Montana duwt de naald op het gebied van genetische beveiliging

Montana geeft een duwtje in de rug op het gebied van genetische veiligheid

Door Danny Bradbury • 28 September 2023

Amerikaanse staten geven consumenten steeds meer privacyrechten over hun digitale informatie, maar hoe zit het met hun biologische gegevens? Je e-mailadres en telefoonnummer zijn gevoelig genoeg, maar ze verbleken vergeleken met wat er in je DNA zit. Genetische informatie stelt mensen in staat verschillende dingen over u af te leiden, van uw aanleg voor meerdere ziekten of je nu van het sensatiezoekende type bent of niet.

Minder dan een kwart eeuw nadat we het menselijk genoom in kaart hebben gebracht, zijn direct-to-consumer (DTC) genetische tests een groei-industrie. Volgens YouGov, een op de vijf Amerikanen hebben hun DNA al opgestuurd om te testen. Meer dan de helft van de respondenten van YouGov was van mening dat privacy een probleem was, maar verleid door de aantrekkingskracht van een opwindende nieuwe technologie maken ze toch gebruik van genetische diensten via DTC.

Deze angsten over genetische privacy zijn gegrond. In tegenstelling tot een telefoonnummer kun je je genen niet veranderen – en toch is de privacy van je genetische informatie grotendeels ongereguleerd. Dankzij de privacybewuste Montananen is dat nu langzaam aan het veranderen. De staat heeft een wet aangenomen genaamd de Wet op de privacy van genetische informatie dat strikte regels oplegt voor het verzamelen en gebruiken van genetische gegevens.

De nieuwe wet interpreteert 'genetische gegevens' ruim en omvat niet alleen elk gesequenced DNA, maar ook alle fenotype-informatie uit die sequencing, waardoor mensen gedrag en fysieke kenmerken kunnen voorspellen. Daarnaast omvat het ook alle zelfgerapporteerde informatie over gezondheidsproblemen die een entiteit samen met die DNA-gegevens gebruikt voor onderzoek.

Vanaf 1 oktober, wanneer de wet van kracht wordt, moet elke organisatie die genetische informatie beheert, toestemming van de consument krijgen om deze over te dragen, te gebruiken en te behouden. De consument moet toestemming geven voordat hij de gegevens voor onderzoek aan een derde partij overdraagt.

Waarom hebben we een genetische wet nodig?

. Consumer Reports testte bekende DTC-geneticadiensten, maar vond dat ze over het algemeen verantwoordelijk waren voor de DNA-gegevens van klanten. Ze verkochten de genetische gegevens niet aan datamakelaars en eisten dat klanten zich aanmeldden als ze wilden dat de gegevens voor onderzoek werden gebruikt. Zonder passende wetten is dit echter vooral afhankelijk van hun zelfbeheersing. Het rapport merkte ook op dat 'onderzoek' enkele onverwachte, niet-altruïstische gebruiksscenario's zou kunnen omvatten, waaronder interne productontwikkeling, en dat in veel gevallen ook niet-DNA-gegevens over een individu, inclusief gezondheidsinformatie, zouden kunnen worden doorgegeven.

Het Consumer Reports-onderzoek had geen betrekking op 1Health. In september 2023 heeft de Federal Trade Commission verrekend met dit DTC-geneticabedrijf, voorheen bekend als Vitagene, wegens het mishandelen van consumentengegevens. De Commissie beweerde dat het bedrijf zijn privacybeleid met terugwerkende kracht heeft gewijzigd zonder klanten hiervan op de hoogte te stellen, waardoor de reikwijdte van derden aan wie het gegevens zou verstrekken, werd uitgebreid. Op de uitgebreide lijst stonden supermarktketens en fabrikanten van voedingssupplementen.

Volgens de klacht van de FTC slaagde 1Health/Vitagene er ook niet in om klantgegevens te anonimiseren door deze op te slaan zonder de bijbehorende identiteitsinformatie, zoals hun naam. Naar verluidt bewaarde het de genetische gegevens van sommige klanten samen met andere identificerende informatie, waaronder gezondheidsrapporten en gedeeltelijke of volledige namen. Sommige gegevens werden onversleuteld opgeslagen in de cloud, aldus de Commissie zei.

Hoe dan ook is genetische informatie bijzonder moeilijk te anonimiseren. Dit idee – dat de gegevens op de een of andere manier kunnen worden opgeschoond om te voorkomen dat ze worden gebruikt om een patiënt te identificeren – is twijfelachtig. Het simpelweg opslaan van de gegevens zonder enige begeleidende identificerende gegevens is niet voldoende. Het National Human Genome Research Institute van de Amerikaanse overheid waarschuwt van de mogelijkheid om mensen opnieuw te identificeren aan de hand van hun genoominformatie. Dit is op verschillende manieren mogelijk, inclusief kruisverwijzingen met andere databasetypen of lidmaatschap van identificeerbare populaties zoals etnische groepen.

Het was aan de FTC om zich in haar schikking ter waarde van $1 op 75,000Health te richten, omdat de bestaande wetgeving genetische gegevens niet volledig reguleert. DTC-geneticatestbedrijven vallen bijvoorbeeld niet onder de federale privacyregelgeving voor medische gegevens, HIPAA, die van toepassing is op zorgaanbieders en verzekeraars. De federale Genetic Information Nondiscrimination Act 2008 (GINA) verhindert dat zorgverzekeraars of werkgevers mensen dwingen hun genetische gegevens af te staan of deze te gebruiken om hen te discrimineren. Toch geldt dit niet voor dienstverleners op het gebied van DTC-genetica.

Bedrijven aanklagen wegens misleidende praktijken bij gebrek aan passende wetten ter bescherming van de genetische privacy is niet voldoende. In 2021 zei Justin Sherman, fellow en onderzoeksleider voor het Data Brokerage Project van de Duke University Sanford School of Public Policy, aangedrongen de Senaatscommissie voor Financiën om de verkoop van genetische gegevens aan derden strikt te controleren.

Een geschiedenis van privacybewuste wetgeving in Montana

Montana heeft een geschiedenis in het vaststellen van baanbrekende privacywetten. In 2013 werd het de eerste staat om de politie te dwingen een bevelschrift te verkrijgen alvorens locatie-informatie van elektronische apparaten te verzamelen. Het heeft ook andere staten gevolgd bij het invoeren van algemene wetten ter bescherming van de consumentenprivacy met de Consumer Data Privacy Act, die in april 2023 werd aangenomen.

Montana is ook niet de enige staat die genetische privacy aanpakt. In 2021 sloot Maryland zich daarbij aan door wetgeving aan te nemen die een bevelschrift vereiste voor forensisch genetisch genealogisch onderzoek (FGGS). Dit soort sleepnetonderzoek in genealogische databases leidde tot de gevangenneming van Golden Gate-moordenaar Joseph James DeAngelo. Montana's GIPA versterkt deze anti-sleepnetwet door te voorkomen dat DTC-genetische testbedrijven gegevens vrijgeven zonder toestemming van de consument of een behoorlijke juridische procedure.

In oktober 2021 ook Californië voorbij twee wetsvoorstellen die rechtstreeks relevant zijn voor de veiligheid van de genetica. De Genetic Privacy Act (SB 41) vereiste dat klanten die rechtstreeks op de consument genetische tests uitvoeren, toestemming van de consument moesten krijgen voordat ze hun genetische gegevens verzamelden, gebruikten of openbaar maakten. De tweede, AB 825, voegde genetische gegevens toe aan zijn kaders voor gegevensbeveiliging en melding van datalekken.

Wat zal het effect zijn?

Rechtshandhaving heeft een manier om de privacywetgeving te omzeilen, vaak door naar andere kanalen te gaan. De politie heeft zijn toevlucht genomen legaal locatiegegevens van mobiele telefoons kopen bij datamakelaars, terwijl andere staten het voorbeeld van Montana volgden door privacyregels voor locatiegegevens op te leggen. Wetten die de upstream-verkoop van gegevens beperken in plaats van alleen downstream-toepassingen voor surveillance aan te pakken, maken het echter een grotere uitdaging om de gegevens überhaupt elders te betrekken.

Montana's GIPA staat geen particuliere rechtszaken toe, maar stelt de procureur-generaal van de staat in staat om zaken tegen overtreders aan te spannen en feitelijke en wettelijke schade te verhalen. Dit levert niet de scherpst mogelijke tanden op, maar een sympathieke procureur-generaal zou DTC-geneticabedrijven die de privacy van klanten niet respecteren nog steeds een vervelende kneep kunnen geven. Het is op zijn minst een begin.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury