Tech Blog

IMY:s beslut i 1177-ärendet – en analys

Bakgrund
Den 7 juni 2021 meddelade Integritetsskyddsmyndigheten (”IMY”) beslut i flera ärenden med anledning av granskningen av den så kallade ”1177-incidenten”. Delphi har tidigare rapporterat om ärendet och besluten, och i detta inlägg följer en mer detaljerad analys.

Granskningen inleddes den 18 februari 2019, efter att det i media publicerats en artikel där det uppmärksammats att en stor mängd inspelade samtal till sjukvårdsupplysningen 1177 funnits tillgängliga på en server utan lösenordsskydd eller annan säkerhet. Orsaken till incidenten var ett säkerhetshål i servern VoiceNAS som tillhandahölls av Voice Integrate Nordic AB (Voice Integrate). Utredningen kom att omfatta totalt sex aktörer som kunde kopplas till incidenten eller sjukvårdsupplysningen 1177 i övrigt.

IMY beslutade att inleda tillsyn efter att anmälningar om incidenten inkommit från bland annat MedHelp AB (MedHelp) och Voice Integrate som inledningsvis uppgav sig vara personuppgiftsansvariga. Voice Integrate kom senare i tillsynsärendet att ändra sina uppgifter och då hävda att de varken hade haft ansvar som personuppgiftsansvarig eller personuppgiftsbiträde. MedHelp hade anlitats i rollen som vårdgivare på uppdrag av regionerna Stockholm, Värmland och Sörmland och därför kom samtal till regionerna att kopplas vidare till MedHelp som besvarade dessa. MediCall Co Ltd. (MediCall) hade i sin tur anlitats av MedHelp för att besvara samtal under jourtid, vilket utgjorde ungefär 20 procent av de samtal som mottogs årligen. MedHelp och MediCall hade avtal med Voice Integrate för bland annat tillhandahållade av servern VoiceNAS för lagring av samtal samt för tillhandahållande av programvaran Biz som möjliggjort kopplingen av samtal mellan MedHelp och MediCall. Det var inspelningarna av samtalen som kopplats till MediCall som funnits tillgängliga på internet. Tillsyn kom så småningom även att omfatta Inera AB (Inera) som ansvarade för växeln genom att koppla inkommande samtal till rätt vårdgivare. Mot bakgrund av att både MedHelp och Inera angett att de agerat på uppdrag av regionerna Stockholm, Värmland och Sörmland kom utredningen att utvidgas till att även omfatta de tre regionerna. Ingen tillsyn inleddes mot MediCall på grund av att det är ett thailändskt bolag som saknar företrädare i EU. IMY:s beslut pekade ut MedHelp och Voice Integrate som huvudansvariga men beslutade även att utfärda sanktionsavgifter mot de tre regionerna.

Relevant reglering
Det är de faktiska omständigheterna i varje fall som är avgörande för att klargöra vilken roll en aktör har vid behandlingen av personuppgifter och huruvida aktören är personuppgiftsansvarig eller personuppgiftsbiträde. Den som är personuppgiftsansvarig har ett omfattande ansvar för hanteringen av personuppgifter och är också ytterst ansvarig. Ansvaret medför en allmän skyldighet att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå samt att visa att behandlingen sker i enlighet med GDPR. Kravet på omfattning av åtgärderna måste bestämmas från fall till fall där hänsyn tas till flertalet faktorer i det enskilda fallet.

Även personuppgiftsbiträdet har ett ansvar att vidta lämpliga tekniska och organisatoriska åtgärder för att fastställa en säkerhetsnivå som står i rimlig proportion till risken med behandlingen. Personuppgiftsbiträdet får enbart agera på instruktion av personuppgiftsansvarige men har samtidigt en generell skyldighet att kontrollera att behandlingen av personuppgifterna uppfyller de krav som ställs enligt GDPR.

IMY:s resonemang och slutsatser
IMY:s granskning kom huvudsakligen att fokusera på rollfördelningen mellan de olika inblandade aktörerna, dvs. vilka aktörer som agerat i rollen som personuppgiftsansvariga och vilka som agerat som personuppgiftsbiträden, samt de tekniska och organisatoriska åtgärder som vidtagits för att skydda personuppgifter. Nedan följer en genomgång av IMY:s slutsatser vid granskningarna för respektive aktör.

MedHelp
Eftersom MedHelp agerade som vårdgivare när bolaget svarade i telefon för regionernas räkning, bedömdes bolaget vara personuppgiftsansvarig av IMY. En grundläggande princip vid behandling av personuppgifter är kravet på att personuppgiftsansvariga säkerställer en lämplig säkerhetsnivå för behandlingen av personuppgifter samt skyddar mot obehörig eller otillåten förlust, förstöring eller skada genom att vidta lämpliga organisatoriska eller tekniska åtgärder. Med hänsyn till att de inspelade ljudfilerna funnits tillgängliga på internet för allmänheten under en okänd tid, menade IMY att MedHelp hade brustit i sin skyldighet att bibehålla en lämplig säkerhetsnivå. Att uppgifterna exponerats mot internet utan skydd innebar att bristen i säkerheten varit särskilt allvarlig. Vidare hade MedHelp brustit i informationsskyldigheten gentemot den vårdsökande då det inte funnits tillräcklig information kring behandlingen av personuppgifterna samt MedHelps roll som personuppgiftsansvarig. IMY menade att MedHelp hade ett långtgående ansvar gällande information som inte lämnats. Myndigheten fastställde därmed att det inte varit tillräckligt att i ett talsvarsmeddelande informera vårdsökande om att samtalen spelas in. Anledningen till detta var att det saknats information om att MedHelp var personuppgiftsansvarig, kontaktuppgifter till MedHelp, ändamålen för insamlandet av personuppgifterna, den rättsliga grunden för behandlingen samt information om vårdsökandes rätt att begära tillgång till personuppgifter som MedHelp samlat in. MedHelp hade även anlitat MediCall avseende uppdrag som innefattat behandling av känsliga personuppgifter, exempelvis uppgifter om hälsa och medicinsk vård. På grund av att MediCall är ett thailändskt bolag har de inte omfattats av kraven på tystnadsplikt i svensk lag och IMY har därför ansett att överlämnandet av personuppgifter till MediCall saknat laglig grund. Att MedHelp genom avtal låtit MediCall och Voice Integrate behandla personuppgifter har inte påverkat omfattningen av MedHelps ansvar enligt IMY eftersom att MedHelp i egenskap av personuppgiftsansvarig varit ytterst ansvarig för att behandlingen varit laglig och korrekt. Slutligen konstaterade IMY att MedHelp haft en skyldighet att säkerhetskopiera inkomna samtal för att skydda dessa vid en eventuell förlust, en skyldighet de brustit i att uppfylla.

Vid fastställande av sanktionsavgiften mot MedHelp menade IMY att de fyra överträdelserna ska ses som separata behandlingar och att sanktionsavgiften således ska fastställas med hänsyn till varje överträdelse. Storleken på varje sanktionsavgift beslutades med hänsyn till vilken typ av överträdelse som varit aktuell, där bristerna i tekniska och organisatoriska åtgärder medförde ett maxbelopp på 10 miljoner Euro och resterande överträdelser ett maxbelopp på 20 miljoner Euro. Det fanns ett antal försvårande omständigheter för varje överträdelse där IMY särskilt pekade på omfattningen av antalet samtal som berörts, att personuppgiftsbehandlingen avsett särskilt känsliga uppgifter, de högt ställda kraven på säkerhet och de allvarliga bristerna i denna samt situationen i vilken personuppgifterna lämnats. Med hänsyn till nämnda brister beslutade IMY att MedHelp skulle betala en administrativ sanktionsavgift på 12 miljoner kronor motsvarande cirka 5 % av koncernens årsomsättning, där 8 miljoner kronor avsåg de exponerade ljudfilerna, 3 miljoner kronor överförandet till MediCall, 500 000 kronor bristen i information till den vårdsökande och 500 000 kronor bristen i säkerhetskopieringen. Beslutet har överklagats.

Voice Integrate
I samband med att Voice Integrate på uppdrag av MedHelp spelat in och lagrat ljudfiler på sin lagringsserver har de agerat som personuppgiftsbiträde. Voice Integrate hade därmed en skyldighet att vidta lämpliga och adekvata åtgärder för att skydda de personuppgifter som behandlats. Voice Integrates ansvar har dels omfattat skydd för lagring av uppgifter, och dels säkerställandet av en lämplig säkerhetsnivå genom att vidta lämpliga tekniska och organisatoriska åtgärder. Eftersom personuppgifterna exponerats på internet under okänd tid har det inneburit en hög risk för obehörigt röjande och obehörig åtkomst.

Vid fastställande av storleken på sanktionsavgiften tog IMY hänsyn till att överträdelsen avsåg den lägre sanktionsavgiften vilken medförde ett maxbelopp på 10 miljoner Euro. Även i detta fall fanns det ett stort antal försvårande omständigheter där omfattningen och arten av uppgifterna som funnits tillgängliga beaktades men också att Voice Integrate saknat kontroll över säkerheten samt att de fått kännedom om incidenten genom en publicerad artikel. Att Voice Integrate agerat direkt när de fick kännedom om vad som hade hänt menade IMY inte hade någon inverkan på bedömningen. Mot bakgrund av detta konstaterade IMY att Voice Integrate saknat tillräcklig förmåga att säkerställa en adekvat skyddsnivå och därmed beslutades att Voice Integrate skulle betala en administrativ sanktionsavgift på 650 000 kronor. Beslutet har överklagats.

Region Stockholm, Sörmland och Värmland
Regionerna är som huvudmän ansvariga för hälso- och sjukvården i respektive region. Regionerna är personuppgiftsansvariga för insamlingen av telefonnummer och kommun-ID som inhämtas när enskilda ringer till 1177. Den vars personuppgifter behandlas, har rätt att få information kring behandlingen eftersom GDPR ställer krav på en transparent behandling i förhållande till den registrerade. Bland annat innefattar kravet att informationen som kommuniceras ska vara klar och tydlig så att den registrerade ges möjlighet att tillvarata sina rättigheter. På 1177:s hemsida framgick att det är vårdgivaren som ansvarar för att behandlingen av personuppgifterna är laglig och korrekt. IMY konstaterade att regionerna hade brustit i sin skyldighet att informera den enskilde angående behandlingen av personuppgifter och därmed brustit i kravet på transparens och öppenhet i kommunikationen med den enskilde.

Utöver telefonnummer och kommun-ID inhämtade Region Stockholm även andra relevanta personuppgifter från MedHelp i syfte att utveckla sjukvårdsrådgivningens funktion. Även i detta avseende hade Region Stockholm brustit i informationsskyldigheten gentemot den vårdsökande genom att inte informera om denna behandling.

IMY konstaterade att överträdelserna avsåg den högre sanktionsavgiften vilket vid överträdelse av en myndighet ska bestämmas till högst 10 miljoner kronor. Även i detta fall beaktade IMY omfattningen av antalet berörda samtal, situationen då uppgifterna lämnats samt uppgifternas känsliga natur. Att information om ändamålet för insamlandet inte lämnats utgjorde även det en försvårande omständighet. IMY beslutade att utfärda sanktionsavgifter på 500 000 kronor mot Region Stockholm och 250 000 kronor vardera mot Region Värmland och Sörmland. Besluten mot Region Stockholm och Region Värmland har överklagats.

Inera
Inera ansvarade för växeln och genom att kontrollera kommun-ID på inkommande samtal kunde den vårdsökande kopplas vidare till rätt vårdgivare. Inera behandlade personuppgifter på uppdrag av regionerna och agerade därför i egenskap av personuppgiftsbiträde. IMY menade att Inera inte hade något ansvar för den personuppgiftsbehandling eller lagring som MedHelp utfört och beslutade därmed att avsluta ärendet utan åtgärd.

Kommentar
1177-incidenten har fått mycket uppmärksamhet, både medialt och i förhållande till den omfattande tillsyn som följde incidenten. Ärendet omfattade flertalet aktörer och att fastställa rollfördelningen dem emellan var av central betydelse för att klargöra vem som burit ansvar för vad. I slutändan var det två aktörer som pekades ut som huvudansvariga, MedHelp i rollen som personuppgiftsansvarig och Voice Integrate i rollen som personuppgiftsbiträde. Besluten är intressanta ur flera aspekter och nedan följer några reflektioner.

Vid fastställandet av de olika aktörernas ansvar har det som ovan nämnts varit de faktiska omständigheterna som avgjort vilka som varit personuppgiftsansvariga respektive personuppgiftsbiträden. Att utreda vem som bär vilket ansvar är avgörande för att fastställa skyldigheter parterna emellan. Ett avtal benämnt ”personuppgiftsbiträdesavtal” fanns upprättat mellan MedHelp och Voice Integrate. Det är dock otillräckligt att enbart utgå från benämningen av ett avtal. I förekommande fall är det tydligt att det funnits oklarheter i ansvarsförhållandet mellan de olika parterna. Anmälningar gällande incidenten inkom från flera aktörer, trots att det enbart är den personuppgiftsansvarige som har skyldighet att anmäla personuppgiftsincidenter. Att Voice Integrate under tillsynsärendet ändrade sina uppgifter gällande sitt ansvar styrker också att det funnits brister i rollfördelningen. Konsekvenserna av att inte fastställa vem som bär vilket ansvar kan vara både stora och kostsamma. IMY understryker även i sitt beslut gentemot Voice Integrate att en tydlig rollfördelning är avgörande för ett fullgott dataskydd. Den här incidenten visar att brister i rollfördelningen riskerar att leda till att uppgifter förbises eftersom det inte är klart vem som bär ansvar för vad. Sådana brister ökar risken för personuppgiftsincidenter vilket i sin tur kan leda till höga sanktionsavgifter. När flera aktörer ska behandla personuppgifter bör det göras en analys i förväg för att fastställa rollfördelning och vilka aktörer som är personuppgiftsansvariga respektive personuppgiftsbiträden utifrån objektiva omständigheter kring behandlingen. När det gäller behandling av känsliga personuppgifter är det särskilt viktigt, eftersom det då ställs ytterligare högre krav på säkerheten vid behandlingen.

Det är den personuppgiftsansvarige som bär det yttersta ansvaret för behandlingen av personuppgifter, men även personuppgiftsbiträdet har vissa skyldigheter. Skyldigheterna omfattar bland annat att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i förhållande till risken. Omfattningen av denna skyldighet kan i vissa fall vara något oklar eftersom vad som utgör en lämplig säkerhetsnivå måste avgöras från fall till fall. IMY menar att både MedHelp och Voice Integrate saknat ett verkningsfullt förfarande för att regelbundet testa, undersöka och utvärdera de tekniska och organisatoriska åtgärder som krävts för att fullgöra sina skyldigheter. Det är således viktigt att belysa att det inte räcker att enbart ta fram ett system som vid framtagandet säkerställer en adekvat säkerhetsnivå, utan skyldigheten innefattar också ett krav på att fortlöpande se över och testa att säkerhetsnivån är lämplig i förhållande till risken.

IMY:s beslut i ärendet belyser även konkreta åtgärder som omfattas av skyldigheten att vidta tekniska och organisatoriska åtgärder. IMY menar att sådana säkerhetsåtgärder kan omfatta en skyldighet att vidta åtgärder i syfte att säkerställa tillgänglighet och tillgång till personuppgifter vid eventuella incidenter. Att säkerställa tillgänglighet kan dels innebära att vidta åtgärder som säkerställer kontinuitet i behandlingen av personuppgifter såsom användande av system för att minska risken för dataförlust, och dels åtgärder som säkerställer möjligheten att återgå till ordinarie drift vid eventuella incidenter, såsom regelbunden säkerhetskopiering. För att uppfylla skyldigheten att säkerställa tillgänglighet måste båda typerna av åtgärder samexistera för att på så sätt komplettera varandra. Personuppgiftsansvariga måste således arbeta preventivt för att förutse olika risker som kan inträffa och förebygga dessa men också ha ett system för att hantera incidenter när de väl inträffar.

Avslutningsvis är en annan intressant aspekt att IMY pekat ut Voice Integrate som en av huvudansvariga parter, trots att rollen som personuppgiftsbiträde ofta ses som underordnad den personuppgiftsansvarige. I det aktuella beslutet får Voice Integrate bära ett stort ansvar, vilket förutom IMY:s uttalanden och resonemang också kan utläsas utifrån storleken på sanktionsavgiften, vilken utgjorde ungefär 11 % av bolagets årsomsättning. Återigen är det viktigt att påpeka vikten av att tydligt utreda ansvarsförhållanden för att alla inblandade parter ska känna till sina skyldigheter, minska risken för incidenter och i sin tur undvika höga sanktionsavgifter.