Efter at sagen havde været forelagt Datarådet, udtalte Datatilsynet, at Dansk Selskab for Akutmedicin ikke havde truffet passende organisatoriske og tekniske foranstaltninger.
Tilsynet lagde bl.a. vægt på, at det følger af kravet om passende sikkerhed, at foreninger eller organisationer, der lader bestyrelsesmedlemmer behandle personoplysninger, som foreningen eller organisationen er dataansvarlig for, skal gennemføre passende sikkerhedsforanstaltninger i forbindelse hermed.
Der skal således kunne føres kontrol med, at bestyrelsesmedlemmerne overholder de sikkerhedsforanstaltninger, som foreningen eller organisationen som dataansvarlig har besluttet skal implementeres, når de behandler personoplysninger. Herudover skal foreningen eller organisationen også – hvor det er relevant – fastsætte retningslinjer og procedurer for bestyrelsesmedlemmernes anvendelse af udstyret.
Datatilsynet kunne tilslutte sig Dansk Selskab for Akutmedicins egen vurdering af, at selskabet ikke havde haft et tilstrækkeligt sikkerhedsniveau for personoplysninger modtaget ved eksterne henvendelser.
På den baggrund fandt Datatilsynet grundlag for at udtale alvorlig kritik af, at Dansk Selskab for Akutmedicins behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.