Tillbaka till insikter
FORSKNING

45 miljoner kronor i böter: Så läckte Meta Pixel hälsodata från svenska apotek

Vakteye TeamMar 12, 20265 min läsning

45 miljoner kronor. Så mycket kostade det två svenska apotekskedjor att ha Meta Pixel installerad på sina webbplatser.

IMY:s beslut mot Apoteket AB (37 MSEK) och Apohem AB (8 MSEK), augusti 2024

Apoteket ensamt uppskattade att upp till 930 000 individer berördes, och Apohem rapporterade ytterligare cirka 15 000. Deras läkemedelsköp, sökningar efter sexualhälsoprodukter och receptförfrågningar överfördes till Metas reklamservrar. Inget intrång, ingen attack. Ett marknadsföringsteam installerade ett JavaScript-kodavsnitt utan att förstå vilken data det skickade.

Vad som hände

Apoteket AB, Sveriges största apotekskedja, och Apohem AB, ett nätapotek, hade båda Meta Pixel (tidigare Facebook Pixel) installerad på sina webbplatser. Pixeln spårade användarbeteende över hela sajten, inklusive produktsidor för receptbelagda läkemedel, sexualhälsoprodukter och andra hälsorelaterade varor.

Meta Pixel fungerar genom att skicka händelsedata tillbaka till Meta varje gång en användare utför en handling: visar en sida, lägger i varukorgen, genomför ett köp. På en klädbutik innebär det att Meta får veta att du tittade på en jacka. På en apotekswebbplats innebär det att Meta får veta att du sökte efter antidepressiva läkemedel.

IMY:s utredning visade att de överförda uppgifterna inkluderade produktnamn, kategorier och köphändelser. Dessa uppgifter, kombinerade med de användaridentifierare som Meta Pixel samlar in, utgjorde hälsodata enligt GDPR artikel 9, en särskild kategori av personuppgifter med den högsta skyddsnivån.

Hur Meta Pixel faktiskt fungerar

För att förstå dessa böter behöver man veta hur Meta Pixel fungerar tekniskt. När du installerar den lägger du till ett JavaScript-kodavsnitt på din sajt. Det kodsnittet gör flera saker.

  • Sätter en _fbp-kaka som identifierar webbläsaren mellan sessioner.
  • Matchar besökaren mot en Facebook/Instagram-profil med hjälp av fbclid-parametrar, e-posthashar eller telefonhashar.
  • Skickar varje sidadress, inklusive frågeparametrar, till Metas servrar (graph.facebook.com).
  • Överför standardhändelser (PageView, ViewContent, AddToCart, Purchase) med tillhörande metadata.
  • På apotekssajter: denna metadata inkluderade produktnamn som specifika läkemedelsmärken och hälsoproduktkategorier.

Datan lämnar användarens webbläsare och anländer till Metas servrar i USA. Från det ögonblicket handlar det om en gränsöverskridande överföring av särskilda kategorier av personuppgifter utan giltig rättslig grund.

Varför detta utlöste den högsta graden av granskning

De överförda uppgifterna utgjorde hälsodata enligt GDPR artikel 9, en särskild kategori av personuppgifter med den högsta skyddsnivån. IMY baserade böterna på artikel 32: underlåtenhet att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att förhindra den obehöriga överföringen. Att särskilda kategorier av personuppgifter enligt artikel 9 var inblandade ökade överträdelsens allvar.

Varken Apoteket eller Apohem hade tillräckliga skyddsåtgärder. Deras implementeringar tillät känsliga hälsouppgifter att flöda till Metas servrar utan lämpliga tekniska kontroller. IMY fann att detta utgjorde en brist i att säkerställa säkerheten vid behandling enligt kraven i artikel 32.

Hälsodata är inte bara journaler. Enligt GDPR utgör alla uppgifter som avslöjar information om en persons hälsotillstånd, inklusive vilka läkemedel de söker efter eller köper, särskilda kategorier av personuppgifter enligt artikel 9.

Böterna i detalj

  • Apoteket AB: 37 miljoner kronor (cirka 3,3 miljoner euro). Högre böter på grund av marknadsposition, antalet drabbade individer och överträdelsens varaktighet.
  • Apohem AB: 8 miljoner kronor (cirka 720 000 euro). Mindre företag, färre drabbade individer, men samma grundläggande överträdelse.
  • Totalt: upp till 945 000 drabbade individer (930 000 via Apoteket, cirka 15 000 via Apohem). Data överfördes under flera år innan problemet identifierades och åtgärdades.

IMY tillämpade böter enligt GDPR artikel 83(4) för överträdelsen av artikel 32 avseende säkerhet. Att särskilda kategorier av hälsouppgifter enligt artikel 9 var inblandade var en betydande försvårande omständighet vid fastställandet av bötesbeloppen.

Läcker tredjepartsspårare känslig data från din sajt?

Vakteye upptäcker Meta Pixel, Google Analytics och 4 000+ andra spårare. Vi visar exakt vilken data de samlar in och vart den skickas.

Skanna efter tredjepartsspårare

Alla sajter med Meta Pixel har samma exponering

Om din webbplats har Meta Pixel och du verkar inom hälso- och sjukvård, försäkring, juridik eller någon sektor där användarbeteende avslöjar känslig information har du samma exponering. En advokatbyrås webbplats med Meta Pixel läcker vilka rättsliga ämnen besökare undersöker. En psykisk hälsa-plattform läcker vilka terapisidor användare besöker.

Även e-handelssajter utanför hälsosektorn är i riskzonen. Produktkategorier kan avslöja religiösa övertygelser (halal/kosher-produkter), politiska åsikter (partimerchandise) eller sexuell läggning. Allt detta utgör särskilda kategorier av personuppgifter enligt artikel 9.

Vad du behöver göra

  1. Granska varje tredjepartsspårare på din sajt. Vet exakt vilken data var och en samlar in och vart den skickar den.
  2. Kartlägg dina dataflöden. Om någon spårare överför data som kan avslöja hälsa, religion, politik, sexuell läggning eller etnicitet behöver du uttryckligt samtycke, inte bara en cookie-banner.
  3. Granska din Meta Pixel-konfiguration. Om du använder anpassade händelser eller förbättrad matchning, kontrollera vilka datafält du skickar.
  4. Överväg serversidiga alternativ. Serverspårning ger dig kontroll över vilken data som lämnar din infrastruktur.
  5. Dokumentera allt. Om IMY knackar på behöver du kunna visa att du bedömt risken och vidtagit lämpliga åtgärder.

Hur Vakteye upptäcker detta

Vakteyes nätverksskanner fångar upp varje utgående förfrågan din webbplats gör. Vi identifierar tredjepartsspårarnas slutpunkter, analyserar datapaketen som överförs och flaggar fall där känsligt sidinnehåll (hälsa, juridik, ekonomi) skickas till reklamplattformar.

Vår CNAME-detektering löser DNS-kedjor för att fånga spårare som är förklädda som förstapartsdomäner. Och vår samtyckesverifiering bekräftar att spårare faktiskt slutar när användare klickar avvisa, inte bara att bannern försvinner.

Fallen med Apoteket och Apohem kunde ha förhindrats med en enda skanning. Meta Pixel syntes i sidkällan, dataöverföringarna syntes i nätverksloggar och samtyckesfunktionen var otillräcklig. Allt detta kan upptäckas automatiskt.

Bli inte nästa rubrik

GDPR-böter för Meta Pixel kan kosta miljoner. Ta reda på vad dina spårare skickar innan IMY gör det.

Starta gratis skanning
Föregående

IMY:s cookie-tillslag: Vad ATG, Aller Media och Warner Music betyder för dig

Nästa

NIS2 är här: Sveriges cybersäkerhetslag sedan januari 2026

Relaterade artiklar

FORSKNING7 min läsning

Sveriges största dataintrång 2025–2026: Vad vi kan lära oss

Fyra stora intrång exponerade miljontals svenskars personuppgifter. Här är vad som gick fel, vad det kostade och vad ditt företag kan göra annorlunda.

FORSKNING6 min läsning

CNAME-maskering: det dolda spårningsproblemet

Hur förstapartsdomäner används för att kringgå annonsblockerare och vad det innebär för GDPR-efterlevnad.