Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener

In dit artikel:

Zorgverzekeraar CZ meldde dat op 21 augustus een datalek heeft plaatsgevonden: door een technisch probleem in de MijnCZ-omgeving kreeg een klein aantal verzekerden een bericht te zien dat niet voor hen bestemd was. Het incident speelde zich af tussen ongeveer 15:00 en 17:00 uur en betrof 105 klanten van CZ, dat ongeveer vier miljoen verzekerden heeft.

CZ ontdekte het probleem snel, sloot de toegang tot MijnCZ direct af en herstelde de fout nog dezelfde dag. De getroffen verzekerden werden persoonlijk benaderd per telefoon en brief; CZ bood excuses aan en ondersteuning. Volgens de woordvoerder was er geen sprake van een hack, maar van een technisch euvel bij een externe IT-dienstverlener waarvoor CZ wel verantwoordelijk is.

Het voorval is dezelfde dag nog gemeld bij de Autoriteit Persoonsgegevens. Tweakers bracht het aan het licht nadat een gebruiker een bericht van CZ meldde en stelde vervolgvragen over de precieze oorzaak, de betrokken externe partij en diens werkzaamheden.

De zaak illustreert de kwetsbaarheid van klantportalen en de risico’s die samenhangen met uitbesteding van IT-diensten, vooral bij organisaties die gevoelige zorggegevens beheren.