Indland

SSI satte måler på gravide Siri og høstede data til techfirma i USA: Nu ved de ikke, hvor oplysningerne er

Følsomme personoplysninger om gravide danske kvinder er forsvundet i Californien. 

Siri Jensen er en af de forsøgsdeltagere, der har fået sendt sundhedsoplysninger til den amerikanske techvirksomhed Bloomlife.
Af
Mere end 30 dage gammel

Siri Jensen var kun få måneder inde i sin første graviditet i 2016, da hun så en annonce fra Statens Serum Institut.

Instituttet søgte gravide kvinder, der ville møde op hos forskningsinstitutionen hver uge. Her ville forskerne blandt andet tage blodprøver for at undersøge, om kvindernes biologiske materiale kunne afsløre, hvad der skete senere i graviditeten. Og Siri Jensen, der på det tidspunkt var studerende, ringede straks til instituttet.

- Det lød bare rigtig spændende i forhold til, hvor jeg var i mit liv på det tidspunkt. Det var mit første barn, og alle der har været der ved, at man bare går all in. Så det passede perfekt både at kunne bidrage til forskningen og følge sin egen krop, siger hun i dag.

Hos Statens Serum Institut fik hun også sat et elektrisk apparat på maven, der målte hendes veer i sidste del af graviditeten. DR har set hendes korrespondance med instituttet, hvor projektets studieleder betegner apparatet som ”vores mavemonitor.”

Det var ikke alle deltagere i graviditetsprojektet, der fik udleveret mavemonitoren. Og Siri Jensen, der også er uddannet sygeplejerske, husker derfor, at hun følte sig særligt udvalgt.

- Jeg blev glad, da jeg blev spurgt, om jeg også havde lyst til at bidrage med det her. Jeg havde en rigtig god relation til projektsygeplejersken og projektlederen, så jeg ville gå langt for at hjælpe dem med komme i mål med deres projekt. Så jeg havde ja-hatten på og tænkte – selvfølgelig – det vil jeg også bidrage med.

Amerikansk techfirma og Amazon

Den vordende mor forventede, at oplysningerne fra mavemonitoren kun skulle bruges af forskerne på Statens Serum Institut.

Men dokumenter, DR har fået aktindsigt i, viser, at de automatisk blev sendt videre til det amerikanske techfirma Bloomlife i Californien. Her blev sundhedsdataene gemt på cloud-servere ejet af den amerikanske internetgigant Amazon.

Det var denne mavemonitor fra techfirmaet Bloomlife, som flere forsøgsdeltagere skulle bære i sidste del af graviditeten. [Foto: PR-video fra Bloomlife)

Det stod der bare ikke noget om i det informationsmateriale, Siri Jensen fik udleveret.

Og Statens Serum Institut havde heller ikke indgået en lovpligtig databehandler-aftale med Bloomlife, der sikrede kontrol med, hvem der havde adgang til deltagernes oplysninger.

Det viser DR’s gennemgang af sagens dokumenter.

I dag erkender Statens Serum Institut, at de ikke ved, hvad der er sket med de rådata, som Bloomlife fik adgang til. Instituttet har for mere end et år siden henvendt sig til techvirksomheden for at få oplysningerne slettet, men Bloomlife har ikke svaret.

- Det er helt afgørende, at mennesker, der deltager i vores forskningsprojekter, kan have fuld tillid til, at de bliver oplyst om, hvordan de behandler deres data. Det er ikke sket fuldt ud i denne sag, og det beklager vi dybt, skriver instituttet i en mail til DR.

Oplysningerne om, at graviditetsoplysningerne er sendt direkte til en privat virksomhed i USA, forarger Siri Jensen. Hun gik med i projektet, fordi hun håbede at gøre en forskel for offentlig dansk forskning.

- Jeg bliver virkelig vred indvendigt og føler mig uretfærdigt behandlet. Jeg er meget utryg ved det. Jeg ved ikke, hvor mine data er, eller hvem der bruger det. Jeg ville jo ikke være gået ind til det her, hvis jeg vidste, det handlede om udenlandske interesser og store firmaer, siger hun.

Mavemonitor var ikke godkendt

Ud over at høste kvindernes data har Bloomlife også udviklet den mavemonitor, som forsøgsdeltagerne fik sat på maven. Mavemonitoren hed ”Belli” og var en prototype, der hverken overholdt de amerikanske regler for medicinsk udstyr eller databeskyttelse, fremgår det af produktbladet. Men heller ikke det fik kvinderne besked om, viser deltagerinformationen, som DR har fået aktindsigt i.

- Det er, som om man bare er et middel til, at nogen kan nå et mål. Man føler sig som et forsøgsdyr, der skal være med til, at nogen kan udvikle deres produkt bag om ryggen på en, siger Siri Jensen.

Mavemonitoren er ikke længere at finde på Bloomlifes hjemmeside. Her reklamerer virksomheden til gengæld med, at den nu har opbygget verdens største fysiologiske datasæt om gravide baseret på målinger af kvinder og deres fostre.

Statens Serum Instituts logo er også fremhævet på hjemmesiden, hvor den danske forskningsinstitution blev præsenteret som en af virksomhedens samarbejdspartnere.

På Bloomlifes hjemmeside har Statens Serum Institut gennem flere år optrådt som en af techfirmaets partnere. Dette screenshot er fra 24. juni 2021.

Ingen spor af Bloomlife

DR har forsøgt at opsøge Bloomlife i San Francisco for at få svar på, hvor kvindernes sundhedsdata er i dag, og om oplysningerne er delt med andre virksomheder.

Virksomheden har adresse i et almindeligt boligkvarter i den vestlige del af byen, men her der ikke længere nogen spor af Bloomlife.

En nabo forklarer, at virksomheden tidligere har haft til huse i en lejlighed i baggården, men at hun aldrig har set nogen ansatte fra firmaet. Hun modtager jævnligt post, der er stilet til Bloomlife, men ved ikke, hvad der er blevet af virksomheden i dag.

Kontrollen mistet fuldstændigt

DR har præsenteret både danske og internationale eksperter for oplysningerne i sagen.

En af dem er Anil Aswani, der er ekspert i databeskyttelse på Berkeley Universitet i Californien. Han mener, det er problematisk, Statens Serum Institut ikke har styr på, hvem der får adgang til kvindernes graviditetsdata.

- Det overrasker mig, at en national sundhedsmyndighed ikke har sikret, at oplysningerne blev beskyttet, før man begyndte at indsamle dem. Der er tale om helt basale principper, der ikke kun gælder for indsamling af sundhedsdata, men for data om mennesker i det hele taget, siger han.

Hanne Marie Motzfeldt, der er lektor i digital forvaltning ved Københavns Universitet, kalder sagen ”fejl i fejl” og vurderer, at adskillige dataregler er overtrådt.

- Man har ikke gjort det, man skulle – nemlig at vurdere, hvordan den her databehandling skal foregå. Der er heller ingen overvejelser om datasikkerheden. Her er kontrollen jo mistet fuldstændigt. Og det lyder jo endnu mere skrækindjagende, at virksomheden muligvis slet ikke findes, siger lektoren.

Flere brud på forskningsregler

Statens Serum Institut har flere gange tidligere erkendt, at de ikke har haft styr på datasikkerheden i det offentlige forskningsprojekt.

DR-dokumentaren ”Blodprøverne der forsvandt” afdækkede i december, at blodprøver fra 172 gravide danske kvinder var sendt til USA, uden Statens Serum Institut havde sikret kontrol med, hvem der fik adgang til kvindernes personfølsomme oplysninger.

Samtidig har den myndighed, der fører kontrol med sundhedsforskning i Danmark nu fastslået, at graviditetsprojektet på flere punkter har overtrådt forskningsreglerne. Blandt andet blev de gravide kvinder ikke informeret om, at forskningslederen var medejer af et biotech-firma i Californien, der havde økonomiske interesser i projektet.

Og nu viser det sig altså også, at det amerikanske techfirma Bloomlife har fået tilsendt sundhedsoplysninger om kvinderne, uden deltagerne blev informeret.

Et længe ventet møde

Siri Jensen søns Theodor fylder snart fem år. Det er efterhånden mange år siden, den nu 33-årige mor gik rundt med en monitor på maven, der indsamlede oplysninger om, hvordan hendes graviditet udviklede sig.

Alligevel bekymrer det hende, at oplysningerne stadig kan flyde rundt et sted i USA, uden hverken hun eller Statens Serum Institut har kontrol med dem.

Derfor håber hun, instituttet snart indkalder forsøgsdeltagerne til det informationsmøde, sundhedsminister Magnus Heunicke (S) lovede kvinderne på et samråd i Folketingets Sundhedsvalg tilbage i januar måned.

- At indkalde os til det her møde er det mindste, man kan gøre. Se os i øjnene og erkend: Vi har ikke levet op til den tillid, I har givet os. Og så synes jeg, alle informationer skal frem på bordet. Hvor er vores data, og hvad er de blevet brugt til? Og hvad er der med Bloomlife? Det synes jeg er virkelig vigtigt, siger Siri Jensen.

Hun har nemlig stadig mange spørgsmål, hun gerne vil have Statens Serum Institut til at svare på.

- Vi skal vide, hvad vores rettigheder er. Det skal vi ikke hyre en eller anden dyr advokat for at finde ud af. De skal tage ansvar for, at de ikke har haft styr på deres ting.

Hvis oplysningerne er sendt over uden dit navn og cpr-nummer, kan det så ikke være ligegyldigt, hvad der sket?

- Nej, det synes jeg ikke. For selv hvis folk ikke kan finde frem til, at det er mig og min graviditet, så er det stadig en principsag. At man går ind i noget, der ikke er sådan, som man bliver lovet – det går simpelthen ikke, siger Siri Jensen.

Kammeradvokaten sat på sagen

Statens Serum Institut har gennem otte måneder afvist at stille op til interview med DR om sagen.

Instituttet oplyser, at alle deltagere fra forskningsprojektet er indkaldt til et stormøde i august, og at der ifølge deres oplysninger ”heldigvis” ikke er sket datalæk eller misbrug af materialet.

Ifølge Staten Serum Institut deltog 11 kvinder i den del af projektet, hvor deltagernes ve-oplysninger blev sendt videre til Bloomlife i USA.

- Dataene viste sig ikke at være anvendelige, fordi der var udfordringer med at få monitoren til at virke, og at data var så ’støjfyldte’, at det var svært at oprense og få brugbare forskningsdata ud af det. Data fra forsøgene var pseudonymiserede, og SSI har bedt Bloomlife om at slette dem, skriver instituttet i en mail.

Statens Serum Institut oplyser til DR, at de kontaktede Bloomlife den 23. juni 2020, men aldrig modtog svar. Sagen er nu overdraget til Kammeradvokaten.

- Kammeradvokaten har fået kopi af korrespondancen med Bloomlife, og har til opgave at kontakte Bloomlife mhp. at få slettet alle data fra BSG-deltagere (forskningsdeltagerne, red.) samt at fjerne SSI’s logo fra deres hjemmeside.

Bloomlife har ikke besvaret DR’s henvendelser.

Facebook
Twitter