Silicon Valley-baserade 23andme, som säljer dna-testkit för släktforskning och medicinsk genanalys, uppgav på söndagen att man ansökt om konkursskydd.
Tillgångarna, inklusive information om uppemot 15 miljoner användare, ska säljas till högstbjudande.
Experter på digital integritet, däribland professor Yann Joly, uppmanar kunder att begära att få sina prover och uppgifter förstörda och raderade.
För trots en relativt robust integritetspolicy, som enligt företaget gäller även en framtida ägare, vet man inte hur en sådan kommer att agera.
— Kommer de försöka hitta kryphål? Kommer de fortsätta bedriva samma forskning eller forskning man är mindre bekväm att delta i, frågar sig Joly, som leder centret för genomik och politik vid universitetet McGill i kanadensiska Montréal.
Katastrofala följder
Den mest sannolika köparen är ett biomedicinskt- eller läkemedelsföretag som vill använda datan för forskning eller för att träna sin AI, tror Joly.
Även om risken är liten skulle känslig information också kunna användas av försäkringsbolag, polis eller migrationsmyndigheter – eller i utpressningssyfte.
Tazin Kahn, chef för den ideella cybersäkerhetsorganisationen Cyber Collective, varnar för katastrofala följderna om data säljs vidare.
— Folk har absolut ingen makt över var deras data tar vägen, säger hon till CNBC.
I ett dataintrång 2023 kom hackare över information från 6,9 miljoner av bolagets användarkonton. Bland annat ska en lista över personer med judisk härkomst ha lagts ut till försäljning på darknet.
GDPR gäller
En bra bit över 100 000 svenskar bedöms ha dna-testat sig i släktforskningssyfte. Hur många som finns i den aktuella databasen är oklart.
Sinan Akdag, expert på digital konsumenträtt vid Sveriges Konsumenter, rekommenderar att man begär att få sina uppgifter raderade i enlighet med GDPR, som även gäller företag utanför EU som behandlar EU-medborgares personuppgifter.
— När man lämnade sitt dna gav man 23andme samtycke att behandla persondatan. Ett samtycke enligt GDPR kan alltid återkallas, och då måste persondatan tas bort, säger han.
Lagstiftningens teori och det som sker i praktiken kan dock vara två olika saker.
— Som privatperson kan man värdera sin dna-information på olika sätt. Men man ska vara medveten om att inget dataskydd är omöjligt att ta sig runt. Det finns alltid en risk.
