Het Amerikaanse dna-testbedrijf 1Health.io heeft gevoelige gegevens van klanten gelekt en stiekem het privacybeleid met terugwerkende kracht aangepast, zodat gegevens van klanten met supermarktketens, apotheken, voedingsmiddelen- en supplementfabrikanten en andere aanbieders en retailers konden worden gedeeld, zo stelt de Amerikaanse toezichthouder FTC. Dat heeft met het bedrijf een schikking gesloten.

1Health.io, dat eerder onder de naam Vitagene opereerde, verkoopt dna-tests en gebruikt informatie die klanten verstrekken om klanten rapporten over hun gezondheid, welzijn en afkomst te geven. De rapporten bevatten persoonlijke informatie over de gezondheid en genetica van klanten, zoals het risico om op basis van hun dna bepaalde ziektes te ontwikkelen.

Het bedrijf claimde "rock-solid security" te bieden. Ook stelde Vitagene dat het dna-resultaten niet met de naam van de klant of andere identificerende gegevens opsloeg, dat klanten hun persoonlijke informatie op elk moment van alle servers van het bedrijf konden laten verwijderen en al het ontvangen dna-materiaal kort na het onderzoek werd vernietigd.

Vitagene kwam deze beloftes niet na, aldus de FTC. Zo was er geen beleid voor het vernietigen van onderzocht dna-materiaal en werd in 2020 het privacybeleid met terugwerkende kracht aangepast, zodat gegevens van klanten met veel meer partijen konden worden gedeeld, waaronder supermarktketens en voedingsmiddelenfabrikanten, zonder dat klanten die eerder data met het bedrijf hadden gedeeld hierover werden ingelicht of hun toestemming hiervoor werd verkregen.

Verder bleek dat Vitagene bijna 2400 gezondheidsrapporten en genetische gegevens van zeker 227 klanten in publieke toegankelijk S3-buckets van Amazon had opgeslagen. Soms was de genetische data ook voorzien van een voornaam, ondanks beloftes dat het dit niet deed. Gegevens werden ook niet versleuteld opgeslagen en vond er geen logging of monitoring plaats van wie er toegang tot de data had gekregen.

Over een periode van twee jaar werd Vitagene minstens drie keer gewaarschuwd dat het bedrijf onversleutelde gezondheids, genetische en persoonsgegevens in publiek toegankelijk buckets had opgeslagen. Nadat een beveiligingsonderzoeker in juni 2019 het bedrijf benaderde werd er pas een onderzoek ingesteld.

Als onderdeel van de schikking moet Vitagene 75.000 dollar betalen, waarmee de FTC klanten wil vergoeden. Verder mag het bedrijf geen gezondheidsgegevens, ook die het al in bezit heeft, met derde partijen delen zonder dat het de uitdrukkelijke toestemming van klanten heeft gekregen en moet het een beveiligingsprogramma implementeren om de gevonden tekortkomingen te verhelpen.