Datatilsynet har sendt Norges idrettsforbund (NIF) et varsel om overtredelsesgebyr på 2,5 millioner kroner. Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.
Datatilsynet vurderer at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.
– NIF har ikke satt inn de tekniske og organisatoriske tiltakene som skulle til. Omtrent halvparten av Norges befolkning er berørt av avviket, mange av dem er barn. Barn er en spesielt sårbar gruppe, noe vi har vektlagt spesielt i vår vurdering, uttaler direktør i Datatilsynet, Bjørn Erik Thon.
Saken startet med en avviksmelding til Datatilsynet fra forbundet 20. desember 2019, etter at Nasjonalt Cybersikkerhetssenter hadde varslet dem at personopplysningene lå tilgjengelig på en offentlig IP-adresse. Avviket oppsto da det skulle testes løsninger i forbindelse med flytting av database fra et fysisk servermiljø og opp i skyen.
Personopplysningene som var eksponert var navn, kjønn, fødselsdato, adresse, telefonnummer, e-post og klubbtilhørighet. Av de 3,2 millioner personene som var berørt av avviket, var 486 447 barn i alderen 3-17 år. Datatilsynet har ikke opplysninger om at uvedkommende faktisk har utnyttet avviket.
Datatilsynet vurderer at testingen med personopplysningene ble igangsatt uten tilstrekkelige risikovurderinger, og uten at det var iverksatt konkrete rutiner eller tiltak for å sikre opplysningene.
Datatilsynet vurderer i tillegg at det ikke var behandlingsgrunnlag for å teste med disse personopplysningene. Det er et krav om at behandlingen må være nødvendig for formålet, og at ikke formålet kan oppnås på mindre personverninngripende måter. Datatilsynet vurderer at testingen kunne vært gjennomført ved behandling av syntetiske data – eller i det minste ved bruk av langt færre personopplysninger.
Datatilsynet har også konkludert med brudd på prinsippene om lovlighet, dataminimering og konfidensialitet.
Et overtredelsesgebyr skal i hvert enkelt tilfelle være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
– Selv om dette avviket ikke gjelder de typene personopplysninger som innebærer størst risiko, har Datatilsynet vektlagt det enorme omfanget av berørte i denne saken – og særlig antallet barn, sier Thon.
Vi har også vektlagt økonomien til Norges Idrettsforbund, som er registrert med driftsinntekter på over 1,9 milliarder i 2019. NIF mottar storparten av sine inntekter gjennom tilskudd fra det offentlige og andre instanser.
Dette er et varsel, og Norges idrettsforbund kan komme med merknader før endelig vedtak treffes. Datatilsynet har særlig bedt om tilbakemelding dersom Norges idrettsforbund opplever forhold i forbindelse med den samfunnsmessige situasjonen med covid-19 som er relevant for det varslede vedtaket.
Forbundet har fått frist til 4. januar 2021 for tilbakemelding.
Varsel om overtredelsesgebyr til Norges idrettsforbund (pdf)