I februari 2019 avslöjade tidningen Computer Sweden att 2,7 miljoner samtal till 1177 Vårdguiden legat oskyddade på internet. De drabbade regionerna var Stockholm, Sörmland och Värmland, som alla anlitat det privata företaget Medhelp för att ta emot 1177-samtal.
Sedan dess har Integritetsskyddsmyndigheten (IMY), som tidigare hette Datainspektionen, granskat aktörerna i fallet. Det rör sig om tre regioner och tre företag. Nu har myndigheten fattat beslut.
– Det har varit en komplicerad utredning att klargöra kopplingen mellan regionerna och sjukvårdsrådgivningen via 1177 och ansvarsförhållandet mellan de olika aktörerna, säger Magnus Bergström som är IT-säkerhetsspecialist på IMY och som deltagit i granskningen, i ett pressmeddelande.
Samtal till 1177 Vårdguiden går först till Inera, som ägs av regionerna och de flesta kommunerna i landet, och som tillhandahåller de gemensamma systemen. Stockholm, Värmland och Sörmland har dock genom avtal låtit slussa samtal från sina innevånare till företaget Medhelp. Det företaget hade i sin tur anlitat det thailändska företaget Medicall för att hantera samtal på nätter och helger.
Det tredje företaget som IMY granskat är Voice Integrate Nordic. De hade avtal med både Medhelp och Medicall, vilka handlade om växelfunktionalitet och inspelning av samtal.
Det som hände när de 2,7 miljoner samtalen låg oskyddade på internet, var att en lagringsenhet felkonfigurerats. Det gjorde att enheten blev tillgänglig för vem som helst på internet. Därtill var samtalen inte krypterade och krävde inte lösenord för att komma åt. Det som behövdes var enhetens IP-adress.
IMY har kommit fram till att två parter bär ansvaret: Medhelp och Voice Integrate. Medhelp har varit ansvarig vårdgivare och därmed varit ansvarig för att det ska finnas en tillräcklig säkerhet för att skydda personuppgifterna.
Företaget har dessutom brustit i att informera de som ringt 1177 exempelvis om hur uppgifterna hanteras enligt dataskyddsförordningen och patientdatalagen, samt att Medhelp är personuppgiftsansvarigt.
– Medhelp har även lagt ut vårduppdrag och personuppgiftsbehandling till det thailändska bolaget Medicall, som inte omfattas av svensk hälso- och sjukvårdslagstiftning och som heller inte omfattas av den lagreglerade tystnadsplikt som finns i vården. Det strider mot dataskyddsförordningens princip om laglighet, säger Magnus Bergström.
Sammantaget motiverar det en sanktionsavgift på 12 miljoner kronor.
Medhelp skriver i en kommentar på sin webbplats att beslutet att anlita Medicall, där uppdraget utfördes av svensklegitimerade sjuksköterskor, togs i samförstånd med Region Stockholm som godkänt det thailändska företaget som underleverantör. Efter införandet av dataskyddsförordningen GDPR gjordes dessutom en juridisk utvärdering som godkändes av regionen.
Företaget redovisar också en rad åtgärder som vidtagits sedan bristerna blev kända. Bland dessa finns att all sjukvårdsrådgivning utanför Sverige har upphört, höjda säkerhetskrav och uppdaterade rutiner för information till patienter.
Voice Integrate hade också skyldighet att vidta åtgärder för att skydda de lagrade samtalen. Detta i egenskap av personuppgiftsbiträde, eftersom företaget arbetat på uppdrag av Medhelp. Eftersom företaget brustit i det ansvaret ska de betala en sanktionsavgift på 650 000 kronor.
IMY kritiserar också de tre regionerna för brister i information till dem som ringt 1177. Myndigheten utfärdar en sanktionsavgift på 500 000 kronor mot Region Stockholm, samt 250 000 kronor mot Värmland respektive Sörmland.
IMY konstaterar även att det funnits en oklarhet i ansvarsförhållandet. Detta eftersom flera aktörer gjort anmälningar efter att Computer Sweden uppmärksammat bristerna. I själva verket är det bara Medhelp som personuppgiftsansvarig som ska göra en anmälan.
Inera klarar sig dock utan kritik och sanktionsavgifter. Företaget har inte något ansvar för den personuppgiftsbehandling som Medhelp utför vid sjukvårdsrådgivningen, eller för lagringen av samtalen som Medhelp har tagit hand om, konstaterar IMY.
Företagen och regionerna kan överklaga IMY:s beslut.
Läs även:
1177-läckan: Datainspektionen granskar drabbade regioner
Stockholm behöver arbeta mer med säkerheten
Stockholm vill ha en extern granskning av avtalet
Medhelp polisanmäler journalister
Kan bli aktuellt med polisanmälan
Miljoner 1177-samtal låg oskyddade på internet