Beberapa rahasia sangat rahasia sehingga tidak seorang pun mengetahuinya. Sampai saat ini, inilah penjelasan rahasia di dalam DNA kita. Namun kunci untuk memenangkan kepercayaan konsumen di pasar pengujian genetik yang sedang booming adalah sejauh mana masyarakat dapat mengandalkan janji perusahaan bahwa “rahasia Anda aman bersama kami”. Dalam kasus pertamanya yang berfokus pada privasi dan keamanan informasi genetik, FTC menuduh Vitagene, Inc. Perusahaan yang berbasis di San Francisco – sekarang dikenal sebagai 1Health.io – gagal memenuhi janjinya dan secara tidak adil mengubah ketentuan privasi penting tanpa persetujuan pelanggan. izin. Penyelesaian yang diusulkan dan tindakan baru-baru ini mengirimkan pesan yang jelas bahwa FTC berkomitmen penuh untuk melindungi informasi kesehatan konsumen.
Setelah konsumen membayar $29 hingga $259, mengirimkan sampel air liur ke Vitagene, dan menjawab kuesioner online tentang riwayat kesehatan, riwayat keluarga, dan gaya hidup mereka, perusahaan memberi mereka laporan kesehatan yang dipersonalisasi. Laporan tersebut mencakup nama lengkap klien dan penilaian risikonya terhadap berbagai masalah kesehatan.
Dengan menggunakan gambar gembok, kunci, dan ritsleting yang aman, situs web perusahaan tersebut penuh dengan klaim tentang kepedulian yang dijanjikan dalam menangani informasi genetik konsumen. Berikut adalah beberapa janji perusahaan.
- “Kami menggunakan praktik keamanan standar industri untuk menyimpan sampel DNA Anda, hasil tes, dan data pribadi lainnya yang Anda berikan.”
- “Batu–Keamanan yang kokoh. Kami menggunakan teknologi terkini dan melampaui praktik keamanan standar industri untuk melindungi privasi Anda.
- “Vitagene mengumpulkan, memproses, dan menyimpan informasi pribadi Anda di lingkungan yang bertanggung jawab, transparan, dan aman yang meningkatkan kepercayaan dan keyakinan pelanggan kami.”
- “Anda mengontrol data Anda. Anda dapat menghapus data Anda kapan saja. Ini akan menghapus informasi Anda dari semua server kami.
- Tiga cara kami melindungi privasi Anda: 1. Hasil dan sampel DNA Anda disimpan tanpa nama Anda atau informasi pengenal umum lainnya. 2. Vitagene menghancurkan sampel air liur DNA fisik Anda setelah dianalisis. 3. Kami tidak membagikan informasi Anda kepada pihak ketiga mana pun tanpa izin tertulis dari Anda.
Pembicaraan yang bagus tentang privasi dan keamanan, namun menurut FTC, Vitagene lebih merupakan pembicaraan daripada tindakan. Anda harus membaca keluhan tersebut untuk mengetahui detailnya, tetapi sebagian ceritanya dimulai di cloud. Sebagai komponen infrastruktur TI, Vitagene menggunakan penyedia layanan cloud terkenal untuk menyimpan informasi rahasia, termasuk laporan kesehatan konsumen dan data DNA. Vitagene diduga tidak menggunakan prosedur bawaan untuk mengamankan informasi dan malah menyimpannya dalam “ember” yang memungkinkan siapa pun yang memiliki akses Internet melihat laporan rinci untuk sekitar 2.400 pelanggan Vitagene. Juga dapat diakses: data genetik mentah untuk setidaknya 227 klien lain, terkadang diidentifikasi dengan nama depan. Sementara Vitagen Berjanjilah untuk itu “Lebih dari industri–“Praktik keamanan standar,” kata FTC, perusahaan tidak mengenkripsi data tersebut, membatasi akses terhadapnya, memantau akses, atau menyimpannya untuk membantu memastikan keamanannya. Pengaduan tersebut juga menuduh Vitagene tidak mengambil langkah yang diperlukan untuk memastikan hal ini ituAyah untuk menganalisisd banyak Sampel DNA mempunyai kebijakan untuk pemusnahannya.
Selain itu, pengaduan tersebut menuduh bahwa selama dua tahun, Vitagene menerima tiga peringatan terpisah bahwa mereka menyimpan informasi kesehatan dan genetik pelanggan sedemikian rupa sehingga dapat diakses oleh publik. Peringatan #1: Pesan pada bulan Juli 2017 dari penyedia cloud bahwa Vitagene telah mengonfigurasi datanya “untuk mengizinkan akses baca dari siapa pun di Internet.” Termasuk email Tautan Ke konsol akun dan informasi tentang cara membatasi akses. Balasan dari Vitagen: Kecoa.
Peringatan No. 2 datang dari perusahaan keamanan yang melakukan uji penetrasi aplikasi web pada bulan November 2018 dan “menemukan bahwa data DNA yang diunggah disimpan tanpa kontrol akses apa pun.” Vitagene lagi, tuduhan pengaduan Gagal memperbaiki situasi
Peringatan #3 adalah email bulan Juni 2019 dari peneliti keamanan yang dikirim ke kotak surat dukungan Vitagene. Setelah peneliti menghubungi media, kata FTC Perusahaan akhirnya menyelidikinya Paparan publik terhadap informasi kesehatan klien. Namun, karena Vitagene tidak memantau siapa yang mengakses atau mengunduh data tersebut, Vitagene tidak dapat menentukan siapa lagi yang mungkin telah melihat informasi tersebut..
Dugaan kesalahan Vitagen tidak berakhir di situ. Pada tahun 2020, perusahaan mengubah kebijakan privasinya dengan secara surut memperluas jenis pihak ketiga yang dapat diajak berbagi data konsumen, termasuk jaringan toko kelontong, produsen suplemen nutrisi, dan sejenisnya. Dia melakukannya tanpa pemberitahuan Pelanggan yang memberikan datanya berdasarkan kebijakan privasi sebelumnya yang lebih ketat Dan dapatkan persetujuan mereka.
Pengaduan tersebut menuduh bahwa janji perusahaan bahwa mereka melampaui standar keamanan industri, menyimpan hasil DNA tanpa informasi identifikasi, menghapus data atas permintaan konsumen, dan berhati-hati dalam menghancurkan sampel fisik DNA adalah salah atau menyesatkan. Lebih lanjut, FTC menuduh bahwa perubahan kebijakan privasi perusahaan pasca-insiden mengenai pembagian informasi pribadi sensitif dengan pihak ketiga adalah praktik yang tidak adil dan melanggar Undang-Undang FTC. Meskipun kebijakan privasi asli Vitagene menyatakan bahwa akses konsumen atau penggunaan layanan perusahaan setelah perusahaan memposting kebijakan privasi yang direvisi berarti bahwa konsumen telah menerima persyaratan yang direvisi, namun bahasa tersebut tidakR Melepaskan Vitagene dari kewajibannya untuk memberikan pemberitahuan dan mendapatkan persetujuan konsumen sebelum melakukan perubahan materi yang berlaku surut terhadap praktik privasinya. Selain itu, pengaduan tersebut menuduh bahwa tindakan Vitagene tidak adil meskipun perusahaan tersebut belum menerapkan praktik berbagi informasi yang lebih luas yang ditetapkan dalam kebijakan privasi yang direvisi.
Untuk menyelesaikan kasus ini, 1health.io setuju untuk menerapkan program keamanan informasi yang komprehensif, termasuk penilaian pihak ketiga setiap dua tahun. Selain itu, seorang eksekutif senior harus menyatakan setiap tahun bahwa perusahaan mematuhi ketentuan penyelesaian. Penyelesaian yang diusulkan Juga Ini termasuk ganti rugi finansial sebesar $75.000. Setelah penyelesaian muncul di Daftar Federal, Anda memiliki waktu 30 hari untuk mengajukan komentar publik.
Apa yang dapat diperoleh perusahaan lain dari tindakan FTC?
Informasi kesehatan yang sensitif – termasuk data genetik – memerlukan perhatian intensif. Jika perusahaan Anda mengumpulkan atau menyimpan informasi kesehatan konsumen, Anda telah meningkatkan standar privasi dan keamanan yang harus Anda terapkan. Berikan perhatian khusus untuk membuktikan janji yang Anda buat tentang praktik data Anda. (Omong-omong, jika Anda belum membaca Pernyataan Kebijakan FTC Mei 2023 tentang Informasi Biometrik, luangkan waktu sekarang.)
Hanya karena data tersebut milik Anda bukan berarti data tersebut milik Anda. Mengumpulkan data konsumen bukan berarti Anda bebas melakukannya sesuai keinginan. Konsumen mempunyai hak untuk mengetahui terlebih dahulu bagaimana Anda bermaksud menggunakan informasi mereka dan Anda mempunyai kewajiban hukum untuk menepati janji Anda. Artinya, jika Anda ingin mengubah praktik Anda di masa mendatang, mengubah Kebijakan Privasi Anda saja tidak cukup. Anda memerlukan persetujuan tegas dari konsumen untuk setiap penggunaan baru atas data mereka.
Dalam hal keamanan, menyimpan data Anda di cloud tidak berarti Anda bisa terus fokus pada cloud. FTC telah lama mengatakan bahwa menyimpan data di cloud tidak memberikan keamanan bagi perusahaan. Anda tetap bertanggung jawab untuk mengambil langkah-langkah yang wajar untuk mengamankan data Anda – misalnya, dengan mengonfigurasi pengaturan keamanan cloud Anda dengan benar dan dengan menginventarisasi dan mengaudit penyimpanan cloud Anda. Sebagaimana dijelaskan dalam permintaan FTC atas informasi tentang komputasi awan, vendor teknologi awan dan perusahaan yang menggunakan layanan mereka berbagi tanggung jawab untuk mengamankan informasi pribadi konsumen.
Tanggapi peringatan yang dapat diandalkan tentang potensi kerentanan keamanan. Keluhan terhadap Vitagene menuduh banyak kejadian di mana perusahaan gagal menanggapi peringatan lainnyas – termasuk penyedia penyimpanan cloud miliknya sendiri – Dia mempelajari tentang keamanan informasi berbasis cloud. Apakah Anda mempunyai sistem untuk memastikan peringatan ini menjangkau orang yang tepat dan mendapatkan perhatian segera yang layak mereka dapatkan?