15 000 offer har anmält utpressare
Regeringen diskuterade möjligheten till byte av personnummer för de tiotusentals offren för dataläckan vid Vastaamo. Det skulle kräva att lagen om befolkningsdatasystemet förnyas.
Regeringen diskuterade i går dataintrånget vid psykoterapicentret Vastaamo. En av frågorna gäller offrens möjlighet att byta personnummer. Hittills har polisen fått in över 15000 anmälningar i härvan, uppger justitieminister AnnaMaja Henriksson.
Under regeringens aftonskola på onsdagen var dataintrånget vid psykoterapicentret Vastaamo det största temat. Bland annat gav Centralkriminalpolisen en rapport om den pågående förundersökningen.
Därtill fördes inledande diskussioner om möjligheten för de tiotusentals offren att byta personbeteckning, vilket justitieminister Anna-Maja Henriksson (SFP) välkomnar.
– Det är ingen enkel sak. Regeringen kommer att fortsätta diskussionen på vilket sätt det kunde bli möjligt för dessa offer att byta personbeteckning, om de själva vill. Men det kräver tid och måste göras jämlikt så att även andra offer i en motsvarande situation har samma möjlighet. Lagberedningen kopplad till personbeteckningen ligger hos Finansministeriet.
Henriksson beskriver dataläckan som oerhört allvarlig.
– Vi talar om ett exceptionellt brott sett till antalet målsägande. Hittills har vi över 15 000 polisanmälningar, säger justitieministern.
Ytterst hårda krav för byte
Enligt Myndigheten för digitalisering och befolkningsdata MDB ställer den nuvarande lagen ytterst hårda krav på ett eventuellt byte av personnummer.
– Lagen om befolkningsdatasystemet tillåter inte att man förnyar sitt personnummer i förebyggande syfte för att hindra identitetsstöld eller annan brottslighet, säger direktör Timo Salovaara på MDB.
Myndigheten för digitalisering och befolkningsdata hanterar några tiotals ansökningar som berör förnyelse av personnummer varje år. De flesta ansökningar gäller personer som genomgått könskorrigerande operationer eller fall där förlossningsavdelningen gett fel nummer av misstag.
– Ibland går det att få ett nytt personnummer om man har utsatts för grov identitetsstöld och personnumret har utnyttjats för brottslig verksamhet som orsakar stor ekonomisk skada, säger Salovaara.
I situationer där ett stulet personnummer inte har vållat brottsoffret ekonomisk skada är det alltså tills vidare svårt att få ett nytt nummer.
– Den nuvarande lagen räcker inte som motivering för att vi ska kunna bevilja ett nytt personnummer till dem som har drabbats av dataintrånget på Vastaamo, säger Salovaara.
Han betvivlar å andra sidan att en reviderad version av lagen om befolkningsdatasystemet skulle ha önskad effekt.
– Sådana tvivelaktiga bolag som tillåter att man köper varor på nätet genom att uppge sitt personnummer skulle knappast märka någon skillnad om du uppger ett föråldrat personnummer. Det vore effektivare att i stället kräva stark autentisering av identiteten med bankkoder varje gång man handlar på nätet, säger Salovaara.
I praktiken skulle det i sin tur förutsätta en förnyelse av lagen om tillhandahållande av digitala tjänster.
– Lagstiftningen borde kräva att det är försäljaren som bär ansvaret för att identiteten bekräftas med stark autentisering.
”Inte rätt tidpunkt koppla in Olycksutredningscentralen”
Statsminister Sanna Marins (SDP) regering diskuterade också vikten av att offren erbjuds tillräckliga tjänster och stöd, en fråga som ligger hos Social- och hälsovårdsministeriet.
Inför aftonskolan föreslog vetenskaps- och kulturminister Annika Saarikko (C) att Olycksutredningscentralen
kunde kopplas in för att göra en storolycksutredning kring läckan.
– Nu är inte rätt tidpunkt för det, säger Henriksson.
– Den lagstiftningen är uttryckligen avsedd för storolyckor. Nu handlar det om ett brottmål med gigantiskt omfång. Vi är mitt i en brottsutredning och behöver vänta tills Centralkriminalpolisens förundersökning är klar. De myndigheter som ska jobba med de här frågorna gör det just nu, säger Henriksson.
Henriksson uppskattar att så kallade snälla hackare hjälper polisen med utredningen.
– Tyvärr är hela det här fallet ett bevis på att världen är full av människor som vill andra människor illa och är beredda att begå brott på andras bekostnad.
Henriksson påminner om att samtliga företag och organisationer som hanterar personregister av något slag måste se till att följa den nya europeiska dataskyddsförordningen GDPR som trädde i kraft 2018.