Datalek bij Alan (verzekeringen): wat makelaars moeten weten

Alan, de insurtech die meer dan een miljoen leden dekt in Frankrijk, België, Spanje en Canada, heeft haar verzekerden op de hoogte gebracht van een lek van persoonsgegevens. Namen, voornamen, geboortedata, rijksregisternummers, verzekeringscontracten. Het geheel werd te koop aangeboden op het dark web.

Het is niet Alan zelf dat gehackt werd. Het was Almerys, hun technische dienstverlener voor derdebetaler in Frankrijk. Maar voor de verzekerden is dat onderscheid onzichtbaar. Het is de naam van Alan die verschijnt in de waarschuwingsmail aan alle leden. Het is het vertrouwen in Alan dat aangetast wordt.

De balans die de hacker claimt: 44 miljoen regels data en 15,4 miljoen unieke rijksregisternummers, verspreid over 674 klantorganisaties van Almerys. De volledige authenticiteit van het bestand is nog niet officieel bevestigd door Almerys. Maar het is de tweede keer in twee jaar dat het bedrijf wordt geviseerd. Eind januari 2024 had een aanval op Almerys en Viamedis de gegevens van 33 miljoen personen blootgesteld. Het onderzoek van de CNIL dat toen werd geopend, is nog steeds lopende.

Wat is er precies gebeurd

Almerys is een beheerder van derdebetaler. Het is het technische bedrijf dat de link legt tussen uw ziekenfonds en uw arts wanneer u het consultatiebedrag niet volledig betaalt. Een onzichtbare tussenpersoon die de gegevens van miljoenen verzekerden verwerkt.

Vrijdag 22 mei heeft Almerys zijn klanten op de hoogte gebracht, waaronder Alan, MGEN, Harmonie Mutuelle en AG2R, dat een hacker toegang had gekregen tot hun systemen. De hacker, bekend onder het pseudoniem "Lagui", beweert geen enkele tweefactorauthenticatie te hebben aangetroffen. De gegevens zouden een periode bestrijken van 2010 tot 2026.

Alan reageerde snel: onmiddellijke melding aan alle leden per e-mail, alert aan de ACPR (de verzekeringstoezichthouder), voorbereiding van de melding aan de CNIL. Maar het kwaad is geschied. Vertrouwen bouw je op in jaren en verlies je in een e-mail.

Wat dit betekent voor Belgische makelaars

Alan is een insurtech die rechtstreeks distribueert, zonder tussenkomst van makelaars. Uw klanten zitten niet bij Alan en u biedt hun producten niet aan. Waarom er dan over praten?

Omdat hetzelfde scenario zich identiek kan herhalen bij eender welke maatschappij in uw portefeuille. AG, Ethias, Baloise, AXA, Vivium: ze doen allemaal beroep op technische dienstverleners voor gegevensverwerking, schadebeheer en hosting van hun platformen. Als een van die dienstverleners gehackt wordt, bent u het, als makelaar, die in de frontlinie staat tegenover de klant. Niet de maatschappij. U.

Wanneer een verzekerde verneemt dat zijn gegevens gelekt zijn, belt hij niet het hoofdkantoor van de maatschappij. Hij belt zijn makelaar.

Onafhankelijkheid als bescherming

Hier krijgt de rol van de onafhankelijke makelaar zijn volle betekenis. Als u producten aanbiedt bij meerdere maatschappijen en een van hen wordt getroffen door een datalek, blijft uw geloofwaardigheid als makelaar intact. U bent die maatschappij niet. U bent de onafhankelijke adviseur die zijn klanten begeleidt naar de beste oplossingen.

Een exclusief agent die gebonden is aan een enkele gehackte maatschappij, lijdt dezelfde reputatieschade als de maatschappij zelf. De multi-maatschappij makelaar kan daarentegen tegen zijn klanten zeggen: "Wij zijn op de hoogte gebracht, dit is wat wij weten, dit is wat wij aanbevelen." Hij blijft in zijn adviesrol.

Die onafhankelijkheid is ook een structurele bescherming. Uw klantgegevens zijn niet gecentraliseerd bij een enkele partner. Als een dienstverlener uitvalt, hebt u alternatieven. U bent niet afhankelijk van een enkele schakel.

Vorige vrijdag hadden we het er precies over

In onze laatste video op LinkedIn vertelden we het echte verhaal van een makelaarskantoor uit Waals-Brabant waarvan het e-mailaccount was gecompromitteerd. Honderden frauduleuze e-mails werden verstuurd naar alle contacten: klanten, maatschappijen, partners. Op een ochtend slaat alles om.

De parallel met de zaak Alan/Almerys is treffend. In beide gevallen is het een technische schakel die het begeeft. In beide gevallen krijgt het vertrouwen de eerste klap.

In die video deelden we drie essentiële reflexen: de computer nooit uitschakelen (die bevat de bewijzen), onmiddellijk uw team en dienstverleners waarschuwen, en alle wachtwoorden wijzigen die toegankelijk waren via het gecompromitteerde werkstation. Eenvoudige reflexen, maar die de meeste kantoren pas ontdekken op de dag dat het al te laat is.

Wat u nu kunt doen

De ketting is slechts zo sterk als de zwakste schakel. U kunt niet verhinderen dat een maatschappij of dienstverlener gehackt wordt. Maar u kunt uw blootstelling beperken.

1. Diversifieer uw partners. Dat is de basis van het makelaarsberoep. Hoe meer u met verschillende maatschappijen werkt, hoe minder een lek bij een van hen uw volledige activiteit en reputatie treft.

2. Activeer overal tweefactorauthenticatie. De hacker van Almerys beweert dat er geen tweefactorauthenticatie was. Het is de eenvoudigste en meest effectieve maatregel. Professionele e-mail, CRM, toegang tot maatschappijen, beheertools: activeer het overal.

3. Bereid een responsplan voor. Als morgen een maatschappij u informeert over een datalek, weet u dan wat u tegen uw klanten moet zeggen? De GDPR vereist een melding aan de toezichthouder binnen 72 kalenderuren. Het is beter om de procedure op voorhand te doordenken.

4. Bewaar uw klantgegevens bij uzelf. Uw CRM, uw dossiers, uw notities: dat zijn uw tools, niet die van de maatschappij. Als u alles centraliseert bij een enkele dienstverlener en die wordt gehackt, verliest u de controle.

5. Communiceer proactief. Een makelaar die met zijn klanten over cyberbeveiliging praat voordat er een incident plaatsvindt, is een makelaar die laat zien dat hij anticipeert. Stuur een sensibiliseringsmail. Herinner de goede reflexen. Uw klanten zullen weten dat u waakt.

Vertrouwen bereid je voor

Wat beschermt, is de structuur. De onafhankelijkheid van de makelaar, de diversificatie van partners, en het vermogen om snel te reageren wanneer het zover is.

Het volgende incident is misschien niet in Frankrijk. En de volgende naam in de krantenkoppen is misschien niet Alan. Het kan een maatschappij zijn waarmee u samenwerkt. Op die dag is de vraag: bent u de makelaar die had geanticipeerd, of degene die het probleem ontdekt op hetzelfde moment als zijn klanten?