För att skydda företaget mot dataintrång krävs en kombination av tekniska åtgärder, organisatoriska rutiner och en juridiskt förankrad incidenthantering. Antalet anmälda incidenter ökar kraftigt i Sverige, och både GDPR och cybersäkerhetslagen, som trädde i kraft 2026, ställer skarpa krav på hur verksamheten ska arbeta förebyggande. Behöver ni en samlad struktur för incidentarbetet kan ni utgå från ett incidenthanteringssystem.
Det här behöver du veta:
Skydd mot dataintrång byggs genom att kombinera tekniska säkerhetsåtgärder, tydliga organisatoriska rutiner och en juridiskt förankrad ansvarsfördelning för incidenthantering.
GDPR ställer enligt art. 32 krav på lämpliga tekniska och organisatoriska åtgärder utifrån riskbild och kostnadsbild. Det är ett bedömningsutrymme, men i tillsynsbeslut från IMY återkommer samma grundläggande komponenter. Tänk på arbetet i 3 lager, där varje lager kompletterar de andra.
De tekniska åtgärderna hindrar intrånget från att lyckas, eller begränsar skadan om det väl sker.
Sex tekniska åtgärder är närmast obligatoriska för en modern verksamhet:
Tekniska åtgärder är nödvändiga men inte tillräckliga. En stor andel av de anmälda incidenterna i Sverige har sin grund i mänskliga misstag, inte tekniska brister.
De organisatoriska åtgärderna säkerställer att tekniken faktiskt används rätt, och att människor i organisationen vet vad de ska göra.
Här är de viktigaste komponenterna:
Behöver ni en samlad struktur för det här arbetet kan ni läsa mer om vår GDPR-tjänst.
Den juridiska delen handlar om att kunna visa att ni arbetar systematiskt, dokumenterat och i enlighet med regelverken, inte minst när IMY eller tillsynsmyndigheten börjar ställa frågor.
Tre dokument är centrala:
Det är den här strukturen, klara rutiner, rätt dokumentation och en sammanhängande arbetsgång, som gör att ni klarar tillsyn och kan visa ansvarsskyldighet enligt art. 5.2 GDPR.
Skyldigheten att skydda information mot dataintrång följer av flera parallella regelverk i Sverige, främst GDPR, cybersäkerhetslagen som implementerar NIS2-direktivet och brottsbalken.
I Sverige är dataintrång som handling kriminaliserat i brottsbalken, men ansvaret för att förebygga och hantera intrång ligger hos den personuppgiftsansvariga organisationen och styrs av flera lagar samtidigt:
Sanktionsavgifter enligt art. 83 GDPR kan uppgå till 20 miljoner euro eller 4 % av global årsomsättning, beroende på vilken artikel som överträtts. IMY:s svenska sanktionsbeslut har varierat kraftigt, från mindre belopp upp till flera miljoner kronor, beroende på överträdelsens allvar och organisationens storlek. Cybersäkerhetslagen lägger till administrativa sanktioner som för väsentliga entiteter kan uppgå till 10 miljoner euro eller 2 % av global omsättning.
Begränsa skadan tekniskt, bedöm omfattningen, anmäl personuppgiftsincidenten till IMY inom 72 timmar, polisanmäl själva dataintrånget och dokumentera allt löpande.
När misstanke om intrång uppstår räknas tiden från det att organisationen får kännedom om händelsen, inte från själva intrångstillfället. Arbetsgång i grova drag:
Det sista steget glöms ofta bort men är det som faktiskt höjer skyddsnivån över tid. Är ni osäkra på var ni står idag kan ni börja med Draftits kostnadsfria GDPR-test för en snabb mognadsbedömning.
Tre scenarier som ofta dyker upp i incidentanmälningar:
✔︎ "En medarbetares konto kapades efter ett phishing-mejl och angriparen laddade ner kundregistret."
✔︎ "En leverantör drabbades av ransomware och vår produktionsdata fanns i deras backup."
✔︎ "En tidigare konsult vars konto inte avaktiverades loggade in och tog del av personalakter."
Gemensamt är att någon obehörig har fått åtkomst till information som ni ansvarar för. Det är då både GDPR och brottsbalken aktualiseras parallellt.
Nej, enbart tekniska åtgärder räcker inte, ett fungerande skydd mot dataintrång byggs i tre lager: teknik, organisation och juridisk struktur. Felkällan är ofta organisatorisk, ett phishing-mejl som klickas, en behörighet som glömts kvar eller en leverantör som brister, snarare än en teknisk lucka. Lagren måste dessutom övas regelbundet för att fungera när det väl gäller.
Minst 1 gång per år är ett rimligt riktvärde för en mellanstor verksamhet, och oftare för organisationer i cybersäkerhetslagens tillämpningsområde eller med komplex IT-miljö. Övningen bör testa både den tekniska responsen och de organisatoriska besluten, från upptäckt och bedömning till anmälan till IMY och eventuell information till drabbade. Det är vid övningen ni upptäcker var rutinen brister, inte vid det skarpa läget.
En incidentpolicy ska vara så konkret att en medarbetare som upptäcker en incident vet exakt vem som ska kontaktas och inom vilken tid. En användbar policy innehåller minst:
Det finns ingen lagstadgad skyldighet att polisanmäla, men det är starkt rekommenderat när intrånget kan vara brottsligt. Polisanmälan är ofta en förutsättning för att försäkringen ska träda in och kan underlätta utredning av eventuella civilrättsliga krav. Glöm inte att GDPR-anmälan till IMY är en separat process och inte ersätts av en polisanmälan.
Tidsfristerna skiljer sig åt beroende på regelverk, från 24 timmar enligt cybersäkerhetslagen till 72 timmar enligt GDPR. Personuppgiftsincidenter ska anmälas till IMY inom 72 timmar från kännedom enligt art. 33 GDPR. Omfattas verksamheten av cybersäkerhetslagen ska allvarliga incidenter rapporteras till CSIRT-funktionen (CERT-SE) och ansvarig tillsynsmyndighet, med en tidig varning inom 24 timmar, en incidentrapport inom 72 timmar och en slutrapport inom 1 månad. Polisanmälan har ingen fast frist, men bör göras snarast möjligt för att underlätta utredning.
Ja, enligt art. 82 GDPR har den registrerade rätt till ersättning för materiell eller immateriell skada som orsakats av en överträdelse. Svenska domstolar har i flera fall dömt ut förhållandevis begränsade belopp per drabbad vid mindre allvarlig skada, och högre ersättning när känsliga uppgifter ingår. Möjligheten att driva grupptalan kan dessutom öka den samlade exponeringen.