Integritetsskyddsmyndighetens beslut om personuppgiftsincidenten 2019

Dela

I februari 2019 skedde en personuppgiftsincident hos en underleverantör till MedHelp AB då någon olovligen tog del av inspelningar av 55 samtal gjorda till 1177, varav personnummer kunde identifieras i 9 samtal. MedHelp AB tog incidenten på mycket stort allvar och anmälde direkt händelsen till Integritetsskyddsmyndigheten (dåvarande Datainspektionen), IVO och polisen.

Händelsen berörde inte MedHelp Care AB dvs det systerbolag som erbjuder lösningar för Sjuk- och Friskhantering mm.

Integritetsskyddsmyndigheten (IMY) har den 7/6 2021 meddelat sitt beslut efter den tillsyn som genomförts mot MedHelp AB enligt dataskyddsförordningen. IMY har med stöd av artiklarna 58.2 och 83 i dataskyddsförordningen beslutat att MedHelp AB ska betala en administrativ sanktionsavgift på tolv miljoner kronor.

Samtliga förelägganden och krav på åtgärder som IMY framför att MedHelp AB ska vidta genomfördes redan under 2019. MedHelp vidtog dessutom ytterligare ett stort antal åtgärder för ökad informationssäkerhet.

IMY påpekar att Medhelp i sin tur anlitat underleverantören Medicall Co Ltd i Thailand för att hantera samtal. MedHelp vill poängtera att beslutet att anlita Medicall, där uppdraget utfördes av svensklegitimerade sjuksköterskor, togs i samförstånd med Region Stockholm och efter deras godkännande av MediCall som underleverantör. Inför införande av GDPR gjordes ytterligare en juridisk utvärdering som också delades med Region Stockholm. Vi kan konstatera att IMY nu gör en annan bedömning.  

IMY påpekar att MedHelp vid tiden för incidenten inte informerade de som ringde 1177 hur deras personuppgifter skulle behandlas och att Medhelp är personuppgiftsansvarig. Detta ändrade MedHelp direkt efter incidenten i februari 2019 då denna information infördes i talsvaret. 

MedHelps åtgärder för ökad informationssäkerhet

Sedan incidenten har MedHelp vidtagit en rad åtgärder för ökad informationssäkerhet och för att eliminera risken för att en incident likt den 2019 ska kunna hända igen. Det bidrog till att Region Stockholm kände sig fortsatt trygga med MedHelps leverans och valde att förnya vårt avtal för leverans av 1177 Vårdguiden på telefon i ytterligare fyra år. 

De viktigaste åtgärderna för ökad informationssäkerhet är:  

  • Avslutat samarbetet med den underleverantör som var orsak till incidenten.
  • Implementerat ett ledningssystem för informationssäkerhet (LIS) baserat på ISO 27001 för styrning och ledning av informationssäkerhetsarbetet i verksamheten.
  • Avslutat all produktion av sjukvårdsrådgivning utanför Sverige. 
  • Bytt till en ny leverantör för infrastruktur, Cygate som är ett dotterbolag till Telia, med serverhall placerad i Sverige och förstärkning av både yttre säkerhet och driftstabilitet. 
  • Höjt säkerhetskrav på leverantörer och underleverantörer. 
  • Uppdaterat rutiner för information till registrerade (patienter).
  • Reviderat existerande säkerhetsrutiner och implementerat nya säkerhetsåtgärder för all hantering av personuppgifter.
  • Förändrat i ledningen inkl. ny VD, ny CTO och ny CFO, samt tillsatt den nya rollen CISO (Chief Information Security Officer) som ingår i ledningsgruppen. 

– För MedHelp är informationssäkerhet högsta prioritet och vi arbetar kontinuerligt för att höja den utifrån alla tänkbara aspekter, så att patienter och kunder ska känna sig trygga i sina kontakter med oss. Sedan incidenten har MedHelps största uppdragsgivare Region Stockholm gett oss förnyat förtroende genom ytterligare 4 års uppdrag, vilket vi ser som ett bevis på att de litar på MedHelp som leverantör, säger Tobias Ekros, vd MedHelp.

För mer information kontakta: Björn Arkinger, affärsområdeschef Vårdtjänster, bjorn.arkinger@medhelpsjukvardsradgivning.se eller mobil: 070-782 35 93