Datatilsynet har gitt Norges idrettsforbund (NIF) et overtredelsesgebyr på 1.250.000 kroner for brudd på personvernforordningen.
Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.
Dårlige rutiner
Datatilsynet vurderer at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.
– Det er svært viktig å teste grundig før en ny løsning settes i produksjon, sier Bjørn Erik Thon, direktør i Datatilsynet.
Datatilsynet varslet opprinnelig et gebyr på 2,5 millioner kroner. NIF hadde ikke innvendinger mot hendelsesbeskrivelsen som Datatilsynets varsel bygget på, men argumenterte i sine merknader for at det varslede gebyret var for høyt.
Basert på nye opplysninger i saken om NIFs organisering og økonomi, har Datatilsynet redusert det varslede gebyret til 1.250.000 kroner.
Svært skjerpende
Norges idrettsforbund har vært tydelig på at episoden var svært uheldig.
– NIF beklager på det sterkeste at denne hendelsen skjedde og ikke minst omfanget av de opplysninger som ble eksponert eksternt. Samtidig er jeg trygg på at de tiltakene vi iverksatte i etterkant av hendelsen, minimerer risiko for at dette kan skje igjen, sa generalsekretær Karen Kvalevåg i desember i fjor.
Datatilsynet la spesielt vekt på at de aktuelle personopplysningene var eksponert i 87 dager, som tilsynet vurderte som en «betydelig periode».
Tilsynet har også pekt på at det er «svært skjerpende» at det i nesten en halv million av tilfellene dreide seg om personer i alderen 13 til 17 år.