← Tillbaka till bloggen DATASKYDD

Ditt genom enligt GDPR: Varför EU:s dataskyddslagstiftning är guldstandarden för genetisk information

Mars 2026 7 minuters läsning

Ditt genom är den mest personliga information du har. Det är oföränderligt, unikt identifierande och i sig familjärt – det avslöjar information inte bara om dig själv, utan även om dina biologiska släktingar. Till skillnad från ett lösenord eller till och med ett fingeravtryck kan genomdata inte ändras om de läcker ut. Det rättsliga ramverket som reglerar hur dessa uppgifter samlas in, behandlas och skyddas är viktigare än för någon annan kategori av personuppgifter.

Vad som utmärker genetiska data

Ur ett dataskyddsperspektiv har genetiska uppgifter flera egenskaper som skiljer dem från andra typer av personuppgifter:

  • Beständighet: Ditt genom förändras inte. En dataintrång som rör genomdata medför en permanent exponering – det finns inget som motsvarar att byta lösenord.
  • Identifierbarhet: Genomdata är i sig identifierande. Även ofullständiga genomdata kan användas för att återidentifiera individer, vilket har visats i flera fall inom den rättsmedicinska genealogin.
  • Ärftlighet: Dina genetiska data innehåller information om dina biologiska föräldrar, syskon och barn. En dataintrång påverkar inte bara den enskilde individen – det påverkar hela den biologiska familjen.
  • Förutsägbarhet: Genetiska data kan ge en bild av framtida hälsotillstånd, vilket skapar risk för diskriminering inom försäkringsbranschen, på arbetsmarknaden och inom andra områden om uppgifterna används på ett olämpligt sätt.

Dessa egenskaper innebär att genetiska uppgifter kräver den högsta nivån av rättsligt skydd – inte bara företagsriktlinjer, utan bindande lagstiftning med konkreta påföljder vid överträdelser.

Hur GDPR klassificerar genetiska uppgifter

Den allmänna dataskyddsförordningen (GDPR), som trädde i kraft i maj 2018, klassificerar genetiska uppgifter som ”känsliga personuppgifter” enligt artikel 9. Detta är den strängast skyddade kategorin i EU-lagstiftningen, tillsammans med uppgifter om hälsa, ras eller etniskt ursprung, biometriska uppgifter och sexuell läggning.

Behandling av uppgifter som tillhör särskilda kategorier är som utgångspunkt förbjuden. Den är endast tillåten på grundval av ett begränsat antal rättsliga grunder – varav den mest relevanta för genomik är uttryckligt samtycke (artikel 9.2 a). Detta är en strängare kravnivå än grunderna ”berättigat intresse” eller ”avtalsenlig nödvändighet” som gäller för vanliga personuppgifter.

I praktiken innebär detta:

  • Ett genomikföretag får inte behandla dina genetiska uppgifter på grundval av en förmarkerad kryssruta eller en dold klausul i användarvillkoren. Samtycket måste vara frivilligt, specifikt, informerat och entydigt.
  • Samtycket kan återkallas när som helst (artikel 7.3), och den personuppgiftsansvarige måste då upphöra med behandlingen och, på begäran, radera uppgifterna.
  • Uppgifterna får endast användas för de specifika ändamål som samtycke har givits till. För varje nytt ändamål krävs ett nytt samtycke.

De rättigheter som GDPR ger dig när det gäller ditt genom

Enligt GDPR har enskilda personer en rad omfattande rättigheter när det gäller sina personuppgifter. När det gäller genetiska uppgifter är följande de mest relevanta:

  • Rätt till tillgång (artikel 15): Du kan begära en fullständig kopia av alla genetiska uppgifter som finns lagrade om dig, tillsammans med information om hur de behandlas och till vem de har lämnats ut .
  • Rätt till radering (artikel 17): Du kan begära att dina genetiska uppgifter raderas permanent. Den personuppgiftsansvarige måste efterkomma begäran inom 30 dagar.
  • Rätt till dataportabilitet (artikel 20): Du kan begära att få dina uppgifter i ett strukturerat, maskinläsbart format och överföra dem till en annan leverantör.
  • Rätt till begränsning av behandlingen (artikel 18): Du kan begära att behandlingen avbryts tills en tvist eller invändning har lösts.
  • Rätt att göra invändningar (artikel 21): Du har rätt att invända mot vissa typer av behandling, inklusive profilering.

Detta är inte frivilliga artighetsgester. Det handlar om rättsligt bindande rättigheter som stöds av tillsynsmyndigheter med befogenhet att utfärda böter på upp till 4 % av den globala årsomsättningen eller 20 miljoner euro.

GDPR jämfört med dataskyddet för genetiska uppgifter i USA

USA har ingen federal motsvarighet till GDPR när det gäller genetiska uppgifter. Den befintliga lagstiftningen är splittrad:

  • GINA (2008): Förhindrar genetisk diskriminering från sjukförsäkringsbolag och arbetsgivare, men omfattar inte livförsäkring, vårdförsäkring eller invaliditetsförsäkring. Lagen säger ingenting om databehandling, lagring eller skyldigheter vid dataintrång.
  • HIPAA: Gäller endast berörda enheter (vårdgivare, försäkringsbolag) och deras samarbetspartner. Företag inom konsumentgenomik som säljer direkt till konsumenter räknas vanligtvis inte som berörda enheter.
  • Delstatslagar: Ett lapptäcke. Illinois, Kalifornien och några andra delstater har antagit lagar om integritetsskydd för genetiska uppgifter, men de flesta delstater har inga specifika lagar om skydd av genetiska uppgifter.

Följden blir att ett amerikanskt genomikföretags integritetspolicy i de flesta fall är ett frivilligt åtagande – inte en rättslig skyldighet. Om företaget byter ägare, går i konkurs eller helt enkelt beslutar att uppdatera sina villkor kan policyn ändras. Det finns ingen federal tillsynsmyndighet som specifikt har till uppgift att se till att skyddet av genetiska uppgifter efterlevs.

Varför jurisdiktion – och inte bara politik – spelar roll

Det viktiga att förstå är att GDPR:s skyddsbestämmelser är jurisdiktionsbaserade. De gäller för uppgifter som behandlas inom EU, oavsett den registrerades nationalitet eller i vilket land det företag som samlat in uppgifterna är registrerat. Om ditt genom sekvenseras och analyseras i ett laboratorium inom EU reglerar GDPR hela uppgifternas livscykel – från mottagandet av provet till raderingen av uppgifterna.

Det innebär att även om du är bosatt i USA omfattas dina genetiska uppgifter som behandlas inom EU av GDPR:s skydd. Detta är inte en funktion som du måste aktivera. Det är en automatisk följd av var behandlingen sker.

Dante Labs partnerlaboratorium ligger i Italien – ett EU-land. Varje genom som sekvenseras av Dante behandlas i enlighet med GDPR. Dina uppgifter får inte säljas, överlämnas till tredje part eller användas för något ändamål som du inte uttryckligen har samtyckt till – och detta garanteras av EU-lagstiftningen, inte av ett företagslöfte.

Vad detta innebär i praktiken

För den som överväger att genomföra en helgenomsekvensering bör frågan om dataskydd vara lika viktig som frågan om testets noggrannhet. De data du genererar är den mest personliga informationen som finns – och det rättsliga regelverket som reglerar detta avgör vad som får och inte får hända med dessa data, inte bara idag, utan under resten av ditt liv.

GDPR är inte en certifiering som man erhåller och visar upp. Det är den lagstiftning som gäller i det land där dina uppgifter behandlas. Och när det gäller genetiska uppgifter – som är bestående, identifierande, familjerelaterade och prediktiva – utgör den det starkaste skyddsramverket som finns i hela världen.

Läs hela vår sida om integritet och datastyrning →

Få nya inlägg från Dante Labs

Insikter inom genomik, produktnyheter och kliniska perspektiv – direkt till din inkorg.

Ett test. Svar för hela livet.

Ett kit som skickas hem till dig. Hela ditt genom sekvenseras enligt den kliniska standard som används vid diagnostiska beslut. Över 200 läkarvänliga rapporter levereras till din Genome Manager inom 6–8 veckor – de är permanenta och uppdateras i takt med vetenskapens framsteg.

Fri frakt över hela världen
Levereras inom 48 timmar
Resultat inom 6–8 veckor
Beställ mitt gentest

Levereras inom 48 timmar · Resultat inom 6–8 veckor

Dante Labs genomsats