Leuk als je familie van Dzjengis Khan bent, maar geef je DNA nooit aan een bedrijf

De hack van DNA-testsite MyHeritage is een mooie herinnering om het nog maar eens te zeggen: doe het niet.

|
06 juni 2018, 3:40pm

Als je je inschrijft voor een website die met gevoelige informatie omgaat – een zorgverzekeraar, een bank of een sociaal netwerk – dan hoop je dat ze veilig met je persoonsgegevens omgaan. Helaas blijkt steeds vaker dat dit niet het geval is. Gister berichtten we dat 92 miljoen mensen die een DNA-test hebben gekocht bij de website MyHeritage er onlangs achterkwamen dat hun gegevens zichtbaar waren voor buitenstaanders.

Het gaat over mensen die zich tot en met 26 oktober 2017 hebben ingeschreven bij MyHeritage. Op maandag ontving MyHeritage "een bericht van een internetveiligheidsonderzoeker waarin hij bekend maakte dat hij de emailadressen en wachtwoordhashes had bemachtigd". De vertelde het hoofd van informatieveiligheid van MyHeritage. De hashcode van wachtwoorden is de cryptografische weergaven van wachtwoorden, wat betekent dat wachtwoorden niet zichtbaar zijn voor bedrijven en ze ze ook niet hoeven op te slaan. Het betekent overigens niet dat hackers ze niet toch kunnen kraken.

Op hun website geeft MyHeritage aan dat "jouw privacy en veiligheid net zo belangrijk zijn voor ons als voor jou," en dat ze geen reden hebben om te geloven dat er iets is gebeurd met de data. Creditcard-gegevens worden bovendien behandeld door andere bedrijven. Ook al lijken de 92 miljoen mensen nu met de schik weg te komen, is dit een mooi moment om het nog even te herhalen: geef NOOIT je DNA aan een bedrijf. Doe het niet.

DNA-sequencen is supergoedkoop. Bedrijven met grote hoeveelheden genetische data moeten goed nadenken hoe ze die data veilig gaan houden, maar vaak laat de manier waarop ze dit doen nog te wensen over. En DNA kan veel over je zeggen. In Nederland pleitten politici constant voor een grote uitbreiding van de nationale DNA-databank. Dat is niet alleen handig voor opsporing, maar ook verzekeraars en banken hebben interesse in deze informatie, omdat ze dan beter kunnen bepalen of iemand een goede investering is. Een toekomst waarin mensen die genetisch belast zijn een hogere premie moeten betalen, of geen hypotheek meer kunnen krijgen, is denkbaar. Het is nu al zo dat banken liever geen hypotheek verstrekken aan mensen met het kankergen. En doktoren zijn ook niet meer in alle gevallen gebonden aan het medisch beroepsgeheim. Maar het zijn vooral de internetbedrijfjes die inspelen op de DNA-hype waar ik me zorgen over maak.

Er is een bedrijf, PooPrints, dat DNA uit hondenpoep wil sequencen om zo de hond en het baasje die de stoep vol met drollen legt op te sporen. De opties zijn eindeloos, en we staan aan het begin van deze ontwikkeling. We moeten nog helemaal leren hoe we genetische informatie veilig kunnen houden. De kans dat er in dit vroege stadium veiligheidslekken ontstaan is volgens de meeste experts groot. Niet elke start-up gaat even verantwoordelijk om met internetveiligheid. Zelfs landen zoals Nederland of Amerika, waar internetveiligheid inmiddels een bekend issue is, kunnen de veiligheid van data niet voor 100 procent waarborgen.

Wekelijks komen we er opnieuw achter hoe weinig zicht we hebben op onze eigen data. Facebook, die nu veel in het nieuws is omdat het datadeals heeft gesloten met tientallen bedrijven, waaronder Huawei, een bedrijf waarschijnlijk dat onder nauw staatstoezicht staat van China – een surveillancestaat waar 1984 nog een puntje aan kan zuigen. Een land waar Tibetanen zichzelf in de fik steken om gehoord te worden, omdat de Chinese staat ze zo ongelooflijk nauw becontroleert dat ze niet eens meer kunnen bellen of in sommige gevallen niet eens met de bus kunnen gaan. Ik wil liever niet dat mijn genetische gegevens via een lucratieve deal bij zo'n land terecht komt.

Dit zal voor de meeste mensen een beetje te abstract zijn – het zal mijn tijd wel duren, denken de meesten. Wat een zeer begrijpelijke en gezond copingsmechanisme is. Er zijn bovendien ook voordelen om je DNA op te geven: gepersonaliseerde medicijnen kunnen worden ontwikkeld. Veiligheidsdiensten kunnen moordenaars opsporen. Maar er is op dit moment nog te weinig protocol als het aankomt op het veiligheid van genetische gegevens. Als je nu DNA opgeeft aan een gecentraliseerde database, is kans echt aanwezig dat al je genetisch materiaal op straat komt te liggen. Het risico is te groot, en je weet niet wat er mee gebeurt.

Een onschuldige Amerikaan is onlangs geframed voor een moord die hij niet heeft gepleegd. DNA-tests zijn bovendien 40 procent van de tijd niet accuraat. Er was zelfs een DNA-testbedrijf dat menselijk DNA niet kon onderscheiden van dat van een hond. Uit die inaccurate databases halen agenten in Amerika al informatie om mensen op te pakken. Hoewel het om incidenten gaat, is het werkelijk een nachtmerriescenario.

Als mensen echt je DNA willen achterhalen, dan lukt het ze wel. Het enige dat je hoeft te doen, is je huis verlaten. Maar dat wil niet zeggen dat je dan maar alles hoeft in te leveren bij een bedrijf. Doe het maar gewoon niet. Ook al wil je nog zo graag weten waarom je van die zwarte haren hebt, terwijl je moeder en vader toch echt blond zijn.

Volg Motherboard op Facebook, Twitter en Flipboard.