Hoppa till innehållAftonbladet

Dagens namn: Kristian, Krister

Planerar polisanmälan om oskyddade vårdsamtal

Publicerad 2019-02-19

Miljontals inspelade samtal till 1177 Vårdguiden låg tillgängliga på en oskyddad webbserver. Arkivbild.

Beskedet att miljontals vårdsamtal till 1177 Vårdguiden legat på en oskyddad server har upprört många. Även samtal om sjuktransporter har legat ute på nätet.

Nu planerar Medhelp, som tar emot patientsamtalen, att polisanmäla händelsen och inte heller Region Stockholm utesluter en anmälan.

– Sådant här får inte hända. Vi förstår att folk är upprörda. Vi gör nu allt som står i vår makt, vi har tillsatt en stor utredning för att ta reda på exakt vad som hänt och se till att det inte händer igen, säger Björn Arkinger, affärsområdeschef på Medhelp, som tar emot patientsamtal via 1177 Vårdguiden.

Han beskriver det inträffade som en säkerhetsläcka hos underleverantören Medicall, ett Thailandsbaserat företag där svenskspråkig personal tar emot samtal på obekväma tider.

– Deras leverantör av telefoni har varit bristfällig. Servern stängdes ned omedelbart, läckan är tätad, säger han.

TT: Hur lättillgängliga var samtalen?

– Jag skulle inte säga att gemene man har kunskap nog att komma åt dem. Det krävdes att man gjorde en portskanning på servern och en viss form av ansträngning.

Björn Arkinger säger att man ännu inte har incidentanmält händelsen till Datainspektionen men kommer göra det inom ett dygn.

– Vi kommer troligen också polisanmäla ärendet.

Samtal laddades ned

Tommy Ekström, vd för Medicalls telefonileverantör Voice Integrate Nordic, berättar på tisdagen för TT att de upptäckt att 55 samtal laddats ned från servern från olika ip-adresser.

Samtalen laddades ned den 13, 14 och 15 februari, samt 18 februari – dagen för Computer Swedens avslöjande. Ekström kan inte uppge vilka som laddat ned samtalen, men misstänker att Computer Sweden står för åtminstone några av nedladdningarna.

– Jag kan bara spekulera, men så är nog fallet.

Erik Hofslagare, redaktionschef på Computer Sweden, bekräftar för TT att tidningen laddat ned samtal i researchsyfte inför artikeln, men kan inte specificera hur många.

"Väldigt allvarligt"

I måndags avslöjade tidningen att 2,7 miljoner inspelade samtal till 1177 Vårdguiden legat tillgängliga på en oskyddad server. Främst har det rört sig om samtal på obekväma tider från regionerna Stockholm, Sörmland och Värmland. De har mottagits av Medicall, en underleverantör till företaget Medhelp som tar emot patientsamtal via 1177 Vårdguiden.

Datainspektionen ser allvarligt på det inträffade.

– Det handlar om stora mängder patientuppgifter som legat öppna under lång tid, så det är klart att det är väldigt allvarligt, säger Katarina Tullstedt, chef för enheten för myndigheter, vård och utbildning på Datainspektionen, till TT.

Ser över avtalet

Tullstedt säger att myndigheten nu förväntar sig en incidentanmälan från Medhelp inom 72 timmar, vilket de är skyldiga att lämna enligt dataskyddsförordningen GDPR.

– I nästa steg tar vi ställning till om vi ska inleda en tillsyn och själva aktivt granska vad som hänt. Det kan sedan leda till att vi vidtar åtgärder och fattar beslut om föreläggande, sanktionsavgift eller liknande, säger hon.

Daniel Forslund (L), biträdande regionråd i Stockholm med ansvar för e-hälsa, utesluter inte att Medhelp polisanmäls.

– Vi håller nu på att se på avtalet och hur många punkter av brott det har varit mot det. Våra jurister kollar också på om det har varit rena lagbrott, säger han till Sveriges Radio.

Inte känt till

På samma server där det funnits oskyddade vårdsamtal till 1177 finns ljudfiler från beställningar av sjuktransporter, skriver Computer Sweden , som lyssnat på flera samtal.

Det rör sig om samtal för sjuktransporter i Region Uppsala. Samtalen har gått till Prebus AB, ett dotterbolag till Gamla Uppsala Buss AB som i sin tur ägs av Region Uppsala.

Den it-ansvarige på Prebus, Björn Tapper, säger att han inte känt till att samtalen spelas in Voice Integrate Nordic.

– Vi vill kunna analysera hur lång tid samtal tar och så vidare, men vi vill inte att de spelas in. Det vore bara dumt med tanke på allt krångel med GDPR, säger han till Computer Sweden.

Region Stockholm visste

Socialminister Lena Hallengren (S) vill veta mer om skandalen.

"Jag kommer att kalla till mig representanter för Sveriges Kommuner och Landsting och berörda för att informera mig om vad som har skett och vilka åtgärder som har vidtagits." skriver hon i en kommentar till TT.

Region Stockholm visste att det fanns rättsliga osäkerheter kring åtkomsten till patientuppgifter när en privat aktör verkar utomlands, skriver Dagens Nyheter. Fram till den 1 september gäller det gamla avtalet med Medhelp men när 1177 upphandlades på nytt våren 2018 ställdes krav på att verksamheten bedrivs i Sverige. Det nya avtalet med Medhelp – som börjar gälla den 1 september i år – förbjuder verksamhet i utlandet.