23 kwietnia 2026 r. w brytyjskiej Izbie Gmin przedstawiono szczegóły incydentu dotyczącego bezpieczeństwa danych UK Biobank. Informacje o potencjalnej sprzedaży danych zdrowotnych uczestników badania pojawiły się kilka dni wcześniej i wywołały reakcję rządu oraz instytucji nadzorczych. Sprawa dotyczy jednego z największych na świecie projektów badawczych opartych na danych medycznych. Podjęto już pierwsze działania ograniczające ryzyko dalszego wycieku.
Z tego artykułu dowiesz się…
- Jak doszło do ujawnienia ofert sprzedaży danych UK Biobank.
- Jakie dane obejmował incydent i czego nie zawierały.
- Jakie działania podjęły rząd i UK Biobank po wykryciu problemu.
- Jakie zmiany w dostępie do danych są obecnie wdrażane.
Dane UK Biobank wystawione na sprzedaż
Jak poinformował minister Ian Murray, 20 kwietnia 2026 r. organizacja UK Biobank przekazała rządowi informację o wykryciu ofert sprzedaży danych na platformach e-commerce Alibaba w Chinach. Zidentyfikowano trzy ogłoszenia, z których co najmniej jedno mogło obejmować dane pochodzące od wszystkich 500 tys. uczestników projektu.
Oprócz samych danych pojawiły się także oferty usług wspierających dostęp do zasobów Biobank lub analizę danych dla instytucji badawczych, które już posiadają uprawnienia.
Brak danych identyfikujących, ale poważne ryzyko
Rząd podkreślił, że udostępniane dane nie zawierały bezpośrednich identyfikatorów, takich jak imiona, adresy czy numery telefonów. Nie zmienia to jednak skali problemu, ponieważ dane medyczne – nawet zanonimizowane – mogą mieć wysoką wartość i potencjał identyfikacyjny przy odpowiednim zestawieniu.
Z przekazanych informacji wynika również, że nie odnotowano transakcji zakupu danych przed usunięciem ofert.
Natychmiastowa reakcja rządu i instytucji
Po otrzymaniu informacji o incydencie podjęto działania na kilku poziomach:
- usunięto wskazane oferty we współpracy z platformą oraz władzami Chin,
- zablokowano dostęp do danych dla instytucji badawczych powiązanych ze źródłem wycieku,
- wstrzymano możliwość dalszego pobierania danych z UK Biobank do czasu wdrożenia nowych zabezpieczeń.
Dodatkowo organizacja zgłosiła sprawę do brytyjskiego organu nadzorczego – Information Commissioner’s Office.
Minister Ian Murray wskazał, że dostęp do danych zostaje czasowo zawieszony do momentu wdrożenia systemu, który uniemożliwi ich niekontrolowane pobieranie i zwiększy kontrolę nad analizą.
UK Biobank – fundament globalnych badań
UK Biobank to jedna z najważniejszych inicjatyw badawczych na świecie, obejmująca dane zdrowotne i genetyczne setek tysięcy ochotników. Zasoby te są wykorzystywane m.in. do:
- identyfikacji genów wpływających na ryzyko chorób serca i nowotworów,
- opracowywania metod wczesnego wykrywania demencji i choroby Parkinsona,
- badań nad odpornością na COVID-19,
- analiz przewlekłego bólu i innych chorób cywilizacyjnych.
Dane są udostępniane naukowcom na całym świecie w ramach kontrolowanych procedur dostępu.
Reakcja National Data Guardian
Do sprawy odniosła się także National Data Guardian, dr Nicola Byrne, wskazując na znaczenie zaufania społecznego w badaniach medycznych.
– Osoby, które udostępniają swoje dane zdrowotne, mają pełne prawo oczekiwać, że będą one odpowiednio chronione oraz że zostanie wyciągnięta odpowiedzialność, gdy dochodzi do naruszeń – podkreśla dr Byrne.
Dr Byrne zwróciła uwagę, że szybkie działania zabezpieczające są istotne, ale konieczna jest również pełna transparentność i wyjaśnienie przyczyn incydentu.
W swoim stanowisku podkreśliła, że uczestnicy badania powinni otrzymać jasne informacje o tym, co się wydarzyło i jakie zmiany zostaną wdrożone.
Wstrzymanie dostępu i audyt zabezpieczeń
UK Biobank zapowiedział przeprowadzenie pilnego przeglądu zabezpieczeń na poziomie zarządu oraz wdrożenie nowych rozwiązań technicznych. Jednym z pierwszych kroków jest czasowe wstrzymanie możliwości pobierania danych przez badaczy.
Równolegle trwają działania mające ustalić, w jaki sposób dane trafiły do nieautoryzowanych kanałów dystrybucji.
Rząd zapowiedział również publikację nowych wytycznych dotyczących zarządzania danymi w badaniach naukowych.
Główne wnioski
- Incydent dotyczy danych nawet 500 tys. uczestników UK Biobank i trzech ofert sprzedaży wykrytych na platformach Alibaba.
- Dane nie zawierały identyfikatorów osobowych, ale obejmowały wrażliwe informacje zdrowotne o wysokiej wartości badawczej.
- Wstrzymano dostęp do danych i cofnięto uprawnienia wybranym instytucjom badawczym powiązanym ze źródłem wycieku.
- Rozpoczęto audyt zabezpieczeń i prace nad nowym systemem kontroli dostępu, który ma ograniczyć możliwość pobierania danych.
Źródło:
- https://www.gov.uk/government/speeches/minister-of-state-statement-to-the-house-of-commons-23-april-2026
- https://www.gov.uk/government/news/national-data-guardian-statement-on-uk-biobank-data-advertised-for-sale-in-china
