Az önkéntesek újraazonosíthatók lehetnek
Egy önkéntes beleegyezésével sikerült azonosítani a kórházi diagnózisokat tartalmazó nyilvántartásokat, pusztán a születési hónap, év és egy jelentősebb műtét adatai alapján. A kiszivárgott adathalmaz több millió bejegyzést tartalmazott, több mint 400 000 résztvevőről. Egy adatvédelmi szakértő szerint mindez ijesztő, főleg, hogy az MI (mesterséges intelligencia) és a közösségi média révén ma már könnyebben összekapcsolhatók egymással a különböző információmorzsák.
A UK Biobank vezetősége szerint azonban soha nem történt tényleges azonosítás ezek alapján, hiszen a kutatóknak nem adtak át azonosító adatokat, és a rendszer továbbra is biztonságos. Ezzel szemben az önkéntesek közül van, aki aggódik az adatkezelési megállapodás betartása miatt, főként mióta a kormány kiterjesztette a hozzáférést a háziorvosi adatokra is.
Az adatszivárgás háttere
A problémát az tetézte, hogy tudományos folyóiratok és finanszírozók egyre gyakrabban követelik meg a kutatási és elemző kódok közzétételét – ezzel több kutató véletlenül teljes vagy részleges UK Biobank adathalmazokat is feltöltött a GitHub nevű nyílt forráskód-megosztó oldalra. A UK Biobank szigorúan tiltja, hogy bármilyen kutatási adat elhagyja a saját rendszerét, ezért további képzéseket vezettek be a kutatók számára.
A helyzet az utóbbi évben különösen sürgetővé vált: 2025 második felében a Biobank 80 jogi felszólítást küldött a GitHubnak, amely kérésükre eltávolította a problémás tartalmakat. Ennek ellenére továbbra is számos adatfájl nyilvánosan elérhető maradt. Ezek között voltak, amelyek csak azonosítószámokat vagy néhány eredményt tartalmaztak, de akadt olyan is, amely mintegy 413 000 résztvevő diagnózisait, diagnózisainak dátumait, nemét, születésének hónapját és évét is listázta.
A visszaélések veszélye
Nem kizárt, hogy a kiszivárgott adatokból könnyen rekonstruálható valakinek a teljes kórtörténete anélkül, hogy hozzáférnénk bármilyen egyéb adatához. Egy idős nő például csupán néhány alapinformáció megadásával egyértelműen azonosíthatóvá vált, sőt, a feltárt fájlban öt korábbi diagnózisát is sikerült megerősíteni, amelyeket az önkéntes eredetileg nem is említett.
A UK Biobank továbbra is azt hangsúlyozza: az érintett résztvevők akkor kerülhetnek veszélybe, ha maguk töltenek fel személyazonosításra alkalmas adatokat az internetre, például családfakutatási oldalakon. Ez viszont a gyakorlatban nem jelent teljes körű védelmet.
A szervezet folyamatosan dolgozik a GitHubon lévő problémás adattárak levételén, amelyekből mintegy 500 mappát sikerült is eltávolíttatni, főként azonosító adatokat tartalmazókat – de így is maradtak nyilvánosan elérhető fájlok.
Digitális elvárás vs. etikai kötelezettség
A digitális korszakban, amikor tömegesen osztunk meg információt magunkról – egy Facebook-bejegyzés, egy nyilvános családfa-profil, egy fórumhozzászólás – aligha feltételezhető, hogy a résztvevők sohasem törekednének önazonosításra, vagy hogy maradéktalanul be tudják tartani a szigorú adatvédelmi szabályokat.
A szakértők szerint már kevés információ is elegendő lehet valakinek az azonosításához, főként, ha születési adatok vagy egy ritkább egészségügyi esemény időpontja ismert. Egy ilyen adatbázis alapján akár mentális betegségek, HIV-státusz vagy droghasználatra utaló kórtörténet is feltárható lehet.
Nem kizárt, hogy a UK Biobank az esetek többségében megtette a lehetséges óvintézkedéseket, ugyanakkor a probléma mértéke azt mutatja: továbbra is komoly feszültség van a széles körű kutatás és az etikus adatkezelés között. Mivel az interneten terjedő fájlok jelentős része továbbra is elérhető speciális oldalak archívumában, nem biztos, hogy a kiadott adatokat valaha teljesen vissza tudják szerezni.
