– En sak vi svært gjerne skulle ha vært foruten. Samtidig har vi anført i vår redegjørelse at persondata med all sannsynlighet ikke har kommet på avveie. Datatilsynet konstaterer det samme , sier generalsekretær Karen Kvalevåg til VG.

– Vi oppfatter gebyrets størrelse som urimelig høyt, og vil avvente hvorvidt vi vil akseptere beløpets størrelse etter behandling av saken i idrettsstyret, fortsetter Kvalevåg.

I brevet fra Datatilsynet legger de særlig to forhold til grunn for at de ser alvorlig på saken:

* Personopplysningene var eksponert i 87 dager, noe Datatilsynet vurderer som «en betydelig periode».

* I nesten en halv million av tilfellene, handlet det om «mindreårige», i alderen 13–17 år. Datatilsynet mener dette er «svært skjerpende».

Det var sikkerhetsmyndighetene i Irland som oppdaget glippen og som varslet Nasjonal sikkerhetsmyndighet, som igjen henvendte seg til Norges Idrettsforbund. NIF meldte så umiddelbart fra til Datatilsynet.

– NIF avdekket at tilgangen hadde vært åpen i 87 dager, og satte umiddelbart i gang tiltak for å stoppe tilgangen. De berørte er medlemmer, frivillige og andre personer med tilknytning til norsk idrett, totalt ca. 3,2 millioner personer. Av disse var 486 447 mindreårige, fordelt på alderen 3-17 år, skriver Datatilsynets direktør Bjørn Erik Thon og hans juridiske rådgiver Anders Sæve Obrestad i brevet til NIF.

– Barn er en sårbar gruppe. At overtredelsen omfatter personopplysninger om mindreårige i en så stor skala, vurderer også Datatilsynet som en svært skjerpende omstendighet, heter det videre i brevet.

Dataene det handlet om, var navn, alder, klubbtilhørighet og kontaktopplysninger i form av adresse, epost-adresser og mobiltelefonnummer.

– Hvor alvorlig er denne saken for NIF?

Generalsekretær Karen Kvalevåg svarer:

– Det er ingen tvil om at dette er en alvorlig sak, og NIF beklager på det sterkeste at dette skjedde. Samtidig er jeg trygg på at vi har lært, og vi har skjerpet rutinene for internkontroll, informasjonssikkerhet og risikovurderinger for å minimere risikoen for at det skal skje igjen.

Når det gjelder vurderingen av om NIF skal protestere på beløpets størrelse, peker Kvalevåg på flere forhold som gjør at hun mener gebyret er for høyt:

– Som nevnt har vi vurdert at det er lite sannsynlig at personopplysningene har kommet på avveie. Vi konstaterer at Datatilsynet deler vår vurdering av dette.

– Datatilsynet mener at «NIF har økonomi til å bære et overtredelsesgebyr»?

– Det har vi registrert, men vi er usikre på om driftsinntektene som Datatilsynet har oppgitt, er riktig da de skulle vurdere om NIF har økonomi til å bære et slikt overtredelsesgebyr. Vi mener også at dette bør vurderes ut fra at vi er en frivillig organisasjon, og at det er lite mindre sannsynlig at eksponeringen har gitt skade for de berørte.

– Vil du som generalsekretær vurdere din stilling som følge av denne saken?

– Som øverste leder i NIFs administrasjon tar jeg naturligvis ansvar for denne svært uheldige hendelsen. Vi har lært av dette, og umiddelbart etter hendelsen strammet vi inn rutinene. Jeg har stor tillit til at de nye rutinene blir fulgt opp i praksis, slik at vi minimerer risikoen for uønskede hendelser i fremtiden. For øvrig er det opp til Idrettsstyret å bestemme om de har tillit til meg.

– Datatilsynet peker på at NIF har hatt gamle informasjonssystemer som har gjort det vanskelig å gjøre oppdateringer, samtidig som dere har fått begrenset med midler fra Kulturdepartementet. Må departementet ta en del av skylden?

– Nei, Kulturdepartementet har definitivt ikke noe ansvar for denne hendelsen. Det ansvaret ligger utelukkende på NIF. Samtidig er vi en frivillig organisasjon som er helt avhengig av tilskuddene vi får gjennom spillemidlene. Vi har en god dialog om dette, og vi har nå søkt om ekstra tilskudd til drift og sikkerhet som er særdeles viktig i en tid med et stadig mer komplekst trusselbilde.

– Kan idretts-Norge stole på at persondata ikke kommer på avveie i fremtiden?

– De kan føle seg trygge på at persondata blir behandlet på en trygg og god måte i tråd med gjeldende lover og regler. Det gjelder alle tjenester som vi leverer til norsk idrett.

Hendelsen høsten 2019 skjedde da Norges Idrettsforbund skulle teste flytting av data til skyen, altså ikke i en normal driftssituasjon. Pål Rønnevik, leder for NIF digital, forteller til VG:

– Dataene våre har tidligere ligget i en svær mastodont av en database på Ullevaal stadion. Dette skjedde da det skulle testes ut å flytte data over til skytjenester. Vi burde ikke ha brukt reelle personopplysninger i en slik test. Neste feil var at det ble generert en åpen ip-adresse åpent som teoretisk kunne gi uautorisert tilgang til personopplysninger. Og feil nummer tre var at vi lot dem ligge der også etter at vi hadde forkastet løsningen.

– Dette var i strid med egne rutiner, men det sier ikke noe om at vi har dårlig datasikkerhet. Rutinene var på plass, men under min ledelse ble de dessverre ikke fulgt i denne situasjonen. Dette var en feil som ble gjort ved uttesting og flytting av reelle data til skytjenester, sier Rønnevik.

– Hvor utsatt var personopplysningene?

– Om noen hadde klart å komme seg inn i test-databasen, så måtte de i så fall søke opp en og en person. Det var ikke mulig å laste ned alle persondataene samtidig. Det var heller ingen sensitive personopplysninger i testmiljøet. Dette har også Datatilsynet gitt oss støtte i, sier NIFs digitalsjef.

– Eksterne måtte kjenne til IP-adressen eller gjøre målrettede søk for å finne tjenesten, og det er ingen indikasjoner i loggene på at eksterne har foretatt søk. Det er likevel beklagelig at personopplysninger teoretisk sett var tilgjengelige.

– Er det riktig, som Datatilsynet antyder, at det er utdatert teknologi?

– Vi driver med et stort digitaliseringsløft for norsk idrett og som omfatter flytting av tjenester og bruk av ny teknologi. NIF har derfor vært opptatt av å sikre at vi utvikler egen kompetanse og sikrer oss samarbeid med gode tredjeparter knyttet til bruk av skytjenester og ny «arkitektur». Vi har gjennomført gode analyser og risikovurderinger knyttet til overgang til skytjenester og opplever også at vi har god kontroll i dette arbeidet, mener Pål Rønnevik.