Aarhus Universitet har sendt data fra blodprøver for 86.000 danskere til USA uden at føre et eneste tilsyn med databehandleren i over tre år, hvilket er i strid med persondatalovens §42 om at føre tilsyn med databehandleren.
Det er data fra PKU-registret, der lagrer blodprøver for næsten alle nyfødte siden 1981, skriver Politiken.
Universitetet har et samarbejde med Broad Institute i USA, hvor blodprøverne er omdannet til søgbare gendata, og de involverede danskere er ikke blevet informeret, da den sendte data er anonymiseret.
Arnold Boon, direktør for Aarhus Universitet forklarer, at:
»Vores forskere har været derovre flere gange, og de har også eksplicit drøftet sikkerhed med instituttet. Men det er korrekt, at vi ikke har færdigudarbejdet nogen model for at kontrollere sikkerheden, eller hvordan vi indrapporterer det. Det er vi blevet opmærksomme på nu. Vi skal have lavet en formaliseret opfølgning på, hvordan Broad Institute arbejder med sikkerheden«, siger han til Politiken.
Det store billede
Historien fra Aarhus Universitet er blot en enkelt brik i det store billede, og Version2 kunne i januar fortælle, at Statens Serum Institut ikke har ført et eneste tilsyn med databehandlere.
Der er altså både manglende tilsyn, og samtidig viser historien her, at det er så følsomme data som DNA, der sendes til udlandet uden nogen kontrol af, at de bliver håndteret korrekt.
Både sundhedsminister Ellen Trane Nørby (V) og Datatilsynet kritiserede de manglende tilsyn hos Statens Serum Institut, og det viser sig altså nu, at Aarhus Universitet på samme måde ikke har ført tilsyn med sin databehandler.
Thomas Birk Kristiansen, formand for Patientdataforeningen, forklarede til Version2 i januar, at:
»At bryde lovgivningen for god databehandlerskik - og herunder inspektionen af databehandlere - betyder ikke nødvendigvis noget konkret, men det viser lidt et billede af, hvordan man behandler sundhedsdata i Danmark. Man har simpelthen sluppet bremsen.«