Honderdduizenden medische dossiers toegankelijk

25

Medische en persoonlijke gegevens van meer dan 300.000 werknemers zijn door een lek in de software van het computerprogramma Humannet van IT-bedrijf VCD maanden lang toegankelijk geweest voor onbevoegden. Dit blijkt uit onderzoek van ZEMBLA, in de aflevering ‘De verzuimpolitie II’ vrijdag 20 april.

- tekst gaat verder na deze advertentie -


FYGO Uitzendbureau voor de fysiotherapeut

Nachtmerrie-scenario

FC Twente, Gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed, Action en honderden andere bedrijven en arbodiensten werken in het computerprogramma Humannet. Ze verwerken in deze verzuimapplicatie adresgegevens, verzuim, herstel en re-integratie van hun werknemers. Medische dossiers van de bedrijfsartsen staan er ook in, evenals burgerservice-nummers. Volgens prof. B. Jacobs (Radboud Universiteit Nijmegen), expert op het gebied van privacy en computerbeveiliging, is dit het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt hier mensen mee chanteren” zegt hij in ZEMBLA. Het IT-bedrijf VCD zegt dat er inmiddels alles aan gedaan is om  de “zwakke plekken” te dichten.

Systeem zo lek als een mandje

ZEMBLA ontdekt het lek na de uitzending ‘De Verzuimpolitie’ van 23 maart j.l., waarin werd aangetoond dat het Hengelose bedrijf Verzuimreductie structureel de privacy van zieke werknemers schendt. Oplettende kijkers zien dat Verzuimreductie werkt in de verzuimapplicatie Humannet en mailen naar de redactie: ‘Zonder te hoeven inbreken, kan ik zien dat dit systeem zo lek is als een mandje. Humannet is vatbaar voor zogeheten SQL injecties, wat een veel voorkomende beveiligingsfout is.’ Een andere kijker is al een stap verder gegaan. Via een eenvoudige hackpoging achterhaalt hij een gebruikersnaam en wachtwoord. En zo kan hij in de database met medische gegevens, zo is te zien in ZEMBLA.

SQL-aanval

Prof. Jacobs heeft aan de Universiteit zelf de proef op de som genomen en gekeken of het beveiligingssysteem van VCD Humannet inderdaad makkelijk te omzeilen is. ‘Wij hebben ook een SQL-aanval gedaan. We waren binnen een kwartier in het systeem en hadden daarmee controle over een beheersaccount. De toegang hiertoe is zo laagdrempelig, het is bijna uitlokking’, aldus Jacobs.
Reactie VCD
ZEMBLA heeft, zodra er zekerheid bestond over het lek, dit gemeld bij VCD.  Directeur S. Kuindersma ontkent in eerste  instantie dat zijn computerprogramma kinderlijk eenvoudig is gehackt: ‘Er zijn drie zwakke plekken in het systeem. We weten niet hoelang die zwakke plekken er in hebben gezeten. Wij hebben een extern bedrijf ingezet om de problemen op te lossen.’ Later geeft Kuindersma toe dat hij niet kan uitsluiten dat er een SQL-aanval heeft plaatsgevonden.

Onverantwoord

FC Twente is één van de gedupeerde bedrijven. Al hun personeel inclusief de voetballers staan in de verzuimapplicatie Humannet, zo laat ZEMBLA zien. Algemeen manager G. Nijweide van FC Twente is geschokt: “Ik vind het onacceptabel dat deze gegevens op straat liggen.’ Verzuimreductie heeft Humannet ‘uit de lucht gehaald’ vanwege concrete aanwijzingen van geslaagde inbraakpogingen. Ze vinden het onverantwoord om in deze applicatie te werken.

Hoge boetes

De controle op de beveiliging van medische databases is op dit moment niet goed geregeld.  De voorzitter van het College bescherming Persoonsgegevens J. Kohnstamm zegt hierover in ZEMBLA: “‘Wij kunnen naar een bedrijf toegaan, vaststellen dat het niet goed beveiligd is, en ze dan een gele kaart geven. Terwijl ik vind dat in dit soort situaties moet de toezichthouder ook een rode kaart kunnen geven en meteen een boete kunnen geven”. Als het om grote bedrijven gaat denkt Kohnstamm ook aan hoge boetes, “dat zouden honderden miljoenen euro’s kunnen zijn.’

Samenstelling en regie: Ton van der Ham.
Research: Manon Blaas.
Eindredactie: Kees Driehuis.

Bron: ZEMBLA ‘De verzuimpolitie II’, vrijdag 20 april 2012 om 21.20 uur bij de VARA op Nederland 2.

Advertentie:bezoek fysiovacature.nl

4 REACTIES

Reacties zijn gesloten.