Det dataintrång som appen SportAdmin, som används av idrottsföreningar, nyligen utsattes för ledde till att en mängd personuppgifter – troligen även om barn – läcktes. Vilka tekniska och organisatoriska åtgärder behöver vidtas för att skydda personuppgifter och vilka lärdomar kan andra företag dra? Karl-Fredrik Björklund och Oskar Bohm redogör, i ljuset av den IMY-tillsyn som inletts, för vad säkerhetsbestämmelsen i artikel 32 i GDPR innebär och ger exempel på frågor att ställa sig för regelefterlevnad.