Det har redan gått åtta år sedan GDPR infördes. Vi som erbjuder kurser i integritetsskydd får ofta frågor av typen ”Det där med GDPR, är det verkligen fortfarande en grej?”. Med över en miljon personuppgifter ute på darknet efter attacken mot Miljödata borde svaret vara ganska enkelt: ”Ja, GDPR är fortfarande en grej – och fler organisationer borde ta dataskydd på större allvar.” Det skriver Hanna Rönnqvist, learning content specialist, och Geir Aasen, CISO på Junglemap med anledning av Dataskyddsdagen den 28:e januari.
Redaktionen
Uppdaterad: 27 januari 2026Publicerad: 28 januari 2026
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
”Firandet” av den internationella Dataskyddsdagen den 28:e januari blir kanske inte så spektakulärt. Och det må vara hänt. Då är det desto viktigare att fler uppmärksammar själva syftet med dagen: att öka medvetenheten om behovet av att respektera och skydda enskilda personers integritet, som EU:s ministerråd formulerat det.
Det finns såklart flera orsaker till att många organisationer både inom privat och offentlig sektor inte följer GDPR. Uppenbarligen avskräcker inte sanktionsavgifter på upp till 20 miljoner euro tillräckligt för att bli GDPR-compliant på riktigt. Snarare verkar det finnas en känsla av att det bara händer ”någon annan” (som t.ex Meta) och inte den egna verksamheten.
En annan anledning kan att slarv kring hanteringen av persondata inte drabbar verksamheten på samma tydliga sätt som att IT-systemen ligger nere. Så länge det inte syns så finns det inte, verkar vara ett synsätt som präglar många organisationers hantering av kunders, klienters, brukares och medlemmars personuppgifter.
ANNONS
Ett annat problem är att dataläckor efter hackerattacker börjar bli så vanliga att vi verkar bli lite avtrubbade. Ett tag till räcker det säkert att säga ”Miljödata” så vet alla att vi pratar om ett stort dataintrång som inträffade hösten 2025, medan dataläckorna efter intrången hos TietoEvry eller Svenska kyrkan redan börjar falla i glömska – trots att det bara var något år sedan.
Inte bara ett yttre hot
Dataskydd handlar om att skydda personuppgifter så att obehöriga inte kommer åt dem, vare sig det gäller externa aktörer som hackare, eller interna medarbetare som inte har behov av den informationen i sitt arbete. Därför räcker inte bara skydd mot yttre attacker utan det är direkt avgörande att organisationer har tydliga rutiner för vem som får tillgång till personuppgifter, och att detta också följs upp genom noggrann loggkontroll.
Under 2023 upptäckte man att nästan samtliga av de 22 500 anställda vid norska Arbetsförmedlingen NAV hade tillgång till känslig personlig information om norska medborgares fysiska och psykiska hälsa, familjeförhållanden och ekonomi. Det fanns stora brister i åtkomstkontroll och loggning, och den praxis som gällde följde inte personuppgiftslagen och GDPR.
Om vi inte styr vilka som har åtkomst till känslig data kan det få allvarliga konsekvenser, både för enskilda och för organisationen. När anställda har tillgång till känsliga uppgifter i onödan ökar risken markant för missbruk och integritetsintrång. Det kan i sin tur leda till förlorat förtroende från de vars uppgifter vi hanterar, och även juridiska sanktioner mot organisationen.
Många särskilt utsatta drabbas
Miljödata användes av 80 procent av Sveriges kommuner. Efter den stora dataläckan i samband med intrånget hos dem har uppskattningsvis över en miljon personuppgifter nu hamnat på darknet. Men hur stort problem det här egentligen är för de individer vars personuppgifter nu finns där?
Svaret är både enkelt och tudelat: Inte särskilt stort för de allra flesta – och en fullständig katastrof för de mest utsatta.
Enligt IT-entreprenören Jens Nylander förekommer till exempel adressuppgifter till personer med skyddade folkbokföringsuppgifter. 200 fall bara i Stockholm.
Stockholms stad utreder just nu den här frågan. Men det är ju så dags, när olyckan redan har skett. Det som framför allt behövs är ju ett proaktivt kontinuerligt arbete med integritetsskyddet som utgångspunkt. Och det är många organisationer som behöver göra mer.
Många slarvar
Cybersäkerhet Mognadsrapport 2025 från företaget OneMore Secure visar att bara 4 av 10 företag har en fungerande policy för klassificering av information och att mer än var fjärde verksamhet inte alls krypterar känslig information. Trots att det är ett krav enligt GDPR.
Kanske är det så enkelt att många verksamheter tänker att de är i ”gott sällskap” eftersom det är så vanligt att inte följa GDPR? Även om en rimligare slutsats borde vara att vi både i Sverige och Norge behöver ett rejält lyft när det gäller hur vi hanterar klassificeringen av information, och inte minst persondata. Först och främst för att inte äventyra att känsliga personuppgifter kommer i orätta händer, men också för att både kunder och medarbetare verkligen bryr sig. En indikator på detta är att Stöldskyddsföreningen dagarna efter läckan från Miljödata noterade hur tusentals människor via Säkerhetskollen kollade upp om deras uppgifter fanns med.
Vad vinner vi på att ta tag i det här?
Om vi ska vara ärliga så innebär såklart en god GDPR-efterlevnad en hel del jobb. Det finns en orsak till att EU-kommissionen i november i fjol lanserade ett förenklingspaket. Företagen behöver inte fler administrativa bördor, men kanske snarare en förståelse för att god datahantering är en hygienfaktor för att alls kunna göra affärer.
I en tid när cybersäkerheten behöver finnas längs hela leverantörskedjan blir alla företag och organisationer tvungna att inte bara ha koll på sin egen hantering av data, utan även hur det står till hos deras leverantörer och partner.
Att ha koll på GDPR handlar inte enbart om att följa lagar och regler. Att kunna visa att man har koll på sin datahantering blir en license to operate för den som vill kunna leverera varor och tjänster till andra.
Så för er som inte har bakat någon tårta för firandet av internationella Dataskyddsdagen: Fine. Det gör ingenting. Det viktiga är att se till att alla är medvetna om att hanteringen av personuppgifter och data är en del av verksamheten. En viktig sådan.
GDPR infördes 2018. Många tror felaktigt att det här med datahantering och integritetsskydd då gick att ”checka av”. Det gjorde det inte. GDPR är fortfarande ”en grej”. Och vi behöver alla uppmärksamma det, vare sig det är Dataskyddsdagen eller en vanlig torsdag i februari.
Hanna Rönnqvist Learning content specialist på Junglemap
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Alltid aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
