Den svenske databeskyttelsesmyndighed (IMY) har i januar 2026 pålagt Sportadmin en administrativ bøde på 6 mio. SEK for brud på GDPR’s artikel 32 om passende sikkerhed.
Afgørelsen er bemærkelsesværdig, ikke alene på grund af bødens størrelse, men fordi den også markerer et tydeligt skifte i forståelsen af databehandlerens ansvar.
Budskabet er klart: Det er ikke længere tilstrækkeligt at henvise til, at man blot har fulgt den dataansvarliges instruks.
Faktiske omstændigheder
Sportadmin leverede digitale administrationsløsninger til idrætsforeninger i Sverige. I januar 2025 blev virksomheden ramt af et SQL-injektionsangreb, som førte til uautoriseret adgang til og offentliggørelse af personoplysninger på Darknet.
Over 2 millioner personer blev berørt, hvor de primære registrerede var børn. De kompromitterede oplysninger omfattede både personnumre og helbredsoplysninger.
IMY’s undersøgelse viste, at den sårbarhed, der muliggjorde angrebet, var blevet introduceret allerede i 2022. Risikoen for SQL-injektioner havde været kendt internt i flere år, og virksomheden havde selv identificeret en forhøjet risiko i dele af systemet. Alligevel blev den konkrete svaghed hverken opdaget eller håndteret tilstrækkeligt.
Kodegennemgangen var utilstrækkelig, rettighedsstyringen for vidtgående, og der manglede effektive realtidsmonitorering. Yderligere sikkerhedslag, såsom en web applikation firewall var blevet overvejet, men ikke implementeret.
Dette blev afgørende for myndighedens vurdering.
Ansvarsfordelingen
Sportadmin agerede i vidt omfang som databehandler og blev alligevel direkte sanktioneret.
Afgørelsen fastslår, at GDPR artikel 32 gælder direkte for databehandlere. Ansvaret for at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger er ikke et afledt ansvar, det er et selvstændigt ansvar.
IMY lagde særligt vægt på, at risikoen havde været kendt gennem en længere periode. Organisationen havde selv identificeret en forhøjet risiko, men ikke håndteret den tilstrækkeligt. Dette blev betragtet som uagtsomt. Grundlæggende sikkerhedsforanstaltninger var ikke implementeret konsekvent.
Myndigheden var også tydelig omkring, at omfattende forbedringer efter hændelsen ikke ændrer vurderingen af det oprindelige ansvar. Flere af de foranstaltninger, der blev implementeret efter bruddet, burde have været på plads før. Dette understreger dermed, at databehandleren ikke længere kan indtage en passiv rolle, men må agere proaktivt for at forebygge sikkerhedshændelser.
Hvilken rolle har det i praksis?
Afgørelsen peger på en ændret praksisforståelse.
Databehandlere kan ikke indtage en afventede position og forlade sig på, at den dataansvarlige definerer sikkerhedsniveauet. De skal selv foretage risikobaserede vurderinger og sikre, at de tekniske og organisatoriske foranstaltninger er tilstrækkelige i forhold til de konkrete behandlinger.
Forventningerne til sikkerhedsniveauet er særligt høje, når behandlingen omfatter store datamængder, oplysninger vedrører børn eller når der indgår følsomme og særligt beskyttelsesværdige oplysninger.
Sportadmin-sagen illustrer behovet for modenhed i sikkerhedsarbejdet. Det handler om, at praksis matcher risikobilledet. Risikovurderinger må ikke blot gennemføres formelt, men skal aktivt omsættes til konkrete tekniske og organisatoriske foranstaltninger. Udviklingsprocesser skal indeholde systematiske sikkerhedsgennemgange og rettigheder i systemer skal tildeles restriktivt og følges op på løbende.
Det afgørende spørgsmål er ikke, om man har sikkerhedsforanstaltninger. Det afgørende er, om de er passende i forhold til de konkrete risici, og om man kan dokumentere det.
Konsekvenserne for databehandlere
IMY’s afgørlse gør det klart, at databehandlerrollen ikke medfører ansvarsfrihed. At følge en instruks er ikke tilstrækkeligt, hvis den tekniske og organisatoriske sikkerhed ikke er på plads.
Databehandlere forventes at arbejde risikobaseret, dokumenteret og proaktivt, særligt når der behandles store mænger data, når der indsamles oplysninger på børn eller følsomme personoplysninger. Afgørelsen bør derfor give anledning til at vurdere om jeres sikkerhedsniveau reelt matcher de krav og den praksis, der nu tegner sig.
Har I brug for hjælp til at styrke jeres sikkerhedskompetencer i organisationen, tilbyder vi fleksible e-learningsmoduler inden for informationssikkerhed og databeskyttelse. Løsningen kan tilpasses jeres behov og dokumenterbart redskab til at løfte både viden, praksis og compliance-niveau i organisationen.
Den fulde afgørelse fra IMY kan læses her: Beslut efter tillsyn enligt dataskyddsförordningen – Sportadmin i Skandinavien AB
