Medische gegevens die aan ongeveer 500.000 Britse burgers zijn gekoppeld, werden kort online aangeboden, wat leidde tot een overheidsonderzoek en hernieuwde zorgen over hoe gevoelige gezondheidsinformatie wordt behandeld.
De gegevens zijn afkomstig van de UK Biobank, een grootschalig onderzoeksproject dat genetische, biologische en leefstijlinformatie verzamelt van vrijwilligers ter ondersteuning van studies naar ziekten zoals kanker, dementie en hartaandoeningen.
Volgens functionarissen verscheen de dataset in meerdere vermeldingen op platforms die door Alibaba worden beheerd. De Britse overheid bevestigde dat de informatie door verschillende verkopers was geadverteerd, wat alarm wekte over hoe de gegevens waren benaderd en verspreid.
Hoewel de blootgestelde gegevens geen directe identificaties zoals namen, adressen of telefoonnummers bevatten, bevatten ze toch gevoelige gegevens. Deze omvatten geslacht, leeftijd, geboortegegevens, sociaaleconomische indicatoren, leefstijlgewoonten en metingen afkomstig van biologische monsters. Autoriteiten waarschuwden dat zelfs geanonimiseerde datasets privacyrisico’s kunnen opleveren, vooral wanneer ze worden gecombineerd met andere gegevensbronnen.
Onderzoeken suggereren dat de gegevens oorspronkelijk zijn gedeeld met onderzoekers van drie academische instellingen onder legitieme overeenkomsten. Toch wordt aangenomen dat deze instellingen nu in verband zijn gebracht met het lek, en hun toegang tot de dataset is ingetrokken.
Zowel de Britse als de Chinese autoriteiten grepen snel op om de vermeldingen te verwijderen, en functionarissen verklaarden dat er geen bewijs is dat er daadwerkelijk gegevens zijn gekocht voordat ze werden verwijderd. Desondanks is het incident omschreven als een ernstige vertrouwensbreuk, vooral gezien het vrijwillige karakter van deelname aan het Biobank-project.
De zaak heeft ook zorgen doen oplaaien over de veiligheid van grootschalige gezondheidsdatabases. Eerdere rapporten gaven aan dat Biobank-gegevens meerdere keren online waren blootgesteld, vaak door het verkeerd omgaan met datasets door onderzoekers in plaats van directe cyberaanvallen.
Als reactie daarop heeft de organisatie de toegang tot haar platform gepauzeerd, strengere monitoring van data-export ingevoerd en een volledig onderzoek gestart. Er worden extra waarborgen verwacht om te beperken hoeveel data onderzoekers kunnen downloaden en om verdachte activiteiten sneller te detecteren.
Het lek benadrukt een breder probleem waarmee moderne onderzoekssystemen worden geconfronteerd: het balanceren van open wetenschappelijke samenwerking met de noodzaak om zeer gevoelige persoonsgegevens streng te controleren.