Wat te denken van de medische en persoonlijke gegevens van zo’n 300.000 mensen die door een lek in de software maandenlang toegankelijk waren voor onbevoegden?
Door een beveiligingslek in het computerprogramma Humannet van IT-bedrijf VCD waren personeelsdossiers en medische dossiers die door arbodienst Verzuimreductie beheerd werden voor meer dan 300.000 werknemers, maandenlang toegankelijk voor onbevoegden hetgeen Zembla-uitzending van 20 april jongstleden bekend werd. Zoals ook recentelijk pijnlijk duidelijk is geworden in het DigiD dossier was ook in dit geval het probleem dat Humannet niet voldoende beschermd was tegen SQL-database aanvallen terwijl deze bescherming volgens hoogleraar privacy en computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen eenvoudig is te realiseren. Volgens hem was er sprake van een bijzonder onprofessionele beveiliging die de oorzaak was van “het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis”. Via de eenvoudig te achterhalen wachtwoorden waren adressen, telefoonnummers en alle medische gegevens van de klanten van Verzuimreductie, waaronder voetbalclubs als FC-Twente, toegankelijk hetgeen volgens Jacob aanleiding zou kunnen geven tot chantage. Inmiddels heeft arbodienst Verzuimreductie na toezegging van overlegging van een auditrapport over de veiligheid van de applicatie door VCD op 23 april de applicatie weer beschikbaar gemaakt voor klanten. Dit rapport is vooralsnog niet overlegd aan Verzuimreductie…
Op 1 mei stond in de Automatiseringsgids dat de Oracle databases een lek vertoonden via de zogeheten Transparent Network Substrate Listener, die de verbindingen tussen de database server en de eindgebruikers verzorgt en daarmee toegang kan verschaffen aan minder welwillende “gebruikers”. De binnenkort in de wet verankerde meldingsplicht was in dit geval van nut geweest omdat dit gevaar reeds een jaar of vier bekend was en geen afdoende maatregelen waren genomen…
De recente stille renaissance van het voorstel voor het elektronisch patiënten dossier, zij het met een opt-in variatie en verhoogde boetes bij overtreding, zal ook wat de beveiliging betreft moeten worden voorzien van een streng audit regime. De kwetsbaarheid van persoonsgegeven vraagt om een juridische en ethische heroverweging van maatregelen ter bescherming van ons persoonlijk leven.
Op 9 mei zullen de zorgen om de zorg in dit opzicht aan de orde worden gesteld tijdens een seminar te Utrecht in het Business Centre Nederland in Utrecht (Catharijnesingel 48, Utrecht). U kunt zich hiervoor nog aanmelden door contact op te nemen met Mitopics en uw naam, contactgegevens en de naam van uw organisatie door te geven, eventueel met een stelling of vraag voor de forumdiscussie. U kunt zich ook inschrijven door gebruik te maken van het onderstaande deelnameformulier.