Álit mitt í 24 stundum

Birt á Moggablogginu 22.11.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Í gær fékk ég upphringingu frá 24 stundum og ég beðinn um að gefa álit mitt á deCODEme arfgerðargreiningu Íslenskrar erfðagreiningar.  Ég stóðst ekki freistinguna og því birtist álit mitt í blaðinu í dag (22. nóv.).  Þar sem nokkur umræða hefur átt sér stað í bloggheimum um þessa þjónustu ÍE, þá vil ég birta þetta álit mitt hér.  Tekið skal fram að stíllinn er knappur, þar sem álitið varð að rúmast í 300 orðum.

Arfgerðargreiningin deCODEme

Hún er áhugaverð hugmynd Íslenskrar erfðagreiningar (ÍE) að bjóða upp á arfgerðargreiningu fyrir þá sem hafa áhuga og eru til í að leggja fram litlar 60.000 kr.  Ég er raunar búinn að bíða í nokkurn tíma eftir einhverju svona, þó svo að ég hafi frekar átt von á því að þjónustunni yrði beint að heilbrigðisstofnunum.  En nú er búið að opna fyrir deCODEme þjónustuna og verður forvitnilegt að sjá hvaða viðtökur hún fær.

 Ganga þarf gætilega um þær upplýsingar sem úr arfgerðargreiningu koma og mikilvægt að um þær gildi sömu reglur og um aðrar heilsufarsupplýsingar.  Út frá persónuvernd, sé ég ekki mun á þessum upplýsingum og rannsóknarniðurstöðum fengnum á sjúkrahúsi eða heilsugæslustöð.  Blóðmæling, sem leiðir í ljós sykursýki, gefur einstaklingi líklega meiri upplýsingar um sína nánustu en arfgerðargreining sem setur einstaklinginn í áhættuhópa vegna sykursýki. Ástæðan er, að einstaklingur, sem greindur hefur verið með sykursýki, þekkir fjölmörg ytri einkenni á þeim sem eru með sykursýki, einkenni sem arfgerðargreiningin gefur engar upplýsingar um.

Gæta þarf almennrar persónuverndar við söfnun, vinnslu, varðveislu og förgun lífssýna og upplýsinga í tengslum við deCODEme.  Þetta vita forráðamenn ÍE vel eftir að hafa unnið eftir ströngum reglum Persónuverndar og Vísindasiðanefndar í á annan áratug.  Það er því eðlilegt og sjálfsagt að útbúin sé traust umgjörð um þessa vinnu, en ég get ekki séð að gera þurfi aðrar kröfur til hennar en þær sem Landspítali háskólasjúkrahús þarf að uppfylla eða eru í þeim reglum sem Persónuvernd hefur sett fyrirtækinu hingað til.

Ef stjórnvöld telja sig þurfa að setja einhverjar reglur vegna þessarar þjónustu ÍE, þá held ég að þær eigi fyrst og fremst að snúast um að gera það óheimilt að krefja einstakling um að láta arfgerðarupplýsingar af hendi.  Skiptir þá ekki máli hvort það eru yfirvöld (þ.m.t. lögregla), tryggingarfélög eða atvinnurekendur.  Þetta eru viðkvæmar persónuupplýsingar sem á að umgangast sem slíkar.

 

Höfundur er sérfræðingur í stjórnun upplýsingaöryggis og öryggi persónuupplýsinga

Marinó G. Njálsson

oryggi@internet.is

www.betriakvordun.is