Humana-datalek legt gezondheidsgegevens bloot in zes staten

Humana-datalek legt gevoelige medische dossiers bloot in zes staten

Zorgverzekeraar Humana heeft een datalek bekendgemaakt dat klanten treft in Texas, Florida, Georgia, North Carolina, Ohio en Virginia. De gecompromitteerde informatie omvat enkele van de meest gevoelige gegevens die iemand kan hebben blootgesteld: burgerservicenummers, medische facturerings- en claimgegevens, behandeldata en namen van zorgverleners. Het lek heeft al geleid tot een collectieve rechtszaak, en de gevolgen zijn waarschijnlijk nog maar net begonnen.

Voor getroffen klanten is dit meer dan een ongemak. Een combinatie van burgerservicenummers en gedetailleerde medische dossiers creëert een profiel dat jarenlang na de eerste blootstelling kan worden misbruikt voor identiteitsdiefstal, medische fraude en financiële oplichting.

Hoe het lek heeft kunnen ontstaan

Volgens de bekendmaking was het lek niet het gevolg van een directe aanval op de kernsystemen van Humana. In plaats daarvan verkregen aanvallers toegang tot klantgegevens via een kwetsbaarheid in de software van een leverancier. Dit is een steeds vaker voorkomende aanvalsmethode: in plaats van een grote, goed beveiligde organisatie frontaal aan te vallen, zoeken aanvallers naar een zwakkere schakel in de toeleveringsketen.

De collectieve rechtszaak die naar aanleiding van het lek is ingediend, stelt dat Humana heeft nagelaten patiëntinformatie adequaat te versleutelen of te beschermen. Als dit klopt, betekent dat dat de gegevens mogelijk toegankelijk waren in een vorm die aanvallers direct konden lezen en gebruiken, in plaats van in een versleuteld formaat dat de gegevens onbruikbaar zou maken zonder een decryptiesleutel.

Dit onderscheid is belangrijk. Versleuteling is geen perfecte verdediging, maar wel een cruciale. Wanneer gevoelige gegevens correct zijn versleuteld, betekent een inbreuk op de opslag- of transmissielaag niet automatisch dat de gegevens gecompromitteerd zijn. Wanneer versleuteling ontbreekt of ontoereikend is, kan één enkele kwetsbaarheid miljoenen bruikbare records blootstellen.

Welke gegevens zijn blootgesteld

De omvang van de gecompromitteerde informatie verdient nadere aandacht. Medische facturerings- en claimgegevens zijn niet alleen een registratie van wat iemand verschuldigd is of heeft betaald. Ze bevatten details over diagnoses, behandelingen en zorgverleners die veel mensen als diep privé beschouwen. Gecombineerd met een burgerservicenummer kan deze informatie worden gebruikt om:

• Frauduleuze belastingaangiften in te dienen
• Nieuwe kredietlijnen te openen
• Valse medische verzekeringssclaims in te dienen
• Patiënten na te bootsen in zorginstellingen

Dit type gecombineerde blootstelling wordt in de context van identiteitsdiefstal soms een 'fullz'-profiel genoemd, wat betekent dat een aanvaller over voldoende informatie beschikt om iemand effectief na te bootsen in meerdere systemen en instellingen.

Wat dit voor u betekent

Als u klant bent bij Humana, met name in de zes getroffen staten, is de eerste stap controleren of u een brief over het datalek heeft ontvangen. Bedrijven die te maken krijgen met datalekken zijn over het algemeen verplicht getroffen personen te informeren, hoewel het tijdstip en de volledigheid van die meldingen varieert.

Naast het afwachten van officiële communicatie zijn er concrete stappen die u nu kunt nemen:

Vraag een kredietblokkering aan. Door contact op te nemen met de drie grote kredietbureaus (Equifax, Experian en TransUnion) om uw krediet te bevriezen, wordt voorkomen dat er nieuwe accounts op uw naam worden geopend zonder uw uitdrukkelijke goedkeuring. Het is gratis, omkeerbaar en een van de meest effectieve beschermingen die beschikbaar zijn na een datalek.

Houd uw medische dossiers in de gaten. Medische identiteitsdiefstal kan lang onopgemerkt blijven. Controleer uw vergoedingsoverzichten van uw verzekeraar en vraag periodiek een kopie van uw medische dossiers op om te controleren op onbekende vermeldingen.

Wees alert op phishingpogingen. Aanvallers die persoonlijke gegevens uit datalekken verkrijgen, volgen dit vaak op met gerichte phishing-e-mails of telefoontjes die echte details gebruiken om legitiem te lijken. Wees sceptisch tegenover ongevraagd contact dat verwijst naar uw verzekering of medische geschiedenis.

Overweeg een identiteitsbewakingsdienst. Veel bedrijven bieden identiteitsbewaking aan die u waarschuwt wanneer uw informatie verschijnt in nieuwe kredietaanvragen, databases van gegevensmakelaars of bekende lek-repositories.

Het grotere plaatje rond risico's van externe leveranciers

Het Humana-datalek is een herinnering dat uw persoonlijke gegevens slechts zo veilig zijn als het zwakste systeem waardoor ze worden doorgegeven. Grote organisaties delen routinematig gegevens met tientallen of honderden leveranciers, elk van wie een potentieel blootstellingspunt vormt. Gezondheidszorg-, verzekerings- en financiële instellingen verwerken enkele van de meest gevoelige persoonsgegevens die er bestaan, en de wettelijke vereisten rond die gegevens zijn, hoewel aanzienlijk, duidelijk niet voldoende gebleken om incidenten als dit te voorkomen.

Als consument kunt u niet controleren hoe uw verzekeraar zijn leveranciersrelaties beheert. Wat u wel kunt controleren, is hoe snel u reageert wanneer er iets misgaat, en hoeveel beschermingslagen u rond uw eigen accounts en identiteit aanbrengt.

Het Humana-datalek is een ernstig incident dat mogelijk duizenden mensen in zes staten treft. Als uw informatie is blootgesteld, geeft snel en methodisch handelen u de beste kans om de schade te beperken. En ongeacht of u direct getroffen bent, is dit geval een nuttige herinnering om uw persoonlijke gegevens te behandelen als een middel dat actieve bescherming verdient, en niet als iets dat passief bestaat in handen van instellingen die u vertrouwt.