Vill stoppa slarvet efter läckan: ”Ett historiskt stort angrepp”

Minst 221 kommuner. 7 regioner. Uppskattningsvis mellan 60 och 70 privata företag. Dessutom 16 universitet och högskolor samt två statliga myndigheter. Uppemot 1,5 miljoner svenskar.

Så ser den ut, listan över drabbade i dataintrånget mot Miljödata, som utfördes av en kriminell utpressarliga och som nyligen ledde till en enorm läcka på darknet. Listan ligger på ett konferensbord framför Eric Leijonram, generaldirektör på IMY, den myndighet som ska motarbeta slarv och läckor med personuppgifter.

– Det är ett historiskt stort angrepp. Vi har inte sett många av den här omfattningen tidigare. Det handlar också om skyddade personuppgifter, som man naturligtvis måste hantera på ett särskilt sätt, säger han.

Bara under 2025 har Sverige sett två jättelika läckor av personlig information. Båda utförda av kriminella hackargrupper som begår dataintrång mot företag och pressar dem på pengar för att inte läcka stulen information. Tidigt i våras var det appen Sportadmin, nu Miljödata AB. Det senare är ett företag som hanterar information om arbetsmiljöfrågor, bland annat rehabilitering av sjukskrivna anställda.

När intrånget blev känt fruktade man därför att känsliga läkarutlåtanden om sjukdom och missbruk hade stulits. Sådant syns inte i läckan, enligt DN:s genomgång, men det som läcktes var ändå en jättelik samling persondata med bland annat namn, personnummer, adresser.

I dagarna får många av de vars uppgifter fanns med i läckan ett brev. Många av dem är anställda hos de drabbade i dag. Men även personer som var anställda för länge sedan kan vara med, eftersom den stulna databasen innehöll upp till 20 år gamla uppgifter.

Läckan har fått IMY att vidta åtgärder man normalt inte gör. Stockholms stad, Region Skåne och Volvo, tre av de största arbetsgivarna som alla fick uppgifter utlagda, har kallats till myndigheten, i första hand för att säkerställa att alla enskilda personer informeras.

Eric Leijonram öppnar också för att starta en formell tillsyn med anledning av Miljödataläckan, en granskning som skulle gå till botten med hur läckan kunde ske.

– Jag utesluter inte på något sätt en tillsynsundersökning med anledning av det inträffade, säger Eric Leijonram.

Mycket av det som läckte från Miljödata, namn och adresser till exempel, är relativt enkla att hitta på nätet för de flesta. Men att brottslingar kan komma över en hel databas medför ändå nya faror, enligt Eric Leijonram. Till exempel kan de användas som en ren telefonbok för bedragare.

– Att vara medveten om att ens uppgifter har läckt gör att man kan vara extra försiktig om någon ringer. Men man kan också se det i ett större perspektiv. När uppgifter läcker i den här omfattningen så gör det att man kan kartlägga den svenska befolkningen.

Om IMY hittar slarv med säkerheten kan det leda till straffavgift. I teorin kan den vara upp till 20 miljoner euro, fyra gånger högre än Miljödatas hela årsomsättning. I praktiken brukar det ekonomiska straffet, som kallas sanktionsavgifter, bli betydligt lägre. För låga, enligt vissa kritiker som menar att de inte avskräcker nog.

– Sanktionsavgifter ska inte vara kaffepengar, tvärtom. De ska vara avskräckande och få företagen att känna att de måste leva efter reglerna, säger Eric Leijonram.

Han försvarar dagens system, men utesluter inte att det kan krävas högre belopp i framtiden, om företag upptäcks snåla med säkerheten så det ökar risken för fler stora läckor.

– Om det behövs en förändring för att de inte blir tillräckligt avskräckta, då skulle jag vara öppen för det. Det får inte vara så att man gör en kalkyl och struntar i reglerna och kör på för att det kostar för lite, säger Eric Leijonram.

En annan fråga som väcker debatt är hemlighetsmakeriet kring de intrång som rapporteras in till IMY. Företag som hackas och får information läckt ska berätta hur intrånget gick till, men sedan är sekretessen hård. Detaljer om hur det kunde ske anses vara för känsliga. Det har fått vissa att föreslå något som liknar Statens haverikommission, men för it-incidenter.

En som länge har förespråkat en it-haverikommission är Patrik Fältström, säkerhetschef på Netnod och en av Sveriges mest erfarna internetexperter. En sådan skulle till exempel kunna slå larm när kriminella använder liknande sätt för att begå dataintrång mot flera företag, om kommissionen fick insyn i hur intrången går till.

– Det viktigaste en haverikommission kan göra är att slå fast vilka förbättringar som behövs. Men det måste gå fort, säger Patrik Fältström.

Eric Leijonram säger att sekretess måste finnas för vissa detaljer, men tror ändå att fler kunde lära sig av attacker som de mot Miljödata och Sportadmin.

– Vi kan nog vara tydligare i råd om vad företagen ska tänka på. Men det kan man göra utan att berätta exakt hur en viss tjänst har varit konstruerad. Man kan skriva en rapport om det, men utan att berätta om det enskilda företagets affärs- och driftsförhållanden. Det bör det finnas en stark sekretess för, säger han.

Alla dessa regler handlar om GDPR, den europeiska dataskyddslagstiftningen. Den har funnits sedan 2018 och fyller alltså sju år i år. Ändå är det nu några av de mest omfattande dataläckorna sker. Det visar dels att företagen som hanterar informationen kan bli hackade, men också misstänkt allvarlig felhantering av persondata. En grundläggande GDPR-princip är att gamla personuppgifter ska gallras när den inte längre behövs, men i båda databaserna fanns gott om gammal information. Vissa av de som nu har fått ett varningsbrev har inte jobbat på de drabbade kommunerna på många år.

Visar det inte att GDPR är tandlöst?

– Oavsett vilka regler vi har så kommer det alltid finnas en risk. Och att bli fullständigt fria från cyberangrepp, det vore önskvärt men jag har svårt att se det framför mig. Bryter man mot GDPR kan man dessutom få kännbara sanktioner. Så tandlöst – nej. Men ser vi att alla efterlever reglerna? Nej.