Läckta personuppgifter
Läckta personuppgifter ökar kraftigt i Sverige och drabbar både privatpersoner och organisationer. För organisationen handlar det om att anmäla till IMY inom 72 timmar och dokumentera incidenten. Behöver ni en samlad struktur för incidentarbetet kan ni dessutom utgå från ett incidenthanteringssystem.
Det här behöver du veta:
- Läckta personuppgifter är juridiskt sett en typ av personuppgiftsincident, även om begreppen ofta används synonymt i vardagsspråk.
- Som individ kan du kontrollera om din mejladress eller dina uppgifter finns i kända läckor via sakerhetskollen.se eller haveibeenpwned.com.
- Din organisation ska anmäla en personuppgiftsincident till IMY inom 72 timmar om det inte är osannolikt att den medför risk för registrerade.
- Sanktionsavgifter enligt GDPR kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning, och svenska exempel ligger på flera miljoner.
Vad är läckta personuppgifter?
Läckta personuppgifter är när information som identifierar fysiska personer, till exempel namn, personnummer, mejladress eller lösenord, av misstag eller genom intrång hamnar hos någon som inte ska ha åtkomst till dem.
Antalet incidenter ökar snabbt. Under 2025 fick IMY in 12 276 anmälningar om personuppgiftsincident, en ökning med nästan 90 % jämfört med året innan. Bakom siffran ryms allt från enskilda mejl som hamnat hos fel mottagare till de stora attackerna mot Sportadmin och Miljödata som drabbade miljontals svenskar.
I dataskyddsförordningen (EU 2016/679), GDPR, kallas detta för en personuppgiftsincident. Begreppen läcka och incident används ofta synonymt i vardagsspråk, men juridiskt sett är läckan en delmängd av incidenten. Enligt art. 4.12 GDPR omfattar en personuppgiftsincident all behandling som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörig åtkomst till personuppgifter. Läckan handlar specifikt om att uppgifterna har spridits till någon utomstående.
Det innebär att begreppet täcker både scenarier där uppgifterna finns kvar hos er men någon utomstående har fått åtkomst, och scenarier där ni helt har förlorat kontrollen över dem.
Tre vanliga typer av läckor:
- Tekniska intrång där en angripare bryter sig in i ett system och kopierar data
- Mänskliga misstag som mejl till fel mottagare eller fellagrad fil i en publik mapp
- Brister hos leverantörer eller underleverantörer som behandlar uppgifter på er räkning
Exempel på situationer där läckta personuppgifter aktualiseras
- "En medarbetare mejlade en bilaga med kundernas personnummer till fel adress."
- "En osäkrad backup-server hos vår IT-leverantör hittades öppen på internet."
- "En anställd lämnade in sin laptop på reparation utan att den var krypterad."
Gemensamt är att uppgifterna har hamnat utanför organisationens kontroll. Det är då anmälningsplikten kan aktualiseras.
Hur vet jag om mina personuppgifter är läckta?
Du får oftast besked från organisationen som drabbats av läckan, eller upptäcker det själv via en tjänst som sakerhetskollen.se som samlar kända läckor.
Organisationen där dina uppgifter behandlas är skyldig enligt art. 34 GDPR att informera dig utan onödigt dröjsmål om läckan medför en hög risk för dina rättigheter och friheter. I praktiken sker det via brev, mejl eller publika meddelanden på sajten. Får du ett sådant besked, läs det noggrant. Det berättar vilka uppgifter som omfattas och vad du kan göra.
Du kan också kontrollera dig själv:
- Sakerhetskollen.se drivs i samverkan mellan Polisen, Internetstiftelsen och andra svenska aktörer. Du anger din mejladress och får besked om den finns i kända läckor
- Haveibeenpwned.com är världens största öppna databas för läckta uppgifter och täcker även stora svenska läckor som Miljödata
- Konton hos banker och e-tjänster kan ha egna varningssystem som meddelar misstänkt aktivitet
Tecken på att dina uppgifter kan ha läckt även utan formellt besked:
- Du får plötsligt fler bedrägeriförsök via mejl, sms eller telefon
- Okänd inloggningsaktivitet i någon av dina tjänster
- Aviseringar från banker eller e-tjänster om aktivitet du inte känner igen
- Ett kreditbrev från ett företag du inte ansökt om kredit hos
Vad ska du göra om dina personuppgifter har läckt?
Spärra ditt personnummer hos UC, byt lösenord på de tjänster som drabbats, aktivera tvåfaktorsautentisering där det går, polisanmäl vid misstänkt identitetsstöld och spara dokumentationen.
Konkret arbetsgång:
- Spärra ditt personnummer. UC erbjuder en bedrägerispärr som hindrar att kreditupplysningar kan tas på dig. Spärren gäller initialt 14 dagar, och förlängs i 5 år när du skickar in din polisanmälan. Liknande tjänster finns hos Creditsafe och Bisnode
- Byt lösenord på de tjänster där uppgifterna kan ha läckt, plus på alla andra tjänster där du återanvänt samma lösenord
- Aktivera tvåfaktorsautentisering (2FA) på mejl, bank och andra kritiska tjänster. Det stoppar de flesta kapningsförsök även om någon har fått tag på ditt lösenord
- Polisanmäl på 114 14 eller polisen.se vid misstanke om bedrägeri eller identitetsstöld. Du behöver anmälan för att bestrida skulder och för att förlänga UC-spärren
- Bestrid felaktiga skulder direkt med fordringsägaren och Kronofogden om något redan hunnit hända
- Spara all dokumentation: brevet från organisationen, skärmdumpar från sakerhetskollen.se, kvitton på spärranmälningar och polisanmälan
Du har också rätt att lämna in klagomål till IMY om du anser att organisationen har hanterat dina uppgifter felaktigt eller informerat dig sent.
Vad gäller för organisationen vid en personuppgiftsläcka?
Organisationen ska anmäla personuppgiftsincidenten till IMY inom 72 timmar från kännedom om det inte är osannolikt att läckan medför risk för registrerade, informera de drabbade vid hög risk, och dokumentera incidenten oavsett om den anmäls.
72-timmarsfristen följer av art. 33 GDPR och börjar löpa när organisationen får kännedom om incidenten, inte när själva läckan inträffade. Bedömningen av om du måste rapportera en personuppgiftsincident styrs av sannolik risk för registrerade, inte av hur säker du är på att läckan inträffat. Huvuddragen:
- Anmälan till IMY sker via deras e-tjänst. Den ska beskriva vad som hänt, vilka kategorier och ungefär hur många registrerade som drabbats, sannolika konsekvenser och vilka åtgärder ni vidtagit
- Information till de drabbade (art. 34 GDPR) krävs när läckan medför hög risk för deras rättigheter och friheter. Informationen ska vara klar och tydlig, och beskriva typen av incident, vilka uppgifter som omfattas och vad de drabbade kan göra
- Dokumentationsplikt gäller alla incidenter, även de som inte anmäls. Dokumentationen ska kunna lämnas till IMY vid tillsyn
Sanktionsavgifter enligt art. 83 GDPR kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning, beroende på vilken artikel som överträtts. Svenska beslut de senaste åren visar spannet i praktiken:
| Organisation | År | Sanktionsavgift | Bakgrund |
|---|---|---|---|
| Sportadmin | 2025 | 6 miljoner kr | 2,1 miljoner personers uppgifter, inklusive personnummer och hälsodata om barn, publicerades på Darknet |
| Bonnier News AB | 2025 | 13 miljoner kr | Överträdelse av dataskyddsförordningen |
| Avanza | 2024 | 15 miljoner kr | Otillåten överföring av kunddata till Meta |
Mönstret i Sveriges största dataincidenter 2025 är att bristande åtkomststyrning, otillräcklig kryptering eller utelämnade säkerhetsuppdateringar ligger bakom de flesta läckorna.
Hur förebygger ni personuppgiftsläckor?
Risken minskar genom kryptering, åtkomststyrning, leverantörsuppföljning och en sammanhängande incidenthantering som faktiskt bedrivs i praktiken, inte bara dokumenteras.
GDPR kräver enligt art. 32 att personuppgiftsansvariga vidtar lämpliga tekniska och organisatoriska åtgärder. Det är ett bedömningsutrymme, men 6 åtgärder återkommer i praktiskt taget alla tillsynsbeslut:
- Kryptering av personuppgifter i vila och under överföring, särskilt för känsliga uppgifter och personnummer
- Åtkomststyrning enligt principen om minsta nödvändiga behörighet (least privilege), med regelbunden översyn av vem som har tillgång till vad
- Loggning och övervakning så att avvikande aktivitet upptäcks tidigt
- Leverantörsuppföljning med biträdesavtal, säkerhetskrav och regelbunden uppföljning av faktisk efterlevnad
- Utbildning av personal i vad som är en personuppgiftsincident och hur den ska rapporteras internt
- Rutiner för incidenthantering med tydlig ansvarsfördelning, beslutsstöd för anmälningsbedömningen och dokumentationsmallar
Det sista steget är ofta det svagaste i praktiken. När en läcka inträffar har ni 72 timmar på er att samla in information, göra en juridisk bedömning, fatta beslut och formulera en anmälan. Det går inte att improvisera fram, eftersom dokumentationen ska kunna lämnas till IMY vid tillsyn och visa att processen följts. En struktur som speglar hur arbetet faktiskt bedrivs är vad som håller vid granskning.
Är ni osäkra på var ni står idag kan ni börja med Draftits kostnadsfria GDPR-test för en snabb mognadsbedömning.
Vanliga frågor om läckta personuppgifter
Är en personuppgiftsläcka samma sak som en personuppgiftsincident?
Nej, även om begreppen används synonymt i vardagsspråk. Läckan är en undertyp där uppgifter spridits till någon utomstående, medan incidenten också omfattar oavsiktlig radering, ändring eller intern obehörig åtkomst där inget läckts utåt.
Måste alla personuppgiftsläckor anmälas till IMY?
Nej. Anmälningsplikten enligt art. 33 gäller när det inte är osannolikt att läckan medför risk för registrerade. Är risken bedömt osannolik räcker det med intern dokumentation. Men den bedömningen ska kunna motiveras, och dokumentationsplikten gäller även för incidenter ni väljer att inte anmäla.
Kan jag få skadestånd om mina personuppgifter har läckt?
Ja, enligt art. 82 GDPR har du rätt till ersättning för materiell eller immateriell skada som orsakats av en överträdelse. Svenska domstolar har de senaste åren typiskt landat på 3 000 till 5 000 kronor per drabbad i etablerade fall med begränsad skada, och högre belopp när känsliga uppgifter ingår eller skadan är mer påtaglig. Bedömningen görs från fall till fall.
Hur lång tid har organisationen på sig att informera mig som drabbad?
Information till registrerade enligt art. 34 GDPR ska lämnas utan onödigt dröjsmål när läckan medför hög risk. Det finns ingen fast frist, men praxis ligger på dagar snarare än veckor. Sen information kan i sig vara ett brott mot artikeln.
Vad händer om läckta personuppgifter publiceras på Darknet?
Då har spridningen i praktiken passerat varje möjlighet till begränsning. Organisationen behöver hantera det som en bekräftad högrisk-incident enligt art. 34, informera drabbade brett och föra en dialog med IMY. För drabbade individer innebär det att bedrägerirelaterad aktivitet kan dyka upp långt efter själva läckan, och att UC-spärr och övervakning bör vara på plats i flera år framåt.