Datatilsynet vil nu undersøge, om Region Hovedstaden har overtrådt databeskyttelsesreglerne i forbindelse med et stort dansk AI-forskningsprojekt.
I første omgang Datatilsynet bedt Region Hovedstanden om en redegørelse i sagen, hvor regionen har givet forskere tilladelse til at bruge oplysninger fra 3,65 millioner danskeres hospitalsjournaler i forbindelse med forskningsprojektet "Precision Psychiatry Initiative".
Forskerne vil ifølge Regionen tilladelse få adgang til alle, der. været i kontaktet med sygehus i Region Hovedstaden eller Region Sjælland fra år 2000 og frem til 2030.
”Datatilsynet har blandt andet bedt Region Hovedstaden om en redegørelse for de databeskyttelsesretlige vurderinger, der er blevet foretaget, inden påbegyndelsen af behandlingen af personoplysninger i det pågældende projekt,” skriver Datatilsynet på sin hjemmeside.
Kan indeholder diagnoser og testresultater
I journalerne kan der indgå detaljer om diagnoser, diverse testresultater og referater af samtaler, som patienten har haft med lægen.
De data, der anvendes, er dog blevet pseudonymiseret, hvilket betyder, at deres fjernes navn og cpr-nummer og de derfor ikke umiddelbart kan føres tilbage til enkeltpersoner.
Hensigten er, at de skal bruges til at forbedre behandlingen af psykiatriske patienter.
Men ifølge DR har regionen ikke gennemført forudgående konsekvensanalyser, som er et krav, når der skal foretages behandling af persondata, der indebærer en høj risiko for de personer, hvis data behandles.
”Datatilsynet har en betydelig forståelse for, at kommuner, regioner og statsinstitutioner samt store dele af den private sektor lige nu kan opleve et stort forretningsmæssigt pres for at ibrugtage de løsninger, der opstår som følge af nye teknologier. Det er dog afgørende – også i en sådan situation – at huske på, at de registrerede borgeres rettigheder og menneskerettigheder ikke kan tilsidesættes,” skriver Datatilsynet på hjemmesiden.
Hvis det konkluderes, at Region Hovedstaden med projektet har foretaget en ulovlig behandling af personoplysninger, vil Datatilsynet kræve, at behandlingen af persondata ophører, og at de resultater, som er blevet frembragt som konsekvens af den ulovlige behandling, bliver slettet.
