Stefan Holmström 29.10.2020 05:001

Klientuppgiftsläckan vid psykoterapicentret Vastaamo är motbjudande. 40 000 personers uppgifter kan ha läckt ut i samband med dataintrånget. Något lär redan ha dykt upp, bland annat på Ylilauta-forumet, men städades snabbt bort.

Enligt Mikko Hyppönen vid datasäkerhetsbolagets F-Secure kan det tyvärr vara så att information har läckt vidare. Det skulle enligt honom bero på att krackarna, de eller den som begick brottet, också har gjort obegripliga fel. Kanske det på så vis i alla fall blir lättare att spåra upp dem.

Om det visar sig att skurkarna inte är några verkliga proffs, säger det en hel del om hur dåligt Vastaamo hade skyddat sina uppgifter. Den biten känns inte överraskande, för inte ens myndigheter klarar av sådant: antingen finns det luckor i IT-system eller så går det bara så att lassvis med patientjournaler hittas på en soptipp eller i något pappersåtervinningskärl, sådant brukar ju uppdagas nästan varje år.

Det sätt som Vastaamo har reagerat på läckan får ändå ögonbrynen att höjas. Det har inte varit så mycket ursäkt och ödmjukhet, annat än standardfraser. Därför är det lätt att instämma i det som faktaboksförfattaren och kommunikationscoachen Katleena Kortesuo skriver:

– En retorik där Vastaamo framställer sig som offer är fel i en situation där vi i den ena vågskålen har vanliga människors och deras livsöde – och i den andra ett företag med en omsättning på 15 miljoner euro, skriver Kortesuo, själv en av de många vars uppgifter har läckts (YLE, 27.10).

Vastaamo är såklart inte ensamt då det gäller bristfällig hantering av en kris. Det var precis lika då en allvarlig personuppgiftslucka uppdagades 2018 vid trafiksäkerhetsverket Trafi (numera Transport- och kommunikationsverket Traficom).

Då upptäckte en Lahtisbo att man på Trafis webbsida kan mata in ett (födelse)datum och sedan testa olika kombinationer för slutleden – och om de stämmer, visas namn och körkortsuppgifter på den vars personbeteckning man precis råkat hitta på och slå in. (De flesta lär ha en liten siffra efter födelsedatumet, och beteckningens sista nummer eller bokstav kan vem som helst räkna ut med en enkel ekvation).

Lahtisbon hittade i ett huj tio personers uppgifter, men när han kontaktade Trafi tog det två månader innan något gjordes. Två månader. Och en hel del bortförklaringar.

Förresten, var det någon som ställdes till svars? Knappast.

Då det gäller Vastaamo handlar detdärför också om mer än personliga uppgifter och utpressning. Egentligen är själva utpressningsdelen ett ganska ineffektivt sätt att komma över andras pengar, då det finns så många lättare sätt.

Om skurkarna verkligen försöker använda sig av känsliga uppgifter är de som deltar i polisarbetet många. Spanarna är proffs och med en hård press att lösa fallet.

Därför är det sannolikt att data från Vastaamo används för helt andra snabbvinster, genom brott som är nedprioriterade på polisens och politikers agenda, brott som inte riktigt någon hinner undersöka.

Med enbart namn, personbeteckning och adress kan man sköta bedrägerier av alla de slag, oftast utan att lämna några egentliga spår. Det är exempelvis inte så svårt att lyfta krediter i andras namn.

Och det är ju här som det tokiga nu är, för det är läckans offer som ska traggla igenom alla möjliga instanser för att försöka hindra brott: Vi har Myndigheten för digitalisering och befolkningsdata, Magistraten, Posten, Traficom och Patent- och registerstyrelsen, samt kreditinformationsbolagen Asiakastieto och Bisnode. Och säkert någon till.

Det är här frågan inställer sig: Hur är det över huvud taget så att utgångsläget är det att varje individ själv måste kryssa i sådant som ska begränsas eller hindras då det gäller åtkomst till persondata?

Borde vi inte ha en omvänd integritet, där allt (eller i alla fal det mesta) är förbjudet? Sedan kan var och en lätta på sina integritetsinställningar i olika register – om man så vill. För 40 000 personers del skulle livet nu vara tryggare i alla fall till den delen.

Stefan Holmström
Ge respons åt redaktören

Dela artikeln