Vården.se har hanterat bankID på samma sätt som om en person lånat någon annans legitimation för att styrka sin identitet. Den jämförelsen gör Per Foyer, cybersäkerhetsspecialist vid Region Uppsala.
Det privata företaget vården.se har "kapat" inloggningen till vårdsajten 1177 utan att användarna kunnat se det. Det uppger Per Foyer, cybersäkerhetsspecialist vid Region Uppsala. Teoretiskt sett har känslig information om patienter kunnat hamna i orätta händer, skriver Region Uppsala i en anmälan till Integritetsskyddsmyndigheten, IMY.
Vården.se marknadsför vårdgivare, till exempel privata vårdcentraler, och enligt egna uppgifter har sajten 600 000 besök per månad. Den tekniska lösning som vården.se använt när vårdsökande människor loggat in på företagets sajt betecknas av Per Foyer som vilseledande.
– Inte ens när vi i säkerhetssyfte funderat kring olika scenarier har vi kunnat föreställt oss att det här skulle hända, säger han.
Frågan angår personer som velat lista sig hos privata vårdcentraler.
Saken är tekniskt komplicerad men enligt Region Uppsala har det gått till så här: Patienterna har gått in på hemsidan hos den privata vårdcentral de valt. När de klickat i att de vill lista sig där har deras begäran skickats till vården.se:s förmedlingstjänst för sjukvård. Därefter har vården.se övertagit kontrollen över inloggningen och tagit sig in på 1177. Vårdsajten 1177, som drivs av regionerna och hanterar listningar på vårdcentraler, har fått felaktig information om vem som varit inne på sajten. 1177:s servrar har "trott" att det varit patienterna själva som loggat in. Men i verkligheten har det alltså varit vården.se.
Eftersom vårdportalen 1177 lagrar känsliga patientuppgifter krävs bankID för att logga in.
Eftersom 1177 släppt in vården.se i tron att det varit en patient har dörren till känslig information öppnats. På 1177 kan nämligen den enskilde läsa sina patientjournaler inklusive de sekretessbelagda uppgifter som lagras där.
– I praktiken har vården.se kapat inloggningen för den enskilde, säger Per Foyer.
I november slog Region Uppsala larm vilket ledde till att 1177 blockerade vården.se.
– Den tekniska lösning som vården.se använder är olämplig, kommenterar Sofie Zetterström, affärsområdeschef på Inera AB som ägs av regionerna och driver 1177.
Enligt henne har Inera gjort omfattande granskningar av aktuella loggar men inget tyder på att patientuppgifter läckt ut.
Följden av den datalösning som använts av vården.se kan vara att patienter förlorar kontrollen över uppgifter kring hälsa och sexualliv. Det skriver Region Uppsala i sin anmälan till Integritetsskyddsmyndigheten.
Sex regioner har anmält vården.se till IMY som nu utreder om det ska bli aktuellt med tillsynsåtgärder.
Per Foyer tycker att upplägget i princip går att jämföra med om bedragare lurar folk att logga in på falska banksajter och sedan tar kontroll över deras inloggningar och konton.
– Det hade knappast uppfattats som acceptabelt, påpekar han.
Enligt Per Foyer blev han mycket överraskad när han fick veta hur långt vården.se har gått för att genomföra upplägget.
– Det vården.se gjort åsidosätter ju helt den säkerhet som BankID är skapad med. BankID används för att logga in hos bland annat banker och myndigheter och människor måste kunna vara trygga med att det fungerar.
Patientuppgifter inom sjukvården omfattas av sträng sekretess. Endast vid utredning av allvarliga brott har vårdpersonal rätt att bryta mot tystnadsplikten.
Staffan Gustavsson, som är vd på vården.se, vill inte låta sig intervjuas utan svarar enbart på frågor via mejl. Han skriver till UNT att vården.se saknat möjlighet att komma åt känsliga patientuppgifter. "Listningsapplikationen är utformad för att enbart behandla information om var man är listad och är tekniskt begränsad till enbart detta", uppger Staffan Gustavsson.
Uppgiften från vården.se att företaget inte kunnat komma åt patientuppgifter på 1177 är enligt Inera och Region Uppsala inte korrekt.