Medhelp vill tona ner allvaret hos den säkerhetslucka som blottat 2,7 miljoner samtal ringda till 1177 Vårdguiden i tre av landets regioner. Företaget uppger att endast 55 samtal laddats ner och det från sju olika ip-adresser.
Grunden till läckan är telefonisystemet hos en underleverantör i Thailand, Medicall, som Medhelp anlitat för att besvara samtal på kvällar och nätter. Om det problematiska med vårddata i molnet har Region Stockholm dock varit medvetet – och ändrat upphandlingskraven.
– I det nya avtalet med Medhelp som börjar gälla den 1 september i år är det förbjudet att ha verksamhet i utlandet, säger Daniel Forslund, biträdande regionråd i Region Stockholm och ordförande i innovations- och utvecklingsutskottet till Dagens Nyheter.
Utöver Stockholm, Sörmland och Värmland kan fler ha drabbats av personuppgiftsläckan. Även om Region Dalarna använder Ineras system för sjukvårdsrådgivning, som inte är drabbat, har Medhelp upphandlats under tre år för att täcka upp sommarbemanningen.
– De samtal som kan vara berörda i Dalarna är de samtal som har kommit in under korta perioder mellan arbetsskift, säger Ann-Catrin Sterner, verksamhetsledare för telefonrådgivningen 1177 Dalarna.
Samtidigt reagerar Region Uppsala på Computer Swedens nya uppgifter. På samma server som rådgivningssamtalen har det även funnits hundratusentals inspelade resebeställningar.
Jonas Skovgaard är vd för Gamla Uppsala Buss och Prebus som ansvarar för sjukresebeställningarna i Region Uppsala. Han är förvånad och upprörd eftersom det i upphandlingen inte ställts krav på inspelning:
– Samtalen har spelats in utan vår kännedom. Vi köper en växeltjänst och har inte beställt någon inspelning av samtal.
Här handlar det huvudsakligen om lämnings- och hämtningsadresser, och inte om känslig medicinsk information. Ändå säger Jonas Skovgaard att det är helt oacceptabelt att personuppgifter har funnits tillgängliga på det här sättet.
Medhelp genomför nu en IT-forensisk utredning för att kartlägga exakt vad som skett och säkerställa bevismaterial. Ärendet kommer att polisanmälas. Också Datainspektionen, som här har ett givet GDPR-fall att greppa, ska förses med materialet.
Vill du fördjupa dig i kravarbete, utvärdering och förhandling i IT-upphandlingar, i syfte att göra bättre IT-affärer? Gå kursen som Upphandling24 arrangerar ”Fortsättningskurs IT-upphandling” Läs mer här!
Kommentatorerna ansvarar för sina egna kommentarer