26 februari 2026

Markant ökning av personuppgiftsincidenter – IMY aviserar fler egeninitierade tillsyner

I den årsredovisning som Integritetsskyddsmyndigheten (IMY) nyligen överlämnat till regeringen framgår att antalet anmälda personuppgiftsincidenter fortsätter att öka kraftigt. Under 2025 inkom totalt 12 276 anmälningar, vilket innebär en ökning på nästan 90 procent jämfört med 2024. Personuppgiftsincidenter är därmed fortsatt ett av myndighetens största volymflöden, samtidigt som IMY framhåller att inflödet av anmälningar inte går att påverka. Däremot kan myndigheten påverka hur dessa incidenter hanteras, och under 2025 har IMY arbetat aktivt med att utveckla sina arbetsformer vid större och mer komplexa incidenter. Detta har inneburit ett mer proaktivt och kommunikativt arbetssätt, där IMY i högre grad bistår verksamheter genom vägledning, informationsinsatser och dialogmöten. Syftet är att snabbare kunna stödja de personuppgiftsansvariga och begränsa incidenternas effekter.

Samtidigt visar årsredovisningen att IMY:s omfattande arbete med att hantera det stora inflödet av klagomål under året har begränsat myndighetens möjlighet att bedriva egeninitierad tillsyn. Endast ett fåtal sådana tillsyner inleddes, även om några av dem rörde mycket omfattande incidenter i form av dataintrång samt ett säkerhetsföretags kamerabevakning av anställda. IMY framhåller dock att myndigheten avser att öka den egeninitierade tillsynen framöver. Mot bakgrund av de incidenter som redan lett till egeninitierad tillsyn är det rimligt att anta att IMY även framöver kommer att granska incidenter som innebär betydande risker för de registrerades rättigheter och friheter. Med detta ökar betydelsen för verksamheter av att löpande arbeta strukturerat med dataskydd och att kunna visa att man uppfyller kraven. Det innebär bland annat att

  • lämpliga tekniska och organisatoriska åtgärder måste vara på plats i förhållande till den aktuella risken,
  • säkerheten även måste vara tillräcklig hos eventuella personuppgiftsbiträden, och
  • incidenthantering och incidentrapportering behöver vara väl inarbetade i verksamhetens rutiner.

Vi på Advokatbyrån Gulliksson bistår gärna i dataskyddsrättsliga frågor, t.ex. när det gäller bedömningar av lagligheten av personuppgiftsbehandling, rådgivning kring incidenthantering, granskning och upprättande av biträdesavtal, intern dokumentation enligt GDPR, samt riskanalyser och bedömningar av tekniska och organisatoriska åtgärder.