Perusahaan pengujian DNA dan genetik 23andMe berada dalam kekacauan menyusul pelanggaran data tahun lalu dan penurunan keuangan yang sedang berlangsung. Raksasa yang pernah menjadi pionir ini kini menghadapi masa depan yang tidak pasti di tengah upaya untuk menjadikan perusahaannya swasta, sehingga meningkatkan kekhawatiran tentang apa yang mungkin terjadi pada data genetik dari sekitar 15 juta pelanggan 23andMe.
Terkenal karena alat tes berbasis air liur yang menawarkan gambaran sekilas tentang keturunan genetik seseorang, 23andMe mengalami penurunan nilai lebih dari 99% dari puncaknya sebesar $6 miliar sejak go public pada awal tahun 2021 setelah gagal menghasilkan keuntungan.
Kurangnya keuntungan tersebut disebabkan oleh berkurangnya minat konsumen terhadap alat tes sekali pakai 23andMe dan pertumbuhan layanan berlangganannya yang lesu. Perusahaan ini juga dilanda pelanggaran data besar-besaran selama berbulan-bulan yang menyebabkan peretas mencuri data leluhur hampir 7 juta pengguna sepanjang tahun 2023. disetujui pada bulan September untuk membayar $30 juta untuk menyelesaikan gugatan terkait pelanggaran tersebut.
Kurang dari seminggu kemudian, pendiri dan CEO 23andMe Anne Wojcicki mengatakan dia “mempertimbangkan proposal pengambilalihan pihak ketiga” untuk perusahaan tersebut. Wojcicki dengan cepat menarik kembali pernyataan itu, malah mengatakan dia berencana menjadikan perusahaan itu swasta. Namun kerusakan telah terjadi, dan semua anggota dewan independen perusahaan segera mengundurkan diri.
Apa yang tersisa dari data genetik jutaan orang?
23andMe sebagian besar terikat oleh peraturannya sendiri
Sebagaimana dibuktikan oleh pelanggaran data tahun lalu, yang menyebabkan peretas mencuri informasi seperti kecenderungan genetik pengguna dan laporan keturunan, 23andMe mengumpulkan banyak sekali informasi tentang penggunanya.
Jika Anda salah satu dari jutaan orang yang mengirimkan air liur Anda ke 23andMe untuk mengetahui nenek moyang Anda, Anda mungkin berasumsi bahwa data ini akan tetap bersifat pribadi menurut hukum, seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan. HIPAA, sebagaimana diketahui, menetapkan standar untuk melindungi informasi kesehatan sensitif agar tidak diungkapkan tanpa sepengetahuan atau persetujuan seseorang.
Namun, 23andMe bukanlah perusahaan yang tercakup dalam HIPAA. Oleh karena itu, 23andMe sebagian besar hanya terikat oleh kebijakan privasinya sendiri, yang dapat diubah kapan saja.
Andy Kill, juru bicara 23andMe, mengatakan kepada TechCrunch bahwa perusahaan yakin ini adalah “model yang lebih tepat dan transparan untuk data yang kami tangani, daripada model HIPAA yang digunakan oleh industri perawatan kesehatan tradisional.”
Kurangnya peraturan federal dan kekacauan undang-undang privasi negara bagian pada akhirnya berarti bahwa jika 23andMe menghadapi penjualan, data jutaan orang Amerika juga akan diperhitungkan. Kebijakan privasi perusahaan menyatakan bahwa informasi pribadi pelanggannya “dapat diakses, dijual atau ditransfer” sebagai bagian dari kebangkrutan, merger, akuisisi, reorganisasi, atau penjualan.
Fakta bahwa data pelanggan adalah aset yang dapat dijual juga telah dijelaskan oleh Wojcicki dilaporkan kepada investor bahwa 23andMe tidak akan lagi menjalankan program pengembangan obat yang mahal dan sebaliknya akan fokus pada pemasaran database data pelanggannya yang luas kepada perusahaan farmasi dan peneliti.
23andMe menyatakan bahwa kebijakan privasi datanya tidak akan berubah jika terjadi penjualan. Kebijakan ini menyatakan bahwa perusahaan tidak akan pernah membagikan informasi pengguna kepada perusahaan asuransi, atau kepada penegak hukum tanpa surat perintah. Perusahaan-perusahaan tersebut semakin beralih ke perusahaan DNA pihak ketiga untuk mendapatkan informasi genetik, namun 23andMe sejauh ini menolak semua permintaan penegakan hukum AS untuk data tersebut, menurut pada laporan transparansi jangka panjangnya.
Calon pembeli 23andMe mungkin memiliki gagasan yang sangat berbeda tentang cara menggunakan data DNA perusahaan yang berpotensi berharga. Pendukung privasi di kelompok hak digital Electronic Frontier Foundation memilikinya sudah mendesak 23andMe untuk menolak penjualan kepada perusahaan mana pun yang memiliki hubungan dengan penegakan hukum, memperingatkan bahwa data genetika pelanggan dapat digunakan oleh polisi untuk mencari bukti kejahatan tanpa pandang bulu.
“Komitmen kami sendiri untuk menerapkan ketentuan kebijakan privasi kami pada informasi pribadi pelanggan kami jika terjadi penjualan atau pengalihan sudah jelas: Ketentuan Layanan dan Pernyataan Privasi 23andMe akan tetap berlaku kecuali dan sampai pelanggan diberikan, dan menyetujui persyaratan dan pernyataan baru – dan hanya setelah menerima pemberitahuan yang sesuai tentang persyaratan baru, berdasarkan undang-undang perlindungan data yang berlaku,” kata Kill kepada TechCrunch.
Menghapus akun Anda secara proaktif
Meskipun 23andMe tampaknya menolak penjualan ke perusahaan pihak ketiga untuk saat ini, komentar Wojcicki yang menarik kembali telah menimbulkan peringatan di kalangan pendukung privasi, yang mendesak pelanggan 23andMe untuk mengambil tindakan sekarang untuk melindungi data mereka agar tidak dijual dengan meminta agar 23andMe menghapus data mereka.
Meredith Whittaker, presiden aplikasi perpesanan terenkripsi ujung ke ujung, Signal, mengatakan dalam postingan di X: “Bukan hanya kamu. Jika ada orang di keluarga Anda yang memberikan DNA mereka [23andMe]demi kebaikan Anda semua, tutup akun Anda/mereka sekarang.”
Eva Galperin, direktur keamanan siber di EFF, juga memperingatkan pengguna untuk mengambil tindakan. “Jika Anda memiliki akun 23andMe, hari ini adalah hari yang baik untuk login dan meminta penghapusan data Anda,” kata Galperin dalam sebuah posting di X.
Meminta penghapusan data Anda di 23andMe relatif mudah.
Masuk ke akun 23andMe Anda dan navigasikan ke Pengaturan > Informasi Akun > Hapus Akun Anda. 23andMe akan meminta Anda untuk mengonfirmasi keputusan Anda, memperingatkan bahwa penghapusan akun Anda bersifat permanen dan tidak dapat diubah.
Ada peringatan penting. Sebagaimana tercantum dalam kebijakan privasi 23andMe, penghapusan akun “tunduk pada persyaratan penyimpanan dan pengecualian tertentu,” yang berarti perusahaan mungkin menyimpan beberapa data Anda untuk jangka waktu yang tidak ditentukan.
Misalnya, 23andMe akan menyimpan informasi genetik Anda, tanggal lahir, dan jenis kelamin “sebagaimana diperlukan untuk kepatuhan” dan akan menyimpan data terbatas terkait dengan permintaan penghapusan Anda, “termasuk namun tidak terbatas pada, alamat email Anda, pengidentifikasi permintaan penghapusan akun, komunikasi terkait dengan pertanyaan atau pengaduan dan perjanjian hukum.”
Demikian pula, jika Anda telah menyetujui 23andMe membagikan data Anda untuk tujuan penelitian, Anda dapat membatalkan persetujuan tersebut, namun tidak ada cara bagi Anda untuk menghapus informasi tersebut. Kill memberi tahu TechCrunch bahwa sekitar 80% pelanggan 23andMe – sekitar 12 juta orang – setuju untuk berpartisipasi dalam program penelitiannya.
