Vad händer med mina uppgifter efter ett dataintrång?

Dina uppgifter sorteras, paketeras och säljs på dark web, ofta inom dagar efter intrånget. E-post och lösenord säljs billigt medan fullständiga identitetspaket med personnummer kan kosta hundratals kronor.

Hur snabbt kan mina uppgifter missbrukas efter ett dataintrång?

Stulna uppgifter kan börja missbrukas inom timmar. Automatiserade verktyg testar stulna inloggningsuppgifter på hundratals tjänster samtidigt. Ju snabbare du agerar, desto bättre.

Måste företag informera mig vid dataintrång?

Ja, enligt GDPR måste företag informera drabbade individer utan onödigt dröjsmål om intrånget medför hög risk för deras rättigheter. De måste också anmäla till IMY inom 72 timmar.

Kan jag få skadestånd efter ett dataintrång?

Ja, enligt GDPR har du rätt till ersättning om du lidit skada på grund av ett företags bristande personuppgiftshantering. Du kan vända dig direkt till företaget eller till domstol.

Hur vet jag om mina uppgifter säljs på dark web?

Utan aktiv övervakning är det svårt att veta. En ID-skyddstjänst med dark web-skanning bevakar automatiskt och varnar dig om dina uppgifter dyker upp. Du kan också kontrollera haveibeenpwned.com regelbundet.

Dataintrång — Vad händer med dina uppgifter efteråt?

Från dataintrång till identitetsstöld — en kedjereaktion

När ett företag drabbas av ett dataintrång är det bara början på en kedja av händelser som kan drabba dig personligen. Dina personuppgifter, som du en gång lämnade i förtroende till företaget, hamnar i händerna på kriminella som systematiskt exploaterar dem för ekonomisk vinning. Processen från intrång till faktiskt missbruk följer ett förutsägbart mönster, och att förstå detta mönster är nyckeln till att skydda sig. Ju snabbare du agerar efter att ha fått besked om ett dataintrång, desto större är chansen att du undviker allvarliga konsekvenser. Ett ID-skydd med dark web-övervakning kan ge dig avgörande försprång genom att varna innan bedragare hinner agera.

Osäker på vilket ID-skydd du behöver?

Jämför ID-skydd →

Oberoende · Uppdaterat mars 2026

Sverige har under de senaste åren drabbats av flera uppmärksammade dataintrång som berört miljontals medborgare. Transportstyrelsens läcka, Gunnebo-intrånget och flera vårdrelaterade läckor har visat att ingen sektor är immun. Globalt rapporteras tusentals dataintrång varje år, och det verkliga antalet är troligtvis mycket högre eftersom många aldrig upptäcks eller rapporteras. Din data finns med stor sannolikhet redan i minst en läckt databas.

Tidslinjen: Från intrång till missbruk

Tidslinjen från dataintrång till faktiskt missbruk av dina uppgifter följer ett typiskt mönster. Först genomför hackarna själva intrånget, vilket kan pågå i veckor eller månader innan det upptäcks. Den genomsnittliga tiden för ett företag att upptäcka ett intrång är enligt IBM:s årliga rapport över 200 dagar. Under denna tid extraherar hackarna data i lugn och ro. När intrånget väl upptäcks, eller när hackarna är klara, börjar nästa fas.

Inom timmar till dagar efter att datan extraherats sorteras den och förbereds för försäljning. Hackarna eller deras mellanhänder kategoriserar uppgifterna efter typ och värde. Inloggningsuppgifter till finansiella tjänster är mest värdefulla, följt av e-postkonton och sociala medier. Personnummer och fullständiga identitetspaket placeras i en egen premiumkategori. Därefter läggs datan ut till försäljning på dark web-marknadsplatser och i slutna forum. Köparna, ofta andra kriminella grupper som specialiserar sig på bedrägeri, börjar sedan utnyttja uppgifterna. Denna fas kan börja redan samma dag som datan blir tillgänglig.

Vad säljs på dark web?

Credentials — inloggningsuppgifter

De vanligaste varorna på dark web är så kallade credentials, det vill säga kombinationer av e-postadress och lösenord. Dessa säljs i stora paket, ofta med miljontals poster, till låga priser. Ett paket med en miljon e-post/lösenord-kombinationer kan kosta så lite som 100 kronor. Köparna använder automatiserade verktyg som credential stuffing-program för att testa dessa kombinationer på hundratals populära webbplatser samtidigt. Eftersom många återanvänder lösenord ger detta ofta tillgång till flera konton per person. Läs vår guide om läckta lösenord för att kolla om du är drabbad.

Fullz — kompletta identitetspaket

Mer värdefulla är så kallade fullz, fullständiga identitetspaket som innehåller namn, personnummer, adress, födelsedatum, telefonnummer och ibland även bankuppgifter. Ett svenskt fullz-paket kan säljas för 500 till 2000 kronor beroende på hur komplett det är och hur "färskt" det anses vara. Med ett fullz-paket kan en bedragare ta lån, öppna bankkonton, beställa kreditkort eller genomföra andra identitetsbedrägerier i offrets namn.

Personnummer

Svenska personnummer är en eftertraktad handelsvara eftersom de ger tillgång till så många tjänster i det svenska samhället. Ett enskilt personnummer med tillhörande grunduppgifter kan säljas för 200 till 500 kronor. Bedragare använder dem för att ansöka om krediter, teckna abonnemang, skapa falska konton och mer. Att ha sitt personnummer exponerat i ett dataintrång innebär en långvarig risk, eftersom personnumret till skillnad från ett lösenord inte kan bytas.

Stora dataintrång som drabbat Sverige

Sverige har inte varit förskonat från allvarliga dataintrång. Transportstyrelsens IT-skandal 2017 exponerade känsliga uppgifter om fordon, körkort och i värsta fall försvarshemligheter genom bristande säkerhet vid outsourcing. Gunnebo, säkerhetsföretaget, drabbades 2020 av ett ransomware-angrepp där ritningar av bankvalv och säkerhetsanläggningar stals och publicerades. Coop tvingades stänga hundratals butiker 2021 efter Kaseya-attacken som drabbade deras kassasystem.

Inom sjukvården har flera regioner drabbats av intrång och läckor som exponerat patientjournaler och personnummer. Utöver dessa stora fall sker ständigt mindre intrång som aldrig blir nyheter men som drabbar enskilda individer lika hårt. Varje gång du lämnar dina uppgifter till ett företag eller en myndighet finns en risk att de hamnar i fel händer. Det är inte en fråga om utan när nästa stora dataintrång sker.

Hur du vet om du drabbats

Företag som drabbats av dataintrång är enligt GDPR skyldiga att informera drabbade individer om intrånget medför hög risk. I praktiken kan denna information komma sent, ibland veckor eller månader efter intrånget. Du bör därför inte förlita dig enbart på företagets information. Kontrollera regelbundet haveibeenpwned.com med alla dina e-postadresser. Håll koll på nyheter om dataintrång som kan beröra tjänster du använder. Var uppmärksam på oväntade inloggningsförsök, lösenordsåterställningar eller kontoutdrag som inte stämmer. Läs mer i vår kompletta guide om dataintrång.

Akut åtgärdslista vid dataintrång

Byt lösenord omedelbart på den drabbade tjänsten och alla andra tjänster där du använt samma lösenord.
Aktivera tvåfaktorsautentisering (2FA) på alla viktiga konton, särskilt e-post och bank.
Kontrollera kontoutdrag och kreditupplysning efter misstänkta aktiviteter.
Spärra kreditupplysning hos UC och andra kreditupplysningsföretag om personnummer kan ha exponerats. Läs mer i vår guide om kreditupplysningsspärr.
Aktivera ID-skydd med dark web-övervakning för att få löpande varningar.
Anmäl till Polisen om du upptäcker att dina uppgifter missbrukats.
Dokumentera allt för eventuella skadeståndsanspråk mot det drabbade företaget.

Företags skyldigheter enligt GDPR

Enligt dataskyddsförordningen GDPR har företag tydliga skyldigheter vid dataintrång. De måste anmäla intrånget till Integritetsskyddsmyndigheten (IMY) inom 72 timmar efter upptäckt. Om intrånget medför hög risk för de registrerades rättigheter och friheter måste även de drabbade individerna informeras utan onödigt dröjsmål. Informationen ska vara tydlig och innehålla vad som hänt, vilka data som berörts, vilka konsekvenser det kan få och vilka åtgärder företaget vidtagit och rekommenderar.

Företag som bryter mot GDPR riskerar kraftiga sanktionsavgifter, upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. IMY har de senaste åren skärpt tillsynen och utdömt allt högre avgifter. Du kan läsa mer om dina rättigheter i vår guide om GDPR och dina rättigheter.

Din rätt till skadestånd

Enligt GDPR artikel 82 har du rätt till ersättning om du lidit materiell eller immateriell skada till följd av en överträdelse av förordningen. Det innebär att om ett företag hanterat dina personuppgifter vårdslöst och detta lett till ett dataintrång som skadat dig kan du kräva skadestånd. Du kan vända dig direkt till företaget med ditt anspråk eller ta ärendet till domstol. Flera grupptalanprocesser har inletts i Sverige och Europa mot företag som drabbats av stora dataintrång.

För att styrka ditt anspråk bör du dokumentera alla skador du lidit: tid spenderad på att åtgärda problemet, ekonomiska förluster, psykisk stress och eventuella kostnader för ID-skyddstjänster. Bevara all kommunikation med det drabbade företaget och samla bevis på att dina uppgifter exponerats. Många integritetsjurister erbjuder gratis initial rådgivning, och vissa arbetar på villkor att de bara tar betalt om du vinner.

Långsiktigt skydd med ID-skydd

Att reagera snabbt vid ett dataintrång är viktigt, men det bästa skyddet är proaktivt. En ID-skyddstjänst med dark web-övervakning bevakar kontinuerligt om dina uppgifter dyker upp i nya läckor eller säljs på dark web-marknadsplatser. De bästa tjänsterna övervakar personnummer, e-postadresser, telefonnummer, kreditkortsnummer och lösenord. Du får en omedelbar notis när en träff hittas, ofta innan bedragare hunnit utnyttja uppgifterna. Läs mer i vår guide om dark web-övervakning.

Kombinera dark web-övervakning med kreditupplysningsspärr, starka unika lösenord via en lösenordshanterare och tvåfaktorsautentisering på alla viktiga konton. Denna kombination ger ett robust skydd som gör det betydligt svårare för bedragare att utnyttja stulna uppgifter. Jämför ID-skyddstjänster och välj det skydd som passar dig bäst. I en värld där dataintrång är oundvikliga handlar det inte om att helt eliminera risken, utan om att minimera konsekvenserna när det händer.