I går tog Region Stockholm emot en första analys från leverantören Medhelp av hur 2,7 miljoner samtal till 1177 kunnat hamna helt öppet på internet. Parallellt gör också regionen sin egen analys där man bland annat tittar på avtalet och hur kraven på informationssäkerhet är formulerade.

– När det är så här allvarliga incidenter vill vi göra en ordentlig genomlysning för att undvika att det någonsin sker igen, säger Daniel Forslund, L, biträdande regionråd.

Men man nöjer sig inte med att enbart göra analysen internt utan hälso- och sjukvårdsnämndens ordförande Anna Starbrink, L, har i dag gett hälso- och sjukvårdsförvaltningen i uppdrag att ta in extern expertis för att göra en oberoende utredning.

– Vi vill få en granskning av Medhelps agerande – om de följt lagar och avtal. Men också att det granskas om vi ställt de krav vi borde. Vår preliminära analys är att våra avtalskrav är extremt skarpa men att de inte efterlevts, men vi vill få en extern bild av det, säger Daniel Forslund.

Daniel Forslund
Foto: Magnus FröderbergDaniel Forslund, L.

Dessutom ska en oberoende expert titta på hur man ska kunna skärpa processerna för uppföljning.

– Det är lika viktigt att vi har processer för att avtalen verkligen efterlevs.

När Computer Sweden tittat närmare på ägarförhållandena har vi sett att det finns starka personkopplingar i leverantörskedjan. Exempelvis att den person som var styrelseordförande i Medhelp när avtalet med er tecknades är samma person som i dag äger och företräder leverantören Voice Integrate, där den aktuella servern stod. Är sådant något ni kommer att titta på i er genomlysning? 

– Absolut. Det är viktigt att titta på de komplexa kedjorna av aktörer för att få en bild av den samlade informationshanteringen och där är personbindningar en del. Det måste också vara avtalsmässigt tydligt hur det fungerar i alla led.

Exakt hur lång tid en oberoende expert ska få är inte bestämt, konstaterar Daniel Forslund – det viktiga är att arbetet görs noggrant. Arbetet ska starta omgående, under de närmaste dagarna.

Dagen efter att läckan avslöjades talade Daniel Forslund om att snabbt få fram vilka som drabbats av den och att de skulle kontaktas personligen. Men ännu har man inte fått klarhet i det.

– Den analysen pågår fortfarande. Enligt Medhelp så har ljudfiler öppnats i 55 fall men det vill vi dubbelkolla och granska ytterligare. Det behövs också en analys för att fastställa exakt hur länge det varit tillgängligt.

Ni erbjöd er tekniska expertis till Medhelp för att stötta och skynda på deras utredning – använde de sig av den?

– Nej, de bekräftade att de fått erbjudandet, men de gjorde sin utredning med hjälp av egna anlitade experter istället.

Ännu har Region Stockholm inte tagit ställning till om Medhelp ska polisanmälas.

– Det var först igår som vi fick det fullständiga materialet från Medhelp och nu gör vi vår egen analys för att se om det finns något som kan föranleda polisanmälan. Vi vill ha alla fakta – men en anmälan är fortfarande på bordet, säger Daniel Forslund.

Kan avtalet med Medhelp komma att avslutas?

– Vi har inte stängt den möjligheten. Jag ska vara ärlig med att vårt förtroende är skadat. Vi tar det här på stort allvar och för att fortsätta anlita en sådan leverantör måste de kunna säkerställa att det här inte kan ske igen och att deras förklaringar till att det skett är starka nog.

Samtidigt ser Daniel Forslund att det arbete som Region Stockholm nu genomför kan bidra till att höja kompetensnivån kring informationssäkerhet generellt hos vårdgivare och ute i samhället.

– Samhällets kunskap om informationssäkerhet och dataskydd är ganska bristfällig. Som största region har vi ett ansvar för att nu bygga ny kunskap och ny praxis. Och det här är sådant som jag har för avsikt att växla upp till frågor för SKL och Inera så att vi kan dra nytta av det lärande som kommer fram.

Hur ser du på att Datainspektionen inte självklart pekar på Medhelp som ansvarig vårdgivare enligt GDPR?

– Från vår sida ser vi det som väldigt tydligt utformat i lagen att patientrelationen är med den vårdgivare man ringer. Jag vet inte varför Datainspektionen säger så.

Daniel Forslund gör också tydligt att alla patienter måste tillförsäkras en trygg vård.

– Det man säger i förtroende i vården ska stanna där. Nu gäller det att utarbeta rutiner för att skärpa regelefterlevnaden. Alla tänkbara kryphål måste tätas så att det inte kan ske igen.

Även om Region Stockholm inte tagit beslut om att polisanmäla Medhelp så har det kommit in en polisanmälan från annat håll om brott mot tystnadsplikten.

– Det har inletts en förundersökning för brott mot tystnadsplikt, säger Daniel Axelsson, chef för grova brott vid polisen i Östergötland till Dagens Nyheter.

Läs också: 
”Det krävs en helt oberoende utredning av 1177-läckan – och det omgående”
”Värsta svenska integritetshaveriet i mannaminne”