Uppdatering om cyberattacken mot Adato och Novi (14 september)
Miljödatas utredning av cyberattacken är nu slutförd. Vi konstaterar att personuppgifter från systemen Adato och Novi (som används av chefer och HR för dokumentation vid bland annat rehabiliteringsprocesser för medarbetare) är röjda.
Det rör uppgifter som namn, personnummer, folkbokföringsadress, telefonnummer samt e-postadress, i de fall dessa har funnits i det aktuella systemet Adato. För medarbetare som har ett pågående rehabiliteringsärende har även uppgiften om antal sjukdagar som rapporteras till andra myndigheter röjts.
Miljödata förtydligar att det inte rör sig om andra uppgifter eller detaljerad information om medarbetares hälsa, som till exempel läkarintyg eller rehabiliteringsplaner.
- Att någon har haft möjlighet att se och sammanställa information om våra medarbetare är naturligtvis mycket allvarligt. Vi värnar starkt om integriteten hos våra anställda, både nuvarande och tidigare, säger Annika Tjernström, HR-direktör i Region Västmanland.
Nu kommer regionen vidta åtgärder enligt dataskyddsförordningen (GDPR) och våra rutiner. Det innebär bland annat att informera nuvarande och tidigare medarbetare som är berörda. Region Västmanland har redan anmält incidenten till Integritetsskyddsmyndigheten (IMY). Miljödata har polisanmält händelsen.
De påverkade systemen, Adato och Novi, är efter dialog med leverantören åter i bruk. Region Västmanlands övriga it-system, andra leverantörer eller patienter är inte berörda av händelsen. Den berör enbart information som har funnits i företaget Miljödatas system Adato och Novi.
Om du har frågor kan du vända dig till HR-direkt.
Frågor och svar
Vad har hänt?
Regionens leverantör av systemen Adato och Novi, som används av chefer och HR i bland annat rehabiliteringsprocesser, utsattes för en cyberattack under lördagen den 23 augusti.
Vilka system är påverkade?
Systemen Adato och Novi stängdes ned till följd av attacken.
Har någon data påverkats eller läckt?
Det vi vet idag är dessa uppgifter är röjda: namn, personnummer, folkbokföringsadress, telefonnummer samt e-postadress, i de fall dessa har funnits i det aktuella systemet Adato. För medarbetare som har ett pågående rehabiliteringsärende har även uppgiften om antal sjukdagar som rapporteras till andra myndighet röjts.
Vilka åtgärder har Region Västmanland vidtagit?
Region Västmanland tillsatte en analysgrupp som arbetar löpande med frågan, konsekvensbedömningar och hantering.
Anmälan till Integritetsskyddsmyndigheten (IMY) är gjord, vilket är rutin i fall som dessa. Region Västmanland har dock inte polisanmält händelsen, men kontaktuppgifter från regionen har bifogats i den polisanmälan som tidigare upprättats på central nivå.
Region Västmanland avvaktade med att starta upp systemen tills säkerhetsåtgärderna hos leverantören bedömdes som trygga.
Vad händer nu?
Regionens analysgrupp kommer att aktivera en rad åtgärder, bland annat hantera den informationsplikt som gäller när data läckt.