Californië heeft een rechtszaak aangespannen tegen het voormalige bedrijf 23andMe, dat DNA-tests aanbiedt, wegens vermeende tekortkomingen op het gebied van beveiliging en misleidende verklaringen in verband met het datalek in 2023.
Op 27 mei 2026 heeft procureur-generaal Rob Bonta bij de Superior Court van San Francisco een rechtszaak aangespannen tegen Chrome Co., het bedrijf dat na het faillissement van 23andMe de resterende activa van het bedrijf beheert.
In de klacht van Californië wordt 23andMe verweten dat het geen redelijke beveiligingsmaatregelen heeft getroffen om gevoelige gegevens te beschermen, en wordt gesteld dat het bedrijf verschillende staatswetten op het gebied van privacy en consumentenbescherming heeft overtreden. Daarnaast wordt het bedrijf ervan beschuldigd misleidende uitspraken te hebben gedaan over zijn beveiligingspraktijken.
Bij het datalek van 2023 werd gebruikgemaakt van ouderwetse credential-stuffing-tactieken tegen de inlogpagina van 23andMe. De aanvallers konden zich ongeveer vijf maanden lang ongemerkt in de systemen bewegen. De directe schade was beperkt: er waren ongeveer 14.000 accounts getroffen, maar dat was voldoende voor de aanvallers om de gegevens van bijna zeven miljoen klanten te stelen.
De hackers maakten gebruik van die accounts via ‘DNA Relatives’, de belangrijkste functie van het platform, waarmee gebruikers konden achterhalen met wie ze verwant waren op basis van DNA-overeenkomsten. In de rechtszaak wordt gesteld dat een ernstige programmeerfout in die functie de daders in staat stelde gegevens te verzamelen van miljoenen andere gebruikers die door biologische verwantschap met elkaar verbonden waren.
De verdedigingsstrategie waarbij het slachtoffer de schuld kreeg, werd bewijs
Nadat het datalek bekend was geworden, stuurde 23andMe de juridische vertegenwoordigers van de slachtoffers een brief waarin het bedrijf de gebruikers de schuld gaf van het hergebruik van wachtwoorden van websites die eerder waren gehackt. Het bedrijf suggereerde dat de gelekte gegevens uit vrije wil door de gebruikers waren gedeeld en geen „financiële schade” zouden veroorzaken.
De schade als gevolg van diefstal van genetische gegevens reikt echter veel verder dan alleen financiële verliezen. Dankzij de gestolen genetische informatie konden de dieven de genetische afkomst van een persoon achterhalen.
De gegevens zouden op het dark web te koop zijn aangeboden, waarbij deze informatie als verkoopargument werd gebruikt, waardoor verkopers bijvoorbeeld gegevens over Aziatisch-Amerikaanse en Pacific Islander (AAPI) of joodse klanten konden aanbieden. Het kantoor van Bonta wees erop dat antisemitisch geweld op dat moment in opmars was.
Hoewel in de brief wordt geprobeerd de schuld bij de gebruikers te leggen, zijn slechts ongeveer 14.000 accounts rechtstreeks gecompromitteerd door het hergebruik van wachtwoorden. De overige gegevens zouden zijn blootgesteld via het eigen product van 23andMe. Volgens de klacht heeft de programmeerfout in DNA Relatives de gegevens blootgelegd van iedereen die zich voor de dienst had aangemeld, en niet alleen van degenen die in verband stonden met de 14.000 gecompromitteerde accounts.
Kan de staat schadevergoeding vorderen?
Californië streeft naar wettelijke boetes van 1.000 tot 7.500 dollar per overtreding. Aangezien er 855.541 Californiërs tot de getroffen gebruikers behoren, kunnen de kosten snel oplopen.
De vraag is hoeveel de staat hiervan zal ontvangen als zij de rechtszaak wint. 23andMe vroeg in maart 2025 faillissement aan onder Chapter 11 en verkocht vervolgens het grootste deel van zijn activa, waaronder de genomische gegevens van meer dan 15 miljoen klanten, aan het TTAM Research Institute, een non-profitorganisatie die is opgericht door Anne Wojcicki, de voormalige CEO van 23andMe. Californië en verschillende andere staten verzetten zich tegen de verkoop op grond van Privacy Genetic Information Privacy , maar een federale faillissementsrechter keurde deze goed. De staten gaan nu in beroep tegen die beslissing.
Chrome Co., de lege vennootschap die overblijft van 23andMe, ontving 305 miljoen dollar uit die verkoop. Maar anderen hebben zich al op de rest gestort.
Andere toezichthouders hebben hun zegje al gedaan. Het Britse Information Commissioner’s Officelegde 23andMe in juni vorig jaareen boete van 2,31 miljoen pond op na een gezamenlijk onderzoek met de Canadese Privacy . Een federale rechtbank keurde aanvankelijk een schikking van 30 miljoen dollar in een collectieve rechtszaak goed, waarmee de meeste vorderingen van Amerikaanse klanten werden afgedekt. Die schikking liep later op tot 50 miljoen dollar en werd in januari 2026 definitief goedgekeurd.
Wat klanten kunnen doen
Als je een test bij 23andMe hebt gedaan, gelden de gebruikelijke veiligheidsmaatregelen na een datalek nog steeds. Wijzig alle wachtwoorden die je ook op andere websites hebt gebruikt en schakel tweefactorauthenticatie in waar dat mogelijk is. Credential stuffing werkt alleen bij gebruikersnamen en wachtwoorden die elders al zijn gelekt. Let ook op phishingaanvallen waarin 23andMe of het datalek zelf wordt genoemd. En weeg misschien eens de voordelen van het gebruik van DNA-testdiensten af tegen de veiligheidsrisico’s.
Want er is één aspect dat geen enkele boete of schikking kan oplossen: gestolen genetische gegevens die op het dark web worden verkocht, kunnen niet worden teruggehaald. Wachtwoorden kunnen worden gewijzigd. DNA niet.
Surf alsof niemand kijkt.
Malwarebytes Privacy VPN je verbinding en houdt nooit bij wat je doet, zodat het volgende artikel dat je leest niet als iets persoonlijks hoeft te voelen.Probeer het gratis →
