Medisch incassobureau vraagt faillissement aan wegens datalek
Een Amerikaans incassobureau dat rekeningen voor zorginstellingen en laboratoria int heeft faillissement aangevraagd nadat een aanvaller de gegevens van meer dan 20 miljoen patiënten wist te stelen. De aanvaller wist tussen 1 augustus 2018 en 30 maart 2019 toegang tot de systemen van het American Medical Collection Agency (AMCA) te krijgen.
Op deze systemen stonden gegevens van miljoenen patiënten, waaronder financiële informatie zoals creditcardnummers en bankrekeninggegevens, medische informatie en andere persoonlijke data, waaronder social security nummers. Vanwege het datalek besloten de vier grootste klanten van ACMA geen zaken meer met het incassobureau te doen. Daarop heeft Retrieval Masters, het moederbedrijf van ACMA, nu faillissement aangevraagd.
Volgens de directeur van Retrieval Masters zorgde het datalek voor een reeks van gebeurtenissen die het bedrijf naar de financiële afgrond leidde. Zo kreeg het met enorme onkosten te maken, waaronder 3,8 miljoen dollar die werd uitgegeven om 7 miljoen mensen over het datalek te informeren. Het bedrijf was ook 400.000 dollar kwijt aan it-professionals en consultants die wegens de inbraak werden ingeschakeld. Retrieval Masters kan inmiddels niet meer aan de schuldenlast voldoen, zo blijkt uit de aanvraag die het bedrijf bij de rechtbank indiende en waarover Bloomberg bericht.
Die nemen nu gewoon een andere katvanger als verwerker.
Die nemen nu gewoon een andere katvanger als verwerker.
Nou nee, men moest inderdaad 50 cent uitgeven per betrokkene, maar het waren er 3,8 miljoen. Vervolgens moest men natuurlijk ook nog het lek onderzoeken en dichten, 'maar' 400000. Maar wat ze blijkbaar de das om deed, en de moraal van dit verhaal, was dat de vier grootste klanten allemaal het vertrouwen in het bedrijf opzegden en wegliepen...
Dat zou in Nederland een stukkie meer gekost hebben. Het is wel grappig om bijvoorbeeld USPS Notice 123 (het tarievenboekje) erbij te pakken. Ik neem aan dat ze normaliter rekeningen sturen aan een kleine subset van het hele klantenbestand, zeg als "commercial first class mail". Dus ze zullen dat wel netjes geautomatiseerd hebben met een gecontroleerd adressenbestand en een barcode op de envelop, want dat scheelt geld. Kost ergens tussen de 38 en de 46 cent per stuk aan porto. Voor het papier, het bedrukken, vouwen, en zo verder ben je totaal mischien een dubbeltje kwijt.
De grap is dat zo'n massa-mailing een eigen kostenstructuur heeft, die tussen de 26 en de 29 cent per stuk kost.* Dat had ze zomaar negen ton kunnen schelen.
* Het stuk "carrier route" gaat over massaverspreiding in een wijk. Kijk onder "Automation", in drie smaken van voorsorteren.
Nou nee, men moest inderdaad 50 cent uitgeven per betrokkene, maar het waren er 3,8 miljoen. Vervolgens moest men natuurlijk ook nog het lek onderzoeken en dichten, 'maar' 400000. Maar wat ze blijkbaar de das om deed, en de moraal van dit verhaal, was dat de vier grootste klanten allemaal het vertrouwen in het bedrijf opzegden en wegliepen...
Wat ontken je nu?
- dat een bedrag van 50 ct voir notificatie onoverkomelijk is?
De medische rekeningen zijn daar forse bedragen..
Dan hebben ze aan marge nauwlijks iets gedaan.
Het risico uit de verwerkinsbedragen gelaten.
- dat de laagste prijs als verwerker niet doorslaggevend zou zijn voor winstoptimalisatie?
- Dat de verwerkingsverantwoordelijken niet aangesproken zijn? Staat toch in het artikel, opdrachtgevers weggelopen.
Lees nog eens de GDPR en wat die zegt over verwerkingsverantwoordelijke.
Dit zijn juist bedrijven die hun zaakjes vrijgoed op orde hebben. Zoveel op data governance als security.
De medische rekeningen zijn daar forse bedragen..
Dan hebben ze aan marge nauwlijks iets gedaan.
Het risico uit de verwerkinsbedragen gelaten.
De bedragen die een incassobureau incasseert behoren niet tot de inkomsten van het incassobureau, die gaan naar de schuldeisers die het incassobureau ingeschakeld hebben. De hoogte van de rekeningen waar het om ging is daarom niet relevant, alleen de incassokosten zijn eigen omzet en die kunnen veel lager zijn dan de rekeningen waar het om gaat.
Verder is niet gezegd dat die mijoenen mensen waar het om ging lopende zaken betreft, het kan een bestand zijn dat ze in vele jaren hebben opgebouwd. Iedereen tegelijk moeten inlichten hakt er dan verhoudingsgewijs veel zwaarder in dan wanneer het wel allemaal actuele gevallen waren geweest.
Lees nog eens de GDPR en wat die zegt over verwerkingsverantwoordelijke.
Zonder een wet als de AVG die regelt wie waarvoor verantwoordelijk is is dat niet geregeld (tenzij er contractuele afspraken voor gemaakt zijn). Dan zit het er dik in dat elke partij verantwoordelijk wordt gehouden alleen voor wat hij zelf doet, en dat dus het incassobureau verantwoordelijk is voor de hele toestand.
Zonder een wet als de AVG die regelt wie waarvoor verantwoordelijk is is dat niet geregeld (tenzij er contractuele afspraken voor gemaakt zijn). Dan zit het er dik in dat elke partij verantwoordelijk wordt gehouden alleen voor wat hij zelf doet, en dat dus het incassobureau verantwoordelijk is voor de hele toestand.
Dat gaat enkel over het verdienmodel van het incassobureau gsbedrijf. Ik stelde dat ze te weinig marge ingecalculeerd hebben om tegenslagen op te vangen.
Die is wat mij betreft nog steeds zo en niet aangevallen.
Die marge is een deel van de betaling welke geïnd wordt.
Als dat betalingen van 10 dollar zijn of 10000 dollar maakt veel uit in het kostenverhaal. Dat de betaler die kosten niet ziet is niet relevant. De uitbestedende partij houdt er wel degelijk reling mee. Het is een onderdeel van het verdienmodel.
Of het nu enkel om actuele gegevens of ook historische data zou gaan is er wat er bij gehaald is.
Voor nagaan betalingen is 3 jaar al gauw de actuele situatie.
Ik had nog geen andere informatie nagelopen.Moet je eens doen.
https://cybersguards.com/more-than-400000-opko-health-customers-affected-by-amca-data-breach/
https://medium.com/cyber-journal/around-7-7-million-labcorp-customers-impacted-from-amca-data-breach-123641fd411b
Op zdbet en databreaches.net staat ook nog wat.
Ik moet de bedragen aanpassen. Het gaat om kleine bedragen aangezien al die laboratorium tests apart afgerekend worden.
Hier zit er een zorgverzekeraar tussen, daar niet.
Dan heb je snel iedereen die iets aan medische zorg heeft in het betaalsysteem.
En dan staat er nog een hele rij aan rechtzaken van gedupeerden te wachten...
Dus dan maar opdoeken voordat je verder in de schulden komt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
