La DPA danoise a infligé une amende de 53 800 euros à la région du Midtjylland. Le 12 juin 2020, l'APD a reçu une notification de la région concernant une violation de la sécurité des données personnelles conformément à l'art. 33 RGPD. Selon la notification, tous les patients et le personnel d'un centre de style de vie ont pu accéder à un bâtiment où jusqu'à 100 000 dossiers physiques de patients étaient stockés, y compris des informations de santé et des détails sur le numéro d'identité personnel. La raison en était que le personnel et les patients avaient reçu des cartes-clés qui leur permettaient d'accéder aux trois bâtiments du centre de style de vie, que l'utilisateur soit tenu d'y accéder ou non. En outre, les passants ont pu jeter un coup d'œil aux couvertures de certains des dossiers - qui montraient des données personnelles telles que des numéros d'identité et des noms - à travers une fenêtre du bâtiment. Dans ce contexte, la DPA a constaté que la région du Midtjylland n'avait pas pris de mesures de sécurité adéquates pour le stockage des données personnelles. En outre, la région n'avait pas établi de directives suffisantes pour les restrictions d'accès lors de la création de cartes-clés et n'avait pas effectué de tests, d'évaluations et d'évaluations périodiques adéquats des mesures de sécurité prises. En évaluant la question de savoir si une amende devait être infligée, la DPA danoise a pris en compte, comme facteur aggravant, le fait que la région a traité de grandes quantités de données sensibles, telles que des données de santé.