De Britse liefdadigheidsinstelling voor transgenders Mermaids heeft wegens een gevoelig datalek waarbij de gegevens van honderden mensen op straat kwamen te liggen een boete van 29.000 euro gekregen. De instelling maakte van augustus 2016 tot juli 2017 gebruik van een webgebaseerde e-mailgroep die het bij Groups.IO had aangemaakt.

Bij het aanmaken van de groep waren niet de juiste beveiligingsinstellingen ingesteld, waardoor zo'n 780 pagina's met vertrouwelijke e-mails drie jaar lang voor iedereen op internet toegankelijk waren. De e-mails werden ook geïndexeerd door zoekmachines zoals Google en waren vindbaar via de zoekoptie van Groups.IO. De e-mailgroep werd tot 21 juli 2017 gebruikt, maar bleef daarna gewoon online staan.

Pas in juni 2019 ontdekte de instelling het datalek en nam maatregelen om de e-mails af te schermen. In de opgeslagen e-mails stonden de persoonlijke gegevens van 550 mensen, waaronder hun naam, e-mailadres, functieomschrijving en naam van werkgever. Bij 24 mensen ging het om gevoelige informatie, zoals gevoelens over transgenderzaken. En van vijftien personen werd ook informatie over mentale en fysieke gezondheid en seksuele oriëntatie gelekt.

Uit onderzoek van de Britse privacytoezichthouder ICO bleek dat de instelling "nalatig" omging met de aanpak van dataveiligheid, er een inadequaat beleid was en het personeel niet was getraind. Mede vanwege de AVG en de discussie over genderidentiteit had de instelling beleid en procedures moeten treffen om de persoonsgegevens te beschermen, aldus de toezichthouder. Door dat niet te doen is de AVG overtreden. De ICO besloot, rekening houdend met de financiële situatie van de liefdadigheidsinstelling, een boete van omgerekend 29.000 euro op te leggen.