antecknar vid laptop

Företaget WeMind psykiatri har mottagningar i Stockholm och Göteborg. I slutet på förra året uppstod problem i företagets it-system vilket ledde till att patienter inte dök upp till bokade sessioner. Klagomålen ökade och företaget tog in it-konsulter för att ta hand om problemet.

Dels hade företaget en klinikapplikation där genomförda besök och patientinformation registrerades. Dels använde företaget Googles kalender för att planlägga patientbesöken. Problemet visade sig vara att Google inte längre stödde importen av sessionerna från kalendern till klinikapplikationen.

Läs mer: Kommunens socialtjänst missade e-post om utsatta barn - i 18 månader

Lösningen blev ett massutskick via e-post till nästan två tusen patienter, där man skulle förklara att det inte skulle komma vare sig bokningsbekräftelser eller påminnelse-sms under ett par veckor.

Men när massutskicket gick iväg så hade någon skrivit in mottagarnas adresser i fel fält, vilket gjorde att samtliga adresser var synliga för alla som fick mejlet.

“När mottagaren av mailet öppnade upp mailet fanns samtliga övriga mottagare synliga i adressfönstret. Berörda patienter kunde således se adresserna till en rad övriga patienter på mottagningen. Sekretessen var således röjd”, skriver WeMind i en lex Maria-anmälan.

Nu har företaget kartlagt hur deras patienter drabbades. En patient blev sämre och skadade sig själv, en försämrades märkbart och avbröt sin behandling i förtid och sex patienter valde att sluta med sina behandlingar efter e-postmisstaget. I anmälan konstaterar företaget också att det kan finnas ett stort mörkertal av patienter som drabbats negativt.

Enligt anmälan finns flera orsaker till att det kunde gå fel. It-konsulten tänkte inte på hur viktigt det var att skydda mottagarna, den ansvarige chefen på företaget kontrollerade inte heller så att sekretessen var intakt – dessutom skedde hela arbetet under tidsbrist.

– Vi ser mycket allvarligt på det inträffade. Sekretessen inom vården är extra viktig, sa Urban Pettersson Bargo, vd för We mind, till TT i december.

Men problemen med WeMinds it-säkerhet slutar inte där. Själva klientapplikationen är också osäker. Det är en webbsida där uppgifter om patienterna finns lagrade med flertalet känsliga personuppgifter. Och den sidan går att komma åt var som helst, det räcker med användarnamn och lösenord för att logga in.

Nu ska anmälan utredas av Inspektionen för vård och omsorg, men it-konsulten har redan "befriats från vidare arbete och fråntogs dator och inloggningsuppgifter."