En omfattande cyberattack mot IT-leverantören Miljödata AB, upptäckt lördagen den 23 augusti 2025, har försatt stora delar av den svenska offentliga sektorn i krisläge. Miljödata är en systemkritisk leverantör vars HR- och arbetsmiljösystem används av 80 procent av Sveriges kommuner, vilket innebär att känslig information för över en miljon anställda kan ha komprometterats.
Det drabbade företaget är Miljödata AB från Karlskrona, en specialist på mjukvara för personaladministration, och ska inte förväxlas med det allmänna begreppet ”miljödata”. Attacken är en allvarlig leverantörskedjeattack som blottlägger sårbarheter i den offentliga sektorns digitala infrastruktur.
Händelseförlopp och omfattning
- Lördag 23 augusti 2025: Miljödata upptäcker ett dataintrång, isolerar sina system och polisanmäler händelsen. Tjänster som rehabiliteringssystemet Adato blir otillgängliga.
- Måndag 25 augusti 2025: Leverantören informerar sina kunder, hundratals kommuner och flera regioner, som omedelbart aktiverar sina krisgrupper.
Miljödata AB har sedan 2000-talet utvecklat webbaserade system för bland annat rehabilitering (Adato) och rapportering av arbetsskador (Stella). Paradoxalt nog flyttade företaget 2016 sin drift till en molnleverantör just för att höja säkerheten och efterleva dataskyddsförordningen (GDPR). Att attacken ändå kunde ske understryker att sårbarheten sannolikt låg i Miljödatas egna applikationer eller rutiner, snarare än i molninfrastrukturen.
Nationell krisbild och fokus på Skåne
Strax efter att attacken blev känd bekräftade en rad stora offentliga aktörer att de var drabbade.
Tabell 1: Översikt: Bekräftade drabbade entiteter (per 26 augusti 2025)
| Entitet | Påverkade System | Typ av Data i Farozonen | Historisk Räckvidd | Officiella Åtgärder |
| Göteborgs Stad | Adato (rehabilitering), Stella (arbetsskador/tillbud) | Namn, personnummer, adress, hälsouppgifter, fritextanteckningar | Data sedan 2008 | Stoppat dataöverföring, inaktiverat inloggning, tät dialog med Miljödata |
| Skellefteå kommun | System för rehab, arbetsskador, arbetsrättsliga ärenden | Känsliga personuppgifter om nuvarande/tidigare anställda och elever | Okänt | Krisgrupp aktiverad, IMY-anmälan förbereds, system isolerade |
| Karlstads kommun | Arbetsmiljösystem för sjuk/friskanmälan, personalärenden | Känsliga personuppgifter om nuvarande/tidigare anställda | Okänt | IMY-anmälan förbereds inom 72 timmar, extern information via offentliga kanaler |
| Kalmar kommun | Adato (rehabilitering) | Känsliga personuppgifter, rehabiliteringsärenden | Okänt | IMY-anmälan förbereds, konstaterat ingen direkt koppling till egna servrar |
| Region Gotland | Fyra system för medarbetarrelaterade uppgifter | Läkarintyg, rehabiliteringsplaner, arbetsskador | Okänt | Kontinuerlig kontakt med Miljödata för att utreda omfattningen |
| Hässleholms kommun | Adato, Stella, Opus, Novi | Rehabiliteringsärenden, lönesamtal, anteckningar från medarbetarsamtal | Okänt | IMY-anmälan gjord, inväntar mer information från Miljödata |
| Bromölla kommun | System för läkarintyg och rehabiliteringsplaner | Hälsorelaterade personuppgifter | Okänt | Bevakar incidenten via unikom.se incidentresponsteam |
Incidenten visar på en systemrisk där offentlig sektors beroende av enskilda leverantörer skapar attraktiva mål för cyberkriminella.
I Skåne bröts en inledande tystnad när Hässleholms kommun och Bromölla kommun bekräftade att de var påverkade. Bromölla meddelade att incidenten hanteras i samverkan med unikom.se (IT-kommuner i Skåne)”, vilket kan förklara den samordnade och initialt återhållsamma kommunikationen i regionen. Givet Miljödatas marknadsdominans är det dock högst sannolikt att betydligt fler av Skånes 33 kommuner är drabbade.
Långsiktiga risker med känslig data
Attacken riskerar att exponera några av de mest känsliga personuppgifter en arbetsgivare hanterar, inklusive hälsodata, personnummer och konfidentiella anteckningar. En försvårande omständighet är att datan sträcker sig så långt tillbaka som till 2008, vilket Göteborgs Stad bekräftat. Detta innebär att miljontals nuvarande och tidigare anställda är potentiella offer. Många av dessa är svåra för kommunerna att nå, vilket skapar en långsiktig risk för identitetsstölder, bedrägerier och utpressning.
Konsekvenser och vägen framåt
Konsekvenserna av attacken är juridiska, operativa och finansiella. Drabbade kommuner är skyldiga att anmäla incidenten till Integritetsskyddsmyndigheten (IMY) inom 72 timmar och riskerar sanktionsavgifter. Operativt tvingas personalavdelningar till manuella rutiner, vilket leder till produktivitetsförluster. De finansiella kostnaderna för utredningar, säkerhetsåtgärder och potentiella skadestånd kommer att bli betydande. Den allvarligaste konsekvensen är dock den skada på förtroendet som uppstår när anställdas mest privata information hamnar på vift.
Attacken mot Miljödata måste bli en väckarklocka för svensk offentlig förvaltning. Riksrevisionen har tidigare pekat på brister i informationssäkerheten hos kommuner och regioner. Denna händelse bekräftar den bilden och understryker behovet av en fundamental omvärdering av riskhantering och IT-upphandling. Fokus måste skifta från enbart kostnad till att väga in säkerhet och resiliens. Detta kräver stärkt leverantörsgranskning, en medveten strategi för att minska beroendet av enskilda leverantörer och förbättrad nationell samverkan för att bygga ett digitalt robustare Sverige.
Miljödata AB har stängt in sig
När vi på Skåne Plus försöker kontakta Miljödata AB möts först av att de stängt ner hela sin webbsida. På sociala media har de inte kommunicerat något om incidenten. När vi efter flera försök når växeln hänvisar de alla frågor till sin VD via mejl. De säger att de inte vill kommentera att det skett en cyberattack eller inte och att all kommunikation sköts mot deras kunder. Så locket är på.
