Hanteringen av uppgifter hos 1177 Vårdguiden

En stor mängd inspelade telefonsamtal hos 1177 Vårdguiden innehållande känsliga personuppgifter om enskildas hälsa har legat oskyddade på Internet. Hanteringen av uppgifterna ger upphov till ett flertal juridiska frågeställningar.  

Bakgrund

1177 Vårdguiden är en samlingsplats för hela Sverige för information och tjänster inom hälsa och sjukvård. Bakom 1177 Vårdguiden står den svenska sjukvården genom alla landsting och regioner i samverkan.

För att ta emot samtalen via 1177 Vårdguiden från vårdregionerna i Stockholm, Södermanland och Värmland anlitas Medhelp AB, som är ett dotterbolag till det finska bolaget Medhelp Group Oy. Medhelp AB har i sin tur anlitat det thailändska företaget Medicall, som har besvarat de nu aktuella telefonsamtalen.

Under februari 2019 offentliggjorde Computer Sweden i några olika artiklar att cirka 2,7 miljoner inspelade telefonsamtal sedan 2013 tagits emot och spelats in av underleverantören Medicall i Thailand. Samtalen har varit tillgängliga som ljudfiler på en oskyddad webbserver utan lösenordsskydd. Samtalen innehåller uppgifter om sjukdomar, symptom, mediciner och tidigare behandlingar och i flera fall finns även uppgift om personnummer jämte uppringarens telefonnummer.

Datainspektionen har inlett en granskning av händelsen.

Rättsliga förutsättningar

Händelsen aktualiserar bedömningar utifrån ett flertal olika regelverk. 

Eftersom det är fråga om behandling av personuppgifter omfattas händelsen av dataskyddsförordning (GDPR). Även dataskyddslagen blir aktuell. Därtill omfattas behandlingen av patientdatalagen som kompletterar GDPR. Därutöver berörs vissa sekretessbestämmelser i offentlighets- och sekretesslagen och kan därför komma att beröra straffrättsliga frågor, exempelvis om brott mot tystnadsplikt enligt brottsbalken. Behandlingen kan dessutom sortera under lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

Analys, slutsatser och avslutning

Hanteringen av de inspelade telefonsamtalen och uppgifterna omfattas av de olika skyldigheterna i dataskyddsförordningen, dataskyddslagen och patientdatalagen. Det är fråga om behandling av känsliga personuppgifter som pågått under en lång tid och varit av avsevärd omfattning.

Det är oklart hur avtalen mellan 1177 Vårdguiden och Medhelp AB respektive Medicall har utformats och om kraven på personuppgiftsbiträdesavtal enligt dataskyddsförordningen har uppfyllts. Men det kan mot bakgrund av omständigheterna befaras att upplägget strider mot artikel 28 förordningen. Det verkar knappast heller ha gjorts någon konsekvensbedömning beträffande behandlingen i tredjelandet Thailand, varför det även kan föreligga ett åsidosättande av artikel 35 förordningen. Detta tillsammans med händelsens konsekvenser och själva händelseförloppet antyder att det därtill kan vara fråga om ett åsidosättande av säkerhetskraven i GDPR.

Någon information till de registrerade om att samtalen utväxlas till Thailand (som är ett tredjeland) har inte heller lämnats, varför det borde vara fråga om ett åsidosättande av informationsplikten enligt artikel 13 förordningen. Samtidigt kan händelsen innefatta ett åsidosättande av kraven på inre sekretess enligt patientdatalagen, eftersom det inte framkommit varför det måste finnas personal i Thailand som i sitt arbete måste ha tillgång till de känsliga personuppgifterna.

Vill du ta del av Conny Larssons analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 26 feb 2019