För ganska precis ett år sedan drabbades Sportadmin av ett IT-angrepp som resulterade i att drygt 2,1 miljoner personer fick sina uppgifter publicerade på Darknet.
Nu beslutar IMY att bolaget ska betala 6 miljoner i sanktionsavgift för det inträffade.
– IT-angrepp och dataläckor går aldrig helt att utesluta, men man är skyldig att ha en säkerhetsnivå anpassad till de personuppgifter man hanterar, säger generaldirektören Eric Leijonram i ett pressmeddelande.
Det var framförallt uppgifter om barn och unga, bland annat namn och kontaktuppgifter, personnummer och vilken idrott och förening man var kopplad till som läckte ut i samband med angreppet.
Bland det som läckte förekom även känsliga uppgifter om hälsa och i viss omfattning skyddade personuppgifter, konstaterar IMY.
– IT-angrepp och dataläckor går aldrig helt att utesluta, men man är skyldig att ha en säkerhetsnivå anpassad till de personuppgifter man hanterar. Sportadmin har inte haft det och det har funnits en passivitet i att hantera kända risker, säger generaldirektören Eric Leijonram.
Tvingas betala 6 miljoner
Efter att ha granskat händelsen kan IMY konstatera att Sportadmin haft såväl tekniska som organisatoriska brister. Bolaget hade dessutom känt till vissa svagheter i systemen sedan ”lång tid” innan angreppet. Enligt IMY har man inte gjort tillräckligt för att åtgärda detta.
Bolaget har inte heller haft de rutiner som krävts för att upptäcka intrång och försök till intrång.
Sammanfattningsvis slår IMY fast att bolaget brutit mot artikel 32 i dataskyddsförordningen och beslutar om en sanktionsavgift på 6 miljoner kronor.
