Region H vil lægge data om børn i åben forskerdatabase

Illustration: Bigstock
Oplysninger om børns alder, køn, diagnose, socioøkonomisk status og IQ ønskes videregivet til den offentligt tilgængelige forskningsdatabase Figshare.

Datatilsynet har givet den første tilladelse til videregivelse af personoplysninger til tredjemand.

Det skriver Computerworld.

Men Datatilsynet har stillet et vilkår om, at når videregivelse sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift, må personoplysninger hos den modtagende dataansvarlige alene gøres tilgængelig for en begrænset personkreds, der har et konkret og sagligt formål med behandlingen heraf.

De pågældende data stammer fra et forskningsprojekt i Region Hovedstaden.

Oplysningerne ønskes videregivet til datarepositoriet Figshare, som er en offentlig tilgængelig database, der har til formål at øge gennemsigtigheden og muligheden for, at andre forskere kan replikere resultaterne.

Det fremgår af tilsynets afgørelse.

Læs også: Forsker: Vi har en meget liberal adgang til borgernes sundhedsdata

Region Hovedstaden oplyser til Datatilsynet, at det handler om oplysninger om børn i alderen fra 8 til 12 år. Det er 60 børn med Tourettes syndrom, 26 børn med ADHD, 19 børn med Tourettes syndrom og ADHD samt 55 raske kontrolbørn.

Der ønskes videregivet oplysninger om testscorer fra en eksperimentel test, spørgeskemadata om symptomer, oplysninger om alder, køn, diagnose, socioøkonomisk status og IQ.

Oplysningerne er pseudonymiserede, men oplysningerne vil på sigt blive anonymiserede, når nøglefilen slettes senest i år 2023.

Læs også: Kritik fra Datatilsynet hagler ned over forskere: De forsynder sig mod persondatalovgivningen

Datatilsynet har modtaget Region Hovedstadens anmodning om tilladelse efter databeskyttelseslovens § 10, stk. 3, der omhandler videregivelse af personoplysninger fra videnskabelige undersøgelser. Forskningsprojektet har titlen 'Emotionsregulering og belønningssystemet hos børn med neuropsykiatriske lidelser'.

Region Hovedstaden har oplyst, at videregivelsen sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift, hvorved videregivelsen er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 3, mener Datatilsynet.

Læs også: Trivselsmåling og sundhed: Står forskernes behov for data højere end borgernes krav om privatliv?

Det skal inden videregivelsen påses, at personoplysningerne udelukkende videreanvendes til videnskabelige og statistiske undersøgelser. Endvidere skal det påses, at den modtagende dataansvarlige overholder en række vilkår, herunder, at personoplysningerne skal slettes, anonymiseres, tilintetgøres eller tilbageleveres, når behandlingen heraf ikke længere er nødvendig som led i viderebehandling til videnskabelige eller statistiske formål.

Opdateret kl. 13.15. Datatilsynet har præciseret, hvilke vilkår der ligger til grund for tilladelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Tourettes syndrom er en ganske sjælden sygdom, og kun få får diagnosen. Og hvor mange har en dobbeltdiagnose? Mao. hvor mange, udover de 19, som er med, findes der blandt børn i alderen 8-12 år?

Hvis man så oveni kender alder og køn, og måske kan give et godt gæt på socialgruppen, hvor stor er risikoen for reidentifikation?

Det, som jeg spørger om, er reelt, om man i forbindelse med beslutningen har gjort sig nogle overvejelser om den konkrete reidentifikationsrisiko, eller om man udelukkende har kigget "på paragraffer"? Og i givet fald, hvem har lavet denne vurdering? Datatilsynet (eller har de bare kigget på, hvad der bliver lovet, og hvad der står i loven)?

Anne-Marie Krogsbøll

Forståelsesspørgsmål:

Det skal inden videregivelsen påses, at personoplysningerne udelukkende videreanvendes til videnskabelige og statistiske undersøgelser. Endvidere skal det påses, at den modtagende dataansvarlige overholder en række vilkår,"

Hvis det er offentligt tilgængeligt - det forstår jeg som at jeg selv principelt kunne tilgå det - hvordan kan man så sikre det?

"Oplysningerne er pseudonymiserede, men oplysningerne vil på sigt blive anonymiserede, når nøglefilen slettes senest i år 2023."

Meningen med overhovedet at have en nøgle er vel, at man vil kunne arbejde personidentificerbart med oplysningerne? Så hvem er de pseudonymiserede i forhold til? Hvis det er offentligheden, så lyder pseudonymisering som meget utilstrækkeligt.

På hvad måde adskiller denne database sig egentlig fra Sundhedsdatastyrelsens databaser, som forskere jo i forvejen kan få adgang til? Jeg forstår ikke helt konceptet. Hvis fidusen er, at Figshare er privat, hvad i alverden er så begrundelsen for at give tilladelse til den slags - data kunne vel opbevares lige så godt hosSundhedsdatastyrelsen? og hvad får regionen for det? Må vi se "business casen"?

Hvis det er, som jeg mistænker, at man nu begynder åbenlyst at videregive dataslavernes private data - oven i købet børn - til private overvågningskapitalister, så er det simpelthen noget svineri. Har de ingen skam i livet? Ikke engang Datatilsynet kan vi åbenbart stole på mere.

Jeg vil have åbnet parti- og kandidatkasserne, så jeg kan se, hvem det er, der har bestukket vore politikere til at sælge borgerne til private overvågningskapitalister på denne måde. Jeg anerkender simpelthen ikke, at politikerne overhovedet har rettigheder til at gøre dette - det er regelret magtmisbrug.

Jakob Skov

Det er ret smart! Man skaber en ret unik mulighed for ved reidentifikation at studere indvirkningerne på børnene og deres forældre, når man banker på og fortæller dem at deres data er tilgængelige i FIG og at det er derigennem at de er fundet. Området er af en eller anden grund ikke særlig velafdækket, så den nye viden fra et sådant studie vil have en betydelig samfundsmæssig værdi.

Jesper Frimann

Først vil jeg lige påpege, at jeg er stor tilhænger af fri uafhængig forskning også internationalt. Og jeg anerkender behovet for at kunne dele data. Også for the common good of mankind.

Jeg mener sådan set at Datatilsynet ikke har gjort deres arbejde godt nok. IMHO er det ikke nok bare, at 'nøjes' med at citere lovgivningen. Men er sku nødt til at gå ned i materien og forholde sig til tingene specifikt.

Nu var jeg igang med en længere kommentar, da artiklen blev 'refreshed' så det .. ja røg. Men essensen er der er cirka 800 børn med Tourettes syndrom i Danmark (fra hvad jeg har kunnet google mig frem til). Det giver cirka 80 per årgang. Af disse er 25% piger.

Så når vi snakker om f.eks. piger af en bestemt årgang med både ADHD og Tourettes syndrom. Så er højst sansynligt kun en per årgang, i data. Og det ud af et samlet antal på igen 4-5 stk i hele Danmark. Og her har vi kun set på 3 dataelementer.

Ved lidt samkøring med åbne data, ville man formodentlig kunne identificere vedkommende.

Det er sku ikke ordentlig pseudonymiserede data.

Desuden dykker men ikke ned i Databehandleren figshare. Det er hosted i Irland på Amazon Cloud. Og har en politik(baseret på Creative commons license https://en.wikipedia.org/wiki/Creative_Commons_license) for hvordan man deler data.
Her havde jeg også gerne set en udtalelse fra Datatilsynet, der havde vejledt Regionen vdr. deling af data.

Jeg synes vi mangler noget faglighed i det her, hvordan kan vi blæse med mel i munden, altså dele forskningsdata og samtidig bevare borgernes kontrol med egne data.

Det eneste tiltag jeg har set der måske er vejen frem er Citizen key.

// Jesper

Anne-Marie Krogsbøll

Der er meget rigtigt i det, du skriver, Jesper Frimann. Men ud over problemet med pseudonymiseringen - som er stort - er der problemet med begrundelse for overhovedet at give den tilladelse.

Hvad i alverden kan begrunde, at man giver borgernes private data videre til overvågningskapitalister? Hvorfor kan deling ikke foregå gennem Sundhedsdatastyrelsen?

"Region Hovedstaden har i forlængelse heraf oplyst, at offentliggørelse i datarepositoriet Figshare skal ske som led i optagelse til godkendelse af en artikel hos Journal of Child Psychology and Psychiatry, og at offentliggørelsen efter det oplyste er en forudsætning herfor. I artiklen vil der blive indsat et link til databasen."

Hvad f..... er meningen? Skal et tidsskrift diktere, at borgernes private data skal udleveres til private firmaer? Find dog et andet tidsskrift at offentliggøre i. Dette tidsskrift er ikke anerkendelsesværdigt, for det må være styret af økonomiske bånd og interesser. Det presser forskere til at betale for offentliggørelse med borgerens privatliv. n valuta, som forskere slet ikke burde have ret til at betale med. Der er ingen saglig begrundelse for det, for forskerne kan henvende sig til Sundhedsdatastyrelsen i stedet.

Så dette er et eksempel på, hvordan overvågningskapitalismen arbejder: Med afpresning.

Hvem står bag projektet i regionen? Hvem finansierer det? Hvad sker der med data, når nøglen destrueres?

Når først data er videregivet, har vi ingen kontrol med, hvor de havner, uanset hvad Datatilsynet betinger sig.

Dette er et eksempel på, at Databeskyttelsesloven - som forventet - er et skalkeskjul for at beskytte overvågningskapitalisterne mod borgernes krav på privatliv - ikke borgeren. Den lov er gennemrådden - gennemhullet. Ingenting her, ingenting der - keine hexeri, nur behändichkeit - røgslør, manipulation. For den består af huller og undtagelser, som skal sikre, at kapitalen til hver en tid kan få fingre i data - de skal bare finde den egnede undtagelse fra beskyttelsesreglerne. Og det er bare første sag i den lavine af lignende sager, som vil vælte ned over os fremover, diget er brudt, data flyder ud i verden, uden for vores kontrol, vi er nu officielt datamalkekøer for overvågnignskapitalismen.

Jeg håber, at Version2 borer i dette projekt, dets baggrund, dets bagmænd, dets økonomi. For disse personer udnytter groft de borgere, de skulle tjene. Der noget må stikke under - det skal frem i lyset.

Forbrydere!​

Anne-Marie Krogsbøll

... ser ud til at være dette:

https://research.regionh.dk/da/projects/beloenningssystemet-hos-boern-me...

Afdelingen modtager bl.a - som forventet - midler fra Lundbeck-fonden.

Der indhentes samtykke fra forældremyndighedsindehaveren til deltagelse i projektet - men får de også præcise og dækkende oplysninger om videregivelsen af data til et privat firma i udlandet?

Og kan man give tilladelse til den slags på ens børns vegne? Åbenbart. Man må håbe, at barnet er enig, når det bliver gammelt nok til at forstå.

Fra Datatilsynets skrivelse:

2. Personoplysninger må udelukkende videregives i pseudonymiseret form, således at oplysningerne ikke er umiddelbart personhenførbare for den modtagende dataansvarlige."

Det er godt nok slattent! "Umiddelbart personhenførbare"? betyder det ikke, at det er nok at fjerne navnet? Elelr hvad betyder det?

9. Ved videregivelse der sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign. – eksempelvis med henblik på udførelse af en fagfællebedømmelse – må personoplysninger hos den modtagende dataansvarlige alene gøres tilgængelig for personer, der har et konkret og sagligt formål med behandlingen heraf."

Gummiparagraf!

11.Der må ikke behandles flere oplysninger, end hvad der er nødvendigt som led i viderebehandling til videnskabelige eller statistiske formål."

"Statistiske formål"? Det kan vel også dække statistikker til brug for markedsføring?

13.Personoplysninger skal slettes, anonymiseres, tilintetgøres eller tilbageleveres – således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger – når behandlingen heraf ikke længere er nødvendig som led i viderebehandling til videnskabelige eller statistiske formål. "

Og hvordan vil man så følge op på det, når først data er givet videre til et større antalt forskere rundt om i verden?

Bjarne Nielsen

Og kan man give tilladelse til den slags på ens børns vegne? Åbenbart. Man må håbe, at barnet er enig, når det bliver gammelt nok til at forstå.

Tja, når man ser, hvad nogle forældre lægger på nettet "på vegne" af deres børn, så kan man vel ikke være overrasket.

Men selv hvis man troede, at man ville være anonym, og selvom man troede, at man vidste hvad man gjorde, så kan man godt fortryde, at man kom i f.eks. British Medical Journal ... som det skete for dette par: https://arstechnica.com/science/2018/03/couple-freaks-after-tabloids-spr...

Reidentifikation kan ske på flere måder end man umiddelbart forestiller sig. Heldigvis var BMJ forstående, da de fik kolde fødder - det skal man nok ikke altid regne med.

Louise Klint

Jeg tænkte det samme, da jeg læste det i går:
Det må være en sagsbehandlingsfejl.

Men eftersom jeg ikke er jurist, valgte jeg at tøve en kende med at sige det højt.
I hvert fald forekommer det at være sagsbehandling med hovedet under armen.

Jeg mener at
1) Datatilsynet ikke kun bør forholde sig til formålet.
(Sagsbehandle ud fra formålet, nævnte paragraf).
Her er formålet:
Videregivelse af data mhp. offentliggørelse i videnskabeligt tidsskrift.

De bør også forholde sig til, hvad det indebærer
at opnå dette formål.
Fordi det har stor databeskyttelsesmæssig relevans.
Hensynet til det enkelte individ, som er leverandør af oplysningerne.

Her indebærer formålet: Mangfoldiggørelse af data i offentlig database, Figshare.

Ellers har vi jo en situation, hvor formålet helliger alle(hånde) midler.
Og så er der, for mig at se, åbnet en ladeport for datadeling, hvis denne
sagsbehandling bliver praksis.
Reelt meget ringe databeskyttelse af individet.

2) Desuden mener jeg, at nedenstående er forældet i vores digitale nutid,
og ikke mulig i praksis i den givne sag:

Endvidere skal det påses, at den modtagende dataansvarlige overholder en række vilkår, herunder, at personoplysningerne skal slettes, anonymiseres, tilintetgøres eller tilbageleveres, når behandlingen heraf ikke længere er nødvendig som led i viderebehandling til videnskabelige eller statistiske formål.

Når data stilles til rådighed i en offentlig database, som så. Over en årrække…

Det må være en ommer.

Log ind eller Opret konto for at kommentere