DNA ve genetik test firması 23andMe, geçen yıl yaşanan bir veri ihlali ve devam eden mali düşüş sonrasında kargaşa içinde. Bir zamanların öncü devi, şirketi özelleştirme çabalarının ortasında, 23andMe’nin yaklaşık 15 milyon müşterisinin genetik verilerine ne olabileceğine dair endişeler yoğunlaşırken şimdi belirsiz bir gelecekle karşı karşıya.
Bir kişinin genetik kökenine ışık tutan tükürük bazlı test kitleriyle tanınan 23andMe, kâr elde edemedikten sonra 2021’in başında halka açıldığından bu yana değerinin 6 milyar dolarlık zirveden %99’dan fazla düştüğünü gördü.
Bu kâr eksikliği, 23andMe’nin tek kullanımlık test kitlerine olan tüketici ilgisinin azalmasına ve abonelik hizmetlerindeki yetersiz büyümeye bağlandı. Şirket ayrıca, bilgisayar korsanlarının 2023 yılı boyunca neredeyse 7 milyon kullanıcının soy verilerini çalmasıyla sonuçlanan, aylarca süren devasa bir veri ihlaliyle karşı karşıya kaldı. Eylül ayında anlaştık ihlalle ilgili bir davayı çözmek için 30 milyon dolar ödeyecek.
Bir haftadan kısa bir süre sonra 23andMe’nin kurucusu ve CEO’su Anne Wojcicki, şirket için “üçüncü taraf devralma tekliflerini değerlendirdiğini” söyledi. Wojcicki hemen ifadeyi geri aldı ve bunun yerine şöyle dedi: şirketin özelleştirilmesi planlanıyor. Ancak hasar oluştu ve şirketin tüm bağımsız yönetim kurulu üyeleri derhal istifa etti.
Bu milyonlarca insanın genetik verilerini nereye bırakıyor?
23andMe büyük ölçüde kendi kurallarına bağlı
Bilgisayar korsanlarının kullanıcıların genetik yatkınlığı ve soy raporları gibi bilgileri çaldığı geçen yılki veri ihlalinin kanıtladığı gibi, 23andMe, kullanıcıları hakkında tonlarca bilgi topluyor.
Atalarınız hakkında bilgi edinmek için tükürüğünü 23andMe’ye gönderen milyonlarca kişiden biriyseniz, bu verilerin Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası gibi yasalar uyarınca gizli kalacağını varsaymış olabilirsiniz. HIPAA, bilindiği gibi, hassas sağlık bilgilerinin kişinin bilgisi veya rızası olmadan ifşa edilmesini önlemeye yönelik standartları belirliyor.
Ancak 23andMe, HIPAA kapsamına giren bir şirket değildir. Bu nedenle 23andMe büyük ölçüde yalnızca kendi gizlilik politikalarına bağlıdır ve bunları istediği zaman değiştirebilir.
23andMe sözcüsü Andy Kill, TechCrunch’a şirketin bunun “geleneksel sağlık sektörü tarafından kullanılan HIPAA modelinden ziyade, ele aldığımız veriler için daha uygun ve şeffaf bir model” olduğuna inandığını söyledi.
Federal düzenleme eksikliği ve eyalet gizlilik yasalarının karmaşıklığı, sonuçta 23andMe’nin bir satışla karşı karşıya kalması durumunda milyonlarca Amerikalının verilerinin de masada olacağı anlamına geliyor. Şirketin gizlilik politikası, iflas, birleşme, satın alma, yeniden yapılanma veya satışın bir parçası olarak müşterilerinin kişisel bilgilerine “erişilebileceğini, satılabileceğini veya aktarılabileceğini” söylüyor.
Müşteri verilerinin satılabilir bir varlık olduğu gerçeği Wojcicki tarafından da açıkça ortaya konmuştur. yatırımcılara söylediği bildirildi 23andMe’nin artık maliyet yoğun ilaç geliştirme programlarını sürdürmeyeceğini ve bunun yerine geniş müşteri veri tabanını ilaç şirketlerine ve araştırmacılara pazarlamaya odaklanacağını söyledi.
23andMe, satış durumunda veri gizliliği politikalarının değişmeyeceğini savunuyor. Bu politikalar, şirketin kullanıcıların bilgilerini herhangi bir izin olmadan sigorta şirketleriyle veya kolluk kuvvetleriyle asla paylaşmayacağını belirtir. İkincisi, genetik bilgi için giderek daha fazla üçüncü taraf DNA şirketlerine yöneldi, ancak 23andMe şu ana kadar ABD yasa uygulayıcılarının bu tür verilere yönelik tüm taleplerine direndi. uzun süredir devam eden şeffaflık raporuna.
23andMe’nin potansiyel alıcıları, şirketin potansiyel olarak değerli DNA verileri hazinesinin nasıl kullanılacağı konusunda tamamen farklı fikirlere sahip olabilir. Dijital haklar grubu Electronic Frontier Foundation’daki gizlilik savunucuları, zaten 23andMe’yi satışa direnmeye çağırmıştı Kolluk kuvvetleriyle bağlantısı olan tüm şirketlere, müşterilerin genetik verilerinin polis tarafından ayrım gözetmeksizin suç delili aramak için kullanılabileceği konusunda uyarıda bulundu.
“Bir satış veya devir durumunda gizlilik politikamızın şartlarını müşterilerimizin kişisel bilgilerine uygulama taahhüdümüz açıktır: 23andMe Hizmet Şartları ve Gizlilik Beyanı, müşterilere aşağıdakiler sunulmadıkça ve sunulana kadar yürürlükte kalacaktır: Kill, TechCrunch’a yaptığı açıklamada, yeni şartlar ve bildirimleri kabul edeceğini ve yalnızca geçerli veri koruma yasaları kapsamında yeni şartlara ilişkin uygun bildirimi aldıktan sonra “dediğini söyledi.
Hesabınızı proaktif olarak silme
23andMe şimdilik üçüncü taraf bir şirkete satış konusunda direniyor gibi görünse de Wojcicki’nin geri çekilen yorumları, 23andMe müşterilerini 23andMe’nin silinmesini talep ederek verilerinin satılmasını önlemek için hemen harekete geçmeye çağıran gizlilik savunucuları arasında alarm zilleri çaldı. onların verileri.
Uçtan uca şifreli mesajlaşma uygulaması Signal’ın başkanı Meredith Whittaker şunları söyledi: X’te bir yazı: “Sadece sen değilsin. Ailenizde herhangi biri DNA’sını verdiyse [23andMe]hepinizin iyiliği için hesabınızı/onların hesabını hemen kapatın.”
EFF’nin siber güvenlik direktörü Eva Galperin de kullanıcıları harekete geçmeleri konusunda uyardı. Galperin, “23andMe hesabınız varsa, bugün giriş yapmak ve verilerinizin silinmesini talep etmek için iyi bir gün” dedi. X’te yayınla.
23andMe’deki verilerinizin silinmesini talep etmek nispeten kolaydır.
23andMe hesabınızda oturum açın ve şuraya gidin: Ayarlar > Hesap Bilgileri > Hesabınızı Silin. 23andMe, hesabınızı silmenin kalıcı ve geri döndürülemez olduğu konusunda sizi uyararak kararınızı onaylamanızı isteyecektir.
Önemli bir uyarı var. 23andMe’nin gizlilik politikasında belirtildiği gibi, hesabın silinmesi “saklama gereksinimlerine ve belirli istisnalara tabidir”; bu, şirketin verilerinizin bir kısmını belirtilmemiş bir süre boyunca tutabileceği anlamına gelir.
Örneğin 23andMe, genetik bilgilerinizi, doğum tarihinizi ve cinsiyetinizi “uyumluluk için gerektiği şekilde” saklayacak ve “e-posta adresiniz, hesap silme isteği tanımlayıcınız, iletişimleriniz dahil ancak bunlarla sınırlı olmamak üzere” silme isteğinizle ilgili sınırlı verileri tutacaktır. Sorular veya şikayetler ve yasal anlaşmalarla ilgili.”
Benzer şekilde, 23andMe’nin verilerinizi araştırma amacıyla paylaşmasını zaten kabul ettiyseniz, bu onayı geri alabilirsiniz ancak bu bilgileri silmenizin bir yolu yoktur. Kill, TechCrunch’a 23andMe müşterilerinin yaklaşık %80’inin (yaklaşık 12 milyon kişi) araştırma programına katılmayı kabul ettiğini söylüyor.