VVD wil opheldering minister De Jonge over ‘verbaasde ontwikkelaar’ Infectieradar

VVD wil opheldering minister De Jonge over ‘verbaasde ontwikkelaar’ Infectieradar

Laatst bijgewerkt: 16 juni 2020
Leestijd: 3 minuten, 40 seconden

Wist Formdesk, het bedrijf dat de website Infectieradar.nl heeft ontwikkeld, nou wel of niet af van het beveiligingslek op de site? Dat is de vraag die VVD-Kamerlid Hayke Veldman bezighoudt. Vorige week vertelde minister voor Volksgezondheid, Welzijn en Sport (VWS) Hugo de Jonge dat het beveiligingslek bij de site bekend was bij de ontwikkelaar. Hij reageerde via de media verbaasd op de uitspraak van De Jonge. Hoe steekt de vork nu in de steel?

Datalek

Vlak na het uitbreken van het coronavirus in Nederland, lanceerde het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) de website Infectieradar.nl. Burgers kunnen zich hier aanmelden en corona-gerelateerde gezondheidsklachten doorgeven. Aan de hand van deze data wil het RIVM achterhalen hoe het virus zich door ons land beweegt en waar eventuele ‘brandhaarden’ zijn. Zo’n 60.000 Nederlanders hebben een account aangemaakt op de site.

Begin juni ontdekten NOS-techjournalist Joost Schellevis en beveiligingsexpert Tom Wolters dat Infectieradar.nl een datalek bevatte. Gebruikers die zich aanmelden krijgen een uniek ID-nummer. Zodra zij een vragenlijst invullen op de site, verschijnt deze boven in beeld. Door simpelweg een paar cijfers te veranderen in het ID-nummer, belandde je op een pagina waar je de antwoorden van een ander kon bekijken. Niet alleen zijn antwoorden, maar ook diverse privacygevoelige informatie was hierdoor te raadplegen, zoals postcode, e-mailadres, geboortejaar en medische voorgeschiedenis.

Binnen een paar minuten slaagden de techjournalist en beveiligingsexpert erin om de identiteit van 44 gebruikers te achterhalen. Tevens was het mogelijk om gericht te zoeken naar de antwoorden op specifieke vragen. Cybercriminelen kunnen met deze gegevens gepersonaliseerde spam- en phishingberichten sturen. In het ergste geval is het zelfs mogelijk om met deze gegevens identiteitsfraude te plegen. Uit onderzoek van het RIVM en de ontwikkelaar van de site bleek dat er geen persoonsgegevens misbruikt zijn door het lek.

Verbazing

Vorige week moest minister Hugo de Jonge van VWS tekst en uitleg geven over het beveiligingslek tijdens het vragenuurtje in de Tweede Kamer. Hij herhaalde dat er, ondanks het lek, geen privégevoelige informatie is gelekt. De minister erkende dat hij het betreurt dat het fout is gegaan: door een menselijke fout is volgens hem ‘de relatie tussen burger en overheid’ beschadigd. Hij zegt alles in de waagschaal te stellen om deze relatie te lijmen.

In het debat deed minister De Jonge een opmerkelijke uitspraak. Hij zei tegen de aanwezige Kamerleden dat het beveiligingslek bekend was bij Formdesk, het bedrijf dat Inspectieradar.nl ontwikkelde. Deze was volgens de minister vergeten om de fout te herstellen.

“Bij het ontwikkelen van die site zijn er juist wel veiligheidschecks gedaan. Pentests, waarbij ook dit als één van de veiligheidsrisico’s in beeld is gekomen. Vervolgens is daar een oplossing voor aangedragen die Formdesk moest doorvoeren (…) Er is gevraagd aan Formdesk om een oplossing te verzinnen. Deels is dat overgenomen en deels niet. En vervolgens is er verzuimd om daarop een dubbelcheck uit te voeren. Er is gewoon vergeten een dubbelcheck uit te voeren daar waar die wel had moeten plaatsvinden.”

Marco Beuk, algemeen directeur van Formdesk, reageerde verbaasd in de media over de uitspraak van minister De Jonge. “Ik heb werkelijk geen idee waar de minister het over heeft”, zei hij onder meer tegenover NU.nl.

Donorregister

Hayke Veldman van de VVD-fractie wil de onderste steen boven halen. Hoe zit het nu: wist Formdesk nou wel of niet af van het beveiligingslek? Om duidelijkheid te krijgen heeft hij schriftelijke vragen gesteld aan minister De Jonge. Allereerst wil het Kamerlid weten welke beveiligingsrisico’s er aan het licht zijn gekomen tijdens de veiligheidschecks bij het ontwikkelen van de site, naast het datalek dat uitgebreid in het nieuws was.

Daarnaast wil Veldman van de minister weten of hij kan onderbouwen dat Formdesk op de hoogte was van het beveiligingslek. Vanzelfsprekend is hij erg benieuwd naar de reactie van de minister op de uitspraak van Marco Beuk dat hij van niets wist. Ook wil Veldman weten van hoeveel deelnemers het aanmeldformulier is bekeken door andere mensen dan henzelf.

Het VVD-Kamerlid wil tevens van de minister horen of hij denkt dat het datalek bij Infectieradar.nl invloed heeft op het registratieproces in het nieuwe Donorregister. Ook wil hij weten hoe de minister denkt dit vertrouwen te gaan herstellen. Tot slot wil Veldman weten of er een verband is tussen de Infectieradar en de website grotegriepmeting.nl. “Is er contact geweest met de initiatiefnemers van de grotegriepmeting.nl en zo nee, waarom niet?”

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen