Je haalt het uit de brievenbus. Het is gedrukt in vrolijke, vriendelijke kleuren. Swabben. Spugen. In je vinger prikken. Terugsturen. Binnenkort leer je iets nieuws over jezelf: je hormonen, je vruchtbaarheid, je kankerrisico, je aanleg voor Alzheimer, je metabolisme, je voedselintoleranties, of zelfs je hele genoom. Dat is de aantrekkingskracht van thuis- ("direct-to-consumer") DNA- en gezondheidstests. Laat op de avond, vanaf je telefoon, kun je zowat elke test bestellen om thuis te doen, of je nu onverzekerd bent, nieuwsgierig, of gewoon bezorgd over welke geheimen je lichaam verbergt.

Voordat ik er zelf een bestelde, deed ik wat Googlen. Eerst zocht ik simpele antwoorden: Is de test beoordeeld door de FDA? Val je bedrijf onder HIPAA? Zal een arts de resultaten uitleggen? Hoe meer ik las, hoe minder simpel het werd. FDA-taal was zeldzaam, en als het verscheen, was het meestal gekoppeld aan een specifieke test, rapport of verzamelkit – niet noodzakelijk het hele bedrijf of de dienst. Sommige bedrijven zeiden dat ze HIPAA-compliant zijn; anderen niet. Bijna allemaal verwezen ze naar CLIA-gecertificeerde of CAP-geaccrediteerde laboratoria, maar dat zijn alleen laboratoriumkwaliteitsnormen. Counseling en nazorg varieerden ook sterk. Dat bracht me dieper in de kleine lettertjes: Kan mijn informatie worden gedeeld met wetshandhaving, of gebruikt voor advertenties of onderzoek?

Het antwoord stond in het beleid dat de meeste mensen nooit lezen. Maar ik wel, voor 10 bedrijven: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode en 23andMe. Ik nam contact op met elk bedrijf dat ik noemde voor commentaar. Ik sprak ook met 12 experts in bio-ethiek, genetica, HIPAA en gezondheidszorgrecht, FDA-regulering, consumentenprivacy en cybersecurity, hoewel ik er maar zes citeerde.

Mijn eerste risico? Het is niet de lancet, het wattenstaafje of de buis die ik gebruik om mijn biologische monster te verzamelen. Het begint eerder, wanneer ik de test bestel en waarschijnlijk aanneem dat, omdat het bedrijf gezondheidsgerelateerde gegevens verwerkt, mijn informatie beschermd is zoals elk ander medisch dossier. In de VS beschermt HIPAA, de Health Insurance Portability and Accountability Act van 1996, persoonlijke gezondheidsinformatie, of PHI, wanneer deze wordt gecreëerd, onderhouden of verzonden door gedekte entiteiten en hun zakenpartners. Het is geen algemene privacywet voor iedereen.

Anya Prince, de David H. Vernon hoogleraar in de rechten aan de University of Iowa College of Law, bestudeert gezondheids- en genetische privacy. Prince vertelde ZDNET dat de belangrijkste vraag is of een bedrijf onder HIPAA valt. "DTC-laboratoria worden mogelijk niet als gedekte entiteiten beschouwd," zei Prince. "De gezondheidsinformatie die zij hebben ... zou worden geregeerd door het privacybeleid van het bedrijf in plaats van als PHI te worden beschouwd." Toen ik naar populaire thuis-DTC-bedrijven keek, was ik verrast om verschillende toepassingen van HIPAA-taal en enkele hiaten te vinden. Everlywell zei dat het "zich inzet voor het beschermen van uw persoonlijk identificeerbare gezondheidsinformatie" onder HIPAA. Labcorp zei dat het "wettelijk verplicht is om de privacy van gezondheidsinformatie te handhaven" onder HIPAA. Nucleus vertelde me dat het "HIPAA-compliant" is. SiPhox zei dat het "HIPAA-grade beveiliging" heeft, en myLAB Box zei dat de informatie en monsters die aan zijn kits zijn gekoppeld, "gedekt" zijn onder HIPAA. Voor de anderen kon ik geen huidige openbare pagina vinden die bevestigt dat het bedrijf HIPAA-compliant is of onder HIPAA valt.

Julian Gage, oprichter van Engage Compliance en een uitbesteed gegevensbeschermingsfunctionaris voor DTC-gezondheids- en genetische testbedrijven, vertelde ZDNET dat claims van "HIPAA-grade" en "HIPAA-compliant" marketingtaal zijn, "geen bescherming." "HIPAA-grade encryptie is een uitspraak over een beveiligingsinstelling," zei Gage. "Het zegt niets over of HIPAA daadwerkelijk op jou van toepassing is of wat het bedrijf met je resultaten kan doen." Hij legde bijvoorbeeld uit dat wanneer een DTC-bedrijf een bestelling via een arts of telegeneeskundig netwerk leidt, die clinicus of dat netwerk een HIPAA-gedekte entiteit kan zijn, en het deel van de gegevens dat het creëert en bewaart, onder HIPAA kan vallen. Maar dat brengt niet noodzakelijk het testbedrijf, of de