Inrikes

Största haveriet kring medicinska handlingar i svensk historia

Integritetshaveriet hos Vårdguiden 1177 är det största haveriet kring medicinska handlingar i svensk sjukvårdshistoria.
Kalle Wadin Wesslén
Publicerad i
#129
Lästid 4 min

Närmare tre miljoner inspelade samtal hos Vårdguiden 1177 har legat fritt tillgängliga för vem som helst på nätet. Det rör sig om totalt 2,7 miljoner samtal från landstingen/regionerna i Stockholm, Södermanland och Värmland från 2013 fram till avslöjandet i februari i år.

Vem som helst har under dessa sex års tid kunnat lyssna igenom dessa samtal och kunnat se vilka telefonnummer de har ringts in ifrån. Tidningen Computer Sweden, som ligger bakom avslöjandet, rapporterar att det rör sig om 170 000 timmar av inspelade samtal som legat ute på en helt öppen webbserver där det varken krävts lösenord eller någon form av användarkonto för att komma åt ljudfilerna.

Medicinsk dokumentation tillhör den högsta nivån av sekretesshandlingar och det här är det största haveriet kring medicinska handlingar i svensk sjukvårdshistoria. I samtalen berättar folk om sina symptom, olika former av medicinering och sin tidigare sjukdomshistorik. Folk har ringt in antingen för egen del eller för olika anhöriga, exempelvis minderåriga barn.

Alla svenska landsting eller vårdregioner använder sig av Vårdguiden 1177 på ett eller annat sätt. I de flesta fall får den som ringer in prata med den egenanställda sjukvårdspersonalen, men vissa regioner har valt att lämna vidare sjukvårdsrådgivningen åt privata företag. Det är det sistnämnda som är fallet här. Regionerna Stockholm, Södermanland och Värmland har anlitat företaget Medhelp, som i sin tur har lämnat uppdraget till underleverantören Medicall som är baserat i Thailand under svenska ägare. Det är inte samtliga samtal som kopplas vidare dit, men ofta när det är obekväm arbetstid i Sverige och normal arbetstid i Thailand (sannolikt ett sätt att spara pengar). Medicall använder i sin tur en molntjänst utvecklad av företaget Voice Integrate Nordic AB, och det är detta företag som haft den helt öppna lagringsservern som materialet har legat fritt tillgängligt på fram till helt nyligen.

Foto: Vårdguiden.se (CC BY 2.0)

Reaktionerna från de olika aktörerna i denna härva har varierat från förnekelse till polisanmälan. När Computer Sweden beskriver sina fynd för Medicalls VD Davide Nyblom säger han att den uppkomna situationen helt enkelt inte kan vara möjlig! Inte heller VD:n för Voice Integrate Nordic har sagt sig ha haft någon aning om läget. Kort efter avslöjandet stängdes lagringsenheten för allmänheten. Men detta alltså efter att ha varit helt öppen i sex års tid.

Företaget Medhelp har valt att gå på offensiven och polisanmält tidningen Computer Sweden, som avslöjade integritetshaveriet, för att dessa i sin granskning har tagit del av sekretesshandlingar utan att ha haft behörighet till det. Medhelp har anmält alla anställda hos Computer Sweden som har varit inblandade i avslöjandet och artiklarna kring detta för dataintrång, anstiftan till dataintrång och obehörigt röjande av personuppgifter.

Medhelp har allvarligt brustit mot sitt ansvar och gjort det extremt lättillgängligt för vem som helst att komma åt information som dels borde vara säkrad av stark kryptering, dels inte borde gå att komma åt via nätet överhuvudtaget. Att företaget nu dessutom ”skjuter budbäraren” genom att försöka polisanmäla tidningen Computer Sweden för att de avslöjade detta monumentala integritetshaveri är helt häpnadsväckande.

Det tyngsta ansvaret för det inträffade vilar dock på de styrande politikerna i de tre aktuella regionerna. Haveriet inom Vårdguiden 1177 liknar de tidigare skandalerna inom Transportstyrelsen, Rikspolisstyrelsen och Fortifikationsverket. Överallt har politikernas iver att lägga ut verksamhet på entreprenad till privata företag kombinerats med en övertro på digitaliseringens möjligheter. Till detta ska läggas ett djupt bristande säkerhetstänkande.

Politikerna i Region Stockholm har nu valt att dra igång en extern granskning kring haveriet. Regionen har uttalat att det är viktigt att återställa allmänhetens förtroende för Vårdguiden och vill nu göra vad som går för att säkra att någonting liknande aldrig inträffar igen. Den externa granskaren ska utreda samtliga inblandade parters roller och ansvar, både regionen och de företag som dessa i sin tur har anlitat. Uppsala läns landsting, som samarbetar med företaget Voice Integrate Nordic i andra sammanhang, vill nu så snabbt som möjligt försöka fasa ut sin samverkan med företaget.

Dessa åtgärder är naturligtvis bra för stunden. Men i grunden krävs det en förändring av attityderna till digitalisering inom offentlig verksamhet. Styrande politiker måste i vissa lägen ta ansvar och säga nej till digitalisering. Vissa saker – som samtal till sjukvårdsupplysningen eller journaluppgifter – ska helt enkelt inte gå att komma åt via nätet, oavsett hur ”bekvämt” detta kan vara för inblandade parter.