आप इसे मेलबॉक्स से निकालते हैं। यह मज़ेदार, दोस्ताना रंगों में छपा होता है। स्वैब करें। थूकें। उंगली चुभोएँ। वापस भेजें। जल्द ही, आप अपने बारे में कुछ नया जानेंगे: आपके हार्मोन, आपकी प्रजनन क्षमता, आपका कैंसर जोखिम, अल्ज़ाइमर की प्रवृत्ति, आपका मेटाबॉलिज़्म, आपकी खाद्य संवेदनशीलता, या यहाँ तक कि आपका पूरा जीनोम। यही है घर पर ('डायरेक्ट-टू-कंज़्यूमर') डीएनए और स्वास्थ्य परीक्षण का लालच। देर रात, अपने फ़ोन से, आप घर पर लेने के लिए लगभग कोई भी परीक्षण ऑर्डर कर सकते हैं, चाहे आप बीमाकृत न हों, उत्सुक हों, या बस इस बात से चिंतित हों कि आपका शरीर क्या रहस्य छिपा रहा है।
खुद एक परीक्षण ऑर्डर करने से पहले, मैंने थोड़ा गूगल किया। पहले तो मैं सरल जवाब ढूँढ रहा था: क्या परीक्षण FDA द्वारा समीक्षित था? क्या कंपनी HIPAA के तहत कवर थी? क्या कोई डॉक्टर परिणाम समझाएगा? जितना मैंने पढ़ा, यह उतना ही कम सरल होता गया। FDA भाषा दुर्लभ थी, और जब दिखती भी थी, तो आमतौर पर किसी विशिष्ट परीक्षण, रिपोर्ट या संग्रह किट से जुड़ी होती थी - जरूरी नहीं कि पूरी कंपनी या सेवा से। कुछ कंपनियों ने कहा कि वे HIPAA-अनुपालन करती हैं; दूसरों ने नहीं। लगभग सभी ने CLIA-प्रमाणित या CAP-मान्यता प्राप्त प्रयोगशालाओं का हवाला दिया, लेकिन वे सिर्फ प्रयोगशाला गुणवत्ता मानक हैं। परामर्श और अनुवर्ती देखभाल भी व्यापक रूप से भिन्न थी। इसने मुझे बारीक प्रिंट में और गहराई तक ले गया: क्या मेरी जानकारी कानून प्रवर्तन के साथ साझा की जा सकती है, या विज्ञापनों या शोध के लिए उपयोग की जा सकती है?
जवाब उन नीतियों में था जिन्हें अधिकांश लोग कभी नहीं पढ़ते। लेकिन मैंने पढ़ा, 10 कंपनियों के लिए: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode, और 23andMe। मैंने उल्लिखित प्रत्येक कंपनी से टिप्पणी के लिए संपर्क किया। मैंने बायोएथिक्स, जेनेटिक्स, HIPAA और हेल्थकेयर कानून, FDA विनियमन, उपभोक्ता गोपनीयता और साइबर सुरक्षा के 12 विशेषज्ञों से भी बात की, हालाँकि मैंने उनमें से केवल छह को उद्धृत किया।
मेरा पहला जोखिम? यह लैंसेट, स्वैब या ट्यूब नहीं है जिसका उपयोग मैं अपना जैविक नमूना एकत्र करने के लिए कर रहा हूँ। यह पहले शुरू होता है, जब मैं परीक्षण का ऑर्डर देता हूँ और संभवतः मान लेता हूँ कि, क्योंकि कंपनी स्वास्थ्य संबंधी डेटा संभालती है, मेरी जानकारी किसी भी अन्य चिकित्सा रिकॉर्ड की तरह सुरक्षित है। अमेरिका में, HIPAA, 1996 का स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम, व्यक्तिगत स्वास्थ्य जानकारी (PHI) की रक्षा करता है जब इसे कवर संस्थाओं और उनके व्यावसायिक सहयोगियों द्वारा बनाया, बनाए रखा या प्रेषित किया जाता है। यह सभी के लिए एक व्यापक गोपनीयता कानून नहीं है।
Anya Prince, आयोवा विश्वविद्यालय के कॉलेज ऑफ लॉ में डेविड एच. वर्नोन प्रोफेसर, स्वास्थ्य और आनुवंशिक गोपनीयता का अध्ययन करती हैं। प्रिंस ने ZDNET को बताया कि मुख्य प्रश्न यह है कि क्या कोई कंपनी HIPAA के तहत कवर है। "DTC प्रयोगशालाएँ कवर संस्थाओं के रूप में नहीं गिनी जा सकतीं," प्रिंस ने कहा। "उनके पास मौजूद स्वास्थ्य जानकारी... PHI के बजाय कंपनी की गोपनीयता नीति द्वारा शासित होगी।" जब मैंने लोकप्रिय घरेलू DTC कंपनियों को देखा, तो मुझे HIPAA भाषा के कई उपयोग और कुछ अंतराल देखकर आश्चर्य हुआ। Everlywell ने कहा कि वह HIPAA के तहत "आपकी व्यक्तिगत रूप से पहचान योग्य स्वास्थ्य जानकारी की सुरक्षा के लिए प्रतिबद्ध" है। Labcorp ने कहा कि वह HIPAA के तहत "स्वास्थ्य जानकारी की गोपनीयता बनाए रखने के लिए कानून द्वारा आवश्यक" है। Nucleus ने मुझे बताया कि वह "HIPAA-अनुपालन" है। SiPhox ने कहा कि उसके पास "HIPAA-ग्रेड सुरक्षा" है, और myLAB Box ने कहा कि उसकी किट से जुड़ी जानकारी और नमूने HIPAA के तहत "कवर" हैं। दूसरों के लिए, मुझे कोई वर्तमान सार्वजनिक पृष्ठ नहीं मिला जो पुष्टि करता हो कि कंपनी HIPAA-अनुपालन है या HIPAA के तहत कवर है।
जूलियन गेज, एंगेज कंप्लायंस के संस्थापक और DTC स्वास्थ्य और आनुवंशिक परीक्षण कंपनियों के लिए आउटसोर्स डेटा संरक्षण अधिकारी, ने ZDNET को बताया कि "HIPAA-ग्रेड" और "HIPAA-अनुपालन" के दावे विपणन भाषा हैं, "सुरक्षा नहीं।" "HIPAA-ग्रेड एन्क्रिप्शन एक सुरक्षा सेटिंग के बारे में एक बयान है," गेज ने कहा। "यह इस बारे में कुछ नहीं कहता कि HIPAA वास्तव में आप पर लागू होता है या कंपनी आपके परिणामों के साथ क्या कर सकती है।" उदाहरण के लिए, उन्होंने समझाया कि जब कोई DTC कंपनी किसी डॉक्टर या टेलीहेल्थ नेटवर्क के माध्यम से ऑर्डर रूट करती है, तो वह चिकित्सक या नेटवर्क HIPAA-कवर इकाई हो सकता है, और उसके द्वारा बनाया और रखा गया डेटा का हिस्सा HIPAA के तहत आ सकता है। लेकिन यह जरूरी नहीं कि परीक्षण कंपनी या उसके द्वारा संभाले गए अन्य डेटा को HIPAA के दायरे में लाए।