NIF får gebyr på 1,25 mill. for personvernbrudd

Datatilsynet gir Norges idrettsforbund (NIF) et overtredelsesgebyr på 1,25 millioner kroner for brudd på personvernforordningen.

STORSTUEN: Lokalene til Norges Idrettsforbund ligger rett ved Ullevaal stadion i Oslo.
  • Morten Asbjørnsen, VG
Publisert Publisert

Bakgrunnen er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning, skriver tilsynet i en pressemelding.

– Det er svært viktig å teste grundig før en ny løsning settes i produksjon, sier Bjørn Erik Thon, direktør i Datatilsynet.

Saken startet med en avviksmelding til Datatilsynet fra forbundet 20. desember 2019, etter at Nasjonalt Cybersikkerhetssenter hadde varslet dem om at personopplysningene lå tilgjengelig på en offentlig IP-adresse. Avviket oppsto da det skulle testes løsninger i forbindelse med flytting av database fra et fysisk servermiljø og opp i skyen.

Datatilsynet skriver selv at personopplysningene som var eksponert var navn, kjønn, fødselsdato, adresse, telefonnummer, e-post og klubbtilhørighet. Av de 3,2 millioner personene som var berørt av avviket, var 486.447 barn i alderen 3-17 år. Datatilsynet har ikke opplysninger om at uvedkommende faktisk har utnyttet avviket.

Les også

Raja lover idretten coronastøtte ut oktober: – En helgardering

– Dette er en sak vi svært gjerne skulle ha vært foruten. Samtidig har vi anført i vår redegjørelse at persondata med all sannsynlighet ikke har kommet på avveie. Datatilsynet konstaterer det samme , sa generalsekretær i NIF, Karen Kvalevåg, til VG i desember 2020 om saken.

Tilsynet mener at forbundet ikke iverksatte gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste løsningen med dette omfanget av personopplysninger.

Les hele vedtaket om overtredelsesgebyret til Norges idrettsforbund, som datatilsynet har publisert her.

Datatilsynet varslet opprinnelig et gebyr på 2,5 millioner kroner. NIF hadde ikke innvendinger mot hendelsesbeskrivelsen som Datatilsynets varsel bygget på, men argumenterte i sine merknader for at det varslede gebyret var for høyt. Basert på nye opplysninger i saken om NIFs organisering og økonomi, har Datatilsynet redusert det varslede gebyret til 1.250.000 kroner.

Les også

Hareide vil endre loven - Kjøll slår alarm

Rettelse: I saken som ble publisert klokken 09.22 tirsdag sto det at 3,5 millioner mennesker ble berørt. Det ble endret til 3,2 millioner klokken 09.33 samme dag.

Publisert
  1. Norges Idrettsforbund (NIF)
  2. Datatilsynet
  3. Personvern
  4. Rettet
BT anbefaler

Mann (38) funnet død på Os. – Uklart hva som har skjedd.

Politiet etterforsker saken, og krimteknikere er på stedet.

LES SAKEN

Mest lest akkurat nå

  1. Her vil han løse parkeringsfloken i Åsane

  2. To personer skal ha falt utfor mur ved Tokagjelet – nødetatene og helikoptre på vei til stedet

  3. Dette er de drepte etter angrepet på Kongsberg

  4. Trafikkuhell i Damsgårdstunnelen – bil traff fjellveggen

  5. Tor Fosse lever av å se film. Nå frykter han at synet skal svikte.

  6. – Kvifor snakkar me ikkje om dei tinga som skjer med kroppen vår etter fødsel?