Zorgverzekeraar CZ heeft twee weken geleden een datalek gehad waarbij 105 verzekerden een bericht zagen dat niet voor hen bestemd was. Het incident werd veroorzaakt door een technisch probleem bij een externe it-dienstverlener en duurde twee uur.
Dat meldt de verzekeraar aan Tweakers. Tussen 15.00 en 17.00 uur op donderdag 21 augustus kregen 105 verzekerden via het online platform MijnCZ een persoonlijk bericht te zien dat eigenlijk voor andere klanten bedoeld was. Een technische storing in de Mijnomgeving van de zorgverzekeraar lag hieraan ten grondslag.
“Door een technisch probleem in MijnCZ heeft u een bericht gezien dat niet voor u bedoeld was,” begint het bericht van CZ aan getroffen klanten. De zorgverzekeraar biedt daarin excuses aan en legt uit wat er precies gebeurd is.
Externe it-dienstverlener betrokken
Het incident was volgens CZ het gevolg van een technisch probleem bij een externe IT-leverancier. Het meldt niet om welke software het gaat. De zorgverzekeraar benadrukt wel dat zij als organisatie verantwoordelijk blijven voor de beveiliging van klantgegevens, ook wanneer externe partijen betrokken zijn.
Er is geen sprake geweest van een hack of andere kwaadwillende inbraak. De oorzaak lag puur bij een technische storing in de systemen die het online platform ondersteunen.
Snelle reactie en melding
Na ontdekking van het probleem zette CZ direct de toegang tot MijnCZ stop. Het technische probleem werd kort daarna verholpen. Omdat het om een beperkte groep van 105 verzekerden ging binnen het totale klantenbestand van vier miljoen, kon CZ alle getroffen personen persoonlijk benaderen via telefoon en brief.
Het datalek werd nog dezelfde dag gemeld bij de Autoriteit Persoonsgegevens, zoals wettelijk verplicht is. “We vinden het zorgvuldig beveiligen van persoonlijke gegevens heel belangrijk voor CZ,” benadrukt een woordvoerder.
Context van eerdere datalekken
Dit incident is een van opvallend veel datalekken deze zomer. Van ransomware-aanvallen op het Nederlandse Clinical Diagnostics tot voice phishing-campagnes bij grote bedrijven, organisaties worden steeds vaker getroffen.
Ook andere Nederlandse bedrijven kampten recent met datalekken. KLM meldde vorige maand een datalek bij een externe klantenservice-partner, waarbij contactinformatie en Flying Blue-gegevens werden buitgemaakt.
CZ benadrukt dat dit voorval verschilt van deze andere incidenten omdat er geen externe aanvallers bij betrokken waren en het probleem snel werd opgelost. Desondanks toont het aan hoe kwetsbaar digitale systemen kunnen zijn, zelfs bij routinematige processen.
Lees ook: Staatssecretaris: AP beoordeelt of Clinical Diagnostics datalek tijdig is gemeld