De afgelopen tien jaar zagen we de opkomst van bedrijven die het DNA van consumenten testen, zoals 23andMe, AncestryDNA, MyHeritage DNA en FamilyTreeDNA. Deze bedrijven gaan ervan uit dat u niet kunt leven zonder een encyclopedische kennis van uw DNA. En raad eens... Dat kunnen ze ook niet.
Langzaam maar onvermijdelijk wordt duidelijk wat deze DNA-bedrijven echt willen — het DNA van hun klanten delen met derden — en dat stelt dit soort DNA-tests in een heel ander daglicht.
In dit artikel schetsen we wat DNA-tests voor consumenten inhouden en staan we stil bij de privacyaspecten, de potentiële voordelen, de juridische aspecten en de verbanden met ruimere trends om onze privacy dan maar helemaal op te geven.
Wat kan een DNA-test u vertellen?
In het algemeen hopen mensen meer aan de weet te komen over hun stamboom en voorouders. Wanneer u een speekselmonster instuurt, krijgt u informatie over de verschillende etnische groepen waaruit uw voorouders afkomstig zijn en de mensen met wie u verwant bent, dat wil zeggen, andere mensen die in de database te vinden zijn. Daarnaast kunt u meer leren over uw biologische eigenschappen, variërend van leuke weetjes over de textuur van uw oorsmeer tot het risico dat u mogelijk loopt om een bepaalde ziekte te krijgen.
Wat dat laatste betreft, moet u wel bedenken dat DNA-gegevens geen volledig beeld geven over het verloop van iemands gezondheid. Het is geen kristallen bol. Hoewel leken bij het horen van de term ‘DNA’ misschien denken aan een onvermijdelijk noodlot, wijzen deskundigen ons erop dat het bij ons DNA draait om waarschijnlijkheid, niet om een lotsbestemming. Zelfs als u een gen hebt dat het risico op de ziekte van Alzheimer vergroot, wil dat niet zeggen dat u het ook zult krijgen. Daarnaast kunt uw kans daarop verkleinen door gezond te leven. Anderen twijfelen aan de nauwkeurigheid van de tests. Ze vinden dat u zich niet zo bang moet laten maken door de resultaten van dergelijke DNA-tests dat u zich gaat volpompen met dure medicijnen met allerlei bijwerkingen, voor het geval dat u misschien ooit een ernstige ziekte zou kunnen krijgen.
U bent niet bijzonder, uw DNA bestaat uit gegevens
Tot nu toe hebben zo'n 30 miljoen mensen gebruikgemaakt van de DNA-kits voor consumenten.
Naar verluidt 10 miljoen daarvan bij 23andMe. Het bedrijf, met popi slogans als ‘One unique you’ (Eén unieke jij) en ‘Welcome to you’ (welkom bij jou), is meer dan een vrolijk spuugtestcentrum: het is een leverancier van DNA-gegevens. Een van de verheven doelstellingen waarmee 23andMe aan de weg timmert, is een soort utopie van gedeelde DNA-gegevens. Volgens hen werden mensen tot nu toe altijd overdonderd wanneer er een ziekte werd vastgesteld. Dat komt doordat we geïsoleerd zijn. Maar nu kunnen we ervoor kiezen om ons DNA te delen in dienst van de mensheid.
Ironisch genoeg beweren deze bedrijven dat ze hun klanten de controle over hun gezondheidszorg weer in eigen handen geven, maar geven klanten bij deze transactie juist veel uit handen.
De website van het bedrijf geeft gebruikers de mogelijkheid om hun testresultaten te laten gebruiken voor onderzoek en kennelijk kiest 80% van de klanten van 23andMe daar ook voor. U kunt zich dan ook de woede bij veel mensen voorstellen toen het bedrijf vorig jaar aankondigde te gaan samenwerken met de Britse farmaciegigant GlaxoSmithKline. Daardoor kunnen de resultaten van DNA-tests worden gebruikt bij de productie van medicijnen. Ook AncestryDNA is een samenwerking aangegaan, met Calico, de biotech-onderzoeksdochter van Google, maar daar is om de een of andere reden minder ruchtbaarheid aan gegeven. Hoezo gegevensruil?
In welingelichte kringen kwamen de plannen van 23andMe om zijn DNA-gegevens te gebruiken voor wetenschappelijk onderzoek (in samenwerking met farmaceutische bedrijven) niet als een verrassing. Blijkbaar was daar al in 2007 sprake van. Maar de gemiddelde spuger was hier evenmin van op de hoogte als van het kwistige gebruik van persoonsgegevens door Facebook en Google, om maar iets te noemen. En net zoals Facebook de informatie die u tijdens het ontbijt deelt, naar believen gebruikt, kunnen bedrijven als 23andMe en AncestryDNA de door hen verzamelde informatie naar eigen inzicht gebruiken. En dat doen ze dan ook. In deze tijd zijn gegevens geld waard, dus uiteraard doen ze dat.
Kleine lettertjes 2.0
Het is zo makkelijk een vinkje in een vakje te zetten om in te stemmen met een bepaalde voorwaarde, zonder na te denken over wat die voorwaarde precies inhoudt. Vroeger lazen mensen de kleine lettertjes helemaal niet. Tegenwoordig worden de kleine lettertjes in het beste geval ingekort en krijgen ze een prominente plaats, maar begrijpelijk zijn ze nog steeds niet.
Daarnaast verstrekken mensen hun privégegevens aan een privébedrijf en zijn dan toch verbaasd of boos wanneer het bedrijf er alles mee kan doen wat het wil en de servicevoorwaarden pal onder hun neus wijzigt. Zelfs het feit dat ze zelf een vakje of twee hebben aangevinkt om aan te geven dat ze er geen bezwaar tegen hebben als hun gegevens worden gebruikt, doet daaraan niets af.
Dat u zich juridisch op een nogal grijs gebied bevindt, blijkt wel uit het feit dat de Amerikaanse HIPAA-wetten die de overdracht van medische gegevens in een traditionele medische omgeving regelen, niet van toepassing zijn op bedrijven die rechtstreeks DNA van consumenten testen.
Inmiddels moge duidelijk zijn dat consumenten geen schijn van kans maken tegen het juridische jargon van Silicon Valley. Het privacybeleid van 23andMe, AncestryDNA en MyHeritage is uiteraard lang en ingewikkeld. Het gaat hier om mazen in de wet en voorbehouden, zoals het gedeelte in het beleid van FamilyTreeDNA dat wetshandhavers toestaat accounts te maken en de database te doorzoeken. Of wat te denken van de verklaring van 23andMe dat ze meestal niet telkens contact met u kunnen opnemen wanneer ze gegevens willen delen (laat dit nou net het soort melding zijn dat consumenten meer duidelijkheid en controle zou verschaffen). En zoals hierboven al aangestipt kunnen deze bedrijven hun algemene voorwaarden wijzigen wanneer ze maar willen.
Wat het verliezen van de controle over uw DNA betekent
In 2008 werd de Genetic Information Nondiscrimination Act (GINA) aangenomen. Deze wet verbiedt zorgverzekeraars om het verzekerde bedrag te wijzigen op grond van genetische informatie. De wet geldt echter niet voor arbeidsongeschiktheidsverzekeringen, langdurige-zorgverzekeringen of levensverzekeringen. DNA-discriminatie door verzekeringsmaatschappijen blijft een belangrijk punt van zorg op dit gebied. Verzekeraars met toegang tot deze informatie zouden hun tarieven kunnen verhogen en de dekking wijzigen.
Mensen als David Caruso en zijn makkers in de tv-serie CSI zouden zich ongetwijfeld in een DNA-topia wanen, maar ongebreidelde toegang tot online-DNA door wetshandhavers brengt de veiligheidsstaat weer een stapje dichterbij. Onlangs werd bekendgemaakt dat de vangst van de Golden State Killer, die tientallen jaren vrij rondliep, mede mogelijk is gemaakt door te zoeken in GEDmatch (een openbare DNA-database). Bij het onderzoek werd FamilyTreeDNA met een dagvaarding gedwongen om informatie te onthullen. En hoewel het vangen van boeven een goede zaak is, is misbruik van deze macht door wetshandhavers verre van ondenkbaar.
De moraal van het verhaal is dat u door dergelijke diensten te gebruiken wel heel veel vertrouwen stelt in een bedrijf. Daarnaast zijn die gegevens nooit 100% veilig. U hebt vast wel eens gehoord over gegevenslekken. Ook DNA-gegevens kunnen uitlekken. Eén DNA-testservice, Vitagene Inc., had jarenlang aan namen van klanten gekoppelde DNA-gegevens op openbare cloudservers staan – niet erg veilig. In 2018 was er bij MyHeritage een enorm lek van accountgegevens van gebruikers, al waren daar gelukkig geen DNA-gegevens bij. Als de bedrijven zelf uw gegevens niet misbruiken, kunnen hackers nog steeds losgeld vragen voor gestolen DNA-gegevens (het zou niet de eerste keer zijn dat dit gebeurt met medische dossiers). DNA-tests stellen u dus op meerdere fronten bloot aan inbreuken op uw privacy. Net als bij andere bedrijven die met gegevens van gebruikers werken, is niet deelnemen de beste manier om uw privacy te bewaren.
En hoewel deze bedrijven de mogelijkheid bieden om uw DNA na het testen te verwijderen, is dat vaak niet zo eenvoudig. Als uw DNA al met derden is gedeeld, kunt u deze gegevens onmogelijk terughalen. Deze bedrijven beweren weliswaar dat het in studies gebruikte DNA wordt geanonimiseerd, maar het is niet zo moeilijk om het weer naar u te herleiden aan de hand van gegevens als postcodes, geboortedatums en het DNA van uw familieleden in de databases.
Dit alles werpt een trieste vraag op: welke mogelijkheden biedt datamining nog meer?
De laatste druppel spuug
Na de recente val van bloedtest-start-up Theranos begint het bij iedereen inmiddels wel een beetje te kriebelen als het om biotechnologie gaat. Maar de FDA, die vaak een groot obstakel is voor medische start-ups, stelt zich de laatste paar jaren minder streng op en heeft 23andMe toestemming gegeven te testen op bepaalde ziektes. De vraag is of deze bedrijven mensen ervan kunnen overtuigen dat hun ietwat grimmige werkwijze medische voordelen oplevert. Het lijkt er immers op dat de markt voor mensen die tegen betaling informatie over hun voorouders hopen te krijgen eindelijk wat aan het krimpen is.
