DNA ve genetik test firması olan 23andMe, geçen yıl meydana gelen veri ihlali ve devam eden mali düşüşü nedeniyle büyük bir sorunla karşı karşıya. Bir zamanlar öncü olan dev şirket, kar elde edememesi nedeniyle halka arzı gerçekleştirdiği 2021 yılından bu yana değerini 6 milyar dolarlık zirvesinden %99’dan fazla düşürdü.
Kârsızlık, 23andMe’nin bir kez kullanılan test kitlerine olan tüketici ilgisinin azalması ve abonelik hizmetlerinin düşük büyümesi nedeniyle ortaya çıktı. Şirket ayrıca, hacker’ların çalması sonucu 2023 boyunca neredeyse 7 milyon kullanıcının soy kökeni verilerini çalan büyük çaplı bir veri ihlaline maruz kaldı. Firma ihlalle ilgili bir dava sonucunda 30 milyon dolarlık bir tazminat ödemeyi kabul etti.
23andMe’nin kurucusu ve CEO’su Anne Wojcicki, haftalar içinde şirketin üçüncü taraf devralma tekliflerini değerlendirdiğini söyledi. Wojcicki daha sonra bu açıklamasını geri çekti ve şirketi özel hale getirmeyi planladığını belirtti. Ancak bu açıklama sonucunda şirketin bağımsız yönetim kurulu üyeleri istifa ettiler.
Bu durumda milyonlarca insanın genetik verileri ne olacak?
Geçen yılki veri ihlali, 23andMe’nin kullanıcıların genetik eğilim ve soy raporları gibi bilgileri çalmasıyla kanıtlandığı gibi, şirket tarafından kullanıcıları hakkında birçok bilgi toplanmaktadır.
23andMe’ye tükürüklerini gönderen birçok milyon kişi, bu verilerin Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası gibi bir yasa gereği gizli kalacağını düşünebilir. Bu yasa, hassas sağlık bilgilerinin bir kişinin bilgisi veya onayı olmadan ifşa edilmesini önleyen standartları belirler.
Ancak, 23andMe HIPAA kapsamında olmayan bir şirket olduğu için, genellikle yalnızca kendi gizlilik politikalarına bağlıdır ve bunları istediği zaman değiştirebilir.
23andMe sözcüsü Andy Kill, şirketin bu durumun, “handle ettiğimiz veri için daha uygun ve şeffaf bir model olduğuna” inandığını söyledi.
Federal düzenleme eksikliği ve karmaşık bir dizi eyalet mahremiyet yasası, sonuç olarak, 23andMe bir satışla karşılaşırsa, milyonlarca Amerikalının verilerinin de masada olduğu anlamına gelir. Şirketin gizlilik politikası, müşterilerinin kişisel bilgilerinin iflas, birleşme, satın alma, yeniden yapılandırma veya satışın bir parçası olarak “erişilebileceğini, satılabileceğini veya transfer edilebileceğini” belirtiyor.
Müşteri verilerinin satılabilir bir varlık olduğu gerçeği, 23andMe’nin devasa müşteri veri tabanını ilaç şirketlerine ve araştırmacılara pazarlama konusunda ilerlemeyeceğini, bu bilgileri kullanmayı planlamadığını bildiren Wojcicki tarafından da açıkça belirtilmiştir.
23andMe, veri gizlilik politikalarının bir satış durumunda değişmeyeceğini iddia ediyor. Bu politikalara göre, şirket müşterilerinin bilgilerini sigorta şirketleriyle veya mahkeme emri olmadan polis birimleriyle paylaşmayacağını belirtmektedir.
23andMe’nin potansiyel alıcıları, şirketin değerli bir DNA veri hazinesini nasıl kullanacakları konusunda tamamen farklı fikirlere sahip olabilir. Dijital haklar grubu Elektronik Cephe Özgürlük Vakfı’ndaki gizlilik savunucuları, 23andMe’nin herhangi bir polis bağı olan bir şirkete satılmasına direnmesini isteyerek, müşterilerin genetik verilerinin polisin suç delillerini seçmemiş bir şekilde aramasında kullanılabileceği konusunda uyarıda bulunmaktadır.
Kill, TechCrunch’a verdiği demeçte, “Verilerimizi kapsayan gizlilik politikalarının müşterilerimizin kişisel bilgilerine, bir satış veya transfer durumunda uygulanacağına dair kendi taahhüdümüz açıktır: 23andMe Hizmet Şartları ve Gizlilik Bildirimi, müşterilere yeni şartlar ve bildirimler sunulana kadar geçerli olacaktır ve yalnızca yeni şartlara uygun şekilde, geçerli veri koruma yasaları kapsamında uygun bir şekilde uygun bildirim aldıktan sonra” dedi.
Hesabınızı kendiniz silmeye başlayın
23andMe şu anda üçüncü bir şirkete satılmaya direniyor gibi görünse de, Wojcicki’nin geri çekilen açıklamaları gizlilik savunucuları arasında alarm zillerini çaldırdı ve 23andMe müşterilerini verilerini satılmasını önlemek için şimdi harekete geçmeye çağırıyor.
Sinyal adlı uçtan uca şifrelenen mesajlaşma uygulamasının başkanı Meredith Whittaker, X’teki bir yayında şunları söyledi: “Yalnızca siz değilsiniz. Eğer ailenizden herhangi biri 23andMe’ye DNA’sını verdiyse, hepinizin menfaati için hesabınızı/ona ait hesabı şimdi kapatın.”
EFF’nin Siber Güvenlik Direktörü Eva Galperin de kullanıcıları önlem almaya çağırdı. Galperin, X’teki bir yayında şunları söyledi: “Eğer bir 23andMe hesabınız varsa, bugün giriş yapın ve verilerinizin silinmesini isteyin.”
23andMe’deki verilerinizin silinmesini istemek oldukça kolaydır.
23andMe hesabınıza giriş yapın ve Ayarlar> Hesap Bilgisi> Hesabınızı Sil’e gidin. 23andMe, kararınızı onaylamanız için sizi uyaracak ve hesabınızı silmenin kalıcı ve geri dönüşü olmayan bir işlem olduğunu bildirecektir.
Önemli bir kısıtlama vardır. 23andMe’nin gizlilik politikasında belirtildiği gibi, hesap silme “saklama gereksinimlerine ve belli istisnalara” tabidir, bu da şirketin belirli bir süre boyunca bazı verilerinizi tutabileceği anlamına gelir.
Örneğin, 23andMe, uyumlu olmak için genetik bilgilerinizi, doğum tarihinizi ve cinsiyetinizi “uyumlu olmaları” ve belirli bir süreyle sınırlı olan, “e-posta adresiniz, hesap silme isteği tanımlayıcısı, sorularla ilgili iletişimler veya şikayetler ve yasal anlaşmalar” gibi ayrıntıları içeren silme isteğinize ilişkin sınırlı verileri saklayacaktır.
Benzer şekilde, 23andMe’ye verilerinizi araştırma amaçları için paylaşmayı kabul ettiyseniz, bu onayı geri alabilirsiniz, ancak bu bilgileri silme yolunuz bulunmamaktadır. Kill, TechCrunch’a yaptığı açıklamada, 23andMe müşterilerinin yaklaşık%80’inin, yani yaklaşık 12 milyon kişinin, araştırma programına katılmaya onay verdiğini belirtiyor.
