Sanktionsavgift mot Sportadmin för bristande IT-säkerhet

Bakgrunden är det IT-angrepp som skedde mot Sportadmin i januari 2025. Angriparen kom då över uppgifter om fler än 2,1 miljoner personer och publicerade dem sedan på Darknet. Framför allt var det uppgifter om barn och unga, bland annat namn och kontaktuppgifter, personnummer och vilken idrott och förening man var kopplad till. Bland det som läckte förekom även känsliga uppgifter om hälsa och i viss omfattning skyddade personuppgifter.

– IT-angrepp och dataläckor går aldrig helt att utesluta, men man är skyldig att ha en säkerhetsnivå anpassad till de personuppgifter man hanterar. Sportadmin har inte haft det och det har funnits en passivitet i att hantera kända risker, säger Eric Leijonram, generaldirektör på IMY.

IMY:s granskning visar på både tekniska och organisatoriska brister. Sportadmin har en lång tid innan angreppet känt till vissa svagheter i sina system och att det funnits områden med förhöjda risker för angrepp. Bolaget har arbetat för att åtgärda detta, men bedöms inte ha gjort tillräckligt. Sportadmin har inte heller haft de rutiner som krävts för att upptäcka brister i befintliga säkerhetsåtgärder och har saknat ett system för att i realtid upptäcka intrång och intrångsförsök. Om sådana åtgärder hade funnits på plats hade Sportadmin haft bättre förutsättningar att förhindra eller i vart fall begränsa skadan.

– När man som förälder lägger in uppgifter om sitt barn i ett system ska man kunna känna sig trygg med att lämpliga säkerhetsåtgärder finns på plats. Här har Sportadmin brutit mot kraven i GDPR, vilket ledde till läckta uppgifter om en stor del av Sveriges befolkning, säger Eric Leijonram.

IMY finner att Sportadmin brutit mot artikel 32 i dataskyddsförordningen, GDPR, och beslutar om en sanktionsavgift på 6 miljoner kronor.