Vården vet mycket om sina patienter. I journaler och anteckningar finns information som människor kanske inte vill att andra ska veta. Det kan vara sjukdomar, diagnoser, terapi. Besked och behandling av cancer eller annat allvarligt. Tar obehöriga del av sådana uppgifter kan patienter känna sig förödmjukade och utlämnade. Därför måste informationen skyddas noggrant.
2019 fick tidningen Computer Sweden tips om att samtal från vårdsökande till Vårdguiden 1177 låg öppet på nätet. När tidningen kontrollerade uppgifterna visade sig att tipset stämde. Det handlade om 2,7 miljoner samtal. 17 000 timmar av privat och känslig information.
Det var patienter som ringt från Sörmland, Stockholm och Värmland. En del av filerna var så gamla som 2013, men hur länge de inspelade samtalen legat på webbservern oskyddade är fortfarande oklart. I en del filnamn kunde man också urskilja vilket telefonnummer personen ringde från. Vem som lyssnat på filerna, eller laddat ner dem vet varken tidning eller myndigheter.
Att samtal av den här typen spelas in är inte ovanligt. Det kan komma till nytta för intern utbildning och i vården. Men filerna ska då enligt EU-lagstiftning hållas ordentligt skyddade. Oavsett om uppgiftsansvarige är företag eller offentlig aktör.
Patientlagen inskärper allvaret. Journaler och patientuppgifter ska skyddas särskilt.
Informationen i samtalen handlade om personliga förhållanden, hälsosituation, medicin och behandlingar. Inte sällan gällde detta också barn, vars föräldrar ringt in.
Tipset till Computer Sweden och tidningens granskning ledde till att Integritetsskyddsmyndigheten, tidigare Datainspektionen, startade en genomgång. Det visar på betydelsen av granskande journalistik. Men också att det inom medier kan behövas medarbetare som har sådan teknisk kunskap.
Myndighetens beslut kom i veckan. Det rapporterade bland annat Computer Sweden och denna tidning. Mest skuld bär företaget Medhelp. Vårdbolaget hade anlitats av regionerna Stockholm, Sörmland och Värmland för att besvara vårdsökandes samtal till 1177. Medhelp hade inte försäkrat sig om att patienternas uppgifter var skyddade och ska därför betala en så kallad sanktionsavgift på 12 miljoner kronor. Företaget Voice integrate som åt Medhelp tillhandahöll de oskyddade servrerna ska också betala 650 000 kronor.
För regionerna Sörmland och Värmland är det 250 000 kronor vardera. Stockholm får betala det dubbla.
Besluten kan överklagas. Vem som bedöms ansvarig för vad i detalj kan ändras i domstol. Men huvudspåret bör vara att företag som inte följer lag ska få kännbara ekonomiska konsekvenser. Offentliga och privata aktörer bör i fortsättningen dessutom fundera en extra gång innan de använder dessa företags tjänster. Att regionerna Sörmland och Värmland upphört med att anlita Medhelp för att besvara samtalen till 1177 är antagligen klokt.
Visst är det så att misstag kan ske. Varje hot kan inte elimineras. Men hur försäkrar sig regionerna i Sörmland, Värmland, Stockholm, eller för den delen andra regioner, om att företagen de anlitar har nog med kompetens och tillräcklig kapacitet? Är företagen medvetna om vilka lagar och regler de måste följa? Behöver regionerna öka sin egen kompetens på området?
Många bekymmer kan antagligen undvikas genom att noggrann kontroll skett från start.
Men fler än regionerna behöver fundera på hur de arbetar med cybersäkerhet. Inom vård, skola och många andra områden har digitala verktyg införts för att underlätta och effektivisera verksamheterna. Säkerhetstänkandet har då inte alltid hängt med. Varför det har blivit så bör politiker och andra beslutsfattare förklara.
För ett halvår sedan blev Katrineholm kommuns lärplattform utsatt för dataintrång. Det handlade om några skolelever som hittat ett "kryphål" i den digitala tjänsten. Plattformens leverantör Ping pong kunde täppa till kryphålet hyfsat snabbt, men först efter att en av elevernas vårdnadshavare tipsat bildningsförvaltningen. Av allt att döma var inkräktarnas avsikter inte illasinnade. Men så är inte alltid fallet.
De senaste åren har det rapporterats om flera stora cyberattacker runt om i världen. Det är nätskurkar som stjäl information för att sälja den vidare eller för att pressa organisationer och individer på pengar. Det är även hackergrupper som står på fientliga staters lönelistor.
Det cybersäkerhetscentrum som nu byggs upp i Sverige kan hjälpa en del. Där ska företag, kommuner, regioner och andra kunna söka stöd och råd i cybersäkerhetsfrågor. Men det lär dröja. Centret är fortfarande nytt och personalstyrkan liten.
Men cyberfarorna är här och nu. Offentliga och privata aktörer kan inte vänta på att allt är på plats och redo med centret. De behöver tillsammans med andra eller på egen hand hitta sätt för hur de kan skydda kunder och medborgare.