Få hela storyn
Starta din prenumeration

Prenumerera

Arbetsvillkor

Ansvaret utreds efter stor 1177-läcka

Publicerad: 19 februari 2019, 15:25

Davide Nyblom, vd på Medicall, tycker inte de kunnat göra något annorlunda för att förhindra läckan.

2,7 miljoner inspelade samtal till 1177 har funnits öppet tillgängliga på nätet. Nu försöker de tre regionerna Stockholm, Sörmland och Värmland komma till klarhet med vad som inträffat och om de kunnat agera annorlunda.


Ämnen i artikeln:

Regioner1177-läckan

Läckan av inspelade samtal från 1177, som tidningen Computer Sweden avslöjade på måndagen, är det ”värsta svenska integritetshaveriet i mannaminne” enligt tidningens chefredaktör. Socialminister Lena Hallengren (S) kallar det ”fullständigt oacceptabelt”.

Det är tre regioner – Stockholm, Sörmland och Värmland – som anlitat företaget Medhelp för att ta emot samtal till 1177. De har i sin tur anlitat Medicall, som från thailändska Hua Hin svarat på 1177-samtal nattetid. Det är inspelningar av dessa samtal som legat öppet åtkomliga över internet. Computer Sweden uppger att de hittat 2,7 miljoner samtal, från 2013 och framåt, på en server som gick att komma åt utan inloggning.

– Det är hos den svenska it-leverantör vi använder som det har funnits brister. Det är där vi får titta på vad som har hänt och hur det kunde hända, säger Davide Nyblom, vd på Medicall, när Dagens Samhälle når honom i Thailand.

Hade ni kunnat göra något annorlunda?

– Tyvärr inte, som kund åt en it-leverantör. Vi är ju en vårdgivare och använder oss av leverantörer som ska kunna hantera det här. Vi ställer samma krav som vem som helst i Sverige eftersom vi arbetar mot Sverige. Inspelningarna har funnits på en skyddad server hos leverantören, så det är ingenting som finns inom räckhåll för oss.

Nu verkar den här servern inte ha varit så skyddad ändå, eftersom den gick att komma åt bara man hade adressen. Hur ska ni hantera det som uppstått?

– Vi kommer självklart att, ihop med Medhelp, se över vem det har drabbat och i så fall hur det har drabbat. När man är ute på nätet går det att se vilken ip-adress man använder, så via dem kan man se hur många som faktiskt kommit åt inspelningarna. En första granskning visar att det inte alls är i den omfattning som man vill beskriva det. Men jag förstår oron som enskilda medborgare och patienter känner.

Davide Nyblom hänvisar oroliga till Medhelps servicelinje som ska kunna svara på frågor om det inträffade.

Till Computer Sweden sa du först att det här är helt omöjligt. Hur ser du på  det uttalandet nu?

– Det här ska vara omöjligt. Internetsäkerhet är precis som ett rymningssäkert fängelse. Det var i min värld helt främmande att det här kunnat ske, speciellt med tanke på de krav vi ställt för de lösningar vi har för 1177 när det gäller it-säkerhet.

Tobias Kjellberg är hälso- och sjukvårdsdirektör på Region Värmland, som liksom de övriga två regioner som anlitat Medhelp försöker reda ut hur läckan kunnat inträffa.

– Vi ser allvarligt på det här och vi gjorde i går en anmälan till datainspektionen om en personuppgiftsincident. Vi gör en händelseanalys där vi tittar på allt ifrån våra avtal och vår insats till vad leverantören och eventuella underleverantörer har för ansvar, säger han.

Vad är ert ansvar?

– Vi har ett ansvar på ett väldigt tydligt sätt. Men lagen om offentlig upphandling innebär också att vi måste titta över vilka krav vi har ställt, det är den vägen vi kan utöva ansvaret när någon annan utför uppdraget. När vi ser på avtalen uppfattar vi att vi har ställt krav på att det ska följas lagar och förordningar och att sekretess ska hanteras, så det ser nog rätt så okej ut. Men vi kommer att gräva djupare och vi är inte färdiga än.

Kommer ni att fortsätta anlita den här leverantören?

– Vi har sagt upp avtalet med Medhelp, men av helt andra anledningar. Det var ett beslut som fattades av landstingsstyrelsen i fjol. Det handlar mer om ett strategiskt vägval för att kunna hantera alla inkommande samtal i egen regi och försöka möta upp med bästa lämpliga resurs.

Medhelp har i sin tur sagt upp avtalet med Medicare, men även det var innan läckan inträffade, enligt tillförordnade vd:n Lennart Persson.

Tillsynsmyndigheten Datainspektionen har fått in klagomål från enskilda som uppfattat att de blivit drabbade. Rapporter om personuppgiftsincidenter är också på väg in. Enhetschef Katarina Tullstedt säger att hon personligen inte känner till någon större läcka än vad denna verkar vara. Nu väntar ett komplext arbete med att försöka reda ut ansvarsfrågan.

– Vi förbereder oss för att kunna granska det här, genom tillsyn. Det kan vi göra antingen skriftligen eller genom verksamhetsbesök. Det viktiga för oss är att identifiera vem eller vilka vi bör titta på och vad som kan ha gått fel, samt vilka rättsliga frågor vi behöver lösa för att kunna fatta beslut, säger hon.

Det är många led med leverantörer och underleverantörer. Var ligger ansvaret?

– Det är bland annat det vi behöver utreda. Regelverket säger att det är vårdgivaren som är personuppgiftsansvarig.

Vem är vårdgivaren i det här fallet?

– Det är fråga nummer ett. Vi behöver utreda det för att kunna starta någonstans.

Vad kan följderna bli för vårdgivaren?

– Det kan bli sanktionsavgifter, och vi kan förelägga både personuppgiftsansvariga och personuppgiftsbiträde att vidta åtgärder för att komma rätta med felaktigheter, och vi kan också i vissa fall förbjuda en behandling, säger Katarina Tullstedt.

Socialminister Lena Hallengren (S) kommenterar det inträffade i ett uttalande till TT: ”Ingen region eller landsting kan genom upphandling frånsäga sig ansvaret för patientsäkerheten eller skyddet av känsliga personuppgifter. Jag utgår från att de berörda landstingen och regionerna nu omgående skapar kontroll över den oerhört viktiga verksamhet som 1177 är.”

Lotta Holmström

Ämnen i artikeln:

Regioner1177-läckan

Dela artikeln:


Nyhetsbreven som ger dig bäst koll på samhället

Välj nyhetsbrev