Computer Sweden kan i dag avslöja ett av de största haverierna någonsin när det kommer till svensk patientsäkerhet och personlig integritet. På en öppen webbserver, helt utan lösenordsskydd eller annan säkerhet, har vi hittat 2,7 miljoner inspelade samtal till rådgivningsnumret 1177. Samtalen sträcker sig tillbaka till 2013 och det handlar om 170 000 timmar av känsliga samtal som vem som helst har kunnat ladda ner eller lyssna på.
Computer Sweden har lyssnat på några av samtalen för att bilda oss en uppfattning om omfattningen av läckan och skadan för allmänheten. Samtalen innehåller känsliga uppgifter om sjukdomar och andra krämpor som de vårdbehövande ber att få rådgivning om. De som ringer berättar förstås om sina symptom, om vilka mediciner de tar eller om tidigare behandlingar. I många fall uppger de inringande sina personnummer.
Här kommer Computer Swedens reporter åt samtalen på servern:
Det är också mycket vanligt att de vårdsökande ringer angående sina barn eller andra anhöriga. De uppger på samma sätt barnens symptom och uppger barnens personnummer samt frågar om hur de ska gå vidare med eventuell vård.
En del av ljudfilerna har dessutom märkts med inringarens telefonnummer i filnamnet. 57 000 svenska telefonnummer förekommer i databasen.
Att samtalen spelas in är i sig tillåtet, det kan vara nödvändigt för patientens säkerhet, eller för att kunna beivra missbruk, men de sparade ljudfilerna ska behandlas med sekretess enligt patientdatalagen. Det är även helt klart frågan om information som räknas som känsliga personuppgifter enligt GDPR.
När en person vill få rådgivning via 1177 Vårdguiden per telefon, kopplas samtalen antingen till vårdregionens egna anställda sjuksköterskor, vilket sker i de flesta vårdregioner, eller så kopplas de till de företag som är entreprenörer åt de sjukvårdsregioner som låter entreprenörer ta hand om rådgivningen.
Samtalen som legat öppet på internet har ringts till företaget Medicall som har sitt säte i Hua Hin i Thailand. Medicall är en underleverantör till vårdentreprenören Medhelp som tar emot patientsamtal via 1177 Vårdguiden från vårdregionerna i Stockholm, Södermanland och Värmland.
Det är främst under obekväma tider som samtalen skickas vidare till underleverantören Medicall i Thailand, där svensk vårdpersonal arbetar med att ta emot samtalen. Företaget är registrerat som MediCall (Sweden) Co. Ltd i Thailand, men har svenska ägare.
– Vi har kollat upp detta med vår it, och det du säger är helt omöjligt, säger Davide Nyblom, vd på Medicall.
Men jag har ju filerna framför mig nu?
– Jag har kollat med vår it och det kan inte hända.
Vill du att jag ska spela upp en fil?
Här lägger Davide Nyblom på luren.
Medicall använder Biz 2.0, ett molnbaserat callcenter-system som levereras av det svenska företaget Voice Integrate Nordic AB. Samtalen har sparats på Voice Integrate Nordics lagringsserver på ip-adressen http://188.92.248.19:443/medicall/. Tcp-port 443 indikerar att förbindelsen går över https, men sessionen är inte krypterad.
Lagringsenheten är en nas på url:en nas.applion.se (Applion AB är ett systerbolag till Voice Integrate Nordic).
Det har inte behövts något lösenord för att komma åt Medicalls katalog eller ljudfilerna; de har legat helt öppna. Allt som behövts är en webbläsare och kännedom om ip-adressen.
– Detta är katastrofalt, det är ju känsliga uppgifter. Vi hade ingen aning om att det låg till så här. Vi ska naturligtvis se över våra system och kolla upp vad som kan ha hänt, säger Tommy Ekström, vd på Voice Integrate Nordic.
– Det är inte så enkelt i dag att man bara har en server med allting på, det är ett enda jox med en massa involverade, massa olika delar utanför vårt eget företag. Vi använder Applion för att de har så bra certifikathantering. Men vi måste naturligtvis se över alla delar och se vad som har hänt.
– Menar du att det inte finns ett användarnamn och lösenord på servern?
Nej, det är vidöppet. Allt som behövs är ip-adressen och en webbläsare.
– Det är ju bedrövligt, så här ska det inte vara, säger Tommy Ekström.
Som ett resultat av vår granskning är åtkomsten till lagringsenheten nu stängd, men Computer Sweden har under granskningen kunnat komma åt samtliga samtal, i form av mp3- eller wav-filer, ända tillbaka till 2013, och i princip i realtid för de senaste samtalen. Så fort ett samtal avslutats har motsvarande fil funnits att spela upp direkt i en webbläsare eller, om man så vill, för nedladdning.
Computer Sweden har sökt Inera, som samordnar regionernas arbete med 1177 och står bakom varumärket, och Medhelp för en kommentar.
Inera har lagt ut en skriftlig kommentar på sin webbsida:
"1177 Vårdguiden på telefon svarar på hälso- och vårdfrågor från allmänheten. Varje region ansvarar för driften av tjänsten 1177 Vårdguiden på telefon och Inera ansvarar för samordning, medicinska beslutsunderlag och varumärket. För 18 av de 21 regionerna levererar Inera även telefoni- och journalsystem.
Samtalen till 1177 Vårdguiden på telefon spelas in för att ha möjlighet att gå tillbaka och kvalitetssäkra samtalen.
En säkerhetslucka har upptäckts och åtgärdats hos den underleverantör som anlitats i de tre regioner som inte använder Ineras telefoni- och journalsystem, Stockholm, Värmland och Sörmland. Inera har inte avtal med berörd underleverantör.
Inera tar detta på mycket stort allvar och arbetar tillsammans med de tre berörda regionerna och underleverantörer för att analysera problemet och säkerställa att det är åtgärdat."
I en tidigare version av artikeln stod att Medhelp har ett avtal med Inera. Rätt ska vara att Medhelp har ett avtal med de tre berörda regionerna.
Läs också:
1177-läckan: Här är allt du behöver veta om it-haveriet på Vårdguiden
”Värsta svenska integritetshaveriet i mannaminne”
It-haverierna avlöser varandra – är det så vi ska ha det nu?
Användbarhetsexpert: ”Det är komplexa miljöer som leder till it-haverier”
