Nationalt Genom Center meldt til politiet og får bøde af Datatilsynet - hørte ikke myndigheden

6. april kl. 12:175
Nationalt Genom Centers supercomputer i en container
Illustration: Nationalt Genom Center/Klaus Vedfelt.
Datatilsynet anmelder DNA-center til politiet og indstiller til en bøde på 50.000 kroner. NGC overholdte ikke reglerne, da centeret begyndte en behandling af personoplysninger uden at høre Datatilsynet. Det skete på trods af, at NGC's egen konsekvensanalyse viste høj risiko for de registreredes rettigheder.
Artiklen er ældre end 30 dage

Datatilsynet anmelder Nationalt Genom Center til politiet og indstiller til en bøde på 50.000 kr. Centeret står for infrastrukturen bag udviklingen af personlig medicin i Danmark og skal indsamle og analysere 60.000 helgenomsekventeringer frem til 2024.

»Vi ser med stor alvor på denne sag, fordi den handler om det grundlæggende princip, at hvis en organisations behandling af personoplysninger vil udgøre en høj risiko for de personer, det handler om, så skal organisationen arbejde med risikoen og nedbringe den, før den går i gang med at behandle oplysningerne, « udtaler jurist i Datatilsynet Allan Frank i en meddelelse.

Datatilsynet modtog i starten af december sidste år en konsekvensanalyse vedrørende databeskyttelse (DPIA) fra Nationalt Genom Center (NGC), som behandler oplysninger om gensekventering.

Det fremgik af konsekvensanalysen, at NGC efter at have begyndt behandlingen var blevet gjort opmærksom på forhold, der kan udgøre en høj risiko for de registreredes rettigheder.

Artiklen fortsætter efter annoncen

»Hvis organisationen ikke har kunnet nedbringe risikoen ved at gennemføre konsekvensanalysen, skal Datatilsynet høres først for at sikre, at behandlingen er lovlig, og at den dataansvarlige har identificeret alle nødvendige risici og nedbragt risikoen. Der er med andre ord tale om en væsentlig retssikkerhedsmæssig garanti for borgernes rettigheder. Hvis man tilsidesætter den, underminerer man Datatilsynets muligheder for at få kendskab til og kontrollere lovligheden af behandlinger, der indebærer en stor risiko for de personer, hvis oplysninger bliver behandlet,« udtaler Allan Frank.

NGC overtrådte regler

Efter en indledende undersøgelse af sagen nedlagde Datatilsynet den 13. januar 2022 et midlertidigt forbud mod yderligere indsamling af personoplysninger og en begrænsning i behandlingerne af de allerede indsamlede oplysninger til udelukkende at omfatte opbevaring.

Forbuddet og behandlingsbegrænsningen skulle gælde, indtil NGC havde opfyldt reglerne om indholdet af en DPIA, og indtil der forelå en udtalelse fra Datatilsynet, hvis dette var påkrævet. Datatilsynet forbeholdt sig retten til senere at benytte alle sine beføjelser ift. en eventuel sanktion.

Efter en gennemgang af sagen finder Datatilsynet, at NGC ikke har ageret i overensstemmelse med reglerne, da de har påbegyndt en behandling af personoplysninger uden at høre Datatilsynet, selv om NGC's egen konsekvensanalyse viste, at der var en høj risiko for de registreredes rettigheder.

Datatilsynet har lagt vægt på, at NGC’s beskrivelse af konsekvens og sandsynlighed samt beskrivelsen af produktets risiko burde have fået NGC til at konstatere, at der bestod risikoscenarier i den kategori, NGC selv benævnte ‘høj.’

Datatilsynet har lagt særlig vægt på, at NGC’s egen beskrivelse af den eksisterende risiko var hvad der på europæisk plan betegnes som en høj risiko.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
6. april kl. 13:06

PS: Hvis jeg forstår det rigtigt, så kører NGC åbenbart stadig videre med stor risiko for alle vore yderst følsomme genetiske og andre sundhedsdata? Man har ikke kunnet løse problemerne..........................Hvad vil man så gøre fremover? Nedlægge NGC, eller vride regler og love, så det ad den vej bliver "lovligt og sikkert"?

Måske kan Version2 få aktindsigt i konsekvensanalysen? Hvor ligger risiciene, og hvor galt kan det gå?

4
8. april kl. 16:33

Det vigtigste her @AMK er, at biometriske data kan ikke rewokes. Du kan ikke ændre dit DNA, du kan ikke ændre dit fingeraftryk eller mønstret af blodårene i dit retina. Rigtig Rigtig meget af hvad NGC foretager sig vil high risk high impact.

// jesper

5
8. april kl. 16:38

Tak for svar, Jesper Frimann. Det lyder rigtigt. Men det er jo stort set umuligt at gøre noget ved, så hvad vil man gøre med dette flagskib fremover?

Og er der noget som helst cloud inde over her, eller er disse data hermetisk lukket inde i en forsker-maskine, hvorfra der ikke kan undslippe noget?

6
8. april kl. 16:40

(Wow - der er kommet redigeringsmulighed. Thumbs up! Ærgerligt, at jeg vist lige præcist denne gang ikke har lavet stavefejl - ikke opdaget dem, i det mindste))

1
6. april kl. 13:00

Kors, hvor er det råddent. Endnu et offentligt sted, som vi her i Version2's kommentarspor - og i den nu hedengangne Patientdataforening - utallige gange i årevis forgæves har forsøgt at råbe op omkring datarisikoen og de grove privatlivskrænkelser, som NGC er bygget på (Listen er alenlang, herunder den totale mangel på muligheder for borgerne for at holde sig fri af denne vampyrrede) - vi er gang på gang blevet hånede og mobbede for vores mistroiske og bagstræberiske holdninger, kaldt grimme navne som latterlige "sølvpapirshatte", for der er da ikke noget her i verden(srummet), som er så sikkert, som persondata i danske offentlige institutioner - og da slet ikke så sikkert, som i den danske forskerverden - Vorherres udsendte her på jord, som derfor ikke behøver overholde love og regler. Intet over og intet ved siden af forskningen (og medicinalindustrien), tåbeligheder som menneskerettigheder g reten til privatliv kan godt gå hjem og lægge sig.

50 000 kr? Det er jo latterligt. Det er en hån mod borgerne. Der er jo ikke mere, end hvad en enkelt korrupt forsker får i bestikkelse på en enkelt sponsorbetalt studierejse til et fjernt sted for at holde en enkelt figenbladsforedrag for at simulere, at rejsen har et sagligt - ikke et korrupt - formål.

Både Netflix og HBO og Discovery bugner af gode dokumentarer om, hvordan medicinalbranchen agerer, og påvirker vore beslutningstagere (som jo har besluttet NGC). Og hvis det ikke er nok til at overbevise en om råddenskaben i den branche, kan bl.a. Peter Gøtzsches bøger om branchen anbefales.