Händelsen handlade i grunden om att en NAS-server (fillagringsserver) var felkonfigurerad som ledde till att obehöriga kunde få tillgång till inspelade telefonsamtal (enligt IMY 650 000 till 900 000 samtal) på servern. Kedjan av aktörer i personuppgiftsbehandlingen var lång, där det började i regioners sjukvårdsansvar, där Inera AB (Inera) förmedlade samtalen till leverantör åt regionerna. Regionerna Sörmland, Värmland och Stockholm anlitade vårdgivaren MedHelp AB (MedHelp) för att hantera samtal med patienter kopplat till tjänsten 1177.se. MedHelp i sin tur anlitade personuppgiftsbiträden för att stödja dem i deras hantering.

Otydlighet i fördelning av ansvar kopplat till personuppgifterna
Kopplat till händelsen inkom flertalet anmälningar av personuppgiftsincidenter, bl.a. från företagen Voice Integrate Nordic AB (Voice), MedHelp och MediCall Co Ltd (MediCall). IMY inledde tillsyn mot sex aktörer som kunde kopplas till incidenten; Voice, MedHelp, Inera, samt regionerna Stockholm, Värmland och Sörmland.

IMY fann flera brister i de olika aktörernas hantering.
• Mängden incidentrapporter ledde IMY till att tro att det fanns oklarheter kopplat till personuppgiftsansvaret.
• Det fanns flera brister i informationssäkerhetshanteringen hos flera aktörer.
• Det fanns flera brister i informationen till registrerade hos flera aktörer.

Flera aktörer fick sanktioner
Regionerna Sörmland och Värmland informerade inte om personuppgiftshanteringen kopplat till telefonihanteringen, vilket ledde till att de fick sanktionsavgifter på 250 000 kr vardera.
Region Stockholm informerade inte heller om personuppgiftshanteringen kopplat till telefonihanteringen och samlade utöver regionerna Sörmland och Värmland in uppgifter från vårdgivaren, MedHelp, som de pseudonymiserade för att utveckla deras sjukvårdsrådgivning. För detta fick de en sanktion på 500 000 kr.
Inera agerade personuppgiftsbiträde till regionerna genom att koppla samtal till MedHelp, men hade inte någon koppling till inspelningen av telefonsamtalen. Det ledde till att de inte fick någon sanktionsavgift utan ärendet mot dem avskrevs.
MedHelp var personuppgiftsansvarig som vårdgivare kopplat till telefonsamtalen. De ansågs av IMY ha brutit mot bl.a. dataskyddsförordningen, patientdatalagen och socialstyrelsens föreskrifter. De fick 12 miljoner kr i sanktionsavgift för detta.
Voice hanterade NAS-servern för MedHelp:s räkning. Där ansvarade Voice för bl.a. säkerheten. Voice fick en sanktionsavgift på 650 000 kr eftersom de inte vidtagit tillräckliga säkerhetsåtgärder.

Läs mer om detta här