Nieuws
image

Miljoenenboete wegens datalek dreigt voor dna-testbedrijf 23andMe

donderdag 27 maart 2025, 11:02 door Redactie, 5 reacties

De Britse privacytoezichthouder ICO is voornemens om dna-testbedrijf 23andMe wegens een datalek een boete van omgerekend van 5,5 miljoen euro op te leggen. Onlangs heeft 23andMe in de Verenigde Staten faillissement aangevraagd. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken.

23andMe heeft wereldwijd miljoenen gebruikers, waaronder in Nederland. In 2023 wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. Via deze feature is het mogelijk om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.

Naar aanleiding van het datalek startte de ICO een onderzoek en begin deze maand liet het 23andMe weten dat het voornemens is een boete van omgerekend 5,5 miljoen euro op te leggen. Het gaat hier om voorlopige bevindingen en het dna-testbedrijf krijgt dan ook de gelegenheid om te reageren, wat invloed op de hoogte van het boetebedrag kan hebben. Nu 23andMe in de Verenigde Staten faillissement heeft aangevraagd zegt de Britse privacytoezichthouder de situatie nauwlettend te monitoren en stelt het in contact te zijn met het bedrijf.

"Genetische data behoort tot de meest gevoelige persoonlijke data die een persoon aan een bedrijf kan toevertrouwen en organisaties die zulke data verwerken moeten een zeer hoge governance en beveiligingsstandaard naleven zoals verplicht door de Britse privacywetgeving", aldus de ICO. De toezichthouder stelt dat de wet nog steeds voor 23andMe geldt. In de VS werden gebruikers opgeroepen om hun gegevens bij het bedrijf te verwijderen. Vorig jaar trof 23andMe wegens het datalek in de VS een schikking van 30 miljoen dollar.

Reacties (5)
Reageer met quote
27-03-2025, 11:20 door Anoniem
Het is behoorlijk zorgwekkend dat 23andMe naast de boeteaankondiging van de ICO en de datalekken nu ook overweegt om klantdata via de faillissementsverkoop aan de hoogste bieder over te dragen.

Het is alsof er belangrijke details worden weggelaten, zoals of er überhaupt extra waarborgen komen of dat dit puur een commercieel spelletje is waarbij de privacy van miljoenen gebruikers gewoon ondergeschikt is. Geen wonder dat er steeds meer roep is om actie: klanten worden inmiddels opgeroepen hun accounts te verwijderen, omdat je nooit weet wat er met je data gaat gebeuren als deze in verkeerde handen valt.
Reageer met quote
27-03-2025, 11:29 door Anoniem
Waarom wordt zo'n boete niet omgezet in schadevergoeding voor voormalige klanten. Immers zijn zij degenen die schade ondervinden, niet de staat.
Reageer met quote
27-03-2025, 11:33 door Anoniem
23andMe is al bezig failliet te gaan - die boete gaan ze nooit betalen. Wat er wel gaat gebeuren is dat de database met DNA gegevens hierdoor nog makkelijker wordt opgekocht door iemand die zich niet meer gebonden ziet aan de voorwaarden van 23andMe, en daarom nagoeg alles kan doen met die data wat ze willen.Je bent op zoek naar potentiele diabetes patienten? Ik draai even een setje voor je uit. Je wil weten wat de markt is voor een nieuw medicijn? De DNA database levert je rap het antwoord...
Slechte ontwikkeling
Reageer met quote
27-03-2025, 13:27 door Anoniem
Verbazingwekkend dat je zonder MFA toegang kan krijgen tot genetische gegevens.
Reageer met quote
28-03-2025, 09:25 door dingetje - Bijgewerkt: 28-03-2025, 09:28
Door Anoniem: Het is behoorlijk zorgwekkend dat 23andMe naast de boeteaankondiging van de ICO en de datalekken nu ook overweegt om klantdata via de faillissementsverkoop aan de hoogste bieder over te dragen.
Dat is het niet.

Iedereen die kan nadenken weet dat dit vroeg of laat zal gebeuren en kiest er voor om zijn DNA te delen aan de hoogste bieder. Dat is de reden waarom commerciële partijen zo lastig te vertrouwen zijn met persoonlijke gegevens.

De titel zegt al dat het gaat om een 'DNA-test BEDRIJF', dus geen semi-overheidszorginstelling. Al kunnen die ook gewoon je DNA verwerken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure