Вы достаете его из почтового ящика. Он напечатан веселыми, дружелюбными цветами. Мазок. Плюньте. Уколите палец. Отправьте обратно. Скоро вы узнаете что-то новое о себе: ваши гормоны, вашу фертильность, риск рака, предрасположенность к болезни Альцгеймера, метаболизм, пищевую непереносимость или даже весь ваш геном. В этом и заключается приманка домашних («напрямую к потребителю») тестов ДНК и здоровья. Поздно ночью, с телефона, вы можете заказать практически любой тест для прохождения дома, будь вы незастрахованы, любопытны или просто обеспокоены тем, какие секреты может скрывать ваше тело.

Прежде чем заказать такой тест для себя, я немного погуглил. Сначала я искал простые ответы: проверен ли тест FDA? Защищена ли компания законом HIPAA? Объяснит ли врач результаты? Чем больше я читал, тем менее простыми становились ответы. Язык FDA встречался редко, а когда появлялся, обычно был привязан к конкретному тесту, отчету или набору для сбора, а не ко всей компании или услуге. Некоторые компании заявляли, что соответствуют HIPAA; другие — нет. Почти все ссылались на сертифицированные CLIA или аккредитованные CAP лаборатории, но это всего лишь стандарты качества лабораторий. Консультирование и последующее наблюдение также сильно различались. Это заставило меня углубиться в мелкий шрифт: может ли моя информация быть передана правоохранительным органам или использована для рекламы или исследований?

Ответ был в политиках, которые большинство людей никогда не читают. Но я прочитал, для 10 компаний: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode и 23andMe. Я связался с каждой упомянутой компанией для комментария. Я также поговорил с 12 экспертами в области биоэтики, генетики, HIPAA и законодательства о здравоохранении, регулирования FDA, конфиденциальности потребителей и кибербезопасности, хотя процитировал только шестерых из них.

Мой первый риск? Это не ланцет, мазок или пробирка, которые я использую для сбора биологического образца. Это начинается раньше, когда я заказываю тест и, вероятно, предполагаю, что, поскольку компания обрабатывает данные, связанные со здоровьем, моя информация защищена, как любая другая медицинская запись. В США HIPAA, Закон о переносимости и подотчетности медицинского страхования 1996 года, защищает личную медицинскую информацию (PHI), когда она создается, хранится или передается покрытыми субъектами и их деловыми партнерами. Это не всеобъемлющий закон о конфиденциальности для всех.

Аня Принс, профессор права Дэвида Х. Вернона в Юридическом колледже Университета Айовы, изучает конфиденциальность здоровья и генетики. Принс сказала ZDNET, что главный вопрос — подпадает ли компания под HIPAA. «Лаборатории DTC могут не считаться покрытыми субъектами», — сказала Принс. «Информация о здоровье, которой они владеют… будет регулироваться политикой конфиденциальности компании, а не считаться PHI». Когда я посмотрел на популярные домашние DTC-компании, я был удивлен, обнаружив несколько случаев использования языка HIPAA и некоторые пробелы. Everlywell заявила, что «обязуется защищать вашу личную медицинскую информацию» в соответствии с HIPAA. Labcorp заявила, что «обязана по закону сохранять конфиденциальность медицинской информации» в соответствии с HIPAA. Nucleus сообщил мне, что «соответствует HIPAA». SiPhox заявила, что имеет «безопасность уровня HIPAA», а myLAB Box заявила, что информация и образцы, связанные с ее наборами, «покрываются» HIPAA. Для остальных я не смог найти текущую публичную страницу, подтверждающую, что компания соответствует HIPAA или подпадает под его действие.

Джулиан Гейдж, основатель Engage Compliance и внешний сотрудник по защите данных для DTC-компаний по тестированию здоровья и генетики, сказал ZDNET, что заявления «уровень HIPAA» и «соответствует HIPAA» — это маркетинговый язык, «а не защита». «Шифрование уровня HIPAA — это заявление о настройке безопасности», — сказал Гейдж. «Это ничего не говорит о том, применяется ли HIPAA к вам на самом деле или что компания может делать с вашими результатами». Например, он объяснил, что когда DTC-компания направляет заказ через врача или телемедицинскую сеть, этот клиницист или сеть может быть покрытым субъектом HIPAA, и часть данных, которые он создает и хранит, может подпадать под HIPAA. Но это не обязательно распространяется на тестирующую компанию или