Varför stämmer de 27 delstaterna 23andMe?

De försöker blockera det konkursdrabbade företaget från att sälja kundernas genetiska data, och de påstår att 23andMe misslyckades med att skydda data och vilseledde konsumenter om hur allvarligt intrånget 2023 var.

Hur många personer påverkades av intrånget 2023?

Enligt stämningsansökan exponerade intrånget känslig hälsoinformation som tillhörde nästan 7 miljoner människor.

Kan 23andMes genetiska data säljas till en ny ägare?

Stämningen hävdar att data i en konkurs kan överföras till en köpare som inte är bunden av ursprungliga samtyckesvillkor. Vissa delstater, som Florida, förbjuder sådana försäljningar utan uttryckligt samtycke, men alla delstater har inte dessa skydd.

Varför kan inte verktyg som VPN hålla genetiska data privata?

VPN och kryptering skyddar data under överföring, men genetiska data samlas in från ett fysiskt salivprov och lagras på företagets servrar. Därefter gäller inga nätverksbaserade verktyg, och integriteten är helt beroende av företagets säkerhet och rättsliga skydd.

Hur påstås 23andMe ha vilselett kunderna efter intrånget?

Koalitionen hävdar att 23andMe tonade ner incidentens omfattning, vilket hindrade kunder från att inse hur allvarlig den var och möjligen hindrade dem från att vidta åtgärder för att skydda sig eller begära radering av data.

27 delstater stämmer 23andMe för att blockera försäljning av genetiska data efter intrånget 2023

Tjugosju delstater och District of Columbia har lämnat in en stämningsansökan mot 23andMe för att hindra det konkursdrabbade DNA-testföretaget från att sälja kundernas genetiska data. Stämningen, som lämnades in i konkursdomstol, kretsar kring ett intrång år 2023 som exponerade känslig hälsoinformation tillhörande nästan 7 miljoner människor, och hävdar att 23andMe vilseledde konsumenterna om hur allvarlig incidenten var. På spel står genetiska data från uppskattningsvis 15 miljoner kunder som aldrig gav sitt samtycke till att deras mest intima biologiska information auktionerades ut till högstbjudande.

Detta fall handlar inte bara om vårdslöshet från ett företags sida. Det väcker en svårare och obekvämare fråga för integritetsmedvetna konsumenter: vad händer när integritetsrisken inte är ett lösenord, en IP-adress eller en e-postadress, utan ditt faktiska DNA?

Vad stämningen faktiskt påstår

Koalitionen av delstaternas justitieministrar argumenterar på två huvudfronter. För det första att 23andMe misslyckades med att tillräckligt skydda användardata före och under intrånget 2023, vilket lämnade miljontals kunder exponerade för skador de inte hade någon möjlighet att förutse. För det andra att företaget tonade ner incidentens omfattning och därmed vilseledde kunder som annars kunde ha vidtagit åtgärder för att skydda sig eller begära radering av sin data.

Nu när 23andMe har ansökt om konkurs finns oron för att genetiska data som samlades in under en uppsättning löften kan överföras till en ny ägare som agerar under helt andra policyer. Kunder som ursprungligen gav sitt samtycke till att dela sitt DNA för släktforskning eller hälsoinsikter kan få se den datan absorberas av en okänd tredje part utan skyldighet att respektera de ursprungliga användarvillkoren.

Flera delstater har redan lagar som specifikt hanterar detta scenario. Florida, till exempel, förbjuder försäljning av genetiska data utan uttryckligt kundsamtycke, med straffrättsliga påföljder och böter som stöd. Men alla delstater har inte sådana skydd, vilket är just varför en samordnad flerstatsstämning blev nödvändig.

Varför dina integritetsverktyg inte kan skydda genetiska data

Det här är den del av berättelsen som den mesta digitala integritetsbevakningen hoppar över. VPN-tjänster, krypterade meddelandeappar, privata webbläsare och liknande verktyg är effektiva för att skydda en viss typ av data: information du överför eller genererar digitalt. De kan skydda din IP-adress, din webbhistorik och din kommunikation mot avlyssning.

Men de kan inte göra något åt data du redan frivilligt har lämnat ifrån dig i fysisk form. När du postar ett salivprov till ett DNA-testföretag gäller inget nätverksbaserat integritetsskydd. Datan samlas in, bearbetas och lagras på företagets servrar. Från och med den punkten är din integritet helt beroende av företagets säkerhetsrutiner, dess avtalsförpliktelser och det juridiska skydd som finns i din jurisdiktion.

Denna skillnad är viktig eftersom den ändrar riskens karaktär. Vid de flesta digitala integritetshot har användare ett löpande handlingsutrymme. Du kan sluta använda en tjänst, rensa din data eller byta till ett mer privat alternativ. Med genetiska data är informationen oföränderlig. Ditt DNA kan inte ändras, återställas eller återkallas. När det väl har läckt eller sålts är exponeringen permanent.

Vad detta betyder för dig

Om du är 23andMe-kund innebär stämningsansökan att det just nu pågår en aktiv rättslig ansträngning för att förhindra att din data säljs utan ditt samtycke. Rättsliga processer tar dock tid, och utgången är aldrig garanterad i en konkursdomstol där borgenärsintressen ofta står i direkt konflikt med konsumentskyddet.

Det finns konkreta åtgärder värda att vidta redan nu. Kontrollera först om du redan har skickat in en begäran om dataradering till 23andMe. Företaget har historiskt erbjudit detta alternativ, och även om konkursprocessen försvårar saken skapar en formell raderingsbegäran en dokumenterad handling om din avsikt. För det andra, se över eventuella samtyckesavtal du undertecknade när du skapade kontot, eftersom dessa dokument kan beskriva dina rättigheter vid en företagsöverlåtelse.

Utöver 23andMe specifikt är detta fall en användbar tankeställare för att fundera bredare kring genetisk integritet. Alla tjänster som samlar in biometriska eller biologiska data – vare sig för hälsa, träning, släktforskning eller forskning – förfogar över information som ligger utanför räckvidden för konventionella integritetsverktyg. Det rättsliga ramverket som skyddar dessa data varierar avsevärt mellan delstater och är fortfarande på väg att hinna ikapp tekniken.

För den som är intresserad av hur bredare integritetslagstiftning utvecklas i USA ger Lofgren-Tillis Bill ett användbart fönster in i hur lagstiftare tänker kring digitala datarättigheter och gränserna för befintliga skydd.

Den större bilden av risken med datamäklare

Situationen med 23andMe är också en påminnelse om hur ekosystem för datamäklare fungerar. Även data som samlas in för ett oskyldigt syfte kan hamna i händerna på parter vars avsikter och rutiner är helt okända för den ursprungliga konsumenten. Konkursförsäljningar är en väg för detta att ske. Företagsförvärv, datalicensavtal och säkerhetsintrång är andra.

Genetiska data hör till de mest känsliga kategorierna av personlig information som existerar. De kan avslöja anlag för sjukdomar, familjerelationer och etniskt ursprung. I fel händer skulle de kunna användas av försäkringsbolag, arbetsgivare eller brottsbekämpning på sätt som konsumenter aldrig förutsåg eller gick med på.

Flerstatsprocessen mot 23andMe är ett betydelsefullt ögonblick för rättigheter till genetisk integritet i USA. Oavsett om den lyckas blockera försäljningen eller inte, har den redan visat att delstaternas justitieministrar är beredda att agera kraftfullt och samordnat i konsumentdatafrågor, och att genetiska data i allt högre grad behandlas som en kategori som förtjänar ett förstärkt rättsligt skydd.

Om du har genetiska data lagrade hos något testföretag är det nu dags att se över dina kontoinställningar, förstå dina rättigheter till radering och tänka noga igenom innan du lämnar ifrån dig biologiska data till någon tjänst i framtiden. Ingen VPN-tjänst kan skydda ditt DNA, men välinformerade beslut innan du delar data är det mest kraftfulla integritetsverktyg som finns.