image

CBP: verzuimsystemen Humannet niet goed beveiligd

dinsdag 2 juni 2015, 12:35 door Redactie, 2 reacties

Het College bescherming persoonsgegevens (CBP) heeft vandaag een brief naar tientallen beheerders van verzuimsystemen gestuurd dat ze ervoor moeten zorgen dat medische gegevens in de systemen goed zijn beveiligd, nadat het bij de verzuimsystemen van ICT-bedrijf VCD Humannet verschillende problemen had aangetroffen. Veel werkgevers en arbodiensten gebruiken deze verzuimsystemen voor het verwerken van medische gegevens van werknemers.

Medische gegevens, zoals in de verzuimsystemen opgenomen, zijn gegevens van gevoelige aard. Voor het verwerken hiervan gelden extra wettelijke eisen. "Werkgevers en arbodiensten moeten werken met systemen waarin deze gegevens goed zijn beveiligd. En werknemers moeten daarop kunnen vertrouwen", aldus het CBP. Bij VCD Humannet bleek de beveiliging te kort te schieten en waren medische gegevens niet goed beveiligd.

Dit kwam onder meer doordat uitsluitend een gebruikersnaam en wachtwoord nodig waren om in te loggen. Dat is volgens de toezichthouder onvoldoende. "Naast identificatie via een gebruikersnaam en een wachtwoord volgt uit de wet dat iemand ook nog op een andere manier zijn identiteit aantoont om toegang te krijgen tot het systeem." Het gaat in dit geval om meerfactorauthenticatie.

Inmiddels heeft het bedrijf verschillende vormen van meerfactorauthenticatie ingevoerd en een plan van aanpak aangeleverd waaruit blijkt dat de enige resterende overtreding op dit punt per 1 september zal zijn beëindigd. Iets dat het CBP ook zal controleren. De verzuimapplicatie van Humannet kwam een paar jaar geleden ook al in het nieuws, toen bleek dat de medische dossiers van 300.000 Nederlanders via een lek voor onbevoegden toegankelijk waren.

Reacties (2)
02-06-2015, 13:55 door Anoniem
Het rapport is best interessant om te lezen. Het lijkt er wel op dat VCD bij elke stap behoorlijk hufterig te werk is gegaan en ipv. de problemen op te lossen vooral veel aan het argumenteren is geweest waarom het niet nodig was om iets te doen.
02-06-2015, 16:30 door SYS 64738 - Bijgewerkt: 02-06-2015, 16:59
Het CPB mag haar eigen veiligheid wel eens op orde brengen.
Ik krijg als classificatie very weak bij het bezoeken van deze site, dit wordt veroorzaakt door de TLS v1.1, RSA en SHA-1 componenten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.