La DPA norvégienne a infligé une amende de 75 600 euros à l'hôpital St. Olav. L'hôpital a subi trois fuites de données conformément à l'art. 33 le RGPD. Le premier incident s'était produit entre le 13 janvier 2011 et le 27 janvier 2020, au service de cardiologie de l'hôpital à la suite d'une mise à niveau pour un nouveau registre de santé orienté traitement pour le laboratoire de cardiologie. Dans le cadre de la mise à niveau, un serveur de test a été utilisé sur lequel les rapports de traitement ont été temporairement mis en cache puis copiés sur le nouveau système. Cependant, les rapports du serveur de test n'ont pas été supprimés. De plus, une autre erreur s'est produite, ce qui a permis à tous les employés authentifiés d'accéder aux rapports. Environ 21 000 rapports ont été touchés. La deuxième brèche s'est produite dans la période du 17 mai 2015 au 28 janvier 2020, lorsque les rapports des dispositifs médicaux (oxymètres de pouls pour la mesure à long terme de la saturation en oxygène et du pouls) ont été stockés dans une zone de fichier accessible à tout employé disposant d'un identifiant authentifié. et compte actif. La troisième violation s'est produite dans la période du 1er janvier 2018 au 9 décembre 2019. Les mots de passe de diverses bases de données ont été stockés en texte brut dans un fichier sur le serveur de l'hôpital. Les employés disposant d'un compte système hospitalier actif pouvaient d'abord se connecter au serveur via Remote Desktop, puis rechercher un fichier avec un mot de passe dans la base de données. La DPA a constaté que l'hôpital n'avait pas mis en place des contrôles d'accès efficaces.