Personuppgiftsincident efter dataintrång vid Miljödata

Publicerad:

Uppdaterad:

Systemleverantören Miljödata har utsatts för ett dataintrång. Hotaktören har publicerat de stulna personuppgifterna på Darknet, däribland personuppgifter för anställda och tidigare anställda i Stockholms stad. Staden arbetar aktivt med åtgärder.

Ett stort antal kommuner och andra organisationer har drabbats av dataintrånget hos Miljödata och vars stulna personuppgifter också finns på Darknet. Staden arbetar nu med att utreda vad som hänt. Berörda informeras och de åtgärder som krävs vidtas. Staden har anmält personuppgiftsincidenten till Integritetsskyddsmyndigheten IMY och till polisen. En förundersökning om dataintrång pågår. 

Vad har hänt?

Den 25 augusti fick Stockholms stad information från systemleverantören Miljödata om att deras it-miljöer utsatts för ett dataintrång. Staden har inget driftsatt system hos Miljödata, personuppgifterna fanns i en produktionsmiljö inför ett kommande införande av ett system för rapportering och uppföljning av arbetsmiljöincidenter. 

Vid dataintrånget hos Miljödata i augusti stals personuppgifter. Det blev känt söndagen den 14 september då hotaktören publicerade de stulna personuppgifterna på Darknet, däribland personuppgifterna från Stockholms stad. Darknet är en krypterad del av internet som nås med specialprogram. 

De personuppgifter som Stockholms stad hade hos Miljödata är: 

  • personnummer
  • förnamn och efternamn
  • telefon och mobiltelefon (hem och/eller till arbete)
  • e-postadress (hem och/eller till arbete)
  • utdelningsadress (hem)
  • organisationskopplingar (Webb-ID strukturen i LISA självservice)
  • anställningsidentitet/AD-konto
  • anställningsperiod
  • anställningsform
  • yrke/befattning (yrkeskod).

Vem påverkas av personuppgiftsincidenten?

Incidenten berör personuppgifter om medarbetare som är eller har varit anställda vid Stockholms stads förvaltningar (ej bolag) under perioden 2024 till augusti 2025. 

Berörs personer med skyddade personuppgifter?

Stadens analys av den information som publicerats på Darknet visar att skyddade personuppgifter finns i den data som har röjts. Staden ser mycket allvarligt på det inträffade och arbetar intensivt med att vidta de åtgärder som krävs. Arbetet är prioriterat och hanteras individuellt utifrån de uppgifter som är kända för staden. Vilka åtgärder som vidtas kan inte kommenteras med hänsyn till sekretess. 

Tidigare medarbetare som slutat sin anställning i Stockholms stad sedan 2024 och efter avslutad anställning fått skyddade personuppgifter ombeds att kontakta förvaltningens dataskyddsombud, se kontaktuppgifter nedan. 

Vilka åtgärder har staden vidtagit?

Stockholms stad har anmält personuppgiftsincidenten till Integritetsskyddsmyndigheten (IMY) och till polisen. En förundersökning om dataintrång pågår.

De medarbetare med skyddade personuppgifter som drabbats hanteras individuellt och prioriterat. 

Stockholms stad fortsätter analysen av den data som publicerats på Darknet. 

I arbetet som pågår har staden en tät och löpande dialog med systemleverantören Miljödata. Staden följer polisens brottsutredning. 

Sannolika konsekvenser av personuppgiftsincidenten

Möjliga konsekvenser av incidenten är att medarbetare riskerar att förlora kontrollen över de egna personuppgifterna och att personuppgifterna används på ett bedrägligt sätt. Det kan handla om bedragare som utger sig för att vara en pålitlig källa (som en bank eller ett företag) för att lura dig att lämna ut känslig information som bankuppgifter eller lösenord.

Tänk särskilt på att:

  • Vara uppmärksam på misstänkta e-postmeddelanden, telefonsamtal eller annan kommunikation som vid första anblick verkar komma från betrodda källor. 
  • Vara skeptisk mot oväntade kontakter. Be att få motringa (alltså lägga på och ringa upp till ett nummer du känner, eller via ett känt växelnummer).
  • Identifiera dig aldrig med exempelvis Bank-ID om det inte är du själv som tagit kontakt. Klicka inte på länkar eller bilagor i SMS och dylikt. 
  • Vara uppmärksamma på ifall post saknas, om nya bankkonton eller telefonabonnemang du inte känner igen öppnas i ditt namn eller om du får fakturor på varor du inte beställt och brev från kreditupplysningsföretag om ansökta krediter som du inte känner igen.  
  • Om du misstänker att dina uppgifter har missbrukats ska du rapportera detta till polisen omedelbart. 

Läs mer om hur du kan göra för att begränsa eventuella skadeverkningar. Här finns bra information om hur du kan göra det: 

Åtgärder om du har berörts av en personuppgiftsincident, IMY:s webbplats

Har personuppgifter om dig läckt i it-angreppet mot Miljödata? IMY:s webbplats

Identitetsintrång – så skyddar du dig mot id-kapning och identitetsstöld, Skatteverkets webbplats

Identitetsintrång, id-kapning på Polismyndighetens webbplats

Digital säkerhet på MSB:s webbplats

Kontakt  

Anställda och tidigare anställda som känner oro eller har frågor om det inträffade vänder sig till dataskyddsombudet vid den förvaltning man är eller har varit anställd. 

Dataskyddsombud - Stockholms stad

Du kan även kontakta din chef eller hr-funktionen vid din förvaltning.