Den 18 februari kunde Computer Sweden avslöja att miljontals inspelade patientsamtal till 1177 Vårdguiden lagrats på en webbserver som var helt oskyddad – vem som helst med en vanlig webbläsare kunde lyssna på och till och med ladda ned ljudfiler med känsliga personuppgifter och information om olika personers hälsoproblem.
Computer Swedens chefredaktör Marcus Jerräng kallade 1177-läckan för det "värsta svenska integritetshaveriet i mannaminne".
Det stod snabbt klart att bristfällig säkerhet hos underleverantören Voice Integrate orsakat problemet, men också att flera andra aktörer förmodligen bär del av ansvaret, däribland Medicall, Medhelp och Inera, det region- och kommunägda bolag som samordnar regionernas arbetet med 1177 Vårdguiden.
Datainspektionen inledde granskning
Dagen efter Computer Swedens avslöjande meddelade Datainspektionen att de inlett en granskning av incidenten. Katarina Tullstedt, enhetschef på Datainspektionen säger till Computer Sweden att hon inte känner till något liknande fall i Sverige, någonsin. Hon tillägger att patientdata, som det handlar om i detta fall, är särskilt känsliga och viktiga att skydda.
De första reaktionerna från politiskt håll var inte helt oväntat kraftfulla:
– Jag har aldrig varit så arg under min tid i landstinget – det här ska inte kunna ske. Vi har tecknat skarpa avtal just för att det inte ska kunna ske så jag ser väldigt allvarligt på det, säger Daniel Forslund, biträdande regionråd i Stockholm till Computer Sweden.
Socialminister Lena Hallengren säger i ett skriftligt uttalande till TT att Computer Swedens uppgifter är ”allvarliga och uppseendeväckande”:
– Det är givetvis fullständigt oacceptabelt. Jag förutsätter att de berörda landstingen och regionerna agerar skyndsamt och resolut för att åtgärda de akuta problemen men också säkerställer att något liknande inte inträffar igen, säger Lena Hallengren.
Den 19 februari presenterade underleverantören Voice Integrate sin egen utredning av incidenten, något som fick Computer Swedens chefredaktör att påtala behovet av en skyndsam utredning ledd av kompetent och oberoende expertis.
Samma dag kunde Computer Sweden avslöja att 1177 Vårdguiden inte var den enda verksamhet som var indragen i läckan. På samma server hos Voice Integrate fanns även ljudfiler med andra känsliga telefonsamtal: beställningar av sjuktransporter från Prebus – ett dotterbolag till Gamla Uppsala Buss som i sin tur ägs av Region Uppsala. Uppskattningsvis handlade det om över 500 000 samtal.
Några dagar efter Computer Swedens ursprungliga avslöjande kunde Datainspektionen berätta att det hade kommit in fyra anmälningar om personuppgiftsincidenter. Anmälningarna kom från Voice Integrate Nordic, Medhelp, Medicall och Region Värmland.
En knapp vecka senare meddelade Region Stockholm att man tillsätter en oberoende utredning av 1177-läckan för att kunna undvika att liknande incidenter någonsin sker igen.
Komplex utredning
I början av mars inledde Datainspektionen sin granskning av de olika aktörerna i 1177-läckan. Myndigheten skickade inte mindre än fyra jurister och två it-säkerhetsspecialister till Voice Integrate, ett första steg i en komplex utredning som myndigheten menade kommer att vara mycket tidskrävande.
Nästa steg i Datainspektionens utredning var att undersöka verksamheten hos Inera, som sköter regionernas gemensamma system för 1177 Vårdguiden. Den 18 mars kom även beskedet om att man inlett en granskning av företaget Medhelp.
Samtidigt varnade flera säkerhetsexperter för att "1177-läckan bara är en del av ett mycket större vård-it-kaos".
– 1177-läckan har inte uppstått i ett vakuum. Det är resultatet av att man under många år fört in nya lösningar utan att bry sig om helheten, säger Fia Ewald, informationssäkerhetsexpert som tidigare arbetat med just vårdfrågor på Myndigheten för samhällsskydd och beredskap, MSB.
Första granskningen klar i juni 2019
I slutet av juni var den första granskningen av 11177-läckan klar. Som en direkt följd av denna meddelade Region Stockholm att man skulle vidta en rad åtgärder, men någon polisanmälan var fortfarande inte aktuell.
– Vi har tagit in KPMG som har tittat på ett antal frågeställningar som: Har Medhelp levt upp till kraven? Är kraven från oss rätt ställda och har Region Stockholms uppföljning varit relevant, säger Daniel Forslund (L), biträdande regionråd i Region Stockholm, till Computer Sweden.
– Eftersom polisanmälan gjordes av annan part så kände vi oss trygga med att eventuella brott kommer att utredas grundligt av både Polisen och av ansvariga tillsynsmyndigheter, säger Daniel Forslund.
Vid granskningen framkom att det finns förbättringspotential för Medhelp och för Region Stockholm. Det kom också ett antal rekommendationer från KPMG. Det handlar om att regionen behöver ha en mer specifik kravställning gentemot vårdgivarna, att avtalsuppföljningen borde vara starkare, inte minst när det gäller informationssäkerhet samt att man pekar på behovet av tydliga ledningssystem inom förvaltningen.
I juni stod det också klart att Datainspektionen skulle inleda tillsyn mot Region Stockholm, Region Sörmland och Region Värmland, som alla har anlitat företagen Medhelp och Inera. Både Medhelp och Inera var sedan tidigare föremål för tillsyn av Datainspektionen gällande 1177 Vårdguiden.
Datainspektionens tillsyn av 1177 Vårdguiden omfattar nu totalt sex aktörer: företagen Voice Integrate Nordic, Inera och MedHelp, samt Region Stockholm, Region Sörmland och Region Värmland.
Samtidigt kom även nyheten om att Polisens förundersökning mot Computer Sweden chefredaktör och ansvarige utgivare Marcus Jerräng samt reportern Lars Dobos läggs ned. De bägge journalisterna blev polisanmälda för dataintrång, anstiftan till dataintrång samt obehörigt röjande av personuppgifter av företaget Medhelp.
Detta är en uppdaterad artikel som publicerades första gången i mars 2019
Läs också: Här är alla våra artiklar om 1177-läckan
