Kitajsko podjetje BGI Group, lastnik tehnologije za tako imenovane teste nifty za nosečnice, naj bi po analizi Reutersa genetske podatke žensk zbiralo in uporabljalo za nadaljnje raziskave – tudi za interese kitajske vojske in države. V eni od študij navaja tudi podatke žensk(e) iz Slovenije. Pri nas teste z njihovo tehnologijo izvaja Geneplanet. Direktor Marko Bitenc pravi, da so samo enkrat podatke bolnice na njeno željo in z njenim soglasjem poslali kitajskemu gigantu. Urad informacijske pooblaščenke Mojce Prelesnik je sprožil nadzor: postopek še teče, a otipljivih dokazov o pretakanju podatkov na Kitajsko za zdaj ni, pravijo.

Nosečnice, ki jim meritev nuhalne svetline (ta se izvaja tri mesece po zanositvi) pokaže povečano tveganje za kromosomske nepravilnosti, se lahko odločijo za druge diagnostične preiskave, ki potrdijo ali ovržejo možnosti, da je z njihovim otrokom kaj narobe.

Ena od teh preiskav je test nifty, ki poveča možnosti za zgodnje odkrivanje Downovega sindroma in nekaterih drugih kromosomskih nepravilnosti pri plodu. Pri nas je test samoplačniški, cena je po podatkih na spletu približno 500 ali 600 evrov.

Eden od dobaviteljev teh testov pri nas je podjetje Geneplanet Marka Bitenca, ki se od začetka epidemije covida-19 v javnosti pojavlja kot eden največjih dobaviteljev zaščitne opreme državnemu zavodu za blagovne rezerve. Kot poroča Reuters, je Geneplanet eden od partnerjev BGI Group v tej regiji in dobavitelj njihovih testov za evropski trg. BGI pa je v zadnjih mesecih tarča očitkov o potencialnih kršitvah zakonodaje o varstvu podatkov.

Podatke zbirajo in ponovno analizirajo

Gre za veliko kitajsko podjetje s sedežem v kitajski metropoli Šendžen, ki za izvajanje testov nifty dobiva v obdelavo krvne vzorce nosečnic ter s tem dostop do njihovih genetskih podatkov.

Svetovalci ameriške vlade so marca opozorili, da podjetje po testu podatke zbira v ogromni podatkovni banki in jih znova analizira z orodji umetne inteligence ter da obstaja tveganje, da ti podatki pomagajo Kitajski ustvariti prednost na gospodarskem in vojaškem področju. Drugače povedano: velika baza podatkov BGI je za druge države potencialna varnostna grožnja.

Od julija je mednarodna tiskovna agencija Reuters objavila serijo člankov, ki temeljijo na analizi več kot 100 dokumentov, od znanstvenih raziskav – tudi kliničnih študij – do marketinških materialov in izjav podjetja. Ugotavljajo:

• da je BGI Group test Nifty razvil v sodelovanju s kitajskimi vojaškimi bolnišnicami,
• da kitajsko podjetje hitro širi globalno mrežo laboratorijev in s tem krepi vpliv v zdravstvenih sektorjih posameznih držav,
• da ostanke krvnih vzorcev in genetske podatke milijonov nosečnic, skupaj z nekaterimi osebnimi podatki (država, višina, teža, ne pa tudi njeno ime), podjetje zbira v zdaj že bogati banki podatkov China National GeneBank, ki jo upravlja BGI, financira pa kitajska država, in
• da te podatke uporabljajo za ponovne, tako imenovane “sekundarne” raziskave, pri katerih BGI vse od leta 2010 sodeluje tudi s kitajskimi vojaškimi bolnišnicami (Reuters navaja študije o genetski gluhosti, z eno od bolnišnic so naredili vsaj pet študij na področju prenatalne medicine ter organizirali konference na temo preprečevanja okvar ob rojstvu ter “povečevanju kakovosti prebivalstva”, poleg tega sodelujejo na področju genetskih raziskav s ciljem povečevanja učinkovitosti vojakov ter, na primer, njihove zaščite pred višinsko boleznijo).

BGI: Imamo stroge varnostne protokole

V BGI so zavrnili namigovanja, da je bil test Nifty razvit v sodelovanju s kitajsko vojsko, in zatrdili, da tega ni mogoče sklepati na podlagi njihovega sodelovanja z vojaškimi bolnišnicami. Za Reuters so povedali, da delajo s “tisoči drugimi zdravstvenimi ustanovami”, da tudi drugi ponudniki testov na Kitajskem delajo z vojaškimi bolnišnicami in da številna podjetja po svetu sodelujejo z vojsko.

Varstvo podatkov jemljejo zelo resno, so še povedali in dodali, da so njihovi varnostni protokoli strogi ter v skladu z mednarodnimi standardi. “BGI nima na nobeni stopnji testiranja ali analize dostopa do osebnih podatkov, na podlagi katerih bi lahko identificirali človeka, ki mu je bil odvzet analizirani vzorec,” so povedali za Reuters. Ter še, da je bilo zunaj Kitajske prodanih le pet odstotkov njihovih testov, vzorce iz tujine pa po petih letih uničijo.

Reuters ni našel dokazov, da je BGI kršil pogodbo s katero od žensk, ki so opravile test, niti da je prekršil zakonodajo o varovanju podatkov. Opozarja pa, da na spletni strani podjetje navaja, da lahko podatke deli, če je to “pomembno za primere nacionalne varnosti in varnosti nacionalne obrambe” na Kitajskem. A v BGI trdijo, da podatkov niso nikoli do zdaj posredovali kitajskim oblastem in da te tega niso nikoli zahtevale.

Kje je v zgodbi Slovenija?

Reuters je v analizi med drugim navedel, da so bili v eni od študij, ki so jih novinarji analizirali, uporabljeni tudi podatki žensk(e) iz Slovenije.

Po navedbah je BGI v študiji analiziral 1,93 milijona testov Nifty, ki so jih izvedli v letih 2016 in 2017. V 542 primerih so testi pokazali na anomalije, ki bi lahko nakazovale na rakavo obolenje. Šlo je za vzorce žensk iz Kitajske, Hongkonga, Slovenije, Španije in Tajvana, ki s katerimi so po izvedbi analize stopili v stik za potrebe raziskave. Ugotovili so, da so 41 od teh žensk – nevede za raziskavo BGI – zdravniki postavili diagnozo raka.

Reutersovi novinarji so podatke teh žensk zdaj našli v že imenovani banki podatkov China National GeneBank, pod sedemmestno identifikacijsko številko.

“V primeru testa Nifty by Geneplanet se vzorci analizirajo in shranijo v našem laboratoriju s sedežem v Zagrebu, torej v EU. Tukaj se hranijo tudi vsi osebni podatki,” pravi direktor in solastnik Geneplanet Marko Bitenc.

Podatki nosečnice na Kitajsko z njenim soglasjem

Kot že napisano, v Sloveniji teste na osnovi njihove tehnologije prodaja podjetje Geneplanet. Solastnik in direktor Geneplaneta Marko Bitenc pravi, da je članek treba brati v luči trgovinske vojne med ZDA in Kitajsko, in zagotavlja, da ni nikakršnih tveganj ali nepravilnosti v zvezi z varovanjem podatkov njihovih kupcev.

Kako pa se je v študiji kitajskega podjetja pojavil primer vsaj enega slovenskega državljana? Bitenc pravi, da je edini primer, ko so podatke poslali na Kitajsko, iz leta 2017 in ni neposredno povezan z opravljanjem testa, temveč s študijo, povezano z rakom. “Za sodelovanje smo se odločili na podlagi želje pacientke nifty in v tesnem sodelovanju z zdravstvenim osebjem. Za sodelovanje v študiji je pacientka oddala nov vzorec krvi, prav tako je podpisala novo soglasje, vezano na dotično študijo. Obveščena je bila tudi o lokaciji študije, Šendžen na Kitajskem. Raziskava je bila izvedena kot samostojen projekt in ni direktno povezana s testiranjem nifty.”

“Podatki ostanejo v EU”

Na vprašanje, koliko slovenskih nosečnic je opravilo njihov test Nifty – in bi bile torej lahko v skrbeh, v čigave roke so prišli njihovi podatki – nam Bitenc ni želel neposredno odgovoriti. Pravi, da gre za poslovno skrivnost. Pojasnil pa nam je, da je za podjetje Geneplanet, ki zaposluje 200 ljudi na globalni ravni in prodaja v več kot 35 državah, dvomilijonski slovenski trg relativno majhen.

V samem procesu izvedbe testa Nifty by Geneplanet pravzaprav nimajo stika z BGI Group, trdi Bitenc. “Od podjetja BGI smo odkupili tehnologijo, saj je ta najbolj validirana in najpogosteje uporabljena tehnologija po vsem svetu. Opravili so devet milijonov testov. To ne pomeni, da se vsi vzorci analizirajo ali shranijo na Kitajskem. V primeru testa Nifty by Geneplanet se vzorci analizirajo in shranijo v našem lastnem laboratoriju s sedežem v Zagrebu, torej v EU. Tukaj se hranijo tudi vsi osebni podatki.”

Podatki strank se shranjujejo na lokalnih strežnikih. “Vsak vzorec obdelujemo po istem protokolu, ki je jasno določen in skladen z zahtevnimi standardi,” nam pojasni Bitenc in doda, “z namenom zagotavljanja varnosti podatkov osebne podatke kot edini ponudnik Nipt obdelujemo tudi prek varne platforme s certifikatom ISO 27 001.”

Na vprašanje, ali ima BGI dostop do podatkov njihovih strank, je odgovoril, da ne. Na vprašanje, ali so Kitajci od njih kdaj zahtevali, da jim posredujejo podatke strank, je prav tako odgovoril nikalno. Večkrat je ponovil, da noben podatek v nobeni fazi procesa ne zapusti EU in da so tu povsem podvrženi evropski regulativi, ki na področju varovanja osebnih podatkov velja za relativno strogo.

“Ker postopek še poteka, v tem trenutku zaključki še niso mogoči,” pravijo v uradu informacijske pooblaščenke Mojce Prelesnik. “IP za zdaj nima še nobenih otipljivih dokazov, da naj bi se podatki slovenskih državljank prenašali na Kitajsko, tudi zavezanec v svojem odzivu na poročanje Reutersa to izrecno zanika, prav tako drugače ne izhaja niti iz zavezančeve politike zasebnosti.”

Informacijska pooblaščenka sprožila nadzor

Reuters je te dni poročal, da sta na podlagi njihove analize slovenski in nemški regulator sprožila nadzor in presojata test z vidika evropske zakonodaje o zaščiti osebnih podatkov, tako imenovane GDPR. Nemški regulator je do konca preiskave morebitnega kršenja pravil varstva podatkov laboratoriju podjetja Eluthia, ki prodaja BGI-jeve teste v Nemčiji, prepovedal, da krvne vzorce in podatke žensk pošilja kitajskemu podjetju.

Preiskave tudi v tujini

Regulatorji v Nemčiji, Avstraliji, Estoniji in Kanadi so pozvali BGI k transparentnosti glede (ponovne) uporabe genetskih podatkov žensk, piše Reuters. Poudarili so, da je, čeprav podatke izvažajo, za zagotavljanje njihove zakonite rabe odgovoren lokalni ponudnik. Evropski odbor za varstvo podatkov (EOVP), evropski “informacijski pooblaščenec”, je za Reuters dejal, da spremlja dogajanje.

Tudi kanadski informacijski pooblaščenec je za Reuters povedal, da primer BGI vzbuja vrsto vprašanj o “zelo občutljivih” podatkih in povedal, da so sprožili preiskavo. Nosečnicam je priporočil, da teste kupujejo pri domačih, kanadskih proizvajalcih ali podjetjih iz držav, kjer je “primerljiva” stopnja varovanja podatkov.

V uradu informacijske pooblaščenke Mojce Prelesnik so za N1 potrdili, da so po uradni dolžnosti začeli postopek.

“Na podlagi novinarskih vprašanj, ki smo jih pri informacijskem pooblaščencu (IP) prejeli od Reutersa 16. avgusta 2021, smo zoper Geneplanet začeli inšpekcijski postopek in zavezanca pozvali k pojasnilom glede zakonitosti, pravičnosti in preglednosti izvajanja določb ZVOP-1 in Splošne uredbe o obdelavi podatkov pri obdelavi osebnih (tudi genetskih) podatkov ter s temi podatki povezanega biološkega materiala iz izvedenih testov nifty. Ker postopek še poteka, v tem trenutku zaključki še niso mogoči. IP za zdaj nima še nobenih otipljivih dokazov, da naj bi se podatki slovenskih državljank prenašali na Kitajsko, tudi zavezanec v svojem odzivu na poročanje Reutersa to izrecno zanika, prav tako drugače ne izhaja niti iz zavezančeve politike zasebnosti.”

Bitenc: Imamo dokaze, da tveganj ni

Bitenc verjame, da nepravilnosti ni, zato, kot pravi, z veseljem pričakujejo sestanek z uradom informacijske pooblaščenke, ki se jim je že najavila. “Imamo pripravljeno dokumentacijo, ki jasno kaže, da tveganj za kršitve varovanja osebnih podatkov ni.”

Poudarja, da so v 13 letih večkrat sodelovali z informacijsko pooblaščenko in da do zdaj ni bilo težav. “V preteklih letih smo delovali zelo proaktivno, predali vse relevantne informacije oziroma jih v določenih okoliščinah celo sami kontaktirali za mnenje, da smo zagotovili skladnost z regulativo.”

Zakaj bi Kitajce lahko zanimal DNK Evropejcev, Američanov itd.?

Test Nifty sekvencionira približno desetino genoma matere, je za Reuters pojasnil Dennis Lo, znanstvenik iz Hongkonga, ki je leta 1997 razvil tehnologijo. Dejal je, da ta odpira vrata za odkrivanje genetskih variacij med populacijami po svetu, v prihodnje pa bo po njegovem mnenju morda mogoče iz testa nifty (za katerega, kot rečeno, potrebujejo le vzorec krvi) rekonstruirati podobo osebe.

“Genetski podatki nimajo visoke vrednosti le za tržnike in podatkovne analitike, temveč tudi za tuje države in spletne kriminalce,” so za Reuters povedali v Uradu za varovanje podatkov in zasebnosti v kanadski provinci Ontario.

Strokovnjaki s tega področja pa so lani v poročilu direktorju ameriške obveščevalne službe zapisali, da so v medicini mase podatkov o genomih lahko uporabne za diagnozo nekaterih bolezni in pomoč pri izbiri terapij, obenem pa izpostavijo genetske pomanjkljivosti posamezne populacije, kar bi lahko kdo izkoristil za tako imenovan usmerjen genetski napad. Opozorili so tudi na tveganje z vidika varovanja zasebnosti, saj “že obstaja način, da se iz dela njegove DNK identificira posameznika”.

V zadnjih letih je bila Kitajska tarča kritik mednarodnih organizacij za človekove pravice, da pod krinko brezplačnih sistematskih pregledov jemlje DNK-vzorce, prstne odtise, krvne vzorce in druge biometrične podatke prebivalcev avtonomne pokrajine Sinkiang na skrajnem zahodu države, kjer živijo pripadniki muslimanske manjšine Ujgurov z namenom nadzora nad to manjšino. Zbrane podatke lahko uporabijo za “nadzor oseb na podlagi etničnega rodu, veroizpovedi, mnenja ali druge človeške svoboščine, kot je svoboda govora,” je med drugim opozorila organizacija Human Rights Watch.