1177-läckan

Redan i februari uppdagades det som kanske skakade vård-Sverige mest under 2019 när Computer Sweden kunde avslöja att miljontals inspelade patientsamtal till 1177 Vårdguiden sedan 2013 lagrats på en webbserver som var helt oskyddad.

Ljudfiler med samtal från människor som ringt vården för att få råd kunde laddas ner eller avlyssnas av vem som helst med en webbläsare. Ett haveri som snabbt fick namnet 1177-läckan och som av CS chefredaktör Marcus Jerräng kallades ”det värsta integritetshaveriet i mannaminne”.

Lagringen av samtalen skedde i en intrikat kedja där leverantören Medhelp ansvarat för att ta emot patientsamtal via 1177 Vårdguiden från vårdregionerna i Stockholm, Södermanland och Värmland.

Medhelp har i sin tur anlitat företaget Medicall i Thailand där det suttit svensk personal och tagit emot samtalen. Och Medicall har i nästa led använt sig av företaget Voice Integrate för att lagra samtalet och det är på deras server som samtalen lagrats. Det har inte funnits något lösenord för att komma åt servern och samtalen har varit okrypterade.

Även ett antal känsliga inspelningar av beställningar av sjuktransporter låg på samma oskyddade server. I det fallet spelade Voice Integrate in samtalen utan att kunden – Prebus som sköter beställningar för Region Uppsala – visste om det.

Ännu är efterspelet inte klart. Men Datainspektionen öppnade snabbt en granskning och startade tillsyn mot de inblandade regionerna, Medhelp, och Voice Integrate och även Inera som ansvarar för Vårdguiden 1177. Som ett första steg skickades inte mindre än fyra jurister och två it-säkerhetsspecialister till Voice Integrate.

Region Stockholm drog igång en oberoende utredning efter skandalen som blev klar i början av sommaren. Resultatet av den blev en åtgärdsplan men ingen polisanmälan.

E-legitimationsprojekt som kraschade

Redan i slutet av 2018 stod det klart att arbetet med att ta fram en ny stadardiserad tjänstelegitimation för offentlig sektor inte gick som planerat. Då stoppade nämligen landstingsägda Inera som utvecklar gemensamma digitala lösningar för vården projektet med namnet Efos, e-identitet i offentlig sektor.

Enligt Inera höll den tekniska plattformen inte den kvalitet som krävdes.

Projektet drevs tillsammans med Försäkringskassan men i januari blåstes de båda av samarbetet.

Inera valde att i stället gå vidare med att föra in arbetet från Efos i den befintliga identifieringstjänsten Siths och under hösten har man arbetat med att kontinuitetssäkra den tjänsten.

Försenade och osäkra miljardprojekt

Just nu pågår flera enorma systembyten i den svenska vården. Och kanske inte helt otippat när det handlar om så gigantiska projekt så går inte allt helt enligt plan.

Bara veckan före jul – just inför att utvärderingen av de inkomna buden skulle påbörjas – avbröt Region Stockholm sin upphandling. Orsaken var att det kommit in för få korrekta anbud. Planen nu är att komma igång med en ny upphandling så snart som möjligt. Hur mycket hela projektet försenas är oklart men it-direktör Stefan Schildt räknar med att det rör sig om mellan tre och sex månader.

I juli meddelade Region Skåne att tidplanen inte höll. Tanken var att systemet Millennium från Cerner skulle börja rullas ut i november 2020 men det klarar man inte. Hur det påverkar resten av utrullningen är dock oklart.

Några månader senare var det dags för Västra Götalandsregionen som ska införa samma system att skjuta upp även sin driftstart efter att leverantören Cerner meddelat att de behövde ytterligare sju månader på sig att utveckla systemet så att det klarade den svenska patientdatalagen. Inte heller där är det säkert hur förseningen påverkar resten av tidplanen.

Nyligen kunde CS avslöja att det också ringer varningsklockor vad gäller hanteringen av patientdata i samband med att det nya systemet införs i Region Skåne. I en intern rapport pekas flera risker ut kopplade till överföringen av patientdata till en extern leverantör.

Bland annat är rutinerna för riskanalys för dåliga och det finns oklarheter kring hur en del villkor i upphandlingen ska tolkas. Dessutom finns det brister i organisationens kultur som kan bidra till en tystnadskultur där oro ventileras i korridorerna enligt rapporten.

Det hela kompliceras ytterligare av den osäkerhet som gäller runt amerikanska leverantörer och om det går att lämna över känsliga uppgifter till dem med tanke på att de enligt amerikansk lag kan tvingas överlämna information till de amerikanska myndigheterna.

Och där har CS också tagit del av ett mejl där den amerikanska leverantören Cerner ber att få ta del av region Skånes finansiella data och persondata för de nära 1,4 miljoner invånare som bor i Skåne för bearbetning hos Cerner i nio olika länder. En begäran som Region Skåne dock ska ha sagt nej till.

Epidemi av kraschade diskar

I augusti började en epidemi så smått grassera i Västra Götlandsregionen och i början av november var den så omfattande att NU-sjukvården, som omfattar Norra Älvsborgs Länssjukhus i Trollhättan och Uddevalla sjukhus gick upp i stabsläge – det vill säga höjde sin beredskap och satte in alla tillgängliga resurser för att lösa problemen.

Och problemen var att diskar i en specifik datormodell, HP Elite Disk, till synes oförklarligt började krascha. En modell som VGR har 17 000 exemplar av.

Första veckan i november kraschade 900 diskar och it-avdelningen VGR IT arbetade för fullt tillsammans med leverantören Atea för att byta ut diskarna men i slutet av veckan hade man en backlogg på 400 obytta diskar.

Vad som har inträffat är ännu oklart men enligt uppgift till CS är det troligen kopplat till ett fel i ssd:er som installerats i flera flera server- och lagringssystem från Hewlett Packard Enterprise, HPE.

Det handlar om ett fel i den inbyggda mjukvaran som gör att diskarna kraschar efter en exakt drifttid på 32 768 timmar, motsvarande tre år 270 dagar och åtta timmar.

Datorerna i VGR kommer visserligen från HP Inc som inte längre är samma bolag som HPE men enligt en källa så är det sannolikt samma tillverkare bakom SSD:erna i bägge fallen.