Hvorfor saksøker de 27 statene 23andMe?

De prøver å blokkere det konkursrammede selskapet fra å selge kundenes genetiske data, og de påstår at 23andMe mislyktes i å beskytte dataene og villedet forbrukerne om alvorlighetsgraden av datainnbruddet i 2023.

Hvor mange mennesker ble berørt av datainnbruddet i 2023?

Ifølge søksmålet avslørte datainnbruddet sensitiv helseinformasjon tilhørende nesten 7 millioner mennesker.

Kan 23andMes genetiske data selges til en ny eier?

Søksmålet argumenterer for at dataene ved en konkurs kan overføres til en kjøper som ikke er bundet av de opprinnelige samtykkevilkårene. Noen delstater, som Florida, forbyr slike salg uten uttrykkelig samtykke, men ikke alle delstater har slike beskyttelser.

Hvorfor kan ikke verktøy som VPN-er holde genetiske data private?

VPN-er og kryptering beskytter data under transport, men genetiske data samles inn fra en fysisk spyttprøve og lagres på selskapets servere. Fra da av gjelder ingen verktøy på nettverksnivå, og personvernet avhenger utelukkende av selskapets sikkerhet og juridiske sikkerhetsmekanismer.

Hvordan villedet 23andMe angivelig kunder etter datainnbruddet?

Koalisjonen hevder at 23andMe bagatelliserte hendelsens omfang, noe som hindret kunder i å forstå hvor alvorlig den var og muligens forhindret dem fra å ta skritt for å beskytte seg eller be om sletting av data.

27 stater saksøker 23andMe for å stanse salg av genetiske data etter datainnbrudd i 2023

Tjuesju delstater og District of Columbia har levert et søksmål mot 23andMe for å hindre det konkursrammede DNA-testfirmaet fra å selge kundenes genetiske data. Søksmålet, innlevert i konkursretten, dreier seg om et datainnbrudd i 2023 som avslørte sensitiv helseinformasjon tilhørende nesten 7 millioner mennesker, og argumenterer for at 23andMe villedet forbrukerne om alvorlighetsgraden av hendelsen. På spill står genetiske data fra anslagsvis 15 millioner kunder som aldri ga samtykke til at deres mest intime biologiske informasjon skulle auksjoneres bort til høystbydende.

Denne saken handler ikke bare om bedriftsslurv. Den reiser et vanskeligere og mer ubehagelig spørsmål for personvernbevisste forbrukere: Hva skjer når personvernrisikoen ikke er et passord, en IP-adresse eller en e-post, men selve DNA-et ditt?

Hva søksmålet faktisk påstår

Koalisjonen av statsadvokater argumenterer langs to hovedlinjer. For det første at 23andMe ikke klarte å beskytte brukerdata tilstrekkelig før og under datainnbruddet i 2023, slik at millioner av kunder ble utsatt for skader de ikke hadde mulighet til å forutse. For det andre at selskapet bagatelliserte hendelsens omfang og villedet kunder som ellers kunne ha tatt skritt for å beskytte seg eller be om sletting av dataene sine.

Nå som 23andMe har begjært oppbud, er bekymringen at genetiske data samlet inn under ett sett med løfter kan overføres til en ny eier som opererer under helt andre retningslinjer. Kunder som opprinnelig samtykket til å dele DNA-et sitt for slektsforskning eller helseinnsikter, kan oppleve at dataene absorberes av en ukjent tredjepart uten forpliktelse til å overholde de opprinnelige tjenestevilkårene.

Flere delstater har allerede lover som spesifikt adresserer dette scenariet. Florida forbyr for eksempel salg av genetiske data uten uttrykkelig kundesamtykke, med strafferettslige sanksjoner og bøter. Men ikke alle delstater har slike beskyttelser, noe som er nettopp grunnen til at et koordinert flerstatlig søksmål ble nødvendig.

Hvorfor personvernverktøyene dine ikke kan beskytte genetiske data

Dette er den delen av historien som de fleste dekninger av digitalt personvern hopper over. VPN-er, krypterte meldingsapper, private nettlesere og lignende verktøy er effektive til å beskytte én type data: informasjon du sender eller genererer digitalt. De kan skjerme IP-adressen din, nettleserhistorikken og kommunikasjonen din mot avlytting.

Men de kan ikke gjøre noe med data du allerede frivillig har levert i fysisk form. Når du sender en spyttprøve til et DNA-testfirma, gjelder ingen form for personvernbeskyttelse på nettverksnivå. Dataene samles inn, behandles og lagres på selskapets servere. Fra da av avhenger personvernet ditt helt og holdent av selskapets sikkerhetspraksis, kontraktsforpliktelser og det rettslige vernet som er tilgjengelig der du bor.

Denne forskjellen er viktig fordi den endrer risikoens karakter. Ved de fleste digitale personverntrusler har brukerne løpende handlefrihet. Du kan slutte å bruke en tjeneste, slette dataene dine eller bytte til et mer privat alternativ. Med genetiske data er informasjonen uforanderlig. DNA-et ditt kan ikke endres, tilbakestilles eller tilbakekalles. Når det først er kompromittert eller solgt, er eksponeringen permanent.

Hva dette betyr for deg

Hvis du er 23andMe-kunde, betyr søksmålet at det for øyeblikket pågår en aktiv rettslig innsats for å hindre at dataene dine selges uten ditt samtykke. Rettsprosesser tar imidlertid tid, og utfall er aldri garantert i konkursretten, der kreditorenes interesser ofte står i direkte konkurranse med forbrukerbeskyttelse.

Det finnes konkrete skritt det er verdt å ta nå. For det første: Sjekk om du allerede har sendt en forespørsel om sletting av data til 23andMe. Selskapet har historisk tilbudt denne muligheten, og selv om konkursprosessen kompliserer ting, skaper en formell sletteanmodning en dokumentert oversikt over intensjonen din. For det andre: Gå gjennom eventuelle samtykkeavtaler du signerte da du opprettet kontoen, siden disse dokumentene kan beskrive rettighetene dine ved en virksomhetsoverdragelse.

Utover 23andMe spesifikt er denne saken en nyttig påminnelse om å tenke bredere om genetisk personvern. Enhver tjeneste som samler inn biometriske eller biologiske data, enten for helse, trening, slektsforskning eller forskningsformål, sitter på informasjon som faller utenfor rekkevidden til konvensjonelle personvernverktøy. Det juridiske rammeverket som beskytter disse dataene varierer betydelig fra delstat til delstat og henger fortsatt etter teknologien.

For de som er interessert i hvordan bredere personvernlovgivning utvikler seg i USA, gir Lofgren-Tillis-lovforslaget et nyttig innblikk i hvordan lovgivere tenker om digitale datarettigheter og begrensningene ved eksisterende vern.

Det større bildet om datameglerrisiko

23andMe-situasjonen er også en påminnelse om hvordan datamegler-økosystemer fungerer. Selv data samlet inn for et godartet formål kan havne i hendene på parter hvis intensjoner og praksis er helt ukjente for den opprinnelige forbrukeren. Konkurssalg er én vei for at dette kan skje. Bedriftsoppkjøp, datalisensavtaler og sikkerhetsbrudd er andre.

Genetiske data er blant de mest sensitive kategoriene av personopplysninger som finnes. De kan avsløre sykdomsdisposisjoner, slektskapsforhold og etnisk arv. I gale hender kan de brukes av forsikringsselskaper, arbeidsgivere eller politimyndigheter på måter forbrukerne aldri forutså eller samtykket til.

Det flerstatlige søksmålet mot 23andMe er et viktig øyeblikk for genetiske personvernrettigheter i USA. Uansett om det lykkes i å stanse salget, har det allerede vist at delstatsadvokater er villige til å koordinere seg aggressivt i forbrukerdataspørsmål, og at genetiske data i økende grad behandles som en kategori som fortjener styrket rettslig vern.

Hvis du har genetiske data lagret hos et testselskap, er tiden inne for å gjennomgå kontoinnstillingene dine, forstå sletterettighetene dine og tenke deg nøye om før du sender biologiske data til noen tjeneste i fremtiden. Ingen VPN kan beskytte DNA-et ditt, men informerte beslutninger før du deler data, er det kraftigste personvernverktøyet som finnes.