Bolaget MedHelp tvingas betala 12 miljoner i sanktionsavgift efter att hundratusentals inspelade samtal till 1177 legat ute helt öppet på nätet.
Enligt Integritetsskyddsmyndigheten har bolaget, utan lagstöd, låtit ett thailändskt bolag utföra vård och behandla personuppgifter om de vårdsökande.
Det var i början av 2019 som flertalet medier uppmärksammade att en mängd samtal till 1177 fanns tillgängliga på nätet.
Detta fick Integritetsskyddsmyndigheten att inleda tillsyn mot sex aktörer med kopplingar till incidenten eller rådgivning via 1177; Voice, MedHelp, Inera, Region Stockholm, Värmland och Sörmland.
Under granskningen kunde IMY konstatera att de tre regionerna anlitat MedHelp för att besvara samtalen från inringarna. MedHelp hade i sin tur anlitat ett thailändskt bolag för att bättre kunna bemanna rådgivningen under jourtid. Detta thailändska bolag hade, i likhet med MedHelp, ett avtal med teknikföretaget Voice Integrate för exempelvis växelfunktionalitet och inspelning av samtal. Det är, enligt IMY, inspelningar med kopplingar till det thailändska företaget som sedan blev tillgängliga på nätet.
12 miljoner i sanktionsavgift för MedHelp
Efter att granskningen avslutats kan IMY slå fast att det är MedHelp och Voice Integrate som bär ansvaret för incidenten. MedHelp som vårdgivare och personuppgiftsansvarig och Voice Integrate som personuppgiftsbiträde till MedHelp.
I granskningsrapporten konstaterar IMY att MedHelp behandlat personuppgifter i strid med dataskyddsförordningen, patientdatalagen och Socialstyrelsens föreskrifter och allmänna råd. MedHelp har nämligen ”underlåtit att vidta lämpliga
tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som var
lämplig för att förhindra obehörigt röjande av personuppgifterna eller obehörig
åtkomst till personuppgifterna”, skriver IMY.
Myndigheten slår också fast att det saknades lagstöd för att låta det thailändska bolaget att utföra vård och behandla personuppgifter om de vårdsökande som ringde 1177 – detta eftersom de inte omfattas av den svenska hälso- och sjukvårdslagen. Det personuppgiftsbiträdesavtal som upprättats parterna emellan kan, enligt IMY, ” inte ersätta bristen på lagligt stöd”.
Mot bakgrund av de upptäckta bristerna åläggs MedHelp att betala 12 miljoner kronor i administrativ sanktionsavgift till IMY.
Även regionerna får betala
Utöver MedHelp åläggs även Voice Integrate att betala en sanktionsavgift på 650 000 kronor. Kritik riktas också mot de tre regionerna där Region Stockholm åläggs att betala 500 000 kronor i sanktionsavgift och de övriga två 250 000 kronor.
