يجب على شركة الاختبارات الجينية إصدار المبالغ المستردة بعد حدوث كارثة خرق أمني
تجبر لجنة التجارة الفيدرالية شركة الاختبارات الجينية 1Health.io ومقرها كاليفورنيا على دفع ما يقرب من 50 ألف دولار من المبالغ المستردة إلى 2432 عميلاً. تركت الشركة بيانات العملاء في سحابة عامة غير آمنة ولم تكن حريصة على قيام مقاولي الطرف الثالث بتدمير المواد الجينية بعد الانتهاء منها.
1Health.io هي شركة معروفة رسميًا باسم Vitagene. غيرت اسمها في عام 2020. باعت Vitagene مجموعات اختبار الحمض النووي والتقارير الصحية. كانت الفكرة هي أن العميل يمكنه الحصول على فكرة أفضل عما يقوله الحمض النووي الخاص به عن الحالات الصحية المحتملة.
في عام 2023، أصدرت لجنة التجارة الفيدرالية (FTC) شكوى ضد الشركة تزعم فيها عددًا كبيرًا من انتهاكات الخصوصية. لقد كانت قضية سلام دانك. ادعى موقع Vitagene على الويب أنه يوفر “أمانًا قويًا للغاية” ووعد بالتعامل مع بيانات العميل والحمض النووي بطريقة مسؤولة. ووعدت بمشاركة البيانات الصحية للعملاء فقط في ظروف محدودة، وعدم تخزين عيناتهم الجينية إلى جانب المعلومات التعريفية، وتدمير عينات الحمض النووي بعد تحليلها.
لم يفعل Vitagene أيًا من ذلك، وفقًا للجنة التجارة الفيدرالية. تعاملت شركة خارجية مع تحليل عينات الحمض النووي ولم يكن لدى 1Health.io أي أحكام معمول بها للتأكد من أن الشركة دمرت العينات.
“وفي عام 2020، غيرت الشركة سياسة الخصوصية الخاصة بها من خلال توسيع بأثر رجعي أنواع الجهات الخارجية التي قد تشارك بيانات المستهلكين معها لتشمل، على سبيل المثال، سلاسل المتاجر الكبرى وشركات تصنيع المواد الغذائية والمكملات الغذائية – دون إخطار المستهلكين الذين سبق لهم مشاركة البيانات الشخصية. وقالت لجنة التجارة الفيدرالية في عام 2023: “مع الشركة أو الحصول على موافقتها لمشاركة مثل هذه المعلومات الحساسة، وفقًا للشكوى”.
والأسوأ من ذلك أنه تم تخزين أكثر من 2000 من البيانات الشخصية للعميل في حاويات AWS التي يمكن الوصول إليها بسهولة. وتضمنت البيانات تقارير صحية، وبيانات وراثية أولية، وكانت مصحوبة أحيانًا بأسماء العملاء. وقالت لجنة التجارة الفيدرالية: “لم يقم Vitagene بتشفير تلك البيانات، أو تقييد الوصول إليها، أو تسجيل أو مراقبة الوصول إليها، أو جردها للمساعدة في ضمان أمنها، وفقًا للشكوى”.
بالإضافة إلى المبالغ المستردة، دفعت Vitagene غرامة قدرها 75000 دولار، وعليها أن تسمح للجنة التجارة الفيدرالية (FTC) بإلقاء نظرة عامة أقرب على أعمالها. لا يُسمح بمشاركة البيانات الصحية مع أطراف ثالثة دون موافقة صريحة من العميل، ويجب التأكد من التزام تلك الأطراف الثالثة بالعقد، ويجب عليها إخبار لجنة التجارة الفيدرالية (FTC) إذا تعرضت لخرق للبيانات.
قال صامويل ليفين، مدير مكتب حماية المستهلك التابع للجنة التجارة الفيدرالية، في عام 2023: “الشركات التي تحاول تغيير قواعد اللعبة من خلال إعادة كتابة سياسة الخصوصية الخاصة بها تكون على علم بذلك”. “يحظر قانون لجنة التجارة الفيدرالية على الشركات تطبيق تغييرات سياسة خصوصية المواد من جانب واحد. للبيانات التي تم جمعها مسبقًا.”