Waarom klagen de 27 staten 23andMe aan?

Ze proberen te voorkomen dat het failliete bedrijf genetische klantgegevens verkoopt, en stellen dat 23andMe tekortschoot in de bescherming van data en consumenten misleidde over de ernst van het datalek in 2023.

Hoeveel mensen werden getroffen door het datalek in 2023?

Volgens de rechtszaak lekte het datalek gevoelige gezondheidsinformatie van bijna 7 miljoen mensen.

Kan de genetische data van 23andMe worden verkocht aan een nieuwe eigenaar?

De rechtszaak stelt dat de gegevens in faillissement kunnen worden overgedragen aan een koper die niet gebonden is aan de oorspronkelijke toestemmingsvoorwaarden. Sommige staten, zoals Florida, verbieden dergelijke verkoop zonder expliciete toestemming, maar niet alle staten kennen die bescherming.

Waarom kunnen tools zoals VPN's genetische data niet privé houden?

VPN's en encryptie beschermen gegevens tijdens verzending, maar genetische data wordt verzameld uit een fysiek speekselmonster en op bedrijfsservers opgeslagen. Vanaf dat moment is geen enkele tool op netwerkniveau van toepassing en hangt privacy uitsluitend af van de beveiliging en juridische waarborgen van het bedrijf.

Hoe heeft 23andMe klanten naar verluidt misleid na het datalek?

De coalitie beweert dat 23andMe de omvang van het incident bagatelliseerde, waardoor klanten niet beseften hoe ernstig het was en mogelijk werden weerhouden van stappen om zichzelf te beschermen of gegevensverwijdering aan te vragen.

27 Staten klagen 23andMe aan om verkoop genetische data na datalek in 2023 te blokkeren

Zevenentwintig staten en het District of Columbia hebben een rechtszaak aangespannen tegen 23andMe om te voorkomen dat het failliete DNA-testbedrijf de genetische gegevens van zijn klanten verkoopt. De rechtszaak, aangespannen bij de faillissementsrechtbank, draait om een datalek in 2023 waarbij gevoelige gezondheidsinformatie van bijna 7 miljoen mensen op straat kwam te liggen. De aanklagers stellen dat 23andMe consumenten heeft misleid over de ernst van dat incident. Op het spel staan de genetische gegevens van naar schatting 15 miljoen klanten die nooit toestemming hebben gegeven om hun meest intieme biologische informatie aan de hoogste bieder te veilen.

Deze zaak is niet alleen een verhaal over nalatigheid van een bedrijf. Het roept een moeilijkere, ongemakkelijkere vraag op voor privacybewuste consumenten: wat gebeurt er wanneer het privacyrisico niet een wachtwoord, een IP-adres of een e-mail is, maar je eigen DNA?

Wat de rechtszaak feitelijk beweert

De coalitie van procureurs-generaal voert aan op twee hoofdfronten. Ten eerste dat 23andMe er niet in is geslaagd om gebruikersdata voor en tijdens het datalek in 2023 adequaat te beschermen, waardoor miljoenen klanten werden blootgesteld aan schade die ze onmogelijk konden voorzien. Ten tweede dat het bedrijf de omvang van het incident bagatelliseerde en klanten zo misleidde, terwijl die anders wellicht maatregelen hadden genomen om zichzelf te beschermen of verwijdering van hun gegevens te vragen.

Nu 23andMe faillissement heeft aangevraagd, bestaat de vrees dat genetische data die onder één set beloften is verzameld, kan worden overgedragen aan een nieuwe eigenaar die onder totaal ander beleid opereert. Klanten die oorspronkelijk toestemming gaven om hun DNA te delen voor stamboomonderzoek of gezondheidsinzichten, kunnen die gegevens zien overgaan in handen van een onbekende derde partij die niet verplicht is de oorspronkelijke gebruiksvoorwaarden na te leven.

Verschillende staten hebben al wetten die specifiek op dit scenario inspelen. Florida bijvoorbeeld verbiedt de verkoop van genetische data zonder uitdrukkelijke toestemming van de klant, met strafrechtelijke sancties en boetes als stok achter de deur. Maar niet elke staat kent dergelijke bescherming, en juist daarom was een gecoördineerde rechtszaak vanuit meerdere staten noodzakelijk.

Waarom je privacytools genetische data niet kunnen beschermen

Dit is het deel van het verhaal dat in de meeste berichtgeving over digitale privacy wordt overgeslagen. VPN's, versleutelde chat-apps, privébrowsers en soortgelijke tools zijn effectief in het beschermen van één categorie gegevens: informatie die je digitaal verzendt of genereert. Ze kunnen je IP-adres, je browsergeschiedenis en je communicatie afschermen van onderschepping.

Maar ze kunnen niets doen aan gegevens die je al vrijwillig in fysieke vorm hebt overhandigd. Wanneer je een speekselmonster naar een DNA-testbedrijf stuurt, is geen enkele vorm van privacybescherming op netwerkniveau van toepassing. De gegevens worden verzameld, verwerkt en opgeslagen op de servers van het bedrijf. Vanaf dat moment hangt je privacy volledig af van de beveiligingspraktijken van het bedrijf, zijn contractuele verplichtingen en de juridische bescherming in jouw rechtsgebied.

Dit onderscheid is belangrijk omdat het de aard van het risico verandert. Bij de meeste digitale privacydreigingen hebben gebruikers voortdurend zelf de regie. Je kunt stoppen met een dienst, je gegevens wissen of overstappen op een privacyvriendelijker alternatief. Bij genetische data is de informatie onveranderlijk. Je DNA kan niet worden veranderd, gereset of ingetrokken. Zodra het is gelekt of verkocht, is de blootstelling permanent.

Wat dit voor jou betekent

Als je klant bent van 23andMe, betekent de rechtszaak dat er momenteel een actieve juridische inspanning loopt om te voorkomen dat jouw gegevens zonder jouw toestemming worden verkocht. Juridische procedures kosten echter tijd, en de uitkomst is nooit gegarandeerd in een faillissementsrechtbank, waar de belangen van schuldeisers vaak rechtstreeks botsen met consumentenbescherming.

Er zijn concrete stappen die je nu al kunt zetten. Controleer eerst of je al een verzoek tot gegevensverwijdering bij 23andMe hebt ingediend. Het bedrijf heeft deze optie van oudsher aangeboden, en hoewel het faillissementsproces de zaken ingewikkelder maakt, creëert het indienen van een formeel verwijderingsverzoek een gedocumenteerd bewijs van jouw intentie. Bekijk ten tweede de toestemmingsovereenkomsten die je hebt ondertekend bij het aanmaken van je account; deze documenten kunnen jouw rechten schetsen bij een bedrijfsoverdracht.

Los van 23andMe specifiek, is deze zaak een nuttige aanleiding om breder na te denken over genetische privacy. Elke dienst die biometrische of biologische gegevens verzamelt – of het nu voor gezondheid, fitness, stamboomonderzoek of onderzoeksdoeleinden is – beheert informatie die buiten het bereik van conventionele privacytools valt. Het wettelijke kader dat die gegevens beschermt, verschilt aanzienlijk per staat en loopt nog achter op de technologie.

Voor wie geïnteresseerd is in hoe bredere privacywetgeving in de Verenigde Staten zich ontwikkelt, biedt de Lofgren-Tillis Bill een nuttig inkijkje in hoe wetgevers denken over digitale gegevensrechten en de grenzen van bestaande bescherming.

Het grotere plaatje rond het risico van datahandelaren

De situatie rond 23andMe herinnert ons ook aan de manier waarop ecosystemen van datahandelaren werken. Zelfs gegevens die voor een onschuldig doel zijn verzameld, kunnen terechtkomen bij partijen wier bedoelingen en werkwijzen voor de oorspronkelijke consument volledig onbekend zijn. Faillissementsverkopen zijn één route waarlangs dit kan gebeuren. Bedrijfsovernames, datalicentieovereenkomsten en beveiligingslekken zijn andere.

Genetische data behoort tot de meest gevoelige categorieën persoonlijke informatie die er bestaan. Het kan aanleg voor ziektes, familierelaties en etnische afkomst onthullen. In verkeerde handen kan het worden gebruikt door verzekeraars, werkgevers of wetshandhavingsinstanties op manieren die consumenten nooit hebben voorzien of waarmee ze niet hebben ingestemd.

De rechtszaak van meerdere staten tegen 23andMe is een belangrijk moment voor het recht op genetische privacy in de Verenigde Staten. Of het lukt de verkoop te blokkeren of niet, de zaak heeft al laten zien dat procureurs-generaal van staten bereid zijn stevig gecoördineerd op te treden op het gebied van consumentendata, en dat genetische gegevens steeds vaker worden behandeld als een categorie die verhoogde wettelijke bescherming verdient.

Als je genetische gegevens hebt opgeslagen bij welk testbedrijf dan ook, is dit het moment om je accountinstellingen te controleren, inzicht te krijgen in je recht op verwijdering, en goed na te denken voordat je in de toekomst biologische gegevens aan welke dienst dan ook verstrekt. Geen enkele VPN kan je DNA beschermen, maar geïnformeerde beslissingen voordat je gegevens deelt, zijn het krachtigste privacymiddel dat er is.