IMY inleder granskning efter Miljödata-läckan

4 minuter läsning • Simon • DATASKYDDSFöRORDNINGEN • 4 november 2025
  1. Tillsyn mot både biträde och personuppgiftsansvarig
  2. Vad innebär detta för privata aktörer?
  3. Dataskyddsombudets roll blir allt viktigare
  4. Personuppgiftsincidenter hos leverantörer får konsekvenser i hela kedjan

Integritetsskyddsmyndigheten (IMY) har nu inlett tillsyn mot både systemleverantören Miljödata och tre offentliga verksamheter som använt bolagets tjänster. Granskningen följer det omfattande dataintrång som drabbade Miljödata i augusti 2025, då personuppgifter om över 500 000 svenskar publicerades på Darknet.

Det som gör IMY:s beslut särskilt intressant är att man inte enbart granskar leverantörens säkerhetsbrister, utan också de personuppgiftsansvarigas roll – alltså kunderna som behandlat uppgifterna i Miljödatas system. Den här typen av tillsyn understryker ett centralt budskap i vårt tidigare inlägg om arbetsgivarens ansvar vid personuppgiftsincidenter: ett IT-angrepp mot en extern part kan snabbt bli en tillsyn mot din egen verksamhet. Ett externt dataskyddsombud är därför en viktig resurs för att säkra både regelefterlevnad och beredskap vid incidenter.

Tillsyn mot både biträde och personuppgiftsansvarig

IMY markerar här att ansvaret inte stannar hos den drabbade leverantören – utan att även kunder som behandlar uppgifter i leverantörens system måste kunna visa att deras egna processer följer dataskyddsförordningen. IMY:s tillsynsärenden omfattar:

  • Miljödata AB – med fokus på brister i informationssäkerhet kopplat till själva intrånget.
  • Göteborgs stad, Älmhults kommun och Region Västmanland – där granskningen rör den egna behandlingen av personuppgifter i Miljödatas system.

För dessa kunder efterfrågar IMY bland annat:

  • hur omfattande personuppgiftsbehandlingen varit,
  • vilka typer av uppgifter som behandlats (t.ex. känsliga uppgifter och barns uppgifter),
  • om uppgifter om personer med skyddad identitet behandlats,
  • hur länge uppgifterna lagrats i systemet.

Dessa frågor speglar kravet på att kunderna enligt GDPR ska ha kontroll över innehåll, lagringstid och skyddsnivå – trots att det är leverantören som rent tekniskt driftar systemet.

Vad innebär detta för privata aktörer?

Även om tillsynerna riktar sig mot offentliga aktörer är lärdomarna fullt tillämpliga på privata företag som använder molntjänster, exempelvis inom HR, vård eller andra verksamheter. Enligt dataskyddsförordningen (GDPR) har den personuppgiftsansvarige ett oförminskat ansvar att:

  • veta vilka uppgifter som behandlas i molntjänsten,
  • säkra att uppgifter inte lagras längre än nödvändigt,
  • kunna visa att biträdet har tillräckliga tekniska och organisatoriska skyddsåtgärder,
  • samt dokumentera att det finns rutiner för rensning och uppföljning.

Avsaknad av denna kontroll kan leda till att även privata aktörer omfattas av tillsyn, särskilt vid större incidenter eller med känsliga uppgifter i systemet.

Dataskyddsombudets roll blir allt viktigare

Att tillsyn nu riktas mot flera led i personuppgiftskedjan visar varför ett aktivt och oberoende dataskyddsombud är avgörande. I incidenter likt Miljödata-läckan behöver ombudet:

  • överblicka både leverantörens och den egna organisationens ansvar,
  • säkerställa att lagring och gallring följer lagens krav,
  • stötta vid incidentrapportering till IMY och registrerade,
  • och följa upp att säkerhetsåtgärder faktiskt fungerar i praktiken.

För mindre organisationer och bolag som inte har resurser för ett internt dataskyddsombud kan ett externt dataskyddsombud vara en kostnadseffektiv lösning – inte bara för att efterleva GDPR, utan för att agera snabbt vid en personuppgiftsincident.

Personuppgiftsincidenter hos leverantörer får konsekvenser i hela kedjan

Granskningen efter Miljödata-incidenten är ett exempel på hur en enda säkerhetsbrist hos ett personuppgiftsbiträde kan kasta ljus över fler brister – även hos kunderna. Det understryker vikten av att personuppgiftsansvariga (exempelvis en arbetsgivare), oavsett sektor, har koll på vilka uppgifter de behandlar, hur länge>, och varför.

Att outsourca tekniken innebär inte att man outsourcar ansvaret. Därför bör varje organisation – offentlig såväl som privat – säkerställa att det finns rätt kompetens och rutiner för att hantera både vardagen och kriser i dataskyddsarbetet.

På Morling Consulting hjälper våra dataskyddsjurister företag och organisationer att navigera rätt i leverantörsförhållanden, dokumentera ansvarsfördelning och agera korrekt vid personuppgiftsincidenter. Vi kan stötta genom att ta rollen som dataskyddsombud eller genom att ge tillfällig eller återkommande rådgivning.

Senaste inlägg

Bilden visar en jurist som analyserar ett avtal.

6 november 2025

Vad gör en GDPR-advokat?
Läs mer
Bilden visar en man som står brerdvid ett när som representerar gdpr.

5 november 2025

GDPR-audit i praktiken – så testar du din efterlevnad innan IMY gör det
Läs mer
En illustration i Material Design-stil som visar en server där binärkod rinner ut som ett digitalt läckage. Runt servern finns en transparent sköld med ett vitt paragraftecken (§), som symboliserar juridiskt skydd mot dataläckage. Bilden går i ljusa blå toner med inslag av turkos och små orangea detaljer.

4 november 2025

IMY inleder granskning efter Miljödata-läckan
Läs mer