86.000 danskeres DNA sendt til USA uden kontrol

Illustration: vchal, BigStock

DNA for mange danskere født efter 1981 er sendt til USA - og ingen har ført kontrol med, at de faktisk bliver behandlet ordenligt, selvom projektet har varet over tre år.

Morten Egedal@mortenegedal Mandag, 12. marts 2018 - 9:136

Aarhus Universitet har sendt data fra blodprøver for 86.000 danskere til USA uden at føre et eneste tilsyn med databehandleren i over tre år, hvilket er i strid med persondatalovens §42 om at føre tilsyn med databehandleren.

Det er data fra PKU-registret, der lagrer blodprøver for næsten alle nyfødte siden 1981, skriver Politiken.

Universitetet har et samarbejde med Broad Institute i USA, hvor blodprøverne er omdannet til søgbare gendata, og de involverede danskere er ikke blevet informeret, da den sendte data er anonymiseret.

Persondataloven:

§ 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Stykkerne, der henvises til, siger:

Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger.

Kilde: Persondataloven

Arnold Boon, direktør for Aarhus Universitet forklarer, at:

»Vores forskere har været derovre flere gange, og de har også eksplicit drøftet sikkerhed med instituttet. Men det er korrekt, at vi ikke har færdigudarbejdet nogen model for at kontrollere sikkerheden, eller hvordan vi indrapporterer det. Det er vi blevet opmærksomme på nu. Vi skal have lavet en formaliseret opfølgning på, hvordan Broad Institute arbejder med sikkerheden«, siger han til Politiken.

Det store billede

Historien fra Aarhus Universitet er blot en enkelt brik i det store billede, og Version2 kunne i januar fortælle, at Statens Serum Institut ikke har ført et eneste tilsyn med databehandlere.

Der er altså både manglende tilsyn, og samtidig viser historien her, at det er så følsomme data som DNA, der sendes til udlandet uden nogen kontrol af, at de bliver håndteret korrekt.

Læs også: Datatilsynet løfter pegefingeren: Meget beklageligt, at SSI ikke lever op til loven

Både sundhedsminister Ellen Trane Nørby (V) og Datatilsynet kritiserede de manglende tilsyn hos Statens Serum Institut, og det viser sig altså nu, at Aarhus Universitet på samme måde ikke har ført tilsyn med sin databehandler.

Thomas Birk Kristiansen, formand for Patientdataforeningen, forklarede til Version2 i januar, at:

»At bryde lovgivningen for god databehandlerskik - og herunder inspektionen af databehandlere - betyder ikke nødvendigvis noget konkret, men det viser lidt et billede af, hvordan man behandler sundhedsdata i Danmark. Man har simpelthen sluppet bremsen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (6)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

Anne-Marie Krogsbøll Mandag, 12. marts 2018 - 11:44

Kun toppen af isbjerget...

... efter min opfattelse.

Efter at have kigget på mange forskeranmeldelser til Datatilsynet, er det min opfattelse, at vore data - og måske også biomateriale - ligger spredt ud over hele verden, både hos forskere, firmaer og hos egentlige databehandlere. Og jeg ville blive meget forbavset, hvis der er udført et eneste tilsyn nogen steder.

Og i artiklen på Politiken fremgår, at der færdes 1500 forskere på Broad Institut - hvor mange af disse har haft adgang, og til hvad? Hvor mange forskere på Broad Institut har samarbejdet med Ipsych? Er adgangen til data og biomateriale blevet logget konsekvent? Har nogen kigget i disse evt. logs nogen sinde - hvis de eksisterer?

Og ligeledes lyder det i Politikens artikler til, at man på Århus Universitet har svaret ud fra en forestilling om, at det er forskerne selv, der skal føre tilsyn. Er det den rigtigt fremgangsmåde - når man endelig går i gang med tilsyn? Forskere har vel ikke nødvendigvis forudsætninger for at kontrollere sikkerheden? Burde det ikke være ekstern revision/fagfolk?

Kenn Nielsen Mandag, 12. marts 2018 - 12:46

Hvad nu hvis

..det er 'synderne' som selv lækker oplysningerne..

Dérved kan det fastslås, at det er "en gammel forbrydelse", og ikke en der kan 'genopdages' efter GDPR træder i kraft.

Eller ?

Jesper Frimann Mandag, 12. marts 2018 - 14:43

Anonymiseret ?

Hvis man har en persons genetiske materiale, og man har muligheden for at kortlægge hele denne persons DNA fra materialet.

Hvordan ind i H****** kan man så sige, at det er anonymiseret ?

Jeg kan forstå, hvis man deler dele af folks genetiske kode, der har forskningsmæssigt relevans. Men der er da ikke noget der er mere personhenførbart end din genetiske profil.

// Jesper

Jakob Skov Mandag, 12. marts 2018 - 17:50

Dummy data

Man kan sagtens være large overfor forskningen uden at kompromittere dataene i så høj grad som man gør idag. Forskere er at betragte som selvstændige virksomheder og de har meget begrænsede forudsætninger for at tage korrekte hensyn i alle livets forhold. Bare fordi du er forsker indenfor gynækologi er du ikke nødvendigvis klogere end en 10-årig hvad angår datasikkerhed, for at sætte den på spidsen!

Det kunne være rettidig omhu at databaser bliver beskyttet af andre og udtræk bliver vurderet efter en fornuftig godkendelses-procedure. Og lad forskerne have adgang til en dummy database som de kan lave POC-testning på og dele til deres fingre brænder.

Det er lav-bureaukratisk, det ikke helt ortogonalt med de overordnede idealer indenfor datasikkerhed og det er fornuftigt at forskere ikke skal bekymre sig om for meget andet end selve forskningen!

Jesper Frimann Torsdag, 15. marts 2018 - 16:00

Real Life.

Nogen gange bliver det her mere end en teoretisk diskussion.
Min ældste søn har en synsfejl, som han er blevet opereret for. Den fantastiske (for det var hun sku) overlæge, der opererede ham starter nu et forsknings projekt i området. (fik et brev i dag) Som en del af projektet vil forsker teamet gerne have DNA prøver, også gerne fra mor og far.

Personlig synes jeg det er super relevant, da mange af kvinderne i både min og min kones familie har sådan et 'dronning Magrethe øje'.

Problemet er bare, at som forældre er man selvfølgelige nødt til at varetage sine børns interesser først. Og jeg tør simpelt hen ikke give dem ungernes DNA, set i lyset af hvad der bliver afdækket i denne tid.

Det er for at sige det lige ud skidt. Og det er tragisk, at fordi politikerne og embedsværket kegler rundt i lovgivning, og glemmer at beskytte borgerne, så må forskningen lide.

Det er sku lige til at blive p*sse hamrende sur over.

// Jesper

Niels Madsen Torsdag, 15. marts 2018 - 16:07

Re: Real Life.

Jesper,
Tak for at dele denne historie.
Jeg vil på det kraftigste opfordre dig til at skrive et åbent brev til det gode øjenlæge, med din forklaring på hvorfor du ser dig nødsaget til at afvise hendes ønske. Og vigtigst af alt, så send også dette åbne brev til mainstream avisernes debat sektion, og evt. til de politiske partier.

Log ind eller Opret konto for at kommentere