I en anmälan till Integritetsskyddsmyndigheten skriver Region Uppsala att det funnits risk att det privata företaget vården.se kunnat komma åt känsliga patientuppgifter på 1177.
Det kritiserade upplägget, som i november stoppades av 1177, har enligt Region Uppsalas utredning sett ut så här:
1/ En person vill lista sig hos en privat vårdcentral och skriver in vårdcentralens adress i sin webbläsare.
2/ Vårdcentralens webbserver skickar vårdcentralens sida till personens webbläsare.
3/ Personen klickar på länken "lista mig".
4/ Personens begäran om listning skickas från vårdcentralen till det privata företaget vården.se.
5/ Vården.se kontaktar 1177. Enligt regionen är det nu det kritiserade steget tas. Det sker genom att vården.se "utger sig" för att vara privatpersonens webbläsare. Vården.se loggar in på 1177 med personens uppgifter utan hens vetskap.
6/ 1177 skickar sin hemsida och QR-koden för inloggning till vården.se i tron att vården.se är en webbläsare
7/ Vården.se skickar QR-koden till vårdcentralens webbplats som i sin tur skickar den till personens webbläsare.
8/ Personen fotar QR-koden med sin bankID-app och knappar in koden.
9/ BankID bekräftar att identifieringen gentemot 1177 är korrekt.
10/ 1177 loggar in användaren i form av personen. Men i själva verket är det vården.se som loggats in, beroende på att företaget agerar webbläsare gentemot 1177. Detta känner dock inte personen till.
11/ Vården.se är nu inne på 1177 som om det varit personen själv som loggat in. Vården.se genomför listningen. Teoretiskt sett kan vården.se göra allt som en korrekt inloggad person kan, till exempel läsa journaler, ta del av diagnoser, medicinlistor och annat.