IMY inleder granskning mot Sportadmin

• 15 april 2025

Efter det omfattande dataintrånget mot Sportadmin i januari 2025 – som berörde över 2 miljoner personer, däribland många barn – har Integritetsskyddsmyndigheten (IMY) nu inlett en formell granskning av leverantören. Det är en tillsyn enligt dataskyddsförordningen (GDPR) och fokus ligger på om Sportadmin haft tillräckliga säkerhetsåtgärder på plats.

Tillsynen baseras på Sportadmins egen anmälan, men också på över 1 650 incidentrapporter från föreningar som använder tjänsten samt ett tjugotal klagomål från registrerade personer. IMY:s frågor rör bland annat vilka typer av uppgifter som exponerats (exempelvis känsliga och barns personuppgifter), hur incidenten hanterats, samt hur ansvaret är reglerat mellan Sportadmin och deras kunder (föreningarna).

Sportadmin agerar i många fall som personuppgiftsbiträde, medan föreningarna är personuppgiftsansvariga. Ett biträde kan själv granskas och bli föremål för sanktionsavgifter om det brustit i att implementera en adekvat nivå av säkerhet. I detta fall granskar IMY bland annat om Sportadmin genomfört tillräckliga riskbedömningar och förebyggande åtgärder enligt artikel 32 i GDPR.

Vissa personuppgifter har ett förstärkt skydd enligt GDPR. IMY efterfrågar om uppgifter om barn eller andra känsliga uppgifter om hälsa eller skyddade identiteter kan ha läckt. Det har även förekommit uppgifter i media som gör gällande att en del av personuppgifterna är tiotals år gamla, vilket i så fall skulle vara en del i att så många personer berörs av incidenten.

Vad kan vi lära oss av personuppgiftsincidenten hos Sportadmin?

  • Gå igenom biträdesavtal: Finns det krav på säkerhetsåtgärder? Raderas uppgifter löpande när de inte längre behövs? Hur regleras ansvar vid incidenter?
  • Dokumentera riskbedömningar: Vad har gjorts innan en eventuell incident?
  • Säkerställ att leverantören följer GDPR – innan den inträffar!

Morling Consulting följer utvecklingen av IMY:s tillsyn. Våra GDPR-experter bistår vid granskning av personuppgiftsbiträdesavtal, rådgivning om barns integritetsskydd och juridiskt stöd vid incidenthantering. Vi hjälper er att agera korrekt om en incident har inträffat – och att förebygga nästa.