Datatilsynet udtalt kritik af, at en databehandler i forbindelse med overtagelsen af et udviklings- og testmiljø fra en anden leverandør (før forordningen fandt anvendelse) ikke havde gennemført passende sikkerhedsforanstaltninger.

Da databehandleren erhvervede it-løsningen (i forbindelse med et virksomhedsopkøb) blev det ikke påset, i hvilket omfang en test- og udviklingsserver indeholdt oplysninger om fysiske personer. Serveren var til brug for udviklingsopgaver opkoblet mod netværk udenfor databehandlerens kontrol (internettet) og den blev flere år efter overtagelsen kompromitteret og benyttet uretmæssigt til at ”udvinde” kryptovalutaen Bitcoin. Serveren var på grund af den oprindelige klassifikation – som intern udviklingsserver, uden persondata – ikke undergivet databehandlerens ordinære driftssikkerhedssetup (patch- og sikkerhedspolitik).

Da den uretmæssige brug blev konstateret, blev det samtidigt fastslået, at serveren – alligevel – indeholdt personhenførbare informationer fra flere dataansvarlige.

Datatilsynet fandt, at bruddet kunne have været undgået, hvis der havde været indført helt almindelige tekniske sikkerhedsforanstaltninger (bl.a. firewall-regler), og at de etablerede sikkerhedsforanstaltninger derfor ikke kunne anses som passende. Årsagen var primært, at risikovurderingen alene var baseret på den oprindelige beskrivelse af serveren som ”intern server” (uden personoplysninger).