Hej,
SportAdmin i Skandinavien AB (SportAdmin) och föreningen informerar genom detta meddelande dig som registrerad i våra system om en personuppgiftsincident som har inträffat och som kan påverka dig. Vi tar våra roller som personuppgiftsansvariga och personuppgiftsbiträde på största allvar och vill förklara vad som har hänt, hur detta kan påverka dig och vilka åtgärder vi vidtar för att skydda dina uppgifter.

Vad har hänt och vad gör vi för att hantera situationen?
Torsdagen den 16 januari utsattes SportAdmin för ett dataintrång av externa angripare. Vi bedömer att personuppgifter kan ingå i den data som angriparna hade tillgång till, men vi kan inte veta säkert att den har spridits.

SportAdmin har snabbt agerat genom att:

• Stänga ner, isolera och säkra våra system.
• Polisanmäla incidenten.
• Kontakta relevanta myndigheter, inklusive Integritetsskyddsmyndigheten (IMY) och Myndigheten för Samhällsskydd och Beredskap (MSB).
• Göra en anmälan till IMY om personuppgiftsincidenten.
• Informera föreningarna om situationen och uppmana föreningarna (i egenskap av personuppgiftsansvariga) att ansluta sig till vår IMY-anmälan.
• Samla ett incidenthanteringsteam.
• Påbörja en grundlig undersökning av incidenten tillsammans med interna och externt anlitade IT-säkerhetsexperter.
• Successivt och säkert återetablera access till tjänsterna.
• Arbeta med interna och externa IT-säkerhetsexperter för att ytterligare stärka våra säkerhetssystem.
• Övervaka våra system för att upptäcka och förebygga ytterligare hot.

Vilka uppgifter berörs?
De uppgifter som kan ha exponerats är all information om dig som finns i SportAdmins system, beroende på din relation till föreningen/föreningarna. Främst rör det sig om namn, personnummer och kontaktuppgifter, men det kan också förekomma andra uppgifter.

Vi vill förtydliga att vi inte har fått någon bekräftelse på att dessa personuppgifter har publicerats eller på annat sätt missbrukats, men det kan inte uteslutas.

Hur kan detta påverka dig?
Om de exponerade uppgifterna används av obehöriga kan detta i värsta fall innebära en risk för t.ex. identitetsstöld, bedrägeriförsök eller annan olovlig användning. I dagsläget har vi ingen bekräftelse på att de exponerade uppgifterna har använts av obehöriga.

Vad kan du göra?

• Var särskilt uppmärksam på misstänkta e-postmeddelanden, telefonsamtal eller annan kommunikation som vid första anblick verkar komma från SportAdmin, din förening eller andra betrodda källor. Klicka inte på länkar som inte kan verifieras.
• Vill du ha fler handfasta råd kring hur man som privatperson kan agera vid denna typ av incident rekommenderar vi att besöka MSB:s hemsida. Där finns en sida som heter ”Digital säkerhet” under ”Råd till privatpersoner”.
• Om du misstänker att dina uppgifter har missbrukats, rapportera detta till Polisen omedelbart.

Är du under 18 år?
Om du är under 18 år och har frågor om det här meddelandet, rekommenderar vi att du i första hand pratar med dina föräldrar eller en annan vuxen i din närhet.

Kontakta oss
Om du har några frågor, kontakta föreningen eller SportAdmin. Vi står till ditt förfogande och vill hjälpa dig på bästa sätt.

Vi beklagar djupt det inträffade och de eventuella olägenheter detta kan orsaka dig. Vi arbetar hårt för att hantera situationen och för att förhindra att något liknande inträffar igen.

Med vänliga hälsningar,
Gimonäs Umeå IF och SportAdmin

_____________________________________________________________

Uppdatering 18 februari

Hej!

Integritetsskyddsmyndigheten (IMY) har den 14 februari beslutat att inte vidta några åtgärder med anledning av personuppgiftsincidenten som inträffade den 16 januari. SportAdmin, i rollen som central kontaktpunkt och personuppgiftsbiträde för er föreningar, har av IMY fått ansvar för att informera er om detta beslut.

Kort och gott innebär beslutet att IMY har sett över vår gemensamma anmälan och bedömt att inga ytterligare tillsynsåtgärder krävs i nuläget - varken hos SportAdmin eller hos er föreningar i egenskap av personuppgiftsansvariga. Ni kan själva läsa IMYs beslut här.

Med IMYs beslut i ryggen kan vi nu lägga delar av den juridiska processen kopplad till cyberattacken bakom oss. Polisutredningen och våra interna utredningar fortsätter, och vi uppdaterar er när vi har ny information att delge.

Vanliga frågor och svar

Vad behöver vi som förening göra?

Ni som förening behöver inte göra någonting i det här skedet, utan kan se beslutet som ett kvitto på att incidenten hanterats på ett korrekt sätt. Ni avgör själv om ni vill informera era medlemmar om detta beslut, men det finns inga krav på det ur ett rättsligt perspektiv.

Vad händer framåt?

IMY kan fortfarande välja att inleda ett tillsynsärende framöver om det framkommer nya uppgifter eller klagomål. Som alltid, inte bara i ljuset av den här typen av incidenter, är det av största vikt att både vi och ni fortsätter arbetet kring dataskydd och säkerhet för att hantera personuppgifter och data på ett korrekt och säkert sätt, i enlighet med GDPR.

Vad kan vi svara om vi får frågor om beslutet?

Återge kort och gott vad beslutet betyder: “IMY har granskat ärendet och bedömt att inga ytterligare tillsynsåtgärder krävs, varken hos SportAdmin eller hos oss som förening i egenskap av personuppgiftsansvarig.”

Sist men inte minst, stort tack för det tålamod och den förståelse ni visat oss i samband med cyberattacken och efterföljande konsekvenser. Vi beklagar detta djupt och fortsätter göra allt vi kan för att hjälpa er föreningar på bästa sätt.

/SportAdmin