Datatilsynet har gitt Norges idrettsforbund (NIF) et overtredelsesgebyr på 1 250 000 kroner for brudd på personvernforordningen. Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.
Datatilsynet vurderer at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.
Saken startet med en avviksmelding til Datatilsynet fra forbundet 20. desember 2019, etter at Nasjonalt Cybersikkerhetssenter hadde varslet dem om at personopplysningene lå tilgjengelig på en offentlig IP-adresse. Avviket oppsto da det skulle testes løsninger i forbindelse med flytting av database fra et fysisk servermiljø og opp i skyen.
Personopplysningene som var eksponert var navn, kjønn, fødselsdato, adresse, telefonnummer, e-post og klubbtilhørighet. Av de 3,2 millioner personene som var berørt av avviket, var 486 447 barn i alderen 3-17 år. Datatilsynet har ikke opplysninger om at uvedkommende faktisk har utnyttet avviket.
Datatilsynet vurderer at testingen med personopplysningene ble igangsatt uten tilstrekkelige risikovurderinger, og uten at det var iverksatt konkrete rutiner eller tiltak for å sikre opplysningene.
Datatilsynet vurderer i tillegg at NIF ikke hadde rettslig grunnlag for å teste med disse personopplysningene. Det er et krav om at behandlingen må være nødvendig for formålet, og at ikke formålet kan oppnås på mindre personverninngripende måter. Datatilsynet vurderer at testingen kunne vært gjennomført ved behandling av syntetiske data – eller i det minste ved bruk av langt færre personopplysninger.
- Det er svært viktig å teste grundig før en ny løsning settes i produksjon, sier Bjørn Erik Thon, direktør i Datatilsynet. Testing kan for eksempel avdekke feil eller sikkerhetshull i løsningen. Derfor er det stor risiko forbundet med testing, særlig dersom man brukes folks personopplysninger i testen. Vår klare anbefaling er å bruke fiktive data, såkalte Donald Duck-data, da dette reduserer risikoen i betydelig grad.
Datatilsynet har også konkludert med brudd på prinsippene om lovlighet, dataminimering og konfidensialitet.
Et overtredelsesgebyr skal i hvert enkelt tilfelle være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Selv om dette avviket ikke gjelder de typene personopplysninger som normalt innebærer størst risiko, har Datatilsynet vektlagt det enorme omfanget av berørte i denne saken – og særlig antallet barn.
Datatilsynet varslet opprinnelig et gebyr på 2,5 millioner kroner. NIF hadde ikke innvendinger mot hendelsesbeskrivelsen som Datatilsynets varsel bygget på, men argumenterte i sine merknader for at det varslede gebyret var for høyt. Basert på nye opplysninger i saken om NIFs organisering og økonomi, har Datatilsynet redusert det varslede gebyret til 1 250 000 kroner.
NIF har tre ukers klagefrist fra organisasjonen mottar vedtaket vårt.
Datatilsynet har utarbeidet en veileder for programvareutvikling med innebygd personvern, der testing inngår som en viktig del.
- Alle som jobber med testing bør lese denne veilederen, sier Thon. I tillegg kan man la seg inspirere av NAV, som vant prisen for beste løsning med innebygd personvern med konseptet "Gjør test til en fest!".
Les vårt blogginnlegg "Testing for dummies".
Vedtak om overtredelsesgebyr til Norges idrettsforbund (pdf)