Minne kansainvälisestä verkkokaupasta hankitun kuluttajan geenitestin näyte, raakadata ja analysoidut geenitiedot päätyvät?

Miten villi länsi kuluttajien geenitestaus on yksilön tietosuojan kannalta?

DiagFactor Oy on Suomen ensimmäinen ja ainoa genomialan palveluyritys, joka tuottaa verkkoon meille kaikille kansalaisille suunnattua tietoa geeniperimästä ja sen merkityksestä henkilön hyvinvoinnille ja terveydelle. Perimä ja terveys -sivullamme on jo yli 35 000 kävijää. Mikä erityistä, geenineuvojan etävastaanotolla autamme asiakasta valitsemaan luotettavan geenitestin ja ymmärtämään hänen verkosta ostamansa geenitestin arvoa – mitä tulokset merkitsevät ja mitä ne eivät merkitse.

Tällä kertaa pureudun Geenikuiskaajan blogissani asiantuntijoiden huoleen, että kuluttajien geenitestiyritykset voivat olla hallitsemattomia toimijoita lainsäätäjän säädösajattelun näkökulmasta. Pohdin miten aiheellista on pelätä vaaraa, että yksittäisen kuluttajageenitestin ostaneen henkilön tietosuojaa loukataan esim. siten, että geenitestiyritys luovuttaa tai myy hänen tietojaan edelleen 3-lle osapuolelle? Miten epäluotettavia (tai luotettavia) ovat verkossa toimivien geenitestiyritysten ICT-ratkaisut koskien yrityksen tietoturvaa ja asiakkaan tietosuojaa?

Tässä blogissa keskitytään sellaisiin geenitestiyrityksiin, joilla on oma märkä DNA-laboratorio. Huomiotta jäävät ne ohjelmistoyritykset, joihin ladataan raakadata lisäanalyysejä varten.

Miksi genomitiedon väärinkäytön uhka pelottaa niin kovin?

Kuluttajien geenitestaus (DTC – Direct To Consumer genetic testing) tuottaa valtavasti uutta geenitietoa. Jatkuvasti laajenevan ja monimutkaistuvan geenitiedon luottamuksellinen säilytys ja jatkokäyttö herättävät kuluttajassa kysymyksiä: Miten maksutapahtuman tietosuoja on järjestetty? Mitä loppunäytteelle tapahtuu? Mihin analysoitu data tallennetaan? Miten kauan dataa säilytetään? Kenellä on pääsy dataan? Kenelle dataa jaetaan, mikäli jaetaan? Miten perun suostumukseni?

Jokaisen ihmisen geeniperimä on erilainen. Ainutkertaiset geenivariantit määrittävät sen miltä näytämme, miten käyttäydymme, mihin tauteihin sairastumme ja mitkä reseptilääkkeet tehoavat. Perimän lisäksi myös elintavoilla, elinympäristöllä ja sairauksien hoidolla on suuri vaikutus ihmisen kokemaan hyvinvointiin ja terveyteen. Lisäksi sattuma tuo oman osansa, kuten syövän synnyn ja kehittymisen.

Ihmisen geeniperimä (genomitieto) on luonteeltaan arkaluontoista terveys- ja sairaushistoriatietoa, joka täytyy varovaisuusperiaatteen mukaisesti suojata tehostetusti, koska:

• tulos on terveystulevaisuutta ennakoivaa
• tulosta ei voi perua
• tulos koskee myös sukulaisia
• tulos voi antaa tietoa vielä syntymättömistä lapsista
• taudin hoitokeinoja ei aina ole
• tulosten varmuus vaihtelee

Yleisimmät pelot kohdistuvatkin siihen, että kaupalliset geenitestiyritykset käyttävät saamaansa luottamuksellista genomitietoa väärin: Pelätään, että yksilötasoisia genomitietoja annetaan hallitsemattomasti (oikeudettomasti) ilman asiakkaan lupaa edelleen

• lääketeollisuudelle
• vakuutusyhtiöille
• pankeille
• työnantajille
• hallinnollisten sosiaalitukien päätösten tekoon
• isyyden tai muun sukulaisuuden selvittämiseen
• rikostutkintaan

Tai, että genomitiedot johtavat yksilön syrjintään esim. geneettisen sairastumisriskin perusteella.

Ovatko nämä uhkat totta vai ideologiaa yksilön kannalta? Entä jos kyseessä on yksilöllisyysharha yksittäisen geenitestatun henkilön genomin arvosta ja mielenkiintoisuudesta?

Yksilöä ei voi tunnistaa pelkän geenitestin tuloksen perusteella

Yksilön tunnistaminen pelkästään geenitietojen perusteella on kuitenkin käytännössä mahdotonta. Geenitiedon perusteella voidaan päätellä helposti jotain yksilöstä, esimerkiksi sukupuoli ja mihin sukuun kuuluu.

Jotta geenitieto voitaisiin yhdistää yksilöön, tietoa täytyisi voida vertailla yksilöltä itseltään tai eri rekistereistä saatavan muun tiedon kanssa. Tällöin henkilön tunnistus on mahdollinen.

Kun ajatellaan esimerkiksi tilannetta, että pöydän lasipinnalla on sormenjälki, niin sen perusteella ei voi päätellä, että yksilöllä on ruskeat silmät. Sormenjäljen perusteella henkilö voidaan tunnistaa vain, jos vertailujälki on jo olemassa poliisin rekisterissä.

Sama pätee geenitestin tulokseen. Vaikka geenitestin OCA2-geenin tietyn snp-variantin genotyyppitulos AA kertoo, että testatulla yksilöllä on todennäköisesti ruskeat silmät, niin tarvitaan yksilöivää vertailutietoa, jotta henkilö voidaan tunnistaa.

Korkean tietoturvan käyttöympäristö

Geenitestiyritykset hallinnoivat näytteitä, tekevät geenitestejä ja tarjoavat analyysipalveluita. Koska genomitiedot ovat yrityksen liiketoiminnan ydintä ja arkaluontoista henkilötietoa, ne halutaan ja ne täytyy suojata tehostetusti.

Geenitestiyritykset ovat usein korkean tietoturvan pioneereja – Mikä datan tallennuksen pilvivaihtoehto ja datan käsittelyn hiekkalaatikko ovat ne tietoturvallisimmat ratkaisut käsitellä massiivisia data-aineistoja.

Kun kuluttaja hankkii verkkokaupasta geenitestin, niin kotiin tulevassa näytteenottolaitteessa on tunnistekoodi. Geenitestiyritys saa tietää asiakkaan antamat yhteystiedot, miltä tietokoneelta ip-yhteys on luotu ja mitä pankkitiliä on käytetty maksutapahtumassa. Henkilötunnistetta (SOTU, ID) ei kysytä.

Asiakkaan näyte (posken limakalvolta, syljestä tai verestä), eristetty DNA, raakadata ja analyysitulokset tunnistetaan märkä DNA-laboratoriossa ja tietokannoissa näyteputken tunnistekoodin avulla. Geenitestiyritykset operoivat tunnistekoodilla. Koodattuja tietoja analysoidaan suljetussa, korkean tietoturvan käyttöympäristössä. Tietoturvan tasoa seurataan (auditoidaan) jatkuvasti ja pidetään huolta siitä, että se on ajan tasalla. Se on liiketoiminnan pihvi.

Suuri osa kuluttajien geenitestausyrityksistä korostaa, etteivät ne luovuta asiakkaan tietoja ulkopuoliselle 3-taholle. Kuitenkin, tietyt (korkean kliinisen laboratorion laatutason omaavat) geenitestausyritykset tekevät lääketeollisuusyhteistyötä esim. COVID-19 taudin genetiikan selitysroolin selvittämiseksi. Tällöin geenitestiyritys voi pyytää asiakkaalta lupaa käyttää hänen tietojaan ja kysyä lisää terveystietoja. Kun yritys saa asiakkaalta luvan ja lisätietoja, niin tilastotasoisia tietoja voidaan luovuttaa lääkeyritykselle anonyymeinä siten, että yksittäistä ihmistä ei voi tunnistaa.

Kansainväliset geenitestiyritykset ja globaalit lääketeollisuusyritykset eivät siis ole kiinnostuneita yksilötason geenituloksista, saati henkilötiedoista! Väestötason populaatiogenetiikka ja ei-tunnisteellinen anonymisoitu genomi- ja terveysdata ovat heidän musta kultansa – Se mistä louhitaan uusia snippejä (geenivariantteja) geenipaneeleihin ja täsmälääkehoitoihin. Isoissa aineistoissa melun ja analyysivirheiden määrä vähenee ja tilastolliset totuudet (syy-seuraussuhteet) tulevat esille.

Käy lukemassa miten globaali kuluttajien geenitestifirma 23andMe kertoo heidän omasta tietosuojastaan. 23andMe tekee tiivistä yhteistyötä USAn lääkeviranomaisen FDA:n kanssa ja on siten huomioitava esimerkki Suomen tulevalle genomitiedon asiantuntijaviranomaiselle, mitä kuluttajien geenitestiyrittäjiltä voidaan vaatia.

https://blog.23andme.com/23andme-and-you/it-starts-with-privacy/?fbclid=IwAR1LydoiHVhPXIKBULPTn87YW0RARv8qShidh3EOKlrhgmd_UrnURjafC-g

https://blog.23andme.com/23andme-and-you/data-privacy-certifications/

Yksilön tietosuoja

Kun asiakas antaa yritykselle tietoisen luvan säilyttää hänen DNA-näytteensä ja jatkokäyttää raakadatasta kertynyttä valtavaa tietomäärää, tulee variaatiotason analyysituloksista osa yrityksen viitetiedostoa eli anonyymia tilastotietoa. Tällöin asiakas voi myös saada (samaan hintaan) oman geenidatansa päivityksiä vuosien ajan ja jopa kutsun osallistua kysely- tai genominlaajuiseen tutkimukseen. Asiakkaan itsestään saama tieto voi kasvaa kumulatiivisesti.

Ohessa malli, miten kuluttaja voi antaa vapaaehtoisen suostumuksen geenitestin tekoon ja miten geenitestattava suojataan niin ettei yksilöä voi tunnistaa. Kontrollin tasoja on useita ja sinä asiakkaana päätät tietosuojan tasosi:  

1. Yrityksen käyttöehtojen ja rekisteriselosteen hyväksyminen (=tietoinen suostumus)
2. Lupa näytteen (tai eristetyn DNA:n) säilyttämiseen tunnistekoodattuna ilman asiakastietoja
3. Lupa raakadatan käyttämiseen tuotekehityksessä
4. Lupa variaatiodatan käyttöön tilastollisessa populaatiotutkimuksessa
5. Lupa kontaktoida osallistumisesta jatkotutkimukseen
6. Lupa kontaktoida uusista tuloksista
7. Oikeus tarkistaa ja seurata tietojensa käyttöä
8. Oikeus peruuttaa suostumus ja kieltää näytteensä sekä tietojensa jatkokäyttö, milloin tahansa

Vastaavasti asiakas voi heti oman tulosraporttinsa saatuaan (ja raakadatan ladattuaan) pyytää poistamaan näytteensä ja kaikki kertyneet asiakas- ja geenitiedot yrityksen rekistereistä. Tällöin tietty myös geeniraportti poistetaan ja alustalle pääsy evätään.

Periaatteessa ihmiset voivat siis luottaa siihen, että geenitestausyrityksissä näytteet ja tiedot ovat hyvässä suojassa luvattomalta väärinkäytöltä. Lisäksi, luvitetulla jatkokäytöllä näytteet ja tiedot voivat olla jopa hyväksi koko ihmiskunnalle, kun taistellaan globaaleja terveysriskejä kuten viruspandemioita vastaan. Tavallaan meidän kunkin genomi kuuluu ihmiskunnalle, ei yksilölle.

Miten rakennetaan väestötason luottamus, että yksilön tietoja ei käytetä oikeudettomasti häntä vastaan?

Tietosuojajupakassa on pohjimmiltaan kyse epäluottamuksesta geenitestiyritysten moraaliin ja etiikkaan. Pahimmillaan yrittäjiä kutsutaan käärmeöljykauppiaiksi. On tunnistettu, että terveysyritykset – kuten kaupalliset DNA-geenitestiyritykset – tarvitsevat valvontaa. Suomessa valvova taho tällä hetkellä on Valvira.

Miten sitten rakentaa yleistä luottamusta siihen, ettei yksilön tietoja käytetä väärin häntä vastaan ja että hänelle tahdotaan hyvää? Entä jos yksilön geenitestistä saama terveyshyöty onkin merkittävä muutostekijä paremman jaksamisen ja voinnin kannalta? Entä jos omaan DNA-ytimeensä tutustuminen onkin ihan ok ja että tästä geeniviihteestä tulee elämää rikastuttava kokemus?

Suomeen valmistellaan genomilakia, jolla tavoitellaan eettisiä periaatteita ja laillista säädösympäristöä, millä genomitietoa (geenitestejä) voidaan käyttää hallitusti terveydenhuollossa yksilön ja kansanterveyden tarpeista lähtien.

Puolueetonta tutkimustietoa geenitestauksen (yksittäisten geenitestien) terveyshyödyistä ja vaikuttavuudesta tarvitaan ennen kuin sopivaa lääkitystä, kansantautia tai syöpää ennakoivan geenitestin voi saada terveyskeskuskäynnillä.

Sosiaali- ja terveysministeriöllä (STM) on vilpitön halu rakentaa väestötason luottamusta, jolloin genomitieto voisi olla myös Suomen valtion tulovirran uusi musta kulta: Ekosysteemi, missä Suomi on houkutteleva tutkimus- ja liiketoimintaympäristö kotimaassa sekä ulkomailla toimiville yrityksille.

Tarvitaan kilpailukykyinen genomi- ja terveyspalveluiden yksityissektori ja sen mahdollistamia investointeja, työpaikkoja, verotuloja ja ALV-kertymää julkisen sektorin rattaiden pyörittämiseen.

Genomilaki säädetään

1. nimettävän viranomaistoimijan (genomikeskuksen) korkean tietoturvan takaamiseksi
2. tiedon oikeudettoman käytön estämiseksi
3. väestön luottamuksen ylläpitämiseksi, jotta
4. ihmiset kykenevät hyödyntämään genomitietoa omassa elämässään

Genomilaki on tulossa 3. lausuntokierrokselle syksyn 2020 kuluessa. Tietoturva ja tietosuoja-asiat ovat lainsäädännön keskiössä.

Hakkerien hyökkäykset paljastavat yritysten tietoturvan ja yksilön tietosuojan haavoittuvuuskohdat

Hakkereilla on keskeinen osuus osoittaa, miten haavoittuvia (tai kestäviä) yritysten tietoturva- sekä tietosuojaratkaisut ovat. He ovat taitavia tietokoneharrastajia, hyvässä ja pahassa.

Hakkerin työmaalle ja työkalupakkiin kuuluu mm henkilötieto ja miten sitä voi käyttää tietomurron välineenä. Henkilötiedoksi lasketaan mikä tahansa sellainen tieto, josta henkilön voi tunnistaa. Näitä tunnisteellisia tietoja ovat henkilötunnuksen (SOTU, ID) lisäksi esimerkiksi nimi, osoite, sähkö­postiosoite, puhelinnumero, tietokoneiden ip-osoitteet, pankkitiedot ja biometriset tunnisteet kuten sormenjälki, kasvojen tunnistus ja puhujan tunnistus.

Entä, voidaanko DNA-sukulaisuutta osoittavat DNA-segmentit lukea biometriseksi tunnisteeksi yksilön ja lähisukulaisten osalta?

Toistaiseksi en ole lukenut geenitestausyrityksiin kohdistuneista hakkeroinneista tai yksilön identiteettivarkaudesta, joka olisi tehty DNA-sukulaisuuden avulla. Kuten aiemmin totesin, meitä ihmisiä tuntuu vaivaavan yksilöllisyysharha. Voi olla, että genomirikollisuus (kyberiskut) realisoituu vasta kun kansainvälisillä geenitestiyrityksillä on DNA-biopankeissaan yli kymmenien miljoonien asiakkaiden näyte- ja tietovarannot.

Pelaa verkkokaupassa varman päälle

Kuluttajan geenitesteillä voi tällä hetkellä leikkimielisesti tunnistaa kuka on luonteeltaan Warrior (soturi) ja kuka Worrier (murehtija). Kyseessä on COMT-geenin tietyt snp-variantit.

Kun Warrior tai Worrier hankkii kuluttajan geenitestin, niin hän voi toteuttaa omaa riskinsietokykyään suhteessa tietoturvauhkaan.

Rohkea Warrior tilaa geenitestin verkkokaupasta omalla nimellään ja antaa luvan näytteensä ja datansa jatkokäyttöön yrityksen ja ihmiskunnan hyväksi. Henkilökohtaisen raakadatan ja tulosraportin hän säilöö oman tietokoneen kautta pilveen.

Vastaavasti arka Worrier voi tilata geenitestin esim. DiagFactorin geenineuvontapalvelun kautta, jolloin hänen henkilöydestään ei jää mitään tietoa testaavan yrityksen tietokantoihin. Tällöin näytteen ja datan tunnistekoodi on kytketty DiagFactor-yrityksen juokseviin asiakasnumeroihin, joissa ei ole henkilötunnistetta. DiagFactor puolestaan poistaa (pyydettäessä) asiakkaan kaikki tiedot geenitestausyrityksen tietokannoista, kun tulosten tulkinta eli geenineuvonta on tehty.

Tällöin tietty DiagFactor yritys itse voi olla tietomurron ja kiristyksen kohde.

Joten yhteenvetona, varovaisuuden ja tietoturvarikoksen osalta verkossa toimiva asiakas itse ja hänen tietokoneensa voi olla se tietomurron mahdollistava heikko lenkki. Kuitenkin, oman tietokoneen henkilötiedot (kuten maksuvälineet, salasanat, passin, henkilötodistuksen, testamentin, tallennetun raakadatan ja tulosraportit) voi suojata korotetulla pilvipalvelun turvatasolla, jolloin suoja mahdollisia (kansainvälisiä) identiteettivarkauksia vastaan on parempi.

Kun harkitset kuluttajan geenitestin hankkimista, suosittelen tutustumaan heti alkuun yritysten GDPR-ratkaisuihin. Niitä vertailemalla saat tietoa, miten eri yritykset suojaavat ja käsittelevät asiakastietojasi.

Lopuksi se tärkein geenikuiskaajan vinkki, miten voit suojata itsesi, kun asioit kansainvälisen tai kotimaisen geenitestiyrityksen verkkokaupassa – ole erityisen huolellinen sellaisten henkilötietojen luovuttamisen suhteen, joista sinut voit tunnistaa.

Mikäli joudut tietojen kalastelun, huijauksen, tietomurron tai identiteettivarkauksen uhriksi, niin toimi heti

Ohessa Iltalehdessä ollut katsaus 5 tilanteesta, joihin tietojen kaappaminen voi johtaa ja ohjeet miten toimia:

https://www.iltalehti.fi/digiuutiset/a/4eaf9d4f-7369-4208-9445-c60309b26eaa

Kyberturvallisuuskeskus tarjoaa myös seikkaperäiset ohjeet tilanteisiin, joissa henkilö on joutunut tietomurron kohteeksi. Asiasta kannattaa ilmoittaa Kyberturvallisuuskeskukselle sekä tehdä poliisille rikosilmoitus.

Liikenne- ja viestintäministeriö on avannut sivuston, jossa on ohjeet yksityisyyden suojaa rikkovan tietovuodon tai identiteettivarkauden kohdatessa sinut koskien esim. terveytietojen vuotamista verkkorikollisten käsiin:

https://tietovuotoapu.fi/fi/

Geenikuiskaajan blogin kirjoittaja Merja Auvinen on digitaalisen genomiterveysyhtiö DiagFactorin perustaja ja Suomen 1. geenineuvoja, Helsingin yliopiston filosofian tohtori ja syöpäbiologian dosentti sekä Aalto yliopiston Executive Education liikkeenjohdon executive MBA.

Merja on kirjoittanut ’Geenit ja minä’ e-kirjan sekä lukuisan joukon geenineuvonnan eri osa-alueiden geenioppaita. Hän on tehnyt pitkän uran akateemisena tutkijana, lääketeollisuuden tieteellisenä asiantuntijana ja terveysteknologian yrittäjänä. Hänen erityisosaamisalueisiinsa kuuluu myös ihmisten kohtaaminen NLP-valmennuksissa.