Inspelningar från miljontals samtal till 1177 Vårdguiden har legat helt öppna som ljudfiler på en oskyddad webbserver, rapporterar Computer Sweden.
Vårdentreprenören Medicall tar emot samtal från regionerna Stockholm, Södermanland och Värmland.
Samtalen är sekretessbelagda enligt lag och en expert ser uppgifterna som förbluffande.
– Det här är häpnadsväckande. Hälso- och sjukvården är en väldigt reglerad verksamhet som hanterar väldigt stora mängder känslig information. Det borde inte vara en gåta hur man skyddar den på ett effektivt sätt, säger Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, till TT.
Materialet omfattar 2,7 miljoner samtal under totalt cirka 170 000 timmar sedan 2013 till Medicall och som alla uppges kunna lyssna på eller ladda ner på nätet.
Via den öppna webbservern, helt utan lösenordsskydd eller annan säkerhet, har Computer Sweden lyssnat på några samtal. De innehåller väldigt känsliga uppgifter för den personliga integriteten om sjukdomar och krämpor som de vårdbehövande ber om råd kring.
Där ingår berättelser om egna och anhörigas symptom, medicinering och tidigare behandlingar. I många fall uppger inringarna också sina eller anhörigas personnummer.
TT: Har du hört talas om något likande i samma omfattning?
– Inte i Sverige, säger Eklund Löwinder.
Davide Nyblom, vd för Medicall, säger till SVT Nyheter att företaget arbetar för att utreda vad det är som hänt.
På frågan om hur det hela har kunnat uppstå svarar Nyblom:
– Jag är ingen tekniker. Vi håller på och hör efter med dem som levererar it-tjänsterna. Jag har inget svar just nu.
Vissa ljudfiler har även märkts med inringarens telefonnummer i filens namn. Omkring 57 000 svenska telefonnummer förekommer i databasen.
Skyddade enligt lag Ljudfilerna ska enligt patientdatalagen behandlas med sekretess.
Presstjänsten hos socialminister Lena Hallengren (S) säger till TT att departementet inhämtar information om händelsen och dess omfattning.
Medicall är underleverantör till entreprenören Medhelp som tar emot patientsamtal via 1177 Vårdguiden. Det är främst under obekväma tider som samtalen skickas vidare till Medicall, med säte i Thailand.
Anne-Marie Eklund Löwinder säger att myndigheterna nu grundligt måste reda ut frågan. Även om driften läggs ut på entreprenad kvarstår ändå ansvaret för att informationen ska skyddas genom leden, säger hon.
TT: Var ligger ansvaret i det här fallet?
– Generellt ligger ansvaret hos den som äger informationen – så i det här fallet är det vårdgivaren. Sedan kan det ju hända att underleverantörer missköter sig och inte gör det de ska, och då får man hoppas att man har skrivit så bra avtal att det faktiskt kommer att svida i plånboken hos den leverantören, svarar hon.
Medicall använder ett molnbaserat telefonsystem från det svenska företaget Voice Integrate Nordic, enligt Computer Sweden.
– Detta är katastrofalt, det är ju känsliga uppgifter. Vi hade ingen aning om att det låg till så här. Vi ska naturligtvis se över våra system och kolla upp vad som kan ha hänt, säger Tommy Ekström, vd på Voice Integrate Nordic.
Som ett resultat av granskningen har åtkomsten till lagringsenheten stängts.
Kedjan av information
Underentreprenören Medicall – som har sitt säte i Thailand – är underleverantör till vårdentreprenören Medhelp som tar emot patientsamtal via 1177 Vårdguiden.
Det är främst under obekväma tider som samtalen skickas vidare till Medicall i Thailand, där svensk vårdpersonal jobbar med att ta emot samtalen.
Medhelp har i sin tur avtal med landstings- och kommunägda Inera som är huvudman för 1177 Vårdguiden.
Medicall använder ett molnbaserat telefonsystem från det svenska företaget Voice Integrate Nordic AB.
Källa: Computer Sweden