En artikel i Computer Sweden avslöjade att 2,7 miljoner inspelade samtal till tjänsten 1177 fanns tillgängliga helt oskyddade på internet. Personuppgiftsbiträdet Vocie Integrate, som skötte lagringen av inspelade samtal, förklarade det hela med att “någon stoppat in en internetsladd i hårddisken” och att vanliga människor inte har åtkomst utan “de som kan sådant här kunde göra något slags speciell kommandorörelse och slinka in bakvägen”. Nu har Kammarrätten i Stockholm (Kammarrätten) fastställt sanktionsavgiften för den personuppgiftsansvarige Medhelp på totalt 11,3 miljoner kronor. Därigenom har sista kapitlet skrivits i 1177-skandalen och det rättsliga efterspelet är över (om inte någon part vill överklaga till Högsta förvaltningsdomstolen förstås…
1177 är ett varumärke, en webbplats och telefontjänst med information, rådgivning och tjänster inom hälsa och vård. Webbplatsen och varumärket förvaltas av Inera AB (Inera). Inera är helägt av regioner och kommuner, både via direktägande och via Sveriges Kommuner och Regioner, SKR. Huvudprincipen är att regionerna får använda varumärket 1177, tillsammans med det egna varumärket, på digitala tjänster för invånare inom hälsa, vård, omsorg och tandvård samt för administrativ verksamhet relaterat till dessa områden. Den enskilda regionen beslutar om vilka tjänster och aktörer som ska ingå i det regionala utbudet via 1177. Det innebär också att det är regionen som ansvarar för hur kommunerna och deras utförare kan använda varumärket 1177 tillsammans med regionens varumärke på sina digitala tjänster.
Tre regioner (Region Sörmland, Värmland och Stockholm) anlitade företaget Medhelp Sjukvårdsrådgivning AB (Medhelp) som vårdgivare på 1177 och Inera för att koppla fram samtalen till Medhelp. Medhelp å sin sida anlitade det Thailändska bolaget MediCall ((Sweden) Co.Ltd (MediCall) och Voice Integrate Nordic AB (Voice) för hjälp med sjukvårdsrådgivning under nätterna. Medicall förfogade över lagringen av ljudfiler på Vocies lagringsutrymme.
Computer Sweden publicerade den 18 februari 2019 en artikel med rubriken “2,7 miljoner inspelade samtal till 1177 Vårdguiden helt oskyddade på internet” Av artikeln framgår bland annat att “På en öppen webbserver, helt utan lösenordsskydd eller annan säkerhet, har vi hittat 2,7 miljoner inspelade samtal till rådgivningsnumret 1177. Samtalen sträcker sig tillbaka till 2013 och det handlar om 170 000 timmar av känsliga samtal som vem som helst har kunnat ladda ner eller lyssna på.”
Integritetsskyddsmyndigheten (IMY) inledde tillsyn mot Medhelp för att kontrollera hur Medhelp behandlade personuppgifter inom ramen för tjänsten 1177. IMY inledde även tillsyn mot Voice och Inera. I beslut som meddelades den 7 juni 2021 konstaterade IMY att personuppgiftsbiträdet Voice skulle betala en sanktionsavgift på 650 000 kr för överträdelse av artikel 32.1 dataskyddsförordningen (brister i lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig skyddsnivå för personuppgifterna) och att Inera inte hade något ansvar för den aktuella behandlingen. Samma dag meddelades också tillsynsbeslutet för Medhelp som innebar i en sanktionsavgift på 12 miljoner kronor.
Efter en tid utökades tillsynen till att även omfatta de tre regionerna. Region Sörmland och Region Värmland fick betala sanktionsavgift på 250 000 kr vardera och Region Stockholm fick betala sanktionsavgift på 500 000 kr. Överträdelserna gällde artiklarna 5.1 a (laglighet), 13 och 14 (information till registrerade) i dataskyddsförordningen.
Både Medhelp och Voice överklagade besluten till domstol. Förvaltningsrätten i Stockholm (förvaltningsrätten) bestämde den 10 juni 2022 i dom i mål 20481-21 sanktionsavgiften för Voice till 500 000 kr och i mål 21287-21 för Medhelp till 7,8 miljoner kronor. Vocie överklagade till Kammarrätten men fick inte prövningstillstånd. Medhelp och IMY överklagade förvaltningsrättens dom. den 12 februari meddelade Kammarrätten i Stockholm dom i mål 4058-22.
Kammarrätten inleder med att vara tydlig med att de enbart prövar Medhelps ansvar för de överträdelser som IMY gjort gällande och prövar inte andra aktörers ansvar.
Förvaltningsrätten konstaterade i sin dom att IMY inte prövat frågan om MedHelps överföring av personuppgifter till MediCall uppfyllde kraven i kapitel V dataskyddsförordningen om överföring av personuppgifter till tredjeland och återförvisade till IMY för prövning. Kammarrätten konstaterar att det är IMY som bestämmer ramarna för sin tillsyn och förvaltningsrätten kan inte återförvisa frågor som inte varit föremål för prövning och som resulterat i ett överklagbart beslut.
Klart i Kammarrätten var att Medhelp var personuppgiftsansvarig vårdgivare. och att MediCall inte var personuppgiftsansvarig vårdgivare. Såsom varande ett Thailänskt bolag omfattades MediCall inte av EU:S dataskyddslagstiftning, eller svensk sjukvårdslagstiftning. Behandlingen att genom vidarekoppling av samtal och tillhandahållande på annat sätt ge MediCall åtkomst till personuppgifter, till stor del av känslig karaktär, har därmed saknat rättsligt stöd i svensk rätt på det sätt som krävs enligt dataskyddsförordningen Eftersom kammarrätten bedömde att MediCall inte omfattats av svensk sjukvårdslagstiftning har känsliga personuppgifter även behandlats i strid med artikel 9.1 i dataskyddsförordningen, utan att det funnits en lagreglerad tystnadsplikt enligt kraven i artikel 9.3. Att låta en sådan vårdaktör, tredje part i tredjeland, utföra en del av uppdraget är en så allvarlig överträdelse av dataskyddsförordningen att även den grundläggande principen om laglighet, korrekthet och öppenhet får anses överträdd (artikel 5.1 a i dataskyddsförordningen). Detta ansågs utgöra grund för sanktionsavgift på 3 miljoner kronor. Observera här att frågan om lagligheten av att överföra personuppgifter till tredje land i sig inte prövas.
När det gäller skyddet av personuppgifterna framför Kammarrätten att Medhelp i egenskap av personuppgiftsansvarig hade det yttersta ansvaret för att upprätthålla en lämplig säkerhetsnivå för de personuppgifter som behandlades. Eftersom det i betydande omfattning rör känsliga personuppgifter hade Medhelp, som förvaltningsrätten angett, ett särskilt stort ansvar att säkerställa en god it-säkerhet. Kammarrätten instämmer i förvaltningsrättens bedömning att det klart framgår att Medhelp har brustit i sin skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för personuppgifterna. Personppgifterna har enligt kammarrätten inte heller behandlats på ett sätt som säkerställer en lämplig säkerhetsnivå för uppgifterna, inbegripet skydd mot bl.a. obehörig eller otillåten behandling.
När det gäller information till registrerade delar kammarrätten förvaltningsrättens bedömning om att personuppgiftsansvaret medför en skyldighet att informera de registrerade om bl.a. den behandling som utförs och den registrerades rättigheter. Det bör vara klart och tydligt för fysiska personer hur deras personuppgifter insamlas och används. De bör göras medvetna om de risker, regler och skyddsåtgärder som hänger samman med den aktuella behandlingen, samt om vilka rättigheter de har och hur dessa kan utövas. Av handlingarna i målet framgår att informationen till enskilda har varit mycket knapphändig och allmänt hållen i talsvaret och på 1177 Vårdguidens hemsida. MedHelp förefaller inte heller ha gett information till de vårdsökande vare sig inför eller under samtalen. MedHelp har därmed inte uppfyllt sitt ansvar, vare sig enligt dataskyddsförordningen eller 8 kap. 6 § PDL, att informera de registrerade.
Frågan om säkerhetskopiering återkallades av IMY.
Sammantaget bestämdes sanktionsavgiften till 11 300 000 kr.
Kostnaden för obefintliga säkerhetsåtgärder kan bli hög. Ett ytterligare exempel som uppmärksammats i närtid är TryggHansa-ärendet där känsliga personuppgifter också fanns öppet tillgängliga över internet som resulterade i en sanktionsavgift på 35 miljoner kronor. Detta är saker som relativt enkelt kan upptäckas om man ser till att regelbundet genomföra penetrationstester av sina tjänster, vilket kan ses som en förhållandevis billigt försäkring. Märk väl att IMY inte valt att inrikta tillsynen på eventuell överträdelse av förbudet mot att överföra personuppgifter till tredje land. Det kan vara så att trots den höga sanktionsavgiften kom Medhelp billigt undan.
Läs mer här här
