Öppettider: Mån - Sön, kl. 09:00 - 20:00

2,7 miljoner oskyddade ljudfiler låg låg ute på nätet

IMY har publicerat sin granskning av en incident, som bestod i att 2,7 miljoner oskyddade ljudfiler låg ute på nätet från samtal till 1177 Vårdguiden. Samtalsfilerna fanns tillgängliga på en webbserver som inte var lösenordsskyddad. Filerna var inte heller krypterade och det fanns ingen form av säkerhet.

Det är Sveriges 21 regioner som äger och tillhandahåller sjukvårdstjänsten 1177 Vårdguiden. Samtliga samtal som sker till 1177 går till ett företag som utvecklar det gemensamma systemet och ansvarar för förvaltningen.

De personer som ringer 1177 från regionerna Värmland, Stockholm och Sörmland, blir i sin tur kopplade till ett annat företag som besvarar samtalen. Detta företag är enligt IMY personuppgiftsansvariga enligt GDPR. De har i sin tur anlitat ett företag i Thailand, för att hantera samtal på kvällstid och helger. Det är samtal som är kopplade till det Thailändska företaget som incidenten avser. Dessa samtal blev lagrade i en webbserver som ett annat svenskt företag tillhandahåller. IMY anser att detta svenska företag som tillhandahåller webbservern är ett personuppgiftsbiträde till det företag som är personuppgiftsansvarigt.

2,7 miljoner oskyddade ljudfiler låg låg ute på nätet

Det thailändska företaget är inte omfattat av GDPR, svensk hälso- och sjukvårdslagstiftning och inte heller av den tystnadsplikt som gäller inom vården och som finns reglerad i svensk lag. Den överföring av personuppgifter som det svenska företaget har gjort till det thailändska företaget strider således mot dataskyddsprincipen om laglighet.

IMY har i sin granskning kommit fram till att två företag bär ansvar för incidenten och utfärdar följande sanktioner:

Det företag som IMY anser är personuppgiftsansvarigt fick 12 miljoner SEK i sanktionsavgift.
Det företag som IMY anser är personuppgiftsbiträde fick 650 000 SEK i sanktionsavgift.

Sanktionsavgifter till regionerna

Regionerna:

Stockholm: 500 000 SEK i sanktionsavgift.
Värmland: 250 000 SEK i sanktionsavgift.
Sörmland: 250 000 SEK i sanktionsavgift.

Anledningen till att regionerna fick lägre sanktionsavgifter, var för att IMY riktar stark kritik mot dem. Kritiken har sin grund i att de inte lämnat tillräcklig information till de som ringt 1177 om vem som är personuppgiftsansvarig.

IMY betonar även att det är det företaget som är personuppgiftsansvariga som ansvarar för att anmäla inträffade personuppgiftsincidenter till IMY enligt bestämmelserna i GDPR. IMY menar att de tagit emot många olika anmälningar kopplade till ärendet och att detta tyder på att parterna ärendet handlar om, har varit osäkra på ansvarsfördelningen dem emellan.

Enligt IMY kan denna incident bidra till flera lärdomar. Bland annat att den personuppgiftsansvarige måste se till att de personuppgiftsbiträden som blir anlitade, följer GDPR och sina åtaganden korrekt. GDPR ställer krav på personuppgiftbiträden som också har ett ansvar. Exempelvis ska et personuppgiftsbiträde vidta tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att skydda de personuppgifter som blir behandlade. Detta gäller alla personuppgiftsbiträden, oavsett vilken bransch de arbetar inom och oavsett typen av personuppgifter som blir behandlade.

Klicka här för att komma till IMY:s webbplats för att läsa mer om incidenten.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.

2,7 miljoner oskyddade ljudfiler låg låg ute på nätet

Sanktionsavgifter till regionerna

Du kanske också gillar

Vägledning för digitala plattformar med unga användare

Varningar för att bland annat sakna rutin för gallring enligt GDPR

Vägledning och information om kamerabevakning

Vanligaste klagomålet till IMY var personsökstjänster

Simhall får kamerabevaka bubbelpool för att förhindra olyckor

Vägledning om hur arbetsgivare får behandla personuppgifter