NIF får gebyr på 1,25 mill. for personvernbrudd

Datatilsynet gir Norges idrettsforbund (NIF) et overtredelsesgebyr på 1,25 millioner kroner for brudd på personvernforordningen.

STORSTUEN: Lokalene til Norges Idrettsforbund ligger rett ved Ullevaal stadion i Oslo.
  • Morten Asbjørnsen, VG
Publisert Publisert

Bakgrunnen er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning, skriver tilsynet i en pressemelding.

– Det er svært viktig å teste grundig før en ny løsning settes i produksjon, sier Bjørn Erik Thon, direktør i Datatilsynet.

Saken startet med en avviksmelding til Datatilsynet fra forbundet 20. desember 2019, etter at Nasjonalt Cybersikkerhetssenter hadde varslet dem om at personopplysningene lå tilgjengelig på en offentlig IP-adresse. Avviket oppsto da det skulle testes løsninger i forbindelse med flytting av database fra et fysisk servermiljø og opp i skyen.

Datatilsynet skriver selv at personopplysningene som var eksponert var navn, kjønn, fødselsdato, adresse, telefonnummer, e-post og klubbtilhørighet. Av de 3,2 millioner personene som var berørt av avviket, var 486.447 barn i alderen 3-17 år. Datatilsynet har ikke opplysninger om at uvedkommende faktisk har utnyttet avviket.

Les også

Raja lover idretten coronastøtte ut oktober: – En helgardering

– Dette er en sak vi svært gjerne skulle ha vært foruten. Samtidig har vi anført i vår redegjørelse at persondata med all sannsynlighet ikke har kommet på avveie. Datatilsynet konstaterer det samme , sa generalsekretær i NIF, Karen Kvalevåg, til VG i desember 2020 om saken.

Tilsynet mener at forbundet ikke iverksatte gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste løsningen med dette omfanget av personopplysninger.

Les hele vedtaket om overtredelsesgebyret til Norges idrettsforbund, som datatilsynet har publisert her.

Datatilsynet varslet opprinnelig et gebyr på 2,5 millioner kroner. NIF hadde ikke innvendinger mot hendelsesbeskrivelsen som Datatilsynets varsel bygget på, men argumenterte i sine merknader for at det varslede gebyret var for høyt. Basert på nye opplysninger i saken om NIFs organisering og økonomi, har Datatilsynet redusert det varslede gebyret til 1.250.000 kroner.

Les også

Hareide vil endre loven - Kjøll slår alarm

Rettelse: I saken som ble publisert klokken 09.22 tirsdag sto det at 3,5 millioner mennesker ble berørt. Det ble endret til 3,2 millioner klokken 09.33 samme dag.

Publisert
  1. Norges Idrettsforbund (NIF)
  2. Datatilsynet
  3. Personvern
  4. Rettet
BT anbefaler

Christian og døtrene nekta å snu etter tre timar i kø. Til slutt gav kommunen etter.

Amper stemning utanfor Sentralbadet torsdag kveld.

LES SAKEN

Mest lest akkurat nå

  1. Christian og døtrene nekta å snu etter tre timar i kø. Til slutt gav kommunen etter.

  2. Personen som ble funnet død i Loddefjord var savnet 24-åring

  3. – Hver kveld ber jeg om det samme

  4. «Om de bare hadde levert til sentrum ...»

  5. 35-åring uten lappen fraktet lik bort i leiebil

  6. Sjekk kontrastene: Slik stemte folk ulike steder i Bergen