Boka kurs

Finland: Finlands Golfförbund får reprimand för att inte ha vidtagit tillräckliga säkerhetsåtgärder vid inloggning i golfapp

Linkedin Facebook X-twitter Envelope

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) ger Finlands Golfförbund en reprimand för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Dataombudsmannens byrå underrättades om att den applikation som drivs av Finlands Golfförbund innehöll sårbarheter relaterade till autentisering och lösenord, inklusive användning av personers födelsedatum som standardlösenord och underlåtenhet att använda multifaktorautentisering. Dataombudsmannens byrå bad därefter Finlands Golfförbund att förklara hur golfappen fungerade.

Som svar på begäran klargjorde Finlands Golfförbund att inga lösenord användes för att logga in i golfappen, utan i stället personens medlemsnummer, de två första bokstäverna i för- och efternamnet samt födelseår. Finlands Golfförbunds medlemsnummer bestod av en landsdel, en klubbdel och ett medlemsnummer där de fyra sista siffrorna utgör det egentliga medlemsnumret. Enligt Finlands Golfförbund var inloggningspolicyn tillräcklig ur säkerhetssynvinkel. Finlands Golfförbund konstaterade också att de uppgifter som behövs för inloggningen kräver efterforskningar från flera olika källor och att de inte direkt kan härledas av en tredje part. Finlands Golfförbund betonade därutöver att användaren även i ett senare skede kunde ändra standardlösenordet.

På grundval av den information som lämnats av Finlands Golfförbund ansåg Dataombudsmannens byrå att golfappen hade en förutsägbar inloggningsmekanism som inte kunde anses förhindra obehörig åtkomst till personuppgifter för systemets användare.

Dataombudsmannens byrå konstaterade därför att Finlands Golfförbunds golfappen tillät obehörig åtkomst till andras personuppgifter på grund av svaga eller obefintliga lösenordspolicyer. Dataombudsmannens byrå konstaterade att även om inloggningsuppgifter måste samlas in från mer än en källa, var detta möjligt med tanke på systemets syfte och användarnas allmänna kunskap om andra användare. Finlands Golfförbund hade därför brutit mot artikel 25.1 GDPR och artikel 32.1 (b) GDPR genom att inte säkerställa att golfappen hade tillräckliga organisatoriska och tekniska skyddsåtgärder.

Dataombudsmannens byrå beslutade att ge Finlands Golfförbund en reprimand i enlighet med artikel 58.2 (b) GDPR.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 25 GDPR, art. 32 GDPR, art. 58 GDPR

Sanktionsavgift: N/A

Mottagare: Finlands Golfförbund

Beslutsnummer: TSV/955/2023

Beslutsdatum: 2024-07-04

Källa: Beslut

Relaterade nyheter

Sverige: Regeringen uppdaterar handlingsplan för nationell cybersäkerhetsstrategi

Sverige: FI identifierar brister i kontinuitetsplanering och hantering av IKT-risker hos finansiella företag

Sverige: Regeringen föreslår lag om AI-baserad ansiktsigenkänning i realtid

Sverige: Sverige ska bygga motståndskraft i samhällsviktig verksamhet

Belgien: Infobel får 40 000 i sanktionsavgift för otillåten vidareförsäljning av personuppgifter

Spanien: Personuppgiftsansvarig får 300 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Spanien: Energibolag får 500 000 euro i sanktionsavgift för felaktig hantering av kunduppgifter

Italien: Företag får 20 000 euro i sanktionsavgift för olaglig behandling av barns hälsouppgifter

Österrike: Bagerikedja får 33 500 euro i sanktionsavgift för olaglig kamerabevakning

Sverige: Ny lag om straffansvar för olovlig finansiell verksamhet

Fler nyheter

Kostnadsfritt webbinarium om klassning av AI-system enligt AI-förordningen

Under webbinariet går vi igenom hur AI-system bedöms enligt AI-förordningens olika risknivåer och vad det innebär för din verksamhet.

Till webbinaret