Dokumenter afslører: Statens Serum Institut har i seks år videregivet danskeres blodprøver uden tilladelse

SSI delte blod og væv fra biobank med over ti millioner prøver uden at få lov af Datatilsynet.

(Foto: Illustration: Simone Cecilie Møller © (c) DR)

Blodprøver, væv og andet biologisk materiale fra stort set alle danskere er opbevaret i Danmarks Nationale Biobank på Statens Serum Institut (SSI).

De omkring ti millioner prøver bliver blandt andet gemt, så de kan bruges til forskning.

Men nye oplysninger viser, at Statens Serum Institut gennem mere end seks år - fra 2012, hvor biobanken blev etableret og frem til udgangen af 2018 - videregav prøver til danske forskere uden at søge tilladelse hos Datatilsynet, som loven kræver.

Oplysningerne fremgår af dokumenter, DR har fået aktindsigt i fra Datatilsynet.

- Meget følsomt materiale

DR har bedt to eksperter gennemgå dokumenterne, og de mener begge, sagen er alvorlig. En af dem er Peter Blume, der er professor i databeskyttelse ved Københavns Universitet.

- Det står meget klart i loven, at når man videregiver den type materiale i forskningsmæssige sammenhænge, så skal man have tilladelse fra Datatilsynet. Og det skal man, fordi det er noget meget følsomt materiale, som indeholder oplysninger om borgerne, siger han.

Vores biologiske prøver indeholder oplysninger om vores helbred og også om de arvelige sygdomme, vi kan få i fremtiden, uden vi måske selv ved det endnu. Derfor er der særligt skrappe krav, når forskerne vil undersøge vores blodprøver og væv.

- Reglerne er lavet for at sikre, at de her oplysninger ikke bliver spredt alle mulige steder, uden man har en vis kontrol med det. For når de bliver givet videre, er der en risiko for, at nogen uberettiget kan få adgang til dem. Så jeg vil sige, at det er en alvorlig sag, siger Peter Blume.

Kent Kristensen, der er lektor i sundhedsjura ved Syddansk Universitet, er enig og vurderer, at sagen sår tvivl om, hvor prøverne er i dag.

- Man skal søge tilladelse til at give vævsprøver videre, så man hele tiden kan pege på, hvem der nu har dem, og hvem der er ansvarlig for dem. Når Statens Serum Institut ikke har søgt tilladelse, kan jeg blive bekymret for, om de har styr på, hvad der er blevet af prøverne, siger Kent Kristensen.

Blodprøver fløjet til USA

DR har de seneste dage omtalt en sag, hvor Statens Serum Institut har sendt hundreder af blodprøver fra gravide kvinder til USA uden at overholde data-reglerne. Blodprøverne blev brugt til kommercielle formål, uden at kvinderne var oplyst om det.

Men den sag er altså ikke det eneste eksempel på, at Statens Serum Institut ikke har overholdt de regler, der skal beskytte danskernes personlige oplysninger.

Uvist hvor mange prøver

I Danmarks Nationale Biobank ligger blandt andet rester af de hælprøver, der bliver taget af nyfødte babyer for at screene for sjældne sygdomme. Der ligger rester af de blodprøver eller andre prøver, vi får taget på hospitalet. Og biologiske prøver fra store forskningsprojekter.

Hvor mange af disse prøver, Statens Serum Institut har givet videre uden tilladelse fra Datatilsynet, fremgår ikke af de oplysninger, DR har fået adgang til. Men Statens Serum Institut har tidligere vurderet, at der sker videregivelser til forskningsprojekter uden for instituttet 10-20 gange om året.

Først i november 2018 begyndte Statens Serum Institut at søge om tilladelser fra Datatilsynet, når der skulle udleveres prøver til forskere.

Datatilsynet undrer sig

Da DR første gang spurgte Statens Serum Institut, hvorfor instituttet ikke havde søgt tilladelser tidligere, lød forklaringen, at man mente at have haft en generel tilladelse fra Datatilsynet. En slags forhåndsgodkendelse, der betød, at instituttet ikke behøvede at spørge hver gang.

Ifølge Statens Serum Instituts forklaring var den generelle tilladelse bortfaldet, da de nye europæiske regler for databeskyttelse, GDPR, trådte i kraft i maj 2018. Og instituttet blev opmærksom på, at den var bortfaldet et halvt år senere.

Men Datatilsynet undrer sig over forklaringen. Statens Serum Institut har nemlig aldrig haft en generel tilladelse til at udlevere blodprøver og væv uden først at spørge om lov, siger Birgit Kleis, der er kommiteret i Datatilsynet. Sådan en tilladelse kan Datatilsynet slet ikke give, når det gælder biologisk materiale.

Det forklarer Birgit Kleis her:

I 2012 gav Datatilsynet den nyetablerede nationale biobank en tilladelse til at opbevare biologisk materiale. I tilladelsen, som DR har fået aktindsigt i, står der eksplicit, at biobankens data - altså de biologiske prøver - kun må gives videre efter tilladelse fra Datatilsynet:

"Oplysningerne må endvidere kun videregives til tredjemand efter forudgående tilladelse fra Datatilsynet, og i givet fald kun med henblik på udførelse af undersøgelser i statistisk eller videnskabeligt øjemed.”

- Svigt af samfundskontrakt

Professor i databeskyttelse Peter Blume kan i sagens oplysninger ikke finde nogen forklaring på, hvad der kan være gået galt.

- Det står jo i loven, at hvis man skal videregive biologisk materiale – og her må vi gå ud fra, at Statens Serum Institut ved, hvad biologisk materiale er, - så skal man have den her tilladelse. Det kan nogle gange tage tid, men det er ikke til at misforstå, siger Peter Blume.

Han mener, at en stor forskningsinstitution med en af verdens største biobanker burde være den myndighed i Danmark, som har mest forstand på regler om databeskyttelse.

- Derfor er det bekymrende og problematisk, at de ikke overholder den her regel, som er meget simpel. Det kan godt være, den er irriterende og generende og tager tid, men det er en meget simpel regel, siger Peter Blume.

Lektor i sundhedsret Kent Kristensen peger på, at det potentielt kan være gået ud over os alle sammen, at reglerne for databeskyttelse ikke har været fulgt. Danmarks Nationale Biobank rummer nemlig prøver fra stort set alle danskere.

- Så er den tillid, man svigter, jo ikke kun i forhold til det enkelte forskningsprojekt. Så er det den kontrakt, man som samfund skal have med sine borgere, der svigter, siger Kent Kristensen.

Flere brud på datasikkerhden

Statens Serum Institut har ikke kun brudt datareglerne ved at udlevere biologiske prøver uden tilladelse. Statens advokat, Kammeradvokaten, har i en undersøgelse konkluderet, at der på en række områder har været "betydelige mangler" i, hvordan instituttet har overholdt reglerne om databeskyttelse.

Blandt andet har instituttet i syv forskellige forskningsprojekter sendt biologiske prøver og sundhedsoplysninger ud af EU uden at have de lovpligtige databehandleraftaler, som skal forhindre, at data bliver misbrugt.

På den baggrund har Datatilsynet sat en større undersøgelse i gang af Statens Serum Institut og afventer foreløbig en redegørelse.

Institut beklager

Statens Serum Institut har afvist at stille op til interview om sagen, men skriver i en mail til DR, at de er i gang med et "omfattende oprydningsarbejde" for hurtigst muligt at sikre, at reglerne altid bliver fulgt.

"Der er i den forbindelse foretaget en markant styrkelse af de funktioner på SSI, der arbejder med persondatabeskyttelse og informationssikkerhed, bl.a. i form af en opnormering af jurister i funktionen," skriver Statens Serum Institut.

Instituttet beklager også, at de "ikke har været den tillid værdig, som blev vist os fra de personer, der stillede biologisk materiale og persondata til rådighed for forskningsprojekter, hvor reglerne ikke blev overholdt."

Endelig understreger Statens Serum Institut, at de - trods de manglende tilladelser til videregivelse fra Datatilsynet - "i hvert tilfælde har sikret", at forskningsprojekterne, som har fået udleveret blod- og vævsprøver, har været godkendt af en videnskabsetisk komité.

De videnskabsetiske komiteer skal godkende forskning i menneskeligt biologisk materiale, for at sikre, at det foregår på en etisk forsvarlig måde. Datatilsynet skal sikre, at de personfølsomme oplysninger er beskyttet efter loven.

Mere fra dr.dk

Facebook
Twitter