Systemleverantören Miljödata var måltavla för dataintrånget som drabbade många kommuner runtom i Sverige.
I Sundbyberg röjdes uppgifter om såväl nuvarande som tidigare anställdas namn, adress och personnummer – och lades ut på darknet.
Mitt i skrev om detta i september. Då tydde inget på att skyddade personuppgifter skulle ha röjts i läckan, enligt Alexis Wicklin, tillförordnad HR-chef och systemansvarig på Sundbybergs stad.
– Men säker kan man aldrig vara i det här, utan vi följer det dagligen, sade han då.
Efter den intervjun har kommunen kunnat bekräfta att skyddade personuppgifter visst har röjts.
– Det är djupt olyckligt, säger Alexis Wicklin i dag.
Enligt honom rör det sig om både personuppgifter som är skyddade i dag, och personuppgifter som har varit det tidigare men inte är det längre.
"Ett fåtal personer"
Han vill inte gå in på antalet anställda med skyddade uppgifter som har drabbats.
– Det är ett fåtal personer, säger han.
Hur allvarligt är det här?
– Har man någon form av skyddade personuppgifter ska de inte röjas. Hur pass allvarligt det är i de här fallen vågar jag inte spekulera i, då varje individs situation och behov är unik.
Mitt i har tagit del av ett brev till Sundbybergs stad, skrivet av en person som säger sig ha fått sina skyddade personuppgifter röjda. Personen anser sig ha lidit skada av läckan och menar att Sundbybergs stad inte har gjort nog för att förhindra den.
I brevet kräver vederbörande 35 000 kronor i skadestånd av kommunen.
– Jag har full förståelse för att situationen väcker både oro och ilska, säger Alexis Wicklin.
Utredningen fortsätter
Sundbybergs stad har överlåtit bedömningen av skadeståndskravet till sitt försäkringsbolag, Stockholmsregionens Försäkring AB.
Enligt bolaget har "en handfull" kommuner vänt sig till dem om cirka tio liknande ärenden totalt.
"Vi registrerar de ärenden som kommunerna anmäler till oss och påbörjar handläggningen på motsvarande sätt som för andra ärenden", skriver försäkringsbolagets vd Anders Belin till Mitt i.
Hur ser förutsättningarna ut att skadeståndsanspråken blir beviljade?
"Det beror helt och hållet på om vår försäkringstagare enligt lag bedöms vara ersättningsskyldig för eventuell skada."
Alexis Wicklin känner inte till att Sundbybergs stad ska ha fått in fler än ett skadeståndskrav med anledning av dataläckan.
Att skyddade personuppgifter kan ha läckt ur systemet förblir ett mysterium, menar han.
– Vi kan själva inte se namn och kontaktuppgifter för anställda med skyddade personuppgifter i våra system. Därför fortsätter vår utredning tills vi förstår hur det har kunnat gå till.