Efter Miljödata och Sportadmin-läckorna: IMY öppnar för höjda sanktionsavgifter
IMY:s generaldireltör Eric Leijonram.
Efter två stora cyberattacker under 2025 höjs nu röster för skärpta åtgärder mot bristande datasäkerhet. Generaldirektören för Integritetsmyndigheten (IMY), Eric Leijonram, menar att sanktionsavgifterna kan behöva höjas rejält för att få företag, kommuner och organisationer att ta GDPR på allvar.
– Sanktionsavgifter ska inte vara kaffepengar, tvärtom. De ska vara avskräckande och få företagen att känna att de måste leva efter reglerna, säger Eric Leijonram i en längre intervju med Dagens Nyheter.
Miljontals drabbade
Under året har Sverige drabbats av två omfattande dataintrång. I våras hackades appen Sportadmin, vilket ledde till att uppgifter om två miljoner användare exponerades. I augusti riktades en attack mot Miljödata, ett företag som levererar systemstöd till bland annat kommuner och universitet. Denna gång läckte namn, personnummer och adresser till 1,5 miljoner individer.
Totalt drabbades 221 kommuner, sju regioner, ett 60-tal privata företag, 16 universitet och högskolor samt två statliga myndigheter.
– Det är ett historiskt stort angrepp. Vi har inte sett många av den här omfattningen tidigare. Det handlar också om skyddade personuppgifter, som man naturligtvis måste hantera på ett särskilt sätt, säger Leijonram.
IMY inleder granskning – sanktionsavgifter kan höjas
IMY har nu inlett en formell granskning av de drabbade aktörerna. Om brister i datasäkerhet eller hantering av personuppgifter upptäcks kan det leda till straffavgifter, så kallade sanktionsavgifter. I teorin kan dessa belopp vara upp till 20 miljoner euro, men i praktiken brukar de bli betydligt lägre. För låga, enligt vissa kritiker. IMY:s generaldirektör öppnar nu upp för högre sanktionsavgifter framöver.
– Om det behövs en förändring för att de inte blir tillräckligt avskräckta, då skulle jag vara öppen för det. Det får inte vara så att man gör en kalkyl och struntar i reglerna och kör på för att det kostar för lite, säger han.
Gamla personuppgifter ett brott mot GDPR
Attacken mot Miljödata har också avslöjat att många aktörer inte följer GDPR:s grundläggande principer. I den stulna databasen fanns personuppgifter som var över 20 år gamla – uppgifter som enligt lagen borde ha gallrats för länge sedan.
Detta pekar på ett utbrett slarv med dataskydd, där ansvar ligger hos de organisationer som inte upprätthållit en korrekt GDPR-standard.
Umeå universitet agerar efter attacken
Umeå universitet är en av de drabbade och har nu påbörjat en risk- och sårbarhetsanalys innan de återgår till att använda Miljödatas system Adato.
– Vi har ett bra systematiskt arbete som syftar till att förhindra cyberattacker, men detta arbete behöver ständigt utvecklas, säger Lars Nordlander, personalchef vid Umeå universitet.
– I universitetets nuvarande avtal med Miljödata har vi ställt höga krav när det gäller säkerhet och hantering av personuppgifter, men angriparna tog sig förbi det i detta fall. Vi vill skaffa oss en så tydlig bild som möjligt över de åtgärder som Miljödata har gjort efter attacken innan vi börjar använda systemet igen, säger Per Ragnarsson, biträdande universitetsdirektör.
Nationell it-haverikommission?
Flera experter menar att enskilda aktörers åtgärder inte räcker. Patrik Fältström, säkerhetschef på Netnod och en av Sveriges mest erfarna internetexperter, förespråkar en nationell it-haverikommission.
– Det viktigaste en haverikommission kan göra är att slå fast vilka förbättringar som behövs. Om kommissionen får insyn i hur intrången går till kan man slå larm när kriminella använder liknande metoder mot andra företag, säger Fältström.
Läs mer om ämnet: