Computer Sweden har kunnat avslöja en allvarlig informationsläcka hos 1177-Vårdguiden där 2,7 miljoner inspelade samtal från år 2013 och framåt legat helt öppna och tillgängliga på internet.
Utöver samtal till 1177 berörs även vissa samtal gällande sjuktransport. Det är en underleverantör som tagit emot samtal på uppdrag av 1177 tillsammans med landstingen och sedan lagrat dem för kvalitetsarbete.
Redan 2015 varnade Piratpartiet för konsekvenserna av en liknande outsourcing av vårddata.
Nu, fyra år senare, står vi inför fullbordat faktum. En stor mängd känsliga personuppgifter har läckt ut på grund av otillräcklig informationssäkerhet.
Detta är ett resultat av total nonchalans inför de risker som vi medborgare står inför när vår känsliga information läcker.
Några få exempel på hur inspelningarna som läckt kan komma att användas för att skada privatpersoner:
- Försäkringsbolag kan öka dina premier om de upptäcker att du har vissa sjukdomar.
- Utpressning vid frågor av känslig natur (till exempel avvikande könsidentitet, könssjukdomar).
- Mobbning – många av inspelningarna handlar om barn – om ett samtal om en sjukdom läcker ut i en skolklass kan skadan ta många år att reparera.
- Arbetsgivare kan välja bort människor med olika sjukdomar vid anställningsförfaranden.
- Inbrottstjuvar kan välja ut sjuka människor som har svårare att skydda sig och sin egendom.
En särskilt utsatt grupp är personer med psykisk ohälsa. Steget till att ta kontakt med vården för att få hjälp är ofta svårt och känsligheten för övertramp stort.
När datalagring infördes i Tyskland såg man en markant nedgång i antalet samtal till psykologer, eftersom de som ringde visste att samtalen kunde avlyssnas av andra än de avsedda mottagarna.
Men här handlar det inte om lagring som enbart myndigheter ska ha tillgång till, utan en faktisk läcka till allmänheten.
Om detta fortgår finns det en stor risk att många med psykisk ohälsa helt enkelt inte vågar kontakta vården och söka hjälp.
Risken finns att denna informationsläcka i värsta fall kostar liv.
Vi behöver se till att myndigheters IT-lösningar är anpassade för att hantera känslig personlig information. För att lyckas med detta måste myndigheter följa principerna om dataminimering i GDPR, välja programvara där källkoden är tillgänglig, undvika molnlösningar och komplicerade upphandlingar där ingen har överblick eller slutligt ansvar.
Vi behöver även se till att de med IT-kompetens kan dra i nödbromsen utan att bli överkörda av chefer när allvarliga säkerhetsrisker föreligger vid tekniska lösningar.
Men det absolut viktigaste är att vi lagstiftar om en plikt att upplysa berörda privatpersoner vid informationsläckor.
Samtliga svenskar som berörs bör få ett brev hemskickat från 1177 med information om vad som läckt, när och hur. Då kan berörda personer ta tillvara på de rättigheter som GDPR faktiskt ger dem.
Utan kunskap om att just deras uppgifter läckt och att de därmed åsamkats skada kan ingen nyttja sina rättigheter eller agera för att minimera skadan av de läckta uppgiterna.
Information är makt; all maktutjämning börjar med att ge privatpersoner information.