Ex-ceo koopt 23andMe terug: dna-database onder toezicht non-profit

Anne Wojcicki, de oprichter en ex-ceo van 23andMe gaat het failliete Amerikaanse dna-bedrijf opkopen. Wojcicki’s non-profitorganisatie TTAM krijgt alle activa van 23andMe in handen, inclusief de databank met klantgegevens. Zij betaalt hiervoor 305 miljoen dollar.

23andMe

Uit een persbericht van 23andMe blijkt dat het TTAM Research Institute zich aan de privacyregels van 23andMe zal moeten houden. Dat wil zeggen dat de non-profitorganisatie ervoor moet zorgen dat klanten hun accounts en genetische data nog steeds van het platform kunnen laten verwijderen. Er moeten ook procedures komen ter bescherming van de privacy van klanten en procedures die datalekken helpen verhinderen.

TTAM zal ook jaarlijkse privacyrapporten moeten kunnen overleggen als daar vraag naar is en klanten moeten informeren als er beleidswijzigingen worden doorgevoerd. De organisatie moet tevens een adviesraad oprichten die over de privacymaatregelen waakt. Als er gegevens worden gedeeld met de academische wereld, moeten deze nog steeds kunnen worden geanonimiseerd. TTAM mag ook geen donaties ontvangen van individuen of bedrijven uit specifieke landen. De organisatie mag gegevens van klanten ook niet verkopen aan organisaties die deze privacyregels niet respecteren.

De klanten van 23andMe moeten op de hoogte worden gesteld van de overname, voordat deze definitief wordt afgerond. In het persbericht staat overigens te lezen dat het TTAM Research Institute de biedingsstrijd van Regeneron Pharmaceuticals had gewonnen. Dit Amerikaanse biotechnologiebedrijf wilde 23andMe voor 256 miljoen dollar overnemen.

23andMe bestaat sinds 2006. Het bedrijf werd groot door het verkopen van dna-testkits waarmee gebruikers een genetisch profiel konden opbouwen, maar ook bijvoorbeeld genealogisch onderzoek konden doen. Dat is ook waar het bedrijf het bekendst mee werd, maar het verdiende ook geld met samenwerkingen met farmaceutische bedrijven waar het geanonimiseerde data mee deelde voor bijvoorbeeld medicijnonderzoek. Het beursgenoteerde bedrijf was ooit veel waard, maar had de laatste jaren steeds meer moeite om te groeien; veel klanten kochten slechts een test, maar kwamen daarna niet meer terug.

Daar kwam ook een groot schandaal bij toen in 2023 een groot datalek bij het bedrijf plaatsvond. Daarbij speelde onder andere mee dat 23andMe lang onduidelijk was over de impact en de duur; het kwam in de maanden erop steeds vaker in het nieuws met nieuwe informatie, bijvoorbeeld dat de toegang door hackers langer duurde dan gedacht. Vorig jaar schikte het bedrijf voor 30 miljoen dollar met klanten. Niet alleen de financiële impact daarvan was slecht voor het bedrijf, maar ook de vertrouwensbreuk. 23andMe kwam begin dit jaar nog in het nieuws omdat het bedrijf faillissementsbescherming in de Verenigde Staten heeft aangevraagd. Hiermee kon het tijdelijk beschermd worden tegen schuldeisers.

Door Jay Stout

Redacteur

16-06-2025 • 12:37

33

Submitter: TheVivaldi

Reacties (33)

33
33
14
4
0
17
Wijzig sortering
Het kan voor levensverzekeraars erg lucratief zijn , oh meneer X heeft die genen, en is vatbaarder voor een vorm van ziekte.. tja die moet meer betalen , want daar moeten we geld voor uit betalen uiteindelijk , of voor hypotheken etc , zeker in de VS , ik was daar vorige maand .. en als je daar tv kijkt met die reclames voor verzekeraars ..pfff

Liberty, liberty, liiiiberty ..... liberty 8)7 3x in een reclameblock
Zo werkt het dus niet.

De 'Genetic Information Nondiscrimination Act (GINA)' verbiedt zorgverzekeraars maar ook werkgevers expliciet om op basis van DNA-gegevens onderscheid tussen mensen te maken.

Verder is de diefstal van medische data hartstikke illegaal, net als het schenden van de voorwaarden waaronder klanten gegevens verstrekken. De rechtmatige eigenaar van die DNA-data mag het dus niet ongeanonimiseerd verstrekken maar als derden de gegevens stelen mag ook niemand er iets mee doen. Zelfs niet als ze die toevallig op hun pad komen.

Er worden met regelmaat miljoenenvergoedingen toegekend aan slachtoffers van gegevensdiefstal waaronder medische data.

Levensverzekeraars mogen wel uitkering weigeren aan mensen die willens en wetens genetische aandoeningen verzwegen maar dat is bij ons net zozeer het geval. Je moet namelijk open kaart spelen over je gezondheid bij het doen van een aanvraag en als jij weet van een genetische afwijking die je hebt moet je dat invullen bij of je aan een chronische aandoening lijdt.

[Reactie gewijzigd door Hardstyler1987 op 16 juni 2025 13:30]

Nou, dat is dus het leuke, direct-to-consumer genetische data zoals 23&Me valt due niet onder 'medische informatie' en valt dus niet onder HIPAA. Dit komt omdat je geen medische resultaten uit de test krijgt als ik het mij goed herinner. Pas als je je genetische data afstaat voor een medische test of proces, dan valt het onder HIPAA.
Dan is het alsnog illegaal omdat je je sample hebt verstrekt op voorwaarde van anonimiteit. Het is daarbij ook nog eens verboden om gebruik te maken van data die bij computerinbraak is verkregen.

[Reactie gewijzigd door Hardstyler1987 op 16 juni 2025 21:22]

Je moet namelijk open kaart spelen over je gezondheid bij het doen van een aanvraag en als jij weet van een genetische afwijking die je hebt moet je dat invullen bij of je aan een chronische aandoening lijdt.
Dat het moet is één ding. Aantonen dat iemand dat wist is een ander.
Verzekeringsmaatschappijen hebben een sterke lobby, en niet alleen in de VS.
Dus wie zegt dat er niet in de toekomst een regel komt dat je, als je DNA uitslagen hebt, je verplicht bent om die aan verzekeraars beschikbaar te stellen? Of verzekeraars die "korting geven" als je je DNA-profiel upload (maar ondertussen op basis daarvan wel vast je toekomstige risico's berekenen)?

Ik ben het met je eens dat het nu goed geregeld is hoor. Maar het zegt vreselijk weinig over de toekomst.
Alleen als er familieleden nu of in de toekomst zijn die hun DNA vrijwillig afstaan, zouden ze op basis daarvan ook een DNA-profiel voor iemand kunnen opstellen.

Zo worden veel cold cases ook opgelost. Familieleden die een stamboom onderzoek hebben gedaan waardoor ze uiteindelijk bij de dader uitkomen.

In dat geval is het heel goed, maar je DNA kan dus grotendeels op straat komen, ook al houd je het 100% voor jezelf.
Zo werkt DNA niet. Je kunt niet een DNA-profiel van iemand maken op basis van het DNA van verwanten.

Je kan wel bij het vergelijken van DNA-materiaal een gedeeltelijke match met een familielid krijgen. Maar je weet nooit van te voren welk deel van jouw DNA matcht met welk deel van een familielid, dus kan je dat deel van jouw DNA niet invullen op basis van het DNA van een familielid.


Het DNA van een familielid in een dergelijke database wijst ook niet direct naar jou. Het wijst naar iemand die een bepaalde verwantschap heeft met de gevonden persoon. In de database staan bv. iemand die waarschijnlijk een neef van je is aan je vaders kant en een achternicht aan je moeders kant. Wanneer ze al iemand op het oog hebben als een van de verdachten die die familiebanden heeft met die personen, dan kunnen ze daar op verder gaan. Hebben ze niemand op het oog als verdachte die die familiebanden heeft, dan zullen ze naar de personen gaan die gedeeltelijk matchen met het gevonden DNA-materiaal en hen vragen of ze een neef of een achterneef hebben die toen-en-toen daar-en-daar kon zijn geweest om dat-en-dat te doen.
Het oplossen van Cold Cases door middel van dit soort databanken gebeurt dan ook vooral door het uitsluiten van bepaalde personen (verdachten) op basis van te weinig match met een DNA-profiel, en niet (zoals veel mensen denken) door een identificatie van een profiel met een persoon.
Het is dus vooral "die kan het niet zijn, en die ook niet, dus dan zou het heel goed die kunnen zijn".
Het hele issue dat ik met wetgeving en de markt heb, is dat marktpartijen de wetgeving gewoon negeren. Komt het dan toch naar buiten, zegt men 'sorry' (voor de bühne), past het beleid een beetje aan en betaalt een boete

Ondertussen is onze data voor iedereen te koop
Boete is 1 ding. Maar in de VS is de schadevergoeding een veel groter probleem voor dergelijke bedrijven. Na de boete kun je als bedrijf eigenlijk niet meer onder een schadevergoeding uit, en de "no cure no pay" advocaten staan in de rij voor een dergelijk kat in het bakkie.
Dit speelt vooral in de USA, waar data brokers amper/niet gecontroleerd worden en er al alleen in California al meer dan 459 geregisterd zijn. Trouwens zijn er maar een paar staten waar je geregistreerd moet zijn, dus het aantal in de gehele USA loopt in de duizenden.
Daarom werkt zoiets als DeleteMe niet, want het wissen van 10 databrokers ist niet genoeg en als er een je data wist, ligt die data nog (versprijd) nog over 100 andere. Zie ook.

En als het niet medische data is, dan is het wel weer wat anders. Bijvoorbeeld hoe in de USA informatie uit je eigen auto wordt verkocht aan verzekeringsmaatschappijen.
NYC, Louis Rossman

En als koop/verkoop van DNA niet mag, dan halen ze hun data uit non-DNA bronnen om alsnog een goed profiel te krijgen.
De 'Genetic Information Nondiscrimination Act (GINA)' is leuk, maar als ik lees 'it prohibits group health plans and health insurers from denying coverage to a healthy individual or charging that person higher premiums based solely on a genetic predisposition to developing a disease in the future' ik lees dit niet als "ze mogen het niet (ver)kopen". Dus misschien hebben ze deze data wel, maar mogen ze het nog niet gebruiken. Hoeft maar een president te zijn zoals Trump die de wet buitenwerking zet en alle data kan van het een op de andere dag gebruikt worden.
Ander voorbeeld hoe inkopen doen al getracked wordt. Voeg dit samen met andere data en je hebt geen DNA meer nodig.Hoe Target ontdekte dat een tienermeisje zwanger was voordat haar vader dat deed.
Misschien leuk om toe te voegen;
Hier zie je hoe de ceo zich er onderuit probeert te weaslen bij de senator (die m bij zn ballen heeft):
YouTube: NO MERCY: Josh Hawley Goes Absolutely Nuclear On 23andMe CEO, Says H...
Maar gebeurd er na de zoveelste video van de senaat überhaupt wel iets? Internet staat er vol mee, hoe Josh Hawley iedereen bij z'n ballen heeft, maar er lijkt hierna weinig te gebeuren.
Klinkt als een onzinfilmpje, dit bedrijf had een leuke dienst en die is nu failliet aan t gaan. Ze proberen de data veilig te houden bij verkoop en deze senator probeert daar nog even goedkoop op te scoren.

Als die senator iets zou willen toevoegen dan zouden ze degelijke privacywetgeving moeten maken, zodat de data wettelijk gezien veilig is.
Het grote verschil tussen de VS en de EU is: in de VS mag alles zolang het niet verboden is, terwijl in de EU dingen alleen mogen als ze expliciet zijn toegestaan. Deze vuistregel gaat natuurlijk in de eerste plaats op voor voedsel (en alle toevoegingen en stoffen die je daar in mag verwerken), maar het geldt mijns inziens ook voor bijvoorbeeld privacy, of milieuwetgeving.
Maar de overname gaat dus gebeuren door de oorspronkelijke CEO, Anne Wojcicki.
Data verhandelen, is dat niet data dupliceren en DAN verhandelen? Ik bedoel, hoeveel toezicht is er op het kopiëren daarvan?
.

[Reactie gewijzigd door Jacco011 op 16 juni 2025 13:54]

Waarschijnlijk net zoveel als op normale DNA-replicatie: proofreading by DNA polymerase
Ik vind het wel een beetje raar, hoor.

Anne Wojcicki, als CEO mede verantwoordelijk voor de ondergang van 23andMe, koopt het bedrijf nu terug.

Zij leidde het bedrijf tijdens de ondergang: beursval, miljoenenverlies, een enorme datalek.
Nu koopt ze het goedkoop terug via haar non-profit, voor een fractie van de vroegere waarde. De aandeelhouders, die in principe de ontwikkeling gefinancierd hebben, blijven met zo goed lege handen achter — terwijl zij er zo te zien maar weinig op achteruitgaat.

Als het nou een investeerder was of zo, maar dit is letterlijk de persoon die het bedrijf leidde toen het onderging
Een CEO heeft de leiding over het bedrijf, maar moet zich wel aan de wensen van de aandeelhouders houden.

Dus wie is schuldig aan de ondergang? Was dat het beleid van de CEO, waar de aandeelhouders pas te laat achter kwamen? Of waren dat de wensen van de aandeelhouders voor winstmaximalisatie op de korte termijn, ten koste van langdurige abonnementen, beveiliging etc.?

Ik weet niet of mw. Woicicki dit bedrag nog los in haar kontzak had zitten. Als dat zo was, dan zegt dat waarschijnlijk meer over hoe goed ze haar eigen zaken geregeld heeft. Maar wanneer ze naar banken/ investeerders is gestapt om geld voor de overname op te halen, zullen die zeker goed hebben gekeken naar haar rol in de ondergang van het bedrijf en of hun geld wel of niet veilig is bij een doorstart onder haar leiding.
Inmiddels is alle data al weer 3x verhandeld. Allemaal vieze spelletjes.
Naja. In principe zou daar niks mee gedaan kunnen worden waar je niet toestemming voor hebt gegeven.


Neemt niet weg dat ik het nog steeds een zeer dubieus idee vind dat je DNA opgeslagen staat in de VS.
Naja. In principe zou daar niks mee gedaan kunnen worden waar je niet toestemming voor hebt gegeven.
Maar waarschijnlijk heb je als klant daar wel toestemming voor gegeven. Er zijn weinig mensen die de toestemmingsvraag goed lezen en nog minder bedrijven waar je de toestemming niet binair hoeft te geven.

Dus zodra je toestemming voor iets geeft, heb je toestemming voor alles gegeven. En zonder toestemming kun je het product niet gebruiken, dus iedereen geeft toestemming tot alles.

En daarnaast word ook lang niet alle data behorende bij een profiel verkocht. Dus een bedrijf dat data koopt zal niet kunnen achterhalen van welk persoon die data afkomstig is. Dus ook al hebben ze je hele DNA profiel, ze hebben niet je telefoonnummer of e-mailadres. Dus ze weten niet van wie het is en kunnen dus geen toestemming vragen als ze er iets mee willen doen dat niet in de oorspronkelijke toestemmingsvraag zat.
Dus zodra je toestemming voor iets geeft, heb je toestemming voor alles gegeven. En zonder toestemming kun je het product niet gebruiken, dus iedereen geeft toestemming tot alles.
Kan niet in de EU. Zeker niet met dit soort data. Dat moet en zal niet ambigu, ondubbelzinnig en doelgericht moeten gebeuren.
Dus ze weten niet van wie het is en kunnen dus geen toestemming vragen als ze er iets mee willen doen dat niet in de oorspronkelijke toestemmingsvraag zat.
Dus is het antwoord nee. Heel eenvoudig met Europese wetgeving. Dat is echter ook weer onderdeel van het probleem, want dat weet je dan ws ook niet.


Maar goed, dat is allemaal leuk vanuit ons EU perspectief, maar daar heb je natuurlijk geen klap meer aan als je data in de VS staat. Vandaar het "in principe".
Princiepes hebben bedrijven nog nooit tegen gehouden. Zeker in de VS niet. Zeker nu niet meer.
Nee klopt, dus als je er in zit en je hebt nog geen verzoek tot verwijderen gedaan:

https://customercare.23andme.com/hc/en-us/articles/27055305985175-Update-to-23andMe-Biobanking-Consent
Can I opt-out / change my decision later?
  • Yes, you always have the option to opt out of biobanking and can change your mind at any time. To update your consent choice, simply go to your Account Settings. Once you withdraw your biobanking consent, 23andMe will securely discard your stored Samples within the legally applicable timeframe. 
  • Please note that if you delete your 23andMe account, your stored Samples will be securely destroyed.
Mijn dna staat niet opgeslagen in de VS.
Dan is het ook niet voor jou van toepassing toch?
Van een waardering van 6 miljard dollar naar vrijwel niets. Sinds maart hebben zo’n 2 miljoen gebruikers hun data laten verwijderen. Althans, dat denken ze.
Dat data verwijderen, dat werkt niet zo lekker. Wordt uitvoerig besproken in de verhoring van de US Senaat. In een van deze twee video's komt het voorbij hier en hier.
Ik heb een test gedaan bij dit bedrijf onder een nepnaam en met een nep geboortedatum.

Om mijn data te verwijderen - je raad het al - moet je je geboortedatum invoeren, en die weet ik natuurlijk niet meer. Ik heb contact gezocht met de klantenservice, maar daar krijg je met geen mogelijkheid beweging in. Heel misschien was ik toen slim en heb ik de fake geboortedatum nog ergens opgeslagen op mijn computer, maar ben er bang voor.

Gelukkig heb ik de sample zelf direct laten verwijderen en geen enkele toestemming gegeven.

Op dit item kan niet meer gereageerd worden.