IMY:s sanktionsavgift mot Sportadmin – vad innebär kraven på IT-säkerhet i praktiken?

Se som Markdown
6 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 26 januari 2026
  1. Vad hände i Sportadmin-ärendet?
  2. IMY:s bedömning: bristande säkerhetsnivå och passivitet
  3. Artikel 32 GDPR – vad innebär kravet på ”lämplig” säkerhet?
  4. Vad kan andra organisationer dra för slutsatser?
  5. Vanliga svagheter i arbetet med IT-säkerhet enligt GDPR
  6. När kan det vara läge att ta in juridisk kompetens?

Integritetsskyddsmyndigheten (IMY) har beslutat om en sanktionsavgift på 6 miljoner kronor mot Sportadmin efter ett omfattande IT-angrepp. I angreppet kom en stor mängd personuppgifter på villovägar, bland annat uppgifter om barn och unga. IMY bedömer att bolaget inte haft en säkerhetsnivå som motsvarar de risker som behandlingen inneburit och konstaterar att kraven i artikel 32 i dataskyddsförordningen (GDPR) har överträtts – ett exempel på situationer där stöd från en erfaren GDPR-jurist kan vara avgörande för att säkerställa rätt nivå på tekniska och organisatoriska säkerhetsåtgärder.

Ärendet illustrerar hur höga krav som ställs på tekniska och organisatoriska säkerhetsåtgärder när man hanterar stora datamängder och känsliga personuppgifter, särskilt när barn är registrerade. Det är inte tillräckligt att ha grundläggande IT-skydd – säkerheten måste vara riskbaserad, aktivt förvaltad och kontinuerligt utvecklad.

Vad hände i Sportadmin-ärendet?

Bakgrunden till IMY:s beslut är ett IT-angrepp mot Sportadmin i januari 2025. Angriparen kom då över uppgifter om fler än 2,1 miljoner personer, uppgifter som därefter publicerades på Darknet.

De läckta uppgifterna omfattade bland annat:

  • namn och kontaktuppgifter,
  • personnummer,
  • vilken idrott och förening den registrerade var kopplad till,
  • uppgifter om hälsa, det vill säga särskilda kategorier av personuppgifter, och
  • i viss omfattning skyddade personuppgifter.

En stor del av uppgifterna avsåg barn och unga. När uppgifter om barn, hälsa och skyddade personuppgifter hamnar i fel händer kan konsekvenserna bli långvariga och svåra att överblicka. IMY framhåller också att föräldrar ska kunna känna sig trygga med att det finns lämpliga säkerhetsåtgärder när de lämnar uppgifter om sina barn i den här typen av system.

IMY:s bedömning: bristande säkerhetsnivå och passivitet

IMY:s granskning visar på både tekniska och organisatoriska brister i Sportadmins hantering. En central del i bedömningen är att bolaget under längre tid före angreppet känt till svagheter i sina system och områden där risken för angrepp varit förhöjd.

Bolaget har visserligen vidtagit vissa åtgärder, men IMY bedömer att arbetet inte varit tillräckligt. Myndigheten pekar bland annat på att:

  • kända svagheter funnits under längre tid utan att tillräckliga åtgärder genomförts,
  • det saknats rutiner för att upptäcka brister i befintliga säkerhetsåtgärder, och
  • bolaget saknat ett system för att i realtid upptäcka intrång och intrångsförsök.

IMY lyfter att IT-angrepp aldrig helt kan uteslutas, men att den personuppgiftsansvarige måste ha en säkerhetsnivå som är anpassad till de personuppgifter som behandlas. Om bättre detekterings- och övervakningsåtgärder hade funnits på plats hade Sportadmin haft bättre möjligheter att förebygga eller åtminstone begränsa skadan.

Mot denna bakgrund finner IMY att Sportadmin brutit mot artikel 32 i GDPR och beslutar om en sanktionsavgift på 6 miljoner kronor.

Artikel 32 GDPR – vad innebär kravet på ”lämplig” säkerhet?

Artikel 32 i GDPR innehåller det generella kravet på säkerhet i samband med behandling av personuppgifter. Bestämmelsen bygger på en riskbaserad modell: säkerhetsnivån ska vara lämplig i förhållande till de risker som behandlingen innebär för de registrerades rättigheter och friheter.

Vid bedömningen ska man bland annat ta hänsyn till:

  • behandlingens art, omfattning, sammanhang och ändamål,
  • om det rör sig om särskilda kategorier av personuppgifter, exempelvis hälsa,
  • om barn är registrerade, och
  • sannolikhet och allvar för potentiella negativa konsekvenser.

Artikel 32 nämner exempel på säkerhetsåtgärder som kan bli aktuella, exempelvis kryptering, behörighetsstyrning, förmåga att upprätthålla konfidentialitet, riktighet och tillgänglighet samt regelbunden testning och utvärdering av säkerhetsåtgärder. Vilken kombination av åtgärder som krävs i det enskilda fallet är en bedömningsfråga, men kravet på systematik och dokumentation är tydligt.

Vad kan andra organisationer dra för slutsatser?

Även om beslutet specifikt rör Sportadmin är resonemangen relevanta för många andra aktörer: idrottsföreningar, förbund, plattformsleverantörer, SaaS-bolag och andra organisationer som hanterar stora mängder personuppgifter.

  • Barns och känsliga uppgifter kräver högre skydd – hanterar ni uppgifter om barn, hälsa eller skyddade personuppgifter måste säkerhetsnivån ligga på en hög nivå.
  • Kända brister måste prioriteras – att känna till svagheter utan att agera tillräckligt snabbt kan väga tungt vid en tillsyn.
  • Detektering är en del av säkerheten – loggning, övervakning och möjlighet att upptäcka intrång i realtid är en central del av artikel 32-perspektivet.
  • Säkerhet är mer än teknik – organisatoriska aspekter som rutiner, ansvarsfördelning och uppföljning är lika viktiga som tekniska lösningar.

För den som är personuppgiftsansvarig räcker det inte att hänvisa till sin leverantör. Man behöver kunna visa att man bedömt och följt upp leverantörens säkerhetsnivå, särskilt när det gäller tjänster som hanterar många registrerade eller särskilt skyddsvärda uppgifter.

Vanliga svagheter i arbetet med IT-säkerhet enligt GDPR

Sportadmin-ärendet belyser några återkommande svagheter som ofta ger upphov till frågor i praktiken:

  • Otillräcklig riskanalys – man har inte gjort en uppdaterad, dokumenterad bedömning av vilka risker behandlingen faktiskt innebär.
  • Oprioriterade sårbarheter – brister i säkerheten är kända men hamnar längst ned på att-göra-listan.
  • Brist på övervakning – loggning, larm och realtidsövervakning är svagt utvecklade eller saknas helt.
  • Otydlig ansvarsfördelning – det är oklart vem som bär ansvar för olika delar av säkerhetsarbetet, både internt och i relationen till leverantörer.
  • Avsaknad av löpande förbättring – säkerheten ses som ett projekt istället för en återkommande process med uppföljning och revidering.

När kan det vara läge att ta in juridisk kompetens?

Frågor om IT-säkerhet enligt GDPR ligger ofta i skärningspunkten mellan juridik och teknik. Juridisk rådgivning kan vara särskilt värdefull när:

  • ni upphandlar eller omförhandlar system som ska hantera stora mängder personuppgifter eller känsliga uppgifter,
  • ni behöver utforma eller uppdatera ert säkerhetsramverk enligt artikel 32,
  • ni vill tydliggöra ansvarsfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde, och
  • ni har drabbats av en incident och behöver bedöma anmälningsplikt och information till registrerade.

Ett strukturerat arbete enligt GDPR handlar ytterst om förtroende – att registrerade, kunder, medlemmar och föräldrar ska kunna lita på att deras uppgifter hanteras ansvarsfullt.

På Morling Consulting hjälper våra dataskyddsjurister företag, föreningar och digitala tjänsteleverantörer att analysera risker, bygga upp lämpliga säkerhetsåtgärder och ta fram avtal och rutiner som står sig vid granskning enligt GDPR.

Bild i svartvitt av Morling Consultings grundare Felix Morling.

Artikel skriven av:

Felix Morling

Senaste inlägg

Ljus dashboard med tre upphöjda kort som visualiserar tillsynens tre spår: systemstabilitet, ekonomisk brottslighet och konsumentskydd, med små accentdetaljer i orange.

6 februari 2026

Finansinspektionens tillsynsprioriteringar 2026 – detta behöver finansiella företag hantera nu
Läs mer
bilden visar två jurister och en checklista.

6 februari 2026

Juridiska fallgropar mindre organisationer
Läs mer
Illustration i Material Design som visar tre jurister framför symboler för AI-krets, lekplats och övervakning, som representerar IMY:s fokusområden offentlig AI, barns integritet och brottsbekämpning.

5 februari 2026

IMY:s prioriteringar 2026 – vad betyder de för din organisation?
Läs mer