Miljödatas jätteläcka – Vision: Arbetsgivare kan behöva betala skadestånd

Arbetsgivare kan vara skadeståndsskyldiga efter den stora cyberattacken mot Miljödata. Det säger Visions biträdande förhandlingschef Oskar Pettersson.

Den 23 augusti utsattes företaget Miljödata, som är utvecklare av ett system som används av många stora arbetsgivare för att hantera personalärenden, för en cyberattack.

Angreppet ledde till att uppgifter om 1,5 miljoner människor spred, information som bland annat namn, adress, personnummer och sjukdagar.

– Eftersom varje organisation själv bestämmer vilken information de lägger i Miljödata befarar vi att det kan finnas känsliga uppgifter om till exempel varningar man har fått i jobbet, eller sjukskrivningar, säger Oskar Pettersson, biträdande förhandlingschef på Vision.

→ Så klarade Bjuv sin stora it-attack

Anställda på stora arbetsplatser drabbade

Miljödata används bland annat av 80 procent av Sveriges kommuner. Efter attacken konstaterades att anställda i flera stora kommuner och regioner, som Stockholm stad, Region Skåne och Göteborgs stad hade fått sina personuppgifter spridda på nätet.  

– Folk drabbas olika. För somliga är kan det vara ganska ”lindrigt” att ha fått personnummer och adress spridda. Men sen finns det människor som har arbeten där de har en hotbild mot sig, och då är det en fara att uppgifter om var man bor ligger ute. Det är ännu värre för dem som har skyddad identitet, för då kanske det handlar om en merkostnad för att behöva flytta, säger Oskar Pettersson.

Har arbetsgivarna skyddat informationen tillräckligt?

Arbetsgivare är enligt GDPR och den svenska dataskyddslagen skyldiga att hantera anställdas personuppgifter på ett säkert sätt och att inte spara dem längre än vad som är nödvändigt för de ändamål de samlats in för. Frågan är om så har skett i det här fallet, menar Oskar Pettersson, även om han redan nu kan konstatera att Miljödata uppenbarligen inte har haft ett tillräckligt starkt skydd.

– Först måste vi klarlägga om arbetsgivarna har skyddat uppgifterna tillräckligt eller inte, annars kan de vara skadeståndsskyldiga. Vi jobbar med frågan just nu, genom att se hur hanteringsordningen ska se ut och vilka instruktioner vi ska ge till förtroendevalda.

→ Hackerattack mot vårdcentral skärpte rutiner 

Vision: Ta hjälp av lokala förtroendevalda

Visions utgångspunkt är att drabbade medlemmar i första hand ska ta hjälp av sina lokala förtroendevalda som kan företräda dem i lösningar med arbetsgivaren.

Oskar Petterssons råd till alla är att klargöra om man är drabbad och i så fall vilka uppgifter som har spridits.

– Många drabbade arbetsgivare hör själva sig till sina anställda, men jag tycker att det är bra om man själv även försöker göra research och tar skärmdumpar på det som finns, säger han.