Ákvörðun um að hefja framangreindar frumathuganir var meðal annars byggð á stefnu Persónuverndar um úttektir fyrir árið 2024 en samkvæmt stefnunni var vinnsla persónuupplýsinga í snjalllausnum og/eða hugbúnaðarkerfum fjármálafyrirtækja í forgangi á árinu.

Að lokinni frumathugun á fyrirliggjandi upplýsingum og gögnum frá framangreindum aðilum ákvað Persónuvernd að láta athugun sinni lokið hjá Íslandsbanka hf., Landsbankanum hf. og Reiknistofu bankanna hf., án þess að hefja úttekt eða frumkvæðisathugun í kjölfarið. Persónuvernd ákvað einnig að láta athugun sinni lokið hjá Kviku banka hf., en taldi þó ástæðu til að senda bankanum leiðbeiningar um þær reglur sem gilda um skráningu öryggisbresta samkvæmt persónuverndarlöggjöfinni, þar sem ekki var fullt samræmi á milli tilkynntra öryggisbresta Kviku banka hf. til Persónuverndar og skrá bankans yfir öryggisbresti.

Í kjölfar frumathugunarinnar ákvað Persónuvernd hins vegar að boða úttekt á vinnslu persónuupplýsinga í Netbanka Arion banka hf. Við ákvörðun um að hefja úttekt hjá Arion banka var m.a. litið til fjölda tilkynntra öryggisbresta af hálfu bankans vegna vinnslu persónuupplýsinga í Netbankanum. Markmið úttektarinnar var að kanna hvort upplýsingaöryggi í Netbanka Arion banka hf. væri tryggt í samræmi við persónuverndarlöggjöfina, að því er varðaði aðgang óviðkomandi að persónuupplýsingum í kerfunum. Nánar tiltekið kom til skoðunar hvort ráðstafanir væru viðhafðar sem ætlað er að koma í veg fyrir að persónuupplýsingar um viðskiptavini, sem birtust í Netbanka hjá öðrum viðskiptavini á grundvelli heimildar, svo sem umboðs eða lögbundins fyrirsvars, yrðu áfram aðgengilegar við brottfall heimildarinnar sem aðgangur var grundvallaður á.

Rannsókn Persónuverndar leiddi ekki annað í ljós en að Arion banki hf. viðhafi nú tæknilegar og skipulagslegar öryggisráðstafanir í samræmi áskilnað persónuverndarlöggjafarinnar, miðað við þá öryggisáhættu sem var til skoðunar. Með vísan til þess var úttektin felld niður og málinu lokað hjá Persónuvernd.