Medisch incassobureau vraagt faillissement aan wegens datalek
Een Amerikaans incassobureau dat rekeningen voor zorginstellingen en laboratoria int heeft faillissement aangevraagd nadat een aanvaller de gegevens van meer dan 20 miljoen patiënten wist te stelen. De aanvaller wist tussen 1 augustus 2018 en 30 maart 2019 toegang tot de systemen van het American Medical Collection Agency (AMCA) te krijgen.
Op deze systemen stonden gegevens van miljoenen patiënten, waaronder financiële informatie zoals creditcardnummers en bankrekeninggegevens, medische informatie en andere persoonlijke data, waaronder social security nummers. Vanwege het datalek besloten de vier grootste klanten van ACMA geen zaken meer met het incassobureau te doen. Daarop heeft Retrieval Masters, het moederbedrijf van ACMA, nu faillissement aangevraagd.
Volgens de directeur van Retrieval Masters zorgde het datalek voor een reeks van gebeurtenissen die het bedrijf naar de financiële afgrond leidde. Zo kreeg het met enorme onkosten te maken, waaronder 3,8 miljoen dollar die werd uitgegeven om 7 miljoen mensen over het datalek te informeren. Het bedrijf was ook 400.000 dollar kwijt aan it-professionals en consultants die wegens de inbraak werden ingeschakeld. Retrieval Masters kan inmiddels niet meer aan de schuldenlast voldoen, zo blijkt uit de aanvraag die het bedrijf bij de rechtbank indiende en waarover Bloomberg bericht.
Die nemen nu gewoon een andere katvanger als verwerker.
Die nemen nu gewoon een andere katvanger als verwerker.
Nou nee, men moest inderdaad 50 cent uitgeven per betrokkene, maar het waren er 3,8 miljoen. Vervolgens moest men natuurlijk ook nog het lek onderzoeken en dichten, 'maar' 400000. Maar wat ze blijkbaar de das om deed, en de moraal van dit verhaal, was dat de vier grootste klanten allemaal het vertrouwen in het bedrijf opzegden en wegliepen...
Dat zou in Nederland een stukkie meer gekost hebben. Het is wel grappig om bijvoorbeeld USPS Notice 123 (het tarievenboekje) erbij te pakken. Ik neem aan dat ze normaliter rekeningen sturen aan een kleine subset van het hele klantenbestand, zeg als "commercial first class mail". Dus ze zullen dat wel netjes geautomatiseerd hebben met een gecontroleerd adressenbestand en een barcode op de envelop, want dat scheelt geld. Kost ergens tussen de 38 en de 46 cent per stuk aan porto. Voor het papier, het bedrukken, vouwen, en zo verder ben je totaal mischien een dubbeltje kwijt.
De grap is dat zo'n massa-mailing een eigen kostenstructuur heeft, die tussen de 26 en de 29 cent per stuk kost.* Dat had ze zomaar negen ton kunnen schelen.
* Het stuk "carrier route" gaat over massaverspreiding in een wijk. Kijk onder "Automation", in drie smaken van voorsorteren.
Nou nee, men moest inderdaad 50 cent uitgeven per betrokkene, maar het waren er 3,8 miljoen. Vervolgens moest men natuurlijk ook nog het lek onderzoeken en dichten, 'maar' 400000. Maar wat ze blijkbaar de das om deed, en de moraal van dit verhaal, was dat de vier grootste klanten allemaal het vertrouwen in het bedrijf opzegden en wegliepen...
Wat ontken je nu?
- dat een bedrag van 50 ct voir notificatie onoverkomelijk is?
De medische rekeningen zijn daar forse bedragen..
Dan hebben ze aan marge nauwlijks iets gedaan.
Het risico uit de verwerkinsbedragen gelaten.
- dat de laagste prijs als verwerker niet doorslaggevend zou zijn voor winstoptimalisatie?
- Dat de verwerkingsverantwoordelijken niet aangesproken zijn? Staat toch in het artikel, opdrachtgevers weggelopen.
Lees nog eens de GDPR en wat die zegt over verwerkingsverantwoordelijke.
Dit zijn juist bedrijven die hun zaakjes vrijgoed op orde hebben. Zoveel op data governance als security.
De medische rekeningen zijn daar forse bedragen..
Dan hebben ze aan marge nauwlijks iets gedaan.
Het risico uit de verwerkinsbedragen gelaten.
De bedragen die een incassobureau incasseert behoren niet tot de inkomsten van het incassobureau, die gaan naar de schuldeisers die het incassobureau ingeschakeld hebben. De hoogte van de rekeningen waar het om ging is daarom niet relevant, alleen de incassokosten zijn eigen omzet en die kunnen veel lager zijn dan de rekeningen waar het om gaat.
Verder is niet gezegd dat die mijoenen mensen waar het om ging lopende zaken betreft, het kan een bestand zijn dat ze in vele jaren hebben opgebouwd. Iedereen tegelijk moeten inlichten hakt er dan verhoudingsgewijs veel zwaarder in dan wanneer het wel allemaal actuele gevallen waren geweest.
Lees nog eens de GDPR en wat die zegt over verwerkingsverantwoordelijke.
Zonder een wet als de AVG die regelt wie waarvoor verantwoordelijk is is dat niet geregeld (tenzij er contractuele afspraken voor gemaakt zijn). Dan zit het er dik in dat elke partij verantwoordelijk wordt gehouden alleen voor wat hij zelf doet, en dat dus het incassobureau verantwoordelijk is voor de hele toestand.
Zonder een wet als de AVG die regelt wie waarvoor verantwoordelijk is is dat niet geregeld (tenzij er contractuele afspraken voor gemaakt zijn). Dan zit het er dik in dat elke partij verantwoordelijk wordt gehouden alleen voor wat hij zelf doet, en dat dus het incassobureau verantwoordelijk is voor de hele toestand.
Dat gaat enkel over het verdienmodel van het incassobureau gsbedrijf. Ik stelde dat ze te weinig marge ingecalculeerd hebben om tegenslagen op te vangen.
Die is wat mij betreft nog steeds zo en niet aangevallen.
Die marge is een deel van de betaling welke geïnd wordt.
Als dat betalingen van 10 dollar zijn of 10000 dollar maakt veel uit in het kostenverhaal. Dat de betaler die kosten niet ziet is niet relevant. De uitbestedende partij houdt er wel degelijk reling mee. Het is een onderdeel van het verdienmodel.
Of het nu enkel om actuele gegevens of ook historische data zou gaan is er wat er bij gehaald is.
Voor nagaan betalingen is 3 jaar al gauw de actuele situatie.
Ik had nog geen andere informatie nagelopen.Moet je eens doen.
https://cybersguards.com/more-than-400000-opko-health-customers-affected-by-amca-data-breach/
https://medium.com/cyber-journal/around-7-7-million-labcorp-customers-impacted-from-amca-data-breach-123641fd411b
Op zdbet en databreaches.net staat ook nog wat.
Ik moet de bedragen aanpassen. Het gaat om kleine bedragen aangezien al die laboratorium tests apart afgerekend worden.
Hier zit er een zorgverzekeraar tussen, daar niet.
Dan heb je snel iedereen die iets aan medische zorg heeft in het betaalsysteem.
En dan staat er nog een hele rij aan rechtzaken van gedupeerden te wachten...
Dus dan maar opdoeken voordat je verder in de schulden komt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.