Hanteringen av uppgifter hos 1177 Vårdguiden | JP Infonet

Hanteringen av uppgifter hos 1177 Vårdguiden

En stor mängd inspelade telefonsamtal hos 1177 Vårdguiden innehållande känsliga personuppgifter om enskildas hälsa har legat oskyddade på Internet. Hanteringen av uppgifterna ger upphov till ett flertal juridiska frågeställningar.  

 dataskydd_Hanteringen_av_uppgifter_hos_1177_Vardguiden_16x9.jpg

Bakgrund


1177 Vårdguiden är en samlingsplats för hela Sverige för information och tjänster inom hälsa och sjukvård. Bakom 1177 Vårdguiden står den svenska sjukvården genom alla landsting och regioner i samverkan.

För att ta emot samtalen via 1177 Vårdguiden från vårdregionerna i Stockholm, Södermanland och Värmland anlitas Medhelp AB, som är ett dotterbolag till det finska bolaget Medhelp Group Oy. Medhelp AB har i sin tur anlitat det thailändska företaget Medicall, som har besvarat de nu aktuella telefonsamtalen.

Under februari 2019 offentliggjorde Computer Sweden i några olika artiklar att cirka 2,7 miljoner inspelade telefonsamtal sedan 2013 tagits emot och spelats in av underleverantören Medicall i Thailand. Samtalen har varit tillgängliga som ljudfiler på en oskyddad webbserver utan lösenordsskydd. Samtalen innehåller uppgifter om sjukdomar, symptom, mediciner och tidigare behandlingar och i flera fall finns även uppgift om personnummer jämte uppringarens telefonnummer.

Datainspektionen har inlett en granskning av händelsen.

Rättsliga förutsättningar


Händelsen aktualiserar bedömningar utifrån ett flertal olika regelverk. 

Eftersom det är fråga om behandling av personuppgifter omfattas händelsen av dataskyddsförordning (GDPR). Även dataskyddslagen blir aktuell. Därtill omfattas behandlingen av patientdatalagen som kompletterar GDPR. Därutöver berörs vissa sekretessbestämmelser i offentlighets- och sekretesslagen och kan därför komma att beröra straffrättsliga frågor, exempelvis om brott mot tystnadsplikt enligt brottsbalken. Behandlingen kan dessutom sortera under lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

Analys, slutsatser och avslutning


Hanteringen av de inspelade telefonsamtalen och uppgifterna omfattas av de olika skyldigheterna i GDPR, dataskyddslagen och patientdatalagen. Det är fråga om behandling av känsliga personuppgifter som pågått under en lång tid och varit av avsevärd omfattning.

Det är oklart hur avtalen mellan 1177 Vårdguiden och Medhelp AB respektive Medicall har utformats och om kraven på personuppgiftsbiträdesavtal enligt GDPR har uppfyllts. Men det kan mot bakgrund av omständigheterna befaras att upplägget strider mot artikel 28 GDPR. Det verkar knappast heller ha gjorts någon konsekvensbedömning beträffande behandlingen i tredjelandet Thailand, varför det även kan föreligga ett åsidosättande av artikel 35 GDPR. Detta tillsammans med händelsens konsekvenser och själva händelseförloppet antyder att det därtill kan vara fråga om ett åsidosättande av säkerhetskraven i GDPR.

Någon information till de registrerade om att samtalen utväxlas till Thailand (som är ett tredjeland) har inte heller lämnats, varför det borde vara fråga om ett åsidosättande av informationsplikten enligt artikel 13 GDPR. Samtidigt kan händelsen innefatta ett åsidosättande av kraven på inre sekretess enligt patientdatalagen, eftersom det inte framkommit varför det måste finnas personal i Thailand som i sitt arbete måste ha tillgång till de känsliga personuppgifterna.

Vill du ta del av Conny Larssons analys i sin helhet?


Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 26 feb 2019

Mer om IT och dataskydd
Utbildningar
  • Utbildningen, som utvidgats till en dag, syftar till att ge deltagarna fördjupade kunskaper om innehållet i den nya dataskyddsförordningen utifrån ett skolperspektiv kompletterat med de ändringar som tillkommit/föreslagits från regeringens sida.

    Stockholm 1-dagskurs
    Omdöme om kursen (4,5)
    Föreläsare: Didrik Värmon, Simon Jernelöv, Laura Gashi
  • Kursen ger dig en genomgång av gällande regelverk för drönaroperationer och även en inblick i vad som kommer att krävas enligt kommande regelverk. Du får förståelse för varför reglerna finns och hur du kan göra bra säkerhetsbedömningar.

    Karlstad ½-dagskurs
    Omdöme om kursen (4,8)
    Föreläsare: Joel Sköld
  • Utbildningen, som utvidgats till en dag, syftar till att ge deltagarna fördjupade kunskaper om innehållet i den nya dataskyddsförordningen utifrån ett skolperspektiv kompletterat med de ändringar som tillkommit/föreslagits från regeringens sida.

    Karlstad ½-dagskurs
    Omdöme om kursen (4,5)
    Föreläsare: Didrik Värmon, Simon Jernelöv, Laura Gashi

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området