Yönetişim ve Risk Yönetimi , Gizlilik , Standartlar, Yönetmelikler ve Uyumluluk
Ajans, 1Health’in Tüketicileri Hassas Verileri Nasıl İşlediği Konusunda Aldattığını İddia Etti
Marianne Kolbasuk McGee (SağlıkBilgisi) •
16 Haziran 2023
Bir tüketici genetiği testi şirketi, müşteri tükürük örneklerinin imha edilmesini sağlamalı ve ABD Federal Ticaret Komisyonu ile önerilen bir izin emri kapsamında önümüzdeki yirmi yıl boyunca bilgi güvenliği programının üçüncü taraf değerlendirmesinden geçmelidir.
Ayrıca bakınız: Hibrit Altyapınız Saldırı Altında
Daha önce Vitagene olarak bilinen California firması 1Health.io da, FTC’nin genetik bilginin gizliliğine ve güvenliğine odaklanan ilk davasına işaret eden bir yaptırım davasında 75.000 $ ödemeyi taahhüt etti.
San Francisco şirketi, genetik sonuçlara dayalı kişiselleştirilmiş diyet ve egzersiz planları sunuyor. Bilgi Güvenliği Medya Grubu ile paylaşılan açıklamada bir şirket sözcüsü, ajans soruşturmasından şikayetçi oldu.
Sözcü, “Birçok personeliyle birlikte FTC, araştırmak için beş yıldan fazla zaman harcadı” dedi. “Beş yıllık soruşturmanın ardından, 20’den az çalışanı olan yeni kurulmuş bir şirketten 75.000 dolar talep ediyorlar.”
Ayrı bir açıklamada, şirket CEO’su Mehdi Maghsoodnia, FTC’yi “hükümeti aşmakla” suçladı ve “FTC’nin vardığı sonuçların çoğuna katılmıyoruz” dedi.
2019’da bir güvenlik araştırmacısı, Vitagene tarafından Amazon bulutunda depolanan yaklaşık 2.000 müşterinin güvenli olmayan DNA verilerini keşfetti ve şirketle iletişime geçtikten haftalar sonra medyayı bilgilendirdi. 1Health, ISMG’ye halka açık S3 kovasında 3.754 dosya tuttuğunu söyledi.
FTC bir idari şikayette, araştırmacının bildiriminin Vitagene’in iki yıl boyunca aldığı üçüncü uyarı olduğunu söyledi.
2017’de Amazon Web Services, Vitagene’e internete açık klasörlerin listesini içeren bir e-posta gönderdi ve 2018’de Vitagene tarafından web uygulamasında sızma testi yapmak üzere tutulan bir güvenlik testi firması da bir alarm verdi.
Ajans ayrıca şirketi gizlilik politikasında geriye dönük değişiklikler yapmakla suçladı. 2020 yılında, kişisel bilgileri süpermarket zincirleri ve takviye üreticileri dahil olmak üzere üçüncü taraflarla paylaşabileceğini belirtmek için politikayı revize etmişti. FTC, onaylarını almak için kişisel bilgilerini zaten vermiş olan tüketicilere bildirimde bulunmadığını söyledi.
FTC’nin Tüketiciyi Koruma Bürosu direktörü Samuel Levine, “Gizlilik politikalarını yeniden yazarak oyunun kurallarını değiştirmeye çalışan şirketlere duyurulur” dedi ve ekledi: “FTC Yasası, şirketlerin daha önce toplanan önemli gizlilik politikası değişikliklerini tek taraflı olarak uygulamalarını yasaklıyor. veri.”
Vitagene’nin web sitesi, DNA sonuçlarını bir tüketicinin adı veya diğer tanımlayıcı bilgilerle saklamadığını, bireylerin kişisel verilerini istedikleri zaman silebileceğini ve bilgilerin şirketin sunucularından kaldırılacağını ve DNA tükürük örneklerini kısa süre sonra imha edeceğini iddia etti. FTC, bunların analiz edildiğini söyledi.
Şirket, tüketicileri aldatarak bu eylemleri gerçekleştiremedi, FTC suçladı.
Ayrıca, önerilen onay emri kapsamında 1Health, üçüncü taraf sözleşmeli laboratuvarlara 180 günden uzun süredir saklanan tüm tüketici DNA örneklerini imha etmeleri talimatını vermelidir. Şirketin sağlık verilerini – tüketicilerin 2020 gizlilik politikası değişikliğinden önce ve sonra sağladığı bilgiler de dahil olmak üzere – tüketicilerin olumlu açık rızasını almadan üçüncü taraflarla paylaşması da yasaktır.
Ayrıca 1Health, kapsamlı bir bilgi güvenliği programı uygulamalı ve FTC’yi tüketicilerin kişisel sağlık verilerinin izinsiz ifşasını içeren olaylar hakkında bilgilendirmelidir.
Üç hizmet veren kurum komisyon üyesi de onay anlaşmasını kabul etmek için oy kullandı. Komisyon üyelerinin başka bir oylama yapması gerekmeden önce, genellikle yalnızca bir formalite olan, hâlâ 30 günlük kamuoyu görüşüne tabidir.