Nieuws
image

Pfizer lekt privégegevens van honderden medicijngebruikers

donderdag 22 oktober 2020, 11:03 door Redactie, 6 reacties

Farmaceutische gigant Pfizer heeft door een verkeerd geconfigureerde Google Cloud Storage bucket de privégegevens van honderden medicijngebruikers gelekt, alsmede informatie over gebruikte medicijnen en gezondheidstoestand. Dat laten onderzoekers van vpnMentor weten.

Buckets zijn containers waarmee data in de Google Cloud Storage kan worden opgeslagen. Pfizer had één van hun buckets verkeerd geconfigureerd, waardoor die voor iedereen op internet toegankelijk was. De bucket bevatte transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht.

Het ging om honderden transcripties die allerlei persoonlijke identificeerbare informatie bevatten, zoals volledige naam, adresgegevens, e-mailadres, telefoonnummer en gedeeltelijke details over de medische en gezondheidstoestand. In de transcripties werden ook de medicijnen genoemd die de gebruikers gebruikten, zoals Viagra en Advil.

Vpnmentor waarschuwde Pfizer op 13 juli, gevolgd door een tweede poging op 19 juli. Een derde poging volgde op 22 september, waarop de farmaceut reageerde. Volgens de onderzoekers stelde Pfizer dat het niet om belangrijke data ging. Daarop deelden de onderzoekers een deel van de persoonlijke informatie die ze hadden gevonden, waarop de bucket door Pfizer werd beveiligd.

Reacties (6)
Reageer met quote
22-10-2020, 11:26 door Anoniem
Als hier Europese personen bij zitten, is het een meldingsplichtig datalek. Benieuwd of Pfizer zich aan de wet gaat houden...
Reageer met quote
22-10-2020, 11:55 door buttonius
Ik snap niet waarom een medicijnfabrikant moet weten wie welke medicijnen gebruikt. Die informatie hoort alleen bij de voorschrijvende arts, de apotheek en de patiënt bekend te zijn. (En , in Nederland, bij het DIS https://www.intramed.nl/veelgesteldevragen/welke-gegevens-worden-aangeleverd-aan-het-dbc-informatiesysteem-dis/ en dat is best wel eng...)
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.
Reageer met quote
22-10-2020, 12:23 door Anoniem
Door buttonius: Ik snap niet waarom een medicijnfabrikant moet weten wie welke medicijnen gebruikt. Die informatie hoort alleen bij de voorschrijvende arts, de apotheek en de patiënt bekend te zijn. (En , in Nederland, bij het DIS https://www.intramed.nl/veelgesteldevragen/welke-gegevens-worden-aangeleverd-aan-het-dbc-informatiesysteem-dis/ en dat is best wel eng...)
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.
In de USA is dat blijkbaar anders.
Reageer met quote
22-10-2020, 12:40 door Anoniem
oi oi oi... "[...] stelde Pfizer dat het niet om belangrijke data ging"

Dit is zo'n typische reactie. Eerst een knap staaltje downplay en wegmanagen en pas als je echt niet meer kan ontkennen er iets mee doen. Getuigt niet van veel verantwoordelijkheidsgevoel, en dat bij een Farmaceut.


Pfizer Inc. reported full-year revenues of $51.8 billion (https://www.healthleadersmedia.com/finance/pfizer-revenues-slide-end-2019).
'kee 4% van de wereldwijde jaaromzet of 20mljn, afhankelijk van welke het hoogste is, was het toch?

Farmaceut, 3x gewaarschuwd én niet adequaat opvolgen van een privacy melding. Telt dat niet als verzwarende omstandigheden?

Nou, da's dan potentieel ruim 2mjrd boete alstublieftdankuwel.

(zal wel weer niet, na een stevige big-pharma lobby wordt het toch weer een "foei, niet meer doen", maar toch kan dromen van gerechtigheid ook leuk zijn.)
Reageer met quote
22-10-2020, 13:38 door Anoniem
Door buttonius: Ik snap niet waarom een medicijnfabrikant moet weten wie welke medicijnen gebruikt. Die informatie hoort alleen bij de voorschrijvende arts, de apotheek en de patiënt bekend te zijn. (En , in Nederland, bij het DIS https://www.intramed.nl/veelgesteldevragen/welke-gegevens-worden-aangeleverd-aan-het-dbc-informatiesysteem-dis/ en dat is best wel eng...)
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.

Was mijn eerste reactie ook, maar in het artikel staat dat het ging om transcripties van klantcontacten (waarbij de klanten dus zelf contact hebben gezocht). Dergelijke data moet je uiteraard zeer goed beveiligen, want in vrij velden kan je echt alles kwijt.
Reageer met quote
22-10-2020, 13:49 door -Peter-
Door buttonius: Ik snap niet waarom een medicijnfabrikant moet weten wie welke medicijnen gebruikt. Die informatie hoort alleen bij de voorschrijvende arts, de apotheek en de patiënt bekend te zijn. (En , in Nederland, bij het DIS https://www.intramed.nl/veelgesteldevragen/welke-gegevens-worden-aangeleverd-aan-het-dbc-informatiesysteem-dis/ en dat is best wel eng...)
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.

Even het artikel lezen:

De bucket bevatte transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht.

Je kent het wel. Je belt naar een bedrijf en het eerste wat je hoort, is dat het telefoongesprek kan worden opgenomen. Wat dan ook meestal wordt gedaan is een (automatisch) transscriptie zodat bij een toekomstig telefoontje de oude gegevens snel teruggevonden kunnen worden. Jij vindt het toch ook lastig als je bij ieder gesprek weer al je gegevens en andere medicijnen en het gebruik door moet geven?

Peter
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search