Wyciągasz to ze skrzynki pocztowej. Wydrukowane w radosnych, przyjaznych kolorach. Wacik. Pluj. Ukłuj palec. Wyślij z powrotem. Wkrótce dowiesz się czegoś nowego o sobie: o swoich hormonach, płodności, ryzyku raka, predyspozycjach do Alzheimera, metabolizmie, nietolerancjach pokarmowych, a nawet całym swoim genomie. To wabi w testach DNA i zdrowotnych „zrób to sam” (sprzedawanych bezpośrednio konsumentom). Późną nocą, z telefonu, możesz zamówić niemal dowolny test do wykonania w domu, czy to jesteś nieubezpieczony, ciekawski, czy po prostu zaniepokojony tym, jakie sekrety może skrywać twoje ciało.
Zanim sama zamówiłam, trochę googlałam. Na początku szukałam prostych odpowiedzi: Czy test został przejrzany przez FDA? Czy firma podlega HIPAA? Czy lekarz wyjaśni wyniki? Im więcej czytałam, tym mniej proste się to stawało. Język FDA był rzadki, a gdy się pojawiał, zwykle dotyczył konkretnego testu, raportu lub zestawu do pobierania – niekoniecznie całej firmy czy usługi. Niektóre firmy twierdziły, że są zgodne z HIPAA; inne nie. Prawie wszystkie powoływały się na certyfikowane laboratoria CLIA lub akredytowane CAP, ale to tylko standardy jakości laboratoriów. Poradnictwo i opieka kontrolna również były bardzo zróżnicowane. To skłoniło mnie do głębszego wniknięcia w drobny druk: Czy moje informacje mogą być udostępniane organom ścigania lub wykorzystywane do reklam lub badań?
Odpowiedź kryła się w politykach, których większość ludzi nigdy nie czyta. Ale ja przeczytałam – dla 10 firm: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode i 23andMe. Skontaktowałam się z każdą firmą, o której wspominam, prosząc o komentarz. Rozmawiałam też z 12 ekspertami z dziedziny bioetyki, genetyki, HIPAA i prawa ochrony zdrowia, regulacji FDA, prywatności konsumentów i cyberbezpieczeństwa, choć zacytowałam tylko sześcioro z nich.
Moje pierwsze ryzyko? To nie lancet, wacik ani probówka, których używam do pobrania próbki biologicznej. Zaczyna się wcześniej, gdy zamawiam test i prawdopodobnie zakładam, że ponieważ firma zajmuje się danymi zdrowotnymi, moje informacje są chronione jak każda inna dokumentacja medyczna. W USA HIPAA, ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 roku, chroni osobiste informacje zdrowotne (PHI), gdy są tworzone, przechowywane lub przesyłane przez podmioty objęte ustawą i ich partnerów biznesowych. Nie jest to ogólne prawo prywatności dla wszystkich.
Anya Prince, profesor prawa David H. Vernona na University of Iowa College of Law, bada prywatność zdrowotną i genetyczną. Prince powiedziała ZDNET, że główne pytanie brzmi, czy firma podlega HIPAA. „Laboratoria DTC mogą nie być uznawane za podmioty objęte HIPAA” – powiedziała Prince. „Posiadane przez nie informacje zdrowotne… podlegałyby polityce prywatności firmy, a nie byłyby traktowane jako PHI”. Kiedy przyjrzałam się popularnym firmom DTC, byłam zaskoczona, znajdując kilka użyć języka HIPAA i pewne luki. Everlywell twierdzi, że jest „zobowiązane do ochrony twoich danych osobowych zdrowotnych” zgodnie z HIPAA. Labcorp mówi, że jest „zobowiązane prawem do zachowania prywatności informacji zdrowotnych” zgodnie z HIPAA. Nucleus powiedział mi, że jest „zgodny z HIPAA”. SiPhox twierdzi, że ma „zabezpieczenia na poziomie HIPAA”, a myLAB Box mówi, że informacje i próbki związane z jego zestawami są „objęte” HIPAA. Dla pozostałych nie mogłam znaleźć aktualnej publicznej strony potwierdzającej, że firma jest zgodna z HIPAA lub objęta HIPAA.
Julian Gage, założyciel Engage Compliance i zewnętrzny inspektor ochrony danych dla firm DTC zajmujących się testami zdrowotnymi i genetycznymi, powiedział ZDNET, że twierdzenia o „zabezpieczeniach na poziomie HIPAA” i „zgodności z HIPAA” to język marketingowy, „nie ochrona”. „Szyfrowanie na poziomie HIPAA to stwierdzenie o ustawieniu zabezpieczeń” – powiedział Gage. „Nie mówi nic o tym, czy HIPAA faktycznie ma do ciebie zastosowanie, ani co firma może zrobić z twoimi wynikami”. Wyjaśnił na przykład, że gdy firma DTC kieruje zamówienie przez lekarza lub sieć telezdrowia, ten klinicysta lub sieć może być podmiotem objętym HIPAA, a wycinek danych, który tworzy i przechowuje, może podlegać HIPAA. Ale to niekoniecznie obejmuje firmę testującą ani całość danych.