Skydda företaget mot dataintrång
För att skydda företaget mot dataintrång krävs en kombination av tekniska åtgärder, organisatoriska rutiner och en juridiskt förankrad incidenthantering. Antalet anmälda incidenter ökar kraftigt i Sverige, och både GDPR och cybersäkerhetslagen, som trädde i kraft 2026, ställer skarpa krav på hur verksamheten ska arbeta förebyggande. Behöver ni en samlad struktur för incidentarbetet kan ni utgå från ett incidenthanteringssystem.
Det här behöver du veta:
- Skydd mot dataintrång byggs i tre lager, tekniska åtgärder, organisatoriska rutiner och en incidenthantering som speglar hur arbetet faktiskt bedrivs
- Om dataintrånget innehåller personuppgifter ska händelsen anmälas till IMY inom 72 timmar enligt art. 33 GDPR
- Verksamheter som omfattas av cybersäkerhetslagen har dessutom egna anmälningskrav till CSIRT-funktionen (CERT-SE) och ansvarig tillsynsmyndighet, med en tidig varning redan inom 24 timmar
- Sanktionsavgifter enligt GDPR kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning, och svenska tillsynsbeslut har de senaste åren landat på flera miljoner kronor
Hur skyddar du företaget mot dataintrång?
Skydd mot dataintrång byggs genom att kombinera tekniska säkerhetsåtgärder, tydliga organisatoriska rutiner och en juridiskt förankrad ansvarsfördelning för incidenthantering.
GDPR ställer enligt art. 32 krav på lämpliga tekniska och organisatoriska åtgärder utifrån riskbild och kostnadsbild. Det är ett bedömningsutrymme, men i tillsynsbeslut från IMY återkommer samma grundläggande komponenter. Tänk på arbetet i 3 lager, där varje lager kompletterar de andra.
Tekniska skyddsåtgärder
De tekniska åtgärderna hindrar intrånget från att lyckas, eller begränsar skadan om det väl sker.
Sex tekniska åtgärder är närmast obligatoriska för en modern verksamhet:
- Kryptering av personuppgifter både i vila och under överföring, särskilt för känsliga uppgifter, personnummer och autentiseringsuppgifter
- Åtkomststyrning enligt principen om minsta nödvändiga behörighet (least privilege), med regelbunden översyn av vem som har tillgång till vad
- Flerfaktorsautentisering (MFA) på alla konton med åtkomst till känslig information eller administrativa rättigheter
- Loggning och övervakning så att avvikande aktivitet, försök till inloggning eller datauttag upptäcks tidigt
- Säkerhetsuppdateringar av operativsystem, applikationer och nätverksutrustning enligt en dokumenterad patch-rutin
- Säkerhetskopiering som är offline eller logiskt separerad, så att en ransomware-attack inte krypterar både produktion och backup
Tekniska åtgärder är nödvändiga men inte tillräckliga. En stor andel av de anmälda incidenterna i Sverige har sin grund i mänskliga misstag, inte tekniska brister.
Organisatoriska skyddsåtgärder
De organisatoriska åtgärderna säkerställer att tekniken faktiskt används rätt, och att människor i organisationen vet vad de ska göra.
Här är de viktigaste komponenterna:
- Utbildning av personal i grundläggande informationssäkerhet, vad som räknas som en incident och hur den ska rapporteras internt
- Tydlig ansvarsfördelning mellan IT, dataskyddsombud, säkerhetschef och ledning, dokumenterad i en incidentpolicy
- Leverantörsuppföljning med biträdesavtal, säkerhetskrav och regelbunden uppföljning av faktisk efterlevnad, inte bara påskrivna avtal
- Hantering av behörigheter vid anställning, byte av roll och avslut, så att gamla konton inte ligger kvar som öppna dörrar
- Klassning av information så att verksamheten vet vilka system och uppgifter som är mest skyddsvärda
- Övning av incidentscenarier, gärna minst 1 gång per år, så att rutinen testas i något annat än skarpt läge
Behöver ni en samlad struktur för det här arbetet kan ni läsa mer om vår GDPR-tjänst.
Juridiska skyddsåtgärder
Den juridiska delen handlar om att kunna visa att ni arbetar systematiskt, dokumenterat och i enlighet med regelverken, inte minst när IMY eller tillsynsmyndigheten börjar ställa frågor.
Tre dokument är centrala:
- Registerförteckning enligt art. 30 GDPR, som ger överblick över vilka behandlingar, system och leverantörer som finns
- Riskanalys eller DPIA för behandlingar med högre risk, så att ni har en motiverad bedömning av vilka skyddsåtgärder som krävs
- Incidentpolicy och rutinbeskrivning med tidsfrister, beslutsstöd och mallar för anmälan till IMY och för incidentrapportering enligt cybersäkerhetslagen
Det är den här strukturen, klara rutiner, rätt dokumentation och en sammanhängande arbetsgång, som gör att ni klarar tillsyn och kan visa ansvarsskyldighet enligt art. 5.2 GDPR.
Vad säger lagen om skydd mot dataintrång?
Skyldigheten att skydda information mot dataintrång följer av flera parallella regelverk i Sverige, främst GDPR, cybersäkerhetslagen som implementerar NIS2-direktivet och brottsbalken.
I Sverige är dataintrång som handling kriminaliserat i brottsbalken, men ansvaret för att förebygga och hantera intrång ligger hos den personuppgiftsansvariga organisationen och styrs av flera lagar samtidigt:
- GDPR (EU 2016/679), dataskyddsförordningen, art. 32 kräver lämpliga tekniska och organisatoriska säkerhetsåtgärder, art. 33 kräver anmälan av personuppgiftsincident till IMY inom 72 timmar, art. 34 kräver information till de drabbade vid hög risk
- Cybersäkerhetslagen, som implementerar NIS2-direktivet (EU 2022/2555), ställer krav på riskhantering, säkerhetsåtgärder och incidenthantering för väsentliga och viktiga entiteter i 18 sektorer. Allvarliga incidenter rapporteras i två spår, dels en operativ incidentrapport till CSIRT-funktionen (CERT-SE), dels till ansvarig sektorstillsynsmyndighet, som beroende på sektor kan vara till exempel MSB, PTS eller Finansinspektionen. Rapporteringen sker med en tidig varning inom 24 timmar, en mer detaljerad incidentrapport inom 72 timmar och en slutrapport inom 1 månad
- Brottsbalken kriminaliserar själva dataintrånget, vilket innebär att verksamheten också bör polisanmäla intrång där en gärningsman kan identifieras
- Dataskyddslagen (2018:218), den svenska kompletteringen till GDPR, gäller parallellt med förordningen
Sanktionsavgifter enligt art. 83 GDPR kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning, beroende på vilken artikel som överträtts. IMY:s svenska sanktionsbeslut har varierat kraftigt, från mindre belopp upp till flera miljoner kronor, beroende på överträdelsens allvar och organisationens storlek. Cybersäkerhetslagen lägger till administrativa sanktioner som för väsentliga entiteter kan uppgå till 10 miljoner euro eller 2 % av global omsättning.
Vad gör du om företaget har drabbats av ett dataintrång?
Begränsa skadan tekniskt, bedöm omfattningen, anmäl personuppgiftsincidenten till IMY inom 72 timmar, polisanmäl själva dataintrånget och dokumentera allt löpande.
När misstanke om intrång uppstår räknas tiden från det att organisationen får kännedom om händelsen, inte från själva intrångstillfället. Arbetsgång i grova drag:
- Aktivera incidentteamet enligt er incidentpolicy och börja dokumentera tidslinjen direkt
- Begränsa skadan genom att isolera påverkade system, byta lösenord, dra in behörigheter och spärra åtkomst där det går
- Kartlägg vad som drabbats, vilka system, vilka uppgifter, hur många registrerade, vilka kategorier av personuppgifter
- Bedöm risken för de registrerade enligt art. 33 GDPR. Är det inte osannolikt att incidenten medför risk ska den anmälas till IMY
- Anmäl till IMY inom 72 timmar via deras e-tjänst, även om bilden inte är komplett. Komplettera senare när mer är känt
- Anmäl enligt cybersäkerhetslagen till CSIRT-funktionen (CERT-SE) och ansvarig tillsynsmyndighet om verksamheten omfattas och incidenten är allvarlig, med en tidig varning inom 24 timmar
- Informera de drabbade enligt art. 34 GDPR om incidenten medför hög risk för deras rättigheter och friheter
- Polisanmäl dataintrånget så att brottet kan utredas, vilket också kan bli relevant för försäkring och eventuella civilrättsliga krav
- Genomför en händelseanalys och uppdatera rutiner, behörigheter och tekniska åtgärder så att samma scenario inte upprepas
Det sista steget glöms ofta bort men är det som faktiskt höjer skyddsnivån över tid. Är ni osäkra på var ni står idag kan ni börja med Draftits kostnadsfria GDPR-test för en snabb mognadsbedömning.
Exempel på situationer där dataintrång aktualiseras
Tre scenarier som ofta dyker upp i incidentanmälningar:
✔︎ "En medarbetares konto kapades efter ett phishing-mejl och angriparen laddade ner kundregistret."
✔︎ "En leverantör drabbades av ransomware och vår produktionsdata fanns i deras backup."
✔︎ "En tidigare konsult vars konto inte avaktiverades loggade in och tog del av personalakter."
Gemensamt är att någon obehörig har fått åtkomst till information som ni ansvarar för. Det är då både GDPR och brottsbalken aktualiseras parallellt.
Vanliga frågor om skydd mot dataintrång
Räcker det med IT-säkerhet för att skydda mot dataintrång?
Nej, enbart tekniska åtgärder räcker inte, ett fungerande skydd mot dataintrång byggs i tre lager: teknik, organisation och juridisk struktur. Felkällan är ofta organisatorisk, ett phishing-mejl som klickas, en behörighet som glömts kvar eller en leverantör som brister, snarare än en teknisk lucka. Lagren måste dessutom övas regelbundet för att fungera när det väl gäller.
Hur ofta bör vi öva incidentscenarier?
Minst 1 gång per år är ett rimligt riktvärde för en mellanstor verksamhet, och oftare för organisationer i cybersäkerhetslagens tillämpningsområde eller med komplex IT-miljö. Övningen bör testa både den tekniska responsen och de organisatoriska besluten, från upptäckt och bedömning till anmälan till IMY och eventuell information till drabbade. Det är vid övningen ni upptäcker var rutinen brister, inte vid det skarpa läget.
Vad ska en incidentpolicy innehålla?
En incidentpolicy ska vara så konkret att en medarbetare som upptäcker en incident vet exakt vem som ska kontaktas och inom vilken tid. En användbar policy innehåller minst:
- Definition av vad som räknas som en incident internt
- Tydlig ansvarsfördelning mellan IT, dataskyddsombud, säkerhetschef och ledning
- Eskaleringsvägar och beslutsstöd för riskbedömning enligt art. 33 GDPR
- Mallar för anmälan till IMY och för incidentrapportering enligt cybersäkerhetslagen
- Instruktioner för intern och extern kommunikation
Måste vi polisanmäla varje dataintrång?
Det finns ingen lagstadgad skyldighet att polisanmäla, men det är starkt rekommenderat när intrånget kan vara brottsligt. Polisanmälan är ofta en förutsättning för att försäkringen ska träda in och kan underlätta utredning av eventuella civilrättsliga krav. Glöm inte att GDPR-anmälan till IMY är en separat process och inte ersätts av en polisanmälan.
Hur snabbt måste vi anmäla ett dataintrång?
Tidsfristerna skiljer sig åt beroende på regelverk, från 24 timmar enligt cybersäkerhetslagen till 72 timmar enligt GDPR. Personuppgiftsincidenter ska anmälas till IMY inom 72 timmar från kännedom enligt art. 33 GDPR. Omfattas verksamheten av cybersäkerhetslagen ska allvarliga incidenter rapporteras till CSIRT-funktionen (CERT-SE) och ansvarig tillsynsmyndighet, med en tidig varning inom 24 timmar, en incidentrapport inom 72 timmar och en slutrapport inom 1 månad. Polisanmälan har ingen fast frist, men bör göras snarast möjligt för att underlätta utredning.
Kan vi bli skyldiga att betala skadestånd till drabbade efter ett dataintrång?
Ja, enligt art. 82 GDPR har den registrerade rätt till ersättning för materiell eller immateriell skada som orsakats av en överträdelse. Svenska domstolar har i flera fall dömt ut förhållandevis begränsade belopp per drabbad vid mindre allvarlig skada, och högre ersättning när känsliga uppgifter ingår. Möjligheten att driva grupptalan kan dessutom öka den samlade exponeringen.