Datatilsynet har bötfällt norska idrottsförbundet (NIF) med 1 250 000 norska kronor för överträdelser av dataskyddsförordningen (“GDPR”). Bakgrunden till ärendet är att personlig information om 3,2 miljoner norrmän varit tillgänglig online i 87 dagar efter ett fel i samband med testning av en molntjänst. Datatilsynet anser att NIF inte implementerat tillräckligt bra säkerhetsrutiner för testning och att det inte varit nödvändigt att testa med en sådan omfattning av personuppgifter.
Ärendet inleddes med att NIF anmält en personuppgiftsincident den 20 december 2019, efter att National Cyber Security Center meddelat idrottsförbundet att personuppgifter varit tillgängliga på en offentlig IP-adress. Personuppgiftsincidenten uppstod när NIF skulle testa lösningar i samband med flytt av en databas från en fysisk servermiljö till en molntjänst.
Personuppgifterna som exponerades var namn, kön, födelsedatum, adress, telefonnummer, e-post och klubbanslutning. Av de 3,2 miljoner personer som drabbats av personuppgiftsincidenten var 486 447 barn i åldern 3-17 år. Datatilsynet har inte information om att obehöriga personer faktiskt har utnyttjat den inträffade händelsen.
Enligt Datatilsynet har NIF inlett testningen med personuppgifterna utan att tillräckliga riskbedömningar genomförts och utan att specifika rutiner eller åtgärder genomförts för att säkra uppgifterna. Datatilsynet anser också att NIF inte haft en rättslig grund för testning med dessa personuppgifter.
Vidare betonar Datatilsynet att behandlingen ska vara nödvändig för ändamålet och att syftet inte kan uppnås på mindre invasiva sätt. Datatilsynet anser att NIF kunde ha genomfört testningen genom att behandla syntetiska data, eller åtminstone genom att använda personuppgifter i mindre omfattning.
Enligt Datatilsynet är det mycket viktigt att det sker noggrann testning innan en ny lösning sätts i produktion. Testning kan till exempel avslöja fel eller säkerhetshål i lösningen. Datatilsynet menar därför att det funnits en stor risk förknippad med NIF:s testning, särskilt då idrottsförbundet använt personuppgifter i testet. Datatilsynets tydliga rekommendation är därför att fiktiva data används eftersom detta minskar risken avsevärt.
Vad gäller NIF:s personuppgiftsbehandling i det aktuella fallet har Datatilsynet också kommit fram till att principerna om laglighet, uppgiftsminimering och integritet och konfidentialitet har kränkts.
Sanktionsavgifter ska enligt Datatilsynet i varje enskilt fall vara effektiva, stå i rimlig proportion till överträdelsen och ha en avskräckande effekt. Även om avvikelsen i detta ärende inte gäller de typer av personuppgifter som normalt innebär den största risken, betonar Datatilsynet det stora antalet personer som är inblandade i detta fall, och i synnerhet antalet barn.
NIF har tidigare meddelats en sanktionsavgift på 2 500 000 norska kronor (läs mer om detta här). NIF hade inga invändningar mot beskrivningen av händelsen som Datatilsynet grundade sig på, men hävdade i sina kommentarer att de aviserade sanktionsavgifterna var för höga. Baserat på ny information när det gäller NIF:s organisation och ekonomi har Datatilsynet därför sänkt sanktionsavgifterna till 1 250 000 norska kronor.
Datatilsynet har gett NIK tre veckor att överklaga beslutet.