Olycksutredningscentralen publicerade rekommendationer till följd av dataintrånget mot Helsingfors stad – dataombudsmannens byrå fortsätter utreda ärendet

Utredningsgruppen som inrättades i anslutning till Olycksutredningscentralen (OTKES) publicerade den 17 juni en utredningsrapport om dataintrånget som riktades mot Helsingfors stad våren 2024. I utredningen ges fyra rekommendationer för att utveckla den offentliga sektorns beredskap och bekämpning av datanätsbrott. Dataombudsmannens byrå påminner om att säkerställandet av dataskyddet och datasäkerheten är ett kontinuerligt arbete.

Utredningsgruppen som verkade i anknytning till Olycksutredningscentralen utredde bland annat hur man hade försökt säkerställa Helsingfors stads datasäkerhet, hur lednings-, tillsyns- och granskningsverksamheten hade genomförts samt hur kommunikationen och eftervården av objekten för dataintrånget genomfördes. Rekommendationerna i utredningen gäller utveckling av kommunikationsanvisningarna, samordning, tillsyn och anvisningar i fråga om informationshanteringen samt förbättring av upptäckandet av datasäkerhetsbrister inom den offentliga förvaltningen.

Dataombudsmannens byrå fortsätter sin egen utredning gällande dataintrånget mot Helsingfors stad. ”Vi bedömer om Helsingfors stad har iakttagit dataskyddslagstiftningen. Utredningen fokuserar särskilt på om Helsingfors stad har skyddat personuppgifterna tillräckligt väl och hur den har sörjt för rättigheterna för personer som utsatts för en personuppgiftsincident – har till exempel raderingen av uppgifter genomförts på tillbörligt sätt?", berättar biträdande dataombudsman Annina Hautala. 

Nätbrottsligheten utvecklas – hur ska organisationerna förbättra sin beredskap?

Vid dataombudsmannens byrå har man observerat att det inte alltid satsas tillräckligt på att identifiera och hantera riskerna som gäller personuppgifter. Organisationerna måste fundera på vilka uppgifter som förvaras, var och hur länge de förvaras samt hur organisationen sköter raderandet av uppgifter. Riskerna måste bedömas kontinuerligt, särskilt med tanke på vad en eventuell personuppgiftsincident kan medföra för de personer som utsätts för den. Försummelser i fråga om säkerheten vid lagring och behandling av personuppgifter kan leda till allvarliga skador.

”I det digitala samhället måste människor kunna lita på att deras personuppgifter är trygga och inte behandlas lagstridigt. Både organisationer som behandlar personuppgifter och tillsynsmyndigheterna måste ha tillräckliga resurser för dataskydds- och datasäkerhetsarbetet", konstaterar Hautala.

Organisationerna måste säkerställa att systemen är säkra och uppdaterade samt att de regelbundet testas och övervakas. Organisationens ansvar och roller måste vara tydliga och till exempel i samband med organisationsförändringar ska man se till att rollerna och ansvaren hålls uppdaterade. Man måste också komma ihåg att se till att uppdatera kompetensen.

Planering och övning stöder verksamheten vid personuppgiftsincidenter

"Organisationerna måste planera hur de ska agera vid allvarliga personuppgiftsincidenter. De ska ha beredskap att till exempel kommunicera snabbt och begripligt så att personer som utsatts för personuppgiftsincidenter kan förbereda sig på eventuella hot och skador", säger Hautala. 

 En personuppgiftsincident måste anmälas till de berörda personerna, om det är sannolikt att den medför en hög risk för deras rättigheter och friheter.

Anvisningar som stöd för organisationernas beredskap

På dataombudsmannens byrås webbplats finns anvisningar om bland annat bedömning av personuppgiftsincidenter och risker i anslutning till sådana. På webbplatsen finns information om i vilka situationer personuppgiftsincidenter ska anmälas till dataombudsmannens byrå och de personer som berörs av incidenten. 

På webbplatsen finns många anvisningar om hur dataskyddslagstiftningen ska iakttas, bland annat om identifiering och hantering av risker i anslutning till behandling av personuppgifter samt om tillgodoseendet av människors dataskyddsrättigheter.

Anvisningar på dataombudsmannens byrås webbplats:

• Personuppgiftsincidenter
• Bedömning av riskerna som är förknippade med behandling av personuppgifter
• Övriga anvisningar till organisationer om behandling av personuppgifter

Råd till personer som utsatts för personuppgiftsincidenter

• På sin webbplats har Helsingfors stad publicerat anvisningar för potentiella offer för dataintrånget på adressen hel.fi/tietomurto
• Anvisningar på dataombudsmannens byrås webbplats: Om du drabbas av en personuppgiftsincident
• Guide på webbplatsen Suomi.fi: Mina personuppgifter har stulits eller läckt ut
• Stöd och samtalshjälp kan vid behov begäras till exempel från Brottsofferjouren eller Mieli rf:s kristelefon

Mer information:

Olycksutredningscentralens meddelande 17.6.2025: Dataintrånget mot Helsingfors stad visar att dataintrång kräver ett nytt tänkesätt i den offentliga sektorns beredskap, kommunikation och bekämpning av dataintrång

Utredningsrapporten på Olycksutredningscentralens webbplats: P2024-01 Dataintrånget mot Helsingfors stad 2024

Dataombudsmannens byrås pressmeddelande 14.5.2024: Dataombudsmannens byrå utreder den personuppgiftsincident som drabbat Helsingfors stad

Kontakt för medier: viestinta.tietosuoja(at)om.fi