UK Biobank, som innehåller medicinska journaler, genomsekvenser, skanningar, blodprover och livsstilsinformation från 500 000 brittiska volontärer, har drabbats av två dataläckageincidenter, enligt flera rapporter. Den första involverade forskare som av misstag publicerade delar av eller hela Biobank-dataset på GitHub när de avsåg att ladda upp kod. The Guardians granskning fann att ett dataset innehöll miljontals sjukhusdiagnoser och datum för över 400 000 deltagare. Mellan juli och december 2025 utfärdade UK Biobank 80 juridiska meddelanden till GitHub för att ta bort data, men mycket av den läckta datan finns fortfarande tillgänglig online. Fram till slutet av 2024 hade forskare frihet att ladda ner data direkt till sina egna datorsystem, och data hade oavsiktligt publicerats online redan innan dess, och Biobank kämpar fortfarande med problemet.
De exponerade filerna innehåller inte namn eller adresser men kan ändå utgöra integritetsproblem. Den berörda datan kan inkludera kön, ålder, månad och år för födelse, socioekonomisk status, livsstilsvanor och mätningar från biologiska prover. Med en volontärs samtycke kunde The Guardian identifiera omfattande sjukhusdiagnosregister för den volontären med endast månad/år för födelse och detaljer om en större operation. Teknikminister Ian Murray sade att han inte kunde ge en fullständig garanti för att ingen kunde identifieras, men att återidentifiering sannolikt skulle kräva ett 'mycket avancerat sätt'. En dataexpert beskrev problemets omfattning och beständighet som 'chockerande'.
UK Biobank avfärdade farhågorna och uppgav att inga identifierande uppgifter som namn och adresser lämnades till forskare. Verkställande direktören Sir Rory Collins sade att de aldrig sett bevis för att någon deltagare har återidentifierats. UK Biobank förbjuder forskare att dela data utanför sina system och har infört ytterligare utbildning. Organisationen stängde tillfälligt åtkomsten till forskningsplattformen. Sir Rory Collins bad deltagarna om ursäkt och sade att ytterligare säkerhetsåtgärder kommer att införas.
UK Biobank-välgörenhetsorganisationen informerade regeringen om att de hade identifierat att deras data hade annonserats till salu av flera säljare på Alibabas e-handelsplattformar i Kina. Biobank berättade för oss att i tre listningar som verkade sälja... Biobank-deltagardata hade identifierats. Åtminstone en av dessa tre dataset verkar innehålla data från alla 500 000 UK Biobank-volontärer.
I en separat incident erbjöds uppgifter om 500 000 UK Biobank-medlemmar till salu online i Kina på Alibaba. Teknikminister Ian Murray bekräftade att datan listades till salu på Alibaba och kallade det ett 'oacceptabelt missbruk' av data. Biobank-välgörenhetsorganisationen informerade regeringen om dataläckaget på måndagen. Informationen innehöll inte namn, adresser, kontaktuppgifter eller telefonnummer. Datan hade lagligt laddats ner av tre forskningsinstitutioner i Kina, som sedan fått sin åtkomst återkallad. Inga köp gjordes från de tre listningarna på Alibaba. Listningarna har tagits bort och den kinesiska regeringen samarbetade.
UK Biobank grundades 2003 av hälsodepartementet och medicinska forskningsorganisationer. Det är en av världens mest omfattande hälsoinformationslagringar och har drivit genombrott inom cancer-, demens- och diabetesforskning. UK Biobank-data har citerats i över 18 000 vetenskapliga artiklar med peer review. I slutet av 2024 utökade regeringen Biobanks tillgång till volontärernas journaler hos allmänläkare. Fram till slutet av 2024 hade forskare frihet att ladda ner data direkt till sina egna datorsystem, en policy som kan ha bidragit till exponeringarna.
Forskare som godkänts för att få tillgång till Biobank-data har ibland varit slarviga med säkerheten, enligt The Guardians granskning. En dataexpert beskrev problemets omfattning och beständighet som 'chockerande'. Det exakta antalet distinkta dataset som exponerats på GitHub och hur många deltagares data som fortfarande finns tillgänglig online är oklart. Det är också okänt hur datafilerna på Alibaba erhölls – om de laddades ner av de kinesiska forskningsinstitutionerna och sedan såldes, eller om det fanns ett annat läckage. De specifika ytterligare säkerhetsåtgärder som UK Biobank implementerar utöver utbildning och juridiska meddelanden har inte detaljerats. Den exakta tidslinjen för Alibaba-listningarna och när de togs bort är också oklar. Det återstår att se om UK Biobank kommer att ändra sina policyer för dataåtkomst för att förhindra framtida läckor, till exempel genom att kräva att forskare använder en säker analysplattform istället för att ladda ner data.