GDPR och e-PR – Det tvehövdade monstret
22 februari, 2019Appar som spårar privatpersoner via mobilen – dataskyddsjuristen reder ut lagligheten i detta
24 april, 2019Den 18 februari avslöjades något som borde vara omöjligt och skakade hela Sverige. 2,7 miljoner inspelade samtal till 1177 låg helt öppet och tillgängliga via nätet. Det krävdes inte heller något användarnamn eller lösenord för att kunna lyssna på samtalen.
Det visade sig att samtalen låg på en server som användes av MediCall – en underleverantör till 1177 i Värmland, Södermanland och Stockholm. Medicall är ett företag som har sitt säte i Hua Hin i Thailand och som har erbjudit 1177 avlastning vid, för svensk del, obekväma tider. Den erbjudna tjänsten har bemannats av svensk sjukvårdspersonal och man har spelat in samtalen som en del av den journalföring som krävs när man bedriver vårdgivande verksamhet. MediCall använder sig i sin tur av ett molnbaserat callcenter-system som levereras av Voice Integrate Nordic AB. Det är hos denna underleverantör som den oskyddade lagringen av samtalen har skett. Computer Sweden, som avslöjade läckan, hävdar att det fanns samtal lagrade så långt tillbaka som till 2013. Datainspektionen har den 4 mars beslutat att börja med en inspektion hos Voice Integrate Nordic AB. Observera dock att denna inspektion bara är den första i en rad av inspektioner där Datainspektionen troligen kommer att gå till varje företag i kedjan, för att därmed kunna lista ut vad som har hänt.
Men låt oss försöka förekomma Datainspektionen och spekulera om vad de kan tänkas titta närmare på och vad detta kan få för konsekvenser.
Det första vi kan konstatera är att det är fyra lagar som blir tillämpliga vid bedömningen av fallet: patientdatalagen (PdL), personuppgiftslagen (PuL) och EU:s allmänna dataskyddsförordning (GDPR) samt lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. PdL då den berör hur patientdata och journaler ska skyddas. PuL då den var tillämplig på all behandling av personuppgifter framtill den 25 maj 2018 och GDPR då den tog vid när PuL upphörde att gälla, samt lagen med kompletterande bestämmelser till EU:s dataskyddsförordning då det rör sig om en offentlig myndighet.
Det andra som vi bör titta närmare på är vad som är problemet:
- Obehörig åtkomst till journaldata/patientdata.
- Obehörig åtkomst till känsliga personuppgifter.
- Bristande organisatorisk/teknisk organisationsstruktur.
- Överföring till tredje land.
Obehörig tillgång till journaldata
I PdL anges att varje vårdgivare måste föra en patientjournal i syfte att i första hand att bidra till en god och säker vård av patienten. Journalen är patientens egendom och får endast läsas av behörig personal som för journalen eller har fått patientens samtycke. Personuppgiftsansvaret vilar hos vårdgivaren, i detta fall 1177.
Det finns krav i PdL som innebär att vårdgivaren ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommer åt journaluppgifter. Det är rätt uppenbart att man har brustit i denna del.
Obehörig åtkomst till känsliga uppgifter
Då åtkomsten till journaluppgifterna är ett typiskt fall av känsliga personuppgifter krävs det ett samtycke från individen att få behandla dem (både PuL och GDPR har detta krav) såvida man inte faller in under något av undantagen (annan lag enligt PuL och art 9.2.h i GDPR). Vill man hårdra saken kan man säga att Computer Sweden tillskansat sig uppgifterna och olovligen behandlat dem, något som visar att Voice Integrate Nordic AB har brustit i sitt ansvar att se till att skydda de känsliga personuppgifterna uppgifterna.
Bristande organisatoriska/teknisk organisationsstruktur
Då man i detta fall behandlar känsliga uppgifter ställdes/ställs det höga krav i PuL/GDPR på att man har ett extra säkert förfarande för förhindra de sprids olovligen. I och med att GDPR infördes skärptes reglerna ytterligare genom att man ska se till att skyddet uppdateras kontinuerligt. Här har 1177s underleverantör, MediCall och Voice Integrate Nordic AB, misslyckats då man på något sätt lyckats förvara uppgifterna oskyddade.
Överföring till tredje land
Samtalen har genomförts och sparats i Thailand, ett land utan adekvat skydd vad det gäller behandlingen av personuppgifter. Låt oss hoppas att 1177, MediCall och Voice Integrate Nordic AB har upprättat avtal i enlighet med EU:s standardavtalsklausuler för överföring av personuppgifter till tredje land.
Nu när vi har konstaterat att mycket har gått fel, vem bär då ansvaret?
När det gäller bristen kring säkerhet för de känsliga personuppgifterna och överföring till tredje land så hoppas jag att 1177 har upprättat ett personuppgiftsbiträdesavtal med sitt personuppgiftsbiträde (MediCall) och att man där man reglerar säkerhetskraven så kan det bli MediCall som kommer att få en sanktionsavgift (GDPR) eller böter (PuL) tillskriven sig då de inte har kontrollerat sin underleverantör – Voice Integrate Nordic AB.
När det gäller den olovliga åtkomsten till journaluppgifter ligger ansvaret hos vårdgivaren, 1177, och där kommer troligen 1177 få sig en sanktionsavgift tillskriven sig enligt lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Det blir också intressant att se om MediCall eller Voice Integrate Nordic AB i egenskap av personuppgiftsbiträde/underbiträde kommer att drabbas av sanktionsavgifter. Det skulle i sådana fall bli ett av de första fallen där ett personuppgiftsbiträde alternativt underbiträde ställs till direkt ansvar för brott mot bestämmelser om personuppgiftsbehandling.
Vilka summor det blir vågar inte jag spekulera i, men vi kan konstatera att ett sjukhus i Portugal tilldömdes att betala 400 000 euro för att man inte hade någon säkerhet kring patientdata på sjukhuset. Tar man det i relation till att 1177-skandalen rörde sig om 2,7 miljoner samtal borde vi här hamna över den summan.
Vill du veta mer om PdL, GDPR och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning? PrivacyWorks kommer att anordna en utbildning i detta ämne under senvåren/försommaren, anmäl ditt intresse på info@privacyworksnordic.com så kontaktar vi dig när datum är fastlagt.
1 Comment
[…] och hur det kunde hände försöker vår data privacy-expert Axel Tandberg att bena ut i ett blogginlägg på vår systerblogg […]