Veri gizliliği için ne anlama geliyor?

Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri

Kaliforniya tüketicileri veri silmeleri için uyarıyor, firma ile paylaşılan örnekler

Marianne Kolbasuk McGee (Healthinfosec) •
24 Mart 2025

Genetik test firması 23andMe, Bölüm 11 iflas koruması için başvurdu ve şirketi satmak istediğini söylüyor. Fakat bu, firmanın milyonlarca tüketiciye ilişkin son derece hassas sağlık ve soy bilgisi için potansiyel olarak ne anlama geliyor?

Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın

Kaliforniya merkezli 23andme Holding Co., Pazar günü bir Missouri federal mahkemesinde iflas başvurusunda bulundu.

İflas ilan eden bir açıklamada, 23andme, tüm varlıklarını büyük ölçüde satma sürecine başlamak için mahkemeden izin aradığını söyledi.

Şirket, “Mahkeme tarafından onaylanmışsa, şirket, bağımsız bir yatırım bankacısının yardımıyla, 45 günlük bir süreç boyunca nitelikli teklifler talep edecektir. Mahkeme denetimli satış süreci sırasında birden fazla nitelikli teklif sunulursa, şirket, varlıklarının değerini en üst düzeye çıkarmak için bir açık artırma yürütmeyi planlıyor.” Dedi.

“Herhangi bir alıcıdan müşteri verilerinin muamelesi ile ilgili uygulanabilir yasalara uyması istenecektir ve herhangi bir işlem, geçerli olduğu gibi Hart-Scott-Rodino Yasası ve ABD’ye Yabancı Yatırım Komitesi uyarınca onaylar da dahil olmak üzere geleneksel düzenleyici onaylara tabi olacaktır.”

Bazı uzmanlar, iflas ve satış süreci geliştikçe şirketin verilerinin güvenliğini ve gizliliğini sorgulamaktadır.

“23 ve ben, bireyin bilgilerinin gizliliğini ve güvenliğini korumaya devam etmeyi planladığını söylüyor. Ancak bu, iflasının iş talepleri ile daha zor hale getirilebilir.” Dedi. Diyerek şöyle devam etti: “Bilginin yeni amaçlarla kullanmak isteyebilecek yeni bir şirkete satılması veya aktarılması riski de var.”

Verilerin silinmesi

23AndMe’nin Kamuoyunun İflas Bölümü’ne başvurması üzerine Kaliforniya Başsavcısı Rob Bonta, Kaliforniya tüketicilerine 23andme’ye sağladıkları verileri silme haklarını hatırlatan bir uyarı yayınladı.

Bonta, “Kaliforniyalılar, genetik bilgilerinin Genetik Bilgi Gizlilik Yasası ve Kaliforniya Tüketicileri Koruma Yasası kapsamındaki genetik verilerinin silinmesini yönlendirme hakları konusunda uyarılıyor.” Dedi. “Bu hakları çağırmak isteyen Kaliforniyalılar bunu 23andme’nin web sitesine giderek yapabilirler.”

Uyarı, tüketicilerin verilerini silmeye nasıl yönlendirebilecekleri ve şirketten firma tarafından depolanan tükürük örneklerinden herhangi birini yok etmesini isteyebilecekleri adımlar için adım adım talimatlar sağladı. AG ayrıca tüketicilere, araştırma için kullanılan genetik ve örnek verileri için rızalarını nasıl iptal edebileceklerini söyledi.

Bonta, “23andMe’nin bildirilen finansal sıkıntısı göz önüne alındığında, Kaliforniyalılara haklarını çağırmayı düşünmelerini ve 23andme’yi verilerini silmeye ve şirket tarafından tutulan genetik materyal örneklerini yok etmeye yönlendirmelerini hatırlatıyorum.” Dedi.

Hukuk firması Davis Wright Tremaine’den gizlilik avukatı Adam Greene, genel olarak, diğer bazı eyaletlerdeki tüketicilerin de bu tür veri silme haklarına sahip olduğunu söyledi.

Diyerek şöyle devam etti: “Bu, tüketicilerin sadece silme hakları sağlayan gizlilik yasalarını yürürlüğe koyan eyaletlerde bulunmaları durumunda sahip olacakları bir haktır. Bu tür yasalara sahip eyaletlerin sayısı artarken, hala ülkenin yarısından daha azdır.

Ancak 23andMe’nin çevrimiçi gizlilik politikasına baktığımızda, “tüketicinin ikamet durumuna bakılmaksızın tüm tüketicilere silme hakları sundukları anlaşılıyor” dedi.

23andMe geçmişte gizlilik ve güvenlik zorlukları yaşadı. Ekim 2023’te şirket, şirketin DNA akrabaları özelliğini kullanmayı tercih eden 23andMe kullanıcılarının profillerini kazımış bilgileri içeren bir kimlik bilgisi olayı doğruladı. DNA akrabaları 23andMe kullanıcılarını genetik uzak akrabalarla veya DNA bitlerini paylaşan diğer 23andMe kullanıcılarına bağlanır (bkz:: 23andMe Araştırma Görünen Kimlik Bilgisi Hack Hack).

Şirket, davetsiz misafirin yaklaşık 14.000 kullanıcı hesabına erişebildiğini, şirketin mevcut 14 milyon 23andMe müşterisinin% 1’inden daha azına erişebildiğini söyledi.

Ancak tehdit aktörleri, karanlık ağda 23andme’den “20 milyon kod” çaldığını iddia etti. Medya raporlarına göre, satışa sunulan sızdırılan veriler, Ashkenazi Yahudi DNA soyları olan insanlar hakkında 1 milyon kod da dahil olmak üzere belirli DNA soyları geçmişe sahip 23andMe kullanıcılarına aittir (bkz: bkz: 23andme, bilgisayar korsanlarının 6.9 milyon kullanıcının soyunu çaldığını söylüyor).

Holtzman, “Bireylerin 23andme’ye vermiş olabileceği DNA verileri, bir veri komisyoncusu veya sigorta şirketinin elinde son derece değerlidir.” Dedi.

“Akrabalarınızı ve atalarınızı ayırt etmek ve yatkın olduğunuz veya yatkın olabileceğiniz hastalıklarla ilgili ipuçlarını ortaya çıkarmak için kullanılabilir. 23 ve 23 ve DNA’ya gönderen tüketiciler, şirket hala kontrol ederken verilerinin silinmesi için seçimlerini dikkatlice dikkate almalıdır.” Dedi.

Bu veri ihlali, 23andme’ye karşı açılan düzinelerce önerilen sınıf eylem davası ile sonuçlandı. Geçen sonbaharda ilan edilen yaklaşık 40 konsolide sınıf eylem davası olan 30 milyon dolarlık bir yerleşim kapsamında, 23andMe hassas bilgileri tehlikeye atılan milyonlarca kişiye nakit ödeme yapmayı kabul etti.

23 ve geçen Eylül’de bilgi güvenliği medya gruplarına yapılan açıklamada, şirketin yaklaşık 25 milyon dolarlık uzlaşma ve ilgili yasal giderlerin siber sigorta poliçesi tarafından karşılanmasını beklediğini söyledi (bakınız: 23andme, kimlik bilgisi doldurma hack yerleşimi için 30 milyon dolar ödemek için).

Şirketin iflas ve potansiyel satış süreçleri sırasında verileri korumasına gelince, 23andMe, şirketin müşteri verilerini depolama, yönetme veya güvence altına alma biçiminde “değişiklik yok” hakkında kamuya açık ifadesinde söylediklerini tekrarladı. 23andMe, ISMG’nin bu gizlilik ve güvenlik korumaları hakkında daha fazla ayrıntı talebine hemen yanıt vermedi.

23andMe’nin ifadesi, veri gizliliğinin herhangi bir potansiyel işlemde önemli bir husus olacağını söylemesine rağmen, Greene, hissedar değerini en üst düzeye çıkarmaya karşı gizliliğin nasıl tartılacağını söylemenin zor olduğunu söyledi. Yetkili, “Herhangi bir alıcının aynı seviyede gizlilik korumalarını korumasını ve 23andMe’nin önceki kamu beyanlarını zorlamasını sağlamak için düzenleyicilere düşebilir.” Dedi.

Greene, Federal Ticaret Komisyonu daha önce bir işletmenin alıcısının ve toplanan kişisel bilgilerinin, tüketicilerin yeni gizlilik politikalarına uygun bir şekilde rıza göstermedikçe satıcının önceki gizlilik politikalarına uyması gerektiğini açıkça belirtmişti. “Buna göre, 23andMe’nin işinin herhangi bir alıcısının, 23andMe’nin önceki gizliliğinin alıcının verileri amaçladığı kullanımla uygun olup olmadığını dikkatle düşünmesi gerekecektir.”