För investerare
Gå till MyFondia

6 miljoner kronor i böter – därför brast säkerheten hos Sportadmin

Nellie Berntsson
Nellie Berntsson
Insikter
27 januari 2026

IMY har nyligen beslutat om en sanktionsavgift på 6 miljoner kronor mot Sportadmin efter ett dataintrång som drabbade över 2 miljoner personer, varav majoriteten barn.

Vad gick fel? Och viktigast – vad kan ditt företag lära sig?

Ta del av Nellie Berntssons artikel!

Ett dataintrång med stora konsekvenser

Den 26 januari 2026 beslutade Integritetsskyddsmyndigheten (IMY) att Sportadmin i Skandinavien AB hade behandlat personuppgifter i strid med dataskyddsförordningen genom att inte vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för personuppgifter i sina tjänster, och påförde bolaget en administrativ sanktionsavgift på 6 000 000 kronor.

Personuppgiftsincidenten omfattade över 2 miljoner fysiska personer, identifierbara via personnummer, varav majoriteten var barn och ungdomar. Intrånget skedde genom ett säkerhetshål i webbplatsen, och all stulen data publicerades på Darknet.

Detta beslut innehåller viktiga lärdomar för alla företag som behandlar personuppgifter, särskilt företag som hanterar integritetskänslig information.

De avgörande bristerna enligt IMY

Otillräckligt skydd mot kända säkerhetshot

Sportadmin visste sedan 2021 om risken för hackerangrepp men glömde att skydda en del av koden vid en uppdatering 2022. När bolaget 2024 övervägde att införa extra skydd avbröts detta på grund av kostnader och komplexitet, ett skydd som hade kunnat förhindra intrånget.

Bristfälliga rutiner för kodgranskning

Sportadmins säkerhetskontroller hade flera brister. Bland annat att riskbedömningen var för begränsad, kombinationen av en tekniskt komplex miljö där äldre (legacy) kod blandades med nyare implementeringar, bidrog till att den aktuella sårbarheten inte identifierades och kodgranskningen var för personberoende och otydlig.

Otillräcklig övervakning och upptäckt av intrång

Sportadmins övervakningssystem slog inte larm för de misstänkta aktiviteterna när intrånget skedde utan larmet kom först två dagar senare när en server kraschade. IMY konstaterade att övervakningssystemet var otillräckligt då det varken kunde upptäcka intrångsförsöken, den skadliga koden eller när personuppgifterna stals.

För höga behörigheter i system

Systemanvändarna hade för stora behörigheter. Detta berodde delvis på tekniska krav från gamla system, och delvis på att Sportadmin inte hade full kontroll. IMY påpekade att begränsade användarbehörigheter är en grundläggande säkerhetsåtgärd.

Varför bedömde IMY överträdelsen som allvarlig?

IMY bedömde att överträdelsen var av hög allvarlighetsgrad, baserat på följande faktorer:

  • Över 2 miljoner fysiska personer, identifierbara via personnummer, omfattades av incidenten

  • De aktuella personuppgifterna gällde huvudsakligen barn som är särskilt skyddsvärda enligt GDPR

  • Tjänsterna innehöll känsliga personuppgifter om hälsa i form av allergier och funktionsnedsättningar samt skyddade personuppgifter

  • Sportadmin hade under flera års tid identifierat förhöjda risker för hackerangrepp, men låtit bli att vidta tillräckliga säkerhetsåtgärder, vilket visade på en hög grad av oaktsamhet

Förmildrande omständighet

IMY beaktade, som förmildrande omständighet, att Sportadmin aktivt hjälpt alla drabbade föreningar att anmäla incidenten till IMY i tid. Sportadmin fungerade också som central kontaktpunkt mellan IMY, bolaget och föreningarna, och hjälpte föreningarna att informera de drabbade individerna så att dessa kunde vidta åtgärder för att skydda sina personuppgifter.

Praktisk checklista

Tekniska säkerhetsåtgärder

  • Implementera skydd mot kända attacker. Säkerställ ett adekvat skydd mot hackerangrepp.

  • Tillämpa principen om minsta behörighet. Granska och begränsa användarbehörigheter i system och databaser. Säkerställ att användare endast har de rättigheter som krävs för sitt arbete.

  • Implementera effektiv övervakning i realtid. Implementera system som automatiskt upptäcker intrångsförsök och säkerhetsrelaterade händelser. Sätt upp automatiska larm för misstänkt aktivitet.

  • Hantera äldre system och inventera om och var äldre kod används i er miljö. Tillämpa extra säkerhetsåtgärder om äldre system används. Planera för systematisk modernisering.

  • Säkerställ regelbundna säkerhetskopior och inför nödvändiga säkerhetsåtgärder utifrån vilken typ av personuppgifter som ni hanterar i er verksamhet.

Organisatoriska säkerhetsåtgärder

  • Skapa eller se över era rutiner för kodgranskning. Skapa tydliga och objektiva riskbedömningskriterier. Överväg särskild granskning vid ändringar som berör äldre kod.

  • Genomför regelbundna riskbedömningar. Utför årliga genomlysningar av IT-säkerhet och dataskydd. Identifiera och dokumentera kända risker och säkerställ att identifierade risker åtgärdas inom rimlig tid. Glöm inte att följa upp vidtagna säkerhetsåtgärder.

  • Dokumentera era säkerhetsåtgärder. Ta fram eller uppdatera er dokumentation över vidtagna säkerhetsåtgärder. Dokumentera riskbedömningar och beslut om åtgärder.

  • Utbilda er personal. Säkerställ god medvetenhet kring säkerhetsrisker, incidenthantering och företagets säkerhetspolicyer.

Det här missar många när de bedömer GDPR-säkerhet

Om ert företag behandlar:

  • Barns personuppgifter så gäller högre säkerhetskrav. Barn är särskilt skyddsvärda enligt GDPR.

  • Känsliga personuppgifter (hälsa, funktionsnedsättningar, etc.) kräver extra starka säkerhetsåtgärder och särskilt undantag i GDPR.

  • Stora mängder personuppgifter medför en ökad risk och därmed högre säkerhetskrav.

  • Personuppgifter som ett personuppgiftsbiträde så har ni samma ansvar för säkerhetsåtgärder enligt artikel 32 som personuppgiftsansvariga.

Det är viktigt att tänka på:

  • Identifierade risker måste åtgärdas, att känna till en risk men inte agera på den är oaktsamt.

  • Säkerhetsåtgärder måste vara effektiva, det räcker inte att bara ha åtgärder på papper.

  • Övervakning i realtid är nödvändigt, ni måste kunna upptäcka intrång innan en skada sker.

  • Kodgranskning och testning är kritiskt, särskilt när äldre och ny kod blandas.

  • Investera proaktivt, kostnaden för att förebygga är lägre än att hantera en incident.

Fondias experter stöttar dig i frågor relaterade till GDPR

Kontakta vårt team av experter inom dataskydd om ni är osäkra på om era säkerhetsåtgärder är tillräckliga, behöver en genomgång av era rutiner eller om ni har andra frågor relaterade till GDPR. Kontakta oss här.

GDPR

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!