DI om 1177-skandalen: Det är allvarligt

Allt fler använder nättjänster.
Datainspektionen utreder vem som bär ansvaret för att patientsamtal låg öppet på nätet.
2,7 miljoner patientsamtal låg öppet på internet – nu har Medhelp anmält händelsen till Datainspektionen.

Datainspektionen har tagit emot en anmälan från företaget Medhelp, det företag som för landstingets räkning bedriver sjukvårdsrådgivning via 1177 Vårdguiden.

– Vi kartlägger nu vilken eller vilka aktörer som vi ska inleda en tillsyn mot, säger Katarina Tullstedt, avdelningschef vid Datainspektionen.

Det var i måndags som Computer Sweden avslöjade att 2,7 miljoner personer som ringt sjukvårdsrådgivningen haft sina inspelade samtal tillgängliga på internet. Tidningen kunde ta sig in i den server där samtal lagrats sedan 2013.

Har aldrig varit med om något liknande

Katarina Tullstedt

Medhelp, som bedriver sjukvårdsrådgivning på uppdrag av Region Stockholm, anlitar företaget Voice Integrate för sina teleoperatörstjänster. Voice Integrate har av misstag anslutit servern till internet.

– Det är allvarligt. Jag har aldrig varit med om något liknande tidigare, säger Katarina Tullstedt.

GDPR och patientdatalagen

Frågan är nu inte bara vem som bär det yttersta ansvaret, utan även vilken lagstiftning som man kan ha brutit mot.

En grundläggande princip i dataskyddsförordningen (GDPR) är att den som registreras ska få veta det, och att det ska vara tydligt vem som lagrar och ansvarar för uppgifterna, förklarar hon.

Och enligt patientdatalagen ska vårdgivare se till att åtkomsten av patientdata dokumenteras och att man systematiskt kontrollerar att ingen obehörig kommer åt uppgifterna.

55 filer med samtal har öppnats

Medhelps utredning visar att av alla inspelade samtal är det 55 som laddats ner, från sju olika ip-adresser. Nio av samtalen kunde identifieras med telefonnummer eller personnummer.

”Kontakt är etablerad med såväl Datainspektionen som Polismyndigheten och MedHelp kommer att uppdatera bägge myndigheterna löpande med eventuell ny information som framkommer” skriver de på sin hemsida.

Datainspektionens granskning kommer att utmynna i tillsynsbeslut, som kan innehålla kritik, förelägganden om att vidta åtgärder och även förbud mot att behandla vissa personuppgifter. Det kan även bli fråga om sanktionsavgifter.

Det är två helt olika saker

Lena Furmark

Medhelp har nu sagt upp avtalet med Voice Integrate. Region Stockholm slöt förra året ett nytt avtal med Medhelp där sjukvårdsrådgivningen ska ske från Sverige.

– Bristerna i it-säkerheten som uppstått och att vi ställt krav på att sjukvårdsrådgivningen enbart ska få utföras i Sverige är två helt olika saker, säger Lena Furmark, avdelningschef för digital hälsa och vård.

Ett syfte med utföra sjukvårdsrådgivning enbart i Sverige är enligt henne för att enklare kunna införa nya och förbättrade tjänster.

Tar över teletekniken

Medhelp ska heller inte stå för teleoperatörstjänsterna. 

Mycket talar nu för att regionen ansluter sig till Inera, som tillhandahåller teleoperatörstjänster för övriga regioner och landsting som ingår i 1177 Vårdguiden.

Fakta

Detta har hänt i 1177 Vårdguiden-skandalen

2000: Dåvarande Stockholms läns landsting lade ut sjukvårdsrådgivningen på 1177 Vårdguiden på entreprenad till Medhelp, både själva rådgivningen och tekniska lösningar.

2013: Medhelp anlitar en underentreprenör, Medicall, som har sitt säte i Thailand. Sjuksköterskor flygs dit från Sverige och tar framför allt de samtal som kommer in på obekväm arbetstid. Medhelp anlitar företaget Voice Integrate för teleoperatörstjänster, som även används av Medicall.

2018: Region Stockholm gör en ny upphandling, som även denna gång går till Medhelp. Men nu förs en ny klausul in i avtalet. Tjänsterna ska utföras i Sverige, då man inte är säkra på att det är förenligt med datalagstiftningen att patientuppgifter hanteras på dataskärmar av personal utomlands. Regionen bestämmer också att avtalet inte ska omfatta de teletekniska tjänsterna. Det nya avtalet börjar gälla i september 2019. Det gamla avtalet med Medhelp förlängs tills det nya träder i kraft, trots osäkerhet kring tolkningen av datalagstiftningen.

18 februari 2019: Tidningen Computer Sweden avslöjar att patientsamtal ligger tillgängliga på internet sedan 2013, totalt 2,7 miljoner filer. Det är landstingen i Sörmland, Värmland och Stockholm, som alla anlitar Medhelp, som drabbats. Voice Integrate stänger ner servern där samtalen lagrats.

19 februari 2019: Ansvarig regionpolitiker Daniel Forslund säger till Mitt i att han är ”arg och besviken” och inte utesluter en polisanmälan. Voice Integrate uppger att de 2,7 samtalen legat på en extern server som av misstag kopplats upp mot internet.

20 februari 2019: Medhelp säger upp avtalet med Voice Integrate, och anmäler händelsen till Datainspektionen. Medhelp anmäler även Computer Sweden för misstänkt dataintrång och obehörigt röjande av personuppgifter.