Artikel | 25 Feb 2015

Forskningsprojekt, känsliga uppgifter och nätet – Datainspektionen tar Karolinska i örat

Responsive image

Datainspektionen har granskat forskningsprojektet LifeGene – Karolinska Institutets forskningsprojekt om vad arv och miljö betyder för människors hälsa. Granskningen påvisar ett flertal brister som Karolinska institutet föreläggs att åtgärda.

Bakgrund
LifeGene är ett projekt för bättre kunskap om hur våra gener, vår omgivning och vårt sätt att leva påverkar vår hälsa. Avsikten är att flera hundra tusen personer ska rekryteras som frivilliga under de kommande åren och att projektet ska pågå under många år framöver.

LifeGene bjuder slumpmässigt in personer som är över 18 år men det är också möjligt att själv anmäla sig som deltagare. Deltagande är frivilligt.

Bakom LifeGene står sex svenska universitet med sina medicinska fakulteter. Karolinska Institutet är värd för projektet och har en ledande och koordinerande funktion.

Tillsynsärendet
Tillsynsärendet avser tillämpning av specifik lagstiftning, nämligen lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, men det ger även ledning för annan behandling av känsliga uppgifter med avseende på hälsa, ex vis patientdata.

Karolinska institutet har i ärendet själv identifierat behov av stark autentisering. Man har invänt att personuppgifter inte lämnas ut genom direktåtkomst samt redovisat vilken information som lämnas och hur.

Datainspektionen konstaterar att Karolinska institutet:
– i strid mot förbud lämnar ut personuppgifter i registret LifeGene genom direktåtkomst,
– brister i skyddet av känsliga personuppgifter genom att lämna ut känsliga personuppgifter över öppet nät efter autentisering med enbart användarnamn och lösenord, och
– brister i informationsmaterialet om LifeGene genom att inte uppfylla kravet på att ange bl.a. ändamål behandlingen av personuppgifter, vilka uppgifter som får registreras, samt gällande sekretess- och säkerhetsbestämmelser .

Karolinska institutet föreläggs att åtgärda bristerna.

Datainspektionens beslut ger anledning att i samband med behandling av denna typ av uppgifter överväga bl. a. följande:

  • Vilka möjligheter och begränsningar som gäller för direktåtkomst för individer som deltar i ett forskningsprojekt, patienter eller andra.
  • Vilken kontroll personuppgiftsansvarig måste ha över vilken information som lämnas ut.
  • Säkerhetskrav vad gäller integritetsskyddet – i regel innebärande krav på stark autentisering och förutsättningarna för åtkomst via öppna nät.
  • Krav på detaljerad information till individen, om avsedd behandling och kopplingen till uttryckligt, informerat och frivilligt samtycke – det räcker inte med svepande formuleringar.

Utöver detta ska naturligtvis tillämplig lagstiftning beaktas även i andra avseenden.

Kontakt:

Verksamhetsområde:

Life Sciences

Vill du komma i kontakt med oss?

Fyll i formuläret samt vilket kontor du vill bli kontaktad av, så hör vi av oss inom kort.