Ge respons SlutaAvsluta och stäng Skip to content

Hur framskrider Vastaamo-fallet ur offrets perspektiv?

Uppdaterad 7.5.2025 klockan 9.30

Dataintrånget i psykoterapicentret Vastaamo är en brottshelhet som aldrig tidigare skådats i Finland. På den här sidan går vi igenom olika möjligheter för vad som kan hända i processen ur offrens perspektiv. Det finns flera alternativ och behandlingen av fallen fortsätter troligen i flera år ännu.

Behandlingen av brottmålet i Västra Nylands tingsrätt har avslutats, och domen har publicerats på Västra Nylands tingsrätts webbplats. Behandlingen av brottmålet pågår nu i Helsingfors hovrätt.

Statskontoret har öppnat en egen tjänstekanal för offren för dataintrånget vid Vastaamo. Statskontoret har inlett behandlingen av ersättningsansökningar relaterade till Vastaamo.

Statskontoret meddelar att de ger anvisningar om hur man ansöker om ersättningar under maj 2024. Statskontoret strävar efter en snabb och smidig ansökningsprocess för offren för dataintrånget på Vastaamo

Om du vill ha praktiska råd i rättsprocessen eller mentalt stöd kan du kontakta våra avgiftsfria tjänster:


Tingsrätten dömde våren 2024 Aleksanteri Kivimäki för dataintrånget och de händelser som följde. Domen har överklagats till Helsingfors hovrätt. Rättegången i brottmålet fortsätter i hovrätten i september 2025.

Polisen skickade brev till målsägandena i maj 2025 – ytterligare en person misstänks för utpressning och spridning av uppgifter

I januari 2025 greps en annan person i Estland. Hen misstänks för medhjälp till utpressning i samband med psykoterapicentret Vastaamo och för medhjälp till spridning av klienternas uppgifter. Polisens förundersökning håller nu att slutföras, och ärendet överförs till åtalsprövning den 19 maj. Läs polisens meddelande

Den 8 maj 2025 har polisen skickat ett brev (antingen per post eller digitalt via Suomi.fi-tjänsten) till cirka 9 000 av Vastaamos klienter, som i en tidigare brottsprocess konstaterats vara målsägande. Dessa personer har redan i den ursprungliga förundersökningen lämnat sina utlåtanden och framfört sina yrkanden.

De misstänkta brottsrubriceringarna är följande:

  • Medhjälp till grov spridning av information som kränker privatlivet, där målsägandena är cirka 9 000 av Vastaamos klienter

  • Medhjälp till försök till grov utpressning, där målsäganden är Vastaamo (i denna brottsrubricering är det endast psykoterapicentret Vastaamo som är målsägande – inte de personer vars uppgifter har spridits)

Varför skickades brevet och vad står det i det? I brevet informerar polisen mottagaren om att hen är målsägande i ärendet som gäller medhjälp till grov spridning av information som kränker privatlivet.

Brevet förtydligar också att målsäganden inte behöver göra någon brottsanmälan eller vidta några andra åtgärder i ärendet.

Vad händer härnäst? Ärendet överförs till åtalsprövning den 19 maj. I åtalsprövningen beslutar åklagaren om åtal ska väckas.

Jag fick ett brev – vad borde jag göra? Du behöver inte göra någonting i detta skede. Du har redan i samband med huvudmålet lämnat ett utlåtande och framfört krav straff. Dessa gäller fortfarande.

Kan jag ytterligare ersättning om även den andra misstänkta döms? Du kan inte ersättning två gånger för samma sak. Att en andra misstänkt går till åtalsprövning påverkar inte ersättningarna från Statskontoret. Det är bra att också följa Statskontorets kommunikation.

Om du har ingått en förlikning i ärendet, kan du be om mer information från den advokatbyrå som hanterat ditt avtal.

Tingsrätten beslutade i den tidigare rättegången mot Kivimäki att behandla brottsoffrens skadeståndskrav i en separat process. Tidsplanen för detta meddelas senare.

Jag har inte fått något brev men är målsägande – vad kan jag göra? Brevet har den 8 maj 2025 skickats digitalt via Suomi.fi-tjänsten till de personer som använder tjänsten.

Du kan läsa meddelanden i Suomi.fi-tjänsten adressen suomi.fi/viestit

Till övriga målsägande har brevet skickats som pappersbrev, och det kan ta upp till ett par veckor innan det anländer.

 


Rättsprocess mot personen som gjort dataintrånget

Brottmålets behandling i tingsrätten har avslutats och beslutet har publicerats på Västra Nylands tingsrätts webbplats: Domstolsbehandlingen av Vastaamo-helheten vid Västra Nylands tingsrätt

Tingsrätten beslöt redan i början av rättegången att åtskilja de ärenden som gäller offrens skadeståndsanspråk till en separat behandling i en civilprocess. Tidsplanen för detta meddelas senare.

Åklagarens brev till målsägandena i slutet av april 2024

Åklagarmyndigheten har skickat ett brev till cirka 10 000 personer för vilka ett beslut om att begränsa förundersökningen har fattats. Beslutet fattades den 5 april 2024.

Varför fick jag ett brev? Majoriteten av de som mottagit brevet är personer som inte har gjort någon brottsanmälan. Den e-postadress som enligt åklagarens uppgifter tillhör dig har dock fått ett utpressningsmeddelande under hösten 2020. Polisen har inte ytterligare utrett om du har varit klient hos Vastaamo. Att din adress hittades hos utpressaren kan bero på att till exempel FPA eller kommunerna har hänvisat klienter till Vastaamo. Dessutom har åklagaren endast information om till vilka e-postadresser meddelandet har försökts skickas, men inte om meddelandet har levererats.

Behöver jag göra något? Du behöver inte göra något. Om du vill kan du dock kontrollera vilka uppgifter om dig som har sparats i Vastaamos kundregister och utifrån det omvärdera situationen. Instruktioner för att kontrollera dina uppgifter finns längre ner på denna sida i avsnittet Vanliga frågor.

Var får jag mer information? Läs vanliga frågor på den här sidan. Där finns information om hur du kan ta reda på vilka uppgifter om dig som har funnits i Vastaamos kundregister. Du kan också ringa till Brottsofferjourens telefonstjänst 116 006 eller diskutera i RIKUchatten.

Kan jag ansöka om skadestånd från Statskontoret? Du kan ansöka om brottsskadeersättning om du har gjort en brottsanmälan eller fått ett brev och ett beslut om begränsning av förundersökningen från åklagaren i april 2024. För att få ersättning krävs dessutom att du under förundersökningen har lämnat ett uttalande till polisen där du har krävt ersättning, eller att du har krävt ersättning av gärningspersonen genom en skadeståndstalan eller ett förlikningsavtal. (7.5.2025)

Svar på denna och andra frågor om ersättningar som betalas av Statskontoret finns på Statskontorets webbplats: Statskontoret: Vastaamo-offren

Kan jag väcka åtal själv? Kontakta en advokat direkt för att få reda på mer om detta.

Varför har jag inte tidigare informerats om att jag varit Vastaamos klient? Polisen fick först under utredningens slutskede reda på till vilka utpressningsmeddelandet hade skickats. Innan dess grundade sig polisens information om offren på de brottsanmälningar som Vastaamos klienter hade gjort. Detta berodde på att Högsta domstolen hade beslutat att uppgifter om Vastaamos klienter inte får överlämnas till polisen utan klientens samtycke. Därför beslutade polisen att utredningen skulle baseras på de anmälningar som gjorts av klienterna. När mer detaljerad information om sändningen av utpressningsmeddelanden framkom från annat håll, kunde polisen inte längre nå de möjliga klienterna, eftersom det fanns så många drabbade. Myndigheterna ville inte heller tvinga någon att delta i processen, eftersom det var känt att alla offer inte ville vara med i den. (uppdaterad 26 april 2024)

 

Flera instanser kan vara skadeståndsansvariga

Gärningsmannen är inte den enda instansen som kan vara skadeståndsskyldig i fallet. EU:s dataskyddsförordning definierar krav för organisationer för insamling, lagring och hantering av personuppgifter och försummelse av dessa kan leda till sanktioner. I förordningen definieras även två roller som sköter om behandlingen av personuppgifter. Den personuppgiftsansvarige beslutar om syftet med och sättet för behandlingen av personuppgifterna och personuppgiftsbiträdet lagrar och hanterar uppgifterna för den personuppgiftsansvarige.

Vastaamo har huvudsakligen fungerat som personuppgiftsansvarig för personuppgifterna som läckt ut vid dataintrånget. Undantag här utgörs av situationer där en hälsovårdsorganisation har köpt tjänster från Vastaamo – då har ifrågavarande hälsovårdsorganisation varit personuppgiftsansvarig medan Vastaamo har fungerat som personuppgiftsbiträde.

Enligt dataskyddsförordningen har Vastaamo i egenskap av personuppgiftsansvarig haft ansvar för dataskyddet. På så sätt har rättshandlingar även riktats mot Vastaamo eftersom man anser att Vastaamo brutit mot detta ansvar. För företag har sanktionerna i dataskyddsbrott genomförts med administrativa sanktioner. Professorn i offentlig rätt Tomi Voutilainen från Östra Finlands universitet berättade våren 2021 att med avseende på personen som utfört dataintrånget behandlas ärendet enligt skadeståndslagen och för Vastaamos del behandlas ärendet enligt skadeståndsbestämmelserna som föreskrivs i dataskyddsförordningen.

Voutilainen påpekar att Vastaamos och gärningsmannens skadeståndsansvar inte gäller samma skador. Till exempel ligger den av gärningsmannen orsakade skadan, som inte längre är bunden till den personuppgiftsansvarige, inte på den personuppgiftsansvariges ansvar. Vetskapen om den här skillnaden är även väsentlig ur offrens perspektiv eftersom skadeståndsprocesserna för Vastaamo och gärningsmannen är mycket olika.

Vastaamo försattes i konkurs i februari 2021 och dess verksamhet såldes till ett annat bolag i februari. Skulderna på miljontals euro blev kvar hos Vastaamo. Läs mer: Ansökan om skadestånd från Vastaamos konkursbo

I december 2021 konstaterade Dataombudsmannens byrå att Vastaamo har brutit mot bestämmelserna i den allmänna dataskyddsförordningen och ålagt Vastaamo en administrativ påföljdsavgift. Dataombudsmannens byrå: Påföljdsavgift för dataskyddsöverträdelser åt psykoterapicentret Vastaamo

Påföljdsavgiften på 608 000 euro ska betalas till staten och leder således inte till direkta ersättningar för offren. ”Administrativa böter utgör en efterställd fordran i en konkurs. Påföljdsavgiften förminskar alltså inte de medel som är tillgängliga för övriga konkursfordringar, såsom eventuella skadestånd”, står det i dataombudsmannens beslut.

Vad är Vastaamos ansvar?

Vastaamos klienter har rätt att kontrollera vilka uppgifter som har sparats om dem själva i företagets register. Eftersom Vastaamos verksamhet har upphört förvaras inga klientuppgifter där länge. Om du har varit Vastaamos klient via kommunen, samkommunen, sjukvårdsdistriktet eller någon annan motsvarande organisation kan du be om dina klientuppgifter via ifrågavarande organisation.

Alla andra klientuppgifter har överförts till Fpa för arkivering. Från Fpa kan klienten begära information genom krypterad e-post: Anvisningar för begäran om information från Fpa

Enligt dataskyddsförordningen ansvarar Vastaamo i egenskap av personuppgiftsansvarig både för dataintrångets materiella och immateriella skador om man anser att de försummat dataskyddsförordningen. Materiell skada kan till exempel syfta till ekonomisk förlust och en immateriell skada till exempelvis psykiskt lidande. I detta fall kan det vara fråga om båda typerna av skador.

Läs mer: Ansökan om skadestånd från Vastaamos konkursbo

Konkursen inverkar inte på situationen för de offer som har remitterats från till exempel sjukvårdsdistriktet för vård till Vastaamo. I dessa fall ligger ansvaret hos det remitterande sjukvårdsdistriktet till vilket yrkandet på skadestånd ska lämnas in i enlighet med dataskyddsförordningen.

Sjukvårdsdistriktens roll och ansvar i dataintrånget

Några sjukvårdsdistrikt har remitterat klienter till Vastaamos tjänster. Sjukvårdsdistrikten har då agerat som självständiga personuppgiftsansvariga och Vastaamo som personuppgiftsbiträde för sjukvårdsdistriktens del.

Dataombudsmannens byrå har utrett behandlingen av personuppgifter för de personuppgiftsansvariga för vilka Vastaamo har agerat som biträde och gett några personuppgiftsansvariga en anmärkning.

På Dataombudsmannens byrås webbsidor finns ytterligare information om skadeståndsanspråk. På webbsidan rekommenderas bland annat att i första hand framställa skadeståndsanspråk direkt mot den personuppgiftsansvarige eller personuppgiftsbiträdet som brutit mot dataskyddsförordningen. Läs mer: Dataombudsmannen: Att yrka på skadestånd vid överträdelse av dataskyddsförordningen

Hur går man vidare?

Offrens rätt till ersättning för skada till följd av brottet skyddas av specialbestämmelser. Skadeståndsskyldigheten upphör inte under tiden då åtal väcks, då ärendet behandlas i domstol eller då den åtalade besvärar sig över beslutet till hovrätten eller högsta domstolen. Specialbestämmelsen grundar sig på att rättegångar och relaterade besvärsprocesser i värsta fall kan anhängiggöra ärendet i flera år.

Enligt polisen kan offret i det här skedet invänta ytterligare information. Dessutom ska till exempel utpressningsmeddelanden och eventuella andra kontaktförsök eller bevis sparas och exempelvis en skärmdump tas. Anvisningar för brottsanmälan finns på polisens webbsidor.

Läs mer

Källor



RIKUn logo
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.