تخرجها من صندوق البريد. مطبوعة بألوان مرحة وودودة. امسح. ابصق. اثقب إصبعك. أعدها بالبريد. قريبًا، ستتعلم شيئًا جديدًا عن نفسك: هرموناتك، خصوبتك، خطر إصابتك بالسرطان، استعدادك للإصابة بألزهايمر، أيضك، حساسياتك الغذائية، أو حتى جينومك الكامل. هذا هو إغراء اختبارات الحمض النووي والصحة المنزلية (المباشرة للمستهلك). في وقت متأخر من الليل، من هاتفك، يمكنك طلب أي اختبار تقريبًا لإجرائه في المنزل، سواء كنت غير مؤمن عليه، أو فضوليًا، أو ببساطة قلقًا بشأن الأسرار التي قد يخفيها جسدك.

قبل أن أطلب واحدًا بنفسي، قمت ببعض البحث على جوجل. في البداية، كنت أبحث عن إجابات بسيطة: هل الاختبار مراجع من إدارة الغذاء والدواء؟ هل الشركة مشمولة بقانون HIPAA؟ هل سيشرح الطبيب النتائج؟ كلما قرأت أكثر، أصبح الأمر أقل بساطة. كانت لغة إدارة الغذاء والدواء نادرة، وعندما ظهرت، كانت عادةً مرتبطة باختبار أو تقرير أو مجموعة جمع معينة - وليس بالضرورة الشركة أو الخدمة بأكملها. بعض الشركات قالت إنها متوافقة مع HIPAA؛ والبعض الآخر لم يقل. جميعها تقريبًا استشهدت بمختبرات معتمدة من CLIA أو معتمدة من CAP، لكنها مجرد معايير جودة مختبرية. كما اختلفت الاستشارة والرعاية المتابعة بشكل كبير. دفعني ذلك إلى التعمق في الحروف الصغيرة: هل يمكن مشاركة معلوماتي مع جهات إنفاذ القانون، أو استخدامها للإعلانات أو البحث؟

كان الجواب في السياسات التي لا يقرأها معظم الناس أبدًا. لكنني قرأتها، لـ10 شركات: Everlywell، LetsGetChecked، Labcorp OnDemand، Nebula Genomics / DNA Complete، Nucleus، SiPhox، myLAB Box، CircleDNA، SelfDecode، و23andMe. تواصلت مع كل شركة ذكرتها للتعليق. كما تحدثت إلى 12 خبيرًا في الأخلاقيات الحيوية، وعلم الوراثة، وقانون HIPAA والرعاية الصحية، وتنظيم إدارة الغذاء والدواء، وخصوصية المستهلك، والأمن السيبراني، على الرغم من أنني اقتبست ستة منهم فقط.

أول مخاطرة لي؟ ليست المبضع أو المسحة أو الأنبوب الذي أستخدمه لجمع عينتي البيولوجية. تبدأ في وقت سابق، عندما أطلب الاختبار وربما أفترض أنه نظرًا لأن الشركة تتعامل مع بيانات صحية، فإن معلوماتي محمية مثل أي سجل طبي آخر. في الولايات المتحدة، يحمي قانون HIPAA، قانون قابلية نقل التأمين الصحي والمساءلة لعام 1996، المعلومات الصحية الشخصية، أو PHI، عندما يتم إنشاؤها أو الحفاظ عليها أو نقلها بواسطة كيانات مشمولة وشركائها التجاريين. إنه ليس قانون خصوصية شامل للجميع.

أنيا برينس، أستاذة القانون ديفيد إتش فيرنون في كلية الحقوق بجامعة أيوا، تدرس الخصوصية الصحية والجينية. أخبرت برينس ZDNET أن السؤال الرئيسي هو ما إذا كانت الشركة مشمولة بقانون HIPAA. قالت برينس: "قد لا تُعتبر مختبرات DTC كيانات مشمولة. المعلومات الصحية التي لديهم... ستُحكم بسياسة خصوصية الشركة بدلاً من اعتبارها PHI." عندما نظرت إلى شركات DTC المنزلية الشهيرة، فوجئت بالعثور على عدة استخدامات للغة HIPAA وبعض الثغرات. قالت Everlywell إنها "ملتزمة بحماية معلوماتك الصحية الشخصية المحددة الهوية" بموجب HIPAA. قالت Labcorp إنها "مطلوبة بموجب القانون للحفاظ على خصوصية المعلومات الصحية" بموجب HIPAA. أخبرني Nucleus أنه "متوافق مع HIPAA." قالت SiPhox إن لديها "أمان من درجة HIPAA،" وقالت myLAB Box إن المعلومات والعينات المرتبطة بمجموعاتها "مشمولة" بموجب HIPAA. بالنسبة للباقي، لم أتمكن من العثور على صفحة عامة حالية تؤكد أن الشركة متوافقة مع HIPAA أو مشمولة به.

جوليان غيج، مؤسس Engage Compliance ومسؤول حماية البيانات الخارجي لشركات اختبارات الصحة والجينات المباشرة للمستهلك، أخبر ZDNET أن ادعاءات "درجة HIPAA" و"متوافق مع HIPAA" هي لغة تسويقية، "ليست حماية." قال غيج: "تشفير من درجة HIPAA هو بيان حول إعداد أمني. لا يقول شيئًا عما إذا كان HIPAA ينطبق عليك فعليًا أو ما يمكن للشركة فعله بنتائجك." على سبيل المثال، أوضح أنه عندما توجه شركة DTC طلبًا عبر طبيب أو شبكة رعاية صحية عن بُعد، قد يكون هذا الطبيب أو الشبكة كيانًا مشمولاً بـ HIPAA، وقد تكون شريحة البيانات التي ينشئها ويحتفظ بها خاضعة لـ HIPAA. لكن ذلك لا يجلب بالضرورة شركة الاختبار، أو الـ