Privacy bij internationale DNA-databanken

Als je je inschrijft in een DNA-databank geef je naast je DNA ook allerlei andere persoonlijke gegevens door. In de ene databank kan iemand bij een match gelijk contact met je opnemen. In de andere databank moet je een verzoek tot contact indienen met jouw match. Wat betekent dit voor jou? En hoe worden jouw gegevens beschermd?  

De meeste DNA-databanken geven aan dat jij zelf controle houdt over jouw data en dat je zelf beslist wat er met je gegevens gebeurt. Bij inschrijving geef je zelf toestemming om je DNA (en andere persoonlijke gegevens) te verwerken, op te slaan en te gebruiken bij matches. Deze toestemming kun je later weer intrekken. Je DNA en data worden dan vernietigd.
Je kunt ook onder een alias of bijnaam inschrijven, of alleen inititalen gebruiken zodat je niet (direct) je persoonlijke gegevens deelt.

Vaak zie je alleen jouw matches en de informatie waarop je matcht. Bij GEDmatch wordt nadrukkelijk aangegeven dat je bij aanmelding instemt met het delen van jouw persoonsgegevens met andere gebruikers.  

Bij inschrijving wordt ook vaak gevraagd of jouw (DNA-)gegevens (zonder jouw persoonlijke gegevens zoals je naam, adres en geboortedatum) gebruikt mogen worden voor onderzoek. DNA levert namelijk een schat aan informatie over jouw gezondheid en gezondheid in het algemeen. DNA-databanken gebruiken dit graag in wetenschappelijk onderzoek, uitgevoerd door henzelf of een andere organisatie. Dit is niet verplicht en eventuele toestemming kun je later weer intrekken. Gegevens die al zijn gebruikt in een onderzoek, zijn dan vaak niet terug te halen.  

Op grond van Amerikaanse wetgeving is het mogelijk dat Amerikaanse terrorisme-opsporingsdiensten toegang krijgen tot in de VS gevestigde databanken. Ook in Nederland kan het zijn dat de veiligheidsdiensten in uitzonderlijke omstandigheden toegang krijgen tot online beschikbare relevante persoonsgegevens. Hiervoor is een gerechtelijk bevel nodig en een DNA-databank zal die informatie niet zomaar delen. 

Er wordt in de media en politiek gesproken over de betrouwbaarheid en privacy van deze internationale databanken. Zo is er in juni 2018 een datalek geweest bij My Heritage. En kondigt 23andMe aan data te delen met een groot farmaceutisch bedrijf: GlaxoSmithKline (GSK). Delen van (jouw) data wordt alleen gedaan als jij toestemming hebt gegeven voor het gebruik van jouw data voor onderzoek.

In september 2018 besteedde Radar aandacht aan de privacy bij internationale DNA-databanken. Fiom reageerde op deze uitzending

Het is altijd verstandig om de ontwikkelingen van de DNA-databanken te blijven volgen en de privacyverklaring of het reglement van de DNA-databank waar jij je inschrijft te lezen. Zodat je weet waar je aan toe bent, hoe zij omgaan met de DNA-data die zij van jou verkrijgen en jouw overige persoonlijke gegevens. Per databank kan dit anders zijn.

Algemene Verordening Gegevensbescherming

In de Europese Unie (EU) is sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze verordening ziet toe op de verwerking van jouw persoonlijke gegevens. Ook bij bedrijven die DNA-matching aanbieden. In de hele Europese Unie geldt dezelfde privacywetgeving. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Deze term kom je tegen als je de privacyverklaringen van de internationale DNA-databanken doorneemt.  

De AVG is van toepassing op vrijwel alle organisaties die persoonsgegevens van mensen uit de EU verwerken door middelen van de aangeboden diensten. Ongeacht of de organisatie fysiek in de Europese Unie is gevestigd. Dus ook internationale DNA-databanken zijn sinds de inwerkingtreding van de AVG aan deze regels gebonden, als ze hun diensten aanbieden aan ingezetenen van een EU-lidstaat, zoals Nederland. Ze hebben hun privacyverklaring en de uitvoering hiervan moeten aanpassen. In Nederland houdt de Autoriteit Persoonsgegevens toezicht op de naleving van de wettelijke regels.

Om te voldoen aan de vereisten van gegevensbescherming bij de overdracht van persoonsgegevens uit de EU naar de Verenigde Staten - dus als je je als Europeaan inschrijft in een Amerikaanse DNA-databank - is er een ‘Privacy Shield Framework’ ontwikkeld. Dit zorgt ervoor dat het verwerken van jouw persoonsgegevens, waaronder jouw DNA-data, door bedrijven buiten de Europese Unie op een veilige en verantwoorde wijze gebeurd.  

Meer lezen over privacy