Minister: ‘Datalek Infectieradar was bekend bij ontwikkelaar’

Minister: ‘Datalek Infectieradar was bekend bij ontwikkelaar’

Laatst bijgewerkt: 10 juni 2020
Leestijd: 3 minuten, 38 seconden

Formdesk, het bedrijf dat verantwoordelijk is voor de ontwikkeling van de website Infectieradar.nl, wist van het beveiligingslek nog voordat het uitgebreid in het nieuws was. Het lek was naar boven gekomen bij een routine check, maar nooit daadwerkelijk opgelost. Het betreft een menselijke fout en het is niet te garanderen dat extra beleidsmaatregelen dit soort fouten kunnen voorkomen.

Dat zei Hugo de Jonge, minister van Volksgezondheid, Welzijn en Sport (VWS), dinsdagmiddag tijdens het wekelijkse vragenuurtje in de Tweede Kamer.

Beveiligingslek

Afgelopen weekend brachten NOS-redacteur Joost Schellevis en beveiligingsexpert Tom Wolters aan het licht dat de website Infectieradar.nl een data- of beveiligingslek had. Via de website houdt het RIVM bij hoe het coronavirus zich ontwikkelt, in welke regio’s het zich voordoet en welke gezondheidsklachten burgers eraan overhouden.

Iedereen die zich aanmeldt bij de site krijgt een uniek ID-nummer. Als je een vragenlijst invult, verschijnt deze boven in de URL-balk. Door één of meerdere getallen van het ID-nummer in de taakbalk te veranderen, verschenen de antwoorden van een andere deelnemer in beeld. Naast zaken als postcode en geboortejaar konden kwaadwillenden op deze manier tevens het e-mailadres en de medische voorgeschiedenis van anderen inzien.

Met een beetje moeite is het mogelijk om de identiteitsgegevens van andere gebruikers te achterhalen. Hierdoor loert identiteitsfraude om de hoek, om over de inbreuk op onze privacy nog maar te zwijgen. Volgens het RIVM zijn er geen aanwijzingen van misbruik. Het datalek is tevens gemeld bij de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC).

Dubbelcheck

Iedere dinsdagmiddag vindt in de Tweede Kamer het vragenuurtje plaats. Kamerleden kunnen dan een minister of staatssecretaris aan de tand voelen over een onderwerp. Gisteren was het beveiligingslek bij Infectieradar.nl het onderwerp van gesprek. Minister Hugo de Jonge van VWS verscheen in de Tweede Kamer om tekst en uitleg te geven.

Volgens de minister heeft Formdesk, het bedrijf dat verantwoordelijk was voor het portaal, gedaan wat er verwacht had mogen worden. Dat het toch fout is gegaan noemt hij “ongelukkig” in de relatie tussen de burger en overheid.

“Bij het ontwikkelen van die site zijn er juist wel veiligheidschecks gedaan. Pentests, waarbij ook dit als één van de veiligheidsrisico’s in beeld is gekomen. Vervolgens is daar een oplossing voor aangedragen die Formdesk moest doorvoeren (…) Er is gevraagd aan Formdesk om een oplossing te verzinnen. Deels is dat overgenomen en deels niet. En vervolgens is er verzuimd om daarop een dubbelcheck uit te voeren. Er is gewoon vergeten een dubbelcheck uit te voeren daar waar die wel had moeten plaatsvinden. Kortom buitengewoon ongelukkig, maar er is wel gelijk geacteerd.”

Vertrouwen herstellen

Daarmee is de koud niet af voor de Tweede Kamer. Joba van den Berg (CDA) vroeg aan minister De Jonge hoe herhaling in de toekomst voorkomen kan worden. De bewindspersoon antwoordde dat het hier om een “menselijke fout” ging en dat dit soort fouten gemaakt zullen blijven worden. “Ik kan er met extra beleidsmaatregelen echt niet voor zorgen dat dit niet meer gebeurt”, aldus de minister.

Zijn antwoord zette bij sommige Kamerleden kwaad bloed. Het kabinet vraagt immers voortdurend om vertrouwen van de burger. Zo laat het ministerie van VWS momenteel een corona-app ontwikkelen die volgens het principe van contact-tracing werkt. Daarnaast werkt het kabinet aan een noodwet voor de Telecommunicatiewet waarmee hij providers wil verplichten om telecomdata van 13 miljoen Nederlanders door te sturen aan het RIVM voor analyse. “Dan kun je bij een fout niet zeggen ‘zo gaat het nou eenmaal soms’”, aldus GroenLinks-Kamerlid Kathalijne Buitenweg.

Hayke Veldman van de VVD-fractie vroeg ronduit aan minister De Jonge hoe hij denkt het vertrouwen bij de burger in de overheid te herstellen. “Mensen moeten binnenkort ook opgeven wat ze met de nieuwe donorwet willen. Dan moet je er toch op kunnen vertrouwen dat het goed gaat”, aldus Veldman. Volgens de minister hoeven burgers niet te twijfelen aan alle digitale toepassingen die de overheid implementeert. In zijn ogen zijn er genoeg garanties en controles om te vertrouwen dat overheidsinstanties goed omgaan met persoonsgegevens.

Verbaasd

Marco Beuk van Formdesk laat weten dat hij werkelijk geen idee heeft waar minister De Jonge het over heeft. Volgens hem was het beveiligingslek niet bekend bij zijn bedrijf en heeft er dus ook geen terugkoppeling plaatsgevonden. “Ik heb werkelijk geen idee waar de minister het over heeft”, zegt Beuk over de verklaring van de minister tegen NU.nl.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen