597 advokatbyråer granskade - ingen når godkänt
Den mest omfattande digitala granskningen av svenska advokatbyråer. 16 säkerhetstester, 0% godkända, och en bransch som rådger andra om GDPR men inte klarar kraven själv.
597
Byråer granskade
0%
Når betyg A
59,1
Genomsnittspoäng
99,5%
Kritisk risknivå
Jag har genomfört den mest omfattande digitala granskningen av svenska advokatbyråer som gjorts. 597 byråer testade mot 16 säkerhets- och compliance-kriterier. Resultatet är nedslående: inte en enda byrå når godkänt betyg.
Men syftet med den här rapporten är inte att hänga ut någon. Det är att visa var branschen står - och vad som behöver göras.
Branschens paradox
Advokatbyråer rådger dagligen sina klienter om GDPR, dataskydd och compliance. De fakturerar tusentals kronor i timmen för att hjälpa företag undvika regulatoriska risker.
Paradoxen: 86% av de granskade byråerna har bristfälliga integritetspolicyer. 60% saknar samtliga obligatoriska GDPR-element. Inte en enda byrå uppnår full efterlevnad.
Det är som om en revisor inte lämnade in sin egen deklaration.
De allvarligaste fynden
E-post kan förfalskas
Sex av sju storbyråer saknar korrekt e-postautentisering (DMARC). En angripare kan skicka mail som ser ut att komma från byrån - och mottagarens mailklient varnar inte. I kombination med social engineering kan det leda till utlämning av sekretessbelagda handlingar.
Spårar utan samtycke
Nästan hälften av alla byråer laddar tracking-scripts (Google Analytics, Facebook Pixel, Hotjar) innan besökaren haft möjlighet att ge samtycke. Varje sidladdning utgör en separat överträdelse av GDPR Art. 6(1).
Läcker personuppgifter via PDF
Publikt tillgängliga PDF-dokument innehåller dold metadata: författarnamn, interna filsökvägar, e-postadresser. En av storbyråerna exponerade 5 metadata-läckor och 9 PII-exponeringar i ett enda dokument. Det kan utgöra brott mot advokatsekretessen.
US-jurisdiktion (CLOUD Act)
Två tredjedelar använder amerikansk molninfrastruktur (Google, AWS, Cloudflare). Under CLOUD Act kan amerikanska myndigheter tvinga dessa leverantörer att lämna ut ALL data - utan att byrån eller klienten underrättas. Efter Schrems II är detta en direkt GDPR-risk.
Vad det betyder för klienter
Om du anlitar en advokat för en vårdnadstvist, ett brottmål eller en affärstvist förväntar du dig att kommunikationen är skyddad. Advokatsekretessen är lagstadgad i 8 kap. 4 § rättegångsbalken och regleras vidare av Advokatsamfundet.
Men när byråns e-post kan förfalskas, när PDF:er läcker metadata om vilken advokat som arbetat med ärendet, och när spårningskod skickar data till amerikanska servrar - då finns det en reell risk att det förtroendet urholkas.
Det handlar inte om onda avsikter. De flesta byråer är omedvetna om dessa brister. Kraven, som IMY alltmer upprätthåller, har ändrats snabbare än kunskapen. IT och compliance har smält samman - och ingen utbildades för den verkligheten.
Vad byråerna bör göra
Inget av detta är raketforskning. De flesta åtgärder tar timmar, inte månader:
Eliminera pre-consent tracking
Ta bort Google Analytics, Hotjar, Facebook Pixel före samtycke. Tidsåtgång: Omedelbart.
Implementera DMARC
Stoppa e-postförfalskning med p=reject-policy. Tidsåtgång: 1-2 veckor.
Rensa PDF-metadata
Inför rutin för att strippa metadata från alla publika dokument. Tidsåtgång: Omedelbart.
Granska molnleverantörer
Utvärdera EU-suveräna alternativ för känslig klientdata. Tidsåtgång: 30-60 dagar.
Varför jag kan säga detta
Jag vill vara transparent: jag är inte en stor aktör. Men jag har gjort en sak som de flesta inte gjort - testat mig själv med samma verktyg.
100
Min SVAR-poäng
10%
Min attack surface
Det handlar inte om att kritisera. Det handlar om att visa att det går att göra rätt - och erbjuda hjälp till de som vill.
Ladda ner rapporten
Den fullständiga rapporten innehåller detaljerad metodik, testbeskrivningar och åtgärdsrekommendationer. Byråspecifika rapporter finns tillgängliga på begäran.
Vill du veta hur din byrå presterar? Jag erbjuder kostnadsfria genomgångar för byråer som vill förstå sitt nuläge och förbättra sin digitala säkerhet.