Personuppgiftspolicy

Vi vill informera dig om vår policy som beskriver hur vi behandlar personuppgifter och cookies.

Läs mer

Miljontals samtal till Vårdguiden läckta

2, 7 miljoner inspelade telefonsamtal med Vårdguiden fanns tillgängliga som ljudfiler på en oskyddad webbserver, det avslöjar Computer Sweden. Foto: COLOURBOX
Samtalen sträcker sig tillbaka till år 2013 och hanterades av underleverantören Medhelp, vars säte är i Thailand, skriver nättidningen. Foto: COLOURBOX

2, 7 miljoner inspelade telefonsamtal till Vårdguiden 1177 fanns tillgängliga som ljudfiler på en oskyddad webbserver, avslöjar Computer Sweden

Samtalen sträcker sig tillbaka till år 2013 och hanterades av vårdentreprenören Medhelp, vars säte är i Thailand. 

Företaget Voice Integrate Nordic AB tillhandahåller den server som har använts.

– Det här är ett ”wake up call” för oss. Vi har ju kört den här tekniken i många, många år, utan någon som helst incident. Men även solen har sin baksida, säger vd:n Tommy Ekström. 

– Självklart helt oacceptabelt och chockerande, skriver socialförsäkringsminister Annika Strandhäll i ett Twitterinlägg. 

Har du sökt vårdrådgivning via 1177?

De 2,7 miljoner känsliga samtalen till Vårdguidens rådgivande nummer 1177 låg som ljudfiler på en öppen webbserver och var därmed tillgängliga för vem som helst att lyssna på och ta del av, avslöjar Computer Swedens reporter Lars Dobos.

Webbservern har saknat lösenordsskydd och annan säkerhet, skriver Computer Sweden

Samtalen innehåller känsliga uppgifter om sjukdomar som den vårdbehövande allmänheten ringer in för att få rådgivning om. I många fall uppger de inringande sina personnummer. Enligt patientdatalagen ska uppgifterna behandlas med sekretess. Insamlandet av uppgifter strider även mot lagen om GDPR. 

Tusentals nummer låg ute

Samtalen sträcker sig tillbaka till 2013 och handlar om 170 000 timmar känsliga samtal som vem som helst har kunnat ladda ner eller lyssna på. De oskyddade samtalen har främst ringts in och tagits emot av regionerna Stockholm, Södermanland och Värmland och har gjorts på obekväm arbetstid. 

Några av ljudfilerna har märkts med inringarens telefonnummer i filnamnet. 57 000 svenska telefonnummer förekommer i databasen, skriver Computer Sweden

https://twitter.com/strandhall/status/1097614478118658054

Företag i Thailand tog emot samtalen

På obekväm arbetstid skickas samtalen vidare till Medicall som är underleverantör till vårdentreprenören Medhelp och som har sitt säte i Hua Hin i Thailand. Svensk vårdpersonal arbetar med att ta emot samtalen där. Medhelp har i sin tur avtal med landstings- och kommunägda Inera, enligt Computer Sweden. 

När nättidningen ringer upp Medicalls vd Davide Nyblom hänvisar han till företaget IT-avdelning, förnekar han att detta kan ha varit möjligt, och lägger sedan på luren. 

”Detta är katastrofalt”

Medicall använder det molnbaserade callcenter-systemet BIz 2.0 som levereras av det svenska företaget Voice Integrate Nordic AB och har sparats på det svenska företagets lagringsserver och som Computer Sweden även sökt.

– Detta är katastrofalt, det är ju känsliga uppgifter. Vi hade ingen aning om att det låg till så här. Vi ska naturligtvis se över våra system och kolla upp vad som kan ha hänt, säger Tommy Ekström, vd på Voice Integrate Nordic till nättidningen.

I Brottscentralen förklarar Ekström att man ser allvarligt på händelsen.

– Det är naturligtvis inte bra, det är ju katastrofalt dåligt. 

Efter Computer Swedens granskning har lagringsenheten stängts och samtalen är inte längre tillgängliga.

Vårdguiden erbjuder sjukvårdsrådgivning dygnet runt på det nationella numret 1177 och får in cirka 4,5 miljoner samtal årligen. 

Experten: ”Väldigt allvarligt”

Granskningen som gjorts avslöjar brister i flera led och att så känslig och stor mängd uppgifter varit helt oskyddade är problematiskt på många sätt. 

– Det kan vara både hälsodata och information om barn. Det är väldigt allvarligt eftersom det är extra känslig information. Det är en säkerhetsincident. Med känsligare uppgifter kommer också ett större krav på att underleverantören lever upp till säkerhetskraven. De måste se till att ha en tillförlitlig kontroll, säger advokaten och GDPR-experten Caroline Olstedt Carlström.

Chefläkaren utkräver åtgärdsplan

Johan Bratt, chefläkare vid region Stockholm, ser allvarligt på säkerhetsbristerna men menar att vårdgivaren bär det yttersta ansvaret för lagbrotten.  

– Det här är ju lagreglerat, att de vårdgivare som vi har avtal med uppfyller kraven som vi har på vår patientsäkerhet. I grunden förutsätter vi att vårdgivare följer sekretessen, säger Johan Bratt.

Regionen har i dag inget kontrollsystem för att se till att känslig data hanteras i enlighet med lagen om sekretess. I väntan på utredning kommer region Stockholm inte att säga upp avtalet med vårdentreprenören Medhelp. 

– Vi kommer att ha en intensiv dialog med den aktuella vårdgivaren, vi måste få en tydlig åtgärdsplan och en teknisk analys kommer att göras. Vi får börja där, säger Johan Bratt. 

Men enligt advokaten Caroline Olstedt Carlström kan ansvaret landa på både bolag och myndighet.

– Det är bolagen eller myndigheterna som kommer att hållas ansvariga. Gissningsvis kan det finnas glapp på flera ställen. Ytterst ansvarig är den som är personuppgiftsansvarig, säger Caroline Olstedt Carlström.

Datainspektionen är tillsynsmyndighet och kommer högst troligen att inleda en granskning, enligt Ekot.

Logga in för att följa

Det är gratis och går snabbt!