La DPA norvégienne (Datatilsynet) a infligé une amende de 39 700 euros à BRAbank ASA. Le responsable du traitement avait signalé une violation de données à la DPA le 6 septembre 2019. Sur le site Web du responsable du traitement, certains clients ont pu consulter les données d'autres clients dans la section « Ma page ». Celles-ci comprenaient les conditions de crédit et les informations d'adresse d'autres clients. La rubrique avait été activée peu de temps auparavant pour 500 clients sélectionnés et était destinée, entre autres, à donner un aperçu des emprunts contractés auprès du contrôleur. Sur la base des enquêtes sur l'affaire, la DPA a constaté que le responsable du traitement n'avait pas respecté les exigences du RGPD en matière d'évaluation des risques et les mesures techniques appropriées dans le cadre du lancement du portail client. Selon l'évaluation de la DPA, la violation de la sécurité des données personnelles aurait pu être évitée si le responsable du traitement avait procédé à une évaluation et à un examen des risques comme l'exige la loi.