(Artikel i CS 2020-06-01 https://computersweden.idg.se/2.2683/1.735386/1177-lackan-ansvarig-lagring)
Aktörerna är många i 1177-läckan. Här är en snabbgenomgång av upplägget – ett antal regioner lägger ut sjukvårdsrådgivning på företaget Medhelp. Medhelp har i sin tur en underleverantör – Medicall – som har sitt säte i Thailand. Medicall använder systemet Biz från svenska Voice Integrate.
Och det är på en oskyddad server hos Voice Integrate som 2,7 miljoner samtal till 1177 lagrats sedan 2013 när det hela avslöjas februari förra året.
Ännu är det inte klart hur Datainspektionens tillsyn kommer att slå mot de olika aktörerna men CS har tagit del av en skiljedom mellan Medhelp och Medicall som möjligen kan peka åt vartåt det lutar.
Skiljedomen handlar om ett tvistemål mellan de två efter att Medhelp har bestridit ett antal fakturor från slutet av maj 2019 som enligt Medicall handlar om tjänster de utfört enligt kontrakt.
Ska ha brutit mot avtalet
Medhelp å sin sida anser att fakturorna kan kvittas mot de krav som de riktar mot Medicall och som handlar om att underleverantören brutit mot avtalet så att Medhelp lidit skada. I klartext så anser man att Medicall bär ansvaret för Voice Integrate och att filerna hamnat på en oskyddad server.
Men skiljedomen ger inte Medhelp rätt.
Enligt domen är det nämligen inte klarlagt att Medicall någonsin gett Voice Integrate uppdraget att lagra samtal till 1177, något som Medhelp hävdar.
Två mejl från Medicalls vd till Medhelp är det som mest talar för Medhelps linje enligt skiljedomaren. I det ena skriver vd:n: ”Nu kan ni se hela vår statistik och lyssna på ljudfiler. Dels i realtid, dels enstaka dagar eller perioder, samt alla samtal.”
Och i ett andra mejl skickar han över login och lösenord för att komma in i Medicalls administrativa system ”för information i realtid om vilka som är inloggade och vilken status de befinner sig. Där finns även statistiken och möjligheten att lyssna på samtal”.
Hänvisar till konsulten
Han skriver också att designen på Biz som man använder inte är klart och hänvisar till den konsult som konstruerat systemet. I en vittnesattest skriver dock Medicalls vd att detta inte har någonting med lagring att göra och att hänvisningen till en länk i slutet av mejlet går till Medhelps egen server.
Men det som skiljedomaren särskilt noterar är att vd:n hänvisar till konstruktören i sitt mejl – och konstruktören är under den tid mejlen skickats konsult hos Medhelp och inte hos Medicall.
I domskälen framkommer också att samma konsult berättat att det var han som flyttade samtalsinspelningarna till en okrypterad server hos Voice Integrate – utan Voice Integrates vetskap.
Dåliga nyheter för företaget
Skulle det vara så att konsulten alltså agerat på uppdrag av Medhelp är det dåliga nyheter för företaget.
En advokat som CS talar med konstaterar att företag, som Medhelp i detta fall, normalt ansvarar för sina konsulter. Det är inte heller givet att Medhelp kan kräva ersättning av konsulten. Typiskt sett är inhyrda konsulter att jämställa med anställda under GDPR och det innebär att ansvaret skulle bli Medhelps fullt ut.
Möjligen skulle Medhelp i sin tur kunna kräva konsulten på ansvar, men det är långt ifrån självklart att Medhelp skulle nå framgång med en sådan talan – och dessutom lär inte pengar finnas att hämta hos en enmanskonsult.
Nu återstår att se om Datainspektionen kommer till samma slutsatser som skiljedomaren.
