Svenska patientuppgifter i fara efter attack mot tyskt vårdföretag

Sjukhus Personal

Foto: Adobestock

En stor del av vårdcentralerna och sjukhusen i bland annat Västra Götalandsregionen kan ha påverkats när en tysk hjälpmedelsleverantör utsatts för en cyberattack. Än så länge är det oklart om personuppgifter har läckt ut, men tysk polis fortsätter att utreda händelsen.

Det tyska företaget Medi säljer hjälpmedel till vården, bland annat rör det sig om ortopediska hjälpmedel och medicinska kompressionsstrumpor. Många av vårdcentralerna och sjukhusen i bland annat Västra Götalandsregionen gör beställningar via företagets webshop, vilket även några kommuner gör.

Angreppet mot företaget skedde den första helgen i augusti. Den 18 augusti meddelade företaget sina kunder att angriparna hade kommit åt data och att de inte kunde utesluta att personuppgifter kan ha påverkats.

VGR och Region Kalmar drabbades

Västra Götalandsregionen och Region Kalmar drabbades samtidigt, men Region Kalmar meddelade IMY direkt och skickade ut ett pressmeddelande, medan VGR informerade sjukhusen och Närhälsan först den 9 september.

 VGR fick kännedom om händelsen i augusti och gick då ut med information till verksamheterna om hur de skulle göra sina beställningar i stället. I takt med att vi har fått mer information om händelsen har vi initierat samordning och informerat sjukhusen och personuppgiftsansvariga om att inleda utredningar.

Vi har en kontinuerlig dialog med leverantören och utreder om några personuppgifter kan ha hamnat i orätta händer och om incidenten är anmälningspliktig till Integritetsmyndigheten. Det är personuppgiftsansvariga på förvaltningarna som gör utredningen, säger Maria Fast, säkerhets- och beredskapschef på VGR.

"Leverantören ensamt personuppgiftsansvarig"

Petter Hjalmarsson, jurist på Skaraborgs sjukhus, har ännu inte tagit ställning till om de ska informera patienter som skulle kunna ha drabbats av intrånget. 

 Enligt min bedömning är leverantören ensamt personuppgiftsansvarig för den personuppgiftsbehandling som sker i deras webbshop. Ur ett GDPR-perspektiv är det därför de som ansvarar för att informera de registrerade om det skulle krävas.

Uppdatering: Den 21 september beslutade Integritetsskyddsmyndigheten att lägga ned utredningen. Detta kommer efter att Medi menar att risken för läckage av patientuppgifter är mycket låg. 

Källa: Skaraborgs allehanda 

19 september 2022Uppdaterad 2 oktober 2023Reporter Fredrik Adolfssonsäkerhet, vård

Voisters nyhetsbrev

SENASTE NYTT