Perusahaan tes DNA dan genetik 23andMe mengalami kekacauan setelah pelanggaran data pada tahun 2023 dan penurunan keuangan yang sedang berlangsung. Raksasa yang dulunya menjadi pelopor sekarang menghadapi masa depan yang tidak pasti karena kebangkrutan mengancam perusahaan, meningkatkan kekhawatiran tentang apa yang mungkin terjadi pada data genetik sekitar 15 juta pelanggan 23andMe.
Terkenal dengan kit tes berbasis air liurnya yang menawarkan sekilas ke dalam leluhur genetik seseorang, 23andMe telah melihat nilai perusahaannya turun lebih dari 99% dari puncak $6 miliar sejak menjadi perusahaan publik pada awal 2021 setelah gagal menghasilkan keuntungan.
Kurangnya keuntungan itu disebabkan oleh menurunnya minat konsumen terhadap kit tes sekali pakai 23andMe dan pertumbuhan layanan langganan yang kurang menggembirakan. Perusahaan juga lumpuh oleh pelanggaran data berukuran besar selama berbulan-bulan yang menyebabkan peretas mencuri data kekerabatan hampir 7 juta pengguna sepanjang 2023. Perusahaan setuju pada bulan September untuk membayar $30 juta untuk menyelesaikan gugatan terkait pelanggaran tersebut.
Kurang dari seminggu setelahnya, pendiri dan CEO 23andMe, Anne Wojcicki, mengatakan dia “mempertimbangkan proposal pengambilalihan pihak ketiga” untuk perusahaan. Wojcicki dengan cepat menarik pernyataan tersebut, malah mengatakan dia berencana untuk membuat perusahaan menjadi swasta. Namun, kerusakan telah terjadi, dan semua anggota dewan independen perusahaan mengundurkan diri dengan efek langsung.
Setelah mengajukan perlindungan kebangkrutan pada Maret 2024, aset perusahaan - termasuk bank data DNA yang luas - akan dijual melalui penjualan yang diawasi pengadilan. Wojcicki juga mengundurkan diri dari perusahaan.
Di mana ini meninggalkan data genetik jutaan orang?
23andMe sebagian besar terikat oleh aturan sendiri
Seperti yang terlihat dari pelanggaran data pada tahun 2023, di mana peretas mencuri informasi seperti kecenderungan genetik dan laporan kekerabatan pengguna, 23andMe mengumpulkan sejumlah informasi tentang penggunanya.
Jika Anda adalah salah satu dari jutaan orang yang telah mengirimkan air liur Anda ke 23andMe untuk mempelajari kekerabatan Anda, Anda mungkin telah mengasumsikan bahwa data ini akan tetap privat berdasarkan hukum, seperti Health Insurance Portability and Accountability Act. HIPAA, seperti yang diketahui, menetapkan standar untuk melindungi informasi kesehatan yang sensitif agar tidak diungkapkan tanpa pengetahuan atau persetujuan seseorang.
Namun, 23andMe bukan perusahaan yang tercakup dalam HIPAA. Oleh karena itu, 23andMe sebagian besar terikat hanya oleh kebijakan privasinya sendiri, yang dapat berubah kapan saja.
Andy Kill, juru bicara 23andMe, mengatakan kepada TechCrunch bahwa perusahaan percaya ini adalah “model yang lebih tepat dan transparan untuk data yang kami tangani, bukan model HIPAA yang diterapkan oleh industri perawatan kesehatan tradisional.”
Kurangnya regulasi federal dan kekacauan hukum privasi negara pada akhirnya berarti bahwa jika 23andMe menghadapi penjualan, data jutaan warga Amerika juga berada di atas meja. Kebijakan privasi perusahaan menyatakan bahwa informasi pribadi pelanggannya “dapat diakses, dijual, atau ditransfer” sebagai bagian dari kebangkrutan, penggabungan, akuisisi, reorganisasi, atau penjualan.
Fakta bahwa data pelanggan adalah aset yang dapat dijual juga sudah jelas disampaikan oleh Wojcicki, yang dilaporkan mengatakan kepada investor bahwa 23andMe tidak akan lagi mengejar program pengembangan obat yang menghabiskan biaya dan akan fokus pada pemasaran database pelanggan yang luas kepada perusahaan farmasi dan peneliti.
23andMe menegaskan bahwa kebijakan privasi datanya tidak akan berubah dalam acara penjualan. Kebijakan ini menyatakan bahwa perusahaan tidak akan pernah membagikan informasi pengguna kepada perusahaan asuransi, atau kepada penegak hukum tanpa surat perintah. Yang terakhir ini semakin banyak meminta perusahaan DNA pihak ketiga untuk informasi genetik, namun 23andMe hingga saat ini menolak semua permintaan penegak hukum AS untuk data tersebut, sesuai dengan laporan transparansi berkelanjutan.
Pembeli potensial 23andMe mungkin memiliki ide yang berbeda tentang bagaimana menggunakan harta DNA yang mungkin berharga dari perusahaan. Advokat privasi di kelompok hak digital Electronic Frontier Foundation telah mendorong 23andMe untuk menolak penjualan kepada perusahaan yang memiliki keterkaitan dengan penegak hukum, dengan memperingatkan bahwa data genetik pelanggan dapat digunakan oleh polisi untuk mencari bukti kejahatan secara sembrono.
“Komitmen kami sendiri untuk menerapkan syarat-syarat dari kebijakan privasi kami terhadap informasi pribadi pelanggan kami dalam acara penjualan atau transfer adalah jelas: Syarat dan Pernyataan Privasi 23andMe akan tetap berlaku kecuali dan sampai pelanggan disajikan, dan menyetujui, syarat dan pernyataan baru - dan hanya setelah menerima pemberitahuan yang sesuai dari setiap syarat baru, di bawah hukum perlindungan data yang berlaku,” kata Kill kepada TechCrunch.
Secara proaktif menghapus akun Anda
Ketika 23andMe menghadapi kebangkrutan, ada panggilan bagi pelanggan 23andMe untuk mengambil tindakan sekarang untuk melindungi data mereka dari dijual.
Jaksa Agung California Rob Bonta mengatakan dalam pernyataan setelah 23andMe mengajukan kebangkrutan bahwa penduduk negara bagian memiliki hak untuk menuntut penghapusan data genetik mereka berdasarkan undang-undang negara.
Meredith Whittaker, presiden aplikasi pesan terenkripsi ujung ke ujung Signal, mengatakan dalam posting di X: “Bukan hanya Anda. Jika ada anggota keluarga Anda yang memberikan DNA mereka ke [23andMe], demi kebaikan Anda semua, tutup akun Anda/mereka sekarang."
Eva Galperin, direktur keamanan siber di EFF, juga memperingatkan pengguna untuk mengambil tindakan. “Jika Anda memiliki akun 23andMe, hari ini adalah hari yang tepat untuk login dan meminta penghapusan data Anda,” kata Galperin dalam posting di X.
Meminta penghapusan data Anda di 23andMe relatif mudah.
Log masuk ke akun 23andMe Anda dan arahkan ke Pengaturan > Informasi Akun > Hapus Akun Anda. 23andMe akan meminta Anda untuk mengonfirmasi keputusan Anda, memperingatkan bahwa menghapus akun Anda bersifat permanen dan tidak dapat dibalik.
Ada catatan penting. Seperti yang dicatat dalam Kebijakan Privasi 23andMe, penghapusan akun tunduk pada persyaratan retensi dan beberapa pengecualian, yang berarti perusahaan mungkin menyimpan sebagian data Anda untuk jangka waktu yang tidak ditentukan.
Misalnya, 23andMe akan menyimpan informasi genetik, tanggal lahir, dan jenis kelamin Anda “sebagaimana yang diperlukan untuk kepatuhan” dan akan menyimpan data terbatas yang terkait dengan permintaan penghapusan Anda, “termasuk tetapi tidak terbatas pada, alamat email Anda, pengidentifikasi permintaan penghapusan akun, komunikasi yang terkait dengan pertanyaan atau keluhan dan perjanjian hukum.”
Demikian pula, jika Anda sudah setuju 23andMe berbagi data Anda untuk tujuan penelitian, Anda dapat mencabut persetujuan tersebut, namun tidak ada cara bagi Anda untuk menghapus informasi tersebut. Kill memberi tahu TechCrunch bahwa sekitar 80% pelanggan 23andMe - kira-kira 12 juta orang - menyetujui untuk berpartisipasi dalam program penelitian perusahaan.
Pertama kali diterbitkan pada 19 Oktober 2024 dan diperbarui sejak itu.
