Dna-testbedrijf 1Health.io heeft het lekken van dna- en gezondheidsgegevens en het stiekem met terugwerkende kracht aanpassen van het privacybeleid geschikt voor een bedrag van 75.000 dollar. Daarnaast moet het de externe laboratoria die de dna-tests uitvoerde de opdracht geven om al het dna-materiaal dat meer dan 180 dagen is bewaard te vernietigen.

1Health.io, dat eerder onder de naam Vitagene opereerde, verkoopt dna-tests en gebruikt informatie die klanten verstrekken om klanten rapporten over hun gezondheid, welzijn en afkomst te geven. De rapporten bevatten persoonlijke informatie over de gezondheid en genetica van klanten, zoals het risico om op basis van hun dna bepaalde ziektes te ontwikkelen.

Het bedrijf claimde "rock-solid security" te bieden. Ook stelde Vitagene dat het dna-resultaten niet met de naam van de klant of andere identificerende gegevens opsloeg, dat klanten hun persoonlijke informatie op elk moment van alle servers van het bedrijf konden laten verwijderen en al het ontvangen dna-materiaal kort na het onderzoek werd vernietigd.

Vitagene kwam deze beloftes niet na, aldus de FTC. Zo was er geen beleid voor het vernietigen van onderzocht dna-materiaal en werd in 2020 het privacybeleid met terugwerkende kracht aangepast, zodat gegevens van klanten met veel meer partijen konden worden gedeeld, waaronder supermarktketens en voedingsmiddelenfabrikanten, zonder dat klanten die eerder data met het bedrijf hadden gedeeld hierover werden ingelicht of hun toestemming hiervoor werd verkregen.

Verder bleek dat Vitagene bijna 2400 gezondheidsrapporten en genetische gegevens van zeker 227 klanten in publieke toegankelijk S3-buckets van Amazon had opgeslagen. Soms was de genetische data ook voorzien van een voornaam, ondanks beloftes dat het dit niet deed. Gegevens werden ook niet versleuteld opgeslagen en vond er geen logging of monitoring plaats van wie er toegang tot de data had gekregen.

Over een periode van twee jaar werd Vitagene minstens drie keer gewaarschuwd dat het bedrijf onversleutelde gezondheids, genetische en persoonsgegevens in publiek toegankelijk buckets had opgeslagen. Nadat een beveiligingsonderzoeker in juni 2019 het bedrijf benaderde werd er pas een onderzoek ingesteld.

De Amerikaanse toezichthouder FTC deed onderzoek naar 1Health en kwam in juni van dit jaar met een schikkingsvoorstel, dat nu is geaccepteerd. "Vitagene heeft de gevoelige data van gebruikers risico laten lopen door onversleutelde gezondheids, genetische en andere persoonlijke informatie in publiek toegankelijke databuckets op te slaan", aldus de FTC. Naast de 75.000, die de FTC wil gebruiken om klanten te compenseren, mag 1Health zonder toestemming geen gezondheidsgegevens van klanten met derde partijen delen.