Personvern og deling av data
Personvern er et grunnleggende element når det gjelder selvtesting. Selskapene samler ikke bare genetiske data, men ofte også annen informasjon om brukerne. For å få tilgang til produkter på selskapenes hjemmesider, må brukeren gjerne oppgi informasjon om egen helse og familiehistorie, personlige egenskaper og etnisitet. I tillegg samles kortdetaljer, betalingsmetode, adresse, e-post, brukernavn og passord.
I helsetjenesten vil man gå gjennom familieanamnese for å vurdere resultatene av en genetisk undersøkelse, og disse dataene vil da være beskyttet. Men når et selskap som tilbyr gentester spør etter familieanamnese over nett, innebærer det at firmaet også samler inn sensitive helsedata om andre personer enn han/hun som bestiller testen.
Det er flere egenskaper ved genetiske data som skiller opplysningene fra andre helseopplysninger. Genetiske opplysninger gir informasjon om identitet og slektskap, og kan forutsi risiko for sykdommer og hvordan de mest effektivt kan behandles. Ettersom dataene også kan si noe om individets biologiske slektninger, vil et valg om å kartlegge og dele sin genetiske informasjon ha betydning for flere enn selve individet. I motsetning til mange andre sensitive opplysninger er genetiske informasjonen i praksis permanent, og kan ikke endres selv om den skulle komme på avveie. Mye informasjon i genomet kjenner vi fortsatt ikke betydningen av i dag, og vi vet heller ikke hvordan den kan brukes i fremtiden.
Selv om de ulike produktene tester for forskjellige egenskaper kan personvernrisikoen være den samme ettersom det genereres informasjon om store deler av genomet. Vilkår for videre analyser av det biologiske materialet medfører en risiko for at materialet blir analysert for helt andre egenskaper enn ved den opprinnelige testen.
For virksomheter etablert i EU/EØS-land gjelder EUs personvernforordning (GDPR – General Data Protection Regulation) ved behandling av personopplysninger.[83] Dersom behandlingen er knyttet til tilbud av tjenester til forbrukere i Norge kan personopplysningsloven og GDPR også komme til anvendelse på behandling av personopplysninger om norske forbrukere, selv om den behandlingsansvarlige eller databehandleren ikke er etablert i EU/EØS. I slike tilfeller skal selskapene i henhold til GDPR utpeke en representant som er etablert i en av medlemsstatene hvor slike registrerte befinner seg, som gis fullmakt til å være kontaktperson for tilsynsmyndigheter og de registrerte.[84]
Enkelte gentestselskaper tilbyr sine tjenester via nettsider med norske domener hvor markedsføringsinnhold, brukervilkår og personverninformasjon er utformet på norsk, og tjenestene er priset i norske kroner. Selskapene kan også ha ansatte som jobber mot det norske markedet og egne kontoer på sosiale medier rettet mot norske forbrukere. Personopplysningsloven og GDPR vil dermed komme til anvendelse ved behandling av personopplysninger om norske forbrukere som kjøper disse tjenestene. Datatilsynet vil i disse tilfellene kunne føre kontroll med at regelverket etterleves, og selskapene kan holdes ansvarlig i henhold til GDPR.
Et eksempel er det Israel-baserte selskapet MyHeritage, som gjennom sin markedsføring tydelig tilbyr sine tjenester til forbrukere i Norge.[85] MyHeritage er mest kjent for sine slektskapstester, men har også lansert en helsetest som er markedsført både på selskapets norske nettsider[86] og på annonseflater rettet mot norske forbrukere.[87] I mai 2020 åpnet Datatilsynet sak mot MyHeritage på bakgrunn av en rapport fra Forbrukerrådet som hevdet at selskapets brukervilkår og personvernerklæring er i strid med GDPR.[88] Datatilsynet uttalte i pressemeldingen: Klar og tydelig informasjon er en forutsetning for å kunne ta et informert valg om egne personopplysninger. Det er også bakgrunnen for at personvernforordningen har strenge krav til hvordan virksomheten skal gi brukerne kort og forståelig informasjon om hvordan de behandler personopplysninger. Mulige brudd på plikten til å behandle personopplysninger på en åpen måte, er alvorlig. DNA-opplysninger er særlig sensitivt, ettersom det ikke bare røper noe om den som sender inn gentesten, men kan også ha konsekvenser for vedkommendes familie. Åpen informasjon som gir brukerne av slike tjenester en mulighet til å kunne vurdere personvernskonsekvensene av å benytte tjenesten er derfor svært viktig.
En stor andel av gentestselskapene befinner seg utenfor EU/EØS. Selv om selskapene ikke markedsfører sine tjenester aktivt i Norge, vil i mange tilfeller tjenestene allikevel være tilgjengelige for norske forbrukere, enten direkte eller via en forhandler. Det er da ikke åpenbart at norsk personopplysningslov og GDPR kommer til anvendelse ved behandling av opplysninger fra norske brukere.
Mange av selskapene som tilbyr genetiske selvtester er basert i USA, hvor testene i liten grad er regulert av lovgivning som stiller krav til datasikkerhet og personvern.[89] Selvtestselskapene reguleres for eksempel ikke nødvendigvis av Health Insurance Portability and Accountability Act (HIPPA), som i andre sammenhenger stiller krav til personvern og datasikkerhet ved behandling av helseopplysninger. Lovverk som er relevant for genetiske selvtester begrenser først og fremst i hvilken grad arbeidsgivere og forsikringsselskaper har anledning til å benytte resultater fra testene. Dette innebærer at forbrukernes rettigheter hovedsakelig ivaretas gjennom avtalen mellom selskapet og forbrukeren som aksepteres ved kjøp av tjenesten.
Flere selskaper som har opparbeidet store databaser med genetisk informasjon har vist en betydelig vilje til å dele brukerdata med tredjeparter. Selskapet 23andMe skal ha solgt tilganger til sin database til minst 13 legemiddelselskaper,[90] inkludert en avtale verdt 300 millioner dollar med GlaxoSmithKline.[91] Tech-selskaper investerer generelt tungt i helse, og Google har eierandeler i 23andMe. Bioteknologiselskapet Calico som har utspring i Google samarbeidet i flere år med gentestselskapet Ancestry, og skal ha fått tilgang til Ancestrys databaser, verktøy og algoritmer for å undersøke betydningen av gener i familier med lang levealder.[92]
I en spørreundersøkelse oppgir 78 prosent av selskapene at de har videreformidlet avidentifiserte eller aggregerte data uten et spesifikt samtykke fra brukerne.[93] Den samme undersøkelsen viser at 71 prosent av selskapene bruker informasjonen internt til andre formål enn å utarbeide resultater til brukeren, og 62 prosent har brukt data til forskning og utvikling internt i selskapet.
Ved deling av data med tredjeparter er det som regel beskrevet at dette gjøres avidentifisert eller i form av aggregerte data. Ettersom ethvert menneskes arvemateriale er unikt, er det teoretisk mulig å reidentifisere en person selv om data ikke er knyttet til andre identifiserbare opplysninger. Ettersom genetiske opplysninger i seg selv har potensiale til reidentifisering kan man stille spørsmål hvorvidt denne typen data i det hele tatt lar seg avidentifisere i tilfredsstillende grad. Det er flere eksempler på at individer har blitt identifisert ved bruk av DNA-prøver kombinert med slektsdatabaser, og etter hvert som disse vokser vil et slikt resultat kreve stadig mindre innsats.[94] Ulike teknikker kan imidlertid benyttes for å forbedre sikkerheten ved deling av genetiske data,[95] og selskapet Nebula Genomics har fått stor oppmerksomhet ved å tilby anonym kartlegging av genomet, og datalagring ved bruk av blokkjedeteknologi som skal gi økt kontroll for brukeren ved å redusere fare for hacking og uautorisert innsyn.[96]
Uklare kontrakter
For at selskapene som tilbyr genetiske selvtester skal kunne dele genetiske opplysninger med tredjeparter, kreves det som regel samtykke fra forbrukeren. Kontraktene forbrukeren inngår med selskapene som tilbyr genetiske selvtester kalles på nettsidene for «terms and conditions», «terms of service» eller «terms of use». Som regel er disse formulerte som standardvilkår.[97] Disse avtalene er ofte svært omfattende og utformet i et språk som gjør det vanskelig for forbrukeren å forstå avtalens innhold og omfang. Det kan derfor stilles spørsmål om hvor informert et slikt samtykke er, spesielt hvis man sammenlikner med standarden for informasjonsskriv med samtykke til bruk av personopplysninger i helseforskning.
Flere av selskapene har vilkår hvor forbrukeren aksepterer at deres data kan deles med andre (tredjeparter). Enkelte stiller eksplisitt spørsmål om hvorvidt forbrukerens testresultater kan benyttes i forskning.
I en gjennomgang av 71 kontrakter i 2019 hadde 72 prosent en klausul som ga selskapet lov til å endre vilkårene.[98]
I 2019 ba Forbrukerrådet advokatselskapet Bing Hodneland se på vilkårene som forbruker godtar ved kjøp av en test av MyHeritage. Den juridiske vurderingen til Bing Hodneland ga grunnlaget for å se nærmere på om MyHeritage bryter markedsføringsloven og personvernlovgivningen.[99] På bakgrunn av denne rapporten valgte Forbrukerrådet å oppfordre Datatilsynet og Forbrukertilsynet til å se nærmere på MyHeritage.
I den juridiske vurderingen ble det med tanke på markedsføringsloven påpekt at:
- vilkårene var ubalanserte i forbrukerens disfavør
- det var eksempler på svært omfattende ansvarsfraskrivelser på kvalitet, informasjon og tjenesten for øvrig
- gjennomgående bruk av vanskelige juridiske og medisinske begrep
- norsk og engelsk versjon av vilkårene hadde ulikt innhold
I vurderingen av informasjonskravene (GDPR) ble det pekt på:
- Uklarheter i hvem informasjonen deles med
- Umulig å forutse hvilke personopplysninger som lagres mens man er bruker og etter at kontoen slettes, samt hvor lenge opplysningene lagres
- Uklart om forbrukeren har avtalegarantier for godt personvern
Som tidligere nevnt har Datatilsynet åpnet sak mot MyHeritage. Saken er fortsatt under behandling.
Det har vært rettet mye kritikk mot gentestselskapenes personvernpolitikk, og det er blant annet etterlyst en bedre regulering som gir mulighet for tilsyn av virksomhetene, større åpenhet om hvordan den data behandles, valgfrihet med hensyn til bruk i forskning, bedre muligheter for sletting av data og prøvemateriale, større krav til datasikkerhet, og mer lettfattelige avtalevilkår.[100] Det er gjort forsøk på å etablere noen retningslinjer som mange av de største aktørene har stilt seg bak,[101] men så lenge markedet i liten grad er lovregulert er forbrukerne prisgitt selskapenes etterlevelse av disse.
Salg av genetiske selvtester foregår i stor grad over internett i et globalt marked, og et slikt marked er vanskelig å regulere. Det kan være utfordrende for en forbruker å forstå hvilke personvernkonsekvenser som er forbundet med kjøp av en test, og informasjonstiltak overfor forbrukerne kan vise seg vel så viktig som lovregulering.
[83] Lov om behandling av personopplysninger § 4.
[84] GDPR, artikkel 27.
[85] MyHeritage, https://www.myheritage.no/
[86] MyHeritage, «DNA Helse-testen». https://blog.myheritage.no/2019/05/myheritage-dna-helseaner-testen/
[87] Nettavisen annonseinnhold, «Da Joar Larsson Bø fra Jæren begynte å grave i morfarens fortid, oppdaget han en helt ny familiegren». 08.07.2019. https://www.nettavisen.no/livsstil/shopping/joar-fant-ukjente-onkler-og-tanter-gjennom-myheritage/s/12-95-3423812011
[88] Datatilsynet, «Åpner sak mot MyHeritage». 14.05.2020. https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/apner-sak-mot-myheritage/
[89] Consumer Reports, «Direct-to-Consumer Genetic Testing: The Law Must Protect Consumers’ Genetic Privacy». 23.07.2020. https://advocacy.consumerreports.org/wp-content/uploads/2020/07/DTC-Genetic-Testing-White-Paper.pdf
[90] Pitts P, «The Privacy Delusions Of Genetic Testing», Forbes. 15.02.2017. https://www.forbes.com/sites/realspin/2017/02/15/the-privacy-delusions-of-genetic-testing/
[91] Ducharme J, «A Major Drug Company Now Has Access to 23andMe’s Genetic Data. Should You Be Concerned?», Time. 26.07.2018. https://time.com/5349896/23andme-glaxo-smith-kline/
[92] Brodwin E, «A collaboration between Google’s secretive life-extension spinoff and popular genetics company Ancestry has quietly ended», Business Insider. 01.08.2018. https://www.businessinsider.com/google-calico-ancestry-dna-genetics-aging-partnership-ended-2018-7
[93] Hazel J og Slobogin C, «Who Knows What, and When?: A Survey of the Privacy Policies Proffered by U.S. Direct-to-Consumer Genetic Testing Companies», Cornell Journal of Law and Public Policy 28, no. 1 (2018): 3. https://scholarship.law.cornell.edu/cjlpp/vol28/iss1/3
[94] Erlich Y, Shor T, Pe'er I og Carmi S «Identity inference of genomic data using long-range familial searches» Science 362, no. 6415 (November 2018): 690-4. DOI: 10.1126/science.aau4832
[95] Bonomi L, Huang Y og Ohno-Machado L, «Privacy challenges and research opportunities for genomic data sharing» Nat Genet 52, no. 7 (Juni 2020): 646-54. DOI: 10.1038/s41588-020-0651-0
[96] Molteni M, «These DNA Startups Want to Put All of You on the Blockchain», Wired. 16.11.2018. https://www.wired.com/story/these-dna-startups-want-to-put-all-of-you-on-the-blockchain/
[97] Phillips AM, Buying your Self on the Internet: Wrap Contracts and Personal Genomics. Edinburgh University Press, 2019.
[98] Phillips AM, «Only a click away — DTC genetics for ancestry, health, love…and more: A view of the business and regulatory landscape» Applied & Translational Genomics 8 (Mars 2016): 16-22. DOI: 10.1016/j.atg.2016.01.001
[99] Bing Hodneland, «Notat om MyHeritage LTDs brukervilkår, personvernserklæring m.m.», https://fil.forbrukerradet.no/wp-content/uploads/2020/03/20200226-ke-gentest-juridisk-rapport.pdf
[100] Laestadius LI, Rich JR, Auer PL, «All your data (effectively) belong to us: data practices among direct-to-consumer genetic testing firms» Genet Med 19, no. 5 (Mai 2017): 513-20. DOI: 10.1038/gim.2016.136; endricks-Sturrup, RM og Lu CY: «Direct-to-Consumer Genetic Testing Data Privacy: Key Concerns and Recommendations Based on Consumer Perspectives» J Pers Med 9, no. 2 (Juni 2019): 25. DOI: 10.3390/jpm9020025; Consumer Reports, «Direct-to-Consumer Genetic Testing: The Law Must Protect Consumers’ Genetic Privacy». 23.07.2020. https://advocacy.consumerreports.org/wp-content/uploads/2020/07/DTC-Genetic-Testing-White-Paper.pdf
[101] Future of Privacy Forum, «Future of Privacy Forum and Leading Genetic Testing Companies Announce Best Practices to Protect Privacy of Consumer Genetic Data». 31.07.2018. https://fpf.org/blog/future-of-privacy-forum-and-leading-genetic-testing-companies-announce-best-practices-to-protect-privacy-of-consumer-genetic-data/