image

Zorgverlener die privégegevens 130.000 klanten lekte schikt met FTC

dinsdag 9 februari 2021, 12:39 door Redactie, 2 reacties

Een Amerikaanse aanbieder van medische repatriëring die door middel van een onbeveiligde clouddatabase de privégegevens van 130.000 klanten lekte heeft een schikking met toezichthouder FTC getroffen en hoeft geen boete te betalen. In 2019 ontdekte een beveiligingsonderzoeker een Elasticsearch-database van SkyMed International die voor iedereen op internet zonder wachtwoord toegankelijk was.

De database bevatte de persoonlijke details van meer dan 130.000 SkyMed-klanten. Het ging onder andere om namen, geboortedata, telefoonnummers, adresgegevens, e-mailadressen en gezondheidsinformatie. In de database trof de onderzoeker ook sporen aan van afpersers. Die stelden dat de inhoud van de database naar hun servers was gekopieerd en daarna op de servers van de zorgverlener was verwijderd.

Om de data terug te krijgen moest het bedrijf 230 euro betalen. Op het moment dat de onderzoeker de database aantrof bevatte die gewoon de gegevens van klanten. De onderzoeker waarschuwde het bedrijf, maar kreeg geen reactie. Volgens de FTC had de zorgverlener geen "gepaste maatregelen" getroffen om de persoonlijke informatie die het verzamelde te beveiligen. Daarnaast misleidde het bedrijf klanten door te stellen dat het aan de beveiligings- en privacyeisen van de HIPAA-wetgeving voldeed, aldus de toezichthouder.

De FTC en SkyMed hebben het datalek nu geschikt. De zorgverlener zal alle getroffen klanten over het datalek informeren en om welke gegevens het precies gaat. Daarnaast moet het bedrijf een uitgebreid beveiligingsprogramma implementeren en dit programma periodiek door een externe partij laten controleren. Tevens mag SkyMed geen verkeerde weergave geven van de manier waarop het persoonlijke data beveiligt, de omstandigheden en reactie op datalekken en of het aan privacy- of beveiligingsprogramma's van de overheid voldoet.

Reacties (2)
09-02-2021, 12:59 door Anoniem
Dat is mooi. En wat hebben de slachtoffers hieraan?
09-02-2021, 13:29 door Anoniem
Door Anoniem: Dat is mooi. En wat hebben de slachtoffers hieraan?

In het Amerikaanse gewoonterecht krijgen die naast een melding gewoonlijk ook een abinnement op bewakingsdiensten voor online reputatie en ID-fraude, betaald door de organisatie die gelekt heeft.

Overigens bevatten schikkingen met de FTC gewoonlijk ook de clausule dat zo'n organisatie een bepaalde periode (vaak 5 of 10 jaar) onder verscherpt toezicht (zeg maar een soort curatele) staat. Het verlies aan zelfstandigheid in de bedrijfsvoering is ook een soort straf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.