Een half miljoen Britten hebben zich aangemeld om te helpen bij de bestrijding van kanker. Hun gegevens zijn uiteindelijk te koop aangeboden op Alibaba.
De liefdadigheidsinstelling UK Biobank heeft de Britse regering op de hoogte gebracht van een incident waarbij medische gegevens van 500.000 Britse burgers te koop werden aangeboden op de Chinese e-commercewebsite Alibaba.
De nationale gegevensbeschermer, dr. Nicola Byrne, verklaarde in een verklaring:
“Mensen die hun gezondheidsgegevens vrijwillig delen ten behoeve van anderen via medisch onderzoek, verwachten terecht dat deze gegevens veilig worden bewaard en dat er verantwoording wordt afgelegd als er iets misgaat.”
Volgens functionarissen hebben de onderzoekers de gegevens op basis van een legitieme overeenkomst gedownload, maar het feit dat deze op Alibaba zijn verschenen, laat zien hoe „goedgekeurde“ toegang toch kan leiden tot openbare bekendmaking.
UK Biobank beschikt over meer dan 15 miljoen biologische monsters en gedetailleerde medische dossiers van vrijwilligers die tussen 2006 en 2010 zijn geworven, en onderzoekers over de hele wereld maken er gebruik van om kanker, dementie, diabetes en andere chronische ziekten te bestuderen.
UK Biobank sluit doorgaans contracten met gescreende universiteiten en particuliere bedrijven voordat het hen toegang tot de gegevens verleent, maar onderzoekers hebben de advertenties op Alibaba teruggevoerd naar drie onderzoeksinstellingen. UK Biobank heeft hun toegang ingetrokken en de toegang tot nieuwe gegevens opgeschort terwijl het de beveiligingsmaatregelen aanscherpt.
Naar verluidt bevatte ten minste één advertentie gegevens over alle 500.000 vrijwilligers, en Alibaba en de Chinese autoriteiten hebben de advertenties verwijderd voordat iemand de verkoop kon bevestigen.
De dataset is afkomstig uit het langlopende onderzoekscohort van UK Biobank en omvat genetische sequenties, bloedmonsters, medische beeldvorming en gedetailleerde informatie over levensstijl, die worden gebruikt voor wereldwijd gezondheidsonderzoek.
UK Biobank benadrukt dat de gegevens „geanonimiseerd“ waren, wat betekent dat ze geen namen, adressen of NHS-nummers bevatten. Toch bevatten ze gedetailleerde demografische gegevens, zoals geslacht, leeftijd, geboortemaand en -jaar, sociaaleconomische indicatoren, gegevens over levensstijl en gezondheidsgegevens. We hebben herhaaldelijk gezien dat dergelijke gegevens weer aan individuen kunnen worden gekoppeld door ze te vergelijken met andere openbare of commerciële registers.
Waarom China zich hier zorgen over maakt
Amerikaanse inlichtingenrapporten, beleidsdocumenten en wetenschappelijk onderzoek schetsen een consistent beeld: China beschouwt grote, veelzijdige datasets over het menselijk genoom en de volksgezondheid als een strategische hulpbron, zowel om economische als om veiligheidsredenen.
Het Amerikaanse National Counterintelligence and Security Center (NCSC) stelt expliciet dat de Volksrepubliek China grote hoeveelheden gegevens op het gebied van gezondheidszorg en genomica beschouwt als een „strategisch goed“ om haar sectoren op het gebied van biotechnologie, kunstmatige intelligentie en precisiegeneeskunde te stimuleren, en miljarden heeft geïnvesteerd in nationale initiatieven op het gebied van genomica en precisiegeneeskunde.
Grote datasets van niet-Chinese bevolkingsgroepen zijn bijzonder waardevol voor het ontwikkelen van AI-modellen en het verbeteren van het wereldwijde commerciële concurrentievermogen van de Chinese farmaceutische en biotechnologische sector.
Vanuit het perspectief van een aanvaller of buitenlandse inlichtingendiensten is UK Biobank een ‘kroonjuweel’: het is zorgvuldig samengesteld, van hoge kwaliteit, op bevolkingsschaal en veel bruikbaarder dan willekeurige datasets uit datalekken. En omdat genetische gegevens onveranderlijk zijn (in tegenstelling tot een wachtwoord kunnen ze niet worden vervangen), blijft een inbreuk hierop op zeer lange termijn van nut voor inlichtingendoeleinden.
Vorig jaar meldde The Guardian dat een op de vijf goedgekeurde aanvragen voor toegang tot de UK Biobank afkomstig was van Chinese instanties, waaronder BGI, het toonaangevende Chinese genomicsbedrijf dat later op de Amerikaanse Entity List werd geplaatst vanwege bezorgdheid over zijn rol bij het toezicht op minderheidsgroepen.
China verzamelt niet alleen DNA uit nieuwsgierigheid. Het stelt een wereldwijde genomische kaart samen die zowel tegenstanders als zijn eigen burgers omvat.
Uw genoomgegevens
Er bestaat grote bezorgdheid over het feit dat genetische gegevens in verkeerde handen terechtkomen, en daar zijn goede redenen voor. Maar ik wil niet zeggen dat het slecht is om je medische gegevens vrijwillig beschikbaar te stellen voor onderzoek. Onderzoekers maken vaak goed gebruik van die gegevens om anderen te helpen.
Maar voordat je dat doet, zijn er een paar goede vragen die je jezelf kunt stellen.
- Wie leidt het project en waar is het gevestigd?
Geef de voorkeur aan non-profit- of academische biobanken met een duidelijk mandaat van algemeen belang en streng toezicht, in plaats van ondoorzichtige commerciële gegevensmakelaars. - Hoe worden de verzamelde gegevens opgeslagen?
Vraag specifiek naar genomische gegevens, onbewerkte sequentiebestanden, koppelingen naar medische dossiers en of de gegevens zowel in rust als tijdens de overdracht worden versleuteld. - Wie heeft toegang tot de gegevens en welke controles zijn er?
Let op de aanwezigheid van een officiële toegangscommissie, strikte contracten en technische controles, zoals beveiligde analyseomgevingen en beperkte exportmogelijkheden, en vermijd modellen waarbij men simpelweg een CSV-bestand kan downloaden en ermee weg kan lopen, zoals het model dat het incident bij de UK Biobank mogelijk maakte. - Mogen buitenlandse entiteiten de gegevens inzien of kopiëren?
Gezien de waarschuwingen van de Amerikaanse en Britse overheid over de toegang van China tot westerse genomische gegevens, is het redelijk om te vragen of gegevens kunnen worden ingezien, verwerkt of opgeslagen in rechtsgebieden met andere veiligheidsnormen. - Hoe gaan ze om met het risico op heridentificatie?
Zoals we al hebben besproken, is ‘geanonimiseerd’ geen toverwoord. Privacy en Amerikaanse inlichtingendiensten hebben gewaarschuwd dat gezondheids- en genomische gegevens vaak opnieuw kunnen worden geïdentificeerd wanneer ze worden gecombineerd met andere datasets.
Als gegevens die je DNA bevatten in handen van iemand anders zijn, kun je die niet meer terugkrijgen, maar je kunt wel betere regelgeving eisen en er bij instellingen op aandringen dat ze genomische gegevens behandelen als gevoelige informatie van nationaal-veiligheidsniveau.
Wees ook extra op uw hoede voor zeer gerichte oplichting. Aanvallers kunnen gebruikmaken van grote, gecombineerde datasets om overtuigende spear-phishing-aanvallen of oplichting op het gebied van gezondheid op te zetten, bijvoorbeeld door contact met u op te nemen over een specifieke aandoening die u of een familielid heeft. Wees extra op uw hoede voor ongevraagde e-mails, telefoontjes en apps die betrekking hebben op gezondheid of DNA.
Wat weten cybercriminelen over jou?
Gebruik de gratis Digital Footprint-scan Malwarebytes om te zien of uw persoonlijke gegevens online zijn blootgesteld.
