Het in Californië gevestigde genetische testbedrijf 23andMe wordt geconfronteerd met een onderzoek door Britse en Canadese toezichthouders naar aanleiding van een inbreuk op de beveiliging die afgelopen oktober bijna 7 miljoen mensen trof.
Hackers die inbraken op de site kregen toegang tot persoonlijke gegevens met behulp van oude klantwachtwoorden. In sommige gevallen omvatte de toegankelijke informatie stambomen, geboortejaren en geografische locaties.
Het in San Francisco gevestigde bedrijf analyseert het DNA van zijn klanten via een speekselmonster om inzicht te geven in de gezondheid en afkomst, en heeft sinds de oprichting in 2006 meer dan 12 miljoen DNA-testkits verkocht, aldus zijn website.
Het Britse Information Commissioner’s Office (ICO) en het Office of the Privacy Commissioner of Canada (OPC) zijn een gezamenlijk onderzoek gestart naar het datalek, aldus de ICO.
Er zal worden gekeken naar de omvang van de informatie die door de inbreuk aan het licht is gekomen en de potentiële schade voor de getroffen personen; of 23andMe over voldoende veiligheidsmaatregelen beschikte om zeer gevoelige informatie onder haar controle te beschermen; en of het bedrijf de twee toezichthouders en de betrokken persoon op de juiste manier op de hoogte heeft gesteld van een inbreuk, zoals vereist door de Canadese en Britse wetgeving inzake gegevensbescherming.
“We zijn van plan mee te werken aan redelijke verzoeken van deze toezichthouders”, aldus 23andMe in een verklaring.
Een woordvoerder van 23andMe vertelde eerder aan The Guardian dat het bedrijf geen “lek” in de systemen van 23andMe had ontdekt en schreef het incident in plaats daarvan toe aan gecompromitteerde gerecyclede inloggegevens van bepaalde gebruikers.
Hackers hadden in eerste instantie toegang gekregen tot de persoonlijke gegevens van 0,1% van de klanten (ofwel ongeveer 14.000 individuen), waardoor ze toegang kregen tot de informatie van anderen dankzij een opt-in-functie waarmee DNA-verwanten contact met elkaar kunnen opnemen. Het werkelijke aantal blootgestelde mensen bedroeg dus 6,9. miljoen. Dit is iets minder dan de helft van de 14 miljoen geregistreerde klanten van 23andMe.
23andMe verkoopt DNA-testkits vanaf £ 79 voor een ‘afstammingsservice’ – ‘ontdek meer over wie je bent’ – en £ 129 voor een ‘gezondheids- en vooroudersservice’ – ‘beter begrijpen hoe genetica uw gezondheid beïnvloedt’.
na het promoten van de nieuwsbrief
De Britse Information Commissioner, John Edwards, en de Canadese Privacy Commissioner, Philippe Dufresne, zullen gezamenlijk de 23andMe-inbreuk onderzoeken.
Edwards zei: “Mensen moeten erop kunnen vertrouwen dat elke organisatie die met hun meest gevoelige persoonlijke gegevens omgaat, over adequate beveiliging en bescherming beschikt. Dit datalek heeft een internationale impact gehad en we kijken ernaar uit om samen te werken met onze Canadese collega’s om ervoor te zorgen dat de persoonlijke gegevens van mensen in Groot-Brittannië worden beschermd.”
Dufresne zei: “In de verkeerde handen kan de genetische informatie van een individu worden misbruikt voor surveillance of discriminatie. Ervoor zorgen dat persoonlijke informatie adequaat wordt beschermd tegen aanvallen door kwaadwillende actoren is een belangrijk aandachtspunt van de privacyautoriteiten in Canada en de rest van de wereld.”