2,7 miljoner telefonsamtal till 1177 har lagrats helt oskyddade

Computer Sweden rapporterar om ett stort datahaveri där inspelade samtal till 1177 Vårdguiden har legat oskyddade på en webbserver. Enligt Computer Sweden rör det sig om 2,7 miljoner samtal som har ringts till 1177 sedan 2013 och som har tagits emot av vårdentreprenören Medicall.

På en öppen webbserver, utan lösenordsskydd eller annan säkerhet, låg ljudfiler med 2,7 miljoner inspelade samtal till 1177 Vårdguiden. Det rör sig om samtal som sträcker sig tillbaka till 2013 och enligt Computer Sweden fylldes filservern på med nya ljudfiler i nära realtid.

Computer Sweden har för att kunna verifiera äkthet och omfattning lyssnat på några av de samtal som har kommit in till rådgivningsnumret. Där yppas känsliga uppgifter om sjukdomar, krämpor, medicinering och annat som vårdbehövande behöver rådgivning kring. I många fall uppger även användare annan känslig information som exempelvis personnummer och platsinformation.

Samtalen går att koppla till enskilda individer

Något som gör att ljudfilerna också kan kopplas till en enskild individ, är att en del av ljudfilerna har märkts med användarens telefonnummer i ljudfilens namn. Det här gör det enkelt för någon att få ut känslig information om en specifik individ som vederbörande är intresserad av.

Själva inspelningen har inte skett utan tillstånd, den kan snarare vara nödvändig för patientens säkerhet eller för kunna beivra missbruk. Där det emellertid har fallerat är att så här känslig information måste behandlas med sekretess enligt patientdatalagen. Förutom patientdatalagen är även GDPR tillämplig eftersom personuppgifter behandlas.   

Då en användare vill ha råd av 1177 Vårdguiden per telefon, kopplas de flesta samtalen till vårdregionens sjuksköterskor, men i vissa vårdregioner så kopplas samtalen vidare till underleverantörer. I fallet med det läckta samtalsfilerna, så har de ringts till företaget Medicall som har säte i Hua Hin i Thailand. Medicalls vd ställde sig frågande till Computer Swedens uppgifter.

– Vi har kollat upp detta med vår it, och det du säger är helt omöjligt, säger Davide Nyblom vd på Medicall.

Men jag har ju filerna framför mig nu?

– Jag har kollat med vår it och det kan inte hända.

Vill du att jag ska spela upp en fil?

Här lägger Davide Nyblom på luren.

Medicall har använt ett molnbaserat callcenter-system som tillgängliggjorts av företaget Voice Integrate Nordic AB. Lagringsenheten är en enkel NAS och den har varit konfigurerad så att det inte har behövts någon form av autentisering för att komma åt Medicalls katalog och de inspelade samtalen. Det har räckt med en webbläsare och kännedom om ip-adressen för att komma åt de känsliga samtalen. Eftersom det finns ett stort antal aktörer som ligger och kontinuerligt scannar av internet med avsikt att hitta webbservrar är det inte osannolikt att fler har haft kännedom om, samt tagit del av materialet.

Datainspektionen inleder granskning av ärendet

I en intervju säger Katarina Tullstedt på Datainspektionen att patientdata är särskilt känsliga och viktiga att skydda, eftersom det rör känsliga personuppgifter. I det här fallet inväntas nu en incidentrapport från personuppgiftsansvariga. Men redan nu har Datainspektion i ett uttalande poängterat att de har för avsikt att granska ärendet.

”Datainspektionen ser allvarligt på de uppgifter i massmedia som gör gällande att en stor mängd inspelade samtal till 1177 Vårdguiden har legat oskyddade på internet. Myndigheten avser att granska det som uppges ha skett”, uppger myndigheten i ett uttalande på sin webbplats.