La DPA norvégienne a infligé une amende de 40 200 euros à la commune de Høylandet. Ce dernier avait signalé une violation de données à l'APD conformément à l'art. 33 RGPD. Une employée a eu accès à plusieurs fichiers d'images (bitmap) lorsqu'elle a dû créer de nouveaux modèles de lettres et insérer un logo d'image à partir du fichier. Les fichiers images auxquels l'employé avait accès contenaient des informations sensibles sur des individus qui n'avaient aucun lien avec la commune de Høylandet. Les informations comprenaient des données sur la santé, entre autres. La DPA a constaté que la municipalité n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque pour les personnes concernées. Au lieu de cela, la municipalité a déclaré qu'elle avait simplement demandé aux employés utilisant le programme informatique pertinent d'éviter d'ouvrir des fichiers bitmap qui n'avaient pas été créés par la municipalité. L'erreur a entre-temps été corrigée et la municipalité a mis en place un nouveau système de contrôle interne.