I en pressemelding skriver Forbrukerrådet at de mente at Myheritage brøt personvernlovgivningen, og sendte derfor i mars i fjor en klage til Datatilsynet. Direktør i Forbrukerrådet, Inger Lise Blyverket, understreker at saken er særlig graverende, siden det handler om menneskets arvestoff. Jo mer sensitive dataene er, jo strengere er lovverket.
Kan gjøre uopprettelig skade
– Du kan få ny kode til bankkortet ditt, men DNA-koden varer livet ut. Det finnes ikke mer sensitive data enn ditt eget DNA. Da er det så alvorlig som det kan få blitt, konkluderer Blyverket.
Hun sier at Myheritage for eksempel får kundene sine til å skrive under på en kontrakt det er umulig å forstå:
– Kontrakten er på størrelse med en bok på mer enn 200 sider, og er spekket med ord du bør være både lege og advokat for å tyde. Som om ikke det var nok, gir de seg selv en ubegrenset mulighet til å endre vilkårene etter at du har godtatt dem. De er også tilbakeholdne om hva de vil gjøre med svært intime opplysninger om deg, og hvem de vil gi dem videre til.
Dette til tross for at selskapet så sent som i februar 2021 høytidelig lovet å styrke personvernrammeverket til Myheritage, blant annet ved å utvide personvernpolicyen med utvetydig forbud mot å lisensiere eller selge gendata til tredjeparter. Uttalelsen kom i forbindelse med at Myheritage ble solgt til amerikanske Francisco Partners.
Forbrukerrådet har også gått inn for at kommersiell gentesting av barn skal være forbudt, og fikk et samlet storting med på det i fjor.
Rammer også familien
Datatilsynets direktør Bjørn Erik Thon sier i pressemeldingen at Forbrukerrådets rapport er grunnlaget for at Datatilsynet åpnet sak mot Myheritage, og peker på det særegne ved datagrunnlaget som samles inn:
– DNA-opplysninger er særlig sensitivt, ettersom det ikke bare røper noe om den som sender inn gentesten, men kan også ha konsekvenser for vedkommendes familie. Åpen informasjon, som gir brukerne en mulighet til å kunne vurdere personvernskonsekvensene av å benytte tjenesten, er derfor svært viktig, avslutter Thon.
Bør svi økonomisk
Dersom Datatilsynet lander på å gi Myheritage bot, kan den beløpe seg på inntil 20 millioner euro. Blyverket peker på at det er nødvendig med økonomiske sanksjoner som svir.
– De har begått det vi mener er lovbrudd, fordi det har vært god butikk. Boten bør sørge for å sette en sluttstrek for det.
Har lekket informasjon før
Sommeren 2018 ble store mengder brukerdata fra Myheritage funnet på en privat server som ikke har noe med selskapet å gjøre. Dataene inkluderte i alle fall epostadressene og passordhasher til alle de mer enn 92 millioner brukerne som var registrert fram til og med den 26. oktober 2017. Verken slektsdata, DNA-informasjon, kredittkortdetaljer eller passord i klartekst skal ha vært med i datalekkasjen.
På verdensbasis har flere enn 25 millioner mennesker gentestet seg, og Myheritage er blant de største aktørene. I Norge har hundretusener tatt en gentest, ifølge Forbrukerrådets pressemelding.
