La DPA danoise a infligé une amende de 107 000 EUR à la Société danoise du cancer pour non-respect des exigences du RGPD concernant les mesures de sécurité appropriées. La Société danoise du cancer avait signalé quatre violations de données conformément à l'art. 33 RGPD à la DPA. Deux d'entre elles concernaient des vols d'ordinateurs, deux attaques de phishing - et toutes les quatre étaient dues à l'échec de la Fondation danoise contre le cancer à mettre en œuvre des mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au risque pour les personnes concernées. Une violation de données personnelles similaire s'est déjà produite en août 2018, lorsque la Fondation a été victime d'attaques de phishing et d'usurpation d'identité. Dans ce contexte, la Société danoise du cancer a déclaré qu'elle devrait augmenter la protection grâce à l'authentification multifacteur, mais cela n'a pas été mis en œuvre. Les données d'au moins 1 448 personnes ont été compromises et, dans plusieurs cas, il s'agissait de données de santé personnelles sensibles, y compris les antécédents médicaux.