Det var 3 år sedan den stora 1177-skandalen (som jag skrivit om bland annat här, här och här) och en intressant fråga är om den här typen av händelser leder till några förbättringar när de blir avtäckta. Vad jag kan se har inget egentligt ansvarsutkrävande skett av de som verkligen borde ses som ansvariga, Region Stockholm och Region Värmland, som beslutat sig för att låta sina känsliga patientuppgifter hanteras på det vårdslösa sätt som skedde. Mycket milda sanktionsavgifter utfärdades mot regionerna av IMY 2021 men i övrigt har ingen skugga fallit över sjukvårdshuvudmännen.

Själv har jag vid ett icke beräkningsbart antal tillfällen predikat om vilken nytta incidenter kan leda till parallellt med de negativa konsekvenserna. Det skapar medvetenhet om vad som faktiskt kan hända och gör organisationer samt deras ledningar benägna att ta informationssäkerheten på större allvar. Efter att fått nu kunskap om 1177 börjar jag tvivla.

En inledande upplysning är att 1177 är en tjänst som förvaltats i två former: den som figurerade i skandalen främst av Region Stockholm, den andra av SKR:s dotterbolag Inera. 1177 är ingången till den offentliga vården och där hanteras mycket känsliga personuppgifter för hela befolkningen. Att informationssäkerheten måste vara tiptop får väl anses vara tidernas understatement. Uppgifterna som samlas om patienter i de olika tjänsterna som ingår i 1177 får inte kommer i orätta händer eller förvanskas är av vital betydelse inte bara för den enskilda patienten utan faktiskt också för samhället i stort. Samtidigt är ett flertal av 1177 e-tjänster i första hand kommunikationslösningar som t.ex. att patienten vill boka tid, förnya recept eller beställa provtagningsutrustning. Informationen i dessa funktioner har i de flesta fall ingen långvarig betydelse efter som väsentligheter om patientens vård och behandling ska finnas i patientjournalerna.

Jag kom detta på spåren när en person hörde av sig och berättade om de försök som en region gjort för att få personuppgifter kopplade till kondombeställningar (en kampanj från ungdomsmottagningar med erbjudande om gratis kondomer) raderade från den version av 1177 som Inera ansvarar för. Efter två år har fortfarande ingen lösning kommit till stånd.

Det skulle vara en skandal på nivå av den tidigare 1177-händelsen sett ur ett dataskydds- och informationssäkerhetsperspektiv om det stämde. Jag beslöt mig därför för att kolla upp hur det låg till och författade ett första mail till Inera den 19 januari i år:

Hej!
Jag skulle vilja ta del av de gallringsbeslut som finns gällande 1177 och dess olika tjänster. Är även intresserad av beskrivning av hur gallring genomförs.

Ineras mycket flinka och serviceinriktade registrator svarade med i princip vändande post att hen kontaktat ansvarig för 1177 och bett om snabb återkoppling. Några dagar senare kom svaret utan uppgivande av vem som egentligen svarat utan bara vidarebefordrat via registratorn:

Inera vill inledningsvis framhålla att bolaget hanterar handlingar och uppgifter i 1177 Vårdguidens e-tjänster i rollen som personuppgiftsbiträde åt regionerna. Som rättsligt stöd för Ineras behandling finns ett kundavtal, ett personuppgiftsbiträdesavtal och dokumenterade instruktioner från kunden om bolagets personuppgiftsbehandling i varje tjänst.
Beskrivning av respektive tjänst och instruktioner finns i s.k. tjänstespecifika villkor (BTV) som del av kundavtalet. Instruktioner om gallring som är specifika för en tjänst finns normalt i en BTV. Du kan själv ta del av BTV och dokumenterade instruktioner för varje tjänst på Inera.se, Dokument i kundavtalet.
I korthet gäller följande för gallring av uppgifter i 1177 Vårdguidens e-tjänster:
I 1177 Vårdguidens e-tjänster sker i nuläget ingen gallring av ärenden och meddelanden. Inera har vidtalat och efterfrågat instruktioner från personuppgiftsansvariga regioner om gallring, men de har till dags dato inte kunnat enas om några sådana.
I 1177 Telefonrådgivningen finns instruktioner från personuppgiftsansvariga regioner till Inera i tjänstens BTV om radering alternativt export till regionerna av ljudupptagning från telefonsamtal, åtkomstloggar och bildupptagningar. Instruktionerna i denna del är föremål för utvärdering.
I tjänsten Stöd och behandling finns funktionalitet för regionerna att själva radera och exportera uppgifter enligt interna gallringsföreskrifter.
I tjänsten Formulärhantering finns funktionalitet för kunden att själv radera uppgifter enligt interna gallringsföreskrifter.
I vissa av 1177 Vårdguidens e-tjänster skapas journalhandlingar, dvs. dokumentation som normalt sett enligt patientdatalagen ska bevaras minst tio år. Ett sådant exempel är tjänsten Provhantering. Av personuppgiftsansvariga regioners instruktioner i tjänstens BTV:n framgår att Inera ska lagra remisser som är ett resultat av ett provtagningserbjudande samt lagra laboratoriesvar. Sådana handlingar ska således bevaras av Inera tills vidare.

Förutom den numera klassiska nånannanismen som förgiftar allt SKR vidrör är min tolkning att det alltså inte förekommer någon gallring i all denna information! Orsaken menar Inera är att regionerna inte fattat gallringsbeslut. Men är det då ens möjligt att gallra i 1177 är min nästa fråga via min mellanhand registratorn:

Hej!
Kan jag bara få ställa en kompletterande fråga för vidarebefordran? När jag läser svaret blir jag litet osäker på hur jag ska tolka formuleringarna om gallring och skulle vilja ha ett förtydligande om möjligt gällande om det finns en teknisk funktion för gallring i 1177 Vårdguidens e-tjänster.
Tacksam för svar!

Svaret dröjde längre denna gång men kom till slut:

Nej, det finns ingen teknisk funktionalitet för gallring i nuläget i 1177 Vårdguidens e-tjänster. Som nämnts har regionerna inte meddelat några instruktioner om gallring till Inera för dessa tjänster. På grund av rådande pandemi har regionerna haft andra prioriteringar, liksom Inera. Om sådana instruktioner hade meddelats, skulle Inera haft teknisk funktionalitet på plats.

Sammanfattningsvis finns det alltså en gigantisk ansamling av känsliga personuppgifter där det saknas ändamål att lagra dem under längre tid. Regionerna har inte fattat gallringsbeslut och Inera har inte utvecklat en teknisk funktion för att kunna utföra gallringen den dag beslut fattas. Inte ens beställningen av en kondom som du gjorde för 10 år sedan försvinner.

Här kan man se SKR:s (inklusive Inera) toxiska nånannanism i sin prydno. Den horisontella integrationen mellan regionerna och SKR leder till en djupt oprofessionell situation och ett digitalt dödläge där ingen leder, ingen följer och definitivt ingen tar ansvar. Jag vill tro (men min inre dysterkvist protesterar) att om regionerna upphandlat 1177-tjänsten av en part som de uppfattat som extern skulle de åtminstone insett att en gallringsfunktion måste ingå i baspaketet. Men nu: "orka, det är säkert någon annan som tänkt på vad vi behöver.". Och Inera gnyr: "det är ingen som sagt att vi ska ta fram det så då struntar vi i det.".

Den vårdslösa hanteringen av patientuppgifter bara fortsätter i olika former och är inte unikt för regionerna. Minns hur det nyligen uppdagades att IVO hanterade stora mängder patientjournaler i kontorssystem.  Jag börjar inse att det mänskliga minnet när det gäller incidenter och dess verkningar är ytterst selektivt.  Inte ens den tidigare 1177-skandalen har lett till ökad seriositet. Därför måste det finnas andra mekanismer som kompenserar för viljan att strunta i säkerheten men jag kan tyvärr inte riktigt komma på vad som skulle få det självklara att vara just självklart.

Uppdatering 22-03-10

Efter att jag publicerat detta inlägg tog jag kontakt både med både IMY och min hemregion som ju är personuppgiftsansvariga för uppgifterna i 1177.
Från IMY fick jag följande svar:

Hej,
Tack för att du vänder dig till Integritetsskyddsmyndigheten (IMY) med din fråga. IMY ger inte bindande besked eller ta ställning till den specifika frågan inom ramen för ett förfrågningsärende, vi kan däremot ge följande generella information.
IMY har tidigare granskat Inera, se beslutet här, se även rapporten som IMY framtagit kring granskningen av 1177 här. Nya tillsyner och beslut publiceras kontinuerligt på vår webbplats här.
Om du misstänker att en verksamhet behandlar dina personuppgifter felaktigt är du välkommen att inkomma med ett klagomål till IMY. Klagomålsblankett och mer information om vad klagomålet ska innehålla hittar du på vår webbplats: Lämna ett klagomål.

Min tolkning är att IMY inte har något intresse för frågan trots dess omfattning eftersom den ligger utanför deras planerade tillsyn (!). Istället hänvisar de till dokument som rör en helt annan incident. Deras rekommendation är att jag som en av miljontals potentiellt drabbade ska göra ett enskilt klagomål rörande just mina personuppgifter. Förutom det orimliga i att inte reagera på ett större systemfel när de får information om det så undrar jag om detta arbetsätt gagnar myndigheten själv. Om alla de drabbade vid den här typen av systematiska problem förväntas lämna in sina egna klagomål kommer IMY sannolikt att vada i enskilda klagomål som ska utredas vart och ett för sig.

Från den aktuella regionens DSO fick jag den 25 februari följande svar:

Hej
Jag behöver undersöka den misstänkta felaktiga hanteringen av personuppgifter när det gäller tjänsten 1177 ytterligare för att kunna bekräfta eller dementera incidenten. Vill du att jag meddelar dig resultatet av de vidare undersökningarna?
Jag bifogar vårt Avtal om kundens användning av Ineras Tjänster och det tillhörande Personuppgiftsavtal 1. Avtalsupplägget med Inera är sådant att de här två avtalen reglerar en övergripande nivå, ungefär omfattande drift och förvaltning av Nationella tjänsteplattformen. Utöver det tillkommer tjänstespecifika avtal/villkor vilka finns tillgängliga här https://www.inera.se/kontakta-oss/teckna-kundavtal/dokument-i-kundavtalet/.

Föga överraskande innehåller inte något av de refererade avtalet information om gallring/rensning. I skrivande stund inväntar jag svar från regionen för att kunna göra ett klagomål eftersom förutsättningen för att kunna göra ett klagomål är att man själv först tagit kontakt med PUA och försökt få litet action på den nivån.

Min nuvarande, kanske orättvisa, bedömning är att alla de storslagna hot och löften som omgav dataskyddsförordningen när den trädde i kraft har en ganska dämpad effekt när det verkligen gäller (d.v.s. utanför IMY:s tillsynsplaner). Om det kommer indikationer på en mycket omfattande felhantering av känsliga personuppgifter och detta ändå inte väcker tillsynsmyndighetens intresse så är det kanske inte bara på Inera som det finns systemfel.

Se detta inlägg som en följetong där nya förvecklingar leder till uppdateringar.

Uppdatering 2022-08-07

Så här när semestertiderna börjar blekna litet så kan det vara dags med en liten uppdatering.
När det gäller regionen fortsatte jag att hänvisas runt via telefonsamtal och slutligen hamnade jag i maj i denna korthuggna dialog med regionens it-chef:

Hej!
Jag har vår DSO fått information om att du har frågor kring personuppgiftshanteringen inom 1177 Sjukvårdsrådgivning.
På uppdrag av Regionerna så håller Inera på med en förstudie för att se hur personuppgifter hanteras inom ramen för 1177.
Vi får återkomma när denna förstudie är slutförd.

Tja, det gav ju inte så mycket och motvilligt var jag tvungen att försöka pusha litet till:

Tack för svar!
Då tolkar jag det som att ni inte ställt krav på gallring sedan tidigare och personuppgiftsbiträdet har i uppdrag att utreda ert behov?

Med ett slutligt goddag-yxskaft från it-chefen:

Hej!
Den förstudie som nu genomförs är ett led i de krav som vi som Regioner har ställt.

Detta är som alla kan se inget besked om huruvida det finns ett gallringsbeslut eller inte. Gallringsbeslutet ska fattas av arkivbildaren, d.v.s. respektive region, och har ingenting med det tekniska genomförandet att göra. Därmed finns ingenting som hindrar regionerna att fatta gallringsbeslut, snarare är det så att de ska göra det oavsett medium och teknisk lösning.

Till Inera ställde jag följande frågor vid samma tidpunkt i maj, nästan 4 månader efter min ursprungliga kontakt i ämnet:

Hej!
Jag försöker få reda på hur personuppgifter hanteras i 1177 och då framför allt hur gallring sker. I detta blogginlägg finns bakgrunden https://fiaewald.se/blogg/digitalt-dodlage/. Efter att ha varit i kontakt med Region Värmland säger de att frågan förts vidare till Inera som nu håller på att genomföra en förstudie. Av registratorn hänvisades jag till dig för att få svar på några frågor:
Har regionerna inkommit med formella gallringsbeslut för informationen som hanteras i 1177?
Finns det nu en teknisk lösning för att gallra i 1177 och kommer gallring att kunna ske på olika sätt beroende på varje regions gallringsbeslut?
När beräknas förstudien vara klar?

Från en jurist på Inera kom svaret snabbt:

1. Har regionerna inkommit med formella gallringsbeslut för informationen som hanteras i 1177?
Nej, Inera bereder ett underlag till regionerna med förslag till gallringsfrister baserat på tidigare dialog och tidigare initiativ i samma fråga.
2. Finns det nu en teknisk lösning för att gallra i 1177 och kommer gallring att kunna ske på olika sätt beroende på varje regions gallringsbeslut?
Båda ja och nej. Gallringsfunktioner finns enligt tidigare svar till dig i vissa av Ineras tjänster. En teknisk lösning för gallring i alla tjänster beräknas finnas på plats till hösten och utgå från varje regions gallringsbeslut enligt Ineras förslag. I ett senare skede planeras tekniska lösningar som låter envar region konfigurera gallringsfrister i enskilda tjänster som inkluderar exportfunktioner för egen arkivering. Men tidshorisonten för en sådan lösning är några år bort.
3. När beräknas förstudien vara klar?

Ett underlag för beslut beräknas kunna presenteras regionerna i juni.

Spännande tider alltså - ett förslag bör alltså ha presenterats och det vill man ju gärna läsa. Fortsättning följer.