medhelp-logo-cmyk.svg
medhelp-logo-cmyk.svg

Personuppgiftsincident kopplad till 1177

Förundersökning nedlagd

Uppdatering torsdag 27 juni

 

I samband med personuppgiftsincidenten tidigare i våras gjorde MedHelp en polisanmälan mot tidningen Computer Sweden för misstänkt dataintrång och anstiftan till dataintrång. Vi gjorde det eftersom det för MedHelp som vårdgivare och personuppgiftsansvariga var viktigt att få klarlagt hur en tidning får hantera den här typen av uppgifter.

Besked har nu kommit att förundersökningen är nedlagd. Vi tycker det är bra att saken nu är utredd och avslutad. Åklagaren har gjort en avvägning mellan yttrande- och informationsfrihet och bestämmelsen om dataintrång och det publicistiska syftet, och kommit fram till att det publicistiska syftet i detta fall vägde tyngre.

MedHelp har sedan incidenten vidtagit flera åtgärder som gör att våra tjänster och system nu är säkrare än någonsin. Vi har bland annat sagt upp avtalet med underleverantören, bytt telefonioperatör och infört nya säkerhetstester i våra system. Våra uppdragsgivare kan känna sig helt trygga.

 

Extern granskning efter incidenten klar

Uppdatering torsdag 20 juni

 

KPMG har på uppdrag av Region Stockholm granskat hur MedHelp efterlevt avtalsvillkoren i avtalet med Region Stockholm. KPMGs slutrapport kom den 20 juni.

Granskningen visar på att det hos MedHelp förekommit brister i rutiner för utvärdering och uppföljning av underleverantörer. Granskningen noterar också att MedHelp, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.

Avseende Hälso- och sjukvårdsförvaltningen anser granskningen att de bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet. Förvaltningen och MedHelp kommer tillsammans att upprätta en åtgärdsplan för att åtgärda de brister som granskningen identifierat. Åtgärdsplanen kommer att följas upp månatligen.

MedHelp har ett certifierat ledningssystem för kvalitet samt ett dedikerat ledningssystem för dataskydd för hantering av personuppgifter. MedHelp arbetar för att implementera certifiering av informationssäkerhet enligt ISO 27001-certifiering, något som inte är obligatoriskt men som MedHelp anser är viktigt som kvalitetssäkring av verksamheten.

Efter incidenten har såväl MedHelp som vårdgivare och Region Stockholm vidtagit en rad åtgärder för att säkerställa att liknande risker för patientens integritet inte ska kunna uppstå igen.

 

Besök av Datainspektionen

Uppdatering måndag 18 mars

 

Onsdagen den 20 mars får MedHelp besök av Datainspektionen som ett led i granskningen av personuppgiftsincidenten. Datainspektionen ska bland annat titta på hur MedHelp behandlar personuppgifter vid sjukvårdsupplysning via 1177 Vårdguiden, vilka åtgärder som har vidtagits för att skydda uppgifterna och hur registrerade informeras om behandlingen av deras personuppgifter.

 

Pågående utredningar

Uppdatering måndag 11 mars

 

MedHelps egen IT-forensiska utredning pågår och en första rapport kommer att bli klar inom de närmaste dagarna. Utredningen kommer att ge mer information om händelseförloppet kring personuppgiftsincidenten. Samtidigt pågår Datainspektionens, Region Stockholms och polisens utredningar som alla är viktiga för att kartlägga vad som har hänt och hur vi kan förhindra att liknande händelser inträffar i framtiden.

 

IVO-anmälan

Uppdatering torsdag 28 februari

 

MedHelp har lämnat in en anmälan till Inspektionen för vård och omsorg (IVO). Som vårdgivare ska vi enligt lex Maria anmäla och utreda händelser som skulle ha kunnat medföra en allvarlig vårdskada till IVO. IVO kommer nu att utreda ärendet för att så långt som möjligt klarlägga händelseförloppet och vilka faktorer som påverkat det och hur liknande händelser kan förhindras framöver.

 

MedHelp ser mycket allvarligt på det som har inträffat och IVO-anmälan är tillsammans med vår IT-forensiska utredning, anmälan till Datainspektionen och till polis, liksom region Stockholms egen utredning är alla viktiga delar i för att utreda händelsen ordentligt.

 

Förtydligande gällande polisanmälan

– 4 frågor till Björn Arkinger, Affärsområdeschef MedHelp

Måndag 25 februari 9.00

 

MedHelp lämnade under kvällen den 20 februari in en polisanmälan avseende misstänkt dataintrång/anstiftan till dataintrång kopplat till händelser i samband med publicering av tidningen Computer Sweden.

 

Varför har ni polisanmält Computer Sweden?

Samtalsfiler från patienter till sjukvården ska inte kunna kommas åt, och det är vårt ansvar som personuppgiftsansvarig vårdgivare att säkerställa det, vilket Computer Sweden gjort rätt i att uppmärksamma. Polisanmälan handlar inte om det. Den handlar om att man spelat upp samtalsfiler med känsliga personuppgifter och publicerat IP-adressen till den aktuella servern tillsammans med instruktioner om hur man går tillväga för att komma åt samtalsfilerna. I min mening hade nyheten, granskningen, varit lika stor och värdefull utan att oskyldigas personuppgifter exponerats.

 

Men det borde vara deras rätt då de uppmärksammar att ni gjort fel?

Att Computer Sweden uppmärksammat att servern legat öppen och att vi har det yttersta ansvaret som personuppgiftsansvariga är helt rätt. Problemet är att de gått vidare, och inte bara själva tagit del av dessa personuppgifter utan även tillgängliggjort dem för en bredare allmänhet.

 

Så ni menar att Computer Sweden gjort rätt?

Ja och nej, att en server med känsliga personuppgifter ligger öppen får helt enkelt inte ske. I det fallet är det bra att Computer Sweden uppmärksammat problemet.

 

Men vi anser inte att man därtill behövde exponera privatpersoners känsliga uppgifter. I och med polisanmälan hoppas vi också få en grundlig utredning och i förlängningen en prövning kring hur den här typen av problematik enligt dataskyddsförordningen ska hanteras framöver.

 

Vad händer nu?

Det pågår en grundlig teknisk analys av materialet på servern för att utröna vad som har skett, och i takt med att vi får fram mer fakta kommer vi att delge den till såväl Datainspektionen som Polisen. I övrigt pågår arbetet med operatörsbyte, även underleverantören MediCall som ansvarade för lagringen av de aktuella samtalen har nu sagt upp avtalet med Voice Integrate.

 

Svar på vanliga frågor från våra kunder 

Uppdaterad 2019-02-21

 

Följande har hänt

En säkerhetslucka hos en underleverantör upptäcktes under måndagen 18 februari varpå servern stängdes ner. Totalt rör det sig om 55 samtal som någon olovligen tagit del av från 7 olika IP-adresser. Vi bedriver nu en IT-forensisk utredning för att kartlägga exakt vad som skett och säkerställa bevismaterial.

 

Q: Vilka landsting är drabbade?

A: Av de 55 samtal som olovligen tagits del av kan endast 9 identifieras med telefonnummer eller personnummer, och utifrån dessa är det Stockholm, Värmland och Sörmland som berörs.

 

Q: Gäller det även journaler?

A: Nej, incidenten som du läser om i media handlar enbart om samtal kopplat till 1177 Vårdguiden, dvs en röstinspelning av samtalet mellan en patient och en vårdgivare. Övriga tjänster hanterar MedHelp själva och därmed ser också lösningarna för datalagring annorlunda ut.

 

Q: Gäller det även sjuk- och friskanmälan?

A: Nej, incidenten gäller enbart 1177 Vårdguiden och det är den enda servern som lagrar den här typen av samtal. Övriga tjänster och samtal hanterar vi själva och därmed ser också lösningarna för datalagring annorlunda ut.

 

Q: Var fanns den aktuella servern där samtalen från 1177 Vårdguiden på telefon lagrades?

A: Servern finns i en serverhall med hög säkerhet i Kista, utanför Stockholm.

 

Q: Kommer ni att meddela de personer som är berörda?

A: Ja, vi kontaktar de fåtal berörda som går att identifiera, enligt tillsynsmyndighetens riktlinjer. 

 

Uppdatering

Fredag 22 februari 16.30

 

MedHelp lämnade under kvällen den 20 februari in en polisanmälan avseende misstänkt dataintrång/anstiftan till dataintrång kopplat till händelser i samband med publicering av tidningen Computer Sweden.

 

Grunden är att de - enligt vad vi i dagsläget vet och vad Computer Sweden själva har uppgett - har laddat ner och framför allt spelat upp samtalsfiler med känsliga personuppgifter. De har dessutom publikt publicerat IP-adressen till den aktuella servern tillsammans med en film om hur man går tillväga för att komma åt samtalsfilerna. 

 

Som personuppgiftsansvariga är MedHelp ålagda att skydda de registrerades rättigheter och vid händelse av en incident, agera skyndsamt för att mildra risken för skada för de drabbade.

 

Granskning är en viktig del av det journalistiska uppdraget, men att ladda ner, ta del av och exponera känsliga uppgifter är något annat.

 

Som personuppgiftsansvariga vårdgivare har MedHelp det yttersta ansvaret. Vi kommer att samarbeta med såväl Datainspektionen som polisen för att ge full insyn och tillgång till den tekniska bevisning som nu är säkrad. 

 

Uppdatering

Torsdag 21 februari 10.00

 

Den tekniska bevisningen från den IT-forensiska utredningen är nu säkrad och analys för att få fram fakta om vad som har skett pågår. Kontakt är initierad med såväl Datainspektionen som Polismyndigheten och MedHelp kommer att uppdatera bägge myndigheterna löpande med eventuell ny information som framkommer.

 

Uppdatering

Onsdag 20 februari 17.10

 

Voice Integrate har på uppdrag av underleverantören MediCall hanterat lagringen av vissa samtal till 1177 Vårdguiden. Den aktuella servern är bortkopplad och under utredning.

 

MedHelp lämnade under eftermiddagen in en formell anmälan till Datainspektionen.

 

Arbetet med den IT-forensiska utredningen av den server utifrån vilken 55 samtalsfiler har kunnat laddas har fortgått under dagen. Den tekniska bevisningen beräknas vara säkrad under torsdagen och nästa steg är att analysera den för att klargöra vad som har skett.

 

Arbetet med att kontakta de fåtal berörda som går att identifiera har inletts, enligt tillsynsmyndighetens riktlinjer. Av de 55 samtal som olovligen tagits del av kan endast 9 identifieras med telefonnummer eller personnummer, varav samtliga tillhör antingen Stockholms, Värmlands eller Sörmlands landsting.

 

MedHelp har sedan tidigare ett eget avtal med Voice Integrate gällande teleoperatörstjänster. Det innebär vidarekoppling av samtal, sms-tjänster och tillhandahållandet av ip-adresser. Mot bakgrund av de senaste dagarnas händelser väljer MedHelp nu att avsluta avtalet.

 

Uppdatering

Tisdag 19 februari 16.30

 

För information, arbetet med den IT-forensiska utredningen pågår och vår första rapport förväntas vara klar inom 48 timmar då vi själva hoppas ha all fakta på hand. Vi har nu gått igenom samtliga 55 samtalsfiler och kan konstatera att i 9 av dessa filer nämner patienten sitt personnummer i samtalet. Vi avser nu kontakta samtliga drabbade personligen.

De uppgifter vi har för närvarande, som vi har fått från serverleverantören Voice Integrate, sammanfattas nedan:

  • Man har vid en initial kontroll funnit att 55 samtal olovligen tagits del av, samt att intrånget har kommit från 7 olika ip-adresser.
  • Av dessa 55 bär 16 samtalsfiler telefonnumret som filnamn. Det är ett system som inte har använts på flera år.
  • Ingen koppling till det publika internet skall finnas på denna server och Voice Integrate fortsätter med sin analys av händelseförloppet och servern är fortsatt avstängd.

 

Med anledning av uppgifter om säkerhetsläcka kopplat till 1177 Vårdguiden

Tisdag 19 februari 12.00

 

MedHelp ansvarar för sjukvårdsrådgivning till allmänheten via tjänsten 1177 Vårdguiden på uppdrag av ett antal regioner. Samtalen till 1177 Vårdguiden på telefon spelas in för att ha möjlighet att gå tillbaka och kvalitetssäkra samtalen.

 

En säkerhetslucka hos en underleverantör upptäcktes under måndagen 18 februari varpå servern stängdes ner. Totalt rör det sig om 55 samtal som laddats ner från 7 olika IP-adresser. Vi bedriver nu en IT-forensisk utredning för att kartlägga exakt vad som skett och säkerställa bevismaterial.

Som vårdgivare är patientsäkerheten MedHelps högsta prioritet och vi kommer inom ett dygn att skicka in utredningen till Datainspektionen och ärendet kommer att polisanmälas. Inga andra tjänster, så som sjuk- och friskanmälantjänsten eller försäkringsbolagskunder, berörs.