Känslig information kan ha läckt efter cyberattack hos systemleverantör

Skellefteå kommuns systemleverantör Miljödata har under helgen utsatts för en cyberattack. Systemen som drabbats används av chefer och HR och hanterar rehabiliteringsärenden, rapportering och hantering av arbetsskador och tillbud samt arbetsrättsliga ärenden. Det innebär att känsliga personuppgifter gällande medarbetare och tidigare medarbetare samt elever kan ha läckts.

Miljödata informerade Skellefteå kommun om cyberattacken under måndagen den 25 augusti och en krisgrupp sattes genast in för att hantera detta. Viktiga åtgärder har även genomförts för att säkerställa att detta inte har kunnat sprida sig in i kommunens andra system.

Eftersom Skellefteå kommun bedömer att incidenten kan medföra risker för de vars personuppgifter behandlas i systemen så går informationen ut i våra offentliga kanaler.

Skellefteå kommun jobbar just nu med att upprätta en incidentrapport som ska skickas in till Integritetsskyddsmyndigheten (IMY) inom 72 timmar efter att incidenten har skett. I rapporten kommer det att redogöras för vad som har hänt och vilka konsekvenser det kan ha resulterat i.

Leverantörens system som är påverkade är inte tillgängliga och Skellefteå kommun har upparbetade rutiner för hur arbetet kan fortgå.

Skellefteå kommun inväntar mer information från Miljödata. Det är 80 procent av Sveriges kommuner som använder deras system.

För mer information, kontakta:

Kim Bodén, förhandlingschef, Skellefteå kommun, 070-555 39 66

Fakta:

Personuppgiftsincident

”En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Dataskyddsförordningen ställer krav på ett skyndsamt agerande från er som är personuppgiftsansvarig när en personuppgiftsincident har inträffat. Ni ska prioritera undersökningen av personuppgiftsincidenter och avsätta tillräckliga resurser för arbetet.

Som personuppgiftsansvarig ska ni bedöma riskerna för att incidenten påverkar den registrerades rättigheter och friheter samt föra dokumentation av inträffade personuppgiftsincidenter. Ni ska göra en anmälan om det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers fri- och rättigheter. En anmälan ska som utgångspunkt göras 72 timmar från det att ni fått vetskap om personuppgiftsincidenten.

Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter är utgångspunkten att ni som personuppgiftsansvarig ska informera de registrerade om personuppgiftsincidenten. Informationen ska ni lämna till den registrerade utan onödigt dröjsmål.”

Källa: Integritetsskyddsmyndigheten (IMY)