Ulrika Sandén, universitetslektor i juridik, tycker i en artikel på SVT Nyheter att man bör ta sig tid att läsa igenom villkoren:
— Jag skulle vara väldigt noggrann med att läsa vilket skydd ens personuppgifter har i förhållande till andra privatpersoner, rättsväsende och försäkringsbolag.

Vem äger dina genetiska data?

Hur säkerställer jag att data från mitt DNA inte delas med utomstående? Är det patientdatalagen som gäller när jag skickar in mitt DNA-prov? Vad gäller när ett utländskt företag analyserar mitt prov? Vi ställs inför nya frågor, nu när DNA-testen är så lätt-tilgängliga.

 

Över 50 miljoner personer i hela världen har redan köpt ett DNA-test över nätet. 15 miljoner av dessa bor i USA. Man bedömer att totalt 100 miljoner individer gjort det inom två år.

All denna data ger ökad kunskap om samband mellan DNA-variationer och sjukdomar, vilket i sin tur banar väg för utveckling av behandlingsmetoder och nya läkemedel.

Men, vet jag vad jag ger mitt medgivande till i samband med provtagningen? Vad betyder det när jag kryssar i rutan ”jag godkänner villkoren som gäller för provtagningen” på samtyckesblanketten?

 

Så här kan det se ut

Du väljer test och leverantör. Du fyller i uppgifterna som man ber om och betalar för provtagningen. Du får hem ett kit med tops-pinne och provrör, du topsar dig och skickar in ditt prov. Resultatet registreras på det sätt som du valt, då du givit ditt medgivande till köpet.

Men, har du gjort hemläxan? Valde du rätt leverantör?

 

Steget innan köp

Eftersom integritetspolicyn är olika från leverantör till leverantör, är det viktigt att du förstår vad som gäller för den som tilltalar dig. (För inte alltför länge sedan saknade 4 av 10 leverantörer tydliga regler för hantering av genetiska data.)

Alla leverantörer borde vara måna om sitt varumärke, förstå att pålästa kunder kräver transparens. EU ställer dessutom krav på GDPR – men det gäller inte leverantörer utanför EU som du söker upp på deras sajt.

Väljer du Ancestry så säger du ja till ”de allmänna villkor och den sekretesspolicy som gäller för AncestryDNA”. Är du bekväm med det?

Leta efter leverantörer som följer GDPR-direktiven! (Det finns också information att hämta från Dataskyddsförordningen här.)

Där den förordningen följs vet du att man inte kan dela några av dina DNA utan att du ger ditt uttryckliga skriftliga medgivande. Dessutom: de ska kunna radera dina data på din anmodan.

Till att börja med kan du exkludera tester från USA, om du vill vara säker på att ha kontroll över dina data. Vill du läsa mer finns en bra artikel från Wired, daterad december 2019.

Vad gäller?

Om du tar ditt prov i Sverige finns det ett antal lagar som kan vara tillämpliga – ex.vis dataskyddlagen och brottsdatalagen.

Tar du prov på egen hand så är inte bestämmelser inom sjukvården tillämpliga – se patientdatalagen. Den lagen gäller däremot om provet tas av sjukvårdspersonal på en vårdcentral.

GDPR gäller inom Europa. I korthet handlar den lagen om att företag inte får spara data om dig, om du inte uttryckligen sagt ja till vad som ska sparas eller delas med tredje part – s.k. ”opt-in”.

GDPR gäller även för företag med säte utanför Europa, om de marknadsför sig mot kunder inom unionen. Men om du själv söker upp ett företag utanför Europa, är det inte säkert att GDPR gäller. Dubbelkolla därför innan du trycker på ”köp”.

Det finns andra bestämmelser som kan vara aktuella, som ex.vis biobankslagen.

the current regulations relating to DNA data

Hur många vill dela med sig?

Hos seriösa leverantörer ska du godkänna områden där just dina data får användas. I USA väljer 8 av 10 att göra en ”opt-in” till att deras data får användas på gruppnivå, i forskningssyfte. Man ska då inte kunna spåra genetiska data till individer, vilket de flesta tydligen känner sig bekväma med. Se mer i artiklar i The Guardian här, här och här.

 

Kan jag radera data?

Hos leverantörer som följer GDPR har man möjlighet att radera sina data. Men du kanske givit ditt medgivande till en tränings-app, som erbjuder skräddarsydda träningsprogram med ditt DNA som utgångspunkt? Då har du gjort ett separat avtal med en s.k. tredje part – som kanske inte varit tydlig med hur de behandlar dina uppgifter?

Så svaret på frågan är, ja, som regel kan du radera dina genetiska data – men kolla noga innan du väljer leverantör, och håll koll på vilka fler du delar uppgifterna med. Att göra en ”opt-out” är betydligt svårare än en ”opt-in”.

 

Framtiden ger säkrare lösningar – inom sinom tid

Om du läst igenom villkoren och säger ja till vad som beskrivs så är allt bra – skicka in provet och vänta på ditt svar!

Under tiden håller nya leverantörer på att skapa andra sätt att sköta datahanteringen på. Ett exempel värt att nämna är Nebula Genomics. Företaget utvecklar en krypterad lösning från start till mål, där du äger och har full kontroll över dina data.

Idag är detta en komplicerad och oprövad lösning, då den förutsätter att hela kedjan är säker. Köpet börjar med kryptovaluta och ska lagra all data i en distribuerad datateknik, som du själv har kontroll över. Vi tillåter oss att vara skeptiska än så länge…

Det kommer med all säkerhet nya, intressanta lösningar på DNA-tester. Under tiden finns det många bra, som bygger på att du som kund vet vad som gäller. Inom GDPR använder man uttrycket ”informed consent”, att vi godkänner användning av data på ett sätt som vi blivit informerade om. Det är en stark utgångspunkt.

Sikta på GDPR-säkrad lösning; ta reda på vad du säger ja till; se till att testet du väljer ger svar som kan omvandlas till praktisk handling.

Se även Svenska sajten Genomic Medicine och amerikanska National Genome Institute,

Lycka till!