Publicerad 8 juni 2021 kl 14.06
Inrikes. Medhelp påförs 12 miljoner kronor i sanktionsavgift för brott mot GDPR efter att samtal till 1177 Vårdguiden legat tillgängliga på internet för vem som helst att ladda ned. Det har Integritetsskyddsmyndigheten (IMY) beslutat.
Gilla artikeln på Facebook
Det var Computer Sweden som år 2019 avslöjade att 2,7 miljoner inspelade samtal till 1177 Vårdguiden låg tillgängliga på nätet utan lösenordsskydd. Vissa filer hade inringarens telefonnummer i filnamnet.
Medhelp hade i sin tur anlitat det thailändska företaget Medicall Co Ltd för att hantera samtal till 1177 som skedde på helger och nätter. Medhelp och Medicall hade avtal med teknikföretaget Voice Integrate Nordic AB för bland annat växelfunktionalitet och inspelning av samtal. Det är inspelningar av samtal till 1177 som kopplats till företaget i Thailand som legat tillgängliga på internet på en lagringsserver hos Voice Integrate.
– Det har varit en komplicerad utredning att klargöra kopplingen mellan regionerna och sjukvårdsrådgivningen via 1177 och ansvarsförhållandet mellan de olika aktörerna, säger Magnus Bergström som är it-säkerhetsspecialist på IMY och som deltagit i granskningen, i ett pressmeddelande.
Läckan ledde till en rad ärenden hos dåvarande Datainspektionen och har nu lett till ett beslut.
De konstaterade bristerna gör att IMY utfärdar en sanktionsavgift på 12 miljoner kronor mot Medhelp.
Även Voice Integrate hade som personuppgiftsbiträde en skyldighet att vidta lämpliga och tillräckliga åtgärder för att skydda ljudfilerna som hanterats på uppdrag av Medhelp.
– Dataskyddsförordningen, GDPR, ålägger skyldigheter även för personuppgiftsbiträden, alltså företag eller andra som behandlar personuppgifter på uppdrag av någon annan. En sådan skyldighet är att biträdet måste vidta lämpliga säkerhetsåtgärder för att skydda personuppgifter, vilket är särskilt viktigt när det gäller uppgifter om hälsa.
IMY utfärdar därför en sanktionsavgift på 650.000 kronor mot Voice Integrate.
Myndigheten riktar även kritik mot de tre regionerna för brister i informationen till vårdsökande som ringer 1177. IMY utfärdar en sanktionsavgift på 500.000 kronor mot Region Stockholm och 250.000 kronor för de två andra regionerna, bland annat på grund av att bristen på information i dessa regioner inte var lika omfattande.