Datatilsynet har skickat norska idrottsförbundet (NIF) ett meddelande om sanktionsavgifter på 2,5 miljoner norska kronor. Bakgrunden till ärendet är att personuppgifter tillhörande 3,2 miljoner norrmän, många av dem barn, funnits tillgängliga online i 87 dagar efter ett fel i samband med testning av en molnlösning.
Ärendet inleddes med en anmälan om personuppgiftsincident till Datatilsynet från NIF den 20 december 2019, efter att National Cyber Security Center meddelat föreningen att personuppgifter blivit tillgängliga på en offentlig IP-adress. Incidenten uppstod när lösningar skulle testas i samband med att databasen flyttats från en fysisk servermiljö och upp i molnet.
Personuppgifterna som exponerades var namn, kön, födelsedatum, adress, telefonnummer, e-post och klubbanslutning. Av de 3,2 miljoner människor som drabbats av avvikelsen var 486 447 barn i åldern 3-17 år. Datatilsynet har inte information om att obehöriga personer faktiskt har utnyttjat incidenten.
Datatilsynet anser att testningen med personuppgifterna inleddes utan tillräckliga riskbedömningar och utan att specifika rutiner eller åtgärder har genomförts för att säkra informationen. Datatilsynet anser också att det inte fanns någon grund för behandling av dessa personuppgifter. Enligt Datatilsynet är det ett krav att behandlingen måste vara nödvändig för ändamålet och att syftet inte kan uppnås på ett mindre ingripande sätt. Datatilsynet anser därför att NIF kunde ha genomfört testningen genom att behandla syntetiska uppgifter, eller åtminstone genom att använda mycket färre personuppgifter. Datatilsynet har också kommit fram till att principerna om laglighet, dataminimering och konfidentialitet har kränkts.
En sanktionsavgift ska enligt Datatilsynet i varje enskilt fall vara effektiv, stå i rimlig proportion till överträdelsen och fungera avskräckande. Även om denna incident inte gäller de typer av personuppgifter som medför störst risk , har Datatilsynet betonat den stora omfattningen personuppgifter för de individer som är inblandade i detta fall.
Datatilsynet har också betonat NIF:s ekonomi vars intäkter uppgick till 1,9 miljarder år 2019. NIF får de flesta av sina intäkter genom bidrag från offentlig sektor och andra byråer.
Meddelandet om sanktionsavgifter har skickats till NIF för kommentarer innan ett slutgiltigt beslut fattas. Datatilsynet har specifikt begärt återkoppling om hur NIF anser att situationen med covid-19 påverkat händelsen. NIF har till den 4 januari 2021 på sig att inkomma med svar till Datatilsynet.