade ut i en sanktionsavgift på 608 000 euro. Företaget hade vidtagit knapphändiga säkerhetsåtgärder, inte rapporterat dataintrånget till tillsynsmyndigheten och i övrigt saknat nödvändig dokumentation. Tillsynsmyndigheten ansåg därför att företaget försummat sina skyldigheter enligt GDPR.

Under perioden efter att dataintrånget inträffade (men innan intrånget hade rapporterats till tillsynsmyndigheten) hade en investerare förvärvat en majoritetsandel i Vastaamo. Då dataintrånget slutligen rapporterades och intrångets allvar avslöjades för allmänheten krävde investeraren att förvärvet skulle hävas. Investeraren menade att underlåtenheten att informera om dataintrånget innebar bristande avslöjanden under due diligence-processen. Förvärvet hävdes sedermera.

Källor: Administrative fine imposed on psychotherapy centre Vastaamo for data protection violations | Data Protection Ombudsman’s Office (tietosuoja.fi)

Kontakt

Vi hjälper dig vidare till nästa steg

Har du frågor eller vill boka demo? Vi står redo att hjälpa dig vidare mot en enklare vardag.

Vi hjälper dig vidare till nästa steg