Uppdatering 250915: Obehörig åtkomst till kommunanställdas personuppgifter

I den nationella utredningen som görs efter cyberattacken mot IT-systemleverantören Miljödata har konstaterats att den obehöriga aktören bakom angreppet kommit över personuppgifter om Kristianstads kommuns nuvarande och tidigare medarbetare. Söndagen den 14 september har den obehöriga aktören publicerat data som stulits i angreppet.

Av uppgifterna från Miljödata framgår att läckorna kommer från kommunens system för att dokumentera medarbetaranteckningar. Uppgifterna gäller personer som är anställda i kommunen just nu eller som varit anställda i kommunen de senaste 10 åren.

Vilka uppgifter gäller det?

Den obehöriga aktören har kommit över information från systemet som innehåller namn, personnummer, folkbokföringsadress, e-postadress, telefonnummer och antal sjukdagar över 15 dagar, men inte orsak till sjukskrivning eller när i tid de förekommer.

Miljödata poängterar att informationen om sjukdagar som utredningen i nuläget kan se att den obehöriga aktören fått åtkomst till, inte innehåller några andra detaljer om hälsa som exempelvis läkarintyg, plan för återgång till arbete, anteckningar som chefer gjort eller sjukdomsorsak.

Miljödatas övergripande analys av det nu publicerade materialet bekräftar att den typ av uppgifter som stulits och publicerats motsvarar de uppgifter som beskrivs ovan.

Det finns nu risk att personer vars uppgifter publicerats kontaktas i syfte att lura dem att ge ut fler uppgifter, för att sedan komma åt andra system. Du som medarbetare eller tidigare medarbetare i Kristianstads kommun uppmanas att vara extra uppmärksamma på kontaktförsök från okända avsändare.

–Vi ser allvarligt på hela situationen och har tät kontakt med systemleverantören Miljödata för att få information om den fortlöpande utredningen. Detaljerad information om medarbetaranteckningar på individnivå har inte kommit ut vid angreppet, säger HR-direktören Helene Frykler.

Vidtagna åtgärder?

• Miljödata vidtog omedelbara åtgärder genom att stänga ner och säkra systemen och anlita externa säkerhetsexperter. Miljödata har polisanmält händelsen.
• Kommunen står i tät kontakt med leverantören Miljödata
• Kommunen har anmält händelsen till Integritetsskyddsmyndigheten (IMY)
• Dialog sker löpande med kommunens dataskyddsombud (DSO), dataskyddssamordnare med flera.
• Information om situationen har gått ut till alla kommunens anställda

Möjliga konsekvenser för en medarbetare

Med hänsyn till de kategorier av personuppgifter som har påverkats bedömer Miljödata att de registrerade riskerar att drabbas av följande konsekvenser till följd av brottet:

• Den registrerade förlorar kontrollen över de egna personuppgifterna.
• Skadat anseende för den drabbade.
• Förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt
• Större distribution av personuppgifter än vad som var nödvändigt eller som de registrerade har samtyckt till.
• Personuppgifter kan komma att samköras med andra uppgifter om de registrerade.
• Den registrerades personuppgifter som publicerats på ”dark web” kan i värsta fall missbrukas på bedrägligt sätt.

Vill du komma i kontakt med oss

Om du som tidigare anställd vill kontakta kommunen kan du vända dig till medborgarcenter.

• Kontakta Kristianstads kommun

Det går även bra att kontakta kommunens dataskyddsombud (DSO)

• Ring DSO: 08-4626560
• Skicka mejl till DSO: dso.kristianstad@jpinfonet.se

Så kan du skydda dig

• Risk för bedrägerier mot våra anställda