23andMe heeft 'basismaatregelen' niet genomen om privé-informatie te beschermen, zo blijkt uit onderzoek
Uit een onderzoek van de Canadese privacycommissaris is gebleken dat het DNA-testbedrijf 23andMe niet over adequate gegevensbescherming beschikte en waarschuwingssignalen negeerde die voorafgingen aan een enorme datalek bijna twee jaar geleden.
Commissaris Philippe Dufresne vertelde verslaggevers dat er in 2023 nog geen goede beveiliging was toen hackers toegang kregen tot ongeveer 6,9 miljoen profielen op de site - bijna de helft van het klantenbestand.
"Het lek is een waarschuwing voor alle organisaties over het belang van gegevensbescherming", aldus Dufresne dinsdag tijdens een persconferentie.
Nu datalekken steeds ernstiger en complexer worden en het aantal ransomware- en malware-aanvallen sterk toeneemt, wordt elke organisatie die geen stappen onderneemt om gegevensbescherming prioriteit te geven en deze bedreigingen aan te pakken, steeds kwetsbaarder.
Klantprofielen bevatten gevoelige persoonlijke gegevens, waaronder geboortejaar, geografische locatie, medische informatie en het percentage DNA-gebruikers dat ze met hun familieleden delen. Dufresne zei dat een deel van de gestolen informatie later online werd verkocht.
Het onderzoek werd vorig jaar gestart in samenwerking met de Britse informatiecommissaris John Edwards.
"23andMe heeft verzuimd basismaatregelen te nemen om de gegevens van burgers te beschermen, hun beveiligingssystemen waren ontoereikend, de waarschuwingssignalen waren er en het bedrijf reageerde traag", aldus Edwards.
Net als andere bedrijven die genetische tests uitvoeren, gebruikt 23andMe speekselmonsters om rapporten te genereren over de voorouders van een klant en mogelijke aanleg voor bepaalde gezondheidsproblemen.
Volgens de commissarissen werden bijna 320.000 Canadezen en 150.000 mensen in het Verenigd Koninkrijk getroffen door de inbreuk uit 2023.
Edwards zei dat het Verenigd Koninkrijk het bedrijf uit San Francisco een boete van 4,2 miljoen dollar heeft opgelegd vanwege het datalek, maar Dufrense zei dat hij niet de bevoegdheid heeft om het bedrijf geldboetes op te leggen.
"[De bevoegdheid om bedrijven boetes op te leggen] bestaat wereldwijd breed bij privacyautoriteiten en is noodzakelijk. Helaas biedt de Canadese privacywetgeving mij dit nog niet", aldus Dufrense.
Er zijn in het verleden al wetswijzigingen voorgesteld die de privacycommissaris de bevoegdheid zouden geven om boetes op te leggen, maar deze zijn nooit doorgevoerd. Dufrense zei te hopen dat het nieuwe parlement binnenkort opnieuw wijzigingen zal voorstellen.
23andMe vroeg eerder dit jaar faillissement aan en kondigde aan dat het zijn activa zou verkopen. Dit betekent dat de gegevens van klanten "toegankelijk, verkocht of overgedragen" zouden kunnen worden. Het bedrijf zei echter dat de faillissementsprocedure geen invloed zal hebben op de manier waarop het klantgegevens opslaat, beheert of beschermt.
Dufresne en Edwards verwachten van het bedrijf dat het de gebruikersgegevens tijdens elke verkoop adequaat beschermt.
"We zullen dit nauwlettend volgen ... de [privacy]verplichtingen moeten blijven gelden voor elke nieuwe eigenaar", aldus Dufresne.
cbc.ca
