Californië klaagt 23andMe aan vanwege datalek van genetische gegevens van 7 miljoen gebruikers

Californië klaagt 23andMe aan vanwege datalek van genetische gegevens van 7 miljoen gebruikers

De procureur-generaal van Californië heeft een rechtszaak aangespannen tegen DNA-testbedrijf 23andMe, nu opererend onder de naam Chrome Holding Co., vanwege de manier waarop het bedrijf is omgegaan met een datalek in 2023 dat de genetische en afstammingsgegevens van bijna 7 miljoen gebruikers blootlegde. De aanklacht draait om twee kernpunten: dat 23andMe er niet in is geslaagd om enkele van de meest gevoelige persoonsgegevens die er bestaan adequaat te beschermen, en dat het bedrijf klanten heeft misleid over hoe ernstig de blootstelling werkelijk was. Voor iedereen die nadenkt over privacybescherming bij datalekken van genetische gegevens is deze zaak een scherpe herinnering dat geen enkel privacyhulpmiddel of consumentengedrag deze uitkomst had kunnen voorkomen.

Wat de Californische rechtszaak tegen 23andMe daadwerkelijk aanvoert

De klacht van de procureur-generaal van Californië richt zich op het vermeende falen van 23andMe om passende beveiligingsmaatregelen te treffen voor gegevens die dna-profielen en gezondheidsrisico-informatie omvatten. Toen het datalek voor het eerst werd onthuld, wezen critici erop dat de publieke communicatie van het bedrijf de omvang van wat er was gecompromitteerd bagatelliseerde. De rechtszaak formaliseert die zorgen en stelt dat consumenten zijn misleid over de ernst van de blootstelling.

Wat deze zaak juridisch opvallend maakt, is dat genetische gegevens onder de Californische wet een bijzondere categorie vormen. In tegenstelling tot een gelekt e-mailadres of zelfs een creditcardnummer kan dna-data niet worden gewijzigd. Het is direct gekoppeld aan gezondheidskwetsbaarheden, familierelaties en afstamming, en dat is permanent. De staat voert aan dat 23andMe zowel een wettelijke als een ethische verplichting had om met die gegevens veel zorgvuldiger om te gaan dan het bedrijf kennelijk heeft gedaan.

Waarom genetische en gezondheidsgegevens een andere risicocategorie vormen

De meeste datalekken veroorzaken ernstige schade, maar inbreuken op genetische gegevens hebben gevolgen die veel verder reiken dan het individu. Je dna bevat informatie over je familieleden, inclusief mensen die nooit toestemming hebben gegeven om ook maar iets met een derde partij te delen. Het kan aanleg voor ziektes, etnische achtergrond en biologische familiebanden onthullen – details waar verzekeraars, werkgevers of kwaadwillenden nog jaren of decennia na een datalek misbruik van kunnen maken.

Dit is wat genetische gegevens onderscheidt van de inloggegevens en gedragsprofielen die de meeste bedrijfsdatalekken blootleggen. Voor je genoom bestaat er geen wachtwoordreset. Die realiteit legt een enorme verantwoordelijkheid bij bedrijven die dit soort informatie verzamelen en opslaan, en dat is precies het argument dat Californië voor de rechter brengt.

De situatie weerspiegelt bredere zorgen over hoe grote bedrijven met gevoelige gebruikersinformatie omgaan zonder dat daar betekenisvolle verantwoording tegenover staat. Zoals beschreven in de berichtgeving over de rechtszaak van de procureur-generaal van Texas tegen Netflix vanwege heimelijke gebruikersgegevensverzameling, zijn openbaar aanklagers in het hele land steeds vaker bereid om tech- en consumentenbedrijven aan te pakken die de persoonlijke gegevens die ze verzamelen misbruiken of onvoldoende beschermen.

Wat een vpn wel en niet kan doen na een bedrijfsdatalek

Dit is een zaak die een eerlijke inkadering verdient voor privacybewuste lezers. Een vpn is een waardevol hulpmiddel om je internetverkeer te versleutelen, je ip-adres af te schermen voor websites en adverteerders, en je activiteit op openbare netwerken te beschermen. Dat zijn echte en zinvolle voordelen.

Maar het datalek bij 23andMe was geen kwestie van iemand die data onderschepte tijdens verzending ervan. Het was een fout in de eigen systemen van het bedrijf, met gegevens die gebruikers jaren eerder al hadden ingediend. Een vpn die op het moment van het lek op je apparaat actief was, zou niets hebben gedaan om de dna-profielen in de database van 23andMe te beschermen.

Dit onderscheid is belangrijk, omdat consumenten soms wordt voorgehouden dat privacyhulpmiddelen zoals een vpn een alomvattend schild rond hun digitale leven vormen. Dat doen ze niet. Zodra je gegevens aan een derde partij toevertrouwt, hangt je bescherming volledig af van de beveiligingspraktijken, wettelijke verplichtingen en transparantie van dat bedrijf wanneer er iets misgaat. De rechtszaak tegen 23andMe suggereert dat ten minste één van die waarborgen op meerdere punten heeft gefaald.

Praktische stappen om jouw blootstelling te beperken – verder dan een vpn

Begrijpen wat de beperkingen zijn van een enkel privacyhulpmiddel is de eerste en belangrijkste stap. Van daaruit kunnen een paar concrete gewoontes je risico bij bedrijven die gevoelige gegevens bewaren, daadwerkelijk verkleinen.

Wees selectief in wat je deelt. Genetische testdiensten zijn consumentenproducten met echte privacy-afwegingen. Controleer voordat je een dna-monster instuurt het beleid voor dataretentie van het bedrijf, de geschiedenis van verzoeken om gegevens door wetshandhavingsinstanties, en wat er met jouw gegevens gebeurt als het bedrijf wordt overgenomen of failliet gaat. De faillissementsprocedure van 23andMe heeft al afzonderlijke zorgen opgeroepen over wat er met de database gebeurt.

Bekijk en gebruik verwijderopties. Veel genetische testbedrijven bieden de mogelijkheid om jouw opgeslagen dna-gegevens en accountinformatie te verwijderen. Als je een dienst hebt gebruikt en je gegevens niet langer bewaard wilt zien, maak dan gebruik van dat recht. Niet alle bedrijven maken dit eenvoudig, maar het is vaak wel beschikbaar.

Lees meldingen van datalekken zorgvuldig. Bedrijven zijn wettelijk verplicht je te informeren over in aanmerking komende datalekken, maar zoals de rechtszaak in Californië illustreert, kan de formulering van die meldingen de werkelijke omvang van de schade onderbelichten. Als je een datalekmelding ontvangt, neem die dan serieus, ongeacht de bewoordingen, en raadpleeg onafhankelijke berichtgeving voor een vollediger beeld.

Begrijp wat toestemming eigenlijk dekt. Je aanmelden voor een dienst betekent dat je akkoord gaat met het privacybeleid van dat bedrijf, maar dat beleid bevat vaak ruime bewoordingen over het delen van gegevens met derden. Genetische gegevens, medische dossiers en biometrische informatie verdienen extra aandacht voordat je op ‘accepteren’ klikt.

Wat dit voor jou betekent

De rechtszaak van de procureur-generaal van Californië tegen 23andMe is niet slechts een toezichtmaatregel tegen één bedrijf. Het is een signaal dat de handhaving op het gebied van privacybescherming bij datalekken van genetische gegevens op staatsniveau agressiever wordt, en dat de blootstelling van dna- en gezondheidsdossiers steeds vaker juridische consequenties zal krijgen die een bedrijf niet simpelweg kan incasseren als kostenpost.

Voor consumenten is de conclusie zowel bemoedigend als ontnuchterend. Je kunt betere keuzes maken over welke bedrijven je jouw meest gevoelige gegevens toevertrouwt. Je kunt verwijdering eisen, de kleine lettertjes lezen en op de hoogte blijven wanneer bedrijven die je hebt vertrouwd onder vuur komen te liggen. Wat je niet kunt, is vertrouwen op één enkel hulpmiddel, inclusief een vpn, om gegevens te beschermen die zich al in de systemen van een derde partij bevinden.

Om te begrijpen hoe dit patroon zich in andere sectoren afspeelt, biedt de berichtgeving over de Netflix-datalekzaak van de procureur-generaal van Texas een nuttige parallel: misbruik van bedrijfsgegevens vindt plaats op een niveau dat volledig buiten het bereik van persoonlijke privacyhulpmiddelen ligt. Goed geïnformeerd blijven over dit soort zaken is een van de meest praktische dingen die je kunt doen.