Du tar ut det ur brevlådan. Det är tryckt i glada, vänliga färger. Sno. Spotta. Stick dig i fingret. Skicka tillbaka. Snart får du veta något nytt om dig själv: dina hormoner, din fertilitet, din cancerrisk, din predisposition för Alzheimer, din ämnesomsättning, dina matkänsligheter, eller till och med hela ditt genom. Det är lockelsen med hem- (”direkt-till-konsument”) DNA- och hälsotester. Sent på natten, från din telefon, kan du beställa nästan vilket test som helst att göra hemma, oavsett om du är oförsäkrad, nyfiken, eller bara orolig för vilka hemligheter din kropp kan dölja.

Innan jag beställde ett själv googlade jag lite. Först letade jag efter enkla svar: Var testet FDA-granskat? Omfattades företaget av HIPAA? Skulle en läkare förklara resultaten? Ju mer jag läste, desto mindre enkelt blev det. FDA-språk var sällsynt, och när det dök upp var det oftast kopplat till ett specifikt test, rapport eller insamlingskit – inte nödvändigtvis hela företaget eller tjänsten. Vissa företag sa att de följer HIPAA; andra gjorde det inte. Nästan alla hänvisade till CLIA-certifierade eller CAP-ackrediterade labb, men det är bara kvalitetsstandarder för labb. Rådgivning och uppföljning varierade också kraftigt. Det fick mig att gräva djupare i det finstilta: Kan min information delas med polisen, eller användas för annonser eller forskning?

Svaret fanns i policyn som de flesta aldrig läser. Men jag gjorde det, för 10 företag: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode och 23andMe. Jag kontaktade varje företag jag nämnde för kommentar. Jag pratade också med 12 experter inom bioetik, genetik, HIPAA och sjukvårdsjuridik, FDA-reglering, konsumentintegritet och cybersäkerhet, även om jag bara citerade sex av dem.

Min första risk? Det är inte lancetten, svabben eller röret jag använder för att samla in mitt biologiska prov. Det börjar tidigare, när jag beställer testet och troligen antar att, eftersom företaget hanterar hälsorelaterad data, är min information skyddad som alla andra medicinska journaler. I USA skyddar HIPAA, Health Insurance Portability and Accountability Act från 1996, personlig hälsoinformation, eller PHI, när den skapas, underhålls eller överförs av täckta enheter och deras affärspartners. Det är inte en generell integritetslag för alla.

Anya Prince, David H. Vernon-professor i juridik vid University of Iowa College of Law, studerar hälso- och genetisk integritet. Prince berättade för ZDNET att huvudfrågan är om ett företag omfattas av HIPAA. ”DTC-labb kanske inte räknas som täckta enheter,” sa Prince. ”Hälsoinformationen de har … skulle styras av företagets integritetspolicy snarare än betraktas som PHI.” När jag tittade på populära DTC-företag blev jag förvånad över att hitta flera användningar av HIPAA-språk och några luckor. Everlywell sa att de är ”engagerade i att skydda din personligt identifierbara hälsoinformation” enligt HIPAA. Labcorp sa att de är ”skyldiga enligt lag att upprätthålla sekretessen för hälsoinformation” enligt HIPAA. Nucleus berättade för mig att de är ”HIPAA-kompatibla.” SiPhox sa att de har ”HIPAA-grade-säkerhet,” och myLAB Box sa att informationen och proverna kopplade till deras kit är ”täckta” enligt HIPAA. För de andra kunde jag inte hitta en aktuell offentlig sida som bekräftar att företaget är HIPAA-kompatibelt eller omfattas av HIPAA.

Julian Gage, grundare av Engage Compliance och en outsourcad dataskyddsansvarig för DTC-hälso- och genetiska testföretag, berättade för ZDNET att ”HIPAA-grade” och ”HIPAA-kompatibel” påståenden är marknadsföringsspråk, ”inte skydd.” ”HIPAA-grade-kryptering är ett uttalande om en säkerhetsinställning,” sa Gage. ”Det säger inget om huruvida HIPAA faktiskt gäller dig eller vad företaget kan göra med dina resultat.” Till exempel förklarade han att när ett DTC-företag dirigerar en beställning genom en läkare eller telehälsa-nätverk, kan den kliniken eller nätverket vara en HIPAA-täckt enhet, och den del av data som skapas och behålls kan falla under HIPAA. Men det innebär inte nödvändigtvis att testföretaget, eller f