Storbritannien: Forskningssamarbete bröt mot brittisk dataskyddslag

Den brittiska datainspektionen (“ICO”) har konstaterat att förvaltaren av ett sjukhus i London, NHS Royal Free Foundation Trust (”Royal Free”), har brutit mot Storbritanniens personuppgiftslag genom att ge Google DeepMind (“DeepMind”) tillgång till 1,6 miljoner patientjournaler. ICO kräver nu att Royal Free vidtar åtgärder för att åtgärda bristerna i personuppgiftsbehandlingen.

Den 30 september 2015 ingick Royal Free ett avtal med Google UK Limited (ett dotterbolag till DeepMind) enligt vilket DeepMind skulle behandla cirka 1,6 miljoner patientjournaler. Den 18 november 2015 började DeepMind med att behandla journalerna i samband med att testa en nyutvecklad plattform för att övervaka och upptäcka akuta njurskador. Plattformen fick formen av en mobilapp med namnet “Streams”.

Under testperioden fann ICO att de registrerade inte informerades tillräckligt om att behandlingen ägde rum. Därutöver förkastade ICO parternas påstående att syftet med behandlingen var att ge patienterna “direkt vård”. ICO noterade också att de patienter som sökt vård på sjukhusets akutavdelning under de senaste fem åren inte rimligen kunde förvänta sig att deras personuppgifter skulle göras tillgängliga för en tredje part med syftet att testa en ny mobilapplikation.

Enligt ICO: s avgörande bör vårdgivare som bedriver digitala hälsoprojekt genomföra konsekvensbedömningar och säkerställa att avtalsvillkoren utformas för att uppfylla kraven i tillämplig dataskyddslag.

Samma regler gäller i Sverige. Frågan blir än mer aktuell med den nya dataskyddsförordningen (GDPR) som börjar att tillämpas i maj nästa år.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.