IMY inleder tillsyn mot Sportadmin

Dataintrång i administrationsplattform för föreningar

Integritetsskyddsmyndigheten (IMY) har beslutat att inleda en tillsyn mot företaget Sportadmin. Det framgår av ett pressmeddelande. Bakgrunden är en anmälan om ett dataintrång i företagets digitala tjänst, som används för administration av idrottsföreningar. Enligt dataskyddsförordningen (GDPR) är verksamheter skyldiga att anmäla personuppgiftsincidenter till IMY när sådana inträffar – något Sportadmin har gjort i det här fallet.

Plattformen används av en stor mängd föreningar runt om i Sverige, och IMY har i samband med händelsen mottagit över 1 650 anmälningar om personuppgiftsincidenter från dessa föreningar. Samtliga har uppgett att Sportadmin agerat som personuppgiftsbiträde – det vill säga hanterat personuppgifter på föreningarnas uppdrag.

IMY granskar skyddet av personuppgifter

Med anledning av det inträffade har IMY nu inlett en granskning för att utreda om Sportadmin har vidtagit tillräckliga säkerhetsåtgärder. Tillsynen fokuserar särskilt på vilka tekniska och organisatoriska åtgärder som bolaget implementerat för att skydda de personuppgifter som hanteras via tjänsten.

– Vi ska undersöka vilka tekniska och organisatoriska åtgärder som bolaget har vidtagit för att skydda personuppgifterna som hanteras i bolagets tjänst, säger Viktor Johnsson, jurist på IMY och en av de ansvariga i granskningen.

Stort ansvar vid personuppgiftshantering

Tillsynen mot Sportadmin illustrerar det stora ansvar som åligger företag som hanterar personuppgifter – särskilt när det rör barn och unga, vilket ofta är fallet inom föreningslivet. IMY:s granskning väntas ge svar på om bolaget levt upp till kraven i dataskyddsförordningen, eller om det finns brister som måste åtgärdas.

Utredningen befinner sig i ett tidigt skede, och det är ännu oklart vilka konsekvenser den kan få för Sportadmin.