Een Amerikaanse non-profit zorginstelling moet 200.000 dollar betalen wegens een datalek waarbij zeer gevoelige informatie van cliënten werd gelekt. The Arc of Erie County biedt allerlei diensten aan personen met ontwikkelingsstoornissen en hun familie.
Gevoelige informatie van ruim 3700 cliënten bleek jarenlang via het internet voor iedereen toegankelijk te zijn geweest. Het ging om volledige namen, social security nummers, geslacht, etniciteit, primaire diagnosecodes, IQ, verzekeringsinformatie, adresgegevens, telefoonnummers, geboortedata en leeftijden. De gegevens waren van juli 2015 tot februari 2018 te vinden op de website van de zorginstelling.
Spreadsheets met informatie van cliënten waren door zoekmachines geïndexeerd. De webpagina met de spreadsheets was alleen voor intern gebruik bedoeld en had met een login beveiligd moeten zijn. Verder bleek dat ook mensen van buiten de Verenigde Staten geregeld de links naar de spreadsheets hadden benaderd. Begin februari ontving de zorginstelling een tip van het publiek over het datalek. Een maand later werden alle cliënten geïnformeerd.
Naast de boete van 200.000 dollar moet de The Arc of Erie County ook een actieplan uitvoeren om de beveiliging te verbeteren. Zo moet er onder andere een risicoanalyse plaatsvinden van beveiligingsrisico's en kwetsbaarheden van alle elektronische apparatuur en systemen. Aan de hand van de uitkomsten moet de zorginstellingen het beleid en procedures aanpassen.
Deze posting is gelocked. Reageren is niet meer mogelijk.