Inspelade samtal med känsliga personuppgifter låg oskyddade på internet. Det gällde miljoner filer och hundratusentals samtal till rådgivningsnumret 1177 som personer i Sverige kan ringa för sjukvårdsrådgivning. Däremot anlitar 1177 andra vårdgivare för att besvara de inkommande samtalen.
Det framkom av granskningen att tre regioner anlitade “Företag A” som rådgivare och “Företag B” för att koppla vidare samtal till Företag A. Dessutom anlitar Företag A ett bolag som arbetar med programvaruutveckling för att lagra samtalen, “Företag C”.
Inspelade samtal med känsliga personuppgifter låg oskyddade på internet.
Uppgifter om hälsa utgör känsliga personuppgifter. GDPR skiljer på vanliga och integritetskänsliga personuppgifter, varav känsliga personuppgifter en av fyra undergrupper av integritetskänsliga personuppgifter. Exempel på känsliga personuppgifter är information om en fysisk persons politiska åsikter, religösa tillhörighet och uppgifter om hälsa.
I och med att samtalen i fråga utgjorde sjukrådgivning, innehöll de uppgifter om hälsa, vilket är känsliga personuppgifter. Uppgifter som blev läckta på internet var till exempel uppgifter om sexualliv, personnummer, namn, övrig identifierande information m.m.
Regioner anlitade företag för sjukvårdsrådgivning
Granskningen utförd av Integritetsskyddsmyndigheten (IMY) (tillsynsmyndighet i Sverige) avsåg totalt sex (6) aktörer, varav tre företag och tre regioner. Regionerna var Hälso- och sjukvårdsnämnden Region Stockholm, Regionstyrelsen region Sörmland och Värmland.
Företag A blev anlitade som rådgivare för att ta emot samtal från personer som ringde till 1177. Det var även detta företag A som rapporterade personuppgiftsincidenten till den svenska tillsynsmyndighet och uppgav att två andra företag är personuppgiftsansvariga. Företag A uppgav att de lagrade samtalen hos Företag C. De båda företagen hade ingått ett leveransavtal med varandra där det bland annat framgick information om omfattningen av tjänsten. Dessutom ingick de ett personuppgiftsbiträdesavtal med varandra, där Företag C var personuppgiftsbiträde.
Företag B blev anlitat för att koppla de inkommande samtalen till numret 1177 till Företag A.
Företag C lagrade samtalen som blev besvarade av Företag A och var personuppgiftsbiträde till Företag A.
Resultatet av granskningen
IMY konstaterade i tillsynsärendet att Företag C som lagrar samtalen, “har exponerat personuppgifter i ljudfiler med inspelade telefonsamtal till 1177 mot internet utan skydd mot obehörigt röjande av eller obehörig åtkomst till personuppgifterna“. Företag C vidtog inte lämpliga organisatoriska och tekniska åtgärder för att se till att ha tillräckligt hög och lämplig säkerhet för att skydda personuppgifterna som blev lagrade hos Företag C. I och med att de hade ett säkerhetshål i lagringsservern, kunde en svensk webbtidning få tillgång till filerna och publicerade en artikel om säkerhetshålet de funnit. I princip kunde vem som helst med tillgång till internet komma åt filerna med de inspelade samtalen.
Konsekvensen för företag C blev en sanktionsavgift på 650 000 kr. Förvaltningsrätten (domstol i Sverige) i Stockholm ändrade dock beslutet från IMY och sänkte beloppet till 500 000 kr i sanktionsavgift istället.
Företaget C menade att de inte var personuppgiftsansvariga eller personuppgiftsbiträde, men i ärendet framgick omständigheterna som visade att de var ett personuppgiftsbiträde. Det är nämligen omständigheterna som avgör om ett företag är personuppgiftsansvarig och/eller personuppgiftsbiträde eller inget av dem, inte var som står i ett avtal. Företag C lagrade nämligen personuppgifter för företag A:s räkning.
Efter att personuppgiftsincidenten blivit upptäckt, stängde Företag C den server som blev använd för lagringen i fråga, och de utförde åtgärder så att det inte längre gick att nå filerna via internet.