Computer Sweden kan avslöja ett av det största haverierna någonsin när det kommer till svensk patientsäkerhet och personlig integritet. På en öppen webbserver, helt utan lösenordsskydd eller annan säkerhet, har man hittat 2,7 miljoner inspelade samtal till rådgivningsnumret 1177. Samtalen sträcker sig tillbaka till 2013 och det handlar om 170 000 timmar av känsliga samtal som vem som helst har kunnat ladda ner eller lyssna på.
Computer Sweden har lyssnat på några av samtalen för att bilda sig en uppfattning om omfattningen av läckan och skadan för allmänheten. Samtalen innehåller känsliga uppgifter om sjukdomar och andra besvär som de vårdbehövande ber att få rådgivning om. De som ringer berättar förstås om sina symtom, om vilka mediciner de tar eller om tidigare behandlingar. I många fall uppger de inringande sina personnummer.
Det är också mycket vanligt att de vårdsökande ringer angående sina barn eller andra anhöriga. De uppger på samma sätt barnens symtom och uppger barnens personnummer samt frågar om hur de ska gå vidare med eventuell vård.
En del av ljudfilerna har dessutom märkts med inringarens telefonnummer i filnamnet. 57 000 svenska telefonnummer förekommer i databasen.
Att samtalen spelas in är i sig tillåtet, det kan vara nödvändigt för patientens säkerhet eller för att kunna beivra missbruk, men de sparade ljudfilerna ska behandlas med sekretess, enligt patientdatalagen. Det är även helt klart frågan om information som räknas som känsliga personuppgifter, enligt GDPR.
När en person vill få rådgivning via 1177 Vårdguiden per telefon kopplas samtalen till antingen till vårdregionens egna anställda sjuksköterskor, vilket sker i de flesta vårdregioner, eller så kopplas de till företag som är entreprenörer åt de sjukvårdsregioner som låter entreprenörer ta hand om rådgivningen.
Samtalen som legat öppet på internet har ringts till företaget Medicall som har sitt säte i Hua Hin i Thailand. Medicall är en underleverantör till vårdentreprenören Medhelp som tar emot patientsamtal via 1177 Vårdguiden.
Medhelp har i sin tur ett avtal med landstings- och kommunägda Inera som är huvudman för 1177 Vårdguiden. Medhelp tar emot alla samtal till 1177 från vårdregionerna i Stockholm, Södermanland och Värmland.
Det är främst under obekväma tider som samtalen skickas vidare till underleverantören Medicall i Thailand, där svensk vårdpersonal arbetar med att ta emot samtalen. Företaget är registrerat som MediCall (Sweden) Co. Ltd i Thailand, men har svenska ägare.
– Vi har kollat upp detta med vår it, och det du säger är helt omöjligt, säger Davide Nyblom vd på Medicall.
Men jag har ju filerna framför mig nu?
– Jag har kollat med vår it och det kan inte hända.
Vill du att jag ska spela upp en fil?
Här lägger Davide Nyblom på luren.
Medicall använder Biz 2.0, ett molnbaserat callcenter-system som levereras av det svenska företaget Voice Integrate Nordic AB. Samtalen har sparats på Voice Integrate Nordics lagringsserver.
Det har inte behövts något lösenord för att komma åt Medicalls katalog eller ljudfiler; de har legat helt öppna. Allt som behövts är en webbläsare och kännedom om ip-adressen.
– Detta är katastrofalt, det är ju känsliga uppgifter. Vi hade ingen aning om att det låg till så här. Vi ska naturligtvis se över våra system och kolla upp vad som kan ha hänt, säger Tommy Ekström, vd på Voice Integrate Nordic.
– Det är inte så enkelt i dag att man bara har en server med allting på, det är ett enda jox med en massa involverade, massa olika delar utanför vårt eget företag. Men vi måste naturligtvis se över alla delar och se vad som har hänt.
– Menar du att det inte finns ett användarnamn och lösenord på servern?
Nej, det är vidöppet. Allt som behövs är ip-adressen och en webbläsare.
– Det är ju bedrövligt, så här ska det inte vara, säger Tommy Ekström.
Som ett resultat av Computer Swedens granskning är åtkomsten till lagringsenheten nu stängd, men Computer Sweden har under granskningen kunnat komma åt samtliga samtal, i form av mp3- eller wav-filer, ända tillbaka till 2013, och i princip i realtid för de senaste samtalen. Så fort ett samtal avslutats har motsvarande fil funnits att spela upp direkt i en webbläsare eller, om man så vill, för nedladdning.
Computer Sweden söker Inera och Medhelp för en kommentar.
Läs också:
Checklista för säkerhetsfrågor vid it-upphandlingar
”Värsta svenska integritetshaveriet i mannaminne”
It-haverierna avlöser varandra – är det så vi ska ha det nu?
Lars Dobos
Kommentatorerna ansvarar för sina egna kommentarer