Hvorfor sagsøger de 27 stater 23andMe?

De forsøger at forhindre det konkursramte selskab i at sælge kundernes genetiske data, og de påstår, at 23andMe ikke formåede at beskytte data og vildledte forbrugerne om alvoren af databruddet i 2023.

Hvor mange mennesker blev berørt af databruddet i 2023?

Ifølge søgsmålet afslørede bruddet følsomme helbredsoplysninger tilhørende næsten 7 millioner mennesker.

Kan 23andMe’s genetiske data sælges til en ny ejer?

Søgsmålet argumenterer for, at data under en konkurs kan overføres til en køber, der ikke er bundet af de oprindelige samtykkevilkår. Nogle stater, såsom Florida, forbyder sådanne salg uden udtrykkeligt samtykke, men ikke alle stater har denne beskyttelse.

Hvorfor kan værktøjer som VPN’er ikke holde genetiske data private?

VPN’er og kryptering beskytter data under overførsel, men genetiske data indsamles fra en fysisk spytprøve og gemmes på virksomhedsservere. Fra det tidspunkt finder intet netværksbaseret værktøj anvendelse, og privatliv afhænger udelukkende af virksomhedens sikkerhed og juridiske garantier.

Hvordan vildledte 23andMe angiveligt kunderne efter bruddet?

Sammenslutningen hævder, at 23andMe nedtonede hændelsens omfang, så kunderne ikke forstod, hvor alvorlig den var, og muligvis forhindrede dem i at beskytte sig selv eller anmode om datasletning.

27 stater sagsøger 23andMe for at blokere salg af genetiske data efter databrud i 2023

27 stater og District of Columbia har anlagt sag mod 23andMe for at forhindre det konkursramte DNA-testselskab i at sælge kundernes genetiske data. Søgsmålet, der er indgivet ved konkursdomstolen, tager udgangspunkt i et databrud i 2023, der afslørede følsomme helbredsoplysninger tilhørende næsten 7 millioner mennesker, og argumenterer for, at 23andMe vildledte forbrugerne om alvoren af den hændelse. På spil står de genetiske data fra anslået 15 millioner kunder, der aldrig har givet samtykke til, at deres mest intime biologiske oplysninger bliver bortauktioneret til højestbydende.

Denne sag handler ikke kun om virksomheds uagtsomhed. Den rejser et sværere og mere ubehageligt spørgsmål for privatlivsbevidste forbrugere: Hvad sker der, når privatlivsrisikoen ikke er en adgangskode, en IP-adresse eller en e-mail, men selve dit DNA?

Hvad søgsmålet konkret påstår

Sammenslutningen af statsadvokater argumenterer på to hovedfronter. For det første, at 23andMe ikke formåede at beskytte brugerdata tilstrækkeligt før og under databruddet i 2023, hvilket efterlod millioner af kunder sårbare over for skader, de ikke havde nogen mulighed for at forudse. For det andet, at virksomheden nedtonede hændelsens omfang og vildledte kunder, der ellers kunne have grebet ind for at beskytte sig selv eller anmode om sletning af deres data.

Nu hvor 23andMe har indgivet konkursbegæring, er bekymringen, at genetiske data indsamlet under ét sæt løfter kan blive overført til en ny ejer, der opererer under helt andre politikker. Kunder, der oprindeligt gav samtykke til at dele deres DNA til slægtsforskning eller sundhedsindsigter, risikerer at få deres data opslugt af en ukendt tredjepart, der ikke er forpligtet til at overholde de oprindelige servicevilkår.

Flere stater har allerede love, der specifikt adresserer dette scenarie. Florida forbyder for eksempel salg af genetiske data uden udtrykkeligt kundesamtykke, understøttet af strafferetlige sanktioner og bøder. Men ikke alle stater har sådanne beskyttelser, hvilket netop er grunden til, at et koordineret søgsmål på tværs af flere stater blev nødvendigt.

Hvorfor dine privatlivsværktøjer ikke kan beskytte genetiske data

Dette er den del af historien, de fleste dækninger af digitalt privatliv springer over. VPN’er, krypterede beskedapps, private browsere og lignende værktøjer er effektive til at beskytte én kategori af data: information, du sender eller genererer digitalt. De kan skjule din IP-adresse, din browserhistorik og din kommunikation for aflytning.

Men de kan intet gøre ved data, du allerede frivilligt har givet fra dig i fysisk form. Når du sender en spytprøve til et DNA-testselskab, finder ingen form for netværksbaseret privatlivsbeskyttelse anvendelse. Data indsamles, behandles og gemmes på virksomhedens servere. Fra det øjeblik afhænger dit privatliv helt af virksomhedens sikkerhedspraksis, dens kontraktlige forpligtelser og den retslige beskyttelse, der er tilgængelig i din jurisdiktion.

Denne skelnen er vigtig, fordi den ændrer risikoens karakter. Ved de fleste trusler mod digitalt privatliv har brugerne løbende handlefrihed. Du kan stoppe med at bruge en tjeneste, slette dine data eller skifte til et mere privat alternativ. Med genetiske data er informationen uforanderlig. Dit DNA kan hverken ændres, nulstilles eller tilbagekaldes. Når det først er kompromitteret eller solgt, er eksponeringen permanent.

Hvad dette betyder for dig

Hvis du er 23andMe-kunde, betyder søgsmålet, at der i øjeblikket er en aktiv juridisk indsats for at forhindre dine data i at blive solgt uden dit samtykke. Retssager tager dog tid, og udfald er aldrig garanterede ved en konkursdomstol, hvor kreditorernes interesser ofte står i direkte konkurrence med forbrugerbeskyttelse.

Der er konkrete skridt, det kan betale sig at tage nu. For det første, tjek om du allerede har indsendt en anmodning om datasletning til 23andMe. Selskabet har historisk tilbudt denne mulighed, og selvom konkursprocessen komplicerer tingene, skaber en formel sletteanmodning en dokumentation for din hensigt. For det andet, gennemgå de samtykkeaftaler, du underskrev, da du oprettede din konto, da disse dokumenter kan beskrive dine rettigheder under en virksomhedsoverdragelse.

Ud over 23andMe specifikt er denne sag en nyttig anledning til at tænke mere bredt over genetisk privatliv. Enhver tjeneste, der indsamler biometriske eller biologiske data – uanset om det er til sundhed, fitness, slægtsforskning eller forskning – ligger inde med oplysninger, der falder uden for rækkevidden af konventionelle privatlivsværktøjer. Den juridiske ramme, der beskytter disse data, varierer betydeligt fra stat til stat og er stadig ved at indhente teknologien.

For dem der er interesserede i, hvordan den bredere privatlivslovgivning udvikler sig i USA, giver Lofgren-Tillis-lovforslaget et nyttigt indblik i, hvordan lovgivere tænker om digitale datarettigheder og begrænsningerne i den eksisterende beskyttelse.

Det større billede af datamæglerrisikoen

23andMe-situationen minder os også om, hvordan datamægleres økosystemer fungerer. Selv data indsamlet til et uskyldigt formål kan ende i hænderne på parter, hvis intentioner og praksis er helt ukendte for den oprindelige forbruger. Konkurssalg er én vej, dette kan ske på. Virksomhedsopkøb, datalicensaftaler og sikkerhedsbrud er andre.

Genetiske data er blandt de mest følsomme kategorier af personoplysninger, der findes. De kan afsløre dispositioner for sygdomme, familiære relationer og etnisk herkomst. I de forkerte hænder kan de blive brugt af forsikringsselskaber, arbejdsgivere eller retshåndhævende myndigheder på måder, forbrugerne aldrig har forudset eller sagt ja til.

Sagsanlægget fra flere stater mod 23andMe er et vigtigt tidspunkt for genetiske privatlivsrettigheder i USA. Uanset om det lykkes at blokere salget, har det allerede vist, at delstatsadvokater er villige til at koordinere aggressivt omkring forbrugerdatasager, og at genetiske data i stigende grad behandles som en kategori, der fortjener øget retlig beskyttelse.

Hvis du har genetiske data gemt hos et testselskab, er det nu, du skal gennemgå dine kontoindstillinger, forstå dine sletterettigheder og tænke dig grundigt om, før du indsender biologiske data til nogen tjeneste i fremtiden. Ingen VPN kan beskytte dit DNA, men informerede beslutninger, før du deler data, er det mest effektive privatlivsværktøj, der findes.