Information om personuppgiftsincident

Svenska kyrkan vill informera dig om en personuppgiftsincident som skedde i samband med att kyrkan utsattes för ett cyberangrepp i november 2023. Syftet med informationen är att berätta vad som hänt och vilka åtgärder kyrkan vidtagit. Vi ger även generella tips på vad du kan göra själv för att skydda dina personuppgifter.

Svenska kyrkan har hittills inga uppgifter om att angreppet syftade till att komma över personuppgifter eller att några personuppgifter missbrukats. Angriparen har inte tagit sig in i Svenska kyrkans medlemsregister, men kan ha haft tillgång till en begränsad mängd information från andra it-system och arbetsdatorer.  

Detta har hänt

Den 23 november 2023 upptäckte Svenska kyrkan att en obehörig part fått tillgång till ett antal it-system och arbetsdatorer. Den obehöriga parten spred en skadlig kod i systemen, krypterade data och laddade ner filer. Kyrkan anlitade ett team av säkerhetsexperter. De konstaterade att det rörde sig om en ransomware-attack, där angriparen tar kontroll över organisationens system och begär en lösensumma för att låsa upp dem.   
 
Personuppgifter i kyrkans it-miljö berör kyrkans personal, medlemmar, förtroendevalda och bidragsgivare. Efter analys konstaterar Svenska kyrkan att den obehöriga parten kan ha fått åtkomst till uppgifter om  

  • personer som kontaktat kyrkan i olika ärenden, till exempel medlemsfrågor eller för att boka lokal, dop, vigsel eller begravning
  • personer som haft kontakt med Svenska kyrkan i egenskap av huvudman för begravningsverksamheten
  • vuxna som deltar i kyrkans verksamhet, som körer, musikensembler eller föräldragrupper  
  • barn som deltar i kyrkans barnverksamhet  
  • ideella medarbetare  
  • kandidater till kyrkliga val  
  • tidigare anställda i Svenska kyrkan.

Berörda personuppgifter är namn, kontaktuppgifter, personnummer, medlemskap i Svenska kyrkan och i vissa fall civilstånd. För ideella medarbetare kan porträttbilder finnas bland personuppgifterna. För kandidater till kyrkliga val förekommer även uppgift om kyrkopolitisk åsikt (nomineringsgrupp). För den som fått utbetalningar från Svenska kyrkan förekommer kontouppgifter. 

Detta har kyrkan gjort och gör

När Svenska kyrkan upptäckte incidenten vidtogs omedelbart åtgärder för att skydda it-system och data. Det innebar bland annat att kyrkan stängde ned all åtkomst till berörda system, bytte samtliga lösenord och återinstallerade de drabbade arbetsdatorerna. Teamet av experter hjälpte till att begränsa, åtgärda och utreda incidenten. Arbetet fortsätter för att identifiera och införa ytterligare säkerhetsåtgärder för att förhindra liknande dataintrång i framtiden.

Incidenten har rapporterats till Integritetsskyddsmyndigheten och polisen.  

Generella tips på hur du skyddar dina personuppgifter

Cyberangrepp och stöld av personuppgifter är tyvärr inte ovanligt. Den som till exempel kommer över personnummer kan försöka använda informationen för bedrägeri och identitetsstöld. Känsliga uppgifter som kyrkopolitisk åsikt kan få spridning och kanske missbrukas. Här är några tips på vad du själv kan göra för att skydda dina personuppgifter: 

  • Betrakta oväntade meddelanden där du ombeds ge ut inloggningsuppgifter, ekonomisk eller annan personlig information som bedrägeri.
  • Undvik att klicka på länkar eller ladda ner bilagor från oväntade e-postavsändare eller misstänkta e-postmeddelanden.  
  • Spärra obehörig adressändring hos Skatteverket och obehörig vidaresändning eller lagring av post hos Adressändring. Detta för att ingen annan än du ska kunna ändra din adress.
  • Registrera digital brevlåda (exempelvis Kivra) för att få snabb information om kreditupplysning. Kreditupplysning sker som oftast vid fakturaköp och kan vara en indikator på att någon använder dina personuppgifter.  
  • Kontakta polisen vid misstanke om försök till brott.