Läckta vårdsamtal kan polisanmälas

2, 7 miljoner inspelade telefonsamtal med Vårdguiden fanns tillgängliga som ljudfiler på en oskyddad webbserver, det avslöjar Computer Sweden.
Foto: COLOURBOX
Foto: RUSLAN GUZOV/Colourbox

Beskedet att miljontals vårdsamtal till 1177 legat på en oskyddad server har upprört många.

Datainspektionen inväntar nu en incidentrapport från det ansvariga företaget Medhelp.

Även samtal om sjuktransporter har legat ute på nätet, skriver Computer Sweden.

På tisdagen avslöjade tidningen att miljontals inspelade samtal till 1177 Vårdguiden legat tillgängliga på en oskyddad server.

Främst har det rört sig om samtal på obekväma tider från regionerna Stockholm, Sörmland och Värmland. De har mottagits av Medicall, en underleverantör till företaget Medhelp som tar emot patientsamtal via 1177 Vårdguiden.

Datainspektionen ser allvarligt på det inträffade.

Det handlar om stora mängder patientuppgifter som legat öppna under lång tid, så det är klart att det är väldigt allvarligt, säger Katarina Tullstedt, chef för enheten för myndigheter, vård och utbildning på Datainspektionen, till TT.

Medhelp: Förstår att folk är upprörda

– Sådant här får inte hända. Vi förstår att folk är upprörda. Vi gör nu allt som står i vår makt, vi har tillsatt en stor utredning för att ta reda på exakt vad som hänt och se till att det inte händer igen, säger Björn Arkinger, affärsområdeschef på Medhelp.

TT: Vad vet ni i nuläget?

Det som inträffat är en säkerhetsläcka hos en underleverantör. Deras leverantör av telefoni har varit bristfällig. Servern stängdes ned omedelbart, läckan är tätad.

TT: Hur lättillgängliga var samtalen?

Jag skulle inte säga att gemene man har kunskap nog att komma åt dem. Det krävdes att man gjorde en portskanning på servern och en viss form av ansträngning.

TT: Har ni incidentanmält till Datainspektionen?

Vi kommer att göra det inom ett dygn. Vi kommer troligen också polisanmäla ärendet.

TT: Vem anmäler ni då?

Det vet vi inte än. Vi håller på med vår utredning och sedan får vi se hur vi går vidare.

Ser över avtalet

Katarina Tullstedt säger att Datainspektionen nu förväntar sig en incidentanmälan från Medhelp inom 72 timmar, vilket de är skyldiga att lämna enligt dataskyddsförordningen GDPR.

I nästa steg tar vi ställning till om vi ska inleda en tillsyn och själva aktivt granska vad som hänt. Det kan sedan leda till att vi vidtar åtgärder och fattar beslut om föreläggande, sanktionsavgift eller liknande, säger hon.

Daniel Forslund (L), biträdande regionråd i Stockholm med ansvar för e-hälsa, utesluter inte att Medhelp polisanmäls.

Vi håller nu på att se på avtalet och hur många punkter av brott det har varit mot det. Våra jurister kollar också på om det har varit rena lagbrott, säger han till Sveriges Radio.

Inte känt till

På samma server där det funnits oskyddade vårdsamtal till 1177 finns ljudfiler från beställningar av sjuktransporter, skriver Computer Sweden , som lyssnat på flera samtal.

Det rör sig om samtal för sjuktransporter i Region Uppsala, enligt tidningen. Samtalen har gått till Prebus AB, ett dotterbolag till Gamla Uppsala Buss AB som i sin tur ägs av Region Uppsala.

Den it-ansvarige på Prebus, Björn Tapper, säger att han inte känt till att samtalen spelas in av leverantören.

Vi vill kunna analysera hur lång tid samtal tar och så vidare, men vi vill inte att de spelas in. Det vore bara dumt med tanke på allt krångel med GDPR, säger han till Computer Sweden.

◼︎◼︎ Detta är en nyhetsartikel. Expressen granskar, avslöjar och ger dig de senaste nyheterna på ett objektivt och sakligt sätt. Mer om oss här.