SUOMEN
GOLFLIITTO

Ajankohtaista

Golfliitolle huomautus Tietosuojavaltuutetulta

Golfliitto10. Heinäkuuta 2024

Suomen Golfliitto on vastaanottanut 10.7. Tietosuojavaltuutetun päätöksen koskien Golfliiton tietoturvaan liittyviä käytänteitä.

Päätöksessään apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ei ole riittävällä tavalla varmistanut palvelunsa tietoturvallisuutta tietosuoja-asetuksen mukaisesti. Rekisterinpitäjä on laiminlyönyt velvoitteen toteuttaa tehokkaat tekniset ja organisatoriset toimet käsittelytapojen ja itse käsittelyn yhteydessä, ja jättänyt varmistamatta riskiä vastaavan turvallisuustason.

Apulaistietosuojavaltuutettu määrää rekisterinpitäjälle tietosuoja-asetuksen nojalla huomautuksen, ja määräyksen saattaa käsittelytoimensa tietosuoja-asetuksen säännösten mukaisiksi.

Toimialan keskusjärjestönä, urheiluliittona ja jäsenseurojemme edunvalvojana pyrimme olemassa olevilla resursseillamme huolehtimaan ja näyttämään esimerkkiä tietoturvan ja tietosuojan huomioimisessa toiminnassamme. Parantaaksemme alan tietoturvaa ja rekisteröityjen tietosuojaa olemme ottaneet käyttöön Suomi Golf ID:n toukokuussa. Suomi Golf ID tunnistautumisratkaisua on suunniteltu ja toteutettu vuodesta 2022. Ulkoisen luotettavan tahon toteuttama valmisratkaisu täyttää tietoturvan tarpeet ja mahdollistaa esimerkiksi 2-vaiheisen tunnistautumisen käyttöönoton. Toteutuksen teknisen tietoturvan varmistaminen teetettiin riippumattomalla tietoturvan asiantuntijayrityksellä. Sen mukaan Suomi Golf ID nostaa kirjautumisen tietoturvan hyvälle tasolle ja pitää käyttäjien tunnukset turvassa. Pelaajien suositellaan ottavan sen käyttöön välittömästi eBirdie-sovelluksesta.

Suomi Golf ID:ssä eBirdie-sovelluksen jäsenpuolen kirjautumismenetelmänä toimii jatkossa käyttäjätunnuksena yksilöllinen sähköpostiosoite sekä salasana, jonka käyttäjä vastaanottaa sähköpostiinsa aktivoinnin yhteydessä ja on pakotettu päivittämään se ensimmäisen kirjautumiskerran yhteydessä. Pelaajan on mahdollista aktivoida Suomi Golf ID käyttöönsä, jonka jälkeen jäsentiedoilla kirjautuminen kyseisen pelaajan jäsentilille ei ole enää mahdollista. Myöhemmässä vaiheessa pakotamme Suomi Golf ID:n käyttöön kaikille jäsenille. Tarjoamme Suomi Golf ID:n kirjautumismenetelmänä myös kaikkien seurahallintajärjestelmien käyttöön, jotka hyödyntävät Golfliiton keskusrekisteriä. eBirdie-sovelluksen Green Card -puolella juokseva Green Card-numero on korvattu pitkällä satunnaisella numerosarjalla. Kirjautumisyritysten määrää on teknisesti rajoitettu.

Edunvalvojana käymme jatkuvaa vuoropuhelua seurahallintajärjestelmien toimittajien kanssa pyrkien jäsenseurojemme puolesta edistämään heidän käytössään olevien järjestelmien tietoturvaa. Seuroilla on usein hyvin pienet resurssit ja he ovat käytännössä riippuvaisia järjestelmätoimittajien toimenpiteistä. Olemme käyneet keskustelua kaikkien Suomessa toimivien seurahallintajärjestelmien toimittajien kanssa salasanakäytännöistä vaikka Golfliitto ei näiden kaikkien osalta toimikaan rekisterinpitäjänä. Rekisterinpitäjänä olemme edellyttäneet kaikilta käsittelijöiltämme, ettei järjestelmissä käytetä oletussalasanoja. Golfliiton kilpailujärjestelmänä käyttämä Golfbox on luopunut oletussalasanojen käytöstä kaikissa Suomen palveluissaan 17. toukokuuta. Klubihallintajärjestelmät Wisegolf ja Nexgolf ovat myös ryhtyneet toimenpiteisiin oletussalasanojen poistamiseksi.

Tehtyjen toimenpiteiden lisäksi Golfliitto tulee jatkossa kiinnittämään voimakkaammin huomiota jäsenten tietosuojaan ja tietoturvaan järjestelmäkehityksessämme ja toimintatavoissamme, ja jatkamme aktiivista vuoropuhelua muiden alan toimijoiden kanssa.

Lisätietoa antaa: toiminnanjohtaja Juha Korhonen, juha.korhonen@golf.fi 0400 722876