Under 2017 var marknaden för DNA-konsumenttjänster som 23andme, Ancestry och Myheritage, värd 99 miljoner dollar, motsvarande runt 895 miljoner kronor. År 2022 förväntas den siffran ha mer än tredubblats.
Men förutom att ta betalt av konsumenter för att de ska få sitt DNA analyserat, tjänar de här bolagen bland annat pengar på att sälja tillgång till sina användares anonymiserade data till en tredje part.
Nyligen investerade läkemedelsjätten Glaxo Smith Kline 300 miljoner dollar, motsvarande runt 2,7 miljarder kronor, i 23andme. Affären innebär att de inleder ett fyraårigt samarbete då läkemedelsbolaget får ta del av information från 23andmes databas för att utveckla nya mediciner.
För att datan ska få användas måste de som skickar in sitt DNA för analys ge sitt godkännande, vilket 80-90 procent av dem gör. Men få förstår vilka risker det faktiskt skulle kunna innebära, menar Stanfordforskaren Jennifer King.
“De är motiverade av idén att datan kan göra gott, men de flesta har inte tagit reda på vad det betyder, säger Jennifer King, som är ansvarig för konsumentintegritetsfrågor på centret för integritet och samhälle på juristutbildningen vid Stanforduniversitetet.
Hon menar att det är genialt att man kan ge någon insikt om saker de inte skulle kunna ta reda på någon annanstans, och samtidigt få dem att känna att de hjälper samhället.
“Men jag sätter citationstecken runt ‘hjälpa samhället”-delen’. Det finns ingen försäkring om att det gagnar samhället”, säger hon.
Som svar på frågan vem som äger datan skriver en talesperson från 23andme i ett mejl till Di Digital:
“Våra kunder äger sin data. Vi säljer inte individuell kundinformation eller inkluderar någon kundinformation i våra forskningsprogram utan en individs frivilliga och informerade samtycke. Kunder kan välja att godkänna, eller inte, när som helst. Våra samtyckesavtal och integritetsredogörelser är publicerade på nätet.”
23andme är också noga med att säga att forskningen de bidrar till ses över av en tredje part “för att se till att den motsvarar alla legala och etiska standarder”.
Men på samma gång delas datan med exempelvis läkemedelsbolag, vilket gör att tydligheten kring vem som faktiskt äger rättigheterna till den blir oklar. Jennifer King tycker att användaravtalen är vaga och att mycket står i det finstilta.
“De dansar runt det”, säger hon.
Det finns än så länge, åtminstone i USA, inga formella gränser och regleringar för vad de kan göra med datan när de har samlat in den, menar Jennifer King. I USA finns endast lagen GINA (Genetic Information Nondiscrimination Act), som inte reglerar databaser utan att försäkringsbolag och arbetsgivare inte aktivt kan gå till DNA-tjänsterna och begära ut data.
I Europa är dock skyddet bättre, med GDPRs regler kring godkännanden och “rättigheten att bli glömd”.
Det går heller inte att säga vad som kommer att hända med de här bolagen i framtiden och vart datan då tar vägen.
“Medicinutveckling är kanske det bästa sättet som den här datan kommersialiseras på, för då används den ändå i en medicinsk kontext. Men det finns ingen anledning till varför den inte skulle kunna användas i en annonskontext, säger Jennifer King.
Hon ger exempel som riktad reklam om något så trivialt som öronvax, men frågan är var gränsen går. Ett annat, mer obehagligt, scenario som hon målar upp är om datan skulle användas för att granska någons bakgrund mer ingående för att specifiera matchningar på dejtingsajter, exempelvis utifrån etnisk bakgrund.
“Det finns också politiska scenarion med regimer som vill utesluta en viss etnisk grupp eller säga nej till medborgarskap”, säger hon.
"Jag sätter citationstecken runt hjälpa samhället"
Oron kring hur datan kan användas har blivit större bland Jennifer Kings kollegor sedan Cambrige Analytica-skandalen, där uppgifter om Facebook-användare användas till att påverka väljare i det amerikanska presidentvalet 2016. DNA-tjänsterna kan också hackas och informationen hamna på villovägar.
“En av de sakerna jag oroar mig över är hackare från Kina eller Ryssland, som inte bara stjäl publik data utan företagsdata och använder det för att träna artificiell intelligens för stora data”, säger hon.
Datan skulle också kunna användas för finansiell utpressning, som i fall där hälsoinformation har stulits från sjukhus som har betalat för att få tillbaka den eller säljas till försäkringsbolag.
Samtidigt säger Jennifer King att det trots risker och orosmål finns synnerligen goda skäl till varför människor tar de här testen. Förutom nyfikenhet kan det leda till att man hittar familjemedlemmar, långväga släktingar eller får reda på nödvändig hälsoinformation.
Bolagen har satt upp användarvillkor som är tillgängliga för konsumenter och anser sig ha rigorösa processer för att skydda deras uppgifter med bland annat brandväggar, säkerhetssystem och att lagra persondata separat från DNA-resultat.
Som användare kan man också begära sitt DNA-prov tillbaka och be att få bli borttagen i en databas, genom att kontakt med till exempel 23andme direkt.
Läs också: DNA-bolaget 23andme uppges ta in 1,6 miljarder
I juni i fjol rapporterade tidningen Fast Company att den amerikanska konkurrensmyndigheten FTC just nu utreder 23andmes och Ancestrys policys för att hantera person- och DNA-information och hur den delas med tredje part. Det är dock inget FTC kommenterar.
I augusti förra året gick flera av DNA-tjänsterna ut med att man, i samarbete med organisationen Future of Privacy Forum, ska följa vissa uppsatta riktlinjer i sina användaravtal. Det handlar bland annat att be om extra “snabblov” från användare när data ska lämnas över till tredje part och att publicera “transparensrapporter” om verksamheten varje år.
Det Jennifer King vill se från de här bolagen i framtiden är större samhällsnytta balanserat med större reglering. Idealscenariot vore om de inte gör partnerskap med privata aktörer, men det tror hon är för bra för att vara sant.
Läs också: Backing Minds-finansierade DNA-bolaget ska ta klamydiatester ut i Europa