Datatilsynet fandt, at Coop ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger, fordi virksomheden tidligere burde have været opmærksom på, at medarbejdere fejlagtigt kunne have placeret personoplysninger på virksomhedens fællesdrev. Virksomheden burde derfor efter Datatilsynets opfattelse have kontrolleret og ryddet op på virksomhedens fællesdrev og indført relevante sikkerhedsforanstaltninger på et tidligere tidspunkt.
Datatilsynet fandt endvidere, at Coop rettidigt anmeldte sikkerhedsbruddet til tilsynet, idet anmeldelsen skete inden for tidsfristen på 72 timer.