De vertrouwelijke gezondheidsdossiers van een half miljoen Britse vrijwilligers zijn te koop aangeboden op een Chinese website Alibabaheeft de Britse regering bevestigd.
De gegevens van deelnemers aan het UK Biobank-project werden vorige week op drie afzonderlijke lijsten te koop aangetroffen. De gegevens zijn inmiddels verwijderd en er wordt aangenomen dat er geen verkoop heeft plaatsgevonden.
De nieuwste inbreuk komt nadat The Guardian vorige maand gegevens van de UK Biobank openbaarde was tientallen keren online verschenen en zal verdere vragen oproepen over de vraag of de beveiliging te laks is geweest.
Ian Murray, de minister van Technologie, zei tegen het Lagerhuis: “Op maandag 20 april informeerde de Britse liefdadigheidsinstelling voor biobanken de regering dat zij had vastgesteld dat haar gegevens door verschillende verkopers te koop waren aangeboden op de e-commerceplatforms van Alibaba. China.
“Biobank vertelde ons dat er drie vermeldingen waren die verkocht leken… Deelnamegegevens van Biobank waren geïdentificeerd. Tenminste één van deze drie datasets bleek gegevens te bevatten van alle 500.000 Britse Biobank-vrijwilligers.”
De gegevens die te koop werden aangeboden, waren “geanonimiseerd”, wat betekent dat ze geen namen, adressen of exacte geboortedata bevatten.
De UK Biobank bewaart gezondheidsgegevens van 500.000 vrijwilligers, waaronder genoomsequenties, hersenscans, bloedtesten en diagnostische gegevens. Onderzoekers van universiteiten en particuliere bedrijven over de hele wereld vragen om toegang, en tot eind 2024 konden ze vrijelijk gegevens rechtstreeks naar hun eigen computersystemen downloaden – iets waarvan experts herhaaldelijk hebben gewaarschuwd dat het een veiligheidsrisico met zich meebrengt.
In februari ondertekende de minister van Volksgezondheid, Wes Streeting, een verdrag juridische richting waardoor de gecodeerde huisartsgegevens van alle vrijwilligers voor het eerst met UK Biobank konden worden gedeeld.
Murray zei dat de regering samenwerkte met Biobank, de Chinese overheid en Alibaba om de vermeldingen te laten verwijderen. “Ik wil de Chinese regering bedanken voor de snelheid en ernst waarmee ze met ons hebben samengewerkt om deze vermeldingen te helpen verwijderen, en voor het voortdurende werk om nog meer vermeldingen te verwijderen”, zei hij.
“Ten tweede hebben we ervoor gezorgd dat de liefdadigheidsinstelling Biobank de toegang heeft ingetrokken tot de drie onderzoeksinstellingen die zijn geïdentificeerd als de bron van deze informatie. Ten derde hebben we de liefdadigheidsinstelling Biobank gevraagd de verdere toegang tot haar gegevens te staken totdat zij een technische oplossing heeft gevonden om te voorkomen dat gegevens van haar huidige platform worden gedownload.”
Hij zei dat Biobank alleen samenwerkte met “geaccrediteerde organisaties en instellingen en individuele academische onderzoekers”, en voegde eraan toe: “Dit was geen lek. Dit was een legitieme download van een legitieme geaccrediteerde organisatie.”
UK Biobank heeft verwezen naar het Information Commissioner’s Office.
Prof. Rory Collins, algemeen directeur en hoofdonderzoeker van UK Biobank, zei: “We nemen de bescherming van de gegevens van deelnemers uiterst serieus en tolereren geen enkele vorm van gegevensmisbruik. Met de steun van de Britse regering, de Chinese autoriteiten en Alibaba werden drie lijsten met geanonimiseerde gegevens snel verwijderd voordat er een verkoop werd gedaan. De acties van deze personen zijn een duidelijke schending van het contract met de UK Biobank en ze zijn een duidelijke schending van de UK Biobank. Instellingen kregen onmiddellijk toegang tot de informatie opgeschort.
“We verontschuldigen ons voor de zorgen die dit zal veroorzaken en hebben al technologie, processen en een door het bestuur geleide evaluatie ingevoerd om te voorkomen dat dit opnieuw gebeurt. We hebben ook ons onderzoeksplatform offline gehaald terwijl we een verdere upgrade toevoegen om te voorkomen dat geanonimiseerde gegevens van het platform worden verwijderd. We verwachten dat dit drie weken zal duren. Onze bestaande plannen om een geautomatiseerde ‘luchtsluis’ te implementeren die bestanden en gegevens controleert, zullen worden voortgezet.”
