Den brittiska datainspektionen (“ICO”) har konstaterat att förvaltaren av ett sjukhus i London, NHS Royal Free Foundation Trust (”Royal Free”), har brutit mot Storbritanniens personuppgiftslag genom att ge Google DeepMind (“DeepMind”) tillgång till 1,6 miljoner patientjournaler. ICO kräver nu att Royal Free vidtar åtgärder för att åtgärda bristerna i personuppgiftsbehandlingen.
Den 30 september 2015 ingick Royal Free ett avtal med Google UK Limited (ett dotterbolag till DeepMind) enligt vilket DeepMind skulle behandla cirka 1,6 miljoner patientjournaler. Den 18 november 2015 började DeepMind med att behandla journalerna i samband med att testa en nyutvecklad plattform för att övervaka och upptäcka akuta njurskador. Plattformen fick formen av en mobilapp med namnet “Streams”.
Under testperioden fann ICO att de registrerade inte informerades tillräckligt om att behandlingen ägde rum. Därutöver förkastade ICO parternas påstående att syftet med behandlingen var att ge patienterna “direkt vård”. ICO noterade också att de patienter som sökt vård på sjukhusets akutavdelning under de senaste fem åren inte rimligen kunde förvänta sig att deras personuppgifter skulle göras tillgängliga för en tredje part med syftet att testa en ny mobilapplikation.
Enligt ICO: s avgörande bör vårdgivare som bedriver digitala hälsoprojekt genomföra konsekvensbedömningar och säkerställa att avtalsvillkoren utformas för att uppfylla kraven i tillämplig dataskyddslag.
Samma regler gäller i Sverige. Frågan blir än mer aktuell med den nya dataskyddsförordningen (GDPR) som börjar att tillämpas i maj nästa år.