Lyssna

Information om personuppgifter efter kapningen av facebookkonton

Under 27 april–4 maj 2023 hade Svenska kyrkan inte kontroll över sina nationella Facebooksidor. Här följer information om vad som har hänt och vilka konsekvenserna är.

Information om personuppgiftsincident 

Detta är ett meddelande från Trossamfundet Svenska kyrkan (Svenska kyrkan) med information om en personuppgiftsincident, i enlighet med dataskyddsförordningen (GDPR).  

Vad har hänt?

Svenska kyrkan fick den 27 april 2023 sina konton på Facebook, inkluderat meddelanden i Messenger och Instagram, kapade i ett s.k. phishing-angrepp. En extern aktör tog på så vis över kontrollen av kontona. Svenska kyrkan återfick kontrollen den 4 maj 2023. 

Vad har gjorts?

Efter kontakter med Facebooks och Messengers ägare Meta återfick Svenska kyrkan kontrollen över kontona den 4 maj 2023.  

Svenska kyrkan har gjort en anmälan om personuppgiftsincident till Integritetsskyddsmyndigheten och en polisanmälan om dataintrång.    

Svenska kyrkan har anlitat ett säkerhetsföretag för att utreda incidenten. Säkerhetsföretaget bedömde att det inte var en riktad attack mot Svenska kyrkan, utan att det var en bredare och internationell operation. 

I utredningen av incidenten har Svenska kyrkan av Meta frågat efter teknisk information, som kan visa om någon aktivitet skett på kontona under perioden som de kapats. Sådan information har i dagsläget inte erhållits. Dialogen med Meta pågår.     

Vilka personuppgifter omfattas av incidenten?

Personuppgiftincidenten omfattar personuppgifter som användare av Facebook, Messenger och via direktmeddelanden på Instagram genom aktivitet på plattformarna har delat med Svenska kyrkan.  

Om du har haft kontakt med Svenska kyrkan via Messenger eller direktmeddelanden via Instagram, har du delat dina personuppgifter med Svenska kyrkan. Personuppgifterna som delats är utöver ditt namn, också den skriftliga kommunikationen av olika karaktär och känslighet. 

Om du har organiserat – eller varit gåvogivare i – en insamling till Act Svenska kyrkan eller Svenska kyrkan i utlandet, som gjorts via Svenska kyrkans konton hos Facebook, har du delat dina personuppgifter med Svenska kyrkan. Personuppgifterna som delats är ditt namn, mejladress, gåvobelopp och insamlingens namn. 

Om du följer Svenska kyrkan på Facebook, är detta en personuppgift som delats med Svenska kyrkan.  Också om du på annat sätt har interagerat med Svenska kyrkan, t.ex. genom att gilla eller kommentera inlägg, har du delat dina personuppgifter med Svenska kyrkan.   

Angreppet var begränsat till konton som innehas av Svenska kyrkans nationella nivå och vissa utlandsförsamlingar. Pastorats och församlingars konton har inte drabbats.  

Vad är konsekvensen? 

Det kan inte uteslutas att personuppgifterna som du delat med Svenska kyrkan enligt ovan, har kopierats eller spridits utanför Svenska kyrkans organisation. Det kan inte heller uteslutas att någon genom läsning, har tagit del av personuppgifterna. Detta eftersom det inte genom s.k. loggar eller på annat sätt har kunnat säkerställas att kopiering eller läsning inte har skett, under perioden som Svenska kyrkan inte haft kontrollen över kontona.    

Vill du ha mer information?  

Om du har frågor om denna information går det bra att skicka e-post till någon av följande:

  • Svenska kyrkans team som arbetar med sociala medier, som har särskild beredskap i anledning av incidenten: socialamedier@svenskakyrkan.se
  • Trossamfundet Svenska kyrkans dataskyddsombud: kyrkokansliet.dataskyddsombud@svenskakyrkan.se

Bakgrund

Det var torsdag 27 april som Svenska kyrkans nationella konton på Facebook kapades i en så kallad phishingattack.

Det innebar att Svenska kyrkan inte kunde göra inlägg på sina Facebooksidor och inte heller svara på kommentarer och frågor. Det gällde bland annat sidorna

  • Svenska kyrkan på nationell nivå
  • Act Svenska kyrkan
  • Ärkebiskop Martin Modéus
  • Svenska kyrkan i utlandet.

Facebookkonton som ägs av församlingar, pastorat och stift i Sverige kapades däremot inte. Inte heller Svenska kyrkans konton på Twitter eller Instagram.

Dag för dag

Fredag 26 maj

Svenska kyrkan kompletterar anmälan till Integritetsskyddsmyndigheten efter att ha gjort en kartläggning över händelsen och omfattningen av den.

Torsdag 4 maj

Svenska kyrkan återfår kontrollen över de kapade kontona.

Söndag 30 april

  • Svenska kyrkan informerar om händelsen internt och externt. Internt via intranätet och till allmänhet och press via pressmeddelande och denna webbsida. 
  • Svenska kyrkan anmäler händelsen till Integritetsskyddsmyndigheten.

Lördag 29 april

  • Svenska kyrkan polisanmäler händelsen skriftligen.

Fredag 28 april

  • Svenska kyrkan polisanmäler händelsen muntligen.

Torsdag 27 april

  • Svenska kyrkan försöker kontakta Meta/Facebook vid flertalet tillfällen för att återfå kontrollen, men det är utan resultat.
  • Svenska kyrkan upptäcker att någon har kapat flera av Svenska kyrkans nationella konton på Facebook. Svenska kyrkan inleder arbetet med att återfå kontrollen över kontona.

Pressmeddelanden

Pressmeddelande fredag 5 april

Svenska kyrkan har fått tillbaka sina Facebook-konton.

Pressmeddelande söndag 30 mars

Sedan i torsdags eftermiddag har Svenska kyrkan inte längre kontroll över ett antal konton på Facebook som blivit kapade.