Da 2,1 millioner menneskers data ble publisert på Darknet etter SportAdmin-bruddet, var det ikke bare programvareselskapet som hadde et problem. Hvert idrettslag som brukte systemet ble også berørt — fordi de er behandlingsansvarlige for medlemsdataene.
GDPR artikkel 28 krever at du som behandlingsansvarlig bare bruker databehandlere som gir tilstrekkelige garantier for sikkerhet. De fleste idrettslag, borettslag og frivillige organisasjoner velger medlemssystemer basert på pris og funksjonalitet. Sikkerhet kommer sjelden opp. SportAdmin-saken viser hvorfor det bør det.
Praktisk poeng: Sitter du i styret i et idrettslag, en forening eller en annen organisasjon som bruker et skybasert medlemssystem? Still tre spørsmål til leverandøren — har de gjennomført en sikkerhetsrevisjon det siste året, har de intrusjonsdeteksjon, og har dere en databehandleravtale som regulerer varsling og ansvar ved hendelser?
Inspirert av: IMY