Personuppgiftsincident leder till säkerhetsskyddstillsyn

Kan en större mängd personuppgifter utgöra en ansamling av information som sett i dess sammanhang kan medföra att säkerhetsskyddslagens krav på informationssäkerhet ska tillämpas och om en leverantör svarar för driftstjänster åt ett flertal myndigheter kan leverantörens samlade uppdrag ha betydelse för Sveriges säkerhet. Detta är delar av spännande frågor som just nu ska prövas av Förvaltningsrätten i Stockholm. En leverantör som tillhandahåller tjänster åt cirka 85 % av landets kommuner, fyra regioner samt stora privata bolag ska nu inkomma med sin säkerhetsskyddsanalys. Tillsynsmyndigheten fick kännedom om förhållandena genom en it-incident som drabbade bolaget. 

Bakgrund

I förarbetena till säkerhetsskyddslagen framgår bland annat att ”En större mängd av personuppgifter kan […] utgöra en sådan ansamling av information som sett i dess sammanhang kan medföra att säkerhetsskyddslagens krav på informationssäkerhet ska tillämpas.” (prop. 2017/18:89 sid 44 f). Det framgår också att en leverantörs samlade uppdrag kan ha betydelse för betydelse för Sveriges säkerhet om en leverantör svarar för driftstjänster åt ett flertal myndigheter. Även om de enskilda uppdragen i sig inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda till effekter för samhället i stort”, (prop. 2017/18:89 sid 45 f).

En verksamhetsutövare som är osäker på om och i vilken utsträckning verksamheten till någon del omfattas av säkerhetsskyddslagen bör göra en säkerhetsskyddsanalys för att få svar på den frågan, (prop. 2017/17:89 s. 137). 

Även om verksamhetsutövaren inte anmält sin verksamhet kan tillsyn utövas om tillsynsmyndigheten bedömer att verksamhetsutövaren omfattas av säkerhetsskyddslagen (prop. 2020/21:194 s. 81).

Bolaget

Bolaget i fråga tillhandahåller webbtjänster som underlättar för organisationer att systematisera och organisera sitt arbete inom arbetsmiljö och HR och har själv uppgett att dess kunder främst består av offentlig verksamhet och stora privata företag. 

Personuppgiftsincidenten

Lördag den 23 augusti skedde ett it-angrepp mot bolaget där det visade sig att angriparen haft tillgång till bolagets it-miljö och en stor mängd personuppgifter påverkats. Angriparen krypterade uppgifterna och hotade med att lägga ut uppgifterna på internet (Darkweb/Darknet). Minst 164 kommuner, 4 regioner, flera större privata verksamheter samt universitet och högskolor berördes attacken. Den 14 september publicerades uppgifterna på Darknet. Enligt Åklagarmyndigheten publicerades uppgifter om över 1,5 miljoner privatpersoner, i många fall även känsliga uppgifter.  Den 3 november 2025 inleder Integritetsskyddsmyndigheten (IMY) tillsyn mot bolaget. 

Föreläggande om att inkomma med säkerhetsskyddsanalys

Med anledning av incidenten, bolagets egna information om sin verksamhet och mot bakgrund av uttalandena i förarbetena inledde tillsynsmyndigheten ett tillsynsärende mot bolaget. Tillsynsmyndigheten antar att Bolaget bedriver säkerhetskänslig verksamhet. Bolaget har inte anmält till tillsynsmyndigheten att den bedriver säkerhetskänslig verksamhet. Bolaget förelades att inkomma med sin säkerhetsskyddsanalys inom tre veckor från delgivning. Bolaget överklagade föreläggandet som nu väntar på avgörande i Förvaltningsrätten i Stockholm

Rulla till toppen