Selskapet 23andMe, som kontrollerer en av verdens største private DNA-databaser, ble hacket og risikerer konkurs etter sviktende inntekter. Hva betyr det for alle som har sendt sitt DNA til selskapet?
DNA-testselskapet 23andMe har de siste årene strevd med dårlige salgstall, og da selskapet ble hacket og persondata knyttet til 6.9 millioner av deres kunder ble stjålet, stupte selskapets verdi ytterligere. Nå risikerer selskapet å bli tatt av børsen fordi aksjeprisen er for lav.
Millioner av brukere
23andMe selger populære DNA-tester på nett til forbrukere verden over, og har også mange norske kunder. Ved å sende inn en spyttprøve til selskapet fikk kunden vite mer om sin risiko for sykdom eller kartlagt sin slekt. Samtidig har 23andMe også en database med genetiske data fra rundt 10 millioner kunder som har samtykket til at deres DNA kan brukes til forskning.
Hva skjer med de genetiske dataene hvis slike DNA-test selskaper går konkurs? Og hva gjør man med den økende trusselen om persondata på avveie om disse DNA-databasene hackes?
Innbrudd
Datainnbrudd hos 23andMe ble oppdaget i oktober 2023 da hackere prøvde å selge navn, adresser og genetiske data fra selskapets kunder på et nettforum. Det har kommet over 30 søksmål mot 23andMe for manglende sikkerhet i etterkant, og selskapet har gjennomført nye datasikkerhetstiltak. Datatilsynet er bekymret for denne typen kriminalitet.
– Denne typen datainnbrudd vil bli en økende utfordring. Virkemiddelet myndigheter og private selskaper har er å møte slik kriminalitet med økt sikkerhet. Dette omfatter selvfølgelig slike ting som multifaktorautentisering, sier Ylva Marrable, seksjonssjef i Datatilsynet.
Sviktende salg
Da 23andMe ble børsnotert i 2021 var det knyttet stor optimisme til markedet for genetiske selvtester på nett. Selskapet har de siste årene opplevd synkende salgstall og sviktende inntekt. Noe av skylden tilskrives at DNA-test-markedet er vanskelig fordi de fleste kunder kun kjøper én test. Selskapets CEO og grunnlegger, Anne Wojcicki, mener veien videre for 23andMe er mer informasjonsutvinning fra den enorme mengden genetiske data de har samlet inn fra sine kunder. Legemiddelfirmaet GlaxoSmith-Kline fikk eksklusiv tilgang til selskapet innsamlede genetiske data fra 2018 til 2023, men 23andMe gjør nå data tilgjengelig for flere forskningsgrupper.
– Vi har nå muligheten til å gjøre datautvinning selv og gi tilgang til flere grupper. Både 23andMe og GlaxoSmithKline følte at det er så mye data der at én forskningsgruppe ikke kan «grave» ut alt. Det er en ressurs som kan brukes av flere ulike organisasjoner til legemiddelutvikling, sier Wojcicki til Wired.
23andMe jobber for tiden med å utvikle legemidler rettet mot kreft og astma. Men aksjekursen har falt med 98 prosent, og selskapet risikerer å bli tatt av børsen fordi aksjeprisen er under en dollar. Wojcicki prøver nå å videreføre selskapet privat, men trenger da støtte av nye investorer og partnere, ifølge CNBC.
Hvis det ikke lykkes, er det uvisst hva som skjer med de enorme mengdene med sensitive personopplysninger selskapet har i sine databaser.
Forbrukers rettigheter
EUs personvernforordning gir et spesielt vern om europeeres personopplysninger, og disse reglene gjelder også for selskaper utenfor EØS.
– Genetiske data regnes som sensitive personopplysninger. Så lenge selskaper behandler personopplysninger om nordmenn og andre europeere må de følge personvernforordningen.
Dersom et konkursbo eller et nytt selskap behandler de genetiske dataene, vil de måtte følge regelverket på samme måte som 23andMe må i dag, sier Ylva Marrable.
Men det er ikke noen oversikt over i hvilken grad amerikanske selskaper faktisk følger de europeiske personvernreglene. Marrable tror bevisstheten rundt regelverket, og overholdelsen av det, vil variere en del, særlig når risikoen for tilsyn nok oppfattes som lav. Men det er eksempler på reaksjoner ovenfor amerikanske selskaper, som da Datatilsynet gav datingappen Grindr et vedtak om overtredelsesgebyr på 65 millioner kroner for utlevering av personopplysninger til annonseselskap uten gyldig samtykke.
– Det er derfor viktig at forbrukere er klar over sine rettigheter etter personvernforordningen og at disse også gjelder for selskaper utenfor Europa. Det betyr at man kan kreve disse rettighetene som kunde, sier Marrable.
Kilder:
www.wired.com/story/23andme-genomic-testingfinancial-results-earnings-anne-wojcicki/
www.cnbc.com/2024/04/18/23andmeceo-anne-wojcicki-considers-taking-companyprivate.html
Dine rettigheter etter personvernforordningen
Rett til informasjon – Alle virksomheter har plikt til å behandle personopplysninger på en åpen måte. Det betyr blant annet at de må gi kort og forståelig informasjon om hvordan de behandler personopplysningene.
Rett til innsyn – Innsynsretten går ut på at du kan spørre en virksomhet om hvordan opplysningene om deg behandles og at du kan be om å få vite hvilke opplysninger de har lagret.
Rett til retting – Dersom du mener at en virksomhet har registrert uriktige opplysninger om deg, kan du kreve at virksomheten retter eller supplerer opplysningene.
Rett til sletting – Du kan trekke tilbake et samtykke gitt til en virksomhet og kreve at dine personopplysninger blir slettet.
Kilde: Datatilsynet
