Uppdaterad 28.10.2024 klockan 12.50
Dataintrånget i psykoterapicentret Vastaamo är en brottshelhet som aldrig tidigare skådats i Finland. På den här sidan går vi igenom olika möjligheter för vad som kan hända i processen ur offrens perspektiv. Det finns flera alternativ och behandlingen av fallen fortsätter troligen i flera år ännu.
Behandlingen av brottmålet i Västra Nylands tingsrätt har avslutats, och domen har publicerats på Västra Nylands tingsrätts webbplats. Behandlingen av brottmålet pågår nu i Helsingfors hovrätt.
Statskontoret har öppnat en egen tjänstekanal för offren för dataintrånget vid Vastaamo. Statskontoret har inlett behandlingen av ersättningsansökningar relaterade till Vastaamo den 25 september.
Åklagarmyndigheten skickade i slutet av april 2024 ett brev om begränsning av förundersökningen till omkring 10 000 offer. Majoriteten är personer som inte har gjort någon brottsanmälan. Mer information längre ner på sidan
Statskontoret meddelar att de ger anvisningar om hur man ansöker om ersättningar under maj 2024. Statskontoret strävar efter en snabb och smidig ansökningsprocess för offren för dataintrånget på Vastaamo
Om du vill ha praktiska råd i rättsprocessen eller mentalt stöd kan du kontakta våra avgiftsfria tjänster:
- Brottsofferjouren 116 006
- RIKUchat (på finska)
- Lämna kontaktbegäran
Rättsprocess mot personen som gjort dataintrånget
Brottmålets behandling i tingsrätten har avslutats och beslutet har publicerats på Västra Nylands tingsrätts webbplats: Domstolsbehandlingen av Vastaamo-helheten vid Västra Nylands tingsrätt
Tingsrätten beslöt redan i början av rättegången att åtskilja de ärenden som gäller offrens skadeståndsanspråk till en separat behandling i en civilprocess. Tidsplanen för detta meddelas senare.
Åklagarens brev till målsägandena i slutet av april 2024
Åklagarmyndigheten har skickat ett brev till cirka 10 000 personer för vilka ett beslut om att begränsa förundersökningen har fattats. Beslutet fattades den 5 april 2024.
Varför fick jag ett brev? Majoriteten av de som mottagit brevet är personer som inte har gjort någon brottsanmälan. Den e-postadress som enligt åklagarens uppgifter tillhör dig har dock fått ett utpressningsmeddelande under hösten 2020. Polisen har inte ytterligare utrett om du har varit klient hos Vastaamo. Att din adress hittades hos utpressaren kan bero på att till exempel FPA eller kommunerna har hänvisat klienter till Vastaamo. Dessutom har åklagaren endast information om till vilka e-postadresser meddelandet har försökts skickas, men inte om meddelandet har levererats.
Behöver jag göra något? Du behöver inte göra något. Om du vill kan du dock kontrollera vilka uppgifter om dig som har sparats i Vastaamos kundregister och utifrån det omvärdera situationen. Instruktioner för att kontrollera dina uppgifter finns längre ner på denna sida i avsnittet Vanliga frågor.
Var får jag mer information? Läs vanliga frågor på den här sidan. Där finns information om hur du kan ta reda på vilka uppgifter om dig som har funnits i Vastaamos kundregister. Du kan också ringa till Brottsofferjourens telefonstjänst 116 006 eller diskutera i RIKUchatten.
Kan jag ansöka om skadestånd från Statskontoret? På Statskontorets webbplats framgår det att om du har gjort en brottsanmälan eller om polisen på annat sätt har fått information om brottet och du har lämnat ett uttalande till polisen, kan du ansöka om ersättning. I detta fall måste du skicka in det uttalande du har gett till polisen till Statskontoret. Om du inte har lämnat något uttalande men vill ansöka om skadestånd, kan du följa instruktionerna i åklagarens brev om du så önskar. Om du fortsätter enligt instruktionerna i åklagarens brev, har du möjlighet att ansöka om ersättning från Statskontoret. (6.5.2024)
Svar på denna och andra frågor om ersättningar som betalas av Statskontoret finns på Statskontorets webbplats: Statskontoret: Vastaamo-offren
Kan jag väcka åtal själv? Kontakta en advokat direkt för att få reda på mer om detta.
Varför har jag inte tidigare informerats om att jag varit Vastaamos klient? Polisen fick först under utredningens slutskede reda på till vilka utpressningsmeddelandet hade skickats. Innan dess grundade sig polisens information om offren på de brottsanmälningar som Vastaamos klienter hade gjort. Detta berodde på att Högsta domstolen hade beslutat att uppgifter om Vastaamos klienter inte får överlämnas till polisen utan klientens samtycke. Därför beslutade polisen att utredningen skulle baseras på de anmälningar som gjorts av klienterna. När mer detaljerad information om sändningen av utpressningsmeddelanden framkom från annat håll, kunde polisen inte längre nå de möjliga klienterna, eftersom det fanns så många drabbade. Myndigheterna ville inte heller tvinga någon att delta i processen, eftersom det var känt att alla offer inte ville vara med i den. (uppdaterad 26 april 2024)
Flera instanser kan vara skadeståndsansvariga
Gärningsmannen är inte den enda instansen som kan vara skadeståndsskyldig i fallet. EU:s dataskyddsförordning definierar krav för organisationer för insamling, lagring och hantering av personuppgifter och försummelse av dessa kan leda till sanktioner. I förordningen definieras även två roller som sköter om behandlingen av personuppgifter. Den personuppgiftsansvarige beslutar om syftet med och sättet för behandlingen av personuppgifterna och personuppgiftsbiträdet lagrar och hanterar uppgifterna för den personuppgiftsansvarige.
Vastaamo har huvudsakligen fungerat som personuppgiftsansvarig för personuppgifterna som läckt ut vid dataintrånget. Undantag här utgörs av situationer där en hälsovårdsorganisation har köpt tjänster från Vastaamo – då har ifrågavarande hälsovårdsorganisation varit personuppgiftsansvarig medan Vastaamo har fungerat som personuppgiftsbiträde.
Enligt dataskyddsförordningen har Vastaamo i egenskap av personuppgiftsansvarig haft ansvar för dataskyddet. På så sätt har rättshandlingar även riktats mot Vastaamo eftersom man anser att Vastaamo brutit mot detta ansvar. För företag har sanktionerna i dataskyddsbrott genomförts med administrativa sanktioner. Professorn i offentlig rätt Tomi Voutilainen från Östra Finlands universitet berättade våren 2021 att med avseende på personen som utfört dataintrånget behandlas ärendet enligt skadeståndslagen och för Vastaamos del behandlas ärendet enligt skadeståndsbestämmelserna som föreskrivs i dataskyddsförordningen.
Voutilainen påpekar att Vastaamos och gärningsmannens skadeståndsansvar inte gäller samma skador. Till exempel ligger den av gärningsmannen orsakade skadan, som inte längre är bunden till den personuppgiftsansvarige, inte på den personuppgiftsansvariges ansvar. Vetskapen om den här skillnaden är även väsentlig ur offrens perspektiv eftersom skadeståndsprocesserna för Vastaamo och gärningsmannen är mycket olika.
Vastaamo försattes i konkurs i februari 2021 och dess verksamhet såldes till ett annat bolag i februari. Skulderna på miljontals euro blev kvar hos Vastaamo. Läs mer: Ansökan om skadestånd från Vastaamos konkursbo
I december 2021 konstaterade Dataombudsmannens byrå att Vastaamo har brutit mot bestämmelserna i den allmänna dataskyddsförordningen och ålagt Vastaamo en administrativ påföljdsavgift. Dataombudsmannens byrå: Påföljdsavgift för dataskyddsöverträdelser åt psykoterapicentret Vastaamo
Påföljdsavgiften på 608 000 euro ska betalas till staten och leder således inte till direkta ersättningar för offren. ”Administrativa böter utgör en efterställd fordran i en konkurs. Påföljdsavgiften förminskar alltså inte de medel som är tillgängliga för övriga konkursfordringar, såsom eventuella skadestånd”, står det i dataombudsmannens beslut.
Vad är Vastaamos ansvar?
Vastaamos klienter har rätt att kontrollera vilka uppgifter som har sparats om dem själva i företagets register. Eftersom Vastaamos verksamhet har upphört förvaras inga klientuppgifter där länge. Om du har varit Vastaamos klient via kommunen, samkommunen, sjukvårdsdistriktet eller någon annan motsvarande organisation kan du be om dina klientuppgifter via ifrågavarande organisation.
Alla andra klientuppgifter har överförts till Fpa för arkivering. Från Fpa kan klienten begära information genom krypterad e-post: Anvisningar för begäran om information från Fpa
Enligt dataskyddsförordningen ansvarar Vastaamo i egenskap av personuppgiftsansvarig både för dataintrångets materiella och immateriella skador om man anser att de försummat dataskyddsförordningen. Materiell skada kan till exempel syfta till ekonomisk förlust och en immateriell skada till exempelvis psykiskt lidande. I detta fall kan det vara fråga om båda typerna av skador.
Läs mer: Ansökan om skadestånd från Vastaamos konkursbo
Konkursen inverkar inte på situationen för de offer som har remitterats från till exempel sjukvårdsdistriktet för vård till Vastaamo. I dessa fall ligger ansvaret hos det remitterande sjukvårdsdistriktet till vilket yrkandet på skadestånd ska lämnas in i enlighet med dataskyddsförordningen.
Sjukvårdsdistriktens roll och ansvar i dataintrånget
Några sjukvårdsdistrikt har remitterat klienter till Vastaamos tjänster. Sjukvårdsdistrikten har då agerat som självständiga personuppgiftsansvariga och Vastaamo som personuppgiftsbiträde för sjukvårdsdistriktens del.
Dataombudsmannens byrå har utrett behandlingen av personuppgifter för de personuppgiftsansvariga för vilka Vastaamo har agerat som biträde och gett några personuppgiftsansvariga en anmärkning.
På Dataombudsmannens byrås webbsidor finns ytterligare information om skadeståndsanspråk. På webbsidan rekommenderas bland annat att i första hand framställa skadeståndsanspråk direkt mot den personuppgiftsansvarige eller personuppgiftsbiträdet som brutit mot dataskyddsförordningen. Läs mer: Dataombudsmannen: Att yrka på skadestånd vid överträdelse av dataskyddsförordningen
Hur går man vidare?
Offrens rätt till ersättning för skada till följd av brottet skyddas av specialbestämmelser. Skadeståndsskyldigheten upphör inte under tiden då åtal väcks, då ärendet behandlas i domstol eller då den åtalade besvärar sig över beslutet till hovrätten eller högsta domstolen. Specialbestämmelsen grundar sig på att rättegångar och relaterade besvärsprocesser i värsta fall kan anhängiggöra ärendet i flera år.
Enligt polisen kan offret i det här skedet invänta ytterligare information. Dessutom ska till exempel utpressningsmeddelanden och eventuella andra kontaktförsök eller bevis sparas och exempelvis en skärmdump tas. Anvisningar för brottsanmälan finns på polisens webbsidor.
Läs mer
- Gör så här om dina uppgifter har läckt ut på nätet – Dataintrånget mot psykoterapicentret Vastaamo
- Dataintrånget är på många sätt chockerande, men hjälp finns att få
Källor
- Konsumentförbundet (på finska), YLE (på finska) och Dataombudsmannens byrå