Datum 2008-06-19 Dnr 164-2008 DNA Guide AB c/o Johan Björkegren Kronovägen 7 182 74 STOCKSUND Förhandskontroll enligt 41 § personuppgiftslagen (1998:204) Anmälan DNA Guide AB (DNA Guide) har den 31 januari 2008 inkommit med en anmälan om behandling av personuppgifter om genetiska anlag för förhandskontroll. Anmälan kompletterades den 25 april 2008. Av anmälan framgår följande. DNA Guide är ansvarig för den behandling av personuppgifter som förekommer inom ramen för DNA-testningen. De registrerade kunderna kommer att informeras om personuppgiftsbehandlingen och ett uttryckligt samtycke till behandlingen kommer att inhämtas. DNA-test Personuppgifterna kommer att behandlas inom ramen för de självtester DNA Guide avser att erbjuda sina kunder. DNA Guide kommer att tillhandahålla självtestet och förse kunderna med provresultatet. För analysen av testerna anlitas ett laboratorium. Kunden kommer att ges möjlighet att, via hemsidan www.dna-guide.com, beställa självtest för genetisk analys. På hemsidan skapar kunden ett användarkonto med ett personligt lösenord. Uppgifterna sparas i en krypterad databas innehållande kontoinformation och en personlig avidentifierad provkod som genereras automatiskt. All trafik till DNA Guides hemsida är krypterad via SSL-certifikat. Efter beställning prepareras ett provkit, med provkoden som enda identifikationsmedel, som skickas till kunden per post. Kunden får ett föradresserat kuvert till analyslabbet samt ett avtal adresserat till DNA Guide, som skall skrivas under för att bekräfta beställningen. Genom underskriften samtycker kunden till personuppgiftsbehandlingen samt försäkrar att informationen är korrekt och avser kunden. 2(7) Kunden skickar sedan provet till analyslabbet, som i sin tur analyserar provet och skickar tillbaka analysresultatet till DNA Guide. Denna kommunikation sker krypterat. DNA Guide för in provsvar och provkod i en separat krypterad databas som endast innehåller genetisk information. Resultatrapporter genereras via en applikation som i ögonblicket av resultatgenereringen frågar de separata databaserna om nödvändig information. Kunden kan välja att ta del av resultatet genom att logga in med sitt personliga lösenord på hemsidan, eller ta emot resultatet med rekommenderad post. Kundens analysrapport innehåller följande. En allmän beskrivning av den sjukdom testet avser. En uppskattning av till vilken del sjukdomen betingas av ärftliga respektive miljöfaktorer. En beskrivning av hur stor den genomsnittliga risken är att få sjukdomen i gällande population. En beskrivning av kundens risk att få sjukdomen. En metaforisk pedagogisk beskrivning av riskbilden. Framtida forskning DNA Guide avser att i framtiden, för att medverka till studier som syftar till att ytterligare kartlägga DNA och utveckla nya behandlingsformer för olika sjukdomar, t.ex. cancer och Alzheimer, lämna ut DNA-uppgifter till universitet och läkemedelsföretag. För detta avser DNA Guide att inhämta samtycke för framtida forskning under en period om upp till 10 år efter att DNA lämnats. Framtida forskningsprojekt kommer att bedrivas i enlighet med etikprövningslagen. Skäl för beslutet Frågor rörande genetisk självtestning utanför den traditionella hälso- och sjukvården omfattas för närvarande inte av någon särreglering. I förarbetena till lagen om genetisk integritet (prop. 2005/06:64 s.125 ff) förs en diskussion om behovet av lagreglering av självtester och regeringen uttrycker bl.a. en oro för att en person kan komma att testa en annan person utan dennes vetskap (och därmed utan dennes informerade samtycke), t.ex. med användning av ett hårstrå eller celler från munslemhinnan. I ovan nämnda proposition föreslår regeringen att genetiska självtest bör underkastas regleringen i lagen om medicintekniska produkter. Detta förslag har inte genomförts. I Sverige har det inte heller, till skillnad från t.ex. i Storbritannien, särskilt kriminaliserats att låta testa en annan persons DNA utan dennes vetskap. Ur integritetssynpunkt bedömer Datainspektionen att det är ytterst allvarligt om det med enkelhet skulle vara möjligt att med ett självtest låta testa en annan persons DNA utan dennes vetskap. Datainspektionen anser att en sådan verksamhetsspecifik och allvarlig risk för kränkning av den personliga integriteten bör uppmärksammas och regleras i en särskild författning. Detta särskilt eftersom att kränkningen av den personliga integriteten inte börjar vid själva personuppgiftsbehandlingen, utan redan vid den tidpunkt när någon befattar sig med en annan persons DNA i syfte att låta testa detta i hemlighet. En sådan reglering bör därför ta sikte såväl på själva förutsättningarna för 3(7) självtestning som på möjligheterna, och en eventuell kriminalisering av, att låta testa en annan persons DNA utan dennes vetskap. Avsikten med en förhandskontroll är att Datainspektionen i förväg skall kunna granska och bedöma om den anmälda personuppgiftsbehandlingen är förenlig med bestämmelserna i personuppgiftslagen. Det faller utanför Datainspektionens kompetensområde att bedöma om den aktuella verksamheten är förenlig med annan lagstiftning, exempelvis hälso- och sjukvårdslagstiftningen. Under förutsättning att DNA Guides verksamhet inte strider mot annan lagstiftning bedömer Datainspektionen att personuppgiftsbehandlingen uppfyller personuppgiftslagens krav, om följande påpekanden och föreskrifter om IT-säkerhetsåtgärder följs. DNA-test Den behandling av känsliga personuppgifter om genetiska anlag som skall utföras inom ramen för DNA-testningen kommer att ske sedan samtliga registrerade kunder har fått information om behandlingen och lämnat sitt uttryckliga samtycke. För att behandlingen av personuppgifter inom ramen för DNA-testningen skall vara förenlig med personuppgiftslagens bestämmelser krävs att patientinformationen kompletteras med information om att de registrerade kunderna, enligt 26 § personuppgiftslagen, efter skriftlig begäran har rätt att kostnadsfritt en gång per år få information om vilka personuppgifter som DNA Guide behandlar. Samtycke till framtida forskning Den prövning Datainspektionen gör efter en anmälan om förhandskontroll omfattar inte framtida forskning. Vid en eventuell framtida forskningsstudie där personuppgifter om genetiska anlag används måste ny anmälan om förhandskontroll göras. Enligt personuppgiftslagen skall ett samtycke vara individuellt, frivilligt, särskilt, otvetydigt och informerat. Kravet på att samtycket skall vara särskilt innebär att ett generellt samtycke till behandling av personuppgifter inte godtas. Samtycket skall avse behandling för ett eller flera preciserade ändamål. Som samtycke godtas inte att enskilda generellt medger att hälsouppgifter om dem får behandlas för att utveckla nya behandlingsformer för vilka sjukdomar som helst. Det samtycke som DNA Guide avser att inhämta kan, i personuppgiftslagens mening, inte anses vara ett giltigt samtycke för att behandla personuppgifter i en framtida forskningsstudie med obestämt syfte. Personuppgiftsbiträdesavtal Datainspektionen utgår från att bolaget har skriftliga avtal med personuppgiftsbiträden, t.ex. det laboratorium som anlitas (se 30 – 31 § personuppgiftslagen). 4(7) IT-säkerhet Med hänsyn till att de personuppgifter som skall behandlas inom ramen för studien är mycket integritetskänsliga anser Datainspektionen att det finns anledning att meddela beslut om särskilda säkerhetsföreskrifter för behandlingen. Datainspektionen vill särskilt uppmärksamma att det krävs stark autentisering, t.ex. engångslösenord eller användarcertifikat (elegitimation), när känsliga personuppgifter görs åtkomliga via Internet. Innebörden av detta är bl.a. att det krävs stark autentisering om DNA Guide avser att, via Internet, göra det möjligt för de registrerade kunderna att logga in för att ta del av analysrapporten . Övrigt Datainspektionen anser att gentest avsedda för självtestning bör underkastas en särskild reglering som tar hänsyn såväl till förutsättningarna för testningen som till de integritetsrisker som uppstår om någon med enkelhet kan låta testa en annan persons DNA utan dennes vetskap. Detta beslut skickas därför till regeringskansliet för kännedom. Andra rättsliga frågeställningar som DNA Guides verksamhet kan aktualisera, t.ex. relaterat till hälso- och sjukvårdslagstiftningen och biobankslagen, ligger utanför Datainspektionens tillsynsområde. Detta beslut skickas därför, för kännedom, till Socialstyrelsen. Beslut Datainspektionen konstaterar att den skriftliga information som skall lämnas till de registrerade kunderna inte helt uppfyller personuppgiftslagens krav. Datainspektionen förutsätter att informationen kompletteras på sätt som angetts ovan. Datainspektionen meddelar följande föreskrifter om den säkerhetsnivå som DNA Guide skall tillämpa vid behandlingen av personuppgifter inom verksamheten med DNA-testning. Följande skall iakttas beträffande IT-säkerheten. Säkerhetspolicy Den personuppgiftsansvarige skall se till att det finns en fastställd säkerhetspolicy som omfattar verksamheten. Utbildning och information Alla som får tillgång till personuppgifter om genetiska anlag skall få information och relevant utbildning om gällande säkerhetsrutiner. Autentisering/Behörighetskontroll Det skall finnas tekniska system för autentisering och behörighetskontroll för att styra åtkomsten till personuppgifterna. Behörigheten skall begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord skall vara personliga och får inte överlåtas på någon annan. Det 5(7) skall finnas rutiner för tilldelning av behörigheter. Om personuppgifterna är åtkomliga via ett öppet nätverk, såsom Internet, krävs stark autentisering, till exempel engångslösenord, användarcertifikat (e-legitimation) eller motsvarande. Datakommunikation Om personuppgifter överförs via öppet nät skall uppgifterna skyddas med kryptering. Utrustning som ansluts till Internet eller annat öppet nät skall skyddas så att obehörig trafik förhindras, till exempel med hjälp av brandvägg. Om personuppgifter lagras på en dator som är åtkomlig från ett öppet nät skall uppgifterna lagras krypterat. Behandlingshistorik/Loggar Om fler än en person har åtkomst till personuppgifterna skall det finnas loggar eller annan behandlingshistorik som underlag för att kunna följa upp åtkomsten i efterhand. Av detta underlag skall det gå att utläsa vem som har haft åtkomst, tidpunkten för åtkomsten samt vilka uppgifter användaren haft åtkomst till. I syfte att upptäcka eventuell obehörig åtkomst till uppgifterna skall det finnas rutiner för systematisk uppföljning av behandlingshistoriken i följande fall. Om uppgifterna är åtkomliga för många användare och det 1. rör sig om ett stort antal uppgifter om varje person eller 2. om uppgifterna rör ett stort antal personer. Åtkomstskydd/Tillträdeskontroll I bärbara datorer och på löstagbara lagringsmedier skall personuppgifterna vara krypterade på ett sådant sätt att obehöriga inte kan ta del av uppgifterna. I syfte att skydda uppgifterna från obehörig användning, påverkan eller stöld skall annan datorutrustning – i vilken personuppgifter lagras eller genom vilken man kan få åtkomst till uppgifterna – vara inlåst när den inte står under den personuppgiftsansvariges uppsikt. Alternativt skall uppgifterna vara krypterade. Skydd mot skadliga program Åtgärder skall vidtas för att minska risken för att personuppgifterna förstörs eller sprids till obehöriga med hjälp av skadlig programvara. Säkerhetskopiering Personuppgifterna skall regelbundet överföras till säkerhetskopior. Kopiorna skall förvaras avskilt, vara väl skyddade och rutinmässigt testas för att säkerställa så att personuppgifterna kan återskapas efter en störning. Skyddet för kopiorna skall ha samma säkerhetsnivå som skyddet för originalen. 6(7) Utplåning När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre skall användas för sitt ändamål skall lagringsmedierna förstöras. Alternativt skall personuppgifterna raderas med hjälp av särskild programvara på sådant sätt att de inte kan återskapas. Reparation och service När reparation och service av datorutrustning utförs av annan än den personuppgiftsansvarige skall avtal om säkerheten träffas med serviceföretaget så att skyddet för personuppgifterna inte försvagas. Vid servicebesök skall lagringsmedier som innehåller personuppgifter avlägsnas. Är det inte möjligt skall servicen ske under den personuppgiftsansvariges överinseende. Service via datakommunikation får endast ske krypterat och efter säker identifiering av den som utför servicen. Servicepersonal skall ges åtkomst till systemet endast vid servicetillfället och endast till de delar som behövs för servicen. Kommunikationsingångar och särskilda administrationskonton för service skall vara stängda när service inte pågår. Hur man överklagar Om Ni vill överklaga beslutet skall Ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som Ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag Ni fick del av beslutet för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt Ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, datarådet Katja Isberg Amnäs och juristen Patrik Sundström, föredragande. Göran Gräslund Patrik Sundström 7(7) Kopia till: Henrik Bengtsson, Advokatfirman Delphi, Regeringsgatan 30-32, Box 1432, 111 84 STOCKHOLM Socialstyrelsen, 106 30 STOCKHOLM Regeringskansliet, 103 33, STOCKHOLM