Why are the 27 states suing 23andMe?

They are trying to block the bankrupt company from selling customer genetic data, and they allege 23andMe failed to protect data and misled consumers about the severity of the 2023 breach.

How many people were affected by the 2023 breach?

According to the lawsuit, the breach exposed sensitive health information belonging to nearly 7 million people.

Can 23andMe’s genetic data be sold to a new owner?

The lawsuit argues that in bankruptcy, the data could be transferred to a buyer who isn't bound by original consent terms. Some states, like Florida, prohibit such sales without explicit consent, but not all states have those protections.

Why can’t tools like VPNs keep genetic data private?

VPNs and encryption protect data in transit, but genetic data is collected from a physical saliva sample and stored on company servers. From that point, no network-level tool applies, and privacy depends solely on the company’s security and legal safeguards.

How did 23andMe allegedly mislead customers after the breach?

The coalition claims 23andMe downplayed the incident’s scope, keeping customers from realizing how serious it was and possibly preventing them from taking steps to protect themselves or requesting data deletion.

27 Eyalet, 2023 İhlalinin Ardından Genetik Verilerin Satışını Engellemek İçin 23andMe’ye Dava Açtı

Yirmi yedi eyalet ve Columbia Bölgesi, iflas eden DNA test şirketi 23andMe’nin müşterilerinin genetik verilerini satmasını engellemek amacıyla dava açtı. İflas mahkemesinde açılan dava, yaklaşık 7 milyon kişiye ait hassas sağlık bilgilerinin açığa çıktığı 2023 tarihli bir ihlale dayanıyor ve 23andMe’nin bu olayın ciddiyeti konusunda tüketicileri yanılttığını öne sürüyor. Davanın merkezinde, en mahrem biyolojik bilgilerinin en yüksek teklifi verene satılmasına asla onay vermemiş yaklaşık 15 milyon müşterinin genetik verileri bulunuyor.

Bu dava yalnızca kurumsal ihmalin öyküsü değil. Gizlilik konusunda bilinçli tüketiciler için çok daha zor ve rahatsız edici bir soruyu gündeme getiriyor: Gizlilik riski bir parola, IP adresi ya da e-posta değil de gerçek DNA’nız olduğunda ne olur?

Dava Aslında Neyi İddia Ediyor

Başsavcılar koalisyonu iki ana cephede savunma yapıyor. İlk olarak, 23andMe’nin 2023 ihlali öncesinde ve sırasında kullanıcı verilerini yeterince korumadığını, milyonlarca müşteriyi öngöremeyecekleri zararlara açık hale getirdiğini öne sürüyor. İkinci olarak da şirketin olayın kapsamını küçümseyerek, aksi takdirde kendilerini korumak veya verilerinin silinmesini talep etmek için adım atabilecek müşterileri yanılttığını iddia ediyor.

23andMe iflas başvurusunda bulunduğuna göre, şimdiki endişe, bir dizi taahhüt altında toplanan genetik verilerin, tamamen farklı politikalarla faaliyet gösteren yeni bir sahibe devredilebilecek olması. Soy araştırması veya sağlık içgörüleri için DNA’larını paylaşmaya başlangıçta onay veren müşteriler, bu verilerin, orijinal hizmet şartlarını yerine getirme yükümlülüğü olmayan bilinmeyen bir üçüncü tarafın eline geçtiğini görebilir.

Pek çok eyalette bu senaryoyu özel olarak ele alan yasalar halihazırda mevcut. Örneğin Florida, müşterinin açık onayı olmaksızın genetik verilerin satışını cezai yaptırımlar ve para cezalarıyla desteklenmiş şekilde yasaklıyor. Ancak her eyalet bu tür korumalara sahip değil; işte tam da bu yüzden eşgüdümlü çok eyaletli bir dava gerekli hale geldi.

Gizlilik Araçlarınız Genetik Verileri Neden Koruyamaz?

Çoğu dijital gizlilik haberinin atladığı kısım burası. VPN’ler, şifreli mesajlaşma uygulamaları, gizli tarayıcılar ve benzer araçlar, belirli bir veri kategorisini korumada etkilidir: dijital olarak ilettiğiniz ya da ürettiğiniz bilgiler. IP adresinizi, tarama geçmişinizi ve iletişimlerinizi ele geçirilmekten koruyabilirler.

Ancak fiziksel biçimde gönüllü olarak teslim ettiğiniz veriler için hiçbir şey yapamazlar. Bir DNA test şirketine tükürük örneği postaladığınızda, ağ düzeyinde hiçbir gizlilik koruması geçerli değildir. Veri toplanır, işlenir ve şirketin sunucularında saklanır. O andan itibaren gizliliğiniz tamamen şirketin güvenlik uygulamalarına, sözleşme yükümlülüklerine ve bulunduğunuz yetki alanında mevcut yasal korumalara bağlıdır.

Bu ayrım önemlidir, çünkü riskin doğasını değiştirir. Çoğu dijital gizlilik tehdidinde kullanıcıların süregelen bir kontrol yeteneği vardır. Bir hizmeti kullanmayı bırakabilir, verilerinizi temizleyebilir veya daha gizli bir alternatife geçebilirsiniz. Genetik veriler söz konusu olduğunda ise bilgi değiştirilemezdir. DNA’nız değiştirilemez, sıfırlanamaz veya geri alınamaz. Bir kez ihlal edildiğinde ya da satıldığında, ifşa kalıcıdır.

Bu Sizin İçin Ne Anlama Geliyor?

Eğer bir 23andMe müşterisiyseniz, dava şu anda verilerinizin rızanız olmadan satılmasını engellemeye yönelik aktif bir hukuki çaba olduğu anlamına geliyor. Ancak hukuki süreç zaman alır ve alacaklıların çıkarlarının çoğu zaman doğrudan tüketici korumalarıyla rekabet ettiği iflas mahkemesinde sonuçlar hiçbir zaman garanti değildir.

Şimdi atılmaya değer somut adımlar var. İlk olarak, 23andMe’ye halihazırda bir veri silme talebi gönderip göndermediğinizi kontrol edin. Şirket geçmişte bu seçeneği sunuyordu ve iflas süreci işleri karmaşıklaştırsa da resmî bir silme talebinde bulunmak niyetinizin belgeli bir kaydını oluşturur. İkinci olarak, hesabınızı oluştururken imzaladığınız onay sözleşmelerini gözden geçirin; bu belgeler, bir kurumsal devir sırasında haklarınızı ana hatlarıyla belirtiyor olabilir.

Özel olarak 23andMe’nin ötesinde, bu dava genetik gizlilik hakkında daha geniş düşünmek için yararlı bir uyarıcıdır. Sağlık, spor, soy veya araştırma amaçlı olsun, biyometrik ya da biyolojik veri toplayan herhangi bir hizmet, geleneksel gizlilik araçlarının kapsamı dışında kalan bilgileri elinde tutar. Bu verileri koruyan yasal çerçeve eyaletten eyalete önemli ölçüde değişir ve teknolojiyi yakalama konusunda hâlâ geriden gelmektedir.

Amerika Birleşik Devletleri’nde daha geniş gizlilik mevzuatının nasıl evrildiğiyle ilgilenenler için, Lofgren-Tillis Yasa Tasarısı kanun koyucuların dijital veri hakları ve mevcut korumaların sınırları hakkında nasıl düşündüğüne dair faydalı bir pencere sunuyor.

Veri Aracıları Riskine Dair Büyük Resim

23andMe durumu aynı zamanda veri aracı ekosistemlerinin nasıl çalıştığını hatırlatıyor. Masum bir amaçla toplanan veriler bile, niyetleri ve uygulamaları asıl tüketici tarafından tamamen bilinmeyen tarafların eline geçebilir. İflas satışları bunun gerçekleşmesinin bir yoludur. Kurumsal devralmalar, veri lisanslama anlaşmaları ve güvenlik ihlalleri diğer yollarıdır.

Genetik veriler, var olan en hassas kişisel bilgi kategorilerinden biridir. Hastalıklara yatkınlığı, ailevi ilişkileri ve etnik mirası açığa çıkarabilir. Yanlış ellerde, sigorta şirketleri, işverenler veya kolluk kuvvetleri tarafından tüketicinin asla öngörmediği veya onaylamadığı şekillerde kullanılabilir.

23andMe’ye karşı açılan çok eyaletli dava, ABD’de genetik gizlilik hakları açısından önemli bir andır. İster satışı engellemede başarılı olsun ister olmasın, eyalet başsavcılarının tüketici verileri konularında agresif bir şekilde eşgüdümlü hareket etmeye istekli olduğunu ve genetik verinin giderek artan bir şekilde yüksek yasal korumayı hak eden bir kategori olarak değerlendirildiğini şimdiden göstermiştir.

Herhangi bir test şirketinde genetik verileriniz saklanıyorsa, şimdi hesap ayarlarınızı gözden geçirmenin, silme haklarınızı anlamanın ve gelecekte herhangi bir hizmete biyolojik veri göndermeden önce dikkatlice düşünmenin tam zamanıdır. Hiçbir VPN DNA’nızı koruyamaz, ancak verilerinizi paylaşmadan önce vereceğiniz bilinçli kararlar mevcut en güçlü gizlilik aracıdır.