L'autorité islandaise de protection des données a infligé une amende de 13 400 euros à Sjúkratyringur Íslands. Au cours de son enquête, l'autorité islandaise de protection des données a constaté que le responsable du traitement n'avait pas mis en œuvre les mesures techniques et organisationnelles adéquates pour protéger les données personnelles. Cela incluait l'absence d'authentification multifactorielle pour l'accès aux informations de santé et l'utilisation par le responsable du traitement de données réelles dans le développement d'un système. Lors de l'évaluation de l'amende, il a été considéré comme aggravant qu'un grand nombre de personnes étaient affectées par les failles de sécurité. Un facteur atténuant était le fait que le responsable du traitement ait pleinement coopéré à l'enquête et mis en œuvre les mesures ordonnées.