IMY utfärdar mångmiljonböter till Sportadmin efter dataläcka
Företaget Sportadmin ska betala sex miljoner kronor i sanktionsavgift efter att ha drabbats av en cyberattack i januari 2025, där känsliga uppgifter om över två miljoner svenskar läckte. IMY bedömer att Sportadmins bristande it-säkerhet innebär ett brott mot GDPR.
Integritetsskyddsmyndigheten är klar med sin granskning av dataintrånget mot Sportadmin, där personuppgifter om drygt två miljoner svenskar stals och publicerades på darknet. IMY bedömer att företaget hade stora brister i sin säkerhet, vilket möjliggjorde och förvärrade intrånget.
Företaget har, enligt IMY, känt till att det funnits svagheter i systemet men inte gjort tillräckligt för att åtgärda dem. Vidare har det saknats rutiner för att upptäcka säkerhetsbrister och intrångsförsök.
Bryter mot GDPR
Sportadmin bedöms nu ha brutit mot artikel 32 i GDPR, och ska betala en sanktionsavgift på sex miljoner kronor.
– It-angrepp och dataläckor går aldrig helt att utesluta, men man är skyldig att ha en säkerhetsnivå anpassad till de personuppgifter man hanterar. Sportadmin har inte haft det och det har funnits en passivitet i att hantera kända risker, säger Eric Leijonram, generaldirektör på IMY, i ett uttalande.
Kungafamiljen och politiker drabbades
Sportadmin är en app som används av idrottsföreningar, vilket innebär att många av de läckta uppgifterna berör barn. Dessutom omfattades högt uppsatta politiker och personer med skyddade personuppgifter i läckan. Även Prins Carl Philips hemliga nätalias, mejladress och konto på en löpartjänst som visade var och när han brukar motionera framkom i materialet.
Attacken var en ransomwareattack utförd av en grupp som kallas Ransomhub. Sportadmin uppger att de inte har betalat utpressarna några pengar. Intrånget ägde rum i januari 2025, och i mars samma år publicerade Ransomhub det stulna materialet på sin sajt på darknet.
Läs mer om ämnet: