Hej!
Med detta mail vill vi förtydliga processen framåt kopplat till det dataintrång SportAdmin utsattes för den 16 januari. Nedan beskrivs arbetsgången med Integritetsskyddsmyndigheten (IMY) och de åtgärder som krävs av oss och er ur ett dataskyddsperspektiv. Det är mycket information och tonen är formell, men vi bedömer att tillfället kräver det.
Information till registrerade
Sedan onsdagen den 22 januari har vi kontinuerligt gjort utskick via e-post med information om personuppgiftsincidenten till personer som finns med i våra och era register. Vi har framgångsrikt nått ut till ett mycket stort antal registrerade. Vårt primära fokus har varit att nå ut till alla personer med registrerade e-postadresser som har haft en kontakt/relation med föreningen under det senaste året. Dessa har vi (med få undantag p.g.a. studs hos mottagaren) lyckats leverera till.
Vi har dock nu nått en kritisk gräns där vi måste avbryta fortsatta utskick eftersom det annars vore förenat med för stora risker. Skälet till detta är främst att leveransbarheten till många äldre och inaktuella e-postadresser är förknippade med stor osäkerhet. Med låg leveransbarhet följer en hög risk för att vi kan bli svartlistade av e-postleverantörerna, något som vi har fått tydliga indikationer på. En svartlistning innebär i praktiken att varken vi eller ni föreningar kan skicka e-post från systemet.
IMY är informerade om situationen och är förstående till att de hinder vi nu står inför gör det orimligt för SportAdmin att fortsätta med utskicken. I dialog med IMY har vi därför gemensamt diskuterat alternativa vägar framåt. Vi kommer att följa de rekommendationer vi har fått från IMY och fortsättningsvis använda andra kommunikationskanaler, i syfte att nå de registrerade som eventuellt inte har nåtts av informationen via utskicken. Detta gör vi genom att publicera ett meddelande på vår hemsida med en länk till ytterligare information.
Vår rekommendation till er
Vår rekommendation till er förening är att även ni publicerar informationen till de registrerade på er hemsida. Längre ner i mailet finns ett förslag ni kan använda.
Utöver detta vill vi även uppmana de föreningar som eventuellt har registrerade med skyddade personuppgifter att säkerställa att dessa nås av informationen. Vi har inte kunnat göra utskick till personer som saknar en fungerande e-post i SportAdmin-verktyget, eller till personer som inte har varit aktiva eller haft kontakt med föreningen under det senaste året. Det är av största vikt att ni som förening (och personuppgiftsansvarig) säkerställer att dessa individer får ta del av informationen. Om ni är osäkra på hur ni kan gå tillväga rekommenderar vi att ni läser mer på Skatteverkets hemsida.
Fortsatt process med IMY
När ovannämnda åtgärder är genomförda har vi och ni gjort vad vi kan för att nå ut med information om personuppgiftsincidenten till de registrerade. Som nästa steg kommer SportAdmin inom kort att komplettera anmälan till IMY och därefter tar IMYs utredningsarbete vid. Vi kommer att assistera IMY i ärendet efter bästa förmåga, och under handläggningen håller vi er fortsatt informerade.
Meddelande till föreningars hemsida
“Viktigt meddelande till berörda av SportAdmins personuppgiftsincident. Till meddelandet”
Länka till: https://info.sportadmin.se/sportadmin/b/v?webpage=6&ucrc=81AF057E73
Vanliga frågor
Är vi klara nu? Måste vi göra något mer?
När ni har följt våra rekommendationer ovan så har ni också följt de rekommendationer IMY har lämnat till oss. Därmed har ni också fullgjort er plikt att informera de registrerade enligt artikel 34 i GDPR. Vi vet i dagsläget inte hur IMYs handläggning ser ut och om föreningarna kommer att behöva involveras ytterligare. Vi lovar att hålla er informerade löpande tills ärendet är avslutat.
Kan vi se vilka av våra registrerade som har fått information via utskicket?
Nej, vi kan rent tekniskt inte ta fram en lista per förening kring vilka som fått utskicket.
Hur kan vi informera registrerade som vi inte har en e-postadress till?
Vi rekommenderar att ni som förening publicerar information om personuppgiftsincidenten på er hemsida. Om ni har medlemmar som saknar e-post, men som ni kan nå på andra sätt, kan ni som förening överväga att informera medlemmarna på annat sätt. Ett exempel kan vara Facebook-grupper, föreningens sociala medier eller vanlig post.
Vi rekommenderar att ni återanvänder informationen i meddelandet från hemsidan: https://info.sportadmin.se/sportadmin/b/v?webpage=6&ucrc=81AF057E73
Vad kan vi säga till registrerade som har skyddad identitet?
Om ni har kännedom om att en medlem har skyddad identitet rekommenderar vi att ni som förening kontaktar dessa personer enligt de instruktioner ni har fått från dessa. Om ni är osäkra på hur ni ska kontakta de berörda personerna på ett säkert sätt, rekommenderar vi att ni läser mer på Skatteverkets hemsida. Dessa personer kan sedan själv vända sig till IMY, Skatteverket och/eller polisen vid behov.
Sist men inte minst, stort tack för det tålamod och den förståelse ni visat oss i samband med dataintrånget och efterföljande konsekvenser. Vi beklagar detta djupt och fortsätter göra allt vi kan för att hjälpa er föreningar på bästa sätt.
/SportAdmin
|
