Hoppa till huvudinnehåll

Vastaamos grundare och vd får sparken: "Jag är väldigt ledsen för de anställdas och för kundernas skull"

Psykoterapiakeskus Vastaamo Oy.n toimitusjohtaja Ville Tapio, Mannerheimintie 12 B, 02.12.2016.
Ville Tapio avsätts från vd-posten. Psykoterapiakeskus Vastaamo Oy.n toimitusjohtaja Ville Tapio, Mannerheimintie 12 B, 02.12.2016. Bild: Jari Kovalainen / Yle Vastaamo

Psykoterapicentret Vastaamo ger sparken åt bolagets grundare och vd Ville Tapio med omedelbar verkan. Anledningen är det stora dataintrång bolaget utsatts för och som blev känt förra veckan. Tapio skriver på Facebook att han är ledsen och tar på sig sitt ansvar för det skedda.

Bolaget meddelar om beslutet i ett pressmeddelande.

Styrelsens ordförande Tuomas Kahri tar tillfälligt över ledarskapet för bolagets operativa verksamhet.

I pressmeddelandet skriver Vastaamo att de blev medvetna om utpressningen i slutet av september när utpressaren skickade utpressningsmeddelanden till tre av bolagets anställda.

Bolaget uppger att man genast förde saken vidare till Centralkriminalpolisen som inledde en brottsutredning. Också Finlands cybersäkerhetscenter, Valvira och dataombudsmannen informerades.

Intrånget skedde sannolikt i november 2018

Efter att dataintrånget uppdagades inledde Vastaamo också ett samarbete med cybersäkerhetsbolaget Nixu som började utreda hur intrånget hade skett.

Enligt Nixus utredning är det sannolikt att intrånget skedde i november 2018. Det fanns en brist i Vastaamos kundinformationssystem som hackare kunde utnyttja och på så sätt sätta vantarna på kunduppgifterna.

Enligt Vastaamo har det varit möjligt att inkräkta i systemet fram till mitten av mars 2019.

Bolaget uppger sig inte vara medvetet om att någon skulle ha stulit uppgifter från systemet sedan november 2018. Det är ändå möjligt att enskilda uppgifter har granskats eller kopierats, skriver bolaget.

Nixu har delat med sig av sina insikter till Centralkriminalpolisen och Traficom.

"Verkar klart att vd:n var medveten om intrånget och bristerna"

I Vastaamos interna utredning har det kommit fram att bolaget utsattes för ett annat dataintrång i mars 2019. Enligt bolaget verkar det vara klart att bolagets vd i det här skedet var medveten om intrånget och om säkerhetsbristerna.

Intrånget 2019 fick Vastaamo att åtgärda bristerna och vidta säkerhetsåtgärder, skriver bolaget i pressmeddelandet.

Enligt pressmeddelandet informerades inte bolagets styrelse och största ägare om dataintrånget och säkerhetsbristerna i datasystemet.

Tapio: "Som vd bär jag mitt ansvar för det skedda"

Den nu avskedade vd:n Ville Tapio har kommenterat saken i ett inlägg på Facebook. Han skriver att han är väldigt ledsen för det som hänt kunderna och de anställda på Vastaamo.

Vidare skriver han att en av hans uppgifter som vd var att se till att bolagets tjänster var säkra.

– För att göra det hade jag anställt professionella som enligt min uppskattning var skickligare på det än jag. Tydligen blev det en kedjereaktion av mänskliga misstag, skriver Tapio.

Han uppger att dataintrånget som skedde i november 2018 och felen det ledde till blev klara för honom först i samband med Nixus utredning i oktober 2020.

"Viktigast att stötta kunderna"

Enligt Vastaamos pressmeddelande är bolagets viktigaste uppgift nu att stötta de kunder som drabbats av inbrottet.

Myndigheterna och Vastaamo gör enligt bolaget allt för att utreda vad som hänt och för att de skyldiga ska ställas till svars samt för att hindra att uppgifterna sprids, skriver bolaget.

Krishjälp på svenska

  • Brottsofferjouren: måndagar-fredagar 12-14. Numret är 116 006.
  • Kristelefonen: måndagar och onsdagar kl. 16-20. Tisdagar, torsdagar och fredagar kl. 9-13. Numret är 09 2525 0112.
  • Kyrkans samtalstjänst: telefonjouren är öppen varje dag kl. 20-23, numret är 0400 22 11 90. Chatten är öppen måndag-torsdag kl. 19-21.
  • Råd om vad du ska göra vid identitetsstöld hittar du här.

Källa: Psykisk hälsa Finland, Brottsofferjouren

Inga kritiska brister framkom i granskning

I april–maj 2019 undersöktes Vastaamos it-system och då gick man även igenom it-säkerheten. Granskningen gjordes i samband med ett företagsköp.

I utredningen framkom flera utvecklingspunkter, men inga kritiska brister. Vastaamo har fortsatt att utveckla sitt it-system sedan dess, skriver bolaget i sitt pressmeddelande.

Vastaamos styrelse är också medvetna om att bolagets huvudägare PTK Midco har inlett en rättsprocess gällande företagsköpet av Vastaamo som undertecknades i maj 2019.

Vastaamo började som nätbaserat familjeföretag

Psykoterapikedjan Vastaamo var från början ett familjeföretag som började erbjuda psykoterapitjänster via nätet. Företaget har vuxit snabbt under 2010-talet och dess största ägare är numera riskkapitalbolaget Intera Partners.

Vastaamo grundades år 2008 av psykoterapeuten Nina Tapio och hennes son, systemutvecklaren Ville Tapio, som tidigare verkat som bland annat IT-konsult vid jubileumsfonden Sitra. Tillsammans började de fundera på olika sätt att erbjuda psykoterapitjänster digitalt, alltså via nätet.

– Vår målsättning var att kunna erbjuda psykoterapitjänster oberoende av plats eller tidpunkt, sa Ville Tapio i en intervju för tidningen Talouselämä år 2017.

Konceptet fungerade ändå inte så effektivt som man tänkt sig, och därför öppnade Vastaamo sin första regelrätta mottagning i Helsingfors år 2012.

Ville Tapio tog över som bolagets verkställande direktör år 2013. Under de därpå följande åren växte Vastaamo stadigt och etablerade sig som Finlands första psykoterapikedja. Vastaamo har i dag mottagningar på 22 orter runtom i Finland.

År 2015 hade Vastaamo en omsättning på 3,02 miljoner euro, men bara fyra år senare, år 2019, hade omsättningen stigit till 13,9 miljoner euro.

Under samma period har Vastaamos personal ökat från 91 till 260 personer, enligt uppgifter från Suomen Asiakastieto.

Plattform för psykoterapeuter

Vastaamos affärsidé går ut på att enskilda psykoterapeuter kan ta anställning i bolaget och jobba självständigt på företagarbasis med att träffa klienter, medan Vastaamos administrativa personal står för allt det praktiska, som löneutbetalning, bokföring och IT-system.

Av Vastaamos egna dokument framgår att bolagets patientdatasystem är utvecklat i bolagets egen regi, i praktiken av Ville Tapio själv. I en intervju för tidningen Kauppalehti i januari 2017 uppgav Tapio att han själv var den enda inom bolagets administrativa personal.

Vastaamo uppger på sin webbplats att man har en "sporrande och transparent lönemodell", där lönenivån beror på hur många klienter man hinner ta emot.

Riskkapitalbolag blir storägare

Vastaamo har anlitats av både enskilda kommuner och sjukvårdsdistrikt. I samband med det nyligen avslöjade dataintrånget vid Vastaamo har det bland annat framkommit att också ett femtiotal klienter vid Åbo universitetscentralsjukhus kan ha berörts.

Riskkapitalbolaget Intera Partners köpte en andel på 70 procent i Vastaamo år 2019. Intera Partners direktör Tuomas Kahri är numera styrelseordförande i Vastaamo. Nina och Ville Tapio har också stannat kvar som aktieägare.

Vet du mer om vad som har hänt eller har du tips på vad vi borde granska i fallet med dataintrånget på Vastaamo? Hör av dig till oss på mejladressen annica.lindstrom@yle.fi.

Artikeln uppdaterades klockan 18.55: Tidigare stod det att dataintrånget skedde i mars 2018 där det skulle stå november 2018.

Artikeln uppdaterades ytterligare klockan 21.35 med Ville Tapios kommentarer.

Läs också