Datatilsynet har gitt Norges idrettsforbund (NIF) et overtredelsesgebyr på 1.250.000 kroner for brudd på personvernforordningen.
Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.
Dårlige rutiner
Politiet mistet diktafon med sensitive avhør
Datatilsynet vurderer at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.
– Det er svært viktig å teste grundig før en ny løsning settes i produksjon, sier Bjørn Erik Thon, direktør i Datatilsynet.
Datatilsynet varslet opprinnelig et gebyr på 2,5 millioner kroner. NIF hadde ikke innvendinger mot hendelsesbeskrivelsen som Datatilsynets varsel bygget på, men argumenterte i sine merknader for at det varslede gebyret var for høyt.
Basert på nye opplysninger i saken om NIFs organisering og økonomi, har Datatilsynet redusert det varslede gebyret til 1.250.000 kroner.
Svært skjerpende
Norges idrettsforbund har vært tydelig på at episoden var svært uheldig.
– NIF beklager på det sterkeste at denne hendelsen skjedde og ikke minst omfanget av de opplysninger som ble eksponert eksternt. Samtidig er jeg trygg på at de tiltakene vi iverksatte i etterkant av hendelsen, minimerer risiko for at dette kan skje igjen, sa generalsekretær Karen Kvalevåg i desember i fjor.
Datatilsynet la spesielt vekt på at de aktuelle personopplysningene var eksponert i 87 dager, som tilsynet vurderte som en «betydelig periode».
Tilsynet har også pekt på at det er «svært skjerpende» at det i nesten en halv million av tilfellene dreide seg om personer i alderen 13 til 17 år.
Ahus: Pasientopplysninger lå synlig i garderobevindu
