I juni förra året beslutade Integritetsskyddsmyndigheten (tidigare Datainspektionen) att parterna i den så kallade 1177-läckan skulle betala sanktionsavgifter. Mest skulle Medhelp betala: 12 miljoner kronor. Region Sörmland, Region Värmland, Region Stockholm och företaget Voice Integrate Nordic, skulle betala sanktionsavgifter på några hundra tusen kronor vardera. Inera, som ägs av regioner och kommuner i landet, skulle däremot inte behöva betala någon avgift.
Det var i februari 2019 som tidningen Computer Sweden avslöjade att 2,7 miljoner samtal till 1177 Vårdguiden legat oskyddade på internet. De drabbade regionerna var Stockholm, Sörmland och Värmland, som alla anlitat det privata företaget Medhelp för att ta emot 1177-samtal. Medhelp hade i sin tur anlitat det thailändska företaget Medicall för att hantera samtal på nätter och helger. Och både Medhelp och Medicall hade avtal med Voice Integrate Nordic om växelfunktionalitet och inspelning av samtal.
Efter Integritetsskyddsmyndighetens beslut om sanktionsavgifter, beslutade fyra parter att överklaga beslutet: Medhelp, Voice Integrate Nordic, Region Stockholm och Region Värmland.
Och nu har alltså förvaltningsrätten fattat sitt beslut. Medhelp ska betala 8,8 miljoner kronor, vilket är en sänkning från de 12 som Integritetsskyddsmyndigheten begärt, rapporterar Dagens Nyheter.
– Förvaltningsrätten bedömer att sjukvårdsrådgivningsföretaget MedHelp borde ha säkerställt en bättre säkerhetsnivå för uppgifterna. Det rör sig om ett stort antal känsliga uppgifter som varit oskyddade under lång tid, säger Anna Önell, chefsrådman, i ett pressmeddelande från domstolen.
Integritetsskyddsmyndigheten har tidigare bedömt att Medhelp bröt mot kravet att personuppgifter inom sjukvården bara får behandlas av vårdgivare i Sverige, när företaget anlitade thailändska Medicall. Men den bedömningen gör inte förvaltningsrätten.
– Den tekniska utvecklingen medför allt fler möjligheter att bedriva vård på olika sätt. Det avgörande måste därför vara hur verksamheten ser ut, säger Anna Önell.
Medhelps och Medicalls upplägg innebar dock att personuppgifter fördes till ett land utanför EU. Integritetsskyddsmyndigheten får nu uppgiften att undersöka om det gick rätt till.
Också Voice Integrates sanktionsavgift sänks, från 650 000 kronor till 500 000. Region Värmland och Region Stockholm ska betala vad myndigheten tidigare bestämt, 250 000 respektive 500 000 kronor.
Läs även:
Fyra överklagar beslut om sanktionsavgifter efter 1177-läckan