Datalek bij zorgverzekeraar Achmea. Gegevens duizenden klanten in verkeerde handen

Zorgverzekeraar Achmea heeft bij de Autoriteit Persoonsgegevens (AP) naar nu blijkt in augustus een datalekmelding gedaan, meldt het regionale dagblad De Stentor.

De gegevens van duizenden klanten in voornamelijk Noord- en Oost-Nederland zouden destijds als gevolg van een fout van een medewerker op het hoofdkantoor van Achmea in Apeldoorn in verkeerde handen zijn gekomen.

Autoriteit Persoonsgegevens wel geinformeerd, klanten niet

Op basis van de Algemene Verordening Gegevensbescherming (AVG) had de zorgverzekeraar de klanten ook moeten inlichten. Maar dat is niet gebeurd.

Op Twitter wordt er stevige kritiek geuit op de poging van Achmea om de zaak in de doofpot te stoppen. Het is de vraag hoe de AP hier op zal reageren.

Achmea had niet verwacht dat gelekte gegevens op straat zouden komen

Achmea zegt in een verklaring dat ze er in augustus nog vanuit ging dat de gelekte gegevens niet openbaar zouden worden. Het datalek zou daarom wel gemeld zijn bij de Autoriteit Persoonsgegevens, maar niet aan de duizenden getroffen verzekerden waarvan de gegevens gelekt zijn.

Achmea Holding BV is de grootste zorgverzekeraar van Nederland, als wordt gekeken naar in Nederland behaalde premieomzet. Achmea is het moederbedrijf van verzekeringsmerken als Centraal Beheer, Interpolis, FBTO, Zilveren Kruis en Avéro Achmea.

Gegevens ook in handen van dagblad De Stentor

De gegevens blijken ondertussen wel met derden te zijn gedeeld. De Stentor schrijft in het bezit te zijn van meerdere bestanden met de namen, BSN-nummer en adressen van circa 10.000 mensen.

In sommige bestanden staan ook bedragen die cliënten uitgekeerd kregen, soms ook van cliënten die inmiddels overleden zijn.

Iemand uit de omgeving van de medewerker wordt verdacht

,,We hebben gesproken met de medewerker in Apeldoorn, via wie het lek lijkt te zijn ontstaan’’, zegt woordvoerder Fleur Bello van Achmea.
“Het vermoeden is dat iemand uit ‘de omgeving’ van deze werknemer de gegevens heeft weten te bemachtigen en heeft verspreid.”

Wat het motief was om dat te doen, wil Achmea niet aangeven.

Meer actueel awareness nieuws

Cybercriminelen zijn klaar voor de najaarscampagne van zorgverzekeraars. Al 450 phishingsites ontdekt

Ieder najaar orienteren vele Nederlanders zich op de mogelijkheid om geld te besparen met een nieuwe zorgverzekering. Dit jaar moeten we daarbij oppassen voor misleiding door cybercriminelen die het voorzien hebben op onze persoonsgegevens, meldt de Stichting Internet Domeinregistratie Nederland (SIDN).

Cybercriminelen blijken zich al maanden grondig voor te bereiden op de najaarscampagne van de zorgverzekeraars.

Meer dan 450 phishingsites ontdekt

Uit een analyse van SIDN blijkt dat er al meer dan 450 phishingsites zijn opgezet met een domeinnaam die misbruik maakt van de naam van een zorgverzekeraar.

Traditioneel oriënteren veel Nederlanders zich op een nieuwe zorgverzekering nadat het kabinet tijdens Prinsjesdag haar plannen met betrekking tot zorgverzekeringen bekendmaakt.

 

Zorggegevens zijn erg populair

“We zien vaker dat internetcriminelen inspelen op actualiteiten of de introductie van nieuwe tools of diensten. Bij zorgverzekeringen is dat niet anders. Daarom is het zaak dat zorgverzekeraars alert zijn in de drukke periode na Prinsjesdag,” zegt Roelof Meijer, algemeen directeur van SIDN.

“Zorggegevens zijn erg populair en op de zwarte markt zelfs meer waard dan creditcardgegevens, omdat ze gebruikt kunnen worden om onterecht zorgkosten te declareren.”

Typodomeinnamen voor malafide websites

Bij de malafide websites wordt gebruikgemaakt van zogeheten typodomeinnamen. Dit zijn domeinnamen die sterk lijken op de naam van een bedrijf of merk, maar dan met één of meer tikfouten. Deze praktijk staat bekend als typosquatting.

Bezoekers die een tikfout maken tijdens het invoeren van de website komen vervolgens op een malafide site uit.

Cybercriminelen adverteren op Google bewust met tikfouten

Daarnaast zetten cybercriminelen deze domeinnamen ook steeds vaker in om te adverteren op belangrijke zoekwoorden in Google met betrekking tot het onderwerp.

Een bekend voorbeeld hiervan is dat in de domeinnaam de letter ‘o’ geschreven wordt als het getal nul. Hierdoor valt het de bezoeker minder snel op dat de domeinnaam niet klopt.

Analyse merknamen zorgverzekeraars

SIDN heeft de merknamen van alle Nederlandse zorgverzekeraars laten scannen met behulp van de Domeinnaambewakingsservice (DBS) om alle .nl-domeinnamen in beeld te brengen die lijken op deze merknamen of de merknaam bevat.

Dit leverde ruim 14.500 domeinnamen op. Vervolgens zijn deze domeinnamen geclassificeerd door geautomatiseerd een aantal elementen te analyseren.

De uiteindelijke classificatie die hieruit voortkomt, is geen 100% garantie maar wel een sterke indicatie.

Univezorgzaam.nl is een phishingsite

Ruim de helft van deze domeinnamen wordt gekwalificeerd als ‘Normale site’.

In 3% van de gevallen (451 domeinnamen) lijkt het te gaan om phishingsites. Een voorbeeld hiervan is de domeinnaam univezorgzaam.nl.

Geen zorgverzekering, maar een onveilige browser

Deze domeinnaam leidt niet naar een website of app van Univé, maar naar appsware.com en een scherm waar de bezoeker aangemoedigd wordt een ‘veilige browser’ te installeren.

Deze bevat malware die in praktijk erg moeilijk te verwijderen is.

De merknaam van Univé wordt hier dus misbruikt om malware te verspreiden.

De procedure om deze website offline te halen is inmiddels opgestart.

Meer actueel awareness nieuws