Data protection and data security should be considered during due diligence
21 November 2022
Following the disclosure of a data breach, an investor demanded the acquisition of a majority stake in the affected company Vastaamo to be rescinded due to lack of disclosures during the due diligence process.
Under år 2018 och 2019 drabbades psykoterapikliniken Vastaamo av dataintrång som resulterade i att cirka 30 000 patienters patientjournaler läcktes. Dataintrånget rapporterades till den finska tillsynsmyndigheten först år 2020, vilket sedan mynnade ut i en sanktionsavgift på 608 000 euro. Företaget hade vidtagit knapphändiga säkerhetsåtgärder, inte rapporterat dataintrånget till tillsynsmyndigheten och i övrigt saknat nödvändig dokumentation. Tillsynsmyndigheten ansåg därför att företaget försummat sina skyldigheter enligt GDPR.
Under perioden efter att dataintrånget inträffade (men innan intrånget hade rapporterats till tillsynsmyndigheten) hade en investerare förvärvat en majoritetsandel i Vastaamo. Då dataintrånget slutligen rapporterades och intrångets allvar avslöjades för allmänheten krävde investeraren att förvärvet skulle hävas. Investeraren menade att underlåtenheten att informera om dataintrånget innebar bristande avslöjanden under due diligence-processen. Förvärvet hävdes sedermera.