2025 har vært et år som tydelig har vist hvor raskt trusselbildet kan endre seg. I løpet av året har flere alvorlige dataincidenter rammet både offentlig og privat sektor i Sverige. Felles for dem alle er at de viser hvor sårbar informasjonsflyten er – og hvor viktig det er å jobbe systematisk og kontinuerlig med personvern.
Når stadig mer av virksomhet, kommunikasjon og lagring skjer digitalt, øker risikoen for at sensitiv informasjon havner på avveie. Samtidig minner årets hendelser oss om at selv etablerte og profesjonelle aktører kan bli rammet. Dataincidenter kan oppstå raskt – noen ganger som følge av menneskelige feil, andre ganger gjennom målrettede angrep.
Selv om eksemplene i denne gjennomgangen er hentet fra Sverige, er lærdommene høyst relevante også for norske virksomheter.
2025 har vært preget av en urovekkende bølge av cyberangrep i Sverige. Gjennom året har flere store dataincidenter vist at ingen organisasjoner – uavhengig av størrelse eller bransje – er immune mot datainnbrudd.
Hendelsene er en tydelig påminnelse om at personvern ikke er noe man gjør én gang og deretter legger bort. For å forebygge alvorlige hendelser kreves et kontinuerlig og strukturert sikkerhetsarbeid – både internt og i samarbeid med leverandører og eksterne parter.
Nedenfor går vi gjennom noen av de mest omtalte dataincidentene i 2025 – og hva de kan lære oss om hvordan neste hendelse kan forebygges.
Årets hendelser har rammet virksomheter i vidt forskjellige sektorer – fra organisasjonsliv til energiforsyning – og viser at truslene kommer fra mange hold.
SportAdmin ble i januar utsatt for et datainnbrudd der uvedkommende fikk tilgang til medlemsopplysninger om idrettsutøvere. Miljödata AB, leverandør til både private og offentlige virksomheter, ble rammet av et ransomware-angrep som førte til at informasjon om sykefravær og rehabilitering ble spredt på darknet.
Hos fagforbundet Vision utnyttet angripere en sårbarhet i et nettskjema for medlemskap. Ved automatisk å teste hundretusener av personnummerlignende sekvenser fikk de tilgang til folkeregisteropplysninger fra SPAR og kunne bekrefte identiteten til et stort antall personer.
Også kleskjeden Mango opplevde en lignende situasjon da kunders kontaktopplysninger ble eksponert som følge av et datainnbrudd hos en ekstern markedsføringsleverandør.
I oktober 2025 bekreftet Verisure at deres datterselskap Alert Alarm hadde blitt utsatt for et datainnbrudd. Angrepet var rettet mot et separat IT-system, og saken etterforskes som grovt datainnbrudd og forsøk på utpressing.
Avslutningsvis har en hackergruppe hevdet å ha gjennomført et angrep og stjålet data fra Svenska kraftnät. Hendelsen er politianmeldt, og svenske myndigheter er involvert i etterforskningen.
Et fellestrekk ved mange av årets hendelser er at svakhetene ofte ligger hos leverandører eller eksterne samarbeidspartnere.
Mange virksomheter undervurderer hvor avhengige de er av sine databehandlere og systemleverandører. Én svak lenke i leverandørkjeden kan gjøre hele organisasjonen sårbar. Derfor er det avgjørende å jevnlig vurdere leverandørenes sikkerhetsnivå og ha tydelige rutiner for å følge opp hvordan de behandler personopplysninger på deres vegne.
Dette krever både planlegging og struktur – men også en kultur der sikkerhetsarbeid ses som en kontinuerlig prosess og en naturlig del av den løpende driften, ikke som et tidsavgrenset prosjekt.
GDPR stiller tydelige krav til personvern og informasjonssikkerhet. Etter artikkel 32 skal behandlingsansvarlige iverksette egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger.
En sentral del av dette kravet er at virksomheten regelmessig skal teste, kontrollere og evaluere hvor effektive sikkerhetstiltakene faktisk er. Det er ikke tilstrekkelig å ha retningslinjer og dokumentasjon – tiltakene må fungere i praksis.
Dette kan blant annet innebære:
Penetrasjonstesting og sårbarhetsskanning
Gjennomgang av hendelseslogger og sikkerhetsrapporter
Kontroll av leverandørers sertifiseringer og sikkerhetsrutiner
Tiltak som var tilstrekkelige i fjor, er ikke nødvendigvis gode nok i dag. Trusselbildet er i konstant endring – og det må også beskyttelsestiltakene være.
Et aktivt sikkerhetsarbeid handler derfor om mer enn etterlevelse. Det handler om å bygge robusthet og motstandskraft over tid.
For å redusere risikoen for datainnbrudd bør virksomheten:
Velge databehandlere med dokumentert sikkerhetsnivå
Jevnlig innhente og vurdere sikkerhetsrapporter, som for eksempel SOC 2 eller ISO 27001
Sikre retten til revisjon (audit) i avtalene – og faktisk benytte den
Dette handler om å skape åpenhet og kontroll. Å stole blindt på leverandørenes forsikringer er ikke tilstrekkelig. GDPRs prinsipp om ansvarlighet innebærer at dere må kunne dokumentere at dere jobber proaktivt og følger opp sikkerheten hos samarbeidspartnere.
Personvern er ikke noe man blir ferdig med. Det er et løpende ansvar som krever oppfølging, dokumentasjon og kontinuerlig forbedring. Ved å ta sikkerhet og leverandørkjede på alvor beskytter dere ikke bare data – men også virksomhetens omdømme og fremtid.
Ønsker dere å se hvordan arbeidet med løpende sikkerhetsvurdering og leverandøroppfølging kan forenkles?
Book en demo og se hvordan vår løsning hjelper dere med å:
Følge kravene i GDPR, inkludert artikkel 32
Få struktur på sikkerhetsoppfølging og leverandørkontroll
Skape trygghet gjennom sporbar og kontinuerlig etterlevelse
Med riktig støtte og riktige verktøy har dere alltid oversikt over personvernarbeidet – og kan fokusere på virksomheten med trygghet om at dere står bedre rustet mot fremtidige trusler. Vi hjelper dere med en strukturert, sporbar og robust metodikk for hele personvernarbeidet – fra dokumentasjon til løpende oppfølging, i samarbeid med våre spesialister og eksperter.