Läckta patientuppgifter svåra att radera – ”Kan finnas kopior”
Hittills har cirka 300 patientjournaler från Vastaamoläckan publicerats på darknet. Det är möjligt men svårt att avlägsna dem därifrån, säger en expert.
Många som varit kunder hos psykoterapicentret Vastaamo är nu oroliga för att deras personuppgifter ska ha hamnat i fel händer.
Cybersäkerhetsbolaget Nixu inledde i september ett samarbete med Vastaamo för att utreda den omfattande dataläcka som företaget utsatts för. Därför kan Nixu inte kommentera detaljer i själva utredningen. Det är sannolikt att intrånget kunde ske på grund av brister i Vastaamos kundinformationssystem.
Niki Klaus är vd för Nixu Certification, som är ett dotterbolag till Nixu, och leder en enhet som gör datasäkerhetsgranskningar. Han säger att det är svårt att få bort sina personuppgifter om de en gång publicerats på darknet.
– Det ryktas om att det handlar om tiotusentals journaler och det är nästintill omöjligt att veta vad som har hänt med de uppgifterna.
Svårt radera uppgifter på darknet
Hittills har cirka 300 journaler publicerats på darknet. Under veckoslutet fick enskilda Vastaamokunder utpressningsmejl där de ombads betala för att deras journaler inte ska publiceras.
Darknet är ett anonymt internet som ligger bakom vanliga internet. För att komma åt darknet krävs specialiserad programvara. Klaus säger att motiven varför man är på darknet skiftar.
– Man kan vara där av olika orsaker. Visselblåsaren Edward Snowden använde darknet när han ville skicka känsligt material till medierna. Men det används också till illegal verksamhet, som droghandel.
Klaus säger att uppgifter som en gång publicerats på darknet knappast kommer att försvinna eftersom det i motsats till vanliga nätsidor är svårt att hitta och stänga ner sidor på darknet.
– Nog är det möjligt att uppgifterna med tiden kan tas bort, men det finns inga garantier. Det finns en risk för att det finns kopior.
Det finns inte mycket man kan göra för att få bort sina uppgifter, men det finns andra saker brottsoffer kan göra i sådana här fall, säger Klaus.
– Man kan göra en polisanmälan, följa med att ingen börjar ta snabblån eller göra adressändring i ens namn. Det finns mycket stöd och hjälp att få just nu.
Patientdatasystemens säkerhet
Efter dataintrånget på Vastaamo har det uppstått en debatt om säkerheten i den offentliga vårdens och vårdföretagens patientdatasystem. Enligt lagen delas datasystem in i två klasser: A och B. De system som är kopplade till patientdatasystemet Kanta klassas som A och har högre krav på datasäkerhet. De företag som hör till B-klassen övervakas inte ifall inga anmälningar om fel görs.Vastaamos datasystem klassas som typ B.
Klaus välkomnar debatten om patientdatasystemen. Han anser att kontrollen över B-klassens system inte är tillräcklig.
– Den baserar sig på egen granskning. Eftersom det gäller en stor mängd känslig data skulle det behövas utomstående och årlig granskning så att systemen hålls på den nivå som de ska vara på. Vi har redan länge ansett att det finns en risk här.
Enligt Klaus är inte heller granskningen av A-klassens datasystem tillräckligt omfattande.
– Den görs en gång och sedan får man ett certifikat för fem år. Man kan tänka sig hur mycket som ändras på fem år.
Han säger att det också är problematiskt att man gör granskningen enbart i den miljö där programvaran skapats och inte i den miljö där den används.
Högre krav
Klaus menar att Vastaamoläckan har fått folk att förstå att sådant här kan ske.
– Man kan inte ha en fungerande vårdrelation om man inte kan lita på att ens uppgifter är säkra. Man har misslyckats i sparandet av sådan här data.
Cybersäkerhetsföretaget Nixu tycker att man borde höja kraven och nivån på datasäkerheten.
– Alla förstår hur kritisk data det handlar om, men lagen motsvarar inte det.
Det var förra veckan som det blev känt att psykoterapiföretaget Vastaamo utsatts för en allvarlig hackerattack där tusentals patientjournaler och personuppgifter läckt ut.