Få hela storyn
Starta din prenumeration

Prenumerera

Sjukvård

Tre regioner får böter efter 1177-läckan

Publicerad: 8 juni 2021, 10:14

Medhelp får skarp kritik och miljonböter av Integritetsskyddsmyndigheten. Företaget skulle ha sett till att personuppgifter skyddades bättre, och det var fel att lägga ut uppdrag till ett thailändskt företag.

Foto: Janerik Henrsson/TT

Stockholm, Sörmland och Värmland tvingas böta totalt 1 miljon kronor efter incidenten där inspelade samtal till 1177 legat ute på nätet. Medhelp, som skötte samtalen åt regionerna, får hela 12 miljoner kronor i böter.


Ämnen i artikeln:

1177-läckanDigitaliserad vårdIt-säkerhet

Det blir dryga sanktionsavgifter för flertalet aktörer som på olika sätt varit kopplade till incidenten 2019, då inspelade samtal till 1177 Vårdguiden som gått via företaget Medhelp låg oskyddade på internet. 

Det står klart nu när Integritetsskyddsmyndigheten (IMY) är klar med sin granskning. 

Att klargöra kopplingarna och ansvarsförhållanden mellan de olika parterna, regionerna, Medhelp och underleverantören, har varit komplicerat. Inte ens de inblandade själva verkar ha haft allt klart för sig

– Vi fick in personuppgiftsincidentsanmälningar från flera olika håll. Det i sig tyder på att det finns oklara ansvarsförhållanden eftersom det bara är den personuppgiftsansvarige som ska göra anmälan, säger Magnus Bergström, it-säkerhetsspecialist på IMY, till Dagens Samhälle. 

– En förutsättning för  att upprätthålla ett bra skydd är ju att alla är helt på det klara med sitt ansvar och sina åtaganden och skyldigheter. 

Samtal till 1177 går först till Inera. De patienter som 2019 ringde från Stockholm, Sörmland och Värmland kopplades vidare till Medhelp AB som hade personal som besvarade samtalen.

Medhelp skickade i sin tur vidare samtal till företaget Medicall i Thailand på nätter och helger. De båda hade ett avtal med ett tredje företag, Voice Integrate Nordic AB, för den tekniska lösningen och det var via det företagets server som det gick att få tillgång till samtal som besvarats i Thailand. 

Enligt IMY är det Medhelp och Voice Integrate som bär ansvar för det inträffade. 

Medhelp, som räknas som vårdgivare och personuppgiftsansvarig, är skyldigt att se till att säkerhetsnivån är tillräckligt bra. Medhelp får också kritik för att de lade ut vårduppdrag till ett thailändskt bolag som inte omfattas av svensk hälso- och sjukvårdslagstiftning, och därmed inte kraven på exempelvis tystnadsplikt.

Medhelp har inte heller informerat patienter om hur deras personuppgifter behandlats. 

Voice Integrate räknas som personuppgiftsbiträde och har därmed skyldigheter att skydda de inspelade ljudfilerna och personuppgifterna. 

Bristerna gör att IMY utfärdar böter på 12 miljoner kronor för Medhelp, varav 8 miljoner handlar om att ljudfilerna exponerades på nätet och 3 miljoner att de lade ut vårduppdrag på ett företag som inte omfattas av svensk hälso- och sjukvårdslagstiftning. Resterande bötesbelopp handlar om att Medhelp inte säkerhetskopierat uppgifter och bristande information till vårdtagarna.

Voice Integrate får en sanktionsavgift på 650000 kronor.

LÄS MER: Ett år efter 1177-skandalen – så ska nya läckor undvikas 

Dessutom riktar IMY kritik mot de tre regioner som anlitat Medhelp för att de brustit i informationen till vårdsökande som ringt 1177. 

Region Stockholm, som varken informerade om att samtalen spelades in av Medhelp eller att regionen samlade in uppgifter från Medhelp om dem som ringt, får en sanktionavgift på 500 000 kronor. Bristerna i Region Värmland och Region Sörmland anses vara mindre än i Stockholm och därför får de två regionerna en lägre sanktionavgift: 250 000 kronor vardera. 

Region Stockholm åläggs också att snarast se till att vårdsökande som ringer 1177 får information om insamling av personuppgifter. Den som nu ringer 1177 från Stockholm får veta att samtalet besvaras och spelas in av Medhelp.

Region Sörmland och Region Värmland har inte längre avtal med Medhelp, utan driver telefonrådgivningen i egen regi.

Även Inera granskades av IMY, men där avslutade IMY tillsynen utan åtgärd. 

Medhelp kommenterar IMY:s beslut med att de genomfört förändringar för att förbättra säkerheten, att de sedan februari 2019 informerar vårdtagare om hur deras personuppgifter behandlas och att de inte längre har sjukvårdsrådgivning placerad utanför Sverige.

När de gäller att de anlitat ett bolag registrerat i Thailand skriver Medhelp i sitt uttalande att beslutet ”togs i samförstånd med Region Stockholm och efter deras godkännande av MediCall som underleverantör”. 

LÄS MER: Region Stockholm kan ta över 1177 igen 

Åsa Nilsson

Reporter

an@dagenssamhalle.se

Dela artikeln:


Nyhetsbreven som ger dig bäst koll på samhället

Välj nyhetsbrev

Se fler branschtitlar från Bonnier News