RIVM: ‘Geen misbruik persoonsgegevens Infectieradar door datalek’

RIVM: ‘Geen misbruik persoonsgegevens Infectieradar door datalek’

Laatst bijgewerkt: 9 juni 2020
Leestijd: 2 minuten, 27 seconden

Ben jij een van de 60.000 gebruikers die gezondheidsklachten doorgaf aan Infectieradar.nl? Dan kun je opgelucht adem halen. De gegevens die van het portaal zijn doorgegeven zijn door niemand ingezien, met uitzondering van de journalist en beveiligingsexpert die het datalek aan het licht brachten. De softwareleverancier heeft het lek inmiddels gedicht.

Dat schrijft het RIVM in een persbericht.

Datalek Infectieradar

Afgelopen weekend ontdekten techredacteur Joost Schellevis en beveiligingsonderzoeker Tom Wolters dat de website Infectieradar.nl een datalek bevatte. Door één of meerdere cijfers van het ID-nummer in de URL-balk te vervangen, kreeg je de antwoorden van een andere gebruiker voorgeschoteld. Niet alleen dat, ook kon op deze manier de persoonsgegevens van anderen worden verzameld. Daarbij kun je denken aan postcode en geboortejaar, maar ook het e-mailadres en medische voorgeschiedenis.

Aan de hand van deze gegevens was het mogelijk om de identiteit van de persoon achter deze vragenlijst te achterhalen. Schellevis en Wolters waren in staat om in enkele minuten de antwoorden en persoonsgegevens van 44 gebruikers van Infectieradar.nl na te gaan. Een behoorlijke inbreuk van de privacy van de gebruikers van het portaal.

Toen de NOS en beveiligingsonderzoeker het datalek ontdekten, hebben ze het direct doorgegeven aan het RIVM. De instantie heeft de site direct uit de lucht gehaald. Susan van den Hof, hoofd Epidemiologie bij het RIVM, zei geschrokken te zijn van het lek. “Het hoort natuurlijk niet dat mensen bij privacygevoelige informatie kunnen.” Het incident geeft volgens haar aan hoe belangrijk het is dat er goed getest wordt voordat iets online gaat en hoe belangrijk het is dat privacygevoelige informatie ook daadwerkelijk vertrouwelijk blijft.

Geen misbruik

Op het moment dat duidelijk was dat Infectieradar.nl een datalek had, konden het RIVM en de softwareleverancier niet zeggen of het lek misbruikt was. Inmiddels zijn we enkele dagen verder en hebben de leverancier van het systeem en het RIVM onderzoek kunnen doen. Via een persbericht bevestigen beide partijen dat het datalek niet is misbruikt. Enkel de techredacteur van de NOS en de beveiligingsexpert hebben gegevens van 49 formuleren ingezien. Zij hebben toegezegd dat de verzamelde gegevens en formulieren zijn vernietigd.

Het RIVM heeft melding gedaan van het datalek bij de Autoriteit Persoonsgegevens. De privacywet verplicht ieder bedrijf waar sprake is van een datalek dat binnen 72 uur te melden aan de toezichthouder. Zij doet dan vervolgens onderzoek naar het lek en bepaalt dan wat de vervolgstappen zijn. Het RIVM heeft tevens de deelnemers op de hoogte gesteld waarvan de gegevens zijn ingezien door de NOS en beveiligingsexpert.

Datalek gedicht

Toen het RIVM de melding van het datalek ontving, haalde ze direct de vragenlijsten offline. Uit voorzorg haalde de instantie ook vragenlijsten van andere onderzoeken die met het systeem werken offline. Volgens het persbericht van het RIVM heeft deze partij het lek inmiddels gedicht. Het RIVM en een externe partij testen momenteel het systeem. Zodra ze zeker weten dat de antwoorden op de vragenlijsten veilig worden opgeslagen, wordt de site weer online gezet.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen