Slachtoffers van het 'gevoeligste datalek' in de Finse geschiedenis willen een hogere schadevergoeding. Eind 2020 wist een aanvaller in te breken op systemen van psychotherapiepraktijk Vastaamo en daar een grote hoeveelheid gevoelige gegevens van zo'n 40.000 cliënten te stelen, die vervolgens online werden gezet. Het ging onder andere om namen, adresgegevens, persoonlijke identificatienummers en patiëntendossiers met zeer gevoelige informatie. Met de gestolen data werden in eerste instantie zowel de praktijk als cliënten afgeperst.

De aanvaller dreigde elke dag honderd records openbaar te maken als de praktijk geen 450.000 euro betaalde. Daarnaast werden cliënten benaderd door de aanvaller met het dreigement dat als zij niet betaalden al hun persoonlijke informatie online zou verschijnen. De aanvaller plaatste in eerste instantie van honderden patiënten de gegevens online. Uiteindelijk verscheen de volledige database op internet.

De situatie zorgde voor zeer grote ophef in Finland en leidde zelfs tot spoedoverleg van het Finse kabinet. Ook ging de Finse regering met een voorstel aan de slag dat het eenvoudiger voor slachtoffers moest maken om hun burgerservicenummer aan te passen. Begin 2021 meldde Vastaamo dat het vanwege het afhandelen van de datadiefstal en afpersing, alsmede de hoge eenmalige uitgaven en onzekerheid over de toekomst, niet meer in staat was om aan de financiële verplichtingen te voldoen en de deuren zou sluiten.

Vastaamo had behandellocaties in heel Finland. Begin dit jaar werd een Finse man wegens de aanval veroordeeld tot een gevangenisstraf van zes jaar en drie maanden. Eind augustus liet de Finse overheid weten dat slachtoffers van het datalek een schadevergoeding van tussen de 500 en 1500 euro zullen ontvangen. Twee advocaten die zo'n 3500 slachtoffers vertegenwoordigen stellen dat de standaardtarieven niet op deze zaak van toepassing zijn en niet genoeg is voor het leed dat slachtoffers hebben geleden.

De advocaten wijzen ook naar een uitspraak van een Fins hof van beroep, dat oordeelde dat Vastaamo één van de slachtoffers een vergoeding van 7000 euro moet betalen. Het hof stelde dat de normale compensatieregeling niet gebruikt kan worden voor het berekenen van de vergoeding, omdat er bij het datalek zeer vertrouwelijke informatie over de behandelrelatie en patient-privacy was gelekt, en het slachtoffer hierdoor veel had geleden, zo meldt het Finse televisiestation YLE.