Den 18 februari kunde Computer Sweden avslöja att miljontals inspelade patientsamtal till 1177 Vårdguiden lagrats på en webbserver som var helt oskyddad – vem som helst med en vanlig webbläsare kunde lyssna på och till och med ladda ned ljudfiler med känsliga personuppgifter och information om olika personers hälsoproblem.

Computer Swedens chefredaktör Marcus Jerräng kallade 1177-läckan för det "värsta svenska integritetshaveriet i mannaminne".

Det stod snabbt klart att bristfällig säkerhet hos underleverantören Voice Integrate orsakat problemet, men också att flera andra aktörer förmodligen bär del av ansvaret, däribland Medicall, Medhelp och Inera, det region- och kommunägda bolag som samordnar regionernas arbetet med 1177 Vårdguiden.

Datainspektionen inledde granskning

Dagen efter Computer Swedens avslöjande meddelade Datainspektionen att de inlett en granskning av incidenten. Katarina Tullstedt, enhetschef på Datainspektionen säger till Computer Sweden att hon inte känner till något liknande fall i Sverige, någonsin. Hon tillägger att patientdata, som det handlar om i detta fall, är särskilt känsliga och viktiga att skydda.

De första reaktionerna från politiskt håll var inte helt oväntat kraftfulla:

– Jag har aldrig varit så arg under min tid i landstinget – det här ska inte kunna ske. Vi har tecknat skarpa avtal just för att det inte ska kunna ske så jag ser väldigt allvarligt på det, säger Daniel Forslund, biträdande regionråd i Stockholm till Computer Sweden.

Socialminister Lena Hallengren säger i ett skriftligt uttalande till TT att Computer Swedens uppgifter är ”allvarliga och uppseendeväckande”:

Lena Hallengren
Foto: Björn NordqvistLena Hallengren, socialminister.

– Det är givetvis fullständigt oacceptabelt. Jag förutsätter att de berörda landstingen och regionerna agerar skyndsamt och resolut för att åtgärda de akuta problemen men också säkerställer att något liknande inte inträffar igen, säger Lena Hallengren.

Den 19 februari presenterade underleverantören Voice Integrate sin egen utredning av incidenten, något som fick Computer Swedens chefredaktör att påtala behovet av en skyndsam utredning ledd av kompetent och oberoende expertis.

Samma dag kunde Computer Sweden avslöja att 1177 Vårdguiden inte var den enda verksamhet som var indragen i läckan. På samma server hos Voice Integrate fanns även ljudfiler med andra känsliga telefonsamtal: beställningar av sjuktransporter från Prebus – ett dotterbolag till Gamla Uppsala Buss som i sin tur ägs av Region Uppsala. Uppskattningsvis handlade det om över 500 000 samtal.

Några dagar efter Computer Swedens ursprungliga avslöjande kunde Datainspektionen berätta att det hade kommit in fyra anmälningar om personuppgiftsincidenter. Anmälningarna kom från Voice Integrate Nordic, Medhelp, Medicall och Region Värmland.

En knapp vecka senare meddelade Region Stockholm att man tillsätter en oberoende utredning av 1177-läckan för att kunna undvika att liknande incidenter någonsin sker igen.

Komplex utredning

I början av mars inledde Datainspektionen sin granskning av de olika aktörerna i 1177-läckan. Myndigheten skickade inte mindre än fyra jurister och två it-säkerhetsspecialister till Voice Integrate, ett första steg i en komplex utredning som myndigheten menade kommer att vara mycket tidskrävande.

Nästa steg i Datainspektionens utredning var att undersöka verksamheten hos Inera, som sköter regionernas gemensamma system för 1177 Vårdguiden. Den 18 mars kom även beskedet om att man inlett en granskning av företaget Medhelp.

Samtidigt varnade flera säkerhetsexperter för att "1177-läckan bara är en del av ett mycket större vård-it-kaos".

– 1177-läckan har inte uppstått i ett vakuum. Det är resultatet av att man under många år fört in nya lösningar utan att bry sig om helheten, säger Fia Ewald, informationssäkerhetsexpert som tidigare arbetat med just vårdfrågor på Myndigheten för samhällsskydd och beredskap, MSB.

Läs också: Här är alla våra artiklar om 1177-läckan