anonym.legal

By · Last updated 2026-03-11

Tillbaka till BloggenGDPR & Efterlevnad

SaaS-intrång ökade 300 %: ZK krävs

Conduent exponerade 25,9 miljoner poster. NHS Digital: 9 miljoner patienter. Angripare bryter sig in i SaaS-leverantörer på 9 minuter. När din leverantör är attacken.

March 11, 20269 min läsning
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

Leverantören är nu attackytan

Uppdaterat för 2026

I ett decennium fokuserade säkerhetsteam på ett enda mål: hålla angripare utanför nätverket. Säkra perimetern. Låsa ner slutpunkterna. Kontrollera vem som kan logga in. Den gamla modellen antog att angripare skulle gå direkt mot organisationen.

2024 års siffror visar att den modellen är bruten. SaaS-intrång ökade 300 % under 2024, enligt Obsidian Securitys 2025 SaaS Security Threat Report. Angripare går inte längre direkt mot organisationer. De går efter de SaaS-verktyg som dessa organisationer litar på med sina uppgifter.

När ditt molnverktyg är attackmålet hjälper inte ett starkt internt nätverk. Kundposter, medarbetardokument och känsligt innehåll finns på verktygets servrar. De är låsta med verktygets nycklar. De exponeras när verktyget drabbas.

SaaS-intrångssiffror för 2024

2024 års intrångssummor visar riskens omfattning.

Conduent drabbades av ett intrång som exponerade 25,9 miljoner poster. Conduent hanterar affärsprocesser åt myndigheter och stora företag. De hanterar förmåner, betalningar och medborgarservice. De 25,9 miljoner drabbade personerna hade ingen aning om att en tredje part innehade deras information.

NHS Digital drabbades av ett intrång som berörde 9 miljoner patienter. Patientjournaler exponerades via ett molnverktygs servrar. Patienterna lämnade den informationen till sina vårdgivare. De hade ingen anledning att veta att den någonsin hamnade på en tredjeparts plattform.

Detta är inte sällsynta händelser. De är den nya normen. Stora intrång drabbar nu miljontals människor som litade på en organisation men vars personuppgifter innehades av en annan som de aldrig visste existerade. För hur lagen fördelar ansvar i dessa fall, se vår GDPR-efterlevnadsöversikt.

Varför SaaS-intrång fungerar annorlunda

Ett klassiskt nätverksintrång kräver många steg. Angripare måste ta sig förbi perimetern. De måste röra sig genom systemen. De måste extrahera dokument. Varje steg är en chans att bli discovered.

SaaS-intrång fungerar annorlunda. När angripare träffar en molnplattform når de poster från varje klient som skickat innehåll genom den plattformen. Ett enda intrång ger dokument från dussintals eller hundratals klienter på en gång.

9-minutersfönstret — tid från första åtkomst till poststöld i SaaS-system, enligt Obsidian Securitys incidentposter — visar hur snabbt detta fungerar. Inne på en delad plattform hittar angripare innehåll från många klienter på en gång. Den värdekoncentrationen gör varje attack mycket effektiv.

Avtal täpper inte till detta gap. GDPR artikel 82 tilldelar delat ansvar till personuppgiftsbiträden för intrång de orsakar. Men att bevisa fel tar månader. Då är posterna redan borta. Se vår sida om säkerhet och efterlevnad för hur nollkunskapsverktyg ändrar detta utfall.

DPA skyddar inte dina poster

GDPR artikel 28 säger att organisationer endast får använda personuppgiftsbiträden som ger "tillräckliga garantier". Personuppgiftsbiträdesavtalet är det skriftliga beviset på dessa garantier.

Likt ett HIPAA Business Associate Agreement täcker DPA den juridiska sidan. Det täcker inte vad som händer med dina dokument på leverantörens servrar.

Ett molnverktyg med ett fullt GDPR-kompatibelt DPA kan ändå:

  • Lagra kundposter med serversideskryptering med leverantörsägda nycklar
  • Köra medarbetarinformation genom ett delat system som används av många andra klienter
  • Behålla loggar och cachat innehåll utöver de avtalade användningarna
  • Drabbas av ett intrång som exponerar allt ovanstående

DPA sätter juridiska skyldigheter. Det skapar inte en teknisk mur mot exponering. När angripare bryter sig in i plattformen på 9 minuter saktar DPA inte ner dem.

För lättbegriplig hjälp om artikel 28-skyldigheter, se GDPR-ordlistan.

Varför 300 %-ökningen är strukturell

300 %-ökningen återspeglar två krafter som verkar samtidigt.

För det första växte volymen känslig information i SaaS-plattformar kraftigt under 2024. Fler organisationer flyttade mer arbete till molnverktyg. Fler dokument hamnade på tredjeparts servrar. Mer innehåll ger mer anledning att attackera dessa servrar.

För det andra anpassade sig angripare. Organisationer skickar nu kundposter, finansiella loggar, HR-information, juridiskt innehåll och hälsojournaler via SaaS-verktyg. Att träffa en plattform ger poster från många klienter. Matematiken belönar att gå efter plattformar snarare än enskilda organisationer.

300 %-siffran är inte en brottsvåg. Den markerar ett strukturellt skifte i var attackerna riktas.

Nollkunskapsanonymisering som lösningen

Lösningen börjar med ett tankeskifte. Om vilken plattform som helst kan drabbas — och 2024 års rekord bevisar att de kan — bör ingen plattform ta emot dina kunders personuppgifter i läsbar form.

Nollkunskapsanonymisering före uppladdning förändrar intrångsrisken helt. När en plattform som innehåller nollkunskapsbearbetade uppgifter attackeras:

  • Angripare når anonymiserade poster utan läsbara kundidentifierare
  • Ingen registrering av berörda behövs eftersom inga personuppgifter exponerades
  • Inget GDPR artikel 82 gemensamt ansvarsmål krävs
  • Inga regulatoriska uppföljningar resulterar av intrånget

Attacken drabbar plattformen. Den når inte dina kunder. Deras personuppgifter kom aldrig till plattformens servrar i läsbar form.

Detta är inte teori. Det är ett enkelt faktum: det finns inga poster att stjäla eftersom inga skickades i läsbar form. Vanliga frågor täcker vanliga frågor om nollkunskapsanonymisering. Vår prissida visar vad detta skydd kostar i stor skala.

300 %-ökningen förändrar riskkalkylen. Att kontrollera en leverantörs säkerhetsläge och avtalsvillkor innebär att man satsar på att leverantören inte ska bli nästa rubrik. Nollkunskapsanonymisering tar bort det vadslagandet.

Källor

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.