NIF mottok i desember i fjor en henvendelse fra Nasjonal sikkerhetsmyndighet (NSM) om et varsel de fikk fra sikkerhetsmyndighetene i Irland. Varselet gjaldt et uttrekk med personopplysninger som var tilgjengelig uten tilgangskontroll via en IP-adresse.
Gjennom å gå inn via en IP-adresse var det mulig å søke på personer i databasen som følge av en feil i konfigureringen i forbindelse med testing av flytting av database fra et fysisk servermiljø og opp i skyen. NIF rettet den utilsiktede feilen og meldte det til Datatilsynet umiddelbart da vi ble gjort kjent med saken.
Dataene som ble eksponert, inneholdt 3,2 millioner oppføringer – og inneholdt navn, alder, klubbtilhørighet og kontaktopplysninger i form av adresse, e-postadresser og mobiltelefonnummer.
– NIF beklager på det sterkeste at denne hendelsen skjedde, og ikke minst omfanget av de opplysninger som ble eksponert eksternt. Samtidig er jeg trygg på at de tiltakene vi iverksatte i etterkant av hendelsen, minimerer risiko for at dette kan skje igjen, sier generalsekretær Karen Kvalevåg og legger til:
– I vår vurdering har vi anført at det er lite sannsynlig at personopplysningene har kommet på avveie. Vi mener det heller ikke er en sannsynlighetsovervekt for at det foreligger en materiell eller ikke-materiell skade som følge av hendelsen. Vi konstaterer at Datatilsynet deler vår vurdering på dette, sier Kvalevåg.
NIF har i etterkant av hendelsen utbedret interne rutiner knyttet til flytting av data til skytjenester, inkludert et styrket fokus på informasjonssikkerhet. Ytterligere tekniske sikkerhetsløsninger mot skytjenester er også aktivert for å hindre uautorisert tilgang.
– Jeg vil også presisere at hendelsen ikke knytter seg til sårbarheter i NIFs digitale plattform, og at vi mener at personopplysninger håndteres på en forsvarlig måte i idrettens digitale tjenester, sier Kvalevåg.
Datatilsynets begrunnelse
Datatilsynet begrunner vedtaket om overtredelsesgebyr med at det er et klart brudd på flere grunnleggende plikter om behandling av personopplysninger, herunder kravet om rettslig grunnlag og krav til sikkerhet. Manglende rettslig grunnlag er relatert til at en i dette tilfellet brukte reelle persondata til testformål, og at en gjorde et komplett uttrekk av databasen.
Ifølge Datatilsynet berører hendelsen i hovedsak kontaktopplysninger, i tillegg til opplysninger om fødselsdato og klubbtilhørighet for 3,2 millioner personer uten rettslig grunnlag, langt utover den behandling som var nødvendig for formålet, uten tilstrekkelig risikovurderinger og på en måte som ikke ivaretok sikkerheten ved behandlingen. Dataene inneholdt ikke særlige kategorier personopplysninger, men inneholdt opplysninger om et ikke ubetydelig antall mindreårige fordelt på alderen 13-17 år.
– Norges idrettsforbund tar Datatilsynets begrunnelse for utstedelse av overtredelsesgebyr til etterretning, men vil samtidig ta en vurdering av gebyrets størrelse som vi oppfatter som urimelig høyt. Dette skyldes blant annet usikkerhet om Datatilsynet har benyttet relevant inntektsgrunnlag i beregningen av gebyret, og at konsekvensene av hendelsen mest sannsynlig har vært minimale for de berørte, avslutter Kvalevåg.