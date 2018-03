86.000 danskeres dna opbevares ulovligt i USA Aarhus Universitet har sendt danskeres blodprøver til USA uden at have styr på sikkerheden.

I strid med dansk lov har Aarhus Universitet i over 3 år ikke ført tilsyn med, hvem der har adgang til 86.000 danskeres dna, som universitetet har sendt til et amerikansk forskningsinstitut.

Der er tale om 86.000 blodprøver fra PKU-registeret, som opbevarer blodprøver på stort set alle nyfødte siden 1981. Blodet er sendt i anonymiseret form til Broad Institute i USA, som har omdannet prøverne til genetiske data, som er søgbare på en computer. De berørte danskere er ikke blevet informeret.

Aarhus Universitet har underskrevet en databehandleraftale med det amerikanske institut, som stiller krav til sikkerheden. Men der er aldrig ført kontrol med, om aftalen er overholdt, selv om det er et krav i persondataloven.

Det indrømmer Arnold Boon, direktør for Aarhus Universitet.

»Vores forskere har været derovre flere gange, og de har også eksplicit drøftet sikkerhed med instituttet. Men det er korrekt, at vi ikke har færdigudarbejdet nogen model for at kontrollere sikkerheden, eller hvordan vi indrapporterer det. Det er vi blevet opmærksomme på nu. Vi skal have lavet en formaliseret opfølgning på, hvordan Broad Institute arbejder med sikkerheden«, siger han.

Danskernes dna indgår i det såkaldte iPSYCH-projekt, der forsker i genetiske årsager til psykiske sygdomme.

Direktør for projektet, Preben Bo Mortensen, har underskrevet aftalen med amerikanerne:

»Broad Institute har gjort rede for, hvad sikkerhedsforholdene er for data. Og vi forskere har selv gennemgået den omfattende sikkerhedsprocedure, der er på instituttet, så vi kender godt til det. Men at have en person, der går ind og kigger på deres logfiler for at se, hvem der har haft adgang til disse anonymiserede data, det er rigtigt nok ikke sket endnu. Det er de retningslinjer, vi skal have på plads«.

Persondataloven brudt

Politiken har ingen grund til at antage, at danskernes dna ikke opbevares forsvarligt. Broad Institute er et velrenommeret forskningscenter.

Men når Aarhus Universitet ikke har ført kontrol med sikkerheden, har universitetet efter alt at dømme brudt persondatalovens paragraf 42.

Danske myndigheder kan overdrage følsomme data til en databehandler i et tredjeland, men de kan ikke overdrage ansvaret for, at dansk lov overholdes. Det forklarer Jesper Husmer Vang, leder af tilsynsenheden hos Datatilsynet:

»Når Aarhus Universitet benytter det amerikanske institut som databehandler, skal de påse, at instituttet lever op til de samme sikkerhedskrav, som Aarhus Universitet selv skal leve op til«, siger han.

Datatilsynet vil nu undersøge sagen.

Den manglende danske kontrol er problematisk, siger Henning Mortensen, formand for Rådet for Digital Sikkerhed:

»Parterne kan love hinanden mange ting på papiret, men det handler om at tjekke, at det, der loves på papiret, også rent faktisk føres ud i livet. Aarhus Universitet skal kontrollere, hvilke medarbejdere hos Broad Institute der har tilgået danskernes oplysninger«.

Universitetsdirektør Arnold Boon lover, at man hurtigt vil rette op:

»Vi er forpligtet til at leve op til lovgivningens krav. Hvis der er områder, hvor vi kan se, vi skal gøre det bedre, skal vi også gøre det«, siger Arnold Boon, der ikke kan vurdere, om persondataloven er brudt. Han erkender, at man ikke er i mål, hvad angår kontrol af samarbejdspartnere.

Der er i dag ingen straf for at bryde persondataloven. Men når EU’s persondataforordning træder i kraft 25. maj, kan Aarhus Universitet idømmes bøder på op til 16 millioner kr. for ikke at have styr på sikkerheden. De kan også få forbud mod at overføre personfølsomme data til andre.