Enligt artikel 34 i dataskyddsförordningen GDPR ska personuppgiftsansvariga utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenter. Karlstads universitet har tidigare informerat om att en sådan inträffat (se länkar till tidigare information nederst i denna text). Här presenteras en sammanfattande beskrivning av personuppgiftsincidenten, enligt artikel 34.2 i GDPR.
Sedan 2017.08.15. använder Karlstads universitet datasystemet Adato för dokumentation av långvariga sjukskrivningar och rehabilitering. Adato levereras av företaget Miljödata, som lagrar informationen på sina servrar. Lördag 23 augusti drabbades Miljödata av cyberangrepp.
Karlstads universitet fick information om angreppet måndag 25 augusti. Då var det ännu oklart om personuppgifter läckt. Universitetet anmälde personuppgiftsincidenten till Integritetsskyddsmyndigheten, IMY, och rapporterade även till Myndigheten för samhällsskydd och beredskap, MSB.
Miljödatas vidare utredning av incidenten visade att angriparna haft möjlighet att komma åt delar av Miljödatas system och att information om anställda och tidigare anställda vid Karlstads universitet har läckt och lagts ut på Darknet.
Uppgifter som har läckts är:
- Namn
- Personnummer
- Kontaktuppgifter (e-postadress till arbetsplatsen, telefonnummer och bostadsadress)
- Antal sjukdagar om de varit 15 eller fler dagar (långtidssjukskrivning)
Enligt Miljödatas slutrapport har dock inga specifika uppgifter om hälsa såsom sjukdomsorsak, läkarintyg, rehabiliteringsplaner eller chefsanteckningar röjts. Om ny information framkommer kommer universitetet att återkomma med en uppdatering.
Den som är anställd eller tidigare anställd vid Karlstads universitet och har frågor som rör detta kan kontakta HR-avdelningen vid universitetet via e-post: hrsupport@kau.se
Det går också bra att vända sig till universitetets dataskyddsombud via e-post: dpo@kau.se
Det finns en risk att de stulna uppgifterna kan användas i bedrägliga syften eller samköras med annan information. Det är dock inte möjligt att bedöma sannolikheten för att detta sker.
Med anledning av personuppgiftsincidenten uppmanas alla anställda och tidigare anställda vid Karlstads universitet att vara extra uppmärksamma.
Myndigheten för samhällsberedskap, MSB, har på sin webbplats råd och tips för digital säkerhet. Där finns information och tips på hur man kan känna igen några av angriparens vanligaste sätt för att luras. Där finns även checklistor på vad du kan göra för att skydda dig extra eller om du råkat klicka på en misstänkt länk eller bilaga.
Här kan du läsa tidigare information från Karlstads universitet om personuppgiftsincidenten:
- Så skyddar du dig mot digitala bedrägerier
- Viss information har läckt efter cyberangreppet
- Uppdatering om cyberangreppet hos systemleverantör
- Cyberangrepp hos systemleverantör
