Hoppa till huvudinnehåll

Vastaamo trodde 1 000 patienter drabbats av dataintrånget - ansåg det vara orimligt att kontakta alla personligen

Psykoterapicentret Vastaamos logga på en husfasad.
Psykoterapicentret Vastaamo underskattade inledningsvis antalet drabbade patienter. Psykoterapicentret Vastaamos logga på en husfasad. Bild: Jorge Gonzalez / Yle Psykoterapicentret Vastaamo,dataintrång,hackare,hackande (databehandling),F-Secure,Criminal computer and data security acts,datasäkerhet,utpressning,Vastaamodataintrånget

Psykoterapicentret Vastaamo uppskattade inledningsvis att antalet kunder och anställda som drabbats av dataintrånget var cirka tusen personer. Det framgår i den redogörelse som psykoterapibolaget lämnat in till dataskyddsombudsmannen, rapporterar Yle Uutiset.

Enligt redogörelsen har bolagets vd Ville Tapio och två andra anställda mottagit ett utpressningsmeddelande 28.9.2020.

Meddelandet inledde med "Hyvaa paivaa. Mina olen hakkeri. Olen kopioinut Vastaamo potilaiden tietokanta." (Fritt översatt till svenska: "God dag. Jag är en hackare. Jag har kopierat Vastaamos patientdatabas." Efter det fortsätter utpressaren på engelska.

Vastaamo meddelade om det inträffade till dataskyddsombudsmannen nästa dag. Samtidigt ansåg bolaget att offren inte behöver meddelas skilt.

- Det skulle innebära orimligt mycket besvär och vi meddelar om det inträffade offentligt, konstaterade de i sitt meddelande till dataskyddsombudsmannen.

Vastaamo verkar inledningsvis ha missbedömt att inbrottet skulle ha berört endast patientuppgifter mellan 2012-2014. Bolaget trodde att de flesta kontaktuppgifterna skulle vara föråldrade.

Dataskyddsombudsmannen beordrade senare att Vastaamo skulle meddela alla sina kunder personligen.

Också antalet drabbade patienter visade sig vara betydligt högre än den inledande bedömningen. I dagsläget har cirka 25 000 polisanmälningar gjorts i samband med fallet.

Redogörelsen avslöjar också att Vastaamo tidigare har haft problem med dataskyddet. I april 2019 har en person, som sagts upp från bolaget, olovligen laddat ner patientuppgifter. Det handlade om 29 personers patientuppgifter.

Dessutom finns det ett fall där en person fick sex personers räkningar.

Skydighet att anmäla

Om ett dataskyddsinbrott innebär en risk för att patientens fri- och rättigheter, är man skyldig att anmäla om dataskyddsinbrott till dataskyddsombudsmannen. Också Valvira måste meddela om det finns avvikelser som kan äventyra patientsäkerheten och datasekretess.

Fallet med Vastaamo blev offentligt nyligen. Det handlar om en eller flera okända hackare som bröt sig in i psykoterapicentrets patientregister år 2018. Bolaget blev varse om fallet i september 2020.

Vastaamo har berättat att det riktades ett annat datainbrott mot dem i mars 2019. Men enligt bolagets nuvarande ledning undanhöll bolagets dåvarande vd Ville Tapio händelsen. Tapio har sedermera sagts upp.

Enligt Yles uppgifter har Vastaamo varken meddelat dataskyddsombudsmannen eller Valvira om inbrottet i mars 2019.

I går, tisdag, meddelade Vastaamo att en stor del av bolagets styrelse byts ut. Heini Pirttijäärvi blir ny styrelseordförande. Hon har tidigare varit verksam inom Esperi Care. Hon är också Vastaamos nuvarande vd.

Artikeln är en översättning av Yle Uutisets artikel Uusi tieto: Vastaamo arvioi uhrien määrän aluksi rajusti alakanttiin – piti asiakkaille ilmoittamista "kohtuuttoman" työläänä skriven av Veli-Pekka Hämäläinen.

Artikeln är översatt av Annica Lindström.

Läs också