De 2,7 miljoner känsliga samtalen till Vårdguidens rådgivande nummer 1177 låg som ljudfiler på en öppen webbserver och var därmed tillgängliga för vem som helst att lyssna på och ta del av, avslöjar Computer Swedens reporter Lars Dobos.
Webbservern har saknat lösenordsskydd och annan säkerhet, skriver Computer Sweden.
Samtalen innehåller känsliga uppgifter om sjukdomar som den vårdbehövande allmänheten ringer in för att få rådgivning om. I många fall uppger de inringande sina personnummer. Enligt patientdatalagen ska uppgifterna behandlas med sekretess. Insamlandet av uppgifter strider även mot lagen om GDPR.
Tusentals nummer låg ute
Samtalen sträcker sig tillbaka till 2013 och handlar om 170 000 timmar känsliga samtal som vem som helst har kunnat ladda ner eller lyssna på. De oskyddade samtalen har främst ringts in och tagits emot av regionerna Stockholm, Södermanland och Värmland och har gjorts på obekväm arbetstid.
Några av ljudfilerna har märkts med inringarens telefonnummer i filnamnet. 57 000 svenska telefonnummer förekommer i databasen, skriver Computer Sweden.
https://twitter.com/strandhall/status/1097614478118658054Företag i Thailand tog emot samtalen
På obekväm arbetstid skickas samtalen vidare till Medicall som är underleverantör till vårdentreprenören Medhelp och som har sitt säte i Hua Hin i Thailand. Svensk vårdpersonal arbetar med att ta emot samtalen där. Medhelp har i sin tur avtal med landstings- och kommunägda Inera, enligt Computer Sweden.
När nättidningen ringer upp Medicalls vd Davide Nyblom hänvisar han till företaget IT-avdelning, förnekar han att detta kan ha varit möjligt, och lägger sedan på luren.
”Detta är katastrofalt”
Medicall använder det molnbaserade callcenter-systemet BIz 2.0 som levereras av det svenska företaget Voice Integrate Nordic AB och har sparats på det svenska företagets lagringsserver och som Computer Sweden även sökt.
– Detta är katastrofalt, det är ju känsliga uppgifter. Vi hade ingen aning om att det låg till så här. Vi ska naturligtvis se över våra system och kolla upp vad som kan ha hänt, säger Tommy Ekström, vd på Voice Integrate Nordic till nättidningen.
I Brottscentralen förklarar Ekström att man ser allvarligt på händelsen.
– Det är naturligtvis inte bra, det är ju katastrofalt dåligt.
Efter Computer Swedens granskning har lagringsenheten stängts och samtalen är inte längre tillgängliga.
Vårdguiden erbjuder sjukvårdsrådgivning dygnet runt på det nationella numret 1177 och får in cirka 4,5 miljoner samtal årligen.
Experten: ”Väldigt allvarligt”
Granskningen som gjorts avslöjar brister i flera led och att så känslig och stor mängd uppgifter varit helt oskyddade är problematiskt på många sätt.
– Det kan vara både hälsodata och information om barn. Det är väldigt allvarligt eftersom det är extra känslig information. Det är en säkerhetsincident. Med känsligare uppgifter kommer också ett större krav på att underleverantören lever upp till säkerhetskraven. De måste se till att ha en tillförlitlig kontroll, säger advokaten och GDPR-experten Caroline Olstedt Carlström.
Chefläkaren utkräver åtgärdsplan
Johan Bratt, chefläkare vid region Stockholm, ser allvarligt på säkerhetsbristerna men menar att vårdgivaren bär det yttersta ansvaret för lagbrotten.
– Det här är ju lagreglerat, att de vårdgivare som vi har avtal med uppfyller kraven som vi har på vår patientsäkerhet. I grunden förutsätter vi att vårdgivare följer sekretessen, säger Johan Bratt.
Regionen har i dag inget kontrollsystem för att se till att känslig data hanteras i enlighet med lagen om sekretess. I väntan på utredning kommer region Stockholm inte att säga upp avtalet med vårdentreprenören Medhelp.
– Vi kommer att ha en intensiv dialog med den aktuella vårdgivaren, vi måste få en tydlig åtgärdsplan och en teknisk analys kommer att göras. Vi får börja där, säger Johan Bratt.
Men enligt advokaten Caroline Olstedt Carlström kan ansvaret landa på både bolag och myndighet.
– Det är bolagen eller myndigheterna som kommer att hållas ansvariga. Gissningsvis kan det finnas glapp på flera ställen. Ytterst ansvarig är den som är personuppgiftsansvarig, säger Caroline Olstedt Carlström.
Datainspektionen är tillsynsmyndighet och kommer högst troligen att inleda en granskning, enligt Ekot.