“Vi vet inte när det hände, men troligtvis har någon under en uppdatering helt enkelt stoppat in en internetsladd i hårddisken. Då fick den en ip-adress, och då var det fritt fram. Vanliga personer klarade inte av det, men de som kan sådant här kunde göra något slags speciell kommandorörelse och slinka in bakvägen. […] wow, fasiken också” – VD:n Voice Integrate Nordic till DN
Integritetsskyddsmyndigheten IMy dömer via en speciell kommandorörelse företaget Medhelp till 12 miljoner kronor i böter, och över en miljon kronor i sanktionsavgift de övriga inblandade privatpersoners samtal till 1177 Vårdguiden publikt för vem som helst att ladda ner och lyssna av via Internet.
IMy – fd Datainspektionen – har alltså nu presenterat sina bötesbeslut för GDPR-brottet och kränkningen av den personliga integriteten som Medhelp och Voice Integrate, samt Region Stockholm och ytterligare två regioner begick 2019.
De inspelade samtalen från telefonsamtal till 1177 Vårdguiden, med djupt personliga uppgifter som sjukdomstillstånd, mental hälsa, relationsförhållanden med mera publicerades på en oskyddad server och kunde fritt laddas ner av vem som helst. Medhelp hade inte heller informerat de som ringde 1177 hur deras personuppgifter skulle hanteras. 2.7 miljoner samtal publicerades på detta vis. Företaget Inera frias.
Medhelp får 12 miljoner i böter eller några kronor per uthängd individ, Voice Integrate 650 000:-, Region Stockholm 500 000:- och 250 000:- för Region Sörmland och Region Värmland.
Medhelp hittas även hos Kronofogden dit det finns en ansökan inlämnad.
IMy utdelade sanktionsavgifter om 150 MSEK under 2020 i 15 tillsynsärenden av 53 avslutade, utifrån 4 600 anmälningar om personuppgiftsincidenter, 3 200 klagomål från enskilda och över 1 000 ärenden om tillstånd för kameraövervakning.
Myndigheten hade anslag om 114 MSEK och med avgifter och bidrag intäkter på 115 MSEK vilket även matchade myndighetens kostnader och utdömde alltså mer böter än sin egen budget. Man hade 2020 100 anställda, upp från 55 år 2016 och från 93 anställda 2019.
26 kommentarer
En internetsladd i hårddisken… va?
Han kollade säkert modermodemet också som när själva hjärtat i hårddisken som alla vet.
https://computersweden.idg.se/2.2683/1.716432/1177-lackan-vardguiden
Det hela låter som att en kunnig person (IT-snubbe) förklarat för en icke kunnig person (VD:n) vad som hänt och sedan har VD:n försökt återge vad som hänt.
Här är min (någorlunda kunnig datorsnubbe – dock ej inriktad på just detta) take baserat på VD:s uttalande:
Vid en uppdatering så gavs serven där ljudfilerna lagrades på tillgång till internet. Denna sladd glömdes sedan i så att servern var tillgänglig på internet. Den låg inte öppen på det sättet så man kan surfa in med en webbläsare men om man kan lite och visste vad man skulle leta efter så kunde man med t ex ett bash-script ladda hem dessa filer som låg på servern som bara skulle vara tillgänglig på intranätet.
En webbläsare och kännedom om serverns adress http://188.92.248.19:443/medicall/ var allting som behövdes för att komma åt filerna.
Vad jag förstår hade detta legat ute länge, så det var inget tillfälligt fel. Tror knappast att det var fråga om en fysisk sladd utan en brandväggsregel/vlan eller liknande. En annan anledning är ren oaktsamhet där säkerheten aldrig hanterades vilket inte sällan är fallet. Har jobbat med detta i 25 år nu och har därmed sett en hel del så inget förvånar mig längre. 90% av alla IT-säkerhetsproblem relaterar till allmänt slarv och ointresse.
Det är inte ovanligt med olikfärgade sladdar.
Det kan mycket väl vara så att de körde med olika sladdar beroende på om maskinen ska vara tillgänglig på internet eller bara intranätet.
Månsken: mm, han satte säkert tillbaka sladden fel bara när han öppnade snurrdisken för att blåsa bort lite damm från skivan.
Men drabbade patienter får inget?
Det här är som jag förstår det en "incident" enligt GDPR och böterna baseras på att uppgifter KUNDE läckt, det är inte samma sak som att de faktiskt läckt. Jfr t ex tillbud med olycka, osv. Så det är väl oklart om ngn patient drabbats på så vis att nån läst eller lyssnat.
Kan inte hitta något i reglementet kring GDPR att den enskilda individen är i centrum vid ev. utdömt vite (% på omsättningen). Så vilket syfte har GDPR egentligen?
Artikel 82 täcker rätt till kompensation om en enskild individs fri- och rättigheter har kränkts.
Bara att stämma dem. Dock brukar sådana fall inte ge så mycket klirr i kassan att det är värt jobbet för en enskild individ.
Pborde inte det allmänna agera som proxy för den enskilde i dessa frågor, istället för att proppa de egna fickorna fulla…
En gång råkade jag koppla in internetsladden i brödrosten. Fick käka kattvideos till frukost, men kidsen var glada ändå.
Meddelande till alla generaldirektörer: Outsourca och privatisera allt, så slipper ni sitta i rätten som Transportstyrelsens GD.
Helt i linje med att Klarna och Spotify ska vara remissinstanser för betänkandet om marknadshyror, förresten:
https://www.regeringen.se/49c4f3/contentassets/88ce9590bc134f67b39ffe637665e11e/remisslista-fri-hyressattning-vid-nyproduktion-av-bostader-sou-202150.pdf
Klarna och Spotify, såklart rimligt de ska vara med. Klarna kan hjälpa till med hyran med 13% ränta inklusive en gratis Spotify premium första månaden.
Givetvis måste Spotify vara med och granska remissen. Det är ju mycket hissmusik som ska planeras in för alla nya hus som ska byggas.
Inget ont utan något gott, begreppet Kommandorörelse har använts flitigt sedan dess inom ramen för mitt yrkesutövande. Alltid fint när svenska språket breddas med nya användbara ord och uttryck.
Transportstyrelsen verkar ha fortsatta IT-utmaningar.
https://transportstyrelsen.se/sv/vagtrafik/Fordon/bonus-malus/malus/felaktig-fordonsskatteuppgift-pa-bilar-med-malusskatt/
"något slags speciell kommandorörelse och slinka in bakvägen" – haha, som någon skrev ovan det här uttalandet kommer inte från en teknikkunnig person. Låter som något från vuxenbranschen faktiskt…
Är vi säker att den person som uttalat sig är svensk? Detta låter ju som dålig Google translate…eller som när en teknofob ska prata 5G strålning. Vilket tjollet till förklaring…
Tommy Ekström låter iaf svenskt, https://computersweden.idg.se/2.2683/1.714826/sjuktransporter-i-1177-lackan-samtal-spelades-in
Hahaha, låter som om nämnd VD är några pommes kort på en Happy Meal
Samma gamla fråga kan både lösa och skapa problem: "Har du kontrollerat att alla sladdar sitter i?"
Det här måste vara allvarligare än när Ygeman inte kunde hitta ett säkert rum för att informera sig om läckan på Transportstyrelsen? Och Ygeman har ändå lyckats att nästan klara av tvåårig livsmedelsteknisk linje.
Varför går pengarna till iMy? Det var ju inte ens de som hittade läckan. De drabbade och visselblåsaren har väl mer rätt till de pengarna.