Säkerhet
Här är allt vi vet om 1177-skandalen
Miljontals känsliga patientsamtal har legat öppna på internet. Nu har en första granskning av den stora läckan kommit.
Publicerad
20 juni
Region Stockholm har fått en rapport från en extern granskning som beställdes efter att läckan uppdagades i vintras, skriver Computer Sweden. I granskningen, som KPMG har utfört, framgår att man inte har hittat att det har gjorts fler nedalddningar av oskyddade samtal än de 55 samtal som rapporterats tidigare.
KPMG lämnar flera rekommendationer, som att regionen ska ställa mer specifika krav på hur vårdgivare hanterar informationssäkerhet och att avtal ska följas upp bättre.
Rapporten ligger till grund för en åtgärdsplan för att förbättra informationssäkerheten inom hälso- och sjukvårdsområdet i Region Stockholm.
4 mars
Nu granskar Datainspektionen en av aktörerna som är inblandade i 1177-skandalen, där miljontals samtal till 1177 Vårdguiden legat oskyddade på nätet i flera år. Inspektionen är den första i raden – fler inblandade ska granskas.
Företaget som inspekteras är Voice Integrate Nordic AB, vars inblandning handlar om att de tillhandahållit ett molnbaserat telefonsystem för vårdsamtalen.
Fler inspektioner av inblandade aktörer kommer att göras med anledning av de läckta samtalen. Syftet är att ta reda på om händelsen strider mot dataskyddsreglerna.
Stränga krav för uppgifter som rör hälsa
”Enligt dataskyddsförordningen, gdpr, ska personuppgifter skyddas så att obehöriga inte kan komma åt dem och så att uppgifterna inte kan spridas på obefogade sätt. Både personuppgiftsansvariga och personuppgiftsbiträden har ett ansvar att vidta tillräckliga säkerhetsåtgärder. När det gäller känsliga personuppgifter som rör hälsa, är kraven särskilt stränga”, skriver Suzanne Isberg som leder Datainspektionens granskning i ett pressmeddelande.
Tillsynen som nu inleds ska bland annat klargöra vilken typ av personuppgifter som behandlas i vilka it-system. Man ska också se över vilka åtgärder som har vidtagits för att en liknande händelse inte ska ske igen.
Det var den 18 februari som Computer Sweden kunde avslöja att miljontals vårdsamtal till 1177 Vårdguiden legat tillgängliga på en oskyddad server på nätet i flera år.
27 februari
Hälso- och sjukvårdsförvaltningen i Region Stockholm har fått i uppdrag att inleda en extern granskning av regionens avtal med företaget Medhelp, rapporterar SVT Nyheter Stockholm.
Det är den del av avtalet som berör informationssäkerhet som ska granskas.
”Att granskningen ska göras av en extern part beror på att Region Stockholm vill granska både Medhelp och Region Stockholms del i avtalet samt vad som krävs för att det som nu inträffat inte ska kunna hända igen”, skriver Lena Furmark, avdelningschef för digital hälsa och vård på Region Stockholm, i ett pressmeddelande.
Den 18 februari avslöjade tidningen Computer Sweden att miljontals inspelade samtal till 1177 Vårdguiden legat tillgängliga på en oskyddad server på nätet.
Samtalen togs emot av Medicall, ett Thailandsbaserat dotterbolag till Medhelp.
26 februari
Polisen har inlett en förundersökning mot tidningen Computer Sweden, skriver Medievärlden. Computer Sweden polisanmäldes av vårdentreprenören Medhelp sedan den avslöjat att vårdföretaget låtit miljoner samtal ligga öppet på en oskyddad server i flera år. En av artiklarna visade hur man själv kunde komma åt uppgifterna.
Anmälningarna gäller misstänkt dataintrång, misstänkt anstiftan till dataintrång och obehörigt röjande av personuppgifter. Chefredaktören Marcus Jerräng och den reporter som skrev artikeln om de oskyddade samtalen till 1177 vårdguiden finns bland de polisanmälda.
I ett mejl till Medievärlden skriver den polisiära förundersökningsledaren Mani Ghiasvand att det råder förundersökningssekretess och att ingen åklagare blivit inkopplad i ärendet ännu.
21 februari
Nu polisanmäler Medhelp Computer Sweden efter avslöjandet om att 2,7 miljoner inspelade telefonsamtal till 1177 Vårdguiden leget ute oskyddade på nätet.
Anmälningarna gjordes igår kväll och gäller misstänkt dataintrång och misstänkt anstiftan till dataintrång och obehörigt röjande av personuppgifter.
– Vi gjorde anmälan i går kväll på Kronobergsgatan, det var där polisen hade öppet, säger Lennart Persson, Medhelps tillförordnade vd till DN.
Persson uppger att "några personer" anmälts, däribland chefredaktören Marcus Jerräng och den reporter som skrev artikeln om de oskyddade 1177 Vårdguiden-samtalen.
21 februari
Voice Integrate som är ett av företagen som ansvarar för att miljontals inspelade samtal till 1177 Vårdguiden legat helt oskyddade på internet - kan inte säga hur många av samtalen som har laddats ned, rapporterar SVT.
Servern där de inspelade samtalen legat har varit öppen mot internet sedan 2016.
Voice Integrate ansvarar för att miljontals inspelade samtal till 1177 Vårdguiden har legat oskyddade på nätet. Företaget kan inte säga hur många av samtalen som faktiskt har laddats ned, uppger SVT.
De inspelade samtalen har legat på en server som varit öppen mot internet sedan 2016.
Den data som finns att tillgå är från början av 2018 fram till i dag. Totalt har 55 nedladdningar har gjorts under den perioden. 16 personer med telefonnummer eller personnummer som har drabbats.
20 februari
Medhelp bryter avtalet med Voice Integrate gällande bland annat teleoperatörstjänster efter den senaste tidens händelser, uppger Medhelp i ett pressmeddelande. Medhelp har tagit emot emot patientsamtalen, medan Voice Integrate har hanterat lagringen av vissa samtal.
– Sådant här får inte hända. Vi förstår att folk är upprörda. Vi gör nu allt som står i vår makt, vi har tillsatt en stor utredning för att ta reda på exakt vad som hänt och se till att det inte händer igen, sade Björn Arkinger, affärsområdeschef på Medhelp, till TT på tisdagen.
19 februari
Datainspektionen inleder en granskning av 1177-läckorna. ”Myndigheten avser att granska det som uppges ha skett”, skriver Datainspektionen på egna webbplatsen. ”Datainspektionen är tillsynsmyndighet för dataskyddsförordningen och patientdatalagen och kontrollerar bland annat att vårdgivarna har vidtagit tillräckliga åtgärder för att skydda känsliga patientuppgifter.”
19 februari
Region Stockholm ska ha känt till att it-lösningen, där Medicall tog emot samtal till Thailand, var rättsosäker. Dagens Nyheter har tagit del av ett tjänsteutlåtande där landstinget ställde krav på att verksamheten skulle bedrivas i Sverige. Ändå gäller det gamla avtalet fram till 1 september i år och först därefter måste verksamheten bedrivas i Sverige.
– Det handlade om att det fanns osäkerhet kring patientdatalagen, och om det anses förenligt med lagen att man sitter i ett annat land och tittar på skärmar med svenska patientuppgifter. Vi kom fram till att det nog inte var förenligt med patientdatalagens krav, säger Lena Furmark, avdelningschef för digital hälsa på hälso- och sjukvårdsförvaltningen på Region Stockholm, till Dagens Nyheter.
19 februari
Tommy Ekström, vd på Voice Integrate Nordic, säger till Dagens Nyheter att nas-enheten att någon troligtvis ”stoppat in en internetsladd i hårddisken”.
– Den blev ansluten till internet. Vi vet inte när det hände, men troligtvis har någon under en uppdatering helt enkelt stoppat in en internetsladd i hårddisken. Då fick den en ip-adress, och då var det fritt fram...det visar sig att även den simplaste hårddisk är nåbar om den ansluts till nätet. Det är ju bara att ta åt sig av detta och säga ”wow, fasiken också”.
Eklund-Löwinder: Varför sätta en en nas-disk direkt på internet?
Anne-Marie Eklund-Löwinder, säkerhetschef på Internetstiftelsen, ger inte mycket för den förklaringen.
– Det är oklart varför någon ens skulle vilja sätta en nas-disk direkt på internet. Det kan man ju inte bara få för sig. Om driftspersonal på eget bevåg kan koppla upp en sådan komponent på internet har man förmodligen problem med både processer och beslut.
19 februari
På samma server som patientsamtalen huserat finns oskyddad data från andra bolag, även de av känslig natur. Bland annat rör det sig om telefonsamtal till företaget Prebus, som sköter beställningarna av Region Uppsalas sjuktransporter. Computer Sweden spekulerar i att det kan röra sig om en halv miljon samtal.
Också i detta fall är det svenska bolaget Voice Integrate Nordic som stått bakom telefonilösningen. Men Prebus uppger att de aldrig köpt en inspelningstjänst av Voice Integrate Nordic. ”Voice Integrate Nordic har i detta fall valt att spela in och spara samtalen på en öppen server utan kundens vetskap”, skriver Computer Sweden.
– Jag minns att vi nämnde möjligheten att spela in samtal, men om de säger att de inte beställt inspelning så är det så. Vi har inte kommit överens om att samtalen ska spelas in...vi är mitt uppe i vår utredning av vad som kan ha gått snett i hela den här historien och vi hoppas att den utredningen ska kunna visa var vi gjort fel, säger Tommy Ekström, vd på Voice Integrate Nordic.
19 februari
Tillsynsmyndigheten Datainspektionen ser allvarligt på det som skett. Katarina Tullstedt, chef för enheten för myndigheter, vård och utbildning, säger till TT att Datainspektionen förväntar sig en incidentanmälan inom 72 timmar, en deadline som gäller sedan dataskyddsförordningen GDPR togs i bruk 2018.
– I nästa steg tar vi ställning till om vi ska inleda en tillsyn och själva aktivt granska vad som hänt. Det kan sedan leda till att vi vidtar åtgärder och fattar beslut om föreläggande, sanktionsavgift eller liknande, säger hon.
19 februari
55 patientsamtal från olika ip-adresser ska ha laddats ned från nas-servern under perioden mellan 13:e och 18:e februari i år. Det uppger Tommy Ekström, vd på Voice Integrate Nordic, för TT. Bolaget är det som försett Medicall med ett molnbaserat callcenter-system. Computer Sweden bekräftar att de laddat ner samtal i samband med sin granskning, men vill inte säga hur många det rör sig om.
Arkinger: ”Sådant här får inte hända”
Björn Arkinger, affärsområdeschef på Medhelp, säger till TT att ”sådant här får inte hända”.
– Vi förstår att folk är upprörda. Vi gör nu allt som står i vår makt, vi har tillsatt en stor utredning för att ta reda på exakt vad som hänt och se till att det inte händer igen.
Arkinger tycks också lägga skulden på Medicall och Voice Integrate Nordic.
– Deras leverantör av telefoni har varit bristfällig. Servern stängdes ned omedelbart, läckan är tätad, säger han.
Björn Arkinger uppger att Medhelp ska incidentanmäla läckan till Datainspektionen och ”troligen också polisanmäla ärendet”.
19 februari
Region Stockholm ”analyserar nu alla dataloggar som rör de miljontals samtal till 1177 som låg helt öppet på en webbserver”, skriver Dagens Nyheter.
– Förtroendet för entreprenören Medhelp är djupt skadat, säger biträdande regionrådet Daniel Forslund (L), som inte utesluter en polisanmälan.
Region Stockholm påbörjar dessutom en genomgång av avtalet med Medhelp.
– Medhelp är ansvarigt för alla underleverantörer, som om det gällde deras eget arbete. En underleverantör ska också anmälas till och godkännas av Regionen. Vi vet inte om det är gjort, säger Daniel Forslund.
18 februari
Johan Bratt, chefsläkare och ansvarig för kvalitet och patientsäkerhet för region Stockholm, säger till Sveriges Radio att ”uppgiften om att ljudfiler funnits på internet utan lösenordsskydd är helt oacceptabelt och olagligt enligt patientdatalagen”.
Men Bratt vill ändå fortsätta samarbetet med vårdleverantören Medicall.
– Det som är viktigt nu är att man gör en teknisk analys av vårdgivaren och ser till att det inte kan hända framöver.
18 februari
I en skriftlig kommentar till TT uppger socialminister Lena Hallengren (S): ”ingen region eller landsting kan genom upphandling frånsäga sig ansvaret för patientsäkerheten eller skyddet av känsliga personuppgifter. Jag utgår från att de berörda landstingen och regionerna nu omgående skapar kontroll över den oerhört viktiga verksamhet som 1177 är”. Det som hänt är ”givetvis fullständigt oacceptabelt”, skriver Hallengren.
18 februari
Nättidningen Computer Sweden rapporterar att de hittat 2,7 miljoner inspelade samtal till 1177, från 2013 fram till nu, som legat helt oskyddade på internet. Enligt Computer Sweden rör det sig om 170 000 timmar av känsliga samtal ”som vem som helst har kunnat ladda ner eller lyssna på”. ”De som ringer berättar förstås om sina symptom, om vilka mediciner de tar eller om tidigare behandlingar. I många fall uppger de inringande sina personnummer”, skriver Computer Sweden i sitt avlöjande.
Det är vårdentreprenören Medhelp som tar emot samtal via 1177 Vårdguiden från regionerna Stockholm, Södermanland och Värmland. Vid obekväma tider använder Medhelp en underleverantör, Medicall, som har svenska ägare men är registrerat i Thailand.
Medicall använder i sin tur ett molnbaserat system, levererat av svenska företaget Voice Integrate Nordic, för att spara patientsamtalen. Filerna sparas på en nas-enhet (network attached store) och Computer Sweden upplyser om att ”förbindelsen går över https, men sessionen är inte krypterad”. Nas-enheten tillhör Applion, ett systerföretag till Voice Integrate Nordic.
Medicall förnekar
”Det har inte behövts något lösenord för att komma åt Medicalls katalog eller ljudfilerna; de har legat helt öppna. Allt som behövts är en webbläsare och kännedom om ip-adressen”, skriver Computer Sweden.
När tidningen berättar för Davide Nyblom, vd på Medicall, att deras Computer Swedens reporter har tillgång till patientsamtalen påstår Nyblom först att ”det är omöjligt”, för att sedan lägga på luren.
