Notitie van de redacteur: Wij ondersteunen niet het uploaden van DNA-gegevens verkregen van andere testdiensten naar 23andMe. Dit artikel legt de risico’s uit van het uploaden van uw DNA-gegevens naar diensten van derden.
Bij 23andMe bent u de baas over uw genetische gegevens. Dat betekent dat we u de controle geven om te beslissen welke informatie u wilt leren en welke informatie u wilt delen. Maar het is belangrijk dat u op de hoogte bent van de risico’s van het delen van uw genetische gegevens met andere diensten.
Na het ontvangen van gepersonaliseerde genetische rapporten van 23andMe, kunnen klanten ervoor kiezen om hun ruwe DNA-gegevens te downloaden. Sommige klanten kunnen dit doen om hun gegevens te uploaden naar diensten van derden, die aanbieden om hun ruwe DNA-gegevens te interpreteren om nieuwe genetische verwanten te vinden of aanvullende genetische rapporten te krijgen. 23andMe kan echter niet instaan voor de wetenschappelijke validiteit of nauwkeurigheid, of duidelijkheid in de communicatie van de resultaten van dergelijke diensten van derden. In feite biedt alleen 23andMe een genetische test voor consumenten met gezondheidsrapporten die de onafhankelijke garantie van de FDA van geldigheid en duidelijke resultaten hebben (zonder dat een recept nodig is).
Naast zorgen over de wetenschappelijke validiteit, kan het uploaden van uw ruwe DNA-gegevens naar een dienst van derden ook uw gegevensprivacy in gevaar brengen. Dit is deels de reden waarom 23andMe belangrijke waarschuwingen geeft aan zijn klanten voordat ze ervoor kiezen om te downloaden.
De meeste bedrijven voor consumentengenetica, waaronder 23andMe, staan toe dat u uw eigen ruwe DNA-gegevens downloadt. Op dat moment is de klant vrij om te doen wat hij wil met zijn ruwe DNA-gegevens, zoals besluiten om die ruwe DNA-gegevens te uploaden naar diensten van derden.
Wat zijn enkele van de risico’s van het uploaden van uw DNA-gegevens naar een website van een derde partij?
Bij 23andMe zijn we duidelijk tegen onze gebruikers over de risico’s van het gebruik van diensten van derden die extra inzichten bieden in gezondheid, welzijn of eigenschappen. Dit komt omdat alleen geselecteerde genotypegegevens die specifiek in onze gezondheidsrapporten worden gebruikt, individueel zijn gevalideerd op nauwkeurigheid. Hoewel de rest van uw gegevens een algemene kwaliteitsbeoordeling heeft ondergaan, zijn deze niet in dezelfde mate gevalideerd als de gegevens die ten grondslag liggen aan onze officiële 23andMe-rapporten. Als gevolg hiervan mogen onbewerkte DNA-gegevens niet worden gebruikt voor medische doeleinden en we raden het gebruik van diensten van derden die beweren onbewerkte DNA-gegevens te interpreteren om gezondheidsinformatie te verstrekken, niet aan.
Consumenten maken zich ook zorgen over wetshandhavingsinstanties die DNA-gegevens van plaats delicten uploaden naar diensten van derden om een cold case op te lossen. Simpel gezegd is het uploaden van DNA-gegevens van een plaats delict in de 23andMe-omgeving niet mogelijk, omdat wij het uploaden van DNA-gegevens die zijn verwerkt door een laboratorium van een derde partij niet ondersteunen.
Daarnaast geeft het transparantierapport van 23andMe aan dat het ons beleid is om geen individuele DNA-gegevens van klanten vrij te geven aan derden – inclusief wetshandhaving – zonder de uitdrukkelijke toestemming van de klant te ontvangen, tenzij dit wettelijk verplicht is.
De bezorgdheid over het uploaden van DNA-gegevens op de plaats delict door wetshandhavingsinstanties is echter reëel en we waarschuwen klanten als zij ervoor kiezen hun DNA-gegevens te uploaden naar andere platforms van derden, waaronder openbare genealogiediensten of andere diensten van derden die het uploaden van DNA-gegevens vergemakkelijken.
Maar er is nog een andere vorm van kwetsbaarheid die minder goed wordt begrepen: In databanken die het uploaden van ruwe DNA-gegevens met toegang tot relatieve matchingskenmerken mogelijk maken, kunnen mensen met kwade bedoelingen echte of valse “Trojaanse paarden” genetische profielen uploaden om toegang te krijgen tot uw persoonlijke identificerende informatie. Zij kunnen zelfs uw specifieke DNA-varianten afleiden, zoals informatie over ziekterisicovarianten die u mogelijk draagt.
Hoe kan dat gebeuren?
- Veel diensten voor het matchen van verwanten bieden u de mogelijkheid om het exacte gedeelte of gedeelten van het DNA te zien dat u met elk familielid deelt.*
- Als het uploaden van DNA-gegevens is toegestaan, betekent dit dat u niet langer zeker weet dat het profiel van uw familielid daadwerkelijk door uw familielid wordt gecontroleerd, en een kwaadwillende zou echte of valse DNA-gegevens kunnen uploaden om informatie over u af te leiden op basis van gedeelten van overeenkomend DNA, inclusief eventuele ziekterisicovarianten die u zou kunnen hebben.
- Zelfs als gedeelde segmenten niet worden getoond, zijn er nog steeds manieren waarop mensen met kwade bedoelingen sommige van uw DNA-varianten kunnen afleiden.
Deze kwetsbaarheid is onlangs in twee rapporten beschreven: Een van de Universiteit van Washington en een ander van de Universiteit van Californië, Davis. De auteurs van deze rapporten leggen verschillende manieren uit waarop een “tegenstander” de genotypes van mensen kan afleiden “hetzij op sleutelposities of op vele plaatsen genoombreed” in databases die het uploaden van DNA-gegevens met relatieve matching mogelijk maken.
Beide rapporten geven specifieke manieren aan waarop diensten het risico kunnen beperken, zoals het beperken van de informatie die wordt weergegeven in relatieve-matchingsfuncties.
Hoewel deze praktijken het risico kunnen verminderen, geloven wij dat de eenvoudigste en meest effectieve verdediging is om personen die gegenotypeerd zijn door andere testdiensten niet toe te staan hun DNA-gegevens te uploaden naar 23andMe met als doel genetische verwanten te ontdekken.
In het verleden heeft 23andMe DNA-uploads van andere genetische testdiensten voor consumenten in zeer specifieke omstandigheden toegestaan. Specifiek, op DNA-dag in april 2018, stond 23andMe personen toe die bij andere bedrijven testten om hun resultaten te uploaden om toegang te krijgen tot een subset van onze kenmerkrapporten, maar 23andMe heeft het ontdekken van nieuwe verwanten voor deze accounts niet mogelijk gemaakt.
Hoe zorgt 23andMe ervoor dat alleen echte, instemmende individuen deelnemen aan onze service?
In één woord: spugen.
Als je in het buisje spuugt, begin je aan het avontuur van je leven. U vertrouwt 23andMe ook enkele van uw meest persoonlijke gegevens toe.
Door een speekselmonster te vragen, kan 23andMe verifiëren of je een echt persoon bent die ervoor heeft gekozen om aan de dienst deel te nemen. Het is misschien gemakkelijk om valse DNA-gegevens te uploaden, maar het is heel wat anders om een spuugmonster te vervalsen, waarvoor je een buisje met meer dan twee milliliter spuug moet vullen. Zo weet je dat “Linda-je-4de-neef-wie-je-niet-weet-dat-ie-bestond” een echte persoon is die ervoor koos om 23andMe te doen. Linda moest ook in een buisje spugen.
Wat zijn enkele belangrijke vragen die u moet stellen?
Wanneer u overweegt om uw onbewerkte DNA-gegevens wel of niet naar een andere website te uploaden, raden wij u aan om u vertrouwd te maken met hun privacy- en beveiligingsbeleid voordat u uw onbewerkte DNA-gegevens uploadt.
Zorg ervoor dat u de volgende vragen in overweging neemt:
- Voordat u uw DNA-gegevens uploadt, moet u zich afvragen: is het echt nodig dat ik dit doe? Ben ik bereid de veiligheid en privacy van mijn DNA-gegevens op het spel te zetten door ze te uploaden naar een externe dienst?
- Doe je onderzoek! Heeft de dienst van derden een staat van dienst op het gebied van privacy en gegevensbeveiliging?
- Hoe zal de dienst van derden uw informatie gebruiken? Hoe kan uw informatie verder worden gedeeld met andere derde partijen?
- Als u niet geïnteresseerd bent in het ontdekken van nieuwe verwanten, maar u wilt aanvullende DNA-inzichten, sluit de andere dienst dan expliciet functies uit die betrekking hebben op het ontdekken van genetische verwanten?
Een eerder artikel waarin ons standpunt over het beschermen van de gegevens van klanten in detail wordt beschreven, is hier beschikbaar.