image

Medisch incassobureau vraagt faillissement aan wegens datalek

donderdag 20 juni 2019, 15:10 door Redactie, 12 reacties

Een Amerikaans incassobureau dat rekeningen voor zorginstellingen en laboratoria int heeft faillissement aangevraagd nadat een aanvaller de gegevens van meer dan 20 miljoen patiënten wist te stelen. De aanvaller wist tussen 1 augustus 2018 en 30 maart 2019 toegang tot de systemen van het American Medical Collection Agency (AMCA) te krijgen.

Op deze systemen stonden gegevens van miljoenen patiënten, waaronder financiële informatie zoals creditcardnummers en bankrekeninggegevens, medische informatie en andere persoonlijke data, waaronder social security nummers. Vanwege het datalek besloten de vier grootste klanten van ACMA geen zaken meer met het incassobureau te doen. Daarop heeft Retrieval Masters, het moederbedrijf van ACMA, nu faillissement aangevraagd.

Volgens de directeur van Retrieval Masters zorgde het datalek voor een reeks van gebeurtenissen die het bedrijf naar de financiële afgrond leidde. Zo kreeg het met enorme onkosten te maken, waaronder 3,8 miljoen dollar die werd uitgegeven om 7 miljoen mensen over het datalek te informeren. Het bedrijf was ook 400.000 dollar kwijt aan it-professionals en consultants die wegens de inbraak werden ingeschakeld. Retrieval Masters kan inmiddels niet meer aan de schuldenlast voldoen, zo blijkt uit de aanvraag die het bedrijf bij de rechtbank indiende en waarover Bloomberg bericht.

Reacties (12)
20-06-2019, 15:30 door karma4
Grote kosten na dat datalek? 50 ct om betrokkenen op de hoogte te stellen. Dan moeten de marges wel ontzettend klein zijn. Was beter geweest als de schade verhaald werd naar de verwerkingsverantwoordelijke in plaats de verwerker

Die nemen nu gewoon een andere katvanger als verwerker.
20-06-2019, 16:27 door Anoniem
Door karma4: Grote kosten na dat datalek? 50 ct om betrokkenen op de hoogte te stellen. Dan moeten de marges wel ontzettend klein zijn. Was beter geweest als de schade verhaald werd naar de verwerkingsverantwoordelijke in plaats de verwerker

Die nemen nu gewoon een andere katvanger als verwerker.

Nou nee, men moest inderdaad 50 cent uitgeven per betrokkene, maar het waren er 3,8 miljoen. Vervolgens moest men natuurlijk ook nog het lek onderzoeken en dichten, 'maar' 400000. Maar wat ze blijkbaar de das om deed, en de moraal van dit verhaal, was dat de vier grootste klanten allemaal het vertrouwen in het bedrijf opzegden en wegliepen...
21-06-2019, 00:02 door Anoniem
Door Anoniem: Nou nee, men moest inderdaad 50 cent uitgeven per betrokkene, maar het waren er 3,8 miljoen.
Ze hebben 3,8 miljoen dollar uitgegeven, voor zeven miljoen betrokkenen. Is 54 cent per briefje.

Dat zou in Nederland een stukkie meer gekost hebben. Het is wel grappig om bijvoorbeeld USPS Notice 123 (het tarievenboekje) erbij te pakken. Ik neem aan dat ze normaliter rekeningen sturen aan een kleine subset van het hele klantenbestand, zeg als "commercial first class mail". Dus ze zullen dat wel netjes geautomatiseerd hebben met een gecontroleerd adressenbestand en een barcode op de envelop, want dat scheelt geld. Kost ergens tussen de 38 en de 46 cent per stuk aan porto. Voor het papier, het bedrukken, vouwen, en zo verder ben je totaal mischien een dubbeltje kwijt.

De grap is dat zo'n massa-mailing een eigen kostenstructuur heeft, die tussen de 26 en de 29 cent per stuk kost.* Dat had ze zomaar negen ton kunnen schelen.

* Het stuk "carrier route" gaat over massaverspreiding in een wijk. Kijk onder "Automation", in drie smaken van voorsorteren.
21-06-2019, 06:53 door karma4
Door Anoniem:..
Nou nee, men moest inderdaad 50 cent uitgeven per betrokkene, maar het waren er 3,8 miljoen. Vervolgens moest men natuurlijk ook nog het lek onderzoeken en dichten, 'maar' 400000. Maar wat ze blijkbaar de das om deed, en de moraal van dit verhaal, was dat de vier grootste klanten allemaal het vertrouwen in het bedrijf opzegden en wegliepen...

Wat ontken je nu?

- dat een bedrag van 50 ct voir notificatie onoverkomelijk is?
De medische rekeningen zijn daar forse bedragen..
Dan hebben ze aan marge nauwlijks iets gedaan.
Het risico uit de verwerkinsbedragen gelaten.

- dat de laagste prijs als verwerker niet doorslaggevend zou zijn voor winstoptimalisatie?

- Dat de verwerkingsverantwoordelijken niet aangesproken zijn? Staat toch in het artikel, opdrachtgevers weggelopen.
Lees nog eens de GDPR en wat die zegt over verwerkingsverantwoordelijke.
21-06-2019, 08:16 door Anoniem
Ik zit eigenlijk te wachten op een breach van Google of Microsoft want dat is onvermijdelijk. Waarbij de data van miljoenen personen wereldwijd gestolen worden.
21-06-2019, 08:18 door Bitje-scheef
Als daarna de grootste klanten weglopen, dan is het heel snel gedaan.
21-06-2019, 10:42 door Anoniem
Door Anoniem: Ik zit eigenlijk te wachten op een breach van Google of Microsoft want dat is onvermijdelijk. Waarbij de data van miljoenen personen wereldwijd gestolen worden.
Waarom is dat onvermijdelijk?

Dit zijn juist bedrijven die hun zaakjes vrijgoed op orde hebben. Zoveel op data governance als security.
21-06-2019, 12:12 door Anoniem
Door karma4: - dat een bedrag van 50 ct voir notificatie onoverkomelijk is?
De medische rekeningen zijn daar forse bedragen..
Dan hebben ze aan marge nauwlijks iets gedaan.
Het risico uit de verwerkinsbedragen gelaten.
(andere Anoniem hier)

De bedragen die een incassobureau incasseert behoren niet tot de inkomsten van het incassobureau, die gaan naar de schuldeisers die het incassobureau ingeschakeld hebben. De hoogte van de rekeningen waar het om ging is daarom niet relevant, alleen de incassokosten zijn eigen omzet en die kunnen veel lager zijn dan de rekeningen waar het om gaat.

Verder is niet gezegd dat die mijoenen mensen waar het om ging lopende zaken betreft, het kan een bestand zijn dat ze in vele jaren hebben opgebouwd. Iedereen tegelijk moeten inlichten hakt er dan verhoudingsgewijs veel zwaarder in dan wanneer het wel allemaal actuele gevallen waren geweest.

- Dat de verwerkingsverantwoordelijken niet aangesproken zijn? Staat toch in het artikel, opdrachtgevers weggelopen.
Lees nog eens de GDPR en wat die zegt over verwerkingsverantwoordelijke.
Wat de AVG bepaalt over verwerkingsverantwoordelijken geldt in de EU, niet in de VS, en dit vindt in de VS plaats. De AVG is niet van toepassing.

Zonder een wet als de AVG die regelt wie waarvoor verantwoordelijk is is dat niet geregeld (tenzij er contractuele afspraken voor gemaakt zijn). Dan zit het er dik in dat elke partij verantwoordelijk wordt gehouden alleen voor wat hij zelf doet, en dat dus het incassobureau verantwoordelijk is voor de hele toestand.
21-06-2019, 13:26 door karma4
Door Anoniem: ...

Zonder een wet als de AVG die regelt wie waarvoor verantwoordelijk is is dat niet geregeld (tenzij er contractuele afspraken voor gemaakt zijn). Dan zit het er dik in dat elke partij verantwoordelijk wordt gehouden alleen voor wat hij zelf doet, en dat dus het incassobureau verantwoordelijk is voor de hele toestand.
Eens over dat belang van de GDPR. Helaas zag ik nog wat van ceo's die er bij voorbaat onderuit wilden komen via verwerkingsovereenkomsten ook al zouden die tegen de gdpr in gaan. In ieder geval is deze situatie niet zo naar EU over te zetten.
21-06-2019, 16:17 door Anoniem
Door karma4: Eens over dat belang van de GDPR.
En oneens met waar je verder op aangesproken werd? Of zat daar wel wat in?
21-06-2019, 17:27 door karma4 - Bijgewerkt: 21-06-2019, 17:47
Door Anoniem:
Door karma4: Eens over dat belang van de GDPR.
En oneens met waar je verder op aangesproken werd? Of zat daar wel wat in?

Dat gaat enkel over het verdienmodel van het incassobureau gsbedrijf. Ik stelde dat ze te weinig marge ingecalculeerd hebben om tegenslagen op te vangen.
Die is wat mij betreft nog steeds zo en niet aangevallen.
Die marge is een deel van de betaling welke geïnd wordt.

Als dat betalingen van 10 dollar zijn of 10000 dollar maakt veel uit in het kostenverhaal. Dat de betaler die kosten niet ziet is niet relevant. De uitbestedende partij houdt er wel degelijk reling mee. Het is een onderdeel van het verdienmodel.

Of het nu enkel om actuele gegevens of ook historische data zou gaan is er wat er bij gehaald is.
Voor nagaan betalingen is 3 jaar al gauw de actuele situatie.

Ik had nog geen andere informatie nagelopen.Moet je eens doen.
https://cybersguards.com/more-than-400000-opko-health-customers-affected-by-amca-data-breach/
https://medium.com/cyber-journal/around-7-7-million-labcorp-customers-impacted-from-amca-data-breach-123641fd411b

Op zdbet en databreaches.net staat ook nog wat.
Ik moet de bedragen aanpassen. Het gaat om kleine bedragen aangezien al die laboratorium tests apart afgerekend worden.
Hier zit er een zorgverzekeraar tussen, daar niet.
Dan heb je snel iedereen die iets aan medische zorg heeft in het betaalsysteem.
24-06-2019, 10:18 door Anoniem
Er is bij American Medical Collection Agency nog veel meer mis geweest, het bedrjif was niet eens in staat om de 3.8 miljoen die ze nodig hadden voor dat briefje te betalen en moest daar een lening voor afsluiten.

En dan staat er nog een hele rij aan rechtzaken van gedupeerden te wachten...

Dus dan maar opdoeken voordat je verder in de schulden komt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.