Samtal till 1177 fritt tillgängliga på nätet okrypterat

Brukar NAS köra Apache på Ubuntu? Eller de kanske bara identifierar sig så, jag vet inte.

Men det känns som en server som stått i nån garderob och agerat lagringsserver iaf.

Inte direkt oväntat att Medhelp avslutar samarbetet med Voice Integrate.

"Förtroendet för leverantören är förbrukat och vi kommer söka nya samarbetspartners, säger Björn Arkinger, affärsområdeschef på Medhelp till P4 Stockholm."

https://sverigesradio.se/sida/artike...rtikel=7159312

Att de ens fick uppdraget? Någon som har upphandlingskraven? Hur ser avtalet ut? Fäll den som handlat upp detta. Så trött på dessa avslöjanden. När kommer journalerna att bli allmängods?

edit: orka göra "reklam" kanske..

Företagets hemsida tog bort sitt meddelande dom hade förut. (Voice Integrate)
https://imgur.com/a/6shbdsS (Screenshot).


Haha skulle inte förvåna mig.

Nja. Både gömma sig bakom Wordpress-standard och den har sajten sänder varningsflagg! Otroligt klantig sida, värsta jag sett. Ett skämt! Kan man inte se igenom det, har man inget med it-upphandlingar att göra. Sidan såg ut att vara skapad 1996, skojar inte.

Nu är det faktiskt så att 1177, om du ringer dom, ber att du skickar brev till precis Charlotte Björkman.

Ring 1177, tryck 9 och be om namn på data protection officer. Sen skickar du dit. Jag fick namnet till Charlotte Björkman. Ger dom fel namn så är det 1177 som gör fel och får du ett annat namn så rapportera i tråden.

Alla företag har skyldighet att svara till enskilda personer inom 30 dagar. Sen har alla företag skyldighet att ha intern dokumentation för allt det jag skriver i brevet. Det är möjligt att dom nekar att skicka över dokumentation, men dom borde ha en riktig bra orsak för att bryta lagen.

https://gdpr-info.eu/art-15-gdpr/

Alla stora bolag har system som kan hantera miljoner av GDPR-baserade frågor som detta, så det är inget konstigt alls. Det betyder inte att dom måste svara med rätt nummer på varje fråga, men dom måste skicka över dokumentation för allt det man frågar om.


Spelar ingen roll



Bästa praxis och mycket, mycket dokumentation. Man måste dokumentera vilka åtgärder man tagit, precis alla typer personligt data man lagrat, vilka databaser finns, varje process vilket personlig data går genom och vilka "legal basis" man användar för varje processen.

Man måste ha dokumentation på varje person och vilka befogenheter dom har i förhållande til personlig data. I princip - "bästa praxis" betyder en hel massa dokumentation.

Extremt sensitiv data som vi talar om här har garanterad behov av extremt mycket dokumentation. Sannolikheten att den inte finns eller krävs av lagen, at det finns något undantag, är noll.

Det är allt brevet frågar efter. All dokumentation GDPR kräver att bolaget har koll på.

Notera t.ex art 13 - all information som måste ges till "data subject". Det är du och jag inte datainspektionen. MedHelp kan inte bara rapportera till datainspektionen, dom ska rapportera till data subject.




Finns inte den grundläggande dokumentation brevet efterfrågar så följer dom inte lagen. Redovisningsskyldighet till datainspektionen gör inte att man inte kan kräva data direkt som data subject.

Måste bara säga att om MedHelp avslutar samarbetet och på det sätt inte längre har översikt över vilka databaser som finns och vart data finns så bryter dom GDPR, t.ex. artikel 15.

Viktigt att alla skickar GDPR förfrågan till MedHelp AB och 1177 så snabbt som möjligt så klockan börjar gå på dom 30 dagarna dom har att besvara efter lagen. Skicka brevet jag skrev tidigare.


https://www.1177.se/Stockholm/Regler...taskyddsombud/

Stockholms läns sjukvårdsområde
Dataskyddsombudet
Box 179 14
118 95 Stockholm
Telefon 08-123 400 00

Landstingsstyrelsen förvaltning, LSF
Dataskyddsombudet
Box 225 50
104 22 Stockholm
Telefon 08-737 25 00

Södermanland och Värmland har inte information om dataskyddsombud på 1177.
https://www.1177.se/Sormland/Regler-...taskyddsombud/
https://www.1177.se/Varmland/Regler-...taskyddsombud/

Det är sannolikt ett lagbrott enligt GDPR 37.7:

The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

Om man skall uppsummera... Någon har stoppat in en lös kabel i en NAS (Eller i en switch ?) och plötsligt blir hela systemet konfigurerat att sända till denna NAS ?

Inget är såklart 100% säkert när människor finns i närheten, men god praxis är annars att deaktivera portar som inte är i bruk...

wp är ingen standard..
it upphandlingar har inget med hemsida att göra
drifttekniker är inte backend/front designers, bara kolla hur google såg ut anno 2010 och drog in världens främsta

Handlar man upp tjänster får man vara begåvad nog att titta på hur företaget hanterar allt, inte bara just det de ska utföra (som de inte heller klarade av). Orkar inte förklara mer än så för dig.

Nja, inte riktigt (som jag fattar). En lokal maskin tycks ha använts för backup. På något sätt har denna maskin kopplats upp som webbserver på nätet. Därmed har alla filer blivit tillgängliga för den som har sökvägen. Och CS har fått ett tips om detta.