Sigurður JónssonÍ desember 2025 urðu gögn þúsunda Íslendinga fórnarlamb netárásar á Grund hjúkrunarheimilið — sjúklingagögn, starfsmannagögn og upplýsingar um aðstandendur íbúa, safnað yfir mörg ár, fóru í hendur óþekktra glæpamanna. Árástin var talin hraðvirkni netöryggisstjóra að sporna við. En spurningin er: hvað áttu fórnarlömb til réttar?
Hvað gerðist í Grund-netárásinni?
Ráðist var í gagnagrunna Grund í desember 2025 í því sem rannsóknaraðilar hafa lýst sem grunsamlegri lausnarvírusnæringu (ransomware) — þó enginn lausnargreiðslubeiðni hafi komið fram. Anton Már Egilsson hjá netöryggisfyrirtækinu Syndis, sem viðreiddi árásina, sagði í skýrslu Iceland Review í febrúar 2026: "Við brugðumst hratt til að stöðva árásina og koma í veg fyrir frekara tjón."
Þær upplýsingar sem komast í hendur glæpamanna voru af viðkvæmasta tagi: heilbrigðisgögn sjúklinga, starfsmannagögn og persónulegar upplýsingar um fjölskyldur íbúanna — allt saman safnað yfir langt tímabil. CERT-IS, Persónuvernd, Europol og Interpol tóku þátt í rannsókninni.
Þetta er ekki einangrað atvik. Samkvæmt CERT-IS ársyfirliti 2025, sem kom út í apríl 2026, skráðust 5.240 tilkynningar til stofnunarinnar á árinu 2025 — 26% aukning frá 2024. Fjöldi tilvika sem krafðist íhlutunar hækkaði um 43%. Rafrænar innbrotslegar tilraunir jukust um 388% — í einni hárri tölu. Lausnarvírusárásir tvöfölduðust í fjórða sinn í röð.
CERT-IS: netglæpir á Íslandi eru á hraðri uppleið
Á undanförnum fjórum árum hefur netglæpavirkni á Íslandi stækkað dramatískt. Árið 2021 meðhöndlaði CERT-IS 598 mál. Árið 2025: 2.312 mál sem þurftu íhlutun. Vinsælustu glæpaformið er ruslpóstssvindel (phishing) — 1.304 tilvik — en þeim fylgja ítarlegar innbrotslegar tilraunir þar sem gerendur eru að hluta til raknir til Rússlands, Kína og Norður-Kóreu.
Frá 2023 til 2025 töpuðu Íslendingar yfir 2 milljörðum króna vegna greiðslusviksins, samkvæmt gögnum Seðlabankans. Og rannsóknir sýna að lægst þriðjungur netárása kemst aldrei til vitundar lögreglu eða CERT-IS — talan er því hlutfallslega hærri.
5 réttindi sem þú hefur samkvæmt GDPR
Ísland innleiddi GDPR í lög með lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Persónuvernd er eftirlitsstofnunin. Þessi lög veita þér sem einstaklingi eftirtalin réttindi:
1. Réttur til upplýsinga. Ef brot hefur mikil áhrif á þig á viðkomandi stofnun að hafa samband við þig með skýrum hætti — án seinkana — og gera grein fyrir því hvaða gögn voru sett í hættu.
2. Aðgangsréttur. Þú getur óskað eftir því að fá afhentar allar persónulegar upplýsingar sem stofnunin geymir um þig — þ.m.t. hvað nákvæmlega varð uppvís í árásinni.
3. Réttur til eyðingar ("Gleymslurétturinn"). Undir ákveðnum skilyrðum getur þú krafist þess að persónuupplýsingar um þig verði eytt — sérstaklega ef þær eru ekki lengur nauðsynlegar í þeim tilgangi sem þær voru safnaðar.
4. Réttur til leiðréttingar. Ef gögn um þig eru röng eða óuppfærð hefur þú rétt til þess að láta leiðrétta þau.
5. Réttur til skaðabóta. Þú átt rétt á bæðar efnislegum bótum (fjárhagslegt tjón) og óefnislegum bótum (geðrænn skaði eins og kvíði og streita) á grundvelli 82. gr. GDPR. Þessir réttur krefst ekki þess að þú sannar ögrandi tjón — það er bótaskylt þegar brot á persónuverndarlögum hefur valdið þér persónulegu tjóni.
Hvað getur þú gert ef þú ert meðal fórnarlambanna?
Ef þú hefur ástæðu til að ætla að gögn þín hafi verið í Grund-kerfunum — eða í öðrum stofnunum þar sem netárásir hafa átt sér stað — eru þessi skref ráðlögð:
- Hafðu samband við viðkomandi stofnun og beiddu þig um staðfestingu á hvaða gögn um þig eru til.
- Vaktaðu bankareikninga þína og rafræn skilríki fyrir óþekktar hreyfingar eða aðgangsfjarlægðar.
- Sendu kvörtun til Persónuverndar (postur@personuvernd.is) ef þú telur að réttindum þínum hafi ekki verið sinnt.
- Ef þú hyggst krefjast bóta skaltu leita til lögfræðings — bótarétturinn undir GDPR krefst þess að skilgreint tjón geti verið tengt beinlínis við brotið.
Til að tilkynna um netglæpi beinlínis er hægt að nota ríkisgátuna island.is/en/report-cyber-threats.
Hvað þurfa fyrirtæki og stofnanir að gera?
Stofnanir sem verða fyrir netárás hafa 72 klst. til að tilkynna um brotið til Persónuverndar — frá þeim tíma er þær urðu þess varar. Ef brotið felur í sér mikla áhættu fyrir einstaklinga ber stofnuninni einnig að hafa samband við þá beint.
Persónuvernd getur lagt á sektir allt að 20 milljónum evra eða 4% af heildarveltu á heimsvísu ef stofnanir fara ekki eftir GDPR-kröfunum. Þessi upphæð á við hvort sem um er að ræða stór fyrirtæki eða lítið hjúkrunarheimili.
NIS2-tilskipunin, sem Ísland er að innleiða 2026, mun bæta við frekari kröfum um netöryggisviðnám hjá mikilvægum stofnunum — þar á meðal heilbrigðisgeiranum. Nánari upplýsingar um hvað NIS2 þýðir fyrir íslensk fyrirtæki má finna í NIS2-greininni hér á Expert Zoom.
Hvenær er tímabært að leita til sérfræðings?
Netárásir eru ekki lengur vandamál sem einungis stærri fyrirtæki þurfa að takast á við. Ef þú rekur fyrirtæki, geymir heilbrigðisgögn, starfar á heilbrigðissviðinu eða heldur gögnum um viðskiptavini eða starfsmenn ber þér skylda undir GDPR.
Sérfræðingar í Upplýsingatækni og lögfræðingar í persónuverndarmálum geta hjálpað þér með netöryggisskipulag, GDPR-uppfyllingarferlið og að svara rétt ef brot verður. Á Expert Zoom geturðu leitað til sérfræðinga í upplýsingatækni og persónuverndarlögfræðinga sem þekkja íslenska löggjöf um persónuvernd og geta hjálpað þér bæði með varnarstarf og bótakröfur.
Þessi grein er til upplýsinga og kemur ekki í stað lögfræðilegrar ráðgjafar. Ef þú telur réttindi þín hafa verið brotin skaltu hafa samband við lögfræðing eða Persónuvernd.
