DN har i flera artiklar kunnat berätta om omfattningen av den stora dataläckan från appen Sportadmin. Två miljoner svenskar, tusentals med skyddade personuppgifter, högt uppsatta politiker och även kungafamiljen har fått sin information läckt på darknet av en kriminell hackargrupp, som utförde ett dataintrång mot Sportadmin i januari.
Sedan dess har Integritetsskyddsmyndigheten, IMY, tagit emot 1 654 anmälningar om incidenten. Att det är så många beror på att de enskilda föreningarna – inte Sportadmin – är så kallat personuppgiftsansvariga och därmed juridiskt ansvariga för informationen. Föreningarna behövde därför lämna in en anmälan var och en.
Det har rest frågor om Sportadmins ansvar och vilka konsekvenser läckan kan få för företaget. Enligt jurister specialiserade på dataskydd kan Sportadmin inte helt lägga över ansvaret på föreningarna. Men reglerna är inte glasklara.
– Jag hoppas verkligen att Integritetsskyddsmyndigheten tar chansen och granskar det som har hänt. Det är Sveriges största läcka och informationen är så otroligt känslig. Det skulle vara ett bra tillfälle för myndigheten att bidra med vägledning för var gränsen går mellan de olika rollerna, säger Caroline Olstedt Carlström, advokat och ordförande för organisationen Forum för dataskydd som samlar experter inom området.
Grundregeln är att den personuppgiftsansvariga ansvarar för frågor som rör säkerheten, även i lagringstjänster som anlitas. Men det betyder inte att en plattformsleverantör klarar sig undan från ansvar.
I fallet Sportadmin ställs den frågan på sin spets: Kan en liten idrottsförening med 50 medlemmar väntas ta ansvar för it-säkerheten mer än Lime Technologies, det börsnoterade företaget bakom Sportadmin, som omsätter hundratals miljoner kronor årligen?
Caroline Olstedt Carlström har tagit del av avtal mellan föreningar och appens ägare. Hon reagerade på en punkt: Sportadmin har lyckats få igenom skrivningar som gör föreningarna ansvariga, men som inte ställer några riktiga krav på att Sportadmin ska ha tillräckligt bra it-säkerhet.
– Normalt sett brukar inte den tekniska tjänsten anses ansvarig. Men det här är ett skolboksexempel på när kunderna inte har haft något att säga till om, säger hon.
Daniel Westman, jurist specialiserad på it-frågor, håller med. Den som driver tjänsten där uppgifterna lagras – personuppgiftsbiträdet som det kallas – har också krav på sig.
– Biträdet har, utan att det påverkar den personuppgiftsansvariges ansvar, ett självständigt ansvar att ha en godtagbar säkerhet för den tjänst man erbjuder och kan drabbas av sanktionsavgifter och skadeståndsansvar om man inte anses leva upp till detta, säger han.
IMY har ansvar för personuppgifts- och GDPR-frågor i Sverige. Myndigheten kan granska företag som har brustit i sitt skydd och utfärda straffavgifter. Som mest kan de uppgå till fyra procent av ett företags omsättning. För Lime Technologies skulle det kunna betyda tiotals miljoner kronor.
Myndigheten har ännu inte beslutat om någon formell granskning av Sportadmin. Men dörren är inte stängd: ”IMY har varken ’friat’ eller ’fällt’ någon aktör i samband med händelsen. Den anmälan om personuppgiftsincident som Sportadmin gjorde till IMY är fortsatt ett öppet ärende”, skrev myndigheten den 18 mars.
Förutom anmälningarna från föreningar har 20 enskilda personer vänt sig till IMY med klagomål efter läckan. Flera av dem vittnar om att de inte har varit aktiva i föreningarna på flera år, men ändå finns kvar i registren.
”De borde ha rensat mina uppgifter för länge sedan”, skriver en anmälare.
DN har sökt Sportadmin, där affärsområdeschef Henrik Lehmann svarar skriftligt.
”Sportadmin har aldrig försökt frånskriva sig ansvar för incidenten”, skriver han om ansvarsfrågan och kritiserar i stället rapporteringen om dataintrånget:
”Det som vi utsatts för är en attack från en kriminell hotaktör som tagit sig in i Sportadmin och stulit data från våra föreningar som sedan publicerats och återpublicerats via olika media.”
Angående avtalen med föreningarna skriver han: ”Ambitionen är att våra avtal ska vara tydliga vad gäller ansvarsfördelning. Det finns alltid utrymme för utveckling och förbättring för att säkerställa att det blir ännu tydligare framöver.”
Har Sportadmin försökt lägga över ansvar på små ideella föreningar med små resurser, för att slippa ansvar vid en incident?
”Sportadmin är sprunget ur föreningslivet och vi har aktivt tagit en koordinerande roll för att hjälpa alla våra 1 700 föreningar under hanteringen av incidenten och funnits där som stöd – eftersom vi är ytterst medvetna om att det finns begränsade resurser i föreningarna.”
Läs mer:
Jätteläckan visar detaljer ur prinsens liv på nätet
Två miljoner svenskar avslöjas – kan vara största läckan hittills
