Hur är det möjligt att patientuppgifter kan läcka ut så som de gjort i Kristinestad och kan vi som konsumenter skydda oss från att personlig data sprids ut? – Det måste finnas tillräckligt med datahanteringssäkerhet för patientdata, helt klart har någon gjort ett misstag, säger datasäkerhetsexpert Benjamin Särkkä.
Det är inte ovanligt att det finns data kvar på begagnade datorer säger datasäkerhetsexpert Benjamin Särkkä. Speciellt när det gäller privat- eller företagsdatorer låter folk ofta bli att radera eller skriva över sin hårddisk. Fast man skriver över hårddisken är det svårt att få all data att försvinna helt och hållet.
Patientdata borde skyddas ordentligt
På hårddisken till datorerna i Kristinestad fanns information om såväl namn, hemort och personsignum som detaljerade patientrapporter.
– Det som var lite förvånande var att det fanns patientdata i maskinerna. Man skulle ju tro att instanser som hanterar patientdata skulle förstöra hårddisken riktigt ordentligt, säger Särkkä.
Det är ännu oklart hur läckan gått till, men det är den som tagit in personuppgifterna som bär ansvaret för datan. Var det gått fel är svårare att säga. Särkkä säger att det kan hända att man anlitat en extern firma, kanske leasat datorer och att det företaget enligt kontraktet lovat förstöra begagnade datorer. Men att något helt enkelt gått fel och så har datorerna hamnat på loppis.
Kan man då själv göra något för att skydda sig från dataläckor?
Benjamin Särkkä säger att vi som konsumenter och patienter har rättigheter efter att den europeiska dataskyddsförordningen GDPR har trädde i kraft förra året.
GDPR ska skydda medborgaren och dennes personuppgifter. Men det här gäller bara om vi avslutar vårt kund- eller patientförhållande säger Särkkä. Så när det gäller sjukvård kan det vara problematiskt.
– GDPR säger att vi har rätt att bli glömda. Om vi inte längre är kunder eller patienter så har vi rätt att kräva att de förstör alla data om oss. Men om vi fortsätter kundförhållandet och data läcker ut är det mycket lite vi kan göra. Vi blir offer helt enkelt, säger Särkkä.
Skyldiga att kontakta utsatta
Benjamin Särkkä säger att enligt GDPR är företag skyldiga att meddela om dataläckor. Den som blivit utsatt för en läcka har rätt att inom 72 timmar bli informerad om vilken information som läckt ut.
– Företaget som äger datan har ett ansvar att meddela alla som varit med i läckan. Men frågan är ju om de ens vet vilka hundra människor som drabbats, säger Särkkä.
I det här fallet fick mannen som köpt datorerna också tillträde till en läkardatabas. Han skulle i praktiken ha kunnat börja skriva ut recept på läkemedel.
– Om en dator är helt oraderad så finns uppkoppling och lösenord kvar i datorn, säger Särkkä.
Särkkä säger att det är tur att mannen var ärlig och inte hade några onda avsikter. På datorn fanns också lappar med lösenord, något som man absolut ska undvika säger Särkkä.
Skydda din egen dator
Vi borde vara försiktiga och skydda våra datorer säger Särkkä. Speciellt om det handlar om bärbara arbetsdatorer som man tar med sig hem, på resor eller på bussen.
Särkkä säger att det finns teknik, full disk encryption, för både Windows och Apple som kräver ett extra lösenord för att man ska komma åt den data som finns på hårdskivan. Risken är annars att någon kommer över vår dator och gör något dumt och sedan ser det ut som om vi själva är skyldiga.
– I värsta fall sker det i ditt namn och det kan ge dig stora problem. Om ditt lösenord hittas på datorn så ser det ut som om det vore du. Det är det enda sättet som systemet känner igen användaren, säger Särkkä.