image

Zorgverzekeraar verliest laptops met data 840.000 klanten

woensdag 11 december 2013, 17:22 door Redactie, 11 reacties

Een Amerikaanse zorgverzekeraar heeft 840.000 klanten gewaarschuwd dat hun gegevens mogelijk risico lopen nadat twee onversleutelde laptops werden gestolen. De laptops werden begin november uit het hoofdkantoor van Horizon Blue Cross Blue Shield meegenomen.

De laptops waren wel met een wachtwoord beveiligd maar niet versleuteld. Op de computers stonden verschillende bestanden met klantgegevens, waaronder namen, adresgegevens, geboortedata en in sommige gevallen Social Security nummers en klinische informatie De verzekeraar laat weten dat vanwege de manier waarop de laptops geconfigureerd waren het onduidelijk is of de klantgegevens op de laptops benaderbaar zijn.

Volgens de verzekeraar zijn er geen aanwijzingen dat de laptops gestolen zijn vanwege de informatie die ze bevatten of dat de data is misbruikt. Om herhaling te voorkomen wordt het "encryptieproces" versterkt en zullen beleid, procedures en trainingen voor het personeel worden verbeterd.

Reacties (11)
11-12-2013, 15:38 door Anoniem
"Om herhaling te voorkomen wordt het encryptieproces versterkt "

Wat houdt dat in, het ''versterken van het encryptieproces''. Immers werd er geen encryptie gebruikt.
11-12-2013, 15:45 door SPlid
Kalf ? Put ? Verdronken ?

En nu ? Je laat in goed vertrouwen je persoonlijke (mogelijk medische) gegevens achter en deze belanden op straat. Je hebt geen poot om op te staan.

Wat doen verzekeringsgegevens trouwens op een laptop .
11-12-2013, 16:14 door [Account Verwijderd]
[Verwijderd]
11-12-2013, 17:28 door Orion84
Door Hyper: Vreemd dat die gegevens überhaupt op een laptop staan in plaats van op een (beveiligde) server. Dat een klein bedrijf de klantgegevens op een laptop bijhoudt is logisch, maar bij zo'n grote organisatie verwacht je toch dat de laptops netjes inloggen op het VPN / Citrix van het werk waarbij alle dataopslag binnen het datacentrum blijft.
Die gegevens zullen ook echt niet standaard op die laptops bewaard worden. Maar er zijn altijd medewerkers die met die gegevens moeten werken en denken "dit kan ik sneller door er even een excelletje van te maken". En dat excelletje gaat vervolgens een eigen leven leiden, of wordt in elk geval niet opgeruimd nadat het is gebruikt om een of ander rapport op te stellen.

Of er wordt een export gemaakt om te gebruiken als testdata in een ander systeem (al dan niet na fatsoenlijke obfuscatie), waarna die export niet wordt verwijderd.

Er zijn talloze redenen te verzinnen waardoor gegevens die in basis op een centrale beveiligde server staan soms op laptops van medewerkers terecht komen. Dat zijn lang niet altijd hele goede redenen en zeker als gegevens voor lange tijd op zo'n systeem blijven rondslingeren loop je risico dat de spreekwoordelijke poep in de ventilator terecht komt.
11-12-2013, 20:08 door [Account Verwijderd] - Bijgewerkt: 11-12-2013, 20:09
[Verwijderd]
12-12-2013, 07:29 door Anoniem
Als deze gegevens opgenomen waren in een EPD.. een Elektronisch Patiënten Dossier, online en beveiligd, dan waren de gestolen laptops niet meer dan een werkstation, die alleen verbinding maken met het dossier, Het is dus gevaarlijk als een huisarts zijn eigen dossiers bijhoudt en meeneemt op zijn eigen laptop/usb stick o.i.d..
12-12-2013, 08:43 door [Account Verwijderd]
[Verwijderd]
12-12-2013, 13:30 door Peter H.
Door SPlid: Kalf ? Put ? Verdronken ?

En nu ? Je laat in goed vertrouwen je persoonlijke (mogelijk medische) gegevens achter en deze belanden op straat. Je hebt geen poot om op te staan.

Wat doen verzekeringsgegevens trouwens op een laptop .

Laten we hopen dat als er één schaap over de dam is er meer zullen volgen. Maar gezien de berichtgeving op deze site heb ik daar een hard hoofd in.
12-12-2013, 15:12 door Anoniem
Door Anoniem: Als deze gegevens opgenomen waren in een EPD.. een Elektronisch Patiënten Dossier, online en beveiligd, dan waren de gestolen laptops niet meer dan een werkstation, die alleen verbinding maken met het dossier, Het is dus gevaarlijk als een huisarts zijn eigen dossiers bijhoudt en meeneemt op zijn eigen laptop/usb stick o.i.d..
Die gegevens van 84.000 klanten zijn niet uit papieren dossiers overgetikt, die komen uit een informatiesysteem met patiëntgegevens, ook wel - schrik niet - een electronisch patiëntendossier genoemd.
12-12-2013, 17:03 door packetguy
"Om herhaling te voorkomen wordt het "encryptieproces" versterkt"

Wat een non antwoord, er werd geen encryptie toegepast. Wat een amateuristisch bedrijf.
12-12-2013, 17:05 door packetguy - Bijgewerkt: 12-12-2013, 17:08
Door Orion84:
Door Hyper: Vreemd dat die gegevens überhaupt op een laptop staan in plaats van op een (beveiligde) server. Dat een klein bedrijf de klantgegevens op een laptop bijhoudt is logisch, maar bij zo'n grote organisatie verwacht je toch dat de laptops netjes inloggen op het VPN / Citrix van het werk waarbij alle dataopslag binnen het datacentrum blijft.
Die gegevens zullen ook echt niet standaard op die laptops bewaard worden. Maar er zijn altijd medewerkers die met die gegevens moeten werken en denken "dit kan ik sneller door er even een excelletje van te maken". En dat excelletje gaat vervolgens een eigen leven leiden, of wordt in elk geval niet opgeruimd nadat het is gebruikt om een of ander rapport op te stellen.

Of er wordt een export gemaakt om te gebruiken als testdata in een ander systeem (al dan niet na fatsoenlijke obfuscatie), waarna die export niet wordt verwijderd.

Er zijn talloze redenen te verzinnen waardoor gegevens die in basis op een centrale beveiligde server staan soms op laptops van medewerkers terecht komen. Dat zijn lang niet altijd hele goede redenen en zeker als gegevens voor lange tijd op zo'n systeem blijven rondslingeren loop je risico dat de spreekwoordelijke poep in de ventilator terecht komt.

Ja daarom is om te beginnen de standaard policy van een goede organisatie dat iedere laptop van het bedrijf ge-encrypt is. Als het daar al mis gaat dan wil ik niet weten hoe de rest van de bedrijfscultuur en structuur in elkaar steekt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.