Amerikanske stater gir i økende grad forbrukere flere personvernrettigheter over deres digitale informasjon, men hva med deres biologiske data? Din e-postadresse og telefonnummer er sensitive nok, men de blekner sammenlignet med det som er i ditt DNA. Genetisk informasjon gjør det mulig for folk å utlede ulike ting om deg, fra din disposisjon til flere sykdommer til enten du er den spenningssøkende typen eller ikke.
Mindre enn et kvart århundre etter at vi kartla det menneskelige genomet, er genetisk testing direkte til forbruker (DTC) en vekstindustri. I følge YouGov, en av fem Amerikanerne har allerede sendt inn deres DNA for testing. Over halvparten av YouGovs respondenter følte at personvern var en bekymring, men fristet av lokket til en spennende ny teknologi, bruker de DTC genetiske tjenester uansett.
Denne frykten for genetisk personvern er velbegrunnet. I motsetning til et telefonnummer, kan du ikke endre genene dine – og likevel er personvernet til den genetiske informasjonen din stort sett uregulert. Nå, takket være personvernbevisste Montanans, endrer det seg sakte. Staten har vedtatt en lov kalt Personvernloven om genetisk informasjon som pålegger strenge regler for innsamling og bruk av genetiske data.
Den nye loven tolker "genetiske data" bredt til å inkludere ikke bare et hvilket som helst sekvensert DNA, men også all fenotypeinformasjon fra den sekvenseringen, som gjør det mulig for folk å forutsi atferd og fysiske egenskaper. Utover det inkluderer det også all selvrapportert informasjon om helsetilstander som en enhet bruker til forskning sammen med disse DNA-dataene.
Fra 1. oktober, når loven er vedtatt, må enhver organisasjon som kontrollerer genetisk informasjon få forbrukerens samtykke til å overføre, bruke og beholde den. Forbrukeren må gi samtykke før overføring av data til en tredjepart for forskning.
Hvorfor trenger vi en genetisk lov?
Når Consumer Reports testet velkjente DTC-genetikktjenester, fant den dem generelt ansvarlige med kundenes DNA-data. De solgte ikke de genetiske dataene til datameglere og krevde at kundene skulle melde seg på hvis de ville ha dataene brukt til forskning. Men uten passende lover er dette hovedsakelig avhengig av deres selvbeherskelse. Rapporten bemerket også at "forskning" kan dekke noen uventede ikke-altruistiske brukstilfeller, inkludert intern produktutvikling, og at i mange tilfeller kan ikke-DNA-data om et individ, inkludert helseopplysninger, også videreformidles.
Consumer Reports-undersøkelsen dekket ikke 1Health. I september 2023, Federal Trade Commission bosatte seg med dette DTC-genetikkselskapet, tidligere kjent som Vitagene, for å ha mishandlet forbrukernes data. Kommisjonen hevdet at selskapet med tilbakevirkende kraft endret sin personvernpolicy uten å informere kundene, og utvidet omfanget av tredjeparter som det ville gi data til. Den utvidede listen inkluderte supermarkedskjeder og produsenter av kosttilskudd.
I følge FTCs klage klarte heller ikke 1Health/Vitagene å avidentifisere kundedata ved å lagre dem uten medfølgende identitetsinformasjon, for eksempel navnene deres. Det skal ha oppbevart noen kunders genetiske data sammen med annen identifiserende informasjon, inkludert helserapporter og delvise eller fullstendige navn. Noen data ble lagret ukryptert i skyen, kommisjonen sa.
Uansett er genetisk informasjon spesielt vanskelig å anonymisere. Denne oppfatningen – at dataene på en eller annen måte kan renses for å unngå bruk for å identifisere en pasient – er tvilsom. Det er ikke nok å bare lagre dataene uten medfølgende identifiserende data. Den amerikanske regjeringens National Human Genome Research Institute advarer av muligheten for å re-identifisere mennesker gjennom deres genominformasjon. Dette er mulig på ulike måter, inkludert kryssreferanser mot andre databasetyper eller medlemskap av identifiserbare populasjoner som etniske grupper.
Det var opp til FTC å målrette mot 1Health i sitt oppgjør på $75,000 2008 fordi eksisterende lov ikke regulerer genetiske data uttømmende. For eksempel faller ikke DTC-genetikktestende selskaper inn under den føderale personvernforordningen for medisinske data, HIPAA, som styrer helseleverandører eller forsikringsselskaper. Den føderale loven om ikke-diskriminering av genetisk informasjon XNUMX (GINA) forhindrer helseforsikringsselskaper eller arbeidsgivere fra å tvinge folk til å utlevere sine genetiske data eller bruke dem til å diskriminere dem. Likevel dekker det ikke DTC-genetikktjenesteleverandører.
Det er ikke nok å saksøke selskaper for villedende praksis i fravær av passende genetiske lover om personvern. I 2021, Justin Sherman, stipendiat og forskningsleder for Duke University Sanford School of Public Policys Data Brokerage Project, oppfordret Senatets finanskomité skal kontrollere salg av genetiske data til tredjeparter strengt.
En historie med personvernbevisst lovgivning i Montana
Montana har en historie med å vedta banebrytende personvernlover. I 2013 ble det den første staten å tvinge politiet til å få en arrestordre før de høster stedsinformasjon fra elektroniske enheter. Den har også fulgt andre stater med å innføre generelle lover om personvern for forbrukere med sin Consumer Data Privacy Act, vedtatt i april 2023.
Montana er heller ikke den eneste staten som takler genetisk personvern. I 2021 sluttet Maryland seg til det for å vedta lovgivning som krever en arrestordre for rettsgenetisk slektsforskning (FGGS). Denne typen dragnet-søk i slektsdatabaser førte til fangsten av Golden Gate-morderen Joseph James DeAngelo. Montanas GIPA forsterker den anti-dragnet-loven ved å hindre DTC-gentestingselskaper fra å avsløre data uten forbrukerens samtykke eller rettslig prosess.
I oktober 2021, California også bestått to regninger som er direkte relevante for genetikksikkerhet. Den genetiske personvernloven (SB 41) krevde at kunder med genetisk testing direkte til forbruker skulle få forbrukernes samtykke før de samler inn, bruker eller avslører deres genetiske data. Den andre, AB 825, la til genetiske data til rammeverket for datasikkerhet og varsling av databrudd.
Hva vil effekten være?
Rettshåndhevelse har en måte å omgå personvernlovgivningen på, ofte ved å gå til andre kanaler. Politiet har tydd til kjøp av mobiltelefonposisjonsdata lovlig fra datameglere, selv om andre stater fulgte Montanas eksempel ved å innføre personvernregler for stedsdata. Men lover som begrenser oppstrømssalget av data i stedet for bare å takle nedstrømsovervåkingsbruk, gjør det mer utfordrende å hente dataene andre steder i utgangspunktet.
Montanas GIPA tillater ikke private søksmål, men gjør det mulig for statens riksadvokat å reise saker mot lovbrytere, og gjenvinne faktiske og lovbestemte skader. Dette gir den ikke de skarpeste mulige tenner, men en sympatisk riksadvokat kan likevel gi DTC-genetikkselskaper som ikke respekterer kundenes personvern et ekkelt napp. I det minste er det en start.
