Datum Dnr 2008-06-19 164-2008 DNA Guide

Datum
2008-06-19
Dnr
164-2008
DNA Guide AB
c/o Johan Björkegren
Kronovägen 7
182 74 STOCKSUND
Förhandskontroll enligt 41 § personuppgiftslagen (1998:204)
Anmälan
DNA Guide AB (DNA Guide) har den 31 januari 2008 inkommit med en
anmälan om behandling av personuppgifter om genetiska anlag för
förhandskontroll. Anmälan kompletterades den 25 april 2008.
Av anmälan framgår följande.
DNA Guide är ansvarig för den behandling av personuppgifter som
förekommer inom ramen för DNA-testningen.
De registrerade kunderna kommer att informeras om
personuppgiftsbehandlingen och ett uttryckligt samtycke till behandlingen
kommer att inhämtas.
DNA-test
Personuppgifterna kommer att behandlas inom ramen för de självtester
DNA Guide avser att erbjuda sina kunder. DNA Guide kommer att
tillhandahålla självtestet och förse kunderna med provresultatet. För
analysen av testerna anlitas ett laboratorium.
Kunden kommer att ges möjlighet att, via hemsidan www.dna-guide.com,
beställa självtest för genetisk analys. På hemsidan skapar kunden ett
användarkonto med ett personligt lösenord. Uppgifterna sparas i en
krypterad databas innehållande kontoinformation och en personlig
avidentifierad provkod som genereras automatiskt. All trafik till DNA
Guides hemsida är krypterad via SSL-certifikat.
Efter beställning prepareras ett provkit, med provkoden som enda
identifikationsmedel, som skickas till kunden per post. Kunden får ett
föradresserat kuvert till analyslabbet samt ett avtal adresserat till DNA
Guide, som skall skrivas under för att bekräfta beställningen. Genom
underskriften samtycker kunden till personuppgiftsbehandlingen samt
försäkrar att informationen är korrekt och avser kunden.
2(7)
Kunden skickar sedan provet till analyslabbet, som i sin tur analyserar
provet och skickar tillbaka analysresultatet till DNA Guide. Denna
kommunikation sker krypterat. DNA Guide för in provsvar och provkod i en
separat krypterad databas som endast innehåller genetisk information.
Resultatrapporter genereras via en applikation som i ögonblicket av
resultatgenereringen frågar de separata databaserna om nödvändig
information. Kunden kan välja att ta del av resultatet genom att logga in
med sitt personliga lösenord på hemsidan, eller ta emot resultatet med
rekommenderad post. Kundens analysrapport innehåller följande.
En allmän beskrivning av den sjukdom testet avser.
En uppskattning av till vilken del sjukdomen betingas av ärftliga
respektive miljöfaktorer.
En beskrivning av hur stor den genomsnittliga risken är att få sjukdomen
i gällande population.
En beskrivning av kundens risk att få sjukdomen.
En metaforisk pedagogisk beskrivning av riskbilden.
Framtida forskning
DNA Guide avser att i framtiden, för att medverka till studier som syftar till
att ytterligare kartlägga DNA och utveckla nya behandlingsformer för olika
sjukdomar, t.ex. cancer och Alzheimer, lämna ut DNA-uppgifter till
universitet och läkemedelsföretag. För detta avser DNA Guide att inhämta
samtycke för framtida forskning under en period om upp till 10 år efter att
DNA lämnats. Framtida forskningsprojekt kommer att bedrivas i enlighet
med etikprövningslagen.
Skäl för beslutet
Frågor rörande genetisk självtestning utanför den traditionella hälso- och
sjukvården omfattas för närvarande inte av någon särreglering. I förarbetena
till lagen om genetisk integritet (prop. 2005/06:64 s.125 ff) förs en
diskussion om behovet av lagreglering av självtester och regeringen
uttrycker bl.a. en oro för att en person kan komma att testa en annan person
utan dennes vetskap (och därmed utan dennes informerade samtycke), t.ex.
med användning av ett hårstrå eller celler från munslemhinnan. I ovan
nämnda proposition föreslår regeringen att genetiska självtest bör
underkastas regleringen i lagen om medicintekniska produkter. Detta förslag
har inte genomförts. I Sverige har det inte heller, till skillnad från t.ex. i
Storbritannien, särskilt kriminaliserats att låta testa en annan persons DNA
utan dennes vetskap. Ur integritetssynpunkt bedömer Datainspektionen att
det är ytterst allvarligt om det med enkelhet skulle vara möjligt att med ett
självtest låta testa en annan persons DNA utan dennes vetskap.
Datainspektionen anser att en sådan verksamhetsspecifik och allvarlig risk
för kränkning av den personliga integriteten bör uppmärksammas och
regleras i en särskild författning. Detta särskilt eftersom att kränkningen av
den personliga integriteten inte börjar vid själva personuppgiftsbehandlingen, utan redan vid den tidpunkt när någon befattar sig med en
annan persons DNA i syfte att låta testa detta i hemlighet. En sådan
reglering bör därför ta sikte såväl på själva förutsättningarna för
3(7)
självtestning som på möjligheterna, och en eventuell kriminalisering av, att
låta testa en annan persons DNA utan dennes vetskap.
Avsikten med en förhandskontroll är att Datainspektionen i förväg skall
kunna granska och bedöma om den anmälda personuppgiftsbehandlingen är
förenlig med bestämmelserna i personuppgiftslagen. Det faller utanför
Datainspektionens kompetensområde att bedöma om den aktuella
verksamheten är förenlig med annan lagstiftning, exempelvis hälso- och
sjukvårdslagstiftningen.
Under förutsättning att DNA Guides verksamhet inte strider mot annan
lagstiftning bedömer Datainspektionen att personuppgiftsbehandlingen
uppfyller personuppgiftslagens krav, om följande påpekanden och
föreskrifter om IT-säkerhetsåtgärder följs.
DNA-test
Den behandling av känsliga personuppgifter om genetiska anlag som skall
utföras inom ramen för DNA-testningen kommer att ske sedan samtliga
registrerade kunder har fått information om behandlingen och lämnat sitt
uttryckliga samtycke.
För att behandlingen av personuppgifter inom ramen för DNA-testningen
skall vara förenlig med personuppgiftslagens bestämmelser krävs att
patientinformationen kompletteras med information om att de registrerade
kunderna, enligt 26 § personuppgiftslagen, efter skriftlig begäran har rätt att
kostnadsfritt en gång per år få information om vilka personuppgifter som
DNA Guide behandlar.
Samtycke till framtida forskning
Den prövning Datainspektionen gör efter en anmälan om förhandskontroll
omfattar inte framtida forskning. Vid en eventuell framtida forskningsstudie
där personuppgifter om genetiska anlag används måste ny anmälan om
förhandskontroll göras.
Enligt personuppgiftslagen skall ett samtycke vara individuellt, frivilligt,
särskilt, otvetydigt och informerat. Kravet på att samtycket skall vara
särskilt innebär att ett generellt samtycke till behandling av personuppgifter
inte godtas. Samtycket skall avse behandling för ett eller flera preciserade
ändamål. Som samtycke godtas inte att enskilda generellt medger att
hälsouppgifter om dem får behandlas för att utveckla nya behandlingsformer
för vilka sjukdomar som helst. Det samtycke som DNA Guide avser att
inhämta kan, i personuppgiftslagens mening, inte anses vara ett giltigt
samtycke för att behandla personuppgifter i en framtida forskningsstudie
med obestämt syfte.
Personuppgiftsbiträdesavtal
Datainspektionen utgår från att bolaget har skriftliga avtal med
personuppgiftsbiträden, t.ex. det laboratorium som anlitas (se 30 – 31 §
personuppgiftslagen).
4(7)
IT-säkerhet
Med hänsyn till att de personuppgifter som skall behandlas inom ramen för
studien är mycket integritetskänsliga anser Datainspektionen att det finns
anledning att meddela beslut om särskilda säkerhetsföreskrifter för
behandlingen. Datainspektionen vill särskilt uppmärksamma att det krävs
stark autentisering, t.ex. engångslösenord eller användarcertifikat (elegitimation), när känsliga personuppgifter görs åtkomliga via Internet.
Innebörden av detta är bl.a. att det krävs stark autentisering om DNA Guide
avser att, via Internet, göra det möjligt för de registrerade kunderna att logga
in för att ta del av analysrapporten .
Övrigt
Datainspektionen anser att gentest avsedda för självtestning bör underkastas
en särskild reglering som tar hänsyn såväl till förutsättningarna för
testningen som till de integritetsrisker som uppstår om någon med enkelhet
kan låta testa en annan persons DNA utan dennes vetskap. Detta beslut
skickas därför till regeringskansliet för kännedom.
Andra rättsliga frågeställningar som DNA Guides verksamhet kan
aktualisera, t.ex. relaterat till hälso- och sjukvårdslagstiftningen och
biobankslagen, ligger utanför Datainspektionens tillsynsområde. Detta
beslut skickas därför, för kännedom, till Socialstyrelsen.
Beslut
Datainspektionen konstaterar att den skriftliga information som skall lämnas
till de registrerade kunderna inte helt uppfyller personuppgiftslagens krav.
Datainspektionen förutsätter att informationen kompletteras på sätt som
angetts ovan.
Datainspektionen meddelar följande föreskrifter om den säkerhetsnivå som
DNA Guide skall tillämpa vid behandlingen av personuppgifter inom
verksamheten med DNA-testning.
Följande skall iakttas beträffande IT-säkerheten.
Säkerhetspolicy
Den personuppgiftsansvarige skall se till att det finns en fastställd
säkerhetspolicy som omfattar verksamheten.
Utbildning och information
Alla som får tillgång till personuppgifter om genetiska anlag skall få
information och relevant utbildning om gällande säkerhetsrutiner.
Autentisering/Behörighetskontroll
Det skall finnas tekniska system för autentisering och behörighetskontroll
för att styra åtkomsten till personuppgifterna. Behörigheten skall begränsas
till dem som behöver uppgifterna för sitt arbete. Användaridentitet och
lösenord skall vara personliga och får inte överlåtas på någon annan. Det
5(7)
skall finnas rutiner för tilldelning av behörigheter. Om personuppgifterna är
åtkomliga via ett öppet nätverk, såsom Internet, krävs stark autentisering, till
exempel engångslösenord, användarcertifikat (e-legitimation) eller
motsvarande.
Datakommunikation
Om personuppgifter överförs via öppet nät skall uppgifterna skyddas med
kryptering. Utrustning som ansluts till Internet eller annat öppet nät skall
skyddas så att obehörig trafik förhindras, till exempel med hjälp av
brandvägg.
Om personuppgifter lagras på en dator som är åtkomlig från ett öppet nät
skall uppgifterna lagras krypterat.
Behandlingshistorik/Loggar
Om fler än en person har åtkomst till personuppgifterna skall det finnas
loggar eller annan behandlingshistorik som underlag för att kunna följa upp
åtkomsten i efterhand. Av detta underlag skall det gå att utläsa vem som har
haft åtkomst, tidpunkten för åtkomsten samt vilka uppgifter användaren haft
åtkomst till.
I syfte att upptäcka eventuell obehörig åtkomst till uppgifterna skall det
finnas rutiner för systematisk uppföljning av behandlingshistoriken i
följande fall.
Om uppgifterna är åtkomliga för många användare och det
1. rör sig om ett stort antal uppgifter om varje person eller
2. om uppgifterna rör ett stort antal personer.
Åtkomstskydd/Tillträdeskontroll
I bärbara datorer och på löstagbara lagringsmedier skall personuppgifterna
vara krypterade på ett sådant sätt att obehöriga inte kan ta del av
uppgifterna.
I syfte att skydda uppgifterna från obehörig användning, påverkan eller stöld
skall annan datorutrustning – i vilken personuppgifter lagras eller genom
vilken man kan få åtkomst till uppgifterna – vara inlåst när den inte står
under den personuppgiftsansvariges uppsikt. Alternativt skall uppgifterna
vara krypterade.
Skydd mot skadliga program
Åtgärder skall vidtas för att minska risken för att personuppgifterna förstörs
eller sprids till obehöriga med hjälp av skadlig programvara.
Säkerhetskopiering
Personuppgifterna skall regelbundet överföras till säkerhetskopior. Kopiorna
skall förvaras avskilt, vara väl skyddade och rutinmässigt testas för att
säkerställa så att personuppgifterna kan återskapas efter en störning.
Skyddet för kopiorna skall ha samma säkerhetsnivå som skyddet för
originalen.
6(7)
Utplåning
När fasta eller löstagbara lagringsmedier som innehåller personuppgifter
inte längre skall användas för sitt ändamål skall lagringsmedierna förstöras.
Alternativt skall personuppgifterna raderas med hjälp av särskild
programvara på sådant sätt att de inte kan återskapas.
Reparation och service
När reparation och service av datorutrustning utförs av annan än den
personuppgiftsansvarige skall avtal om säkerheten träffas med
serviceföretaget så att skyddet för personuppgifterna inte försvagas.
Vid servicebesök skall lagringsmedier som innehåller personuppgifter
avlägsnas. Är det inte möjligt skall servicen ske under den
personuppgiftsansvariges överinseende.
Service via datakommunikation får endast ske krypterat och efter säker
identifiering av den som utför servicen. Servicepersonal skall ges åtkomst
till systemet endast vid servicetillfället och endast till de delar som behövs
för servicen. Kommunikationsingångar och särskilda administrationskonton
för service skall vara stängda när service inte pågår.
Hur man överklagar
Om Ni vill överklaga beslutet skall Ni skriva till Datainspektionen. Ange i
skrivelsen vilket beslut som överklagas och den ändring som Ni begär.
Överklagandet skall ha kommit in till Datainspektionen senast tre veckor
från den dag Ni fick del av beslutet för att kunna prövas. Datainspektionen
sänder överklagandet vidare till Länsrätten i Stockholms län för prövning
om inspektionen inte själv ändrar beslutet på det sätt Ni har begärt.
Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av
chefsjuristen Leif Lindgren, datarådet Katja Isberg Amnäs och juristen
Patrik Sundström, föredragande.
Göran Gräslund
Patrik Sundström
7(7)
Kopia till:
Henrik Bengtsson, Advokatfirman Delphi, Regeringsgatan 30-32, Box
1432, 111 84 STOCKHOLM
Socialstyrelsen, 106 30 STOCKHOLM
Regeringskansliet, 103 33, STOCKHOLM