Coop var blevet opmærksom på, at der på virksomhedens fællesdrev var placeret personoplysninger uden tilstrækkelig adgangsstyring. Oplysningerne vedrørte i alt 477 medarbejdere og eksterne konsulenter. Coop opdagede bruddet i forbindelse med, at virksomheden afprøvede et nyt scanningsværktøj og meldte det selv til Datatilsynet.

Datatilsynet fandt, at Coop ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger, fordi virksomheden tidligere burde have været opmærksom på, at medarbejdere fejlagtigt kunne have placeret personoplysninger på virksomhedens fællesdrev. Virksomheden burde derfor efter Datatilsynets opfattelse have kontrolleret og ryddet op på virksomhedens fællesdrev og indført relevante sikkerhedsforanstaltninger på et tidligere tidspunkt.

Datatilsynet fandt endvidere, at Coop rettidigt anmeldte sikkerhedsbruddet til tilsynet, idet anmeldelsen skete inden for tidsfristen på 72 timer.