Det har gått över två år sedan Computer Sweden avslöjade att 2,7 miljoner inspelade samtal till 1177 legat på en öppen server utan lösenordsskydd och okrypterade. Det enda som krävdes för att hitta dem var en ip-adress.

Nu har Integritetsskyddsmyndigheten, tidigare Datainspektionen, blivit klar med sin granskning som omfattat sex inblandade aktörer.

Tre regioner drabbade

De samtal som hamnat på servern kom från de tre regionerna Stockholm, Sörmland och Värmland.

Samtalen där kopplades då incidenten inträffade via Inera till företaget Medhelp som i sin tur anlitade ett företag i Thailand, Medicall, för att hantera samtal på nätter och helger. Medicall hade avtal med teknikföretaget Voice Integrate och det var på det företaget server som samtalen hade hamnat.

Orsaken var att en servern felkonfigurerats och därför kunde nås via internet och att den dessutom inte använde krypterad kommunikation.

Komplicerad utredning

– Det har varit en komplicerad utredning att klargöra kopplingen mellan regionerna och sjukvårdsrådgivningen via 1177 och ansvarsförhållandet mellan de olika aktörerna, säger Magnus Bergström som är it-säkerhetsspecialist på IMY och som deltagit i granskningen i en kommentar.

Men slutsatsen blir att det är Medhelp och Voice Integrate som bär ansvaret för det som hänt.

I granskningsrapporten konstaterar IMY att Medhelp inte har vidtagit de lämpliga tekniska och organisatoriska åtgärder som krävts för att hålla en lämplig säkerhetsnivå för att förhindra att obehöriga kommit åt personuppgifterna.

Även avtalet med Medicall saknade lagligt stöd eftersom det thailändska bolaget inte omfattas av hälso- och sjukvårdslagen och bestämmelser om tystnadsplikt, vårdgivning och behandling av personuppgifter om vårdsökande som ringde 1177.

Dessutom hade Medhelp inte informerat de som ringde 1177 om sin personuppgiftsbehandling förutom ett talsvarsmeddelande och heller inte säkerhetskopierat samtal till 1177 som Medhelp besvarade och spelade in.

Betala 12 miljoner kronor

Dessa brister gör att IMY beslutat att Medhelp ska betala ett vite på 12 miljoner kronor – åtta miljoner för de exponerade ljudfilerna och tre miljoner för det felaktiga avtalet med Medicall och 500 000 vardera för att inte ha gett information och inte ha säkerhetskopierat.

Men Medhelp är inte den enda inblandade aktören som ska betala sanktionsavgift.

Voice Integrate ska betala 650 000 kronor för att inte ha vidtagit lämpliga åtgärder för att skydda ljudfilerna. Region Stockholm ska betala 500 000 kronor och regionerna Sörmland och Värmland 250 000 kronor vardera för att brustit i sin information till de som ringer 1177.

Det finns flera lärdomar att dra anser Magnus Bergström.

– Som personuppgiftsansvarig måste man ha koll på sina personuppgiftsbiträden och se till att de uppfyller sina åtaganden. Personuppgiftsbiträden har egna skyldigheter att leva upp till, som exempelvis att ha tillräckliga tekniska och organisatoriska säkerhetsåtgärder på plats för att skydda personuppgifter. Det är också centralt att verksamheter löpande arbetar med sitt grundläggande arbete med it-säkerhet, oavsett om man hanterar känsliga vårduppgifter eller inte.

I granskningen konstateras att det fanns runt 2,7 miljoner filer på servern men eftersom ett samtal motsvarar i genomsnitt runt tre till fyra filer och upp till tio uppskattar IMY att antalet lagrade samtal varit mellan 650 000 och 900 000.

Läs också: 1177-läckan: Här är allt du behöver veta om it-haveriet på Vårdguiden