Dataintrång — Vad du gör om dina personuppgifter läckt
Om ett företag haft ett dataintrång kan dina personuppgifter ha läckt. Lär dig hur du tar reda på om du drabbats, vad det innebär och hur du skyddar dig.
Varje år drabbas hundratals miljoner människor globalt av dataintrång — tillfällen då obehöriga tar sig in i ett företags system och stjäl lagrad information. Om du är kund hos ett drabbat företag kan dina personuppgifter ha hamnat i fel händer utan att du gjort något fel. Hur allvarligt det är beror helt på vad som läckt — ett e-postläckage är allvarligt men hanterbart, medan ett läckt personnummer kan kräva omedelbara skyddsåtgärder. Den här guiden hjälper dig förstå vad du ska göra.
Hur tar du reda på om du drabbats?
Det finns fyra sätt att ta reda på om din information finns med i ett dataintrång:
- haveibeenpwned.com — Gratis tjänst som kontrollerar om din e-postadress förekommer i kända läckor. Skriv in din adress och du får omedelbart besked om vilka intrång den förekommer i och vad som läckt.
- Direktmeddelande från företaget — Enligt GDPR är företag skyldiga att informera dig om ett intrång innebär hög risk för din integritet. Har du fått ett sådant e-postmeddelande — ta det på allvar, även om det verkar rutinmässigt formulerat.
- Nyhetsrapportering — Stora dataintrång rapporteras ofta i media. Om du är kund hos ett drabbat företag — anta att du berörs tills du vet annat.
- IMY:s incidentregister — Integritetsskyddsmyndigheten (IMY) tar emot anmälningar om dataintrång och publicerar information om allvarligare fall.
Vad kan ha läckt — och vad det innebär
Allvaret i ett dataintrång beror helt på vilken typ av data som exponerades. Tabellen nedan ger en snabb överblick:
| Vad läckt | Risk | Åtgärd |
|---|---|---|
| E-post + lösenord | Kontokapning | Byt lösenord, aktivera 2FA |
| Personnummer | ID-kapning | Kreditspärr + adresslåsning |
| Kortuppgifter | Kortbedrägeri | Spärra kort omedelbart |
| Adress + telefon | Phishing, vishing | Ökad vaksamhet |
| BankID-uppgifter | Kontokapning | Kontakta bank direkt |
En viktig detalj: kombinationer är farligare än enskilda uppgifter. En e-postadress är harmlös. En e-postadress med ett lösenord är ett intrångsverktyg. E-post + lösenord + personnummer + adress ger en bedragare nästan allt de behöver för att imitera dig.
Vad du ska göra steg för steg
Agera utifrån vad som läckt — men gör det snabbt. Stulna uppgifter säljs och används ofta inom timmar till dagar.
-
Byt lösenord omedelbart för alla tjänster där du använt samma lösenord som det som läckt. Använd ett unikt, starkt lösenord för varje tjänst (minst 16 tecken, helst slumpmässigt). En lösenordshanterare som Bitwarden eller 1Password gör detta hanterbart.
-
Aktivera tvåfaktorsautentisering (2FA) på alla viktiga tjänster — e-post, bank, sociala medier, myndighetsportaler. Med 2FA räcker det inte med ett stulet lösenord för att komma in på ditt konto.
-
Om personnummer läckt: Aktivera kreditspärr via UC och adresslåsning via Skatteverket utan dröjsmål. Dessa två åtgärder är de mest effektiva skydden mot att någon tar lån eller ändrar din adress i ditt namn. Läs mer i vår guide om att spärra personnummer.
-
Om kortuppgifter läckt: Ring din bank direkt och be dem spärra kortet och utfärda ett nytt. Kontrollera de senaste transaktionerna och bestrida eventuella obehöriga köp.
-
Anmäl till IMY om du lidit konkret skada. Om intrånget lett till att du förlorat pengar, fått din identitet missbrukad eller lidit annan skada har du rätt att anmäla det ansvariga företaget till IMY. Du kan också ha rätt till skadestånd — se nedan.
-
Bevaka din kreditupplysning under minst 12 månader efter ett intrång. Bedragare agerar ibland inte omedelbart — stulna uppgifter används ibland månader efter att de stulits. Beställ regelbundna gratis-upplysningar via uc.se.
Dina rättigheter vid dataintrång
GDPR ger dig som berörd person konkreta rättigheter:
- Rätt till information. Företaget är skyldigt att informera dig om intrånget innebär hög risk för din integritet (GDPR artikel 34). Om de inte gjort det kan det i sig vara en GDPR-överträdelse.
- Rätt att klaga. Du kan anmäla det ansvariga företaget till IMY utan kostnad. IMY kan utfärda sanktionsavgifter mot företag som hanterat din data vårdslöst.
- Rätt till skadestånd. Enligt GDPR artikel 82 har du rätt till ekonomisk ersättning om ett företag brustit i sitt dataskyddsansvar och du lidit skada — ekonomisk eller ideell. Kontakta en jurist med GDPR-inriktning om du vill driva det vidare.
- Rätt att begära radering. I vissa fall kan du begära att företaget raderar dina uppgifter efter ett intrång.
Kom ihåg: det är företagets ansvar att skydda din data, inte ditt. Du har rätt att utkräva ansvar.
Förebygg framtida skada
Du kan aldrig garantera att företag du anlitar aldrig drabbas av intrång — men du kan minimera skadan om det händer:
- Använd unika lösenord för varje tjänst. Om ett lösenord läcker påverkas bara en tjänst, inte alla.
- Använd en lösenordshanterare (Bitwarden är gratis och öppen källkod) så att du faktiskt orkar ha unika lösenord överallt.
- Aktivera 2FA på alla viktiga konton — e-post och bank är de viktigaste.
- Ge ut minimalt med information. Fyll inte i personnummer om det inte krävs. Använd en sekundär e-postadress för registreringar av lägre prioritet.
- Övervaka aktivt. En prenumeration på ett ID-skydd kan automatisera bevakning av dataintrång, kreditansökningar och dark web-läckor. Läs vår genomgång av id-skydd.
Vill du förstå bredden av identitetsstöld och hur allt hänger samman? Vår huvudguide om id-kapning ger dig den kompletta bilden.
Vanliga frågor
Hur vet jag om mina uppgifter läckt i ett dataintrång?
Vad kan hända om mina uppgifter finns med i ett dataintrång?
Kan jag kräva skadestånd om ett företag läckt mina uppgifter?
Måste ett företag berätta om de haft ett dataintrång?
Källa och vidare läsning
Den här artikeln baseras på officiell information från Integritetsskyddsmyndigheten (IMY) . Vill du läsa originalkällan hittar du den via länken.