Säkerhet
Miljontals vårdsamtal låg oskyddade på nätet

Inspelningar från miljontals samtal till 1177 Vårdguiden har legat helt öppet som ljudfiler på en oskyddad webbserver, avslöjar Computer Sweden.
(Uppdaterad)
Samtalen är sekretessbelagda enligt lag. Uppgifterna om läckan är förbluffande, anser Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige.
– Det här är häpnadsväckande. Hälso- och sjukvården är en väldigt reglerad verksamhet som hanterar väldigt stora mängder känslig information. Det borde inte vara en gåta hur man skyddar den på ett effektivt sätt, säger Anne-Marie Eklund Löwinder till TT.
Materialet omfattar 2,7 miljoner samtal under totalt cirka 170 000 timmar sedan 2013 till vårdentreprenören Medicall, som tar emot samtal från regionerna Stockholm, Södermanland och Värmland, och som legat oskyddade och öppna att lyssna på eller ladda ner på nätet, avslöjar Computer Sweden (CS).
Via den öppna webbservern, helt utan lösenordsskydd eller annan kryptering, har CS lyssnat på några samtal. De innehåller väldigt känsliga uppgifter för den personliga integriteten om sjukdomar och krämpor som de vårdbehövande ber om råd kring.
Där ingår berättelser om egna och anhörigas symptom, medicinering och tidigare behandlingar. I många fall uppger inringarna också sina eller anhörigas personnummer.
TT: Har du hört talas om något likande i samma omfattning?
– Inte i Sverige, säger Eklund Löwinder.
Medicalls vd: ”Det du säger är omöjligt”
Davide Nyblom, vd för Medicall, säger till SVT Nyheter att företaget arbetar för att utreda vad det är som hänt.
På frågan om hur det hela har kunnat uppstå svarar Nyblom:
– Jag är ingen tekniker. Vi håller på och hör efter med dem som levererar it-tjänsterna. Jag har inget svar just nu, säger Davide Nyblom till SVT Nyheter.
När Computer Sweden första gången konfronterar företaget med uppgifter om läckan nekar man till att det är möjligt.
– Vi har kollat upp detta med vår it, och det du säger är helt omöjligt, säger Davide Nyblom till Computer Sweden.
CS: Men jag har ju filerna framför mig nu?
– Jag har kollat med vår it och det kan inte hända, säger han till tidningen.
När Computer Swedens journalist erbjuder sig att spela upp en ljudfil lägger vd på luren.
Inspelade ljudfiler märkta med telefonnummer
Vissa ljudfiler har även öppet märkts med inringarens telefonnummer. Omkring 57 000 svenska telefonnummer finns i databasen. Ljudfilerna ska enligt patientdatalagen behandlas med sekretess.
Presstjänsten hos socialminister Lena Hallengren (S) säger till TT att departementet inhämtar information om händelsen och dess omfattning.
Medicall är underleverantör till entreprenören Medhelp som tar emot patientsamtal via 1177 Vårdguiden. Det är främst under obekväma tider som samtalen skickas vidare till Medicall, med säte i Thailand.
Johan Bratt, chefsläkare på Region Stockholm, understryker att patienterna måste känna en trygghet när de hör av sig.
– Jag både arg och besviken över det som har hänt, säger Bratt till TT.
Medhelp har rapporterat att det är ett tekniskt fel som legat bakom att uppgifterna ”under en tid” låg öppna, enligt Bratt.
TT: Hur länge var det?
– Vi har inga ytterligare uppgifter om det, säger Johan Bratt.
Anne-Marie Eklund Löwinder säger att myndigheterna nu grundligt måste reda ut frågan. Även om driften läggs ut på entreprenad kvarstår ändå ansvaret för att informationen ska skyddas genom leden.
TT: Var ligger ansvaret i det här fallet?
– Generellt ligger ansvaret hos den som äger informationen, så i det här fallet är det vårdgivaren. Sedan kan det ju hända att underleverantörer missköter sig och inte gör det de ska, och då får man hoppas att man har skrivit så bra avtal att det faktiskt kommer att svida i plånboken hos den leverantören, säger Anne-Marie Eklund Löwinder.
Johan Bratt säger att det är Medhelp som är vårdgivaren i detta fall.
TT: Hur ser avtalen ut, kan ni kräva pengar av dem för det här?
– Den typen av frågor får jag återkomma till, säger Johan Bratt.
”Vi hade ingen aning om att det låg till så här”
Medicall använder ett molnbaserat telefonsystem från det svenska företaget Voice Integrate Nordic, enligt Computer Sweden.
– Detta är katastrofalt, det är ju känsliga uppgifter. Vi hade ingen aning om att det låg till så här. Vi ska naturligtvis se över våra system och kolla upp vad som kan ha hänt, säger Tommy Ekström, vd på Voice Integrate Nordic.
Som ett resultat av granskningen har åtkomsten till lagringsenheten stängts.