image

FTC: dna-testbedrijf lekte klantgegevens en wijzigde stiekem privacybeleid

maandag 19 juni 2023, 11:54 door Redactie, 2 reacties

Het Amerikaanse dna-testbedrijf 1Health.io heeft gevoelige gegevens van klanten gelekt en stiekem het privacybeleid met terugwerkende kracht aangepast, zodat gegevens van klanten met supermarktketens, apotheken, voedingsmiddelen- en supplementfabrikanten en andere aanbieders en retailers konden worden gedeeld, zo stelt de Amerikaanse toezichthouder FTC. Dat heeft met het bedrijf een schikking gesloten.

1Health.io, dat eerder onder de naam Vitagene opereerde, verkoopt dna-tests en gebruikt informatie die klanten verstrekken om klanten rapporten over hun gezondheid, welzijn en afkomst te geven. De rapporten bevatten persoonlijke informatie over de gezondheid en genetica van klanten, zoals het risico om op basis van hun dna bepaalde ziektes te ontwikkelen.

Het bedrijf claimde "rock-solid security" te bieden. Ook stelde Vitagene dat het dna-resultaten niet met de naam van de klant of andere identificerende gegevens opsloeg, dat klanten hun persoonlijke informatie op elk moment van alle servers van het bedrijf konden laten verwijderen en al het ontvangen dna-materiaal kort na het onderzoek werd vernietigd.

Vitagene kwam deze beloftes niet na, aldus de FTC. Zo was er geen beleid voor het vernietigen van onderzocht dna-materiaal en werd in 2020 het privacybeleid met terugwerkende kracht aangepast, zodat gegevens van klanten met veel meer partijen konden worden gedeeld, waaronder supermarktketens en voedingsmiddelenfabrikanten, zonder dat klanten die eerder data met het bedrijf hadden gedeeld hierover werden ingelicht of hun toestemming hiervoor werd verkregen.

Verder bleek dat Vitagene bijna 2400 gezondheidsrapporten en genetische gegevens van zeker 227 klanten in publieke toegankelijk S3-buckets van Amazon had opgeslagen. Soms was de genetische data ook voorzien van een voornaam, ondanks beloftes dat het dit niet deed. Gegevens werden ook niet versleuteld opgeslagen en vond er geen logging of monitoring plaats van wie er toegang tot de data had gekregen.

Over een periode van twee jaar werd Vitagene minstens drie keer gewaarschuwd dat het bedrijf onversleutelde gezondheids, genetische en persoonsgegevens in publiek toegankelijk buckets had opgeslagen. Nadat een beveiligingsonderzoeker in juni 2019 het bedrijf benaderde werd er pas een onderzoek ingesteld.

Als onderdeel van de schikking moet Vitagene 75.000 dollar betalen, waarmee de FTC klanten wil vergoeden. Verder mag het bedrijf geen gezondheidsgegevens, ook die het al in bezit heeft, met derde partijen delen zonder dat het de uitdrukkelijke toestemming van klanten heeft gekregen en moet het een beveiligingsprogramma implementeren om de gevonden tekortkomingen te verhelpen.

Image

Reacties (2)
19-06-2023, 12:18 door Anoniem
75k maar?
Daarvan koop je niet eens een auto, laat staan een huis!

Ik zou eisen dat het ongebruikte gegevens moet vernietigen, en in de toekomst geen gegevens meer mag verkopen. punt
Als je niet hard optreed tegen dit soort laksheid, word je tandeloos.
19-06-2023, 12:18 door Anoniem
Dus jaren in overtreding. Miljoenen verdient, en straf is maar een magere 75.000 dollar. Tja zulke business cases kunnen dan wel uit. Zo zie je maar weer, de boetes zijn een lachertje.

Een bedrijf die zo tegen alle regens in gaat, moet toch gewoon gesloten worden? Een keer een foutje maken kan, maar zo grof als dit, verdient alleen maar een sluiting van het bedrijf. En de data vernietigen.

Daarom mijn familie uitgelegd nooit, maar dan ook nooit vrijwillig DNA afstaan aan zulke clubs. Is beter voor je eigen gezondheid.

TheYOSH
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.