IMY är nu klara med sin granskning av de oskyddade telefonsamtalen som blev känd i början av 2019.
Myndigheten konstaterar att Medhelp i egenskap av vårdgivare och personuppgiftsansvarig har en skyldighet att se till att telefonsamtalen till Vårdguiden varit skyddade.
– Medhelp har även lagt ut vårduppdrag och personuppgiftsbehandling till det thailändska bolaget Medicall, som inte omfattas av svensk hälso- och sjukvårdslagstiftning och som heller inte omfattas av den lagreglerade tystnadsplikt som finns i vården. Det strider mot dataskyddsförordningens princip om laglighet, säger Magnus Bergström.
Granskningen har omfattat totalt tre företag och tre regioner.
Utöver Medhelp utfärdar IMY även en sanktionsavgift på 650 000 kronor mot Voice Integrate. Företaget hade ansvar som personuppgiftsbiträde och skulle därmed skydda ljudfilerna som företaget hanterat på uppdrag av Medhelp.
Medhelp: Har skärpt säkerheten
Medhelp säger att man nu vidtagit flera åtgärder efter att de oskyddade inspelningarna blev kända. Nu informeras inringare om hur deras personuppgifter hanteras och företaget har avslutat samarbetet med underleverantören som orsakade läckan.
– Den kanske främsta orsaken till incidenten var en bristande uppföljning av vår underleverenatör. Men det är solklart att det är vi som har det övergripande ansvaret, säger Björn Arkinger, chef för vårdtjänster på Medhelp.
Företaget bedriver sedan 2019 ingen sjukvårdsrådgivning utanför Sverige, säger han.
– Till de som är oroliga vill jag säga att man kan känna sig helt säker när man ringer 1177 i dag.
Brister hos regionerna
IMY riktar även kritik mot Region Stockholm, Sörmland och Värmland som haft brister i informationen till de som ringt Vårdguiden.
Region Stockholm anses ha haft störst brister och tilldöms därför en sanktionsavgift på 500 000 kronor, region Sörmland och Värmland får betala 250 000 kronor.