Under 2019 blev sjukvårdsrådgivningstjänsten 1177 mycket uppmärksammad efter att det framkommit information att inspelade samtal funnits tillgängliga för alla att komma åt via nätet. IMY inledde därför en granskning av aktörer kopplade till händelsen. Det visade sig vara en svår nöt att knäcka, ett flertal verksamheter i olika länder är involverade och de hade inte koll på ansvarsrollerna, enligt GDPR, sinsemellan. Sedan en tid tillbaka är granskningen klar. I detta blogginlägg kommer vi gå igenom vad som skett och vad granskningen lett till. Det finns en hel del lärdomar i detta tillsynsärende.
Vilka påverkades?
1177 Vårdguiden används av samtliga 21 regioner i Sverige. I detta ärende var det dock endast tre av regionerna som berördes.
Region Stockholm, Sörmland och Värmland: de regioner som påverkades.
Inera AB: när ett samtal kommer till 1177 går det först till Inera som gör en kontroll av kommun-ID och sedan kopplar samtalet vidare. Medhelp AB: det företag som Inera AB kopplade samtalen till.
MediCall: ett thailändskt företag, som anlitats av Medhelp, för att ta emot inkommande samtal under nätter och helger.
Voice Integrate Nordic: hanterade bl.a. växelfunktionalitet och inspelning av samtal.
Vad var det som hände?
I februari 2019 publicerades en artikel som avslöjade att ett stort antal inspelade samtal till 1177, mellan 650 000 och 900 000 stycken, fanns lättillgängliga för vem som helst att ta del av på nätet. Med anledning av artikeln inkom ett antal anmälningar av personuppgiftsincidenter till IMY, som inledde en omfattande granskning. De inspelningar som funnits tillgängliga på internet har lagrats på en server som tillhör Voice Integrate. De samtal som berördes var de som inkommit till 1177 och som kopplats till MediCall, företaget i Thailand. Samtalen var tillgängliga via nätet på grund av en nätverksansluten lagringsenhet felkonfigurerats samt att enheten inte använde krypterad kommunikation. Det enda man behövde för att komma åt de inspelade samtalen var IP-adressen till servern.1
Vad kom IMY fram till i sin granskning?
IMY kom fram till att två av de iblandade aktörerna bar ansvaret för det inträffade, Medhelp och Voice Integrate. Medhelp var personuppgiftsansvarig, vilket innebar att det var deras ansvar att säkerställa att bland annat tekniska och organisatoriska säkerhetsåtgärder vidtagits. Det var även fel av Medhelp att anlita det thailändska företaget eftersom de inte omfattades av svensk hälso- och sjukvårdslagstiftning. Voice Integrate var personuppgiftsbiträde, men det innebar inte att företaget inte har något ansvar. Tvärtom ålägger GDPR personuppgiftsbitäden bla. en skyldighet att vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna.
IMY:s tillsyn resulterade i flera administrativa sanktionsavgifter, fördelade mellan de inblandade aktörerna enligt nedan:
Medhelp: sanktionsavgift om 12 miljoner kronor.2
Voice Integrate: sanktionsavgift om 650 000 kronor.3
Region Stockholm: sanktionsavgift om 500 000 kronor.4
Region Sörmland: sanktionsavgift om 250 000 kronor.5
Region Värmland: sanktionsavgift om 250 000 kronor.6
MediCall: tillsyn inleddes aldrig mot MediCall eftersom det är ett thailändskt bolag utan företrädare inom EU.
Inera: Ärendet avslutas utan åtgärd, då de inte var delaktiga i den personuppgiftsbehandling som MedHelp AB utför vid själva sjukvårdsrådgivningen eller för lagring av ljudfiler med inspelade samtal till 1177.7
Varför beslutade IMY sanktionsavgift och hur bestämdes avgiftens storlek?
IMY har ett antal olika möjligheter till ingripande, exempelvis kan myndigheten utfärda förelägganden eller varningar mot den personuppgiftsansvariga eller personuppgiftsbiträdet. Myndigheten kan även utfärda sanktionsavgifter och, om det är fråga om en allvarligare överträdelse.
Regionerna
IMY skriver att det inkommit flera anmälningar till myndigheten, vilket tyder på oklara förhållanden avseende vem som var personuppgiftsansvarig för behandlingen av de inspelade samtalen. Det är oerhört viktigt att det är utrett och tydligt för alla inblandade aktörer vilken roll de innehar och vilket ansvar det innebär. Regionerna är personuppgiftsansvariga för den behandling som sker när uppgifter samlas in om t.ex. telefonnummer. Region Sörmland och Värmland informerade dock inte att uppgifter samlades in, vilket strider mot principen om öppenhet samt att en registrerad har rätt till information (artikel 5 och 13 i GDPR). Region Stockholm samlade utöver t.ex. telefonnummer även in personnummer via samtalen. Region Stockholm informerade varken om insamlandet som skedde vid inringning eller insamlandet som skedde under samtalen. Detta strider mot artiklarna 5, 13 och 14 i GDPR. Kravet på information är omfattande och information har inte lämnats. Bristen har drabbat många vårdsökande. Avsaknaden av information bedömdes av IMY avsevärt ha begränsat vårdsökandes möjligheter att ta tillvara sina rättigheter. De artiklar som överträtts är sådana att sanktionsavgift kan utfärdas (artikel 83.5 GDPR). IMY bedömer att det inte rör sig om en mindre överträdelse utifrån följande faktorer:
– Bristen på information har rört ett stort antal vårdsökande.
– Bristen på information har begränsat vårdsökandes möjligheter att ta tillvara sina rättigheter.
Vid bestämmande av avgiftens storlek har IMY bl.a. tagit hänsyn till följande:
– 1177 är ofta den enda kontaktvägen för att erhålla vård.
– Bristen på information var omfattande, varaktig och rörde ett stort antal vårdsökande.
– Vårdsökande fick inte information om att ändamålet med insamlingen var att tillse att MedHelp skulle kunna ta hand om samtalen.
MedHelp
MedHelp samlade in uppgifter genom inspelning av samtal samt vårddokumentation. MedHelp behandlade dock personuppgifter i strid med bl.a. GDPR i flera avseenden. Det var nämligen hos MedHelp som de oskyddade telefonsamtalen exponerats. Genom detta hade MedHelp inte vidtagit lämpliga tekniska och organisatoriska åtgärder till skydd för personuppgifterna. MedHelp hade inte heller ett lagligt stöd för att anlita MediCall. Eftersom MediCall är en organsiatoin som befinner sig i ett tredje land (land utanför EU/EES) räcker det inte att upprätta ett personuppgiftsbiträdesavtal, utan i dessa situationer krävs det att det finns ett lagligt stöd i kapitel V GDPR för att överföring av personuppgifter ska ske på ett lagligt sätt. Vidare informerade inte heller MedHelp om den personuppgiftsbehandling som skedde. Vid anlitande av MediCall har MedHelp inte haft en rättslig grund. MedHelp har uppgett att överföringen av personuppgifter har skett med stöd av intresseavvägning, men i det nu aktuella sammanhanget är rättslig förpliktelse eller allmänt intresse de två rättsliga stöd som kan vara aktuella. MedHelp har därför anlitat MediCall utan en rättslig grund samt att MediCall inte omfattas av den tystnadsplikt som följer av svensk lag, eftersom MediCall är baserat i Thailand.
MedHelps ansvar omfattar även den lagring som skett i Voice Integrate. MedHelp har uppgett att företaget inte kände till att personuppgifterna lagrats oskyddade. IMY konstaterar i beslutet att MedHelp agerat först efter incidenten och att MedHelp saknat tillräcklig förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft i system och tjänster. Det har berört många registrerade och ett stort antal personuppgifter, som dessutom varit känsliga och skyddade av tystnadsplikt. Enligt IMY har MeHelp därför inte skyddat personuppgifterna mot obehörigt röjande eller obehörig åtkomst. MedHelp har inte vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder i förhållande till de aktuella personuppgifterna.
Totalt konstaterades alltså fyra överträdelser som var och en gav anledning till utfärdande av sanktionsavgifter mot MedHelp.
1. Exponerandet av personuppgifter genom ljudfiler med inspelade telefonsamtal till 1177, utan skydd mot obehörig åtkomst vilket strider mot artikel 5.1 f GDPR.
2. Utlämnandet av känsliga personuppgifter till MediCall utan korrekt rättslig grund i strid med artiklarna 6 och 9.1 GDPR.
3. Bristande information om behandlingen till registrerade som kontaktat 1177 i strid med artikel 5.1 a och 13 GDPR.
4. Bristande säkerhetsåtgärder i samband med behandlingen genom att MedHelp inte säkerhetskopierat vårddokumentationen som utgjorts av ljudfilerna med samtalen till 1177 i strid med artikel 5.1 f och artikel 32.1 GDPR.
Voice Integrate (Voice)
Voice är ett utvecklingsbolag som tar fram programvara och levererade samtal till MediCall via sin växleltjänst. Voice har uppgett att de varken var personuppgiftsansvariga eller personupppgiftsbträde för aktuell personuppgiftsbehandling. Det är dock de faktiska omständigheterna som avgör hur de olika ansvarsrollerna ska tolkas och fördelas. IMY bedömer att Voice behandlat personuppgifter för MedHelps räkning, vilket gör Voice till personuppgiftsbiträde. Bedömningen baserades bl.a. på att Voice behandlat inspelade samtal från enskilda som ringt till 1177. De inspelade ljudfilerna som exponerats lagrades vid tillfället i lagringsservern Voice NAS. Voice hade därmed underlåtit att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder till skydd för personuppgifterna. Det rör sig om ett mycket stort antal samtal och samtalen rör sjukvårdsrådgivning, vilket innebär att känsliga personuppgifter med stor sannolikhet behandlats. Känsliga personuppgifter ställer extra höga krav på säkerheten, särskilt när de lämnas i ett förtroligt sammanhang som i detta fall. Voice har inte skyddat personuppgifterna mot behörigt röjande eller obehörig åtkomst. Det är mot denna bakgrund inte fråga om en mindre överträdelse och sanktionsavgift ska därför påföras.
Vid bedömningen av sanktionsavgiftens storlek beaktas särskilt:
– Att det rör sig om känsliga personuppgifter, dessutom i stor omfattning.
– Att det rör sig om en förtroendefull kontakt med sjukvården.
– Att det ställs höga krav på säkerhet i aktuellt fall.
– Att Voice inte kände till att personuppgifter blivit nåbara helt utan skyddsmekanismer.
– Bolagets årsomsättning.
IMY skriver vidare att det inte påverkar bedömningen av allvarlighetsgraden, att Voice agerat omgående efter att de fått kännedom om personuppgiftsincidenten. Notera särskilt att Voice enbart är personuppgiftsbiträde för den aktuella behandlingen, vilket inte hindrar att sanktionsavgift utfärdas.
Avslutande kommentarer
Det här blogginlägget har redogjort för vad som hände och vilka aktörer som var inblandade i 1177-incidenten. Sammanfattningsvis kan konstateras att incidenten innebar ett enormt misslyckande både vad gäller patientsäkerhet och skydd för den personliga integriteten. Samtidigt åskådliggjordes också flera viktiga aspekter ur ett GDPR-perspektiv. Behandling av känsliga personuppgifter, informationsskyldighet, tekniska säkerhetsåtgärder och överföring av personuppgifter till tredje land.
Incidenten förde med sig ett antal lärdomar vad gäller efterlevnaden av GDPR. När man som personuppgiftsansvarig anlitar ett personuppgiftsbiträde är det viktigt att i så stor utsträckning som möjligt säkerställa att biträdet faktiskt uppfyller sina åtaganden. Ett sätt att göra detta är genom ett detaljerat personuppgiftsbiträdesavtal samt kontinuerlig kontroll. Misstänker man som personuppgiftsansvarig att ett biträde brister i sina åtaganden bör man kontakta biträdet, alternativt överväga att genomföra en granskning, viket ska regleras i personuppgiftsbiträdesavtalet. Som personuppgiftsbiträde har man ett ansvar att leva upp till de åtaganden man förbundit sig till genom personuppgiftsbiträdesavtalet. Genom IMY:s beslut kring 1177-incidenten påvisas igen vikten av att säkerställa och kontrollera det grundläggande arbetet med it-säkerhet, som utgör en del av GDPR-arbetet.
Har du inom din organisation frågor om hur ni ska nästa steg inom ert GDPR-arbete. Tveka inte att kontakta oss!
Fotnoter
- https://www.imy.se/nyheter/granskning-klar-av-1177-incident/
- https://www.imy.se/globalassets/dokument/beslut/2021/2021-06-07-beslut-medhelp.pdf
- https://www.imy.se/globalassets/dokument/beslut/2021/2021-06-07-beslut-voice-integrate.pdf
- https://www.imy.se/globalassets/dokument/beslut/2021/2021-06-07-beslut-region-stockholm.pdf
- https://www.imy.se/globalassets/dokument/beslut/2021/2021-06-07-beslut-region-sormland.pdf
- https://www.imy.se/globalassets/dokument/beslut/2021/2021-06-07-beslut-region-varmland.pdf
- https://www.imy.se/globalassets/dokument/beslut/2021/2021-06-07-beslut-inera.pdf
