2,7 miljoner oskyddade ljudfiler låg låg ute på nätet

oskyddade ljudfiler 1177 Vårdguiden digitala juristerna avtal gdpr
  • Start
  • Nyheter
  • 2,7 miljoner oskyddade ljudfiler låg låg ute på nätet

IMY har publicerat sin granskning av en incident, som bestod i att 2,7 miljoner oskyddade ljudfiler låg ute på nätet från samtal till 1177 Vårdguiden. Samtalsfilerna fanns tillgängliga på en webbserver som inte var lösenordsskyddad. Filerna var inte heller krypterade och det fanns ingen form av säkerhet. 

Det är Sveriges 21 regioner som äger och tillhandahåller sjukvårdstjänsten 1177 Vårdguiden. Samtliga samtal som sker till 1177 går till ett företag som utvecklar det gemensamma systemet och ansvarar för förvaltningen. 

De personer som ringer 1177 från regionerna Värmland, Stockholm och Sörmland, blir i sin tur kopplade till ett annat företag som besvarar samtalen. Detta företag är enligt IMY personuppgiftsansvariga enligt GDPR. De har i sin tur anlitat ett företag i Thailand, för att hantera samtal på kvällstid och helger. Det är samtal som är kopplade till det Thailändska företaget som incidenten avser. Dessa samtal blev lagrade i en webbserver som ett annat svenskt företag tillhandahåller. IMY anser att detta svenska företag som tillhandahåller webbservern är ett personuppgiftsbiträde till det företag som är personuppgiftsansvarigt. 

2,7 miljoner oskyddade ljudfiler låg låg ute på nätet

Det thailändska företaget är inte omfattat av GDPR, svensk hälso- och sjukvårdslagstiftning och inte heller av den tystnadsplikt som gäller inom vården och som finns reglerad i svensk lag. Den överföring av personuppgifter som det svenska företaget har gjort till det thailändska företaget strider således mot dataskyddsprincipen om laglighet. 

IMY har i sin granskning kommit fram till att två företag bär ansvar för incidenten och utfärdar följande sanktioner:

  • Det företag som IMY anser är personuppgiftsansvarigt fick 12 miljoner SEK i sanktionsavgift.
  • Det företag som IMY anser är personuppgiftsbiträde fick 650 000 SEK i sanktionsavgift.

Sanktionsavgifter till regionerna

Regionerna:

  • Stockholm: 500 000 SEK i sanktionsavgift.
  • Värmland: 250 000 SEK i sanktionsavgift.
  • Sörmland: 250 000 SEK i sanktionsavgift.

Anledningen till att regionerna fick lägre sanktionsavgifter, var för att IMY riktar stark kritik mot dem. Kritiken har sin grund i att de inte lämnat tillräcklig information till de som ringt 1177 om vem som är personuppgiftsansvarig. 

IMY betonar även att det är det företaget som är personuppgiftsansvariga som ansvarar för att anmäla inträffade personuppgiftsincidenter till IMY enligt bestämmelserna i GDPR. IMY menar att de tagit emot många olika anmälningar kopplade till ärendet och att detta tyder på att parterna ärendet handlar om, har varit osäkra på ansvarsfördelningen dem emellan. 

Enligt IMY kan denna incident bidra till flera lärdomar. Bland annat att den personuppgiftsansvarige måste se till att de personuppgiftsbiträden som blir anlitade, följer GDPR och sina åtaganden korrekt. GDPR ställer krav på personuppgiftbiträden som också har ett ansvar. Exempelvis ska et personuppgiftsbiträde vidta tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att skydda de personuppgifter som blir behandlade. Detta gäller alla personuppgiftsbiträden, oavsett vilken bransch de arbetar inom och oavsett typen av personuppgifter som blir behandlade. 

Klicka här för att komma till IMY:s webbplats för att läsa mer om incidenten.

Välkommen!

Här kan du lära dig mer om vanliga juridiska begrepp och få svar på frågor inom både affärsjuridik och avtalsrätt. Vi skriver även olika smarta guider, olika tips samt information om viktiga nyheter.

Kategorier

Sök på sidan

Rulla till toppen
Call Now Button