Hoppa till huvudinnehåll

Inrikes

Dataombudsmannen: Vastaamo borde tidigare ha meddelat om att de hackats – straffas med en saftig påföljdsavgift

En del av en mobilskärm mot en blå bakgrund. I texten syns bland annat ransom_man som har med Vastaamofallet att göra.
Bildtext Det var i oktober i fjol som psykoterapicentret Vastaamo meddelade att man utsatts för ett dataintrång.
Bild: Silja Viitala / Yle

Påföljdskollegiet vid Dataombudsmannens byrå kräver en påföljdsavgift på 608 000 euro av psykoterapicentret Vastaamo för att ha brutit mot dataskyddsförordningens regelverk.

Dataombudsmannen konstaterar att centret inte skött sitt jobb när det kommer till hantering av personuppgifter på ett säkert sätt. Vastaamo prickas också för att ha misslyckats med att meddela om kränkning av informationssäkerheten.

Enligt dataombudsmannen borde Vastaamo i ett tidigare skede ha upplyst myndigheter och de drabbade om personuppgiftsincidenten.

Dataombudsmannens byrås påföljdskollegium beordrar, till följd av försummelserna, Vastaamo att betala en påföljdsavgift på 608 000 euro för att centret har brutit mot regelverken.

Extern part loggade in i patientdatasystemet åtminstone två gånger

En extern part lyckades utan tillstånd logga in i patientdatasystemet åtminstone två gånger, i december år 2018 och i mars 2019, på grund av bristande hantering av personuppgifter.

Också den biträdande dataombudsmannen ger Vastaamo en anmärkning för brott mot dataskyddsförordningen.

Den biträdande dataombudsmannen konstaterar att uppgifter pekar på att centret redan i mars 2019 borde ha blivit medvetet om att uppgifter från patientdatasystemet försvunnit och att någon hackat sig in i systemet.

Vastaamo borde därefter ha meddelat myndigheter och kunderna om det här. Försummelserna ses som mycket allvarliga. Enligt dataombudsmannen har Vastaamo inte skyddat sina kunders personuppgifter tillräckligt och inte heller vidtagit tillräckliga åtgärder för att säkerställa säkerheten.

Vastaamo var tidigare en av Finlands största leverantörer av psykoterapitjänster. Centret försattes i konkurs i Helsingfors tingsrätt i februari i år.

Det var i oktober år 2020 som Vastaamo gick ut med uppgifter om att man råkat ut för dataintrång och blivit offer för utpressning.