D9D1E2

Datalekken in Nederland

2014

Klantgegevens verzekeraar toegankelijk op onbeveiligde FTP-server (2014-07-01)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

VGZ.

Verwerking

Testen software.

Betrokkenen

"[...] ongeveer 27.000 verzekerden [...]" [VGZ, 2014-07-01]

Soort (persoons)gegevens

"[...] declaratiegegevens [...] De testbestanden bevatten declaratiegegevens van vóór 2011 die gedeeltelijk gefingeerd waren. Er stonden géén medische dossiers of inloggegevens in." [VGZ, 2014-07-01]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Een medewerker heeft in 2011 gegevens van verzekerden op een privé-server gezet voor het testen van nieuwe software voor Coöperatie VGZ. Dit gebeurde in de vorm van testbestanden, waarin zowel fictieve als echte declaratiegegevens stonden van ongeveer 27.000 verzekerden (0,6% van ons klantenbestand). Na afloop van het testen zijn deze gegevens op de privé-server blijven staan, totdat ze eind 2013 ontdekt werden." [VGZ, 2014-07-01]

Respons van de organisatie

"Nadat het probleem ontdekt werd, hebben we de gegevens direct laten verwijderen van de privé-server. De Raad van Bestuur heeft vervolgens een diepgaand onderzoek ingesteld. Naar aanleiding hiervan zijn zowel de technische als organisatorische procedures op het gebied van gegevensbescherming verder aangescherpt. Coöperatie VGZ heeft ook de betrokken toezichthouders op de hoogte gesteld van het incident en van de genomen maatregelen. [...] We hebben alle betrokken verzekerden een brief met excuses en een toelichting gestuurd. Ook is er voor deze verzekerden een telefoonnummer geopend waar ze met vragen terecht kunnen." [VGZ, 2014-07-01]

Nasleep van het incident

Nog onbekend.

Bronnen

2014-07-01

2014-07-02

.