Argon Medical Devices oppdaget i juli i 2021 et sikkerhetsbrudd som gjaldt personopplysningene til ansatte i Norge og Europa. Opplysningene kunne blitt brukt til svindel og identitetstyveri, ifølge Datatilsynet.

Først noen måneder senere i september sendte selskapet en en avviksmelding til Datatilsynet, til tross for at varslingsfristen er 72 timer. 

Ifølge Datatilsynet argumenterte Argon med at de ikke trengte å varsle om sikkerhetsbruddet før etter at de hadde fullstendig oversikt over hendelsen, i tråd med det som er rutinene til selskapet. 

Datatilsynet slår på sin side fast at fristen på 72 timer ifølge personvernforordningen starter når den behandlingsansvarlige blir klar over at det har skjedd et personopplysningssikkerhetsbrudd.

Datatilsynet har også lagt vekt på at Argon er et stort internasjonalt konsern som må ha gode personvernrutiner på plass.

Overtredelsesgebyret på 2,5 millioner kroner utgjør cirka 2,5 prosent av maksimalt gebyr for slike brudd og 0,1 prosent av Argon sin omsetning.

Vedtaket til Datatilsynet er datert 8. mars, og klagefristen er innen tre uker.