Nära tre miljoner inspelade samtal till Vårdguiden har legat helt okrypterade på en öppen server i över fem år. Trots att detta strider mot såväl sekretesslag som GDPR.
Avslöjandet beskrivs som ett av de största haverierna någonsin när det gäller svensk patientsäkerhet och en integritetsläcka som saknar motstycke i svensk historia.
Ärendet räknas nu bli föremål för granskning hos Datainspektionen – som däremot uppger att de inte är förvånade.
– Vi har tillsynat vården och på just åtkomsten till patientuppgifter hittat en hel del brister, säger Katarina Tullstedt, chef på Datainspektionens enhet för myndigheter, vård och utbildning, till Sveriges radio.
Avslöjandet gjordes av tidningen Computer Sweden på måndagen den 18 februari och handlar om hur 2,7 miljoner inspelade patientsamtal, vilka ringts till 1177 Vårdguiden sedan 2013, har legat oskyddade utan lösenordsskydd eller annan säkerhet på en öppen webbserver.
170 000 timmar samtal, sekretessbelagda enligt svensk lag – där, för vem som helst att ladda ner eller lyssna på. Vem som helst med kännedom om ip-adressen, förvisso. Men likväl ett gigantiskt integritetshaveri och förtroendenederlag för svensk vård och dess inblandade.
Sekretess och GDPR
I de samtal Computer Sweden lyssnat på hörs människor uppge sina eller sina familjemedlemmars olika symtom, nuvarande medicineringar, tidigare behandlingar och i många fall även personnummer. Tusentals ljudfiler är dessutom märkta med inringarnes telefonnummer i filnamnet.
Att samtalen spelas in är i sig tillåtet, uppger tidningen. Det görs för patientens säkerhet och för att kunna beivra missbruk. Men – de sparade ljudfilerna ska behandlas med sekretess enligt patientdatalagen. Så har inte skett. Det rör sig dessutom tveklöst om information som räknas som känsliga personuppgifter enligt EU:s dataskyddslagstiftning GDPR (där till exempel vårduppgifter och information om med religion, sexuell läggning och politisk åsikt kallas ”särskilt skyddade uppgifter”). Dubbelfel alltså. Om inte trippelfel.
LÄS OCKSÅ: Läkemedelsskandalen som tystades ner – och gick oss förbi
Vissa samtal går till vårdentreprenör
När en person ringer 1177 för rådgivning kopplas samtalet antingen till vårdregionens egna anställda sjuksköterskor eller till de företag som är entreprenörer åt de vårdregioner som lagt ut detta på entreprenad.
När det gäller de aktuella samtalen har de tagits emot av vårdentreprenören Medicall, vilka har sitt säte i Hua Hin i Thailand. Medicall är i sin tur underleverantör till vårdentreprenören Medhelp som tar emot samtal från vårdregionerna i Stockholm, Södermanland och Värmland, rapporterar Computer Sweden.
Konfronterad la på luren
När Medicalls VD Davide Nyblom blir kontaktad av Computer Sweden tror han inte att tidningens reporter talar sanning.
– Vi har kollat upp detta med vår IT, och det du säger är helt omöjligt, säger han. När reportern då erbjuder sig att spela upp en ljudfil lägger han på luren.
I chock förmodligen. För det som har hänt skulle nämligen inte kunna hända. Det trodde nog ingen. Inte heller det svenska företaget Voice Integrate Nordic, vars molnbaserade telefonsystem det är som Medicall har använt. De omtalar det inträffade ”katastrofalt” och lovar att man ska se över sina system.
LÄS OCKSÅ: Nu ska fler få ersättning för diagnosen narkolepsi
Saknar motstycke i svensk historia
Joel Westerholm, som bevakar IT-frågor på Sveriges radio Ekot menar att ”läckan saknar motstycke i svensk historia”.
– Det är exceptionellt, eftersom det är så många miljoner under så lång tid som ligger där fritt tillgängligt, och dels är det vårduppgifter som bedöms vara väldigt känsliga.
Socialminister Lena Hallengren (S) anser att uppgifterna ”allvarliga och uppseendeväckande”:
– Ingen region eller landsting kan genom upphandling frånsäga sig ansvaret för patientsäkerheten eller skyddet av känsliga personuppgifter. Jag utgår från att de berörda landstingen och regionerna nu omgående skapar kontroll över den oerhört viktiga verksamhet som 1177 är, säger hon i ett uttalande till TT.
Säkerhetschefen: ”Borde inte vara en gåta hur man skyddar”
– Det här är häpnadsväckande. Hälso- och sjukvården är en väldigt reglerad verksamhet som hanterar väldigt stora mängder känslig information. Det borde inte vara en gåta hur man skyddar den på ett effektivt sätt, säger Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, till TT.
Marcus Jerräng, Computer Swedens chefredaktör och ansvarig utgivare, uttrycker sig så här:
– Hur det värsta svenska integritetshaveriet i mannaminne kunnat hända behöver nu givetvis utredas grundligt av myndigheterna. Det vi vet är att det tekniska felet legat hos leverantören Voice Integrate, men ansvarsfrågan går via Medicall och Medhelp ända upp till Inera, det region- och kommunägda bolag som samordnar regionernas arbetet med 1177 Vårdguiden.
LÄS OCKSÅ: Ny granskning: Läkemedelsjättarna har för stort inflytande!
Datainspektionen: ”Vi har hittat brister gällande patientuppgifter”
Datainspektionen, som är tillsynsmyndighet för patientdatalagen, granskar regelbundet de svenska vårdgivarna och kontrollerar bland annat att dessa har vidtagit tillräckliga säkerhetsåtgärder för att skydda känsliga patientuppgifter. De räknar med att ärendet kommer att bli föremål för en granskning hos dem.
– Vi har tillsynat vården under många år och just tittat på åtkomsten till patientuppgifter, och vi har hittat en hel del brister när det gäller det, säger Katarina Tullstedt, chef på Datainspektionens enhet för myndigheter, vård och utbildning, till Sveriges radio.
Stängd åtkomst
Strax efter avslöjandet beskriver Vårdguiden det på sin sidaet som en ”allvarlig händelse som inte ska inträffa”. De skriver vidare:
”Enligt den ansvariga vårdgivaren som sköter rådgivningen går det inte längre att komma åt de inspelade samtalen. Vårdgivaren gör nu utredningar för att ta reda på hur det kunnat hända och för att säkra att alla uppgifter är skyddade. Det finns inga uppgifter om att någon fått fel vård på grund av det som hänt men enligt lagen får obehöriga inte ta del av patientuppgifter. Som patient ska du vara garanterad att bara de som deltar i din vård får del av informationen om dig. Det är ännu inte klart hur många samtal det handlar om eller vilka samtal.”
Som ett resultat av avslöjandet har nu åtkomsten till den lagringsenhet där ljudfilerna ligger stängts.
Av Isabelle G Hedander
Vill du läsa fler liknande artiklar?
Gilla Kurera på Facebook och signa upp dig för Kureras nyhetsbrev så missar du inget!
Fotnot:
Två dagar efter avslöjandet polisanmälde vårdentreprenören Medhelp två journalister på tidningen Computer Sweden för bland annat ”obehörigt röjande av personuppgifter”, något som uppges handla om att tidningen valt att publikt publicera IP-adresser, en länk till den aktuella servern där samtalsfilerna låg samt en film som beskriver tillvägagångssättet för att komma åt filerna.
Anmälningarna ska gälla tidningens chefredaktör samt den journalist som skrivit om läckan, och de två övriga misstänkta brotten uppges vara ”dataintrång” samt ”misstänkt anstiftan till dataintrång” – anmälningar som vissa dock menar är väl långsökta eftersom filerna trots allt redan legat tillgängliga för allmänheten.
Källa: DN och Dagens Medicin.
Fler anmälningar på gång
Vårdregion Stockholm har aldrig godkänt aldrig företaget Medicall som underleverantör till vårdentreprenören Medhelp, vilket avtalet kräver. En dag efter avslöjandet meddelade regionen att de överväger både polisanmälan och en process om avtalsbrott.
Blir granskning
Datainspektionen kommer att granska 1177 Vårdguiden. Det meddelade myndigheten i ett pressmeddelande dagen efter avslöjandet.
Källa: Dagens Medicin.