amerikali
Yeni Üye
ABD’deki genetik test şirketine yönelik veri koruma iddiaları
ABD Federal Ticaret Komisyonu (FTC), bir genetik analiz sağlayıcısına karşı ciddi iddialarda bulundu. 1Health.io (Vitagene) şirketinin veri güvenliği ve veri korumaya ilişkin kendi sözleşme yükümlülüklerini yerine getiremediği söyleniyor. Hassas sağlık verileri, bulut depolama alanında herkesin erişebileceği şekilde saklandı ve birden fazla uyarıya rağmen yedeklenmedi. Ardından şirket gizlilik politikasını değiştirerek hassas müşteri bilgilerini etkilenenlere haber vermeden süpermarketlere satmasına izin verdi.
Vitagene, 2015 yılından bu yana tüketicilere “DNA Sağlık Test Kitleri” satmaktadır. Müşteriler bir tükürük örneği ve doldurulmuş bir sağlık bilgileri anketi gönderdi. Artık 1Health.io olarak faaliyet gösteren şirket bundan yola çıkarak kişiselleştirilmiş “sağlık raporları” ve ebeveynlik değerlendirmesi oluşturuyor. Fiyatlar, kişiselleştirilmiş vitamin kombinasyonları veya beslenme koçluğu gibi ek hizmetleri içerebilen 29 ila 259 ABD Doları arasında değişmektedir.
1Health, müşterilerine sektördeki olağan seviyenin üzerinde ve ötesinde “bombaya dayanıklı” veri koruma sözü verdi. Buna ek olarak, laboratuvar tükürük örneklerini de yok edecek – aslında şirketin laboratuvarın gerçekten bunu planlayıp planlamadığını kontrol etmediği söyleniyor. Depolanan gen verilerinin müşterinin adıyla ilişkilendirilemeyeceği söylendi – aslında ilgili ilk adlarla depolanmaları gerekiyordu.
Ne de olsa müşteriler, verilerini istedikleri zaman sildirebilmelidir. Ancak şirket bir veri envanteri tutmadığı için ilgili silme emirlerini kapsamlı bir şekilde işlemesi mümkün olmadı.
Verilerin süpermarketlere planlı satışı
2016’da sağlık raporları, gen varyantları ve diğer genetik veriler gibi hassas veriler, Amazon’un AWS S3’ünde – herkesin erişebileceği AWS depolama alanında, şifrelenmemiş ve erişim izlemesi veya kaydı olmadan sona erdi. En az 2.383 müşteriden alınan sağlık raporları ve en az 227 müşteriden alınan genetik veriler dahil edildi. 1Health.io’nun Temmuz 2017’de AWS’den gelen uyarıyı ve Kasım 2018’de korumasız çevrimiçi depolamanın keşfedildiği bir sızma testinin sonucunu dikkate almadığı söyleniyor.
Haziran 2019’da harici bir güvenlik araştırmacısı alarm verdiğinde bile 1Health.io’nun sorunu çözmediği söyleniyor. Ancak bu araştırmacı halka açıldığında şirket konuyu ele aldı. Depolama izleme olmadığında, yetkisiz kişilerin verilere erişip erişmediğini veya nereden eriştiğini belirlemek mümkün değildir.
2020’de 1Health.io bir adım daha ileri gitti: Şirket, etkilenenleri bilgilendirmeden veri koruma düzenlemelerini tek taraflı olarak değiştirdi. Genetik test şirketi, müşteri verilerini süpermarketlere, besin takviyesi üreticilerine ve diğer üçüncü taraflara sattığını varsayıyordu. FTC, orijinal gizlilik kuralı tek taraflı değişiklikler için sağlanmış olsa da, bu tür maddelerin ABD yasalarına göre yasa dışı olduğunu söylüyor. Haksız, tek taraflı değişiklikler bu nedenle haksız rekabeti temsil eder. Haksız rekabet aynı zamanda veri güvenliği önlemlerinin asılsız övgüsüdür.
Geri ödemeler için 75.000 $
FTC, 1Health.io’ya kendi idari mahkemesinde dava açtı ve bir uzlaşma üzerinde anlaştı. 1Health.io iddiaları doğrulamakla birlikte yalanlamıyor da. Taslak anlaşma şu anda dört hafta boyunca kamuoyu görüşüne açık ve ardından FTC anlaşmayı kabul edip etmeyeceğine veya değişiklik talep edip etmeyeceğine karar verecek.
1Health.io’nun, FTC’nin etkilenen tüketicilere tazminat ödemek için kullanmak istediği 75.000 $’ı ödemesi planlanıyor. Buna ek olarak şirket, asılsız iddialarda bulunulmaması, verilerin yalnızca veri sahiplerinin açık rızasıyla ifşa edilmesi, tükürük örneklerinin fiilen imha edilmesi, bağımsız incelemeler de dahil olmak üzere bir veri güvenliği programının oluşturulması ve FTC’ye düzenli raporlama dahil olmak üzere çok sayıda taahhütte bulunmalıdır.
FTC prosedürü denir 1Health.io meselesinde Vitagene olarak da iş yapıyorAz. 1923170. FTC, bu prosedürün diğer tüm ABD şirketlerine veri koruma düzenlemelerini etkilenenlerin zararına tek taraflı olarak değiştirmemeleri için bir uyarı işlevi gördüğünü vurgular.
Görüş 1Health.io
1Health.io, çevrimiçi olarak yalnızca 2019 yılında ücretsiz olarak erişilebilen müşteri verileri hakkında bilgi aldığını belirtti. 2016 yılında Vitagene yazılımını test eden bir yükleniciyi suçladı. Müşteri verilerini güvenlik kurallarına aykırı olarak Amazon S3’e yükledi. 3.000’den az müşteriden 3754 dosya var. Şirket, bunun için erişim günlüğü olmadığını kabul etse de, müşteri verilerine yetkisiz erişim olduğuna dair bir kanıt yoktu.
Şirket, geri kalan iddialar hakkında ayrıntılı bir yorum yapmıyor ancak “FTC’nin vardığı sonuçların pek çoğunu paylaşmadığını” söylüyor. Aksine, 1Health.io, soruşturma makamını “resmi gücün olağanüstü kötüye kullanılması” ile suçluyor: “Bu olağanüstü bir hükümet aşımı vakası“, orijinalinde. Sırasıyla 2018 ve 2019’da diğer iki ABD laboratuvarında çok daha büyük veri ihlalleri yaşandı.
(ds)
Haberin Sonu