För ungefär åtta år sedan införde Vårdguiden, som drivs av Stockholms läns landsting, e-tjänsten Mina vårdkontakter. Den gör det möjligt för personer att ta kontakt med sin mottagning via datorn, genom att skaffa ett användarkonto. Men nu riktar Datainspektionen kritik mot tjänstens inloggningssystem. Det räcker med att bara skriva in sitt personnummer och lösenord för att komma in i systemet.

– Lösenord och användarnamn är gårdagens teknik. Det räcker med att någon får reda på lösenordet så får de tillgång till känsliga uppgifter eller kan utge sig för att vara användaren. Och det är känsliga personuppgifter som det handlar om i det här fallet, säger Magnus Bergström, IT-säkerhetsspecialist på Datainspektionen.

I e-tjänsten lagras känsliga vårduppgifter som rör cirka 330 000 patienter. Datainspektionen rekommenderar istället att man använder sig av e-legitimation, vilket det finns möjlighet till inom e-tjänsten. Men bara en tredjedel av användarna loggar in med e-legitimation. Därför förelägger nu Datainspektionen att landstinget tar bort möjligheten att logga in med personnummer och lösenord helt.

– Vi har starka krav på att man ska hitta en annan lösning och jag har inte hört någonting annat än att man har för avsikt att göra det. En bra lösning skulle ju vara att man endast kan använda sig av e-legitimation för att logga in. Det ser jag som den mest praktiska lösningen, säger Magnus Bergström.

Kim Nordlander, enhetschef för Vårdguiden i Stockholms läns landsting, säger att de tar allvarligt påuppmaningen och att de nu diskuterar olika lösningar.

– Vi tar det här på absolut största allvar och i grunden har vi samma syn på systemet. Och om man tittar på hur vi har arbetat med att ta fram tjänsten, så erbjöd vi inloggning med e-legitimation redan från början, år 2003. Men då var det få som använde e-legitimation och vi skapade ytterligare en inloggningsmöjlighet. Och systemet i sig är väldigt säkert, vi har inte haft en enda incident under alla dessa år, säger hon.

Enligt henne kommer de att kunna införa en annan lösning någon gång under året, men att stänga ner inloggningssystemet rakt av, så att det bara går att använda sig av e-legitimation, tror hon inte på.

– Vi är rädda för att man i så fall stänger ute massor av grupper som till exempel personer under 18 år som inte kan få e-legitimation, säger hon.

Föreläggandet träder i kraft om tre veckor och om landstinget inte följer beslutet kan Datainspektionen förelägga om vite.