Miljontals samtal till 1177 Vårdguiden publikt tillgängliga på webben

Om man följer länkarna på "Hemsida24" så förstår man ju bättre varför det gått som det gått, Hemsida24 erbjuder helt enkelt en för enkel och bra tjänst för vem som helst, även de utan kunskap kan skapa hemsidor via deras verktyg och det har ju uppenbarligen hänt denna gången.

Inte oändlig tid. 10 år säger upphandlingen så att du vet. De har förmodligen gått på patientdatalagens krav på journaler.

Kapitel 3, 17 § En journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år.

Edit: Lade till kapitel.

Finns det några tecken på inspelningarna har laddats ned?
Jag tillhör gruppen som har använt 1177 både för mig själv och mina barn, med personnummer och allt.

Japp.
Vad vi vet so far så handlar det om minimalt antal nedladdningar, men det kanske är lite tidigt att säga att det är allt. Men det är möjligt att det är allt också.

"Enligt Medhelp ska det röra sig om totalt 55 samtal som har laddats ned från sju olika ip-adresser. Det är ännu oklart hur länge servern legat öppen för allmänheten och vilka som skaffat sig tillgång till de olika filerna."
https://www.dn.se/ekonomi/1177-skandalen-detta-har-hant/

Det vårdguiden gått ut med är att de tagit reda på vilka patienter det rör och läkare som är ansvarig för de patienterna ska kontaktas så att läkarna kan gå igenom detta med de patienterna som berörs. Tror jag hörde den delen på rapport igårkväll.

Så vad vi vet i nuläget är det väldigt liten risk att din familjs uppgifter röjts.

@stimy09: Eftersom Stockholms upphandling skedde så nära inpå GDPR-övergången så har de ett personuppgiftsbiträdesavtal på plats.

Ok! Då kommer det göra ont nedåt i leverantörsledet.

Jag tvivlar på att något där kan användas i olagliga syften utom möjligtvis personnummer, men det är förbannat respektlöst och möjligtvis lagvidrigt. Jag har inte satt mig in i GPDR till den grad att jag förstår lagen i större utsträckning än grunderna.

Att man bara kunde surfa in på IP-adressen och plocka ner inspelningarna. Dom ansvariga måste ha haft riktigt j-a mycket att göra på kontoret för att inte försöka surfa in på adressen och kontrollera vad som är tillgängligt, by design, bugg eller missat.

Ja det därför jag har skrivit att det är lite tidigt att säga att det här är allt. Men just nu känner vi inte till att mer läckt.

Skickades från m.sweclockers.com

Känns rätt uppenbart att någon/några klantade sig rejält i samband med upphandling för >7 år sedan.
Effekten av klanteriet upptäcktes inte, och deras efterföljare har utgått från att allt är lugnt.
Nu när det konkreta problemet uppdagats och börjar utredas kommer det visa sig var det funnits aningslöshet och kompetensbrister.

Ja eller så har disken gjorts offentligt långt mycket senare än för 7 år sedan.
Kanske den bara legat öppen i några dagar eller veckor (who knows) och då har väl missen inte gjorts för länge sedan i samband med upphandlingen utan snarare nyligen i samband med handhavandefel där innebörden snarare är kontraktsbrott.
Sannolikheten för de olika möjligheterna är omöjlig att vikta utan mer information men jag ser inte att det ena eller andra alternativet är direkt uppenbart.
Hur det egentligen ligger till får vi som du säger reda på efter utredning.

Vadå efterträdare? Samma personal/konsulter/ägare har styrt skeppet sedan 2009 när det gäller telefonisystemet.

Precis. Det enda vi kan säga med någon slags säkerhet är väl att ett antal inspelade samtal har legat exponerade mot Internet en okänd tid och att ett okänt antal människor/botar har tagit del av dessa inspelningar. Jag håller helt med om din beskrivning att vi inte känner till vad som skett. Det jag menade var mer att jag ser fram emot en korrekt utförd utredning av oberoende part, sen kan man uttala sig om vad som faktiskt hänt alternativt säga att man saknar data för att veta vad som faktiskt hänt.

Det jag lurar på är vad som händer om en sådan utredning landar i att man saknar underlag för att veta vad som hänt med inspelningarna. Kommer man då försöka spåra alla individer och meddela dom att deras info eventuellt har läckt?

Jag utgår ifrån att de flesta (alla) av dem som var direkt delaktiga i upphandlingen hunnit byta jobb. Min egen erfarenhet säger att så högt upp i regioner och landsting byts det arbetsuppgifter hela tiden...

I samband med upphandling behöver man ställa krav på kompetens hos leverantören och i möjligaste mån verifiera att sådan finns.

Nyligen presenterade fynd antyder också att den direkta orsaken till läckan kan vara att en inställning i mjukvaran som används av Voice Integrate Nordic lämnats default.

Den artikeln handlade väll om att de spelat in samtal som beställaren nu säger att de inte velat få inspelade (beställning av sjuktransport) - och att tidningens teori är att det är default inställningen?

Skickades från m.sweclockers.com

Landstingen som lejt ut sjukrådgivningen har upphandlat MedHelp, Voice Integrate har sen jobbat för MedHelp och senare Medicall. Voice Integrate läckte Medicalls samtal och hos Voice Integrate har det varit samma folk sedan starten i princip. Stockholm upphandlade de senast 2017, så folk som godkände dem är kvar, men det är inte som att politiker eller ens tjänstemän har haft någon insyn i deras telefonisystem eller hur deras underleverantör i Thailand skött sig. Voice Integrate har inte vunnit några upphandlingar och skulle aldrig kunna så göra. Prebus i Uppsala hade däremot köpt in dem, och deras samtal låg också öppna.

Visst är det så. Men kravställning garanterar inte att det inte kan göras fel i efterhand oavsett. På samma sätt som att lagar inte kan garantera att lagbrott ej ksn äga rum.

Det jag säger är inte att det lutar åt endera håll utsn snarare att det är lite tidigt att dra slutsatser givet begränsningarna i insym vi lekmän har i nuläget.

Skickades från m.sweclockers.com

Man skall nog vara glad för att man inte vet mer än man vet när det kommer till hur företag och myndigheter hanterar våra personuppgifter och data.

Detta är naturligtvis långt ifrån första och garanterat inte sista gången som uppgifter av det här slaget kommer på vift.
Sanningen är nog snarare att man nu har haft turen att hitta ett av systemen som hanterats vårdslöst, men det lär finnas MÄNGDER av andra system innehållandes personliga uppgifter som är lika illa eller t.o.m. sämre "skyddade" i skrivande stund.
-Equifax... någon? Även om detta är Sveriges största fadäs i skrivande stund så bleknar det rätt snabbt i jämförelse med många andra...

Hur fungerar det om de nu har så bra nätverkstekniker, borde det inte finnas en post i loggen eller i routern om hur lång uptid och när den kopplades in?

Polisen eller liknande borde ju ha beslagtagit den och gått igenom loggarna för att hitta ansvariga

Den där Tommy som är VD verkar ju lite halvgalen minst sagt... Smidigt att ljuga om att "MSB verifierat säkerheten i deras it-miljö".

"CERT-SE har haft kontakt med flera intressenter, bland andra Voice Integrate Nordic (VIN) som tillhandahåller en telefonilösning som används av en underleverantör till vårdgivaren Medhelp som stått för en del av tjänsten 1177 Vårdguiden i tre regioner/landsting.

Det har kommit till vår kännedom att VIN på sin webbsida [1] nyligen signalerat att MSB verifierat säkerheten i deras it-miljö. Detta stämmer inte och i våra fortsatta kontakter under morgonen (20 feb) har vi påpekat saken för VIN. Vi har uppmärksammat dem på brister men inte säkerhetsgranskat deras it-miljö."

https://cert.se/2019/02/angaende-den-sa-kallade-1177-lackan

Det hela är ganska enkelt. Vi i Sverige är ganska naiva och godtrogna. Detta har inneburit att vi inte jobbat systematiskt med informationssäkerhet i väldigt många organisationer eftersom man inte anser att det finns skyddsvärd information. När nu regelverket skärpts på området så har många organisationer (främst offentliga) fortfarande inte börjat jobba systematiskt med sina säkerhetsfrågor på området. Har man ingen koll kan man inte heller täppa till några hål.

Eller iaf borde ha.

För den som undrar hur instruktionen för inspelning verkar se ut hos Voice Integrated. Det faktum att "email" används ger ju ytterligare rysningar. Bör sägas att jag inte vet om detta är samma implementation som 1177 använt men det är väl rätt rimligt att anta att ett så pass litet företag inte har flera helt oberoende lösningar för samma sak. Att dom kör med jQuery från 2011 kanske inte direkt skapar förtroende det heller (1.7.2)

****

Instruktion för Inspelning på Central Server via iPhone eller annan telefon

Inspelningen bygger på telefonens egen funktion ”3 parts samtal/konferenssamtal” samt lagring och uppspelning via egen email. Ingen APP eller något behöver installeras.

Du är registrerad ditt nummer i samband med beställningen (mobil/fasta telefonnummer) i. Notera att du inte kan ha/använda dolt nummer. Längden på det inspelade samtalet är ”obegränsad” och en ljudfil (mp3) skickas till den registrerade e-postadressen direkt efter varje inspelning. Inget sparas hos oss.

Du når tjänsten via nummer: 0770370370 (är du utomlands använd +46770370370).

Hur gör jag (exempel Iphone)

Användande och Hantering via Iphone:

- Ring som vanligt till aktuell person (eller först till inspelningen om så önskas)

- Slå på inspelning genom att trycka ”lägg till samtal” i Iphone-menyn

- Slå sedan 0770370370 för att komma till inspelningstjänsten

- Tryck nu på ”slå ihop samtal” efter det att du hört ett kort pip för inspelningen, se bilder nedan.

Samtalet spelas nu in

- Du kan enkelt stänga av inspelningen genom att trycka längst upp i telefonen så att menyn ”konferens” kommer fram och i denna trycker man på knappen till vänster på det samtal som motsvarar numret till ”Inspelningsservern”

- Ytterligare person kan läggas till i inspelningen genom samma procedur ”lägg till samtal” / ”slå ihop samtal”

- Efter avslutat samtal kommer mail med bifogad .mp3 till e-post adress som är registrerad.

Har också funderat kring punkt 1, uppenbarligen gjordes det försökt till det men i vilken omfattning osv framgår inte riktigt. CS är ju annars känd som en seriös "tidning" så jag förmodar att dom ändå såg till att sköta det så proffsigt det kunde.