Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
İflas Mütevelli Heyetine Mektup 23andMe’nin Gizlilik Vaatlerinin Devam Etmesi Gerekiyor
Marianne Kolbasuk McGee (Healthinfosec) •
31 Mart 2025
Federal Ticaret Komisyonu, Pazartesi günü 23andMe’nin iflas mütevelli heyetlerine, genetik test firmasının veya varlıklarının herhangi bir satışının, şirketin hassas bilgilerinin ve biyolojik örneklerinin gizliliğini ve güvenliğini içeren tüketicilere önceki taahhütlere tabi olacağını söyledi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
FTC Başkanı Andrew Ferguson, 23andMe’nin iflas başvurusunun yönetimini ele alan ABD mütevelli heyetlerine mektupta, FTC’nin milyonlarca Amerikalı tüketicinin hassas kişisel bilgilerinin potansiyel satışı veya transferi ile ilgili “çıkar ve endişeler” olduğunu söyledi.
23 ve 23 Mart’ta Missouri Federal Mahkemesinde Bölüm 11 İflas Koruması için başvurdu (bkz:: 23andMe İflas: Veri gizliliği için ne anlama geliyor?)
Ferguson, “Bildiğiniz gibi, 23andMe, şirketin genetik test ve telehealth hizmetlerini kullanan milyonlarca Amerikalı tüketici hakkında hassas, değişmez, tanımlanabilir kişisel bilgileri toplar ve tutar.”
Veriler, genetik bilgiler, biyolojik DNA örnekleri, sağlık bilgileri, soy ve şecere bilgileri, kişisel iletişim bilgileri, ödeme ve faturalandırma bilgileri ve genetik akrabaların platform aracılığıyla birbirlerini gönderebileceği mesajlar gibi diğer bilgileri içerir.
“23AndMe, topladığı ve sürdürdüğü bilgilerin benzersiz hassasiyetini tanır ve kullanıcılarına iflas durumunda kişisel bilgilerin nasıl korunacağı da dahil olmak üzere kişisel bilgilerini nasıl kullandığı, açıkladığı ve korur.” Dedi.
Bu, sigorta şirketleri, işverenler, kamu veritabanları veya kolluk kuvvetleri ile kişisel bilgileri paylaşmadığını, geçerli bir mahkeme emri, mahkeme celbi veya arama emri ile kişisel bilgileri paylaşmadığını vaat eden tüketicilere 23andMe’yi içerir.
“Şirket ayrıca kullanıcılara kişisel bilgilerin kullanımını ve paylaşımını hizmetlerini sağlamak için gerekli olanlarla kısıtladığını ve kişisel bilgileri, kullanıcı kişisel bilgilerinin gizliliğini ve güvenliğini korumak için sözleşmeli olarak sınırlı sayıda hizmet sağlayıcısıyla paylaştığını söylüyor.” Dedi.
Buna ek olarak, 23andMe’nin Tıbbi Kayıt Gizlilik Bildirimi, şirket bir tüketicinin özel yetkisini almadığı sürece, bireyin genetik bilgilerini üçüncü taraflara tıbbi kayıt bilgilerinin bir parçası olarak açıklamayacağını vaat ediyor.
Bunun da ötesinde, 23AndMe’nin Gizlilik Beyanı, şirket bir iflas, birleşme, satın alma, yeniden düzenleme veya satış satışı yapılırsa, “kişisel bilgilerinize bu işlemin bir parçası olarak erişilebileceğini, satılabileceğini veya aktarılabileceğini ve bu gizlilik bildirimine yeni varlığa aktarıldığı gibi kişisel bilgilerinize uygulanacağını” söyledi.
Ferguson, “FTC, İflas Kanunu’nun 363 (b) (1) Bölümüne uygun olarak, tüketicilere bu tür vaatlerin tutulması gerektiğine inanıyor.”
“Bu, 23andMe kullanıcılarının kişisel bilgilerini ve biyolojik örneklerini içeren iflasla ilgili herhangi bir satış veya transferin, şirketin kullanıcılara hem gizlilik hem de veri güvenliği hakkında yaptığı ve kullanıcıların şirkete hassas verilerini sağlamaya güvendiği temsillere tabi olacağı anlamına geliyor.” Dedi.
Yetkili, “Herhangi bir alıcı, daha sonra bu politikalarda yaptığı değişiklikler de dahil olmak üzere 23andMe’nin gizlilik politikalarına ve yürürlükteki yasalara bağlı olmayı ve bunlara bağlı kalmayı kabul etmelidir.” Dedi.
Ne 23andMe ne de şirketin iflasını yöneten ABD mütevelli heyeti, bilgi güvenliği medya grubunun FTC’nin mektubu hakkında yorum taleplerine derhal yanıt vermedi.
Önceki İhlal
23AndMe, tüketicilere verilerini silme ve araştırma için kullanılacak bilgileri için sağlanan rıza kişilerini iptal etme hakkı sunmaktadır.
23andMe’nin bazı aboneleri zaten bir hackten etkilenmişlerdir. Ekim 2023’te şirket, şirketin DNA akrabaları özelliğini kullanmayı tercih eden 23andMe kullanıcılarının profillerini kazımış bilgileri içeren bir kimlik bilgisi olayı doğruladı. DNA akrabaları 23andMe kullanıcılarını genetik uzak akrabalarla veya DNA bitlerini paylaşan diğer 23andMe kullanıcılarına bağlanır (bkz:: 23andMe Araştırma Görünen Kimlik Bilgisi Hack Hack).
Şirket, davetsiz misafirin yaklaşık 14.000 kullanıcı hesabına erişebildiğini, şirketin mevcut 14 milyon 23andMe müşterisinin% 1’inden daha azına erişebildiğini söyledi.
Ancak tehdit aktörleri, karanlık ağda 23andme’den “20 milyon kod” çaldığını iddia etti. Medya raporlarına göre, satışa sunulan sızdırılan veriler, Ashkenazi Yahudi DNA soyları olan insanlar hakkında 1 milyon kod da dahil olmak üzere belirli DNA soyları geçmişe sahip 23andMe kullanıcılarına aittir (bkz: bkz: 23andme, bilgisayar korsanlarının 6.9 milyon kullanıcının soyunu çaldığını söylüyor).
Geçen sonbaharda, 23andMe, ihlalle ilgili şirkete karşı açılan yaklaşık 40 konsolide sınıf eylem davasının önerdiği 30 milyon dolarlık bir anlaşmayı kabul etti (bkz: bkz: 23andme, kimlik bilgisi doldurma hack yerleşimi için 30 milyon dolar ödemek için).