De privégegevens van 27.000 klanten van de Nederlandse zorgverzekeraar VGZ hebben twee jaar lang onbeveiligd op een privéserver van een medewerker gestaan.

Zorgverzekeraar VGZ maakt vandaag bekend dat de gegevens van 27.000 klanten twee jaar lang op een onbeveiligde privéserver van een medewerker hebben gestaan.

Onder meer declaratiegegevens hebben voor het grijpen gelegen. VGZ kan niet uitsluiten dat ze zijn ingezien.

 

De gegevens werden door de medewerker naar zijn eigen ftp-server gehaald zodat hij nieuwe software kon testen. Na afloop van de tests zijn de gegevens – waarvan een deel fictief, maar ook een deel echt – niet van de server verwijderd.

Geen wachtwoord
VGZ zegt dat het geen aanwijzingen heeft dat de gegevens ook zijn ingezien door kwaadwillenden, ondanks dat er geen wachtwoord op de ftp-server stond. VGZ kan echter ook niet uitsluiten dat dit toch is gebeurd. Alle betrokken personen zijn inmiddels geïnformeerd en de bestanden zijn van de server afgehaald. Tegen de betrokken medewerker zijn volgens VGZ "passende maatregelen" getroffen.

Eind vorig jaar ontdekt
Na het ontdekken van het lek eind 2013 heeft VGZ een onderzoek laten uitvoeren door de raad van bestuur en zijn alle beveiligingsmaatregelen aangescherpt. Het bedrijf geeft wel aan dat dit soort "menselijke fouten nooit voor honderd procent te voorkomen zijn". VGZ belooft dan ook om voortdurend alert te blijven op nieuwe bedreigingen en de beveiligingsprocessen te blijven updaten.