Läckta personuppgifter ökar kraftigt i Sverige och drabbar både privatpersoner och organisationer. För organisationen handlar det om att anmäla till IMY inom 72 timmar och dokumentera incidenten. Behöver ni en samlad struktur för incidentarbetet kan ni dessutom utgå från ett incidenthanteringssystem.
Det här behöver du veta:
Läckta personuppgifter är när information som identifierar fysiska personer, till exempel namn, personnummer, mejladress eller lösenord, av misstag eller genom intrång hamnar hos någon som inte ska ha åtkomst till dem.
Antalet incidenter ökar snabbt. Under 2025 fick IMY in 12 276 anmälningar om personuppgiftsincident, en ökning med nästan 90 % jämfört med året innan. Bakom siffran ryms allt från enskilda mejl som hamnat hos fel mottagare till de stora attackerna mot Sportadmin och Miljödata som drabbade miljontals svenskar.
I dataskyddsförordningen (EU 2016/679), GDPR, kallas detta för en personuppgiftsincident. Begreppen läcka och incident används ofta synonymt i vardagsspråk, men juridiskt sett är läckan en delmängd av incidenten. Enligt art. 4.12 GDPR omfattar en personuppgiftsincident all behandling som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörig åtkomst till personuppgifter. Läckan handlar specifikt om att uppgifterna har spridits till någon utomstående.
Det innebär att begreppet täcker både scenarier där uppgifterna finns kvar hos er men någon utomstående har fått åtkomst, och scenarier där ni helt har förlorat kontrollen över dem.
Tre vanliga typer av läckor:
Gemensamt är att uppgifterna har hamnat utanför organisationens kontroll. Det är då anmälningsplikten kan aktualiseras.
Du får oftast besked från organisationen som drabbats av läckan, eller upptäcker det själv via en tjänst som sakerhetskollen.se som samlar kända läckor.
Organisationen där dina uppgifter behandlas är skyldig enligt art. 34 GDPR att informera dig utan onödigt dröjsmål om läckan medför en hög risk för dina rättigheter och friheter. I praktiken sker det via brev, mejl eller publika meddelanden på sajten. Får du ett sådant besked, läs det noggrant. Det berättar vilka uppgifter som omfattas och vad du kan göra.
Du kan också kontrollera dig själv:
Tecken på att dina uppgifter kan ha läckt även utan formellt besked:
Spärra ditt personnummer hos UC, byt lösenord på de tjänster som drabbats, aktivera tvåfaktorsautentisering där det går, polisanmäl vid misstänkt identitetsstöld och spara dokumentationen.
Konkret arbetsgång:
Du har också rätt att lämna in klagomål till IMY om du anser att organisationen har hanterat dina uppgifter felaktigt eller informerat dig sent.
Organisationen ska anmäla personuppgiftsincidenten till IMY inom 72 timmar från kännedom om det inte är osannolikt att läckan medför risk för registrerade, informera de drabbade vid hög risk, och dokumentera incidenten oavsett om den anmäls.
72-timmarsfristen följer av art. 33 GDPR och börjar löpa när organisationen får kännedom om incidenten, inte när själva läckan inträffade. Bedömningen av om du måste rapportera en personuppgiftsincident styrs av sannolik risk för registrerade, inte av hur säker du är på att läckan inträffat. Huvuddragen:
Sanktionsavgifter enligt art. 83 GDPR kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning, beroende på vilken artikel som överträtts. Svenska beslut de senaste åren visar spannet i praktiken:
| Organisation | År | Sanktionsavgift | Bakgrund |
|---|---|---|---|
| Sportadmin | 2025 | 6 miljoner kr | 2,1 miljoner personers uppgifter, inklusive personnummer och hälsodata om barn, publicerades på Darknet |
| Bonnier News AB | 2025 | 13 miljoner kr | Överträdelse av dataskyddsförordningen |
| Avanza | 2024 | 15 miljoner kr | Otillåten överföring av kunddata till Meta |
Mönstret i Sveriges största dataincidenter 2025 är att bristande åtkomststyrning, otillräcklig kryptering eller utelämnade säkerhetsuppdateringar ligger bakom de flesta läckorna.
Risken minskar genom kryptering, åtkomststyrning, leverantörsuppföljning och en sammanhängande incidenthantering som faktiskt bedrivs i praktiken, inte bara dokumenteras.
GDPR kräver enligt art. 32 att personuppgiftsansvariga vidtar lämpliga tekniska och organisatoriska åtgärder. Det är ett bedömningsutrymme, men 6 åtgärder återkommer i praktiskt taget alla tillsynsbeslut:
Det sista steget är ofta det svagaste i praktiken. När en läcka inträffar har ni 72 timmar på er att samla in information, göra en juridisk bedömning, fatta beslut och formulera en anmälan. Det går inte att improvisera fram, eftersom dokumentationen ska kunna lämnas till IMY vid tillsyn och visa att processen följts. En struktur som speglar hur arbetet faktiskt bedrivs är vad som håller vid granskning.
Är ni osäkra på var ni står idag kan ni börja med Draftits kostnadsfria GDPR-test för en snabb mognadsbedömning.
Nej, även om begreppen används synonymt i vardagsspråk. Läckan är en undertyp där uppgifter spridits till någon utomstående, medan incidenten också omfattar oavsiktlig radering, ändring eller intern obehörig åtkomst där inget läckts utåt.
Nej. Anmälningsplikten enligt art. 33 gäller när det inte är osannolikt att läckan medför risk för registrerade. Är risken bedömt osannolik räcker det med intern dokumentation. Men den bedömningen ska kunna motiveras, och dokumentationsplikten gäller även för incidenter ni väljer att inte anmäla.
Ja, enligt art. 82 GDPR har du rätt till ersättning för materiell eller immateriell skada som orsakats av en överträdelse. Svenska domstolar har de senaste åren typiskt landat på 3 000 till 5 000 kronor per drabbad i etablerade fall med begränsad skada, och högre belopp när känsliga uppgifter ingår eller skadan är mer påtaglig. Bedömningen görs från fall till fall.
Information till registrerade enligt art. 34 GDPR ska lämnas utan onödigt dröjsmål när läckan medför hög risk. Det finns ingen fast frist, men praxis ligger på dagar snarare än veckor. Sen information kan i sig vara ett brott mot artikeln.
Då har spridningen i praktiken passerat varje möjlighet till begränsning. Organisationen behöver hantera det som en bekräftad högrisk-incident enligt art. 34, informera drabbade brett och föra en dialog med IMY. För drabbade individer innebär det att bedrägerirelaterad aktivitet kan dyka upp långt efter själva läckan, och att UC-spärr och övervakning bör vara på plats i flera år framåt.