Amerikaanse zorgverzekeraar lekt data 4.7 miljoen mensen aan Google
Amerikaanse zorgverzekeraar lekt data 4.7 miljoen mensen aan Google
24-4-25, 10:00
De Amerikaanse zorgverzekeraar Blue Shield of California heeft de persoonlijke gegevens van 4,7 miljoen personen aan Google gelekt.
De Amerikaanse zorgverzekeraar Blue Shield of California heeft bekendgemaakt dat door een foutieve configuratie van Google Analytics de persoonlijke gegevens van naar schatting 4,7 miljoen personen onbedoeld zijn gedeeld met advertentiediensten van Google, waaronder Google Ads. Dit datalek heeft plaatsgevonden tussen april 2021 en januari 2024.
Blue Shield of California, een van de grootste non-profit zorgverzekeraars in de Verenigde Staten, stelt in een officiële verklaring dat de informatie mogelijk is gebruikt voor het opzetten van gerichte advertentiecampagnes aan de hand van gebruikersdata. De verzekeraar benadrukt dat het lek het gevolg is van een technische fout in de configuratie van de trackingtools op de eigen website, waardoor gevoelige gegevens met derden zijn gedeeld.
De gelekte informatie omvat onder andere:
Gegevens over afgesloten zorgverzekeringen
Postcode en woonplaats
Geslacht en gezinsgrootte
Unieke account-ID’s
Namen van verzekerden
Zoektermen die zijn gebruikt op de website, bijvoorbeeld bij het zoeken naar een arts
In sommige gevallen zou de gedeelde informatie vallen onder de Amerikaanse privacywetgeving voor gezondheidsinformatie, de Health Insurance Portability and Accountability Act (HIPAA), wat de ernst van het lek verder vergroot. Hoewel niet alle gegevens direct medische dossiers betroffen, kunnen bepaalde combinaties van gegevens wel als Protected Health Information (PHI) worden beschouwd.
Na de ontdekking van het datalek heeft Blue Shield een grondige audit uitgevoerd van al haar websites en digitale tools. Daarbij is specifiek onderzocht of er nog andere trackingsoftware of scripts van derden actief waren die mogelijk vertrouwelijke informatie konden onderscheppen of doorsturen. Volgens Blue Shield zijn inmiddels maatregelen getroffen om herhaling te voorkomen, waaronder het uitschakelen of herconfigureren van de betrokken analysetools.
De verzekeraar zegt daarnaast de getroffen personen actief te zullen informeren en samen te werken met toezichthouders en privacywaakhonden om de gevolgen van het incident te beperken.