50-letni konsultant IT, zatrudniony w Szwedzkim Urzędzie ds. Zdrowia Publicznego (Folkhälsomyndigheten), został skazany na wyrok w zawieszeniu i grzywnę za ujawnienie poufnych danych o dzieciach zaszczepionych przeciw COVID-19.

Latem 2022 roku na stronie internetowej przeciwników szczepień opublikowano listę prawie 800 dzieci. Widniały na niej daty urodzenia, rodzaj szczepionki oraz miejsce i data podania dawek. Dzieci miały mniej niż 12 lat.

Jak doszło do wycieku danych?

Mężczyzna, pracując nad przenoszeniem krajowego rejestru szczepień na nowy serwer, skopiował dane na swój komputer. Śledztwo wykazało, że w tym czasie duża ilość danych została przesłana na jego adres IP, obejmując cały rejestr w skompresowanej formie.

Dowody:

• Zdjęcia na telefonie komórkowym ukazujące rejestr szczepień na prywatnym komputerze.
• Połączenia z kontami w mediach społecznościowych promującymi teorie spiskowe.
• Kontakt z osobami powiązanymi z prawicowymi mediami alternatywnymi, znanymi z szerzenia dezinformacji.

Kwalifikacja przestępstwa i wyrok

Początkowo zarzuty dotyczyły włamania do systemu komputerowego, jednak ostatecznie zmieniono je na naruszenie tajemnicy służbowej.
Wyrok:

• Kara w zawieszeniu.
• 60 stawek dziennych grzywny.

Mężczyzna nie przyznał się do winy.

Bez odszkodowania dla dzieci

Urząd ds. Zdrowia Publicznego zażądał 2,4 mln koron odszkodowania, jednak sąd rejonowy w Helsingborgu oddalił roszczenie. Dzieci, których dane wyciekły, również nie otrzymają rekompensaty.

Braki w kontroli bezpieczeństwa

Dochodzenie wykazało poważne luki w procedurach bezpieczeństwa:

• Konsultant przeszedł jedynie podstawową kontrolę weryfikacyjną.
• Nie przeprowadzono formalnej klasyfikacji bezpieczeństwa, wymaganej dla osób pracujących na wrażliwych stanowiskach.

W dokumentach rekrutacyjnych zapisano, że w razie potrzeby firma zatrudniająca konsultanta miała przygotować dodatkowe instrukcje – co jednak nie zostało wystarczająco udokumentowane.