aalto1 untyped-item.component.html
“I don’t think cloning is a thing yet”: Users’ privacy perceptions after the 23andMe data breach
Loading...
URL
Journal Title
Journal ISSN
Volume Title
School of Business |
Master's thesis
Electronic archive copy is available via Aalto Thesis Database.
Authors
Date
Department
Major/Subject
Mcode
Degree programme
Language
en
Pages
80
Series
Abstract
In a world with frequent news of breaches of sensitive data, like in Finland the cases of Vastaamo and Nordnet, it is important to explore what type of factors lead to the disclosure of sensitive information. A leading commercial genetic testing company, 23andMe, experienced a major data breach in 2023, and this thesis seeks to study the privacy perceptions of users of direct-to-consumer genetic testing. This study also aims to explore how the data breach might have changed the privacy perceptions of users who submitted their genetic data to genetic testing companies. Furthermore, an important factor in assessing users’ disclosure decisions is also evaluating whether they were aware of possible risks, i.e. whether there was informed consent, which will also be considered in this thesis.
Research was conducted following a qualitative approach, with eight semi-structured interviews with users of 23andMe and another genetic testing service, FamilyTreeDNA. The collected data was analysed using thematic analysis to uncover key factors that lead to information disclosure, as well as how disclosure decisions were assessed post-data breach. The analysis was anchored to the theoretical framework of privacy calculus, which seeks to explain how users undertake cost and benefit calculations in information disclosure decisions.
The findings suggest that the interviewees did not consider genetic data to be very sensitive. It was difficult for them to imagine tangible personal risks, and any vague privacy concerns did not affect disclosure decisions. Similarly, the consequences of the data breach were rather abstract for the users and therefore did not feel worrisome or have a significant effect on privacy perceptions. The findings also suggest that sociocultural trust as well as ethnicity seem to mitigate perceived risks in this context. Furthermore, there seems to have been a weak basis for informed consent, as most interviewees expressed not having read privacy policies or terms and conditions very carefully – or at all.
This thesis contributes to theory by expanding literature on privacy calculus and informed consent in the specific context of DTC-GT and a major data breach. As a practical implication – for more ethical practice and as a competitive advantage – managers should implement better mechanisms for checking comprehension, as well as for increased transparency of data handling.
Maailmassa, jossa uutisissa kerrotaan usein sensitiivisen tiedon vuotamisesta – Suomessa esimerkiksi Vastaamon tai Nordnetin tapaukset – on tärkeää tutkia, mitkä tekijät johtavat sensitiivisen tiedon jakamiseen. Johtavaan geenitestausyritykseen 23andMe kohdistui merkittävä tietomurto vuonna 2023, ja tämä tutkielma pyrkiikin tutkimaan suoraan kuluttajille suunnatun geenitestaamisen käyttäjien yksityisyyskäsityksiä. Tämä tutkielma pyrkii myös tarkastelemaan sitä, miten geenidataansa jakaneiden käyttäjien näkemykset yksityisyydestä ovat ehkä muuttuneet tietovuodon myötä. Lisäksi tärkeä seikka käyttäjien jakamispäätösten tarkastelussa on sen arvioiminen, oliko suostumus tietoon perustuvaa, eli olivatko käyttäjät tietoisia mahdollisista riskeistä. Myös tämän tarkastelu on osa tutkielmaa.
Tehty tutkimus oli kvalitatiivinen, ja sisälsi kahdeksan puolistrukturoitua haastattelua 23andMe:n, sekä toisen kaupallisen geenitestauspalvelun, FamilyTreeDNA:n, käyttäjien kanssa. Kerätty data analysoitiin käyttäen temaattista analyysia, jotta päätekijät tiedon jakamiseen ja mahdollisiin näkemysten muutoksiin liittyen löydettäisiin. Analyysissa käytettiin apuna myös privacy calculus -viitekehystä, joka pyrkii selittämään, miten käyttäjät tekevät hyöty-haitta-analyyseja tiedonjakotilanteissa.
Löydökset osoittavat, että itse asiassa haastateltavat eivät pitäneet geenidataa kovinkaan sensitiivisenä. Heidän oli vaikea kuvitella konkreettisia riskejä, ja ympäripyöreämmät yksityisyyteen liittyvät huolet eivät vaikuttaneet päätöksiin jakaa tietoa. Myös tietovuodon seuraukset tuntuivat abstrakteilta, ja siksi tietovuoto ei juurikaan huolestuttanut tai vaikuttanut näkemyksiin yksityisyydestä. Löydökset myös osoittavat, että sosiokulttuurinen luottamus ja etnisyys näyttävät lieventäneen riskiarvioita tässä kontekstissa. Lisäksi tietoon perustuva suostumus oli heikolla pohjalla – haastateltavat kertoivat, etteivät olleet lukeneet käyttöehtoja ollenkaan tai maksimissaan vain tietyiltä osin.
Tutkielman kontribuutio teorialle on privacy calculus -kirjallisuuden sekä tietoon perustuvaan suostumukseen liittyvän kirjallisuuden laajentaminen tässä spesifissä geenitestauksen ja tietovuodon kontekstissa. Käytännön johtopäätöksenä yrityksille on parempien ymmärrys- ja läpinäkyvyysmekanismien implementointi sekä eettisen toiminnan varmistamiseksi että kilpailuetuna.