Gevoelige medische gegevens van de UK Biobank, een groot medisch onderzoeksproject met gegevens van 500.000 Britse vrijwilligers, zijn herhaaldelijk online openbaar gemaakt vanwege ontoereikende beveiligingspraktijken. Uit een Guardian -onderzoek blijkt dat onderzoekers die toestemming hebben om toegang te krijgen tot deze gegevens, onbedoeld bestanden met gedetailleerde patiëntinformatie hebben gepubliceerd op openbare platforms zoals GitHub.
Hoewel deze datasets geen directe identificatiemiddelen zoals namen en adressen bevatten, leidt de enorme hoeveelheid openbaar gemaakte gegevens – waaronder ziekenhuisdiagnoses, data van procedures en demografische details – tot ernstige privacyproblemen. Het risico wordt vergroot door de vooruitgang op het gebied van AI en data-aggregatie, waardoor heridentificatie steeds eenvoudiger wordt.
De omvang van het probleem
Tussen juli en december 2025 heeft UK Biobank 80 juridische mededelingen aan GitHub gedaan met het verzoek om de gelekte gegevens te verwijderen, maar aanzienlijke delen blijven toegankelijk. Eén dataset alleen al bevatte diagnoses voor meer dan 413.000 deelnemers, samen met geboortedata en geslacht. The Guardian testte het risico door minimale persoonlijke informatie te verstrekken aan een datawetenschapper, die met succes de medische geschiedenis van een vrijwilliger met vrijwel zekerheid in kaart bracht op basis van alleen de geboortemaand/-jaar en een operatiedatum.
“Ik kreeg de rillingen over mijn rug toen ik het zelfs maar openmaakte… Het was heel gedetailleerd en voelde als een grove inbreuk op de privacy, zelfs als ik er maar naar keek.” – Een data-expert die de gelekte bestanden beoordeelt.
Reactie en kritiek van Biobank
UK Biobank verdedigt haar veiligheid en stelt dat er geen namen of adressen aan onderzoekers zijn verstrekt. CEO prof. Sir Rory Collins beweert dat er geen heridentificatie heeft plaatsgevonden. Deskundigen beweren echter dat dit standpunt onrealistisch is, gezien het gemak van kruisverwijzingen naar gegevens in het digitale tijdperk.
“Weten deze mensen dat internet bestaat?” vroeg prof. Felix Ritchie, een econoom aan de Universiteit van West-Engeland. “Het idee dat ze erop kunnen vertrouwen dat hun vrijwilligers nooit andere informatie over zichzelf vrijgeven, is volkomen onredelijk om te verwachten.”
Dr. Luc Rocher van het Oxford Internet Institute wijst erop dat zelfs gedeeltelijke gegevens – zoals geboortedata en letseldata – voldoende kunnen zijn om individuen te lokaliseren. Eenmaal geïdentificeerd, kunnen deze gegevens zeer gevoelige informatie onthullen, waaronder psychiatrische diagnoses of de HIV-status.
De spanning tussen onderzoek en privacy
De lekken komen voort uit een beleid dat onderzoekers in staat stelt gegevens tot eind 2024 rechtstreeks naar hun systemen te downloaden, gecombineerd met een toenemende druk om onderzoekscode te publiceren. Sommige onderzoekers hebben per ongeluk Biobank-datasets in deze uploads opgenomen. Biobank heeft verdere training geïntroduceerd, maar geeft toe dat het probleem blijft bestaan.
De situatie benadrukt een inherent conflict tussen het stimuleren van onderzoek met grote datasets en het beschermen van de individuele privacy. Ondanks de inspanningen van Biobank om gelekte gegevens te verwijderen, blijven kopieën online gearchiveerd, waardoor de vraag wordt gesteld of volledige controle haalbaar is. De omvang van deze lekken – honderden incidenten – duidt op systemische fouten, niet op geïsoleerde fouten.
Het incident onderstreept de groeiende uitdagingen op het gebied van gegevensbeveiliging in het tijdperk van open wetenschap en AI-gestuurde heridentificatie. Hoewel het werk van Biobank waardevol blijft, roepen deze herhaalde inbreuken twijfels op over de vraag of de huidige waarborgen voldoende zijn om de gegevens van deelnemers te beschermen.
