De Britse verzekeringsmaatschappij Bupa heeft een boete van omgerekend 197.000 euro gekregen nadat een medewerker de gegevens van 547.000 verzekerden op internet aanbood. Tussen januari en maart vorig jaar wist een medewerker van Bupa de persoonlijke gegevens uit de systemen van Bupa te downloaden.

Het ging om naam, geboortedatum, nationaliteit, administratieve informatie voor de verzekering, e-mailadres en telefoonnummer van 547.000 mensen uit 122 landen. De medewerker logde in op een CRM-systeem waarmee Bupa verzekeringsclaims beheert. Vervolgens downloadde hij verschillende keren een rapport met gegevens en verstuurde dat naar zijn eigen persoonlijke e-mailaccount.

Bupa bleek het gebruik van het CRM-systeem niet geregeld te monitoren. Daardoor wist het niet dat een fout ervoor zorgde dat sommige rapporten niet werden gelogd en andere rapporten onnauwkeurig werden gelogd. Hierdoor was de verzekeraar niet in staat om ongewone activiteiten te detecteren, zoals het op grote schaal downloaden van klantgegevens.

Uiteindelijk kwam het datalek aan het licht toen iemand een advertentie op de online marktplaats AlphaBay ontdekte waarin de gegevens werden aangeboden. Volgens de Britse privacytoezichthouder ICO had Bupa onvoldoende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen. Daardoor liepen de gegevens van 1,5 miljoen mensen risico.

De toezichthouder stelt dat de verzekeraar hiermee de privacywetgeving van 1998 heeft overtreden en legde een boete van omgerekend 197.000 euro op. De medewerker in kwestie is ontslagen en de politie heeft een arrestatiebevel tegen hem uitgevaardigd.