Skaraborgs sjukhus och ett 30-tal vårdcentraler i Skaraborg kan ha drabbats när en tysk leverantör av hjälpmedel blev utsatt för en cyberattack.
Det finns inget just nu som tyder på att personuppgifter läckt ut, men misstanke kvarstår och det inträffade utreds av tysk polis.
Det är det tyska företaget Medi som utsattes för ett dataintrång i början av augusti. Företaget säljer hjälpmedel till vården, det handlar främst om ortopediska hjälpmedel och så kallade medicinska kompressionsstrumpor. Vården gör beställningar via företagets webbshop.
En stor del av vårdcentralerna och sjukhusen i Västra Götalandsregionen använder denna webshop, och även några kommuner.
På Skaraborgs sjukhus finns tre olika enheter som gör beställningar den vägen, arbetsterapin/fysioterapin, hudmottagningen och kirurgin. Inom primärvården finns ett 30-tal vårdcentraler i Skaraborg, både inom Närhälsan och inom de privata, som beställer via denna webbsida.
Angreppet mot Medis huvudkontor i Tyskland skedde den första helgen i augusti. I ett meddelande till kunderna den 18 augusti så uppgav företaget att angriparna hade kommit åt data och att de inte kunde utesluta att det kunde ha påverkat personuppgifter.
Företaget skriver i ett mejlsvar till Västra Götalandsregionen, att det inte finns några indikationer på att data har stulits eller spridits, men att det heller inte kan uteslutas. De vet inte heller hur många personuppgiftsposter som berör Västra Götalandsregionen. Utredning pågår fortsatt i Tyskland tillsammans med polis och myndigheter.
Enligt företaget är det i de allra flesta fall endast namn och adress vid leverans till patient, som lagras.
Information kom sent
Det var först den 9 september som Västra Götalandsregionen centralt gick ut och informerade bland annat sjukhusen och Närhälsan om det inträffade. Region Kalmar drabbades samtidigt som Västra Götaland, men de gick ut betydligt snabbare med det skedda. De meddelade Integritetsmyndigheten direkt och skickade ut ett pressmeddelande.
Maria Fast är säkerhet- och beredskapschef på koncernkontoret i Västra Götalandsregionen och förklarar fördröjningen i ett mejlsvar:
”VGR fick kännedom om händelsen i augusti och gick då ut med information till verksamheterna om hur de skulle göra sina beställningar i stället. I takt med att vi har fått mer information om händelsen har vi initierat samordning och informerat sjukhusen och personuppgiftsansvariga om att inleda utredningar. ”
Enligt Maria Fast har de inte fått in någon rapport om påverkan hos någon vårdaktör.
Hur jobbar ni med saken nu?
Vi har en kontinuerlig dialog med leverantören och utreder om några personuppgifter kan ha hamnat i orätta händer och om incidenten är anmälningspliktig till Integritetsmyndigheten. Det är personuppgiftsansvariga på förvaltningarna som gör utredningen.
Hur allvarligt ser ni på det inträffade?
Utredning pågår för att identifiera allvarlighetsgraden. I dagsläget har ingen påverkan rapporterats, men vi ser alltid allvarligt på angrepp som kan påverka vår verksamhet.
Leverantören ansvarig
Petter Hjalmarsson, jurist på Skaraborgs sjukhus förklarar att de ännu inte tagit ställning till om de ska informera de patienter som skulle kunna ha drabbats av intrånget. I ett mejlsvar skriver han följande:
"Enligt min bedömning är leverantören ensamt personuppgiftsansvarig för den personuppgiftsbehandling som sker i deras webbshop. Ur ett GDPR-perspektiv är det därför de som ansvarar för att informera de registrerade om det skulle krävas.”
Petter Hjalmarsson har påbörjat en utredning om eventuell påverkan på Skaraborgs sjukhus.
"Mina bedömningar, åtgärder och slutsatser kommer att dokumenteras i en tjänsteanteckning. Därefter återstår att invänta besked från leverantören om vad deras utredning kommit fram till”.
Närhälsan har däremot anmält händelsen i samma stund som de fick vetskap om det i förra veckan.
”I nuläget har vi inte några indikationer på att personuppgifter laddats ned från deras system.”, skriver Robin Karlsson, IT-strategi för Närhälsan.
Två exempel på vårdcentraler som använder webbutiken är Närhälsan Mariestad och Närhälsan Ågårdsskogen i Lidköping. Men ingen av dessa har märkt någon påverkan. Enligt verksamhetschefen på Ågårdsskogen så skriver de heller aldrig in personuppgifter i samband med beställning via denna webbshop.