Een Amerikaanse aanbieder van medische repatriëring die door middel van een onbeveiligde clouddatabase de privégegevens van 130.000 klanten lekte heeft een schikking met toezichthouder FTC getroffen en hoeft geen boete te betalen. In 2019 ontdekte een beveiligingsonderzoeker een Elasticsearch-database van SkyMed International die voor iedereen op internet zonder wachtwoord toegankelijk was.

De database bevatte de persoonlijke details van meer dan 130.000 SkyMed-klanten. Het ging onder andere om namen, geboortedata, telefoonnummers, adresgegevens, e-mailadressen en gezondheidsinformatie. In de database trof de onderzoeker ook sporen aan van afpersers. Die stelden dat de inhoud van de database naar hun servers was gekopieerd en daarna op de servers van de zorgverlener was verwijderd.

Om de data terug te krijgen moest het bedrijf 230 euro betalen. Op het moment dat de onderzoeker de database aantrof bevatte die gewoon de gegevens van klanten. De onderzoeker waarschuwde het bedrijf, maar kreeg geen reactie. Volgens de FTC had de zorgverlener geen "gepaste maatregelen" getroffen om de persoonlijke informatie die het verzamelde te beveiligen. Daarnaast misleidde het bedrijf klanten door te stellen dat het aan de beveiligings- en privacyeisen van de HIPAA-wetgeving voldeed, aldus de toezichthouder.

De FTC en SkyMed hebben het datalek nu geschikt. De zorgverlener zal alle getroffen klanten over het datalek informeren en om welke gegevens het precies gaat. Daarnaast moet het bedrijf een uitgebreid beveiligingsprogramma implementeren en dit programma periodiek door een externe partij laten controleren. Tevens mag SkyMed geen verkeerde weergave geven van de manier waarop het persoonlijke data beveiligt, de omstandigheden en reactie op datalekken en of het aan privacy- of beveiligingsprogramma's van de overheid voldoet.