1. Inledning
Integritetsskyddsmyndigheten (IMY) har den 26 januari 2026 efter tillsyn enligt Dataskyddsförordningen (1) meddelat beslut mot Sportadmin i Skandinavien AB, nedan
Sportadmin. Beslutet avser en personuppgiftsincident som inträffat i januari 2025 och somomfattat personuppgifter för drygt två miljoner personer, huvudsakligen barn och ungdomar.
IMY har konstaterat att Sportadmin har brustit i sina skyldigheter enligt artikel 32.1 Dataskyddsförordningen genom att inte ha vidtagit lämpliga tekniska och organisatoriska
säkerhetsåtgärder och har därför beslutat att påföra bolaget en administrativ sanktionsavgift om sex miljoner kronor.
Beslutet är av särskilt intresse ur ett dataskyddsrättsligt perspektiv eftersom det ger vägledning om hur kravet på en riskbaserad säkerhetsnivå enligt Dataskyddsförordningen ska tillämpas i praktiken.
2. Bakgrund till incidenten och IMY:s tillsyn
Sportadmin tillhandahåller digitala kommunikationstjänster till idrottsföreningar, bland annat för medlemshantering, fakturering och intern kommunikation. I januari 2025 utsattes
bolagets system för ett dataintrång genom en extern angripare. Intrånget genomfördes den 16 januari 2025 genom en så kallad SQL-injektion via en variabel i en av Sportadmins webbsidor som saknade skydd mot denna typ av attacker. Av utredningen framgår att upprepade försök till SQL-injektioner hade förekommit redan dagarna innan intrånget upptäcktes.
Sårbarheten har uppkommit i samband med en kodändring i juni 2022, då en befintlig variabel återanvänts utan att omfattas av bolagets skydd mot SQL-injektioner. Den oskyddade
variabeln har därefter använts direkt vid kommunikation med databasen, vilket möjliggjort intrånget. På grund av alltför generösa behörigheter i de berörda systemen kunde angriparen bereda sig tillgång till servermiljön och föra ut data. Den 14 mars 2025 har den uthämtade informationen, innehållande personuppgifter, publicerats på Darknet.
IMY:s tillsyn har fokuserat på huruvida Sportadmin, före och vid tidpunkten för incidenten, hade vidtagit sådana säkerhetsåtgärder som krävs enligt artikel 32 Dataskyddsförordningen
för att skydda de personuppgifter som behandlats i bolagets tjänster.
3. Kravet på lämpliga skyddsåtgärder och IMY:s riskbedömning
Enligt artikel 32.1 Dataskyddsförordningen ska personuppgiftsansvariga och personuppgiftsbiträden vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till riskerna med behandlingen. Bedömningen ska göras utifrån bland annat behandlingens art, omfattning och ändamål samt de risker som behandlingen innebär för de registrerades rättigheter och friheter. IMY framhåller i beslutet
att Dataskyddsförordningen bygger på ett riskbaserat angreppssätt och att kravet inte är ett absolut skydd mot alla incidenter, utan att vidtagna åtgärder ska vara proportionerliga och
tillräckliga i ljuset av kända eller förutsebara risker.
IMY har bedömt att behandlingen i Sportadmins tjänster varit förenad med särskilt höga risker, främst mot bakgrund av det stora antalet registrerade, att merparten av dessa varit barn samt att behandlingen omfattat både känsliga personuppgifter och särskilt skyddsvärda uppgifter såsom personnummer. Ett obehörigt röjande eller obehörig åtkomst till dessa uppgifter skulle enligt IMY medföra allvarliga konsekvenser för de registrerade, vilket ställt
krav på en hög säkerhetsnivå och effektiva skyddsåtgärder.
Mot denna bakgrund har IMY identifierat tre omständigheter som sammantaget visar att Sportadmin inte har vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder. För
det första har bolagets förebyggande skydd ansetts vara otillräckligt. Trots att risker för SQLinjektioner varit kända under flera år har en oskyddad variabel kvarstått i systemen till följd av
en kodändring redan år 2022. Sportadmin hade dessutom avstått från att införa ytterligare skyddslager, såsom web application firewall (WAF), och tillämpat alltför generösa behörigheter, vilket bidragit till att intrångets omfattning blivit större än nödvändigt.
För det andra har IMY konstaterat brister i bolagets förmåga att upptäcka svagheter i redan vidtagna säkerhetsåtgärder. Den aktuella sårbarheten har varken identifierats vid
kodgranskning eller vid senare säkerhetsgenomlysningar, trots att den enligt IMY varit av grundläggande karaktär och borde ha upptäckts genom löpande uppföljning.
IMY konstaterar att Sportadmins säkerhetsåtgärder för övervakning inte varit tillräckliga för att upptäcka eller varna för intrångsförsöken i ett tidigt skede. Intrångsförsöken har inletts den 14 januari 2025 men uppmärksammats först den 16 januari 2025, när servrarna slutat svara. Mot bakgrund av de höga riskerna i verksamheten bedömer IMY att Sportadmin borde ha haft ett övervakningssystem som möjliggjort automatisk identifiering av intrång eller
intrångsförsök i nära realtid, i syfte att tidigare kunna begränsa konsekvenserna för de registrerade.
4. Vad innebär beslutet för företagen?
IMY:s beslut mot Sportadmin tydliggör att kraven enligt artikel 32 Dataskyddsförordningen är höga, särskilt i verksamheter som behandlar stora mängder personuppgifter om barn och
andra särskilt skyddsvärda uppgifter. Beslutet klargör att identifierade risker inte får stanna vid övergripande bedömningar, utan måste leda till faktiska, verifierbara och kontinuerligt uppföljda säkerhetsåtgärder.
Beslutet visar att kända risker inte kan tillåtas bestå över tid. I Sportadmins fall hade risker för SQL-injektioner identifierats under flera år utan att bolaget säkerställt att samtliga delar av systemen faktiskt omfattats av relevanta skyddsåtgärder. För företag innebär detta att riskanalyser i sig inte är tillräckliga, utan måste kompletteras med systematiska kontroller som säkerställer att åtgärder är korrekt implementerade och fungerar i praktiken, även vid
kodändringar och i tekniskt komplexa miljöer.
Beslutet understryker även vikten av strukturerade rutiner för kodgranskning, förändringshantering och behörighetsstyrning. Subjektiva eller informella granskningsprocesser är inte tillräckliga när risknivån är hög. Företag förväntas i stället ha tydliga krav på granskning, använda automatiserade säkerhetstester och regelbundet se över behörigheter i syfte att begränsa konsekvenserna av ett eventuellt intrång. Vidare klargörs att restriktiv behörighetsstyrning är en grundläggande säkerhetsåtgärd, eftersom alltför generösa rättigheter kan få stor betydelse för ett intrångs omfattning.
Slutligen visar beslutet att förmåga till övervakning i nära realtid är en förväntad del av ett lämpligt säkerhetsskydd vid höga risker. Att enbart förlita sig på manuell logggranskning i
efterhand är otillräckligt. Förmågan att snabbt upptäcka och reagera på intrång eller intrångsförsök kan vara avgörande för att begränsa såväl skador för de registrerade som företagets ansvar enligt Dataskyddsförordningen.
5. HSA Söderqvist Advokatbyrås rekommendationer
HSA Söderqvist Advokatbyrå rekommenderar att företag bör se över sina rutiner kring detekniska och organisatoriska åtgärder som vidtas enligt artikel 32 Dataskyddsförordningen,
för att bedöma om dessa är ändamålsenliga i förhållande till de risker som personuppgiftsbehandlingen innebär. Särskild uppmärksamhet bör ägnas åt hur identifierade risker hanteras i praktiken i hela systemmiljön, hur kodändringar granskas och följs upp, hur behörigheter begränsas samt om det finns förutsättningar att i ett tidigt skede upptäcka och hantera intrång eller intrångsförsök. En sådan översyn kan bidra till att stärka skyddet för
personuppgifter och minska konsekvenserna av eventuella incidenter.
Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå.
Ta del av hela beslutet här: Tillsyn: SportAdmin i Skandinavien AB | IMY
Fotnot:
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän
dataskyddsförordning).
