Montana skubber til nålen om genetisk sikkerhed
Indholdsfortegnelse:
Amerikanske stater giver i stigende grad forbrugere flere privatlivsrettigheder over deres digitale oplysninger, men hvad med deres biologiske data? Din e-mailadresse og telefonnummer er følsomme nok, men de blegne i forhold til, hvad der er i dit DNA. Genetisk information gør det muligt for folk at udlede forskellige ting om dig, fra din disposition til flere sygdomme til uanset om du er den spændingssøgende type eller ej.
Mindre end et kvart århundrede efter at vi kortlagde det menneskelige genom, er direkte-til-forbruger (DTC) genetisk testning en vækstindustri. Ifølge YouGov, en ud af fem Amerikanerne har allerede sendt deres DNA til test. Over halvdelen af YouGovs respondenter mente, at privatlivets fred var en bekymring, men fristet af tiltrækningen ved en spændende ny teknologi, bruger de DTC genetiske tjenester alligevel.
Denne frygt for genetisk privatliv er velbegrundet. I modsætning til et telefonnummer kan du ikke ændre dine gener – og alligevel er privatlivets fred for dine genetiske oplysninger stort set ureguleret. Nu, takket være privatlivsbevidste Montanans, ændrer det sig langsomt. Staten har vedtaget en lov kaldet Loven om beskyttelse af genetiske oplysninger der pålægger strenge regler for indsamling og brug af genetiske data.
Den nye lov fortolker 'genetiske data' bredt, så de ikke kun omfatter et hvilket som helst sekventeret DNA, men også enhver fænotypeinformation fra den sekventering, som gør det muligt for folk at forudsige adfærd og fysiske egenskaber. Ud over det inkluderer det også alle selvrapporterede oplysninger om sundhedstilstande, som en enhed bruger til forskning sammen med disse DNA-data.
Fra den 1. oktober, hvor loven er vedtaget, skal enhver organisation, der kontrollerer genetisk information, indhente forbrugerens samtykke til at overføre, bruge og beholde den. Forbrugeren skal give samtykke, før dataene overføres til en tredjepart med henblik på forskning.
Hvorfor har vi brug for en genetisk lov?
Hvornår Consumer Reports testede velkendte DTC genetiktjenester, fandt den dem generelt ansvarlige med kundernes DNA-data. De solgte ikke de genetiske data til datamæglere og krævede, at kunderne tiltrådte, hvis de ville have dataene brugt til forskning. Men uden passende love afhænger dette hovedsageligt af deres selvbeherskelse. Rapporten bemærkede også, at 'forskning' kan dække nogle uventede ikke-altruistiske brugssager, herunder intern produktudvikling, og at i mange tilfælde kan ikke-DNA-data om en person, herunder helbredsoplysninger, også blive videregivet.
Undersøgelsen af Consumer Reports dækkede ikke 1Health. I september 2023, Federal Trade Commission slog sig ned med dette DTC-genetikfirma, tidligere kendt som Vitagene, for at mishandle forbrugernes data. Kommissionen hævdede, at virksomheden med tilbagevirkende kraft ændrede sin privatlivspolitik uden at informere kunderne, hvilket udvidede omfanget af tredjeparter, som det ville levere data til. Den udvidede liste omfattede supermarkedskæder og producenter af kosttilskud.
Ifølge FTC's klage undlod 1Health/Vitagene heller at afidentificere kundedata ved at gemme dem uden deres medfølgende identitetsoplysninger, såsom deres navne. Det opbevarede angiveligt nogle kunders genetiske data sammen med andre identificerende oplysninger, herunder sundhedsrapporter og delvise eller fulde navne. Nogle data blev lagret ukrypteret i skyen, Kommissionen sagde.
Under alle omstændigheder er genetisk information særlig svær at anonymisere. Denne opfattelse - at dataene på en eller anden måde kan renses for at undgå, at de bruges til at identificere en patient - er tvivlsom. Det er ikke nok blot at gemme dataene uden medfølgende identifikationsdata. Den amerikanske regerings National Human Genome Research Institute advarer af muligheden for at genidentificere mennesker gennem deres genomoplysninger. Dette er muligt på forskellige måder, herunder krydshenvisning til andre databasetyper eller medlemskab af identificerbare befolkningsgrupper såsom etniske grupper.
Det var op til FTC at målrette mod 1Health i dets $75,000-forlig, fordi eksisterende lovgivning ikke regulerer genetiske data udtømmende. For eksempel falder DTC-genetiktestvirksomheder ikke ind under den føderale privatlivsforordning for medicinske data, HIPAA, som regulerer sundhedsudbydere eller forsikringsselskaber. Den føderale Genetic Information Nondiscrimination Act 2008 (GINA) forhindrer sundhedsforsikringsselskaber eller arbejdsgivere i at tvinge folk til at udlevere deres genetiske data eller bruge dem til at diskriminere mod dem. Alligevel dækker det ikke DTC-genetiktjenesteudbydere.
Det er ikke nok at sagsøge virksomheder for vildledende praksis i mangel af passende genetiske love om beskyttelse af privatlivets fred. I 2021, Justin Sherman, fellow og forskningsleder for Duke University Sanford School of Public Policy's Data Brokerage Project, opfordret til Senatets finansudvalg til strengt at kontrollere salget af genetiske data til tredjeparter.
En historie om privatlivsbevidst lovgivning i Montana
Montana har en historie med at vedtage banebrydende privatlivslove. I 2013 blev det den første stat at tvinge politiet til at få en kendelse, før de indsamler lokationsoplysninger fra elektroniske enheder. Den har også fulgt andre stater med at indføre generelle love om beskyttelse af forbrugernes privatliv med sin Consumer Data Privacy Act, vedtaget i april 2023.
Montana er heller ikke den eneste stat, der håndterer genetisk privatliv. I 2021 sluttede Maryland sig til det ved at vedtage lovgivning, der kræver en kendelse om retsmedicinsk genetisk slægtsforskning (FGGS). Denne form for træknetsøgning i slægtsdatabaser førte til fangsten af Golden Gate-morderen Joseph James DeAngelo. Montanas GIPA styrker denne anti-dragnet-lov ved at forhindre DTC-gentestvirksomheder i at videregive data uden forbrugerens samtykke eller behørig juridisk proces.
I oktober 2021 også Californien Bestået to lovforslag, der er direkte relevante for genetiksikkerhed. Genetic Privacy Act (SB 41) krævede, at kunder, der testede direkte til forbrugeren, skulle indhente forbrugernes samtykke, før de indsamlede, brugte eller afslørede deres genetiske data. Den anden, AB 825, tilføjede genetiske data til sine datasikkerheds- og databrudsmeddelelsesrammer.
Hvad vil effekten være?
Retshåndhævelse har en måde at arbejde uden om privatlivslovgivningen, ofte ved at gå til andre kanaler. Politiet har grebet til køb af mobiltelefonens placeringsdata lovligt fra datamæglere, selv om andre stater fulgte Montanas eksempel ved at indføre regler om beskyttelse af lokalitetsdata. Men love, der begrænser opstrømssalget af data i stedet for blot at tackle downstream-overvågningsbrug, gør det mere udfordrende at hente dataene andre steder i første omgang.
Montanas GIPA tillader ikke private retssager, men gør det muligt for statens justitsminister at anlægge sager mod lovovertrædere og inddrive faktiske og lovbestemte skader. Dette giver det ikke de skarpest mulige tænder, men en sympatisk statsadvokat kunne stadig give DTC-genetikvirksomheder, der ikke respekterer kundernes privatliv, et grimt nip. Det er i det mindste en begyndelse.
