23andMe’ye Yüksek İdari Para Cezası
23andMe, genetik test hizmeti sunan bir şirket, İngiltere Bilgi Komiserliği Ofisi (ICO) tarafından, 2023 yılında yaşanan ciddi bir veri ihlali nedeniyle 2,31 milyon sterlin (yaklaşık 3,12 milyon dolar) tutarında para cezasına çarptırıldı. Bu ihlal, şirketin kullanıcılarının genotip verilerinin, sağlık raporlarının ve kişisel bilgilerinin çalınmasına yol açan ciddi güvenlik zaafiyetlerinden kaynaklandı.
Ciddi Güvenlik Açıkları
ICO’nun açıklamasına göre, 23andMe, Birleşik Krallık’taki sakinlerin hassas verilerini koruma konusunda yetersiz kalmış ve bu durum Nisan 2023 ile Eylül 2023 arasında toplam beş ay boyunca süren kimlik bilgisi saldırılarıyla sonuçlanmıştır. Bu saldırılarda çalınan kullanıcı bilgileri, kullanıcıların şifrelerinin kötüye kullanılması sonucunda elde edilmişti.
ICO’nun başkanı John Edwards, "Bu ciddi bir ihlal olup, Birleşik Krallık’taki binlerce insanın hassas kişisel bilgilerini, aile geçmişlerini ve sağlık durumlarını açığa çıkardı" dedi. Bu tür kişisel verilerin sızması, yalnızca bireylerin değil, aynı zamanda onların ailelerinin de güvenliğini tehdit eden bir durumdur.
Veri İhlali ve Sonuçları
Bu ihlallerino sonucunda, 23andMe tarafından etkilenen bireylere gönderilen veri ihlali bildirimlerinde bazı hassas verilerin, resmi olmayan 23andMe subreddit sitesinde ve BreachForums hacking forumunda paylaşıldığı belirtildi. İhlalden etkilenen kişi sayısı, Birleşik Krallık ve Almanya‘da yaşayan 4,1 milyon bireyi kapsamaktadır. Bunun yanı sıra, 1 milyon Ashkenazi Yahudisi’nin verileri de çeşitlilik arz eden bu ihlalden etkilenmiştir.
Güvenlik Tedbirleri
24 Ekim 2023 itibarıyla, 23andMe, benzer olayların tekrarlanmaması adına çeşitli güvenlik önlemleri aldı. Bu önlemler arasında, iki faktörlü kimlik doğrulamanın varsayılan olarak etkinleştirilmesi ve kullanıcıların şifrelerini sıfırlamalarının zorunlu hale getirilmesi yer almaktadır. Şirket, bu adımları atarak kullanıcılarının bilgilerini daha iyi koruma hedefindedir.
Cezanın Hesaplanması
ICO’nun bir sözcüsü, verilen para cezasının neye göre belirlendiğine dair, "Bu cezanın miktarı, Veri Koruma Cezalandırma Yönergesi doğrultusunda belirlenmiştir" dedi. Şirketten gelen temsilcilerin görüşlerinin de ceza miktarının belirlenmesinde dikkate alındığı ifade edilmiştir.
Finansal Zorluklar ve İflas Süreci
Geçtiğimiz yıl California merkezli 23andMe, mali sıkıntılar nedeniyle Bölüm 11 iflası başvurusu yaptı ve varlık satışını planladığını duyurdu. Yaşanan bu veri ihlali ile birlikte, şirket aleyhine birkaç toplu davaya da maruz kaldı. Buna karşılık olarak, 23andMe, Kasım 2023 itibarıyla Kullanım Şartlarını değiştirerek dava açma süreçlerini zorlaştırmayı amaçlayan düzenlemeler getirdi. Ancak, şirket bu değişikliklerin yalnızca tahkim sürecini basitleştirmek için yapıldığını savunmaktadır.
Kullanıcıların Hakları ve Gelecek
Veri ihlalinin sonuçları, 6,4 milyon müşterinin verilerinin ifşa edildiği bir başka davada, 23andMe‘nin Eylül 2024‘te 30 milyon dolar tazminatı ödemeyi kabul etmesiyle devam etti. Kullanıcıların verilerinin güvenliğini sağlamak, sadece şirketlerin değil, aynı zamanda bireylerin de sorumluluğundadır. Yasal süreçler ve şirketlerin alacağı önlemler, bu tür ihlallerin bir daha yaşanmaması adına kritik önem taşımaktadır.
Sonuç Olarak
23andMe gibi genetik test sağlayıcılarının, kullanıcı verilerini koruma konusundaki sorumluluğu son derece büyüktür. Veri ihlalleri, yalnızca bireylerin değil, tüm toplulukların güvenliğini tehdit eden bir durum olduğundan, bu tür olayların yaşanmaması için gelişmiş güvenlik önlemleri ve kullanıcı eğitimi şarttır. Bunun yanı sıra, yasal süreçlerin titizlikle yürütülmesi, benzer sorunların tekrarlanmasını önlemek adına büyük bir önem taşımaktadır.
