Foto: Scanpix

Sjukhus mörkade att patientuppgifter läckt ut

Uppdaterad
Publicerad

Hundratusentals patientuppgifter kan ha läckt ut efter att Västra Götalandsregionen utsattes för ett dataintrång i augusti i år. Ändå valde man att mörka läckan och inte informera berörda patienter. 

– Alla skyller på varandra, säger chefläkaren Ulf Almqvist.

I augusti i år utsattes flera webbsidor inom sjukvården i Västra Götalandsregionen för en hackerattack som det löst sammansatta nätverket Anonymous sade sig ligga bakom. Enligt Göran Ejbyfeldt, IT-direktör på Västra Götalandsregionen, fick hackarna tillgång till känsliga och sekretessbelagda patientuppgifter som namn, personnummer, sjukdom, diagnos och var man har sökt vård.

– Om de fick tag på känsliga uppgifter är det väldigt allvarligt. Det är inte säkert att hackarna förstod vad de kommit över, men en annan mer allvarlig teori är att de sparat uppgifterna för att använda dem senare i ett annat syfte, säger Daniel Goldberg, it-journalist och författare till boken ”Svenska hackare”.

Informerade inte patienterna

Men regionen beslutade att inte informera patienterna om att deras uppgifter läckt ut. Först efter att Expressen tagit del av IT-säkerhetsutredningen som gjordes efter attacken öppnade Västra Götalandsregionen en telefonlinje till oroliga patienter, flera månader efter att attacken ägt rum. Ingen av de berörda cheferna som SVT når kan förklara varför inte patienterna fick veta att deras patientuppgifter kan ha hamnat i orätta händer – och ingen vill ta ansvaret för beslutet.

– Vi fokuserade på att åtgärda själva grundproblemet, att man kunde komma in i vår miljö. Sedan är det en bedömningsfråga, vi prioriterade att återställa säkerheten för patienterna. Vi vet att de hade tillgång till patientdata men inte om de hade plockat ut den, säger Göran Ejbyfeldt, IT-direktör, till SVT.

Men kunde man inte också ha hört av sig till patienterna?

– Det är som sagt en bedömningsfråga. Men då oroar man ju patienterna, vi har ju inte sett om några uppgifter har kommit ut under de här månaderna.

Skjuter bort ansvaret

När det kommer till informationen till patienterna hänvisar Göran Ejbyfeldt vidare till Ulf Almqvist som är chefläkare för de berörda sjukhusen i området kring Trollhättan, Vänersborg och Uddevalla.  Ulf Almqvist säger dock att beslutet att inte informera fattades inom Västra Götalandsregionen.

– Man tog beslut att detta inte skulle komma ut. Jag vet att man resonerade så att man inte ville oroa patienterna och man menade att man inte hade klart för sig om de hade spritts vidare heller inte. Man hade den förhoppningen att uppgifterna inte hade plockats ner, säger Ulf Almqvist. 

Men borde inte patienterna få veta detta så att de kan vidta åtgärder för att skydda sig?

– Ja, det kan man kanske tycka. Men nu var det ju hundratusentals uppgifter, ända tillbaka från 1990-talet, det är mycket data som samlats under den tiden. Men det hela är förskräckligt.

Borde man ha gått ut med ett pressmeddelande redan i augusti?

– Man gjorde den bedömningen att inte göra det.

Resonerade man kring vilka konsekvenser det här kunde få för patienter, till exempel för personer med skyddad identitet?

– Det kan inte jag svara på eftersom jag inte var med och tog beslutet. Nu skyller man på varandra här då. Valter Lindström, säkerhetsdirektören, måste ha varit med och tagit beslutet.

Ingen kan svara

SVT når Västra Götalandsregionens säkerhetsdirektör Valter Lindström, som dock hänvisar oss tillbaka till Ulf Almqvist.

– Jag vill skicka dig till Göran Ejbyfeldt eller Ulf Almqvist. Almqvist ansvarar för besluten som rör information till patienterna.

Här har vi alltså tre höga chefer inom Västra Götalandsregionen varav ingen kan svara på varför inte patienterna hade rätt att få veta att deras uppgifter har varit på drift. Västra Götalandsregionen har i dag gått ut med att man i utredningen konstaterar att man inte har följt riktlinjerna, utan att flera databaser med patientuppgifter har legat lokalt lagrade och funnits tillgängliga.

”Inte gjort sitt jobb”

Västra Götalandregionen har valt att inte säga något då man inte vet om uppgifterna har använts. Att hackarna inte gått ut med sin attack mot sjukvården i Västra Götaland och velat ha uppmärksamhet förbryllar, enligt it-journalisten Daniel Goldberg. Han menar att Anonymous kännetecken är att man använder dataintrånget för att skapa uppmärksamhet, i det här fallet till stöd för Wikileaksgrundaren Julian Assange.

– Jag spekulerar bara nu, men om man vill använda uppgifterna så ligger det ju inte i ens intresse att berätta vad man kommit över förrän man gör slag i saken. Om du hittat en säkerhetslucka så finns det ett värde i att inte berätta om den för så fort den inte är hemlig längre så täpps den till.

– Det verkar ju inte som att it-avdelningen på Västra Götalandsregionen har gjort sitt jobb, säger Daniel Goldberg.

På fredagseftermiddagen hade ett tiotal oroliga patienter hört av sig till telefonlinjen, som förlänger öppettiden till 19.00 på fredagskvällen och även håller öppet under helgen.

Fakta

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.