Oskyddade vårdsamtal kan polisanmälas

2019-02-19 11:48  
Foto: Daniella Backlund/TT, ANDERS WIKLUND / TT

55 samtal laddades ned från servern där patientsamtal låg öppna. ”Vi har tillsatt en stor utredning.”

(Uppdaterad)

Medhelp, som tar emot patientsamtalen, planerar att polisanmäla händelsen och inte heller Region Stockholm utesluter en anmälan.

– Sådant här får inte hända. Vi förstår att folk är upprörda. Vi gör nu allt som står i vår makt, vi har tillsatt en stor utredning för att ta reda på exakt vad som hänt och se till att det inte händer igen, säger Björn Arkinger, affärsområdeschef på Medhelp, som tar emot patientsamtal via 1177 Vårdguiden.

Han beskriver det inträffade som en säkerhetsläcka hos underleverantören Medicall, ett Thailandsbaserat företag där svenskspråkig personal tar emot samtal på obekväma tider.

– Deras leverantör av telefoni har varit bristfällig. Servern stängdes ned omedelbart, läckan är tätad, säger han.

TT: Hur lättillgängliga var samtalen?

– Jag skulle inte säga att gemene man har kunskap nog att komma åt dem. Det krävdes att man gjorde en portskanning på servern och en viss form av ansträngning.

Björn Arkinger säger att man ännu inte har incidentanmält händelsen till Datainspektionen men kommer göra det inom ett dygn.

– Vi kommer troligen också polisanmäla ärendet.

Tommy Ekström, vd för Medicalls telefonileverantör Voice Integrate Nordic, berättar på tisdagen för TT att de upptäckt att 55 samtal laddats ned från servern från olika ip-adresser.

Samtalen laddades ned den 13, 14 och 15 februari, samt 18 februari _ dagen för Computer Swedens avslöjande. Ekström kan inte uppge vilka som laddat ned samtalen, men misstänker att Computer Sweden står för åtminstone några av nedladdningarna.

– Jag kan bara spekulera, men så är nog fallet.

Erik Hofslagare, redaktionschef på Computer Sweden, bekräftar för TT att tidningen laddat ned samtal i researchsyfte inför artikeln, men kan inte specificera hur många.

Avslöjandet: 2,7 miljoner inspelade samtal

I måndags avslöjade tidningen att 2,7 miljoner inspelade samtal till 1177 Vårdguiden legat tillgängliga på en oskyddad server. Främst har det rört sig om samtal på obekväma tider från regionerna Stockholm, Sörmland och Värmland. De har mottagits av Medicall, en underleverantör till företaget Medhelp som tar emot patientsamtal via 1177 Vårdguiden.

Datainspektionen ser allvarligt på det inträffade.

– Det handlar om stora mängder patientuppgifter som legat öppna under lång tid, så det är klart att det är väldigt allvarligt, säger Katarina Tullstedt, chef för enheten för myndigheter, vård och utbildning på Datainspektionen, till TT.

Tullstedt säger att myndigheten nu förväntar sig en incidentanmälan från Medhelp inom 72 timmar, vilket de är skyldiga att lämna enligt dataskyddsförordningen GDPR.

– I nästa steg tar vi ställning till om vi ska inleda en tillsyn och själva aktivt granska vad som hänt. Det kan sedan leda till att vi vidtar åtgärder och fattar beslut om föreläggande, sanktionsavgift eller liknande, säger hon.

Region Stockholm överväger polisanmälan mot Medhelp

Daniel Forslund (L), biträdande regionråd i Stockholm med ansvar för e-hälsa, utesluter inte att Medhelp polisanmäls.

– Vi håller nu på att se på avtalet och hur många punkter av brott det har varit mot det. Våra jurister kollar också på om det har varit rena lagbrott, säger han till Sveriges Radio.

På samma server där det funnits oskyddade vårdsamtal till 1177 finns ljudfiler från beställningar av sjuktransporter, skriver Computer Sweden, som lyssnat på flera samtal.

Det rör sig om samtal för sjuktransporter i Region Uppsala. Samtalen har gått till Prebus AB, ett dotterbolag till Gamla Uppsala Buss AB som i sin tur ägs av Region Uppsala.

Den it-ansvarige på Prebus, Björn Tapper, säger att han inte känt till att samtalen spelas in Voice Integrate Nordic.

– Vi vill kunna analysera hur lång tid samtal tar och så vidare, men vi vill inte att de spelas in. Det vore bara dumt med tanke på allt krångel med GDPR, säger han till Computer Sweden.

Minister kallar till sig SKL

Socialminister Lena Hallengren (S) vill veta mer om skandalen.

”Jag kommer att kalla till mig representanter för Sveriges Kommuner och Landsting och berörda för att informera mig om vad som har skett och vilka åtgärder som har vidtagits.” skriver hon i en kommentar till TT.

Region Stockholm visste att det fanns rättsliga osäkerheter kring åtkomsten till patientuppgifter när en privat aktör verkar utomlands, skriver Dagens Nyheter. Fram till den 1 september gäller det gamla avtalet med Medhelp men när 1177 upphandlades på nytt våren 2018 ställdes krav på att verksamheten bedrivs i Sverige. Det nya avtalet med Medhelp, som börjar gälla den 1 september i år, förbjuder verksamhet i utlandet.

Datainspektionen inväntar nu en incidentrapport från det ansvariga företaget Medhelp.

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt