L’autorité norvégienne de protection des données (DPA) a infligé une amende de 30 000 euros à la municipalité de Lillestrøm. La municipalité avait publié par erreur un document dans lequel 10 des 21 pièces jointes contenaient des données personnelles d’élèves. Les données comprenaient des informations sur les noms des élèves, leur date de naissance, les résultats des tests, les évaluations du comportement des élèves et les contestations des élèves. Cette erreur n’a pas été détectée par l’administrateur responsable et a subi deux autres contrôles de qualité manuels au centre de documentation sans que l’erreur ne soit également détectée. Seul un journaliste a par la suite attiré l’attention sur la violation de données. Au cours de son enquête, l’autorité norvégienne de protection des données a constaté que la municipalité n’avait pas pris de mesures techniques et organisationnelles suffisantes pour protéger les données personnelles. De plus, le fait que l’incident n’ait pas été découvert par la municipalité, mais par un tiers, indique que les procédures dans ce domaine sont inadéquates.