Sverige: IMY:s beslutar om sanktionsavgifter efter granskning av 1177-indicenten

Integritetsskyddsmyndigheten (IMY) meddelar på sin webbplats att myndigheten nu är klar med sin granskning av händelsen då inspelade samtal till 1177 fanns tillgängliga oskyddade på internet.

Under 2019 publicerade massmedia att inspelade samtal till rådgivningsnumret 1177 legat tillgängliga utan lösenordsskydd eller annan säkerhet på en webbserver. IMY inledde först en granskning av en av aktörerna. En tid därefter utökades granskningen till att omfatta sammanlagt sex aktörer, tre företag och tre regioner. Enligt IMY har det varit en komplicerad utredning att klargöra kopplingen mellan regionerna och sjukvårdsrådgivningen via 1177 och ansvarsförhållandet mellan de olika aktörerna.

1177 Vårdguiden är en sjukvårdstjänst som erbjuds och ägs av samtliga Sveriges 21 regioner. Tjänsten är en samlingsplats för information om vård och hälsa och finns både på webben och på telefon. Varje region bedriver sin egen verksamhet för sjukvårdsrådgivning, antingen i egen regi eller genom upphandlade underleverantörer men ingår tillsammans i ett nationellt nätverk.

Alla samtal till telefonnumret 1177 går först till företaget Inera som förvaltar och utvecklar de gemensamma systemen. Samtal till 1177 från personer som bor i regionerna Stockholm, Sörmland och Värmland kopplades vid tiden för incidenten via Inera till företaget Medhelp AB som besvarade samtalen.

Medhelp hade i sin tur anlitat det thailändska företaget Medicall Co Ltd för att hantera samtal till 1177 som skedde på helger och nätter. Medhelp och Medicall hade avtal med teknikföretaget Voice Integrate Nordic AB för bland annat växelfunktionalitet och inspelning av samtal. Det är inspelningar av samtal till 1177 som kopplats till företaget i Thailand som legat tillgängliga på internet på en lagringsserver hos Voice Integrate.

Incidenten berodde på att en nätverksansluten lagringsenhet felkonfigurerats och på så sätt kunde nås via det publika internet och att enheten dessutom inte använde krypterad kommunikation. Till följd av det blev en stor mängd samtal åtkomliga utan lösenordsskydd eller annan säkerhet. Det som krävdes för att få tillgång till samtalsfilerna var ip-adressen till lagringsenheten.

Enligt IMY är det två parter som bär ansvar för det inträffade, Medhelp och Voice Integrate. Medhelp är i egenskap av vårdgivare och personuppgiftsansvarig skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för skydda personuppgifter, i det här fallet ljudinspelningar, så att obehöriga inte kan komma åt dem. Företaget har heller inte informerat de som ringer 1177 enligt de regler som finns i dataskyddsförordningen (“GDPR”) och patientdatalagen (“PDL”), som exempelvis hur deras personuppgifter kommer att behandlas och att Medhelp är personuppgiftsansvarig.

Enligt IMY har Medhelp även lagt ut vårduppdrag och personuppgiftsbehandling till det thailändska bolaget Medicall, som inte omfattas av svensk hälso- och sjukvårdslagstiftning och som heller inte omfattas av den lagreglerade tystnadsplikt som finns i vården. Det strider mot GDPR:s princip om laglighet. De konstaterade bristerna gör att IMY utfärdar en sanktionsavgift på 12 miljoner kronor mot Medhelp.

Även Voice Integrate hade som personuppgiftsbiträde en skyldighet att vidta lämpliga och tillräckliga åtgärder för att skydda ljudfilerna som hanterats på uppdrag av Medhelp. Enligt IMY ålägger GDPR skyldigheter även för personuppgiftsbiträden, alltså företag eller andra som behandlar personuppgifter på uppdrag av någon annan. En sådan skyldighet är att biträdet måste vidta lämpliga säkerhetsåtgärder för att skydda personuppgifter, vilket är särskilt viktigt när det gäller uppgifter om hälsa. IMY utfärdar därför en sanktionsavgift på 650 000 kronor mot Voice Integrate.

IMY riktar även kritik mot de tre regionerna för brister i informationen till vårdsökande som ringer 1177. IMY utfärdar en sanktionsavgift på 500 000 kronor mot Region Stockholm och 250 000 kronor för två andra regionerna, Region Sörmland och Region Värmland, bland annat på grund av att bristen på information i dessa regioner inte var lika omfattande.

Efter att incidenten uppmärksammats i massmedia tog IMY emot anmälningar om att det skett en personuppgiftsincident från flera av de inblandade aktörerna.

Enligt IMY är det enbart den personuppgiftsansvarige, i det här fallet Medhelp, som ska göra anmälan när det skett en personuppgiftsincident. Att vi tog emot flera anmälningar tyder på att det funnits en oklarhet i ansvarsförhållandet mellan de olika parterna. Tydliga ansvarsförhållanden är avgörande för att uppnå hög säkerhet enligt myndigheten.

Enligt IMY finns det flera lärdomar att dra från den här incidenten. Som personuppgiftsansvarig måste man ha koll på sina personuppgiftsbiträden och se till att de uppfyller sina åtaganden. Personuppgiftsbiträden har egna skyldigheter att leva upp till, som exempelvis att ha tillräckliga tekniska och organisatoriska säkerhetsåtgärder på plats för att skydda personuppgifter. Det är också centralt att verksamheter löpande arbetar med sitt grundläggande arbete med it-säkerhet, oavsett om man hanterar känsliga vårduppgifter eller inte.

Läs IMY:s pressmeddelande här.

Läs IMY:s rapport från granskningarna här.

Läs IMY:s beslut mot Medhelp här.

Läs IMY:s beslut mot Voice Integrate här.

Läs IMY:s beslut mot Region Stockholm här.

Läs IMY:s beslut mot Region Sörmland här.

Läs IMY:s beslut mot Region Värmland här.

Läs IMY:s beslut mot Inera här.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom AI, personlig integritet och informationssäkerhet.