Hoppa till huvudinnehåll

Vastaamo har skickat personbeteckningar i oskyddade e-postbrev – dataskyddsexpert: ”Det är emot alla regler”

Pstkoterapicentret Vastaamos logo på en mörk husfasad.
Psykoterapicentret Vastaamo har utsatts för ett stort dataintrång. Nu framkommer det dessutom att företaget har använt personbeteckningar på ett felaktigt sätt. Pstkoterapicentret Vastaamos logo på en mörk husfasad. Bild: Lehtikuva psykoterapi,Vastaamo

Åtminstone en del av av psykoterapiföretaget Vastaamos kunder har fått fakturor med personbeteckningar via e-post. Uppgifterna har varit oskyddade, rapporterar Yle Uutiset. Vastaamo vägrar kommentera uppgifterna.

Yle Uutiset har fått se två fakturor där personbeteckningarna har stått skrivna i stället för FO-numret som vanligtvis används av företag eller sammanslutningar.

Den ena fakturan har gått till en klient, den andra till en person som har bokat tid åt en anhörig.

Dataskyddsombudsman Reijo Aarnio säger att Vastaamo inte får skriva ut personbeteckningar på fakturorna.

Kritik av dataskyddsexpert

De är oklart om Vastaamo fortsättningsvis gör det eller om det gäller alla kunder. Vastaamo har inte ännu velat svara på frågor om saken.

– Vastaamo har inget att kommentera om ärendet just nu. Under de senaste dagarna har vi berättat allt vi har att säga i det här skedet, skriver Vastaamos styrelseordförande Tuomas Kahri per e-post till Yle Uutiset.

Windowsexpert Sami Laiho är insatt i dataskydd. Även hans faktura har personbeteckningen synlig.

– Att skicka personbeteckningen per e-post helt oskyddat är emot alla regler, säger Laiho.

Förra veckan medgav Vastaamo att företagets kunders uppgifter hade stulits i samband med ett dataintrång. Det kan finnas tiotusentals offer för dataintrånget.

Flera direktiv om att inte använda personbeteckningar

I somras berättade dataskyddsombudsman Reijo Aarnio att en organisation hade blivit ombedd att slopa kutymen med att skriva ut både namn och personbeteckningar på fakturor för hälsovårdstjänster.

Dataskyddsombudsmannens kansli hade fått en anmälan om förfarandet.

Organisationen förklarade att orsaken var att man använde beteckningarna för att identifiera kunderna. Enligt dataskyddsombudsmannen är det i strid med lagen.

Enligt Statskontorets direktiv ska personbeteckningen inte skrivas på en försäljningsfaktura. Enligt dataskyddslagen får personbeteckningar inte skrivas i onödan på olika dokument som bygger på personregister.

Redan år 2011 gav riksdagens justitieombudsman direktivet att hemlig information inte får skickas i okrypterade e-postbrev.

Texten är en översättning av Yle Uutisets artikel Vastaamo on lähettänyt henkilötunnuksia sähköpostissa suojaamatta laskun mukana – asiantuntija: "Vastoin kaikkia sääntöjä" av Anu Leena Koskinen. Artikeln är översatt av Jonas Blomqvist.

Läs också