I Estlands allvarligaste cyberattack mot hälso- och sjukvården för två år sedan äventyrades även finländares hälsouppgifter. Händelsen framkom ur dokument som Yle begärt. Det har inte rapporterats om fallet i Finland tidigare.
Angreppet genomfördes i november 2023 mot estniska företaget Asper Biogene som utför genforskning. Angreppet äventyrade 10 000 klienters patientuppgifter. Bland dem fanns cirka 50 finländare, bekräftar företagets verkställande direktör Hardi Tamm.
Majoriteten av klienterna, 32 stycken, var från Egentliga Finlands välfärdsområde. Sex var från Södra Österbotten och några från Birkalands välfärdsområde.
Dataskyddsförordningen i Estland kräver enligt Tamm att man berättar om dataläckan för de berörda.
– I vårt fall går informationen via våra samarbetspartners till de personer vars uppgifter stals. Vi berättar vad de behöver göra, vem som kontaktar dem och på vilket sätt, säger han.
Södra Österbottens och Birkalands välfärdsområden meddelade klienterna om dataintrånget. Men Egentliga Finlands välfärdsområde (Varha) gjorde det inte.
Uppgifterna framgår av de anmälningar som välfärdsområdena gjort till dataskyddsombudsmannen.
Känsliga patientuppgifter äventyrades
Ur Varhas anmälan om dataskyddsintrång framgår att de läckta uppgifterna innehållit klientens namn, födelsedatum samt en forskningsrelaterad kod. Dessutom har det för tio klienters del funnits information om undersökta gener som är kopplade till ögonsjukdomar.
Södra Österbottens och Birkalands välfärdsområden var inte direkt kunder till det estniska företaget. I stället köptes tjänsterna av Fimlab, som ägs av välfärdsområdena.
Biträdande dataskyddsombud Annina Hautala säger att den som drabbats av ett brott mot datasäkerhet som regel har rätt att få information om händelsen. Detta gäller om intrånget orsakar hög risk för personens rättigheter och friheter.
– I dataintrångsfall anses denna höga risk ofta ha uppstått om patientuppgifter eller andra hälsorelaterade uppgifter finns bland de läckta uppgifterna.
Egentliga Finlands välfärdsområde bedömde att dataintrånget inte orsakade hög risk. Tvärtom ansåg välfärdsområdet att information om läckan kunde orsaka onödig oro och stress hos klienterna.
Dataskyddsombudsmannens kansli tog inte Varhas beslut om att låta bli att meddela de drabbade till närmare utredning. Som motivering anges att Estlands dataskyddsmyndighet och polis redan utreder Asper Biogenes verksamhet och själva dataintrånget.
– Vi har inte för tillfället gett ett beslut där vi tagit ställning till om välfärdsområdets bedömning av risknivån varit korrekt, bekräftar biträdande dataskyddsombud Annina Hautala.
Till skillnad från Varha beslutade Södra Österbottens välfärdsområde att berätta för sina patienter om dataintrånget som skett i Estland.
Enligt Mari Kempas, dataskyddsansvarig vid Södra Österbottens välfärdsområde, tog välfärdsområdet hänsyn till flera faktorer i sin helhetsbedömning. Dataintrånget hade riktats mot sårbara grupper i utsatt ställning. Dessutom hade en polisutredning inletts i Estland.
– Vi ville göra det möjligt för klienterna att följa händelseförloppet i Estland.
Intrång i hälsouppgifter alltid allvarliga
Datasäkerhetsexpert Petteri Järvinen anser att Varhas motivering till att låta bli att underrätta de drabbade klienterna är märklig. Han anser att välfärdsområdet borde ha berättat om dataintrånget för sina klienter. Han anser att dataintrång som riktas mot människors hälsouppgifter alltid är allvarliga.
– Enligt min mening borde man meddela de drabbade i sådana här fall. Att hänvisa till att man vill undvika stress låter konstigt.
Även juristen Elina Koivumäki har specialiserat sig på dataskyddsfrågor. Hon konstaterar att man i Finland i allmänhet föredrar en öppen kommunikation i liknande fall.
– Min uppfattning särskilt om större organisationer är att man vill meddela människor om liknande händelser med låg tröskel. Kulturen är att man hellre meddelar än låter bli att meddela.
Klienters dataskyddsfrågor hör inom Egentliga Finlands välfärdsområde till tf. chefsöverläkare Jutta Peltoniemis ansvar. Hon var inte med och fattade beslutet om att hemlighålla uppgifter om fallet för två år sedan.
– Beslutet har baserats på den dåvarande situationsbedömningen. De läckta uppgifterna har varit så begränsade att risken inte ansetts vara hög, motiverar Peltoniemi.
Peltoniemi råder att kontakta Varhas dataskyddsansvariga ifall klienter är oroliga för att deras uppgifter äventyrats.
Peltoniemi anser det möjligt att man i dag skulle komma fram till en annan lösning. Nätbedrägerier har blivit vanligare och patienters hälsouppgifter kan utnyttjas i samband med fallen.
– I höst har man upprepade gånger varnat för försök där det gjorts försök att fiska uppgifter som skickats i myndigheters namn. De bedömningar vi gör är alltid bundna till den dåvarande situation vi lever i.
Peltoniemi säger att hon ska diskutera med dataskyddsansvariga ifall välfärdsområdet ändå borde meddela klienterna som drabbats av dataintrånget i Estland i efterhand, nu när saken kommit till offentlighetens kännedom. Enligt hennes uppgifter använder Varha inte längre Asper Biogenes tjänster.
”Osannolikt att finländska klienter blir utsatta för utpressningsförsök”
I polisutredningen framkom att Asper Biogenes datasystem hade säkerhetsbrister. Estlands dataskyddsmyndighet dömde tidigare ut böter på 85 000 euro för dataskyddsbrott. Böterna upphävdes i domstol efter överklagan.
Hackergruppen försökte utpressa Asper Biogene men företaget vägrade betala och anmälde fallet till polisen.
Datasäkerhetsexpert Petteri Järvinen anser det osannolikt att finländska klienter skulle bli utsatta för utpressningsförsök genom de läckta uppgifterna från dataintrånget.
Enligt Asper Biogenes verkställande direktör Hardi Tamm känner företaget inte i nuläget till att patientuppgifter spridits till tredje parter.
Artikeln är en bearbetad översättning av Yle Turkus artikel Suomalaisten tietoja päätyi rikollisille – hyvinvointialue ei kertonut potilaille. Översättningen är gjord av Niclas Lundqvist.