Medhelp ska betala 12 miljoner efter 1177-läckan

I februari 2019 avslöjade tidningen Computer Sweden att 2,7 miljoner samtal till 1177 Vårdguiden legat oskyddade på internet. De drabbade regionerna var Stockholm, Sörmland och Värmland, som alla anlitat det privata företaget Medhelp för att ta emot 1177-samtal.

Sedan dess har Integritetsskyddsmyndigheten (IMY), som tidigare hette Datainspektionen, granskat aktörerna i fallet. Det rör sig om tre regioner och tre företag. Nu har myndigheten fattat beslut.

– Det har varit en komplicerad utredning att klargöra kopplingen mellan regionerna och sjukvårdsrådgivningen via 1177 och ansvarsförhållandet mellan de olika aktörerna, säger Magnus Bergström som är IT-säkerhetsspecialist på IMY och som deltagit i granskningen, i ett pressmeddelande.

Samtal till 1177 Vårdguiden går först till Inera, som ägs av regionerna och de flesta kommunerna i landet, och som tillhandahåller de gemensamma systemen. Stockholm, Värmland och Sörmland har dock genom avtal låtit slussa samtal från sina innevånare till företaget Medhelp. Det företaget hade i sin tur anlitat det thailändska företaget Medicall för att hantera samtal på nätter och helger.

Det tredje företaget som IMY granskat är Voice Integrate Nordic. De hade avtal med både Medhelp och Medicall, vilka handlade om växelfunktionalitet och inspelning av samtal.

Det som hände när de 2,7 miljoner samtalen låg oskyddade på internet, var att en lagringsenhet felkonfigurerats. Det gjorde att enheten blev tillgänglig för vem som helst på internet. Därtill var samtalen inte krypterade och krävde inte lösenord för att komma åt. Det som behövdes var enhetens IP-adress.

IMY har kommit fram till att två parter bär ansvaret: Medhelp och Voice Integrate. Medhelp har varit ansvarig vårdgivare och därmed varit ansvarig för att det ska finnas en tillräcklig säkerhet för att skydda personuppgifterna.

Företaget har dessutom brustit i att informera de som ringt 1177 exempelvis om hur uppgifterna hanteras enligt dataskyddsförordningen och patientdatalagen, samt att Medhelp är personuppgiftsansvarigt.

– Medhelp har även lagt ut vårduppdrag och personuppgiftsbehandling till det thailändska bolaget Medicall, som inte omfattas av svensk hälso- och sjukvårdslagstiftning och som heller inte omfattas av den lagreglerade tystnadsplikt som finns i vården. Det strider mot dataskyddsförordningens princip om laglighet, säger Magnus Bergström.

Sammantaget motiverar det en sanktionsavgift på 12 miljoner kronor.

Medhelp skriver i en kommentar på sin webbplats att beslutet att anlita Medicall, där uppdraget utfördes av svensklegitimerade sjuksköterskor, togs i samförstånd med Region Stockholm som godkänt det thailändska företaget som underleverantör. Efter införandet av dataskyddsförordningen GDPR gjordes dessutom en juridisk utvärdering som godkändes av regionen.

Företaget redovisar också en rad åtgärder som vidtagits sedan bristerna blev kända. Bland dessa finns att all sjukvårdsrådgivning utanför Sverige har upphört, höjda säkerhetskrav och uppdaterade rutiner för information till patienter.

Voice Integrate hade också skyldighet att vidta åtgärder för att skydda de lagrade samtalen. Detta i egenskap av personuppgiftsbiträde, eftersom företaget arbetat på uppdrag av Medhelp. Eftersom företaget brustit i det ansvaret ska de betala en sanktionsavgift på 650 000 kronor.

IMY kritiserar också de tre regionerna för brister i information till dem som ringt 1177. Myndigheten utfärdar en sanktionsavgift på 500 000 kronor mot Region Stockholm, samt 250 000 kronor mot Värmland respektive Sörmland.

IMY konstaterar även att det funnits en oklarhet i ansvarsförhållandet. Detta eftersom flera aktörer gjort anmälningar efter att Computer Sweden uppmärksammat bristerna. I själva verket är det bara Medhelp som personuppgiftsansvarig som ska göra en anmälan.

Inera klarar sig dock utan kritik och sanktionsavgifter. Företaget har inte något ansvar för den personuppgiftsbehandling som Medhelp utför vid sjukvårdsrådgivningen, eller för lagringen av samtalen som Medhelp har tagit hand om, konstaterar IMY.

Företagen och regionerna kan överklaga IMY:s beslut.

Läs även:

1177-läckan: Datainspektionen granskar drabbade regioner

Stockholm behöver arbeta mer med säkerheten

Stockholm vill ha en extern granskning av avtalet

Medhelp polisanmäler journalister

Kan bli aktuellt med polisanmälan

Miljoner 1177-samtal låg oskyddade på internet

Lakartidningen.se 2021-06-08

0 Kommentarer

Inline Feedbacks

View all comments

Annons

Från startsidan

Östergötlands styre får anmärkning för misskött ekonomi: »Hemläxa«

Medhelp ska betala 12 miljoner efter 1177-läckan

Anmärkning för dålig ekonomi i Östergötland: »Blir hemläxa«

Patient dog efter gallstensoperation – vårdbolag gör lex Maria-anmälan

Bedragare utgav sig för att vara vårdpersonal: »Oerhört olustigt«

Om vikten av oral hälsa i ny bok

Ny könslag splittrar läkarkåren: »Viktigt statligt erkännande«

Temachefen efter kravet på avgång: »Strömmar in stöd«

Vem har ansvar för den fortsatta behandlingen med läkemedel?

Sannolikhet för spontan regress av navelbråck hos barn

Uppsagd regiondirektör fick miljoner trots kris: »Oansvarigt«

Sommarstängda vårdplatser väcker oro i Jokkmokk

Lars Rocksén: Stora brister i rapporten om Sollefteå sjukhus

Igångsättning sköts upp på grund av platsbrist – nyfött barn avled

Läkare döms för narkotikasmuggling

»Nu tvingas man i stället fylla i allt vi efterfrågar«

Att förstå psykos

Symtom bör fortsättningsvis vara del av diagnostiken för alzheimer

141 läkare och barnmorskor vill att temachefen tvingas lämna

Nytt nätverk ska locka nya ledare

LYSSNA HÄR!

Vill du ändra din medlemstidning till e-tidning?

BÖCKER

Minnesord

Läkarförbundets fullmäktigemöte

CORONAVIRUSET

Nya vägar till föräldraskap

Val 2022

KLIMAT OCH HÄLSA

VEM DISPUTERAR?

VAD HÄNDER?

ARKIVET

LÄKARFÖRBUNDET

LÄKARTIDNINGEN ARRANGERAR

OM LÄSARKOMMENTARER