Het beveiligingslek in de Infectieradar van het RIVM waardoor het zeer eenvoudig was om medische gegevens van deelnemers te achterhalen was bij de ontwikkelaar bekend, zo heeft minister De Jonge vanmiddag tijdens het Vragenuur in de Tweede Kamer laten weten. Dit weekend bleek het door een kwetsbaarheid mogelijk te zijn om vragenformulieren te bekijken die door deelnemers waren ingevuld om aan Infectieradar deel te nemen.
Het RIVM liet gisteren weten dat er verschillende veiligheidschecks op de software van Infectieradar waren uitgevoerd, maar dat het beveiligingslek toch aanwezig was. Nu blijkt dat de ontwikkelaar wist van de kwetsbaarheid. "Bij het ontwikkelen van die site zijn er juist wel veiligheidschecks gedaan. Pentests, waarbij ook dit als één van de veiligheidsrisico's in beeld is gekomen. Vervolgens is daar een oplossing voor aangedragen die Formdesk moest doorvoeren", aldus minister De Jonge.
De minister liet weten dat het vragenformulier van Formdesk ook door andere websites wordt gebruikt. "Er is gevraagd aan Formdesk om een oplossing te verzinnen. Deels is dat overgenomen en deels niet. En vervolgens is er verzuimd om daarop een dubbelcheck uit te voeren. Er is gewoon vergeten een dubbelcheck uit te voeren daar waar die wel had moeten plaatsvinden. Kortom buitengewoon ongelukkig, maar er is wel gelijk geacteerd." De Jonge voegde toe dat het datalek ook buitengewoon ongelukkig is voor het vertrouwen van burgers in websites van de overheid.
Tevens stelde de minister dat alle getroffen deelnemers aan Infectieradar zondag via een persoonlijke e-mail zijn geïnformeerd. Niet getroffen deelnemers hebben gisteren een bericht ontvangen. Het datalek is gemeld bij zowel de Autoriteit Persoonsgegevens als het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie, dat in contact staat met Formdesk. "Menselijke fouten zijn menselijk en waar mensen werken worden fouten gemaakt en hier is een fout gemaakt. Vervolgens gaat het ook om de manier waarop je het herstelt en ik vind dat het RIVM dat netjes doet", liet De Jonge weten.
Het RIVM houdt op verschillende manieren de verspreiding van infectieziekten in de gaten, wat ook geldt voor het coronavirus. Hiervoor wordt onder andere de website Infectieradar gebruikt. Deelnemers kunnen één keer per week doorgeven of zij in de afgelopen week koorts of andere klachten hebben gehad. Bij het aanmelden voor Infectieradar moet een formulier met medische gegevens worden ingevoerd. Het gaat dan om het gebruik van medicijnen en waarvoor dit is, of deelnemers roken of allergieën hebben en of men zwanger is.
Deze invulde formulieren waren, door alleen het aanpassen van een getal in de adresbalk van de browser, voor derden toegankelijk, zo werd dit weekend duidelijk. Formdesk heeft inmiddels een oplossing ontwikkeld. Die wordt "zes keer" gedubbelcheckt, aldus de Jonge. Zodra blijkt dat de vragenlijsten veilig worden opgeslagen gaat het RIVM weer verder met Infectieradar. Het is al wel mogelijk voor mensen om zich aan te melden voor Infectieradar. Deze gegevens worden in een ander systeem opgeslagen.
Formdesk laat in een reactie aan NU.nl weten dat het niet van de kwetsbaarheid afwist. Het beveiligingslek was niet eerder aan het licht gekomen en ook niet aan het bedrijf gemeld. "Ik heb werkelijk geen idee waar de minister het over heeft", zegt Marco Beuk van Formdesk.
Deze posting is gelocked. Reageren is niet meer mogelijk.