Datalek bij zorgverzekeraar Achmea. Gegevens duizenden klanten in verkeerde handen

Zorgverzekeraar Achmea heeft bij de Autoriteit Persoonsgegevens (AP) naar nu blijkt in augustus een datalekmelding gedaan, meldt het regionale dagblad De Stentor.

De gegevens van duizenden klanten in voornamelijk Noord- en Oost-Nederland zouden destijds als gevolg van een fout van een medewerker op het hoofdkantoor van Achmea in Apeldoorn in verkeerde handen zijn gekomen.

Autoriteit Persoonsgegevens wel geinformeerd, klanten niet

Op basis van de Algemene Verordening Gegevensbescherming (AVG) had de zorgverzekeraar de klanten ook moeten inlichten. Maar dat is niet gebeurd.

Op Twitter wordt er stevige kritiek geuit op de poging van Achmea om de zaak in de doofpot te stoppen. Het is de vraag hoe de AP hier op zal reageren.

Achmea had niet verwacht dat gelekte gegevens op straat zouden komen

Achmea zegt in een verklaring dat ze er in augustus nog vanuit ging dat de gelekte gegevens niet openbaar zouden worden. Het datalek zou daarom wel gemeld zijn bij de Autoriteit Persoonsgegevens, maar niet aan de duizenden getroffen verzekerden waarvan de gegevens gelekt zijn.

Achmea Holding BV is de grootste zorgverzekeraar van Nederland, als wordt gekeken naar in Nederland behaalde premieomzet. Achmea is het moederbedrijf van verzekeringsmerken als Centraal Beheer, Interpolis, FBTO, Zilveren Kruis en Avéro Achmea.

Gegevens ook in handen van dagblad De Stentor

De gegevens blijken ondertussen wel met derden te zijn gedeeld. De Stentor schrijft in het bezit te zijn van meerdere bestanden met de namen, BSN-nummer en adressen van circa 10.000 mensen.

In sommige bestanden staan ook bedragen die cliënten uitgekeerd kregen, soms ook van cliënten die inmiddels overleden zijn.

Iemand uit de omgeving van de medewerker wordt verdacht

,,We hebben gesproken met de medewerker in Apeldoorn, via wie het lek lijkt te zijn ontstaan’’, zegt woordvoerder Fleur Bello van Achmea.
“Het vermoeden is dat iemand uit ‘de omgeving’ van deze werknemer de gegevens heeft weten te bemachtigen en heeft verspreid.”

Wat het motief was om dat te doen, wil Achmea niet aangeven.

Meer actueel awareness nieuws

AVG Awareness veiligheidsmaatregel: contactloze autosleutelsysteem laten uitschakelen. Zeer onveilig systeem

Kun jij je auto openen en starten met een contactloze autosleutel? Dan zou je die optie volgens verzekeraars en de keuringsinstantie voor autobeveiliging Kiwa SCM door de garage moeten laten uitschakelen.

Auto’s met de ‘keyless entry’ blijken zo vaak gestolen of opengebroken te worden dat verzekeraars en de keuringsinstantie er per volgend jaar vanaf willen. Auto’s met contactloze sleutels zijn dan dus niet meer verzekerd.

AVG awareness maatregel contactloze sleutels

De ingrijpende conclusie van de verzekeraars en de keuringsinstantie is voor organisaties ook van belang voor het veiligheidsmaatregelen die zij op basis van de AVG moeten treffen om er voor te zorgen dat persoonsgegevens niet in verkeerde handen kunnen vallen.

De AVG verplicht organisaties om maatregelen te treffen waarmee onnodig risico kan worden voorkomen. Die maatregelen moeten worden genomen op het moment dat het risico bekend is. Omdat de verzekeraars en het keuringsinstituut er nu melding van hebben gemaakt moeten organisaties nu ook meteen matregelen treffen.

Iedereen die met een auto van de zaak of eigen auto zakelijk onderweg is en daarbij een laptop, tablet of dossiers met persoonsgegevens bij zich heeft loopt groot risico op een autoinbraak of autodiefstal als gebruik wordt gemaakt van contactloze sleutels.

Wanneer wordt jouw auto gestolen?

Volgens deskundigen zijn vrijwel alle auto’s van 2017 en ouder met zo’n systeem simpel te jatten.

,,Het is geen kwestie of je auto gehackt wordt, maar wanneer”, zegt Wouter Verkerk van het Verzekeringsbureau Voertuigcriminaliteit (VbV).

Het VbV is een initiatief van alle Nederlandse schadeverzekeraars om voertuigcriminaliteit te bestrijden.

Laat de contactloze sloten uitschakelen

Verkerk heeft maar één advies aan autobezitters: ,,Laat de keyless entry gewoon uitzetten.”

Er zijn volgens hem een hoop mensen die denken: ‘ik merk het wel’. ,,Maar op het moment dat je auto gestolen wordt, ben je erg onthand, hoe goed je ook verzekerd bent.”

PrivacyZone adviseert het contactloze autosleutelsysteem uit te laten schakelen door de autodealer of garage en dat schriftelijk te laten bevestigen in de factuur of een brief. Deze bevestiging moet dan worden gemeld in het verwerkingsregister.

Systeem niet zelf uitschakelen

Je kunt het systeem waarschijnlijk ook zelf uitschakelen, maar in dat geval heb je geen bewijs voor de Autoriteit Persoonsgegevens of de verzekering als er toch nog eens in de auto wordt ingebroken of de auto wordt gestolen.

De passieve autosleutel is ontwikkeld om het leven gemakkelijker te maken, alleen daarmee braken ook gouden tijden aan voor criminelen. De rfid-chip blijkt namelijk te kraken.

Inbraakgolf in auto’s

In Den Haag vond eerder een inbraakgolf plaats in auto’s. De inbraken gebeurden zonder braakschade, doordat dieven autosleutels hackten. De politie vroeg toen al om de keyless entry van de slimme autosleutel te deactiveren.

Autodieven gebruiken over apparatuur waarmee ze signalen van autosleutels kunnen opvangen en kopieren. Ze kunnen bijvoorbeeld bij huizen langslopen en signalen van autosleutels die in de hal op een kastje liggen of zich in een jaszak aan de kapstok bevinden kopieren als ze met de apparatuur voor het huis gaan staan. Ze kunnen dan zonder sporen achter te laten in de auto inbreken of hem stelen.

De meest gestolen auto’s met contactloze sleutels

Bij deze auto’s is de kans het grootst dat je nieuwe auto binnen drie jaar na aankoop wordt gestolen:

  • Nummer 1: Toyota RAV4

Dit is momenteel met afstand het meest gewilde model onder autodieven in Nederland. De kans dat deze fonkelnieuwe auto van Japanse makelij binnen drie jaar wordt gestolen is maar liefst 1 op 18.

  • Nummer 2: Citroën C4

Het risico dat het dievengilde er met je nieuwe Citroën C4 vandoor gaat is groot. Binnen drie jaar zijn 1 op 22 autobezitters van het Franse automerk hem alweer ongewild kwijt.

  • Nummer 3: Land Rover Evoque

Ook de compacte SUV van het Britse automerk Land Rover is in trek bij autodieven. Bij 1 op de 35 eigenaren van de Range Rover Evoque werd de auto binnen drie jaar gestolen.

  • Nummer 4: Lexus NX

De hybride NX van Lexus – de luxe tak van het Japanse automerk Toyota – is populair als het om diefstal gaat. Tussen 2015 en 2018 werden er 1 op de 39 gestolen.

  • Nummer 5: Lexus IS

De Lexus IS, dat staat voor Intelligent Sport, scoort met 1 op 44 gestolen wagens sinds 2015 hoog.

  • Nummer 6: Range Rover Sport van Land Rover

Van het sportieve model van Land Rover, de Range Rover Sport, zijn er in drie jaar tijd 1 op de 49 ontvreemd.

  • Nummer 7: De A-Klasse van Mercedes-Benz

Van de A-Klasse van het Duitse Mercedes zijn er 1 op de 66 binnen drie jaar na aanschaf gestolen.

  • Nummer 8: XF van Jaguar

Het sportieve model van het Britse Jaguar, de XF, is sinds 2015 bij 1 op de 74 van de bezitters gestolen.

Meer actueel awareness nieuws

Hoe gaan verzekeraars om met onze privacy?

Verzekeraars lijken totaal nog niet klaar voor de privacywet. Dat weet ik uit eigen recente ervaring. En een onderzoek van Security.nl bevestigt het vermoeden dat veel verzekeringsbedrijven nog steeds veel meer persoonsgegevens verzamelen dan nodig is.

Security.nl onderzocht het privacybeleid websites van 37 Nederlandse verzekeraars. Daarover straks meer. Eerst mijn eigen praktijkervaring.

“Wat doet u met mijn persoonsgegevens?”, vroeg ik onlangs bij een schadeherstelbedrijf. Er zat een deuk in mijn auto. De eigenaar van de zaak had de schade getaxeerd en vertelde dat hij de hele afhandeling met de verzekering voor me zou rekenen. Prima service. Toch?

Als privacymanager was ik echter verbaasd dat ik nergens een handtekening hoefde te zetten. Geen idee welke processen er nu in gang gezet zouden worden. Ondertussen was er al wel een kopie gemaakt van rijbewijs en verzekeringspapieren.

Kortom maar eens gevraagd wat er nu met mijn gegevens ging gebeuren.

De schadehersteller keek me verbaasd aan. Waarom zou ik dat moeten willen weten? Alles wordt toch prima geregeld?

“Privacywet? Nog nooit van gehoord. Ik ben schadehersteller. Het systeem dat ik gebruik wordt door alle schadeherstelbedrijven gebruikt. Het is aangesloten op de systemen van alle verzekeraars waar hij zaken mee doet.”

De gegevens die een klant met schade achterlaat worden in het systeem ingevoerd en naar de verzekeraar gestuurd.

Is er een verwerkingsovereenkomst?

“Nog nooit van gehoord.”

Is er nog helemaal geen enkele verzekeraar die u geinformeerd heeft over de privacywet? Over maatregelen die zij genomen hebben?

“Nee. Geen enkele verzekeraar. Ik heb wel een formulier gekregen van de leverancier van mijn kopieerapparaat. Maar dat heb ik nog niet gelezen.”

Hebt u een idee wat zij nog meer met de persoonsgegevens van uw klanten zouden kunnen doen?

“Ze hebben me wel eens gevraagd om een enquete uit te zetten onder mijn klanten. Maar daar doe ik niet aan mee. Daar heb ik geen tijd voor.”

Ik was verbaasd. Een paar weken vooVerzekeraars hebben vaak een slecht imago. Waarom grijpen die bedrijven de GDPR niet aan om hun imago op te poetsen?

Security.nl dacht hetzelfde. De website stelde daarom de websites van 37 verzekeraars op de proef. Welke informatie verzamelen verzekeraars eigenlijk als je hun website bezoekt?

Security.nl onderzocht de verzekeringsites op:

  • Bij akkoord cookies en sortering naar aantal waargenomen trackers 
  • Bij akkoord cookies en sortering naar het aantal externe verbindingen
  • Bij niet akkoord cookies en maximaal data rond’zingen’ gesorteerd op aantal trackers en aantal verbindingen

Het resultaat van het onderzoek?

Security.nl concludeert dat de goedkoopste verzekeraars niet per se compenseren via privacy afbraak en reclame inkomsten.

En dat zeker niet de duurste verzekeraars niet méér privacy bieden. “Integendeel! Hoe groter hoe professioneler getrackt?”

Het hele onderzoek vindt u hier op Security.nl.

Meer actueel awareness nieuws