Artikeln publicerades 26 augusti 2025
Känslig information kan ha läckt efter cyberattack mot kommunens systemleverantör
Miljödata, som är en av Vännäs kommuns systemleverantörer, har under helgen blivit utsatta för en cyberattack. Kommunens chefer och HR använder systemen när de hanterar rehabiliteringsärenden och arbetsrättsliga ärenden. Det innebär att känsliga personuppgifter gällande medarbetare och tidigare medarbetare kan ha läckt.
Miljödata informerade Vännäs kommun om cyberattacken under måndagen den 25 augusti och en arbetsgrupp har sedan arbetat med att hantera detta. Bland annat har kommunen gjort en incidentrapportering för personuppgifter samt börjat informera internt om händelsen. Incidentrapporten är inskickad till Integritetsskyddsmyndigheten (IMY) och innehåller kommunens redogörelse för det vi vet om händelsen och vilka konsekvenser den kan ha resulterat i.
Eftersom Vännäs kommun bedömer att incidenten kan medföra risker för de vars personuppgifter behandlas i systemen så går informationen ut i våra offentliga kanaler.
Vännäs kommun inväntar mer information från Miljödata. 80 procent av Sveriges kommuner använder deras system.
Incidenten påverkar inte vår IT-miljö
I nuläget vet vi inte omfattningen av cyberattacken mot Miljödata, vi vet inte heller om information har läckt ut från systemen Novi eller Adato som Miljödata levererar. Vi vet inte hur lång tid det kan ta att få tillbaka systemen i drift.
Det vi däremot vet är att systemen inte på något sätt kan skada vår IT-miljö, eftersom de är molntjänster och varken Novi eller Adato har någon koppling till våra servrar.
Kontakt
Anna Wallgren
HR-chef, Vännäs kommun
E-post: anna.wallgren@vannas.se
Telefon: 0935-141 30
Om Personuppgiftsincidenter
”En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.
Dataskyddsförordningen ställer krav på ett skyndsamt agerande från er som är personuppgiftsansvarig när en personuppgiftsincident har inträffat. Ni ska prioritera undersökningen av personuppgiftsincidenter och avsätta tillräckliga resurser för arbetet.
Som personuppgiftsansvarig ska ni bedöma riskerna för att incidenten påverkar den registrerades rättigheter och friheter samt föra dokumentation av inträffade personuppgiftsincidenter. Ni ska göra en anmälan om det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers fri- och rättigheter. En anmälan ska som utgångspunkt göras 72 timmar från det att ni fått vetskap om personuppgiftsincidenten.
Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter är utgångspunkten att ni som personuppgiftsansvarig ska informera de registrerade om personuppgiftsincidenten. Informationen ska ni lämna till den registrerade utan onödigt dröjsmål.”
Källa: Integritetsskyddsmyndigheten (IMY)
