De procureur-generaal van Californië, Rob Bonta, heeft een rechtszaak aangespannen tegen genetisch testbedrijf 23andMe, met als doel de verkoop van genetische profielen en persoonlijke informatie van miljoenen klanten te blokkeren als onderdeel van de faillissementsprocedure van het bedrijf.
De rechtszaak stelt dat genetische informatie die van inwoners van Californië wordt verzameld, niet als een traditioneel bedrijfsmiddel kan worden behandeld en zonder nieuwe toestemming van klanten aan een ander bedrijf kan worden overgedragen. Staatsfunctionarissen stellen dat DNA-gegevens unieke privacyrisico’s met zich meebrengen omdat het diep persoonlijke informatie bevat die niet kan worden aangepast als deze blootgesteld of misbruikt wordt.
23andMe vroeg eerder dit jaar faillissementsbescherming aan onder Chapter 11 na te hebben geworsteld met de dalende vraag naar consumenten-DNA-testkits en toenemende financiële druk. Als onderdeel van het herstructureringsproces heeft het bedrijf kopers gezocht voor delen van zijn bedrijf, waaronder de uitgebreide database met genetische informatie die bijna twee decennia van miljoenen gebruikers is verzameld.
Californische functionarissen stellen dat de voorgestelde verkoop in strijd kan zijn met de privacywetten van de staat, waaronder de Genetic Information Privacy Act en de California Consumer Privacy Act. Volgens de klacht gaven klanten hun DNA-monsters aan voor testdoeleinden en stemden ze niet in met het overdragen van hun genetische informatie aan onbekende toekomstige eigenaren via faillissementsprocedures.
De juridische actie volgt op groeiende publieke bezorgdheid over de toekomst van een van ‘s werelds grootste genetische consumentendatabases. Privacyvoorstanders hebben gewaarschuwd dat genetische informatie verschilt van gewone persoonlijke gegevens omdat deze familiebanden, gezondheidsrisico’s, afkomstgegevens en biologische kenmerken kan onthullen die levenslang met individuen verbonden blijven.
Het geschil komt minder dan drie jaar nadat 23andMe een groot beveiligingsincident onthulde waarbij informatie van miljoenen gebruikers werd blootgelegd. In 2023 kregen aanvallers via credential-stuffing-aanvallen toegang tot klantaccounts en gebruikten zij accountsharing-functies om profielgegevens te verzamelen van een veel grotere groep mensen. De inbreuk trof uiteindelijk bijna zeven miljoen gebruikers en leidde tot meerdere rechtszaken en regelgevende onderzoeken.
Procureur-generaal Bonta riep Californiërs op hun accounts te herzien en te overwegen opgeslagen genetische informatie te verwijderen als ze geen gegevens meer op het platform willen bewaren. Staatsfunctionarissen hebben herhaaldelijk benadrukt dat consumenten het recht behouden om verwijdering te verzoeken van zowel genetische gegevens als biologische monsters die door het bedrijf zijn opgeslagen.
23andMe heeft volgehouden dat elke transactie met klantinformatie onderworpen blijft aan toepasselijke privacywetten en toezicht van de rechtbank. Het bedrijf verklaarde eerder dat het beschermen van klantgegevens een prioriteit blijft gedurende het hele faillissementsproces.