image

Amerikaanse zorgverzekeraar raakt 950.000 dossiers kwijt

woensdag 27 januari 2016, 14:55 door Redactie, 10 reacties

De Amerikaanse zorgverzekeraar Centene Corp is de gegevens van zo’n 950.000 klanten kwijt. De gegevens in kwestie zijn opgeslagen op zes harde schijven. Deze zes harde schijven zijn ondanks uitgebreide zoektochten binnen het bedrijf tot op heden onvindbaar gebleken.

Op de schijven zijn de naam en het adres, de geboortedatum, het sofi-nummer en informatie over de gezondheidstoestand van de klanten opgeslagen. Er zijn geen financiële gegevens opgenomen. Het gaat om mensen die in de periode 2009 tot 2015 een laboratorium bezocht hebben.

Directeur Michael Neidorff zegt dat hij niet weet of de informatie gecompromitteerd is.

De getroffen klanten worden door Centene Corp op de hoogte gesteld en krijgen naast een financiële tegemoetkoming een medische controle aangeboden.

Reacties (10)
27-01-2016, 15:09 door [Account Verwijderd]
[Verwijderd]
27-01-2016, 15:37 door Anoniem
Men zegt dat de gegevens van tig klanten weg zijn. Inclusief NAW gegevens...
Dus HOE kun je die klanten (waarvan je de gegevens kwijt bent) dan op de hoogte stellen?!?
27-01-2016, 15:55 door PietdeVries
Door Buran: Ik stel voor de de eerste de beste CEO'er die zijn data in deze tijd nog unencrypted online heeft, laat verslepen of opslaat hoofdelijk aansprakelijk gesteld gaat worden. Uiteraard na een strafrechtelijk onderzoek etc.

En dan ook de hele management-chain daaronder, tot aan de operator die de data daar uiteindelijk neer heeft gezet.

't Is natuurlijk makkelijk roepen dat de CEO dan maar met stokslagen moet worden gestraft, maar het zijn vaak de medewerkers zelf die even een paadje afsnijden om lekker snel hun doelen te kunnen halen - niet de CEO die opdracht geeft om data te lekken. Overigens moeten op deze site ook een aantal security-professionals aanwezig zijn die hoofdelijk aansprakelijk gesteld zouden moeten worden :-)
27-01-2016, 16:22 door Anoniem
Door PietdeVries:
Door Buran: Ik stel voor de de eerste de beste CEO'er die zijn data in deze tijd nog unencrypted online heeft, laat verslepen of opslaat hoofdelijk aansprakelijk gesteld gaat worden. Uiteraard na een strafrechtelijk onderzoek etc.

En dan ook de hele management-chain daaronder, tot aan de operator die de data daar uiteindelijk neer heeft gezet.

't Is natuurlijk makkelijk roepen dat de CEO dan maar met stokslagen moet worden gestraft, maar het zijn vaak de medewerkers zelf die even een paadje afsnijden om lekker snel hun doelen te kunnen halen - niet de CEO die opdracht geeft om data te lekken. Overigens moeten op deze site ook een aantal security-professionals aanwezig zijn die hoofdelijk aansprakelijk gesteld zouden moeten worden :-)

Helaas is het juist het management in veel gevallen die niet de middelen en vooral de tijd beschikbaar stellen om op verantwoorde wijze te kunnen werken. Laat staan in een overduidelijk geval als deze waarbij de data medisch van aard is. Dan heb je een disposal policy, wat elke idioot kan begrijpen, omdat je medische gegevens nu eenmaal niet bij het oud vuil zet.

Lijkt me dat een data center / server ruimte beheerder in eem medisch bedrijf hier ook duidelijk zijn/haar verantwoordelijkheid moet nemen. Blijkbaar is het nog steeds goedkoper om data te verkwanselen dan zorgvuldig te zijn...
27-01-2016, 16:40 door Anoniem
Door PietdeVries:
Door Buran: Ik stel voor de de eerste de beste CEO'er die zijn data in deze tijd nog unencrypted online heeft, laat verslepen of opslaat hoofdelijk aansprakelijk gesteld gaat worden. Uiteraard na een strafrechtelijk onderzoek etc.

En dan ook de hele management-chain daaronder, tot aan de operator die de data daar uiteindelijk neer heeft gezet.

't Is natuurlijk makkelijk roepen dat de CEO dan maar met stokslagen moet worden gestraft, maar het zijn vaak de medewerkers zelf die even een paadje afsnijden om lekker snel hun doelen te kunnen halen - niet de CEO die opdracht geeft om data te lekken. Overigens moeten op deze site ook een aantal security-professionals aanwezig zijn die hoofdelijk aansprakelijk gesteld zouden moeten worden :-)

Tja, en wie geeft de opdracht? just de CEO! Kun je wel zeggen dat de boel beveiligd moet worden, maar als dat een 10.000 euro extra kost, en je moet met wachtwoorden gaan werken, zegt zo'n CEO doe maar niet. Is te duur.

Dus, de CEO is wel degelijk verantwoordelijk en niet de uitvoerende persoon! Tenzij er dus wel de opdracht is gegeven om de boel te beveiligen en het is niet gedaan. Maar daar gaat het nu niet over.

Ik kan als programmeur zo vaak beveiliging aankaarten, maar als daardoor de ontwikkeling een maand langer duurt, dan is dat te duur. En mag ik het niet doen. Dan ben ik daar verantwoordelijk voor? Dacht het niet. Dat is mijn opdracht gever!
27-01-2016, 17:36 door Anoniem
@Anoniem 16:40

Je kan ook een alternatief aan de opdrachtgever stellen, iets wat heel goedkoop is en toch een basisbeveiliging levert.
Of je kunt de opdracht weigeren, je bent dus zelf zeker wel mede-verantwoordelijk ervoor.
27-01-2016, 21:10 door Anoniem
Door Anoniem: Men zegt dat de gegevens van tig klanten weg zijn. Inclusief NAW gegevens...
Dus HOE kun je die klanten (waarvan je de gegevens kwijt bent) dan op de hoogte stellen?!?
De "men" die dat zegt is security.nl. Het is altijd handig om de link naar de bron te volgen. Daarin staat:
The drives were a part of a data project using laboratory results to improve the health outcomes of our members
Een "data project", een speciaal doel, dus niet de operationele gegevens van de verzekeringsmaatschappij. Ze kennen hun klanten dus nog en kunnen ze waarschuwen. Vermoedelijk is dit een extract van hun operationele data.

Let op dat ze "were a part" schrijven, verleden tijd dus, dat project is al afgerond. Het gaat om "six hard drives that are unaccounted for in its inventory of information technology (IT) assets". Ze hebben bij een inventarisatie ontdekt dat de schijven ontbraken, als ik dat goed lees, ze bleken niet te liggen waar ze volgens de inventaris moesten liggen of zoiets. Dat kan betekenen dat iemand heeft verzuimd vast te leggen dat ze voor een ander doel zijn ingezet, het kan zijn dat een medewerker met toegang tot de opslagruimte ze gejat heeft, en dan kunnen ze bij iemand thuis in computers zitten met heel andere data erop maar ze kunnen ook in verkeerde handen zijn beland.

Het valt uit de berichten niet op te maken, maar het is in dit scenario denkbaar dat het nooit de bedoeling was dat die schijven de afgesloten computerzaal verlaten zouden, en wie weet verklaart dat dat de gegevens niet geanonimiseerd en niet versleuteld waren (dat blijkt uit de ophef), in een fysiek beveiligde ruimte met beperkte toegang waar zich toch al alle data bevindt werd dat misschien niet nodig gevonden.
27-01-2016, 21:31 door karma4 - Bijgewerkt: 27-01-2016, 21:36
een bedrijf dat zelf meld dat ze fysieke zaken missen, dat is op zich vreemd. Dan hebben ze een uitstekende registratie van hun hardware. Meestal komt de reparateur langs verwisselt wat hardware en niemand weet er iets van.
http://www.healthcareitnews.com/news/centene-says-employee-error-led-missing-hard-drives-company-still-searching-records

Hoe groot is centene? http://www.centene.com/wp-content/uploads/2015/11/CNC-AtAGlance-110415.pdf 17k werknemers 5M klanten. Het percentage mogelijk betrokkenen is verbazend hoog. De doelgroep onderverzekerden en niet verzekerden kan er mee te maken hebben.

Wat er met die 6 hard-disks gebeurd is? Helaas die info heb ik nog niet. Wat ideeën:
- Meegenomen naar huis terwijl ze vernietigd hadden moeten worden.
- Tijdens een bring actie naar een andere locatie en ergens laten liggen. Het zal toch niet meer naar huis genomen zijn om daar verder te werken? "The hard disks contained information regarding a project that involved improving health results of the members by using lab outcomes. "
http://nhv.us/content/16014042-centene-corporation-announces-six-missing-hard-drives
Het blijft speculeren. "The incident resulted from an employee not following established procedures on storing IT hardware”.
28-01-2016, 15:56 door Anoniem
Tja, iemand stopt ze in een kartonnen doos... en weg zijn ze.

Hoeft niet altijd kwade opzet te zijn, onbenulligheid is veel vaker de oorzaak van problemen "ik wou alleen maar..." en bovendien veel lastiger te bestrijden.
28-01-2016, 18:18 door eMilt
Door Anoniem: Men zegt dat de gegevens van tig klanten weg zijn. Inclusief NAW gegevens...
Dus HOE kun je die klanten (waarvan je de gegevens kwijt bent) dan op de hoogte stellen?!?
Ze zijn schijven kwijt met die data, wil niet zeggen dat ze die data niet ergens anders ook nog hebben. Het gaat erom dat er nu dus zes schijven met privacy gevoelige informatie rondzwerven maar het bedrijf weet niet waar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.