IMY har fattat beslut om den s.k. 1177-läckan

Händelsen handlade i grunden om att en NAS-server (fillagringsserver) var felkonfigurerad som ledde till att obehöriga kunde få tillgång till inspelade telefonsamtal (enligt IMY 650 000 till 900 000 samtal) på servern. Kedjan av aktörer i personuppgiftsbehandlingen var lång, där det började i regioners sjukvårdsansvar, där Inera AB (Inera) förmedlade samtalen till leverantör åt regionerna. Regionerna Sörmland, Värmland och Stockholm anlitade vårdgivaren MedHelp AB (MedHelp) för att hantera samtal med patienter kopplat till tjänsten 1177.se. MedHelp i sin tur anlitade personuppgiftsbiträden för att stödja dem i deras hantering.


Otydlighet i fördelning av ansvar kopplat till personuppgifterna
Kopplat till händelsen inkom flertalet anmälningar av personuppgiftsincidenter, bl.a. från företagen Voice Integrate Nordic AB (Voice), MedHelp och MediCall Co Ltd (MediCall). IMY inledde tillsyn mot sex aktörer som kunde kopplas till incidenten; Voice, MedHelp, Inera, samt regionerna Stockholm, Värmland och Sörmland.


IMY fann flera brister i de olika aktörernas hantering.
• Mängden incidentrapporter ledde IMY till att tro att det fanns oklarheter kopplat till personuppgiftsansvaret.
• Det fanns flera brister i informationssäkerhetshanteringen hos flera aktörer.
• Det fanns flera brister i informationen till registrerade hos flera aktörer.


Flera aktörer fick sanktioner
Regionerna Sörmland och Värmland informerade inte om personuppgiftshanteringen kopplat till telefonihanteringen, vilket ledde till att de fick sanktionsavgifter på 250 000 kr vardera.
Region Stockholm informerade inte heller om personuppgiftshanteringen kopplat till telefonihanteringen och samlade utöver regionerna Sörmland och Värmland in uppgifter från vårdgivaren, MedHelp, som de pseudonymiserade för att utveckla deras sjukvårdsrådgivning. För detta fick de en sanktion på 500 000 kr.
Inera agerade personuppgiftsbiträde till regionerna genom att koppla samtal till MedHelp, men hade inte någon koppling till inspelningen av telefonsamtalen. Det ledde till att de inte fick någon sanktionsavgift utan ärendet mot dem avskrevs.
MedHelp var personuppgiftsansvarig som vårdgivare kopplat till telefonsamtalen. De ansågs av IMY ha brutit mot bl.a. dataskyddsförordningen, patientdatalagen och socialstyrelsens föreskrifter. De fick 12 miljoner kr i sanktionsavgift för detta.
Voice hanterade NAS-servern för MedHelp:s räkning. Där ansvarade Voice för bl.a. säkerheten. Voice fick en sanktionsavgift på 650 000 kr eftersom de inte vidtagit tillräckliga säkerhetsåtgärder.

Läs mer om detta här

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem


    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.

    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).












    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart