TRANSCRIPTIE
ZEMBLA - Verzuimpolitie deel 2
00.22 [Leader]
Voice over Het is van het grootste belang dat uw medische gegevens veilig en zorgvuldig worden bewaard. Werkgevers, verzuimbedrijven en bedrijfsartsen slaan informatie van honderdduizenden werknemers op in computersystemen. Hoe goed is deze vertrouwelijke informatie beveiligd? Wie waakt er over de privacy van zieke werknemers? Tijdens ons onderzoek zien wij gegevens die we eigenlijk niet mogen zien.
Int. Vindt u dat wij dit mogen uitzoeken, dat wij mogen laten zien dat dit systeem lek is?
B. Jacobs Ik vind het moreel volstrekt verantwoord en eigenlijk ook een goede zaak dat jullie hier achteraan gaan en hier scherp op zijn.
Int. Want ik vind het wel heel griezelig dat ik al die gegevens zomaar…
B. Jacobs Het is absoluut griezelig, het is heel erg griezelig ja. Maar daarom is het ook belangrijk dat dit aan de kaak gesteld wordt.
Voice over In Zembla, het vervolg van De Verzuimpolitie
[Titel] De verzuimpolitie deel 2
01.33 [medewerkers] Gebruikt u nog medicatie op dit moment? En wat zijn uw klachten mevrouw. Klachten van overgeven of diarree?
Voice over Een maand geleden. Zembla toont aan dat Verzuimreductie, het grootste verzuimbedrijf van ons land, structureel de privacy schendt van zieke werknemers. De uitzending maakt veel los.
[Fragment NOS] Het bedrijf deelt medische gegevens van zieke werknemers met hun werkgevers. En dat is verboden.
Voice over Staatssecretaris De Krom stuurt de arbeidsinspectie er op af.
[Fragment NOS] Voorzitter, ik heb inderdaad die uitzending zelf ook gezien, het kan niet zo zijn wat mij betreft dat medische gegevens zonder dat de werknemers dat weten worden doorgegeven aan niet-medisch geschoolden.
Voice over We besluiten door te gaan met ons onderzoek. We richten ons deze keer op het computersysteem waar de medische informatie van zieke werknemers in wordt bewaard. Want direct na onze vorige uitzending krijgen we twee opmerkelijke mails binnen, van bezorgde kijkers.
[Quote & Titel] “Zonder te hoeven inbreken (…) kan ik zien dat dit systeem zo lek is als een rieten mandje”.
Voice over Schrijft een anonieme ICT-er.
[Quote & Titel] “Ik kan u vertellen dat de situatie vele malen ernstiger is dan u in uw stoutste dromen kunt voorstellen”.
Voice over We achterhalen de identiteit van deze ICT-specialist en nemen contact op.
[Titel] Stem: ICT-specialist
[ICT’er] Het eerste wat mij opviel, is een bepaalde foutmelding die werd gecreeërd. En dat geeft mij de indruk dat zelfs zonder in te breken je kan zeggen dat die website in potentie eh eh ja kwetsbaar is voor SQL injections.
03.03 Voice over Een lek in het programma VCD Human Net. Dat zou zeer opmerkelijk zijn, want VCD is een groot softwarebedrijf en Human Net is een veelgebruikt computerprogramma waar gegevens van meer dan driehonderdduizend werknemers in staan. VCD zegt dat ze al zeven jaar kampioen is op het gebied van web-based verzuimapplicaties, inclusief een zwaar afgescheiden medisch dossier. Maar volgens onze beller is Human Net vatbaar voor zogeheten SQL-injecties. Op internet lezen we dat dit een veel voorkomende beveiligingsfout is.
[ICT’er] Je kan in de hele database, als je een beetje mazzel hebt, om het zo te zeggen.
Int. Is het dan vrij knullig eigenlijk, als ik het goed begrijp?
[ICT’er] Eh ja dit is behoorlijk knullig. Ja, in alle veiligheidsgidsjes en –boeken en eh nou vanaf 1997 denk ik is dit al bekend.
Voice over Een beetje handige jongen zou dus zomaar kunnen inbreken en rondneuzen in andermans medisch dossier.
[ICT’er] Dat noemen ze zogenaamde ‘script kiddies’, dat zijn gewoon tieners die het interessant vinden om in te breken.
Int. Is het bloedjelink dat deze informatie dan zo toegankelijk is?
[ICT’er] Jazeker, ja, en voor ja ik vind dit echt best wel schokkend vandaar dat ik jullie ook gemaild heb.
Int. Oke, nou we gaan het verder uitzoeken
[ICT’er] Ja, graag.
04.20 Voice over Zou het echt zo makkelijk zijn? We krijgen nog een mail binnen, van een andere computerdeskundige. Deze man beweert dat hij via een eenvoudige hackpoging achter een gebruikersnaam en wachtwoord is gekomen en zo kan hij in de database met medische gegevens. We maken een afspraak.
[Titel] A. de Jong, software ontwikkelaar
A. de Jong Ik zat de uitzending te bekijken van de verzuimpolitie en ehm daarin werd verteld dat Verzuimreductie ook medische, de gegevens opslaat en op hun computersysteem en ze zeiden dat het allemaal dik in orde was. Eh ja dat vond ik een beetje schokkend want ik ben eigenlijk van mening dat medische gegevens helemaal niet horen te worden opgeslaan bij zo’n bedrijf dus ik heb kort gekeken of de beveiliging van hun systeem in orde was.
05.06 Voice over De Jong is software ontwikkelaar. Hij wil ons laten zien hoe eenvoudig het is om dit systeem te kraken.
A. de Jong Nou ze hebben een inlogpagina om bij hun systeem binnen te komen en dat is, het is waarschijnlijk al een wat verouderd systeem waar ze in de loop van de jaren een paar beveiligingsverbeteringen hebben doorgevoerd. Alleen, het probleem met hun systeem is dat ze de oude manier van inloggen hebben ze niet verwijderd.
Voice over De Jong komt erachter dat er nog een oude inlogpagina bestaat, de huidige inlogpagina lijkt goed beveiligd, maar geldt dat ook voor de oude toegangspoort?
A. de Jong Dus terwijl ik met de de huidige log-in pagina absoluut niet op een eenvoudige manier kan inbreken, kan ik door even slim te kijken in de code kan ik naar de oude log-in pagina komen die eh vatbaar is voor een heel erg bekende en een heel erg belangrijke fout in beveiligingen die eigenlijk niemand meer mag maken tegenwoordig, een SQL-injection.
06.07 Voice over Je kunt wel een nieuwe, goed beveiligde toegangspoort maken maar dan moet je de oude wel weghalen. En dat lijken ze vergeten.
A. de Jong Yes.
Int. Dit is de oude toegangspoort?
A. de Jong Ja dit is de oude pagina, waarschijnlijk zal hij er vroeger wat anders hebben uitgezien maar het belangrijke is dat deze toegangspoort dus nog bestaat.
Voice over Een goed computerprogramma is niet vatbaar voor zogeheten SQL-injecties. Het is namelijk een alom bekende beveilingsfout die makkelijk is te voorkomen. Maar Human Net blijkt wel kwetsbaar. Door specifieke commando’s in te voeren geef het systeem steeds meer informatie prijs. Uiteindelijk zelfs gebruikersnamen en wachtwoorden.
Int. Hoeveel tijd kostte het u om erin te komen?
A. de Jong Nou ik ben er meerdere keren ingekomen met verschillende soorten rechter en de eerste keer kostte het mij ongeveer een half uur om de structuur van het probleem te achterhalen en daardoor dingen te kunnen succesvol uit te kunnen proberen zegmaar.
07.05 Voice over De Jong achterhaalt drie wachtwoorden. Met één daarvan komen we in het klantenbestand van Verzuimreductie, het grootste verzuimbedrijf van ons land.
A. De Jong Ja hier staan echt alle bedrijven in, de hele Action van Nederland, ik ben nou ingelogd als systeembeheerder van Verzuimreductie dus dit zijn inderdaad aangesloten bedrijven hiervan. Ik kan een willekeurig eh persoon kan ik aanklikken en ik zie natuurlijk wanneer hij geboren is eh wat welke functie hij heeft, wat z’n BSN nummer is, z’n Burger Service Nummer. Ik kan zijn werkpatroon zien, hoeveel uur hij werkt. Ik kan eventuele arbeidshandicappen zien.
Voice over Enigszins bezwaard kijken we rond in de database. Het voelt ongepast, maar we zien het als onze journalistieke verplichting om hier onderzoek naar te doen.
A. De Jong. Verder kan ik in het medisch dossier van de medewerker.
Int. U kunt in het medisch dossier van de..
A. de Jong Ja, ja, dus ik heb hier een medisch dossier van iemand en ik kan daar gewoon op klikken, het systeem vraagt mij of ik tijdelijk als de dokter op wil treden. Ik zie hier dat deze medewerker nogal vaak overspannen is. Start na trauma in het verleden, waardoor men nu begonnen is met zeer intensief traject.
08.19 Voice over Een medisch dossier is strikt vertrouwelijk en alleen de behandelend arts mag daarin werken. Maar door een simpel lekkende beveiliging van VCD Human Net kunnen we in talloze medische dossiers. We zien de naam staan van een bedrijfsarts. We bellen hem op, om te vertellen dat we z’n dossiers kunnen lezen.
Int. U mag hier dus in, mogen andere mensen ook in dit gedeelte?
[Titel] Stem: bedrijfsarts
[Arts] nee nee natuurlijk niet nee, niemand. Niemand mag dit lezen, ook de ICT-medewerkers niet. En ook de secretaresse niet. Alleen dokters.
Int. Alleen dokters.
08.59 Voice over We benaderen professort Bart Jacobs. Hij is hoogleraar privacy en computerveiligheid aan de Radboud Universiteit in Nijmegen.
Int. Wat betekent het als een website daar gevoelig voor is voor SQL-injectie, is hij dan goed beveiligd?
[Titel] B. Jacobs, hoogleraar privacy en computerveiligheid
B. Jacobs Nee absoluut niet dit is een van de standaarddingen die je hackers altijd gaan proberen dit is overal bekend in het vakgebied, als je een webpagina maakt moet je daar als eerste op letten, er zijn speciale functies die je input zuiveren, he, die die commando’s eruit halen en die moet je gewoon standaard gebruiken en dat dat hier niet gebruikt wordt begrijp ik niet.
Int. Want nu zit ik in het systeem, kijk dit is het systeem van Human Net, en dan kan ik hier in de gegevens van…
B. Jacobs Ohh
Int. Tientallen bedrijven, hier, Action..
B. Jacobs Ongelooflijk. Het zijn er honderden !
Int. En van al die bedrijven staan er dus natuurlijk ook weer alle gegevens van al hun werknemers in.
B. Jacobs Dat is verschrikkelijk.
Int. Hier zie je bijvoorbeeld de Praxis, ga ik naar dossiers. Lopende ziekmeldingen, zeg ik start.
B. Jacobs Oh! En krijg je die dan allemaal?
Int. Ja. Dan kan ik hier bijvoorbeeld gewoon naar deze persoon toe, klik ik aan. Ik kan ook hier naar het medisch dossier.
B. Jacobs Echt waar? Oh. En dit is informatie van de bedrijfsarts?
Int. Dit is informatie van de bedrijfsarts.
B. Jacobs Ja dat wil ik helemaal niet zien.
Int. Wat vindt u ervan dat ik hier in kan?
B. Jacobs Ik vind het schokkend. Onprofessioneel. Eh.. ja… … heel erg. Dit is een nachtmerriescenario, dit is werkelijk een nachtmerriesc-, en dit gaat over honderdduizenden mensen?
Int. Ja alles staat erin, ook medicatie eh eh mensen die suicidaal zijn, depressief, echtscheidingen, abortussen.
B. Jacobs Je kunt hier mensen mee chanteren, eh.
Int. Kan je hier mensen mee chanteren?
B. Jacobs Ja ongetwijfeld, ik neem aan dat ja u er ook niet mee te koop loopt als u een geslachtsziekte heeft gehad en eh…
Int. Want—
B. Jacobs Het is zo laagdrempelig die toegang hiertoe, het is bijna uitlokking.
Int. Is er wel eens eerder zoveel medische informatie zo slecht beveiligd geweest?
B. Jacobs Nee niet dat ik weet.
Int. Wie zouden hier dan bijvoorbeeld dan misbruik van kunnen maken?
B. Jacobs ja… nou ja the sky is the limit natuurlijk, iedere eh die wrok heeft tegen iemand anders kan proberen hier informatie uit te halen die die bruikbaar is. Je kunt denken aan leerlingen die iets tegen hun docent zoeken, studenten tegen hun hoogleraar, privé-detective bureaus die op zoek gaan naar modder of eh iets negatiefs eh... werkgevers eh bij mogelijke sollicitanten eh… je kunt het zo gek niet voorstellen wat hier allemaal aan kwaad mee geschiedt kan worden en wat dat betreft, medische gegevens zijn zo ongeveer de meest gevoelige gegevens die je hebt en dat dat zo massaal op straat ligt ik vind het werkelijk schokkend.
12.05 Voice over Diezelfde dag, 11 april, zoeken we contact met de maker van de website, softwaregigant VCD uit Groningen. Volgens professor Jacobs moeten we het bedrijf zo snel mogelijk waarschuwen dat door een beveiligingsfout de privacy van honderdduizenden mensen in het geding is.
Int. Goedemiddag met Ton van der Ham van Zembla
[VCD] Hallo.
Int. Dag, spreek ik met iemand van de directie?
[VCD] Daar spreekt u mee.
Int. Oke. Ehm, wij hebben informatie meneer Ten Broeke over uw bedrijf, wat we graag met u willen delen ehm en we zouden graag morgen willen langskomen.
Voice over De directie van VCD staat niet open voor een gesprek. De volgende dag worden we teruggebeld.
[Titel] Stem: woordvoerder VCD
[woordvoerder] Ik had begrepen dat u diverse mensen binnen VCD probeert te bereiken
Int. Ja dat klopt.
[woordvoerder] Ja ik heb daarvoor de volgende reactie voor u. Wij eh ja wij geven geen info over onze klanten en gaan daar vertrouwelijk mee om en eh ja mocht u vragen hebben dan verzoeken we u die schriftelijk in te dienen bij ons.
Int. Maar..
[woordvoerder] En waar mogelijk zullen wij dan deze beantwoorden, maar verder geven wij geen commentaar. Dus dat is de reactie die ik naar u heb.
Int. Ja. Nou het punt is wij hebben informatie over uw bedrijf, dus ik vraag niet om informatie van u over uw klanten, ik heb informatie over uw bedrijf dat is zeer gevoelige informatie waarvan ik u op de hoogte moet stellen.
13.23 Voice over Als je op de hoogte bent van een data-lek, moet je het bedrijf waarschuwen. Verschillende politieke partijen willen dat binnenkort ook in de wet laten vastleggen. Daarom blijven wij aandringen op een gesprek. We kondigen aan dat we naar het hoofdkantoor komen en we beloven dat de camera buiten blijft, zodat VCD in alle rust kan kennis nemen van de geconstateerde feiten.
Int. Goedemiddag. Ik ben Ton van der Ham van Zembla en ik zou graag mevrouw [Jongsma] willen spreken.
[VCD] Ja u heeft een schriftelijk bericht van ons ontvangen en verder hebben wij geen commentaar.
Int. Ja, ik ga niet weg voordat ik heb kunnen melden wat ik te melden heb, het is hele belangrijke informatie. Dus ik denk dat het beter is als iemand van de directie hier naartoe komt en mij even te woord staat.
[VCD] Ja, maar dat gaat dus niet gebeuren.
Voice over We wachten een half uur, nog steeds wenst niemand van VCD met ons in gesprek te gaan.
Int. Ik ga het nu bij u melden, ik kom melding doen van een groot beveiligingslek in het systeem van Human Net VCD. Dat is een groot lek in de beveiliging waardoor gegevens van duizenden en duizenden werknemers niet veilig zijn.
[VCD] Ik weet er verder helemaal niets vanaf en ik kan u niet verder helpen.
Int. Nee, maar daarom wil ik uw woordvoerder spreken.
Voice over Ook nadat wij het lek hebben gemeld komt niemand met ons praten, sterker nog omdat wij weigeren het pand te verlaten belt VCD de politie.
Int. Ik ben hier nu ongeveer een half uur binnen, denk ik, ik sta hier niet voor mezelf ik sta hier in het belang van deze zaak. Nou toen is mij nogmaals gezegd dat ze mij moesten vorderen om dit pand te verlaten ik heb gezegd dat doe ik niet, want ik wil iets melden en dat wil ik kwijt.
[Politie] Ik begrijp u heel goed hoor. Alleen u kunt denk ik niet van ons verwachten dat wij nu op zoek gaan naar iemand van de directie of wat ook die u te woord wil staan, want kennelijk wil men dat niet. Dat is u kennelijk te verstaan gegeven door de dames. Dus daar wordt het niet anders van.
15.12 Voice over Arbo-diensten en verzuimbedrijven maken gebruik van zogeheten online-verzuimapplicaties. Hierin staan de medische gegevens van honderdduizenden zieke werknemers. Ook van mensen die in het verleden ziek zijn geweest. Zembla komt erachter dat het programma Human Net van marktleider VCD lek is. Verzuimreductie uit Hengelo werkt ook met Human Net. Op donderdag 12 april lichten wij het verzuimbedrijf in dat wij eenvoudig kunnen inbreken in hun dossiers. Ingo Heijnen is woordvoerder van Verzuimreductie.
Int. Dan vraagt hij nog van u gaat nu het medisch dossier wijzigen, wilt u dat? En ik was dus ook in staat daar wijzigingen in aan te brengen, ik kon gewoon werken in het systeem.
Voice over Op vrijdag 13 april komt Heijnen naar Hilversum om het bewijsmateriaal te zien. In onze vorige uitzending toonden we aan dat Verzuimreductie structureel de privacy van zieke werknemers schond. Nu blijkt dat ook het computerprogramma waar ze mee werken niet veilig is.
Int. Het is wel raar dat wij er dan achter moeten komen.
[Titel] I. Heijnen, woordvoerder verzuimreductie
I. Heijnen Ja dat is heel vervelend. Maar uiteindelijk is het wel goed dat we het nu van u gehoord hebben zodat we hier eh actie op kunnen ondernemen.
Int. Maar hadden jullie dat zelf als organisatie niet moeten signaleren?
I. Heijnen Nou we hebben met VCD Human Net natuurlijk gesprekken ook over de beveiliging van het systeem..
Int. Ook in het verleden?
I. Heijnen Ook in het verleden, dat wordt regelmatig worden daar gesprekken over gevoerd dat zijn algemene evaluatiegesprekken waar ook de beveiliging aan de orde komt.
Int. Is dat recent nog aan de orde geweest?
I. Heijnen Dat is recent aan de orde geweest ik heb eh ik heb ook het gespreksverslag van het meest recente gesprek dat was 1 maart, waarin gesteld is, en dit is een intern gespreksverslag van eh van Verzuimreductie, waarin staat eh met betrekking tot de beveiliging Human Net, gaf Human Net aan dat de applicatie op en top beveiligd is en daar staat ook, kwaadwillenden hebben geen kans. Dus daarover hoeven wij ons geen zorgen te maken, zo staat het in het gespreksverslag. En dat geeft ons natuurlijk eh het idee en het vertrouwen dat het goed zit met het bedrijf
17.19 Voice over Verzuimreductie zegt af te zijn gegaan op de geruststellende woorden van VCD, die zou hebben gezegd dat het systeem op en top beveiligd was. Professor [Corien] Prins is hoogleraar Recht en Informatisering. We vragen haar of Verzuimreductie zich kan verschuilen achter VCD.
[Titel] C. Prins, hoogleraar recht en informatica
C. Prins Nee. Zij hebben ook in hun relatie met die werkgever, een overeenkomt ligt daartussen, een afspraak gemaakt om adequate beveiliging te implementeren. Dus ook in die relatie hebben ze daar niet gehandeld zoals de afspraak was.
Int. Heeft u ook kunnen vaststellen hoe vaak onbevoegde mensen in het bestand van Verzuimreductie hebben kunnen zitten?
[Titel] I. Heijnen, woordvoerder verzuimreductie
I. Heijnen Nee, we hebben die vraag wel uitgesteld, uitgezet bij VCD Human Net, en wij wachten nog op dat antwoord maar we willen dat natuurlijk heel graag weten, in hoeverre dat ook in de afgelopen periode maar eigenlijk ook in de jaren sinds we dat systeem gebruiken het mogelijk is geweest en of het überhaupt gebeurd is.
Int. Dat weten we nu nog niet.
I. Heijnen Dat weten we nu nog niet, maar dat wordt op dit moment wel uitgezocht want het is natuurlijk van belang voor ons om te weten om ook te weten of mogelijk dit soort informatie ehm bij onbevoegden terecht is gekomen.
Int. We hebben begrepen dat het bedrijf inmiddels bezig is om het lek te dichten, is daarmee het probleem voorbij?
C. Prins Nee bij digitalisering is het probleem natuurlijk heel anders dan dat ik een nieuw slot op de deur zet nadat er in mijn huis is ingebroken. Die gegevens liggen in potentie op straat, dat betekent dat ergens in de wijde wereld mogelijk die medische gegevens beschikbaar gekomen zijn.
Int. Ja want we weten natuurlijk niet wie die afgelopen tijd daarin is geweest.
C. Prins Nee, want daar is waarschijnlijk ook geen log-in van, dus niemand weet wie daar heeft gekeken, niemand weet wie er eventueel gegevens heeft weggehaald. Niemand weet of over drie maanden of over twee jaar die medische gegevens ergens opduiken.
Int. Dat is griezelig.
C. Prins Ja eigenlijk ik zeg wel eens wat dat betreft is een digitale inbraak een soort van veenbrand. Je denkt dat je het nu opgelost hebt maar ergens zwerven die gegeventjes potentieel rond en dan kunnen ze nog eens een keertje op tafel komen, gebruikt worden, misbruikt worden. Misschien niet eens in Nederland maar ergens anders.
19.19 Voice over Verzuimreductie vraagt aan VCD om het systeem onmiddellijk uit de lucht te halen. Toch gebeurt dat niet meteen, zo verklaart Heijnen.
I. Heijnen We hebben op dat moment eigenlijk direct contact gezocht met VCD en hebben hen de opdracht gegeven om eh alle databases die aan Verzuimreductie gerelateerd zijn direct af te sluiten en op zwart te zetten.
Int. Hebben ze dat ook gelijk gedaan onmiddellijk?
I. Heijnen Dat hebben ze na een aantal verzoeken gedaan.
Int. Een aantal verzoeken. Hoeveel tijd ging daar overheen?
I. Heijnen Daar ging ongeveer anderhalf uur overheen.
Int. Anderhalf uur. Dus u maakt melding van, hee er is een groot probleem en dan duurt het vervolgens nog anderhalf uur voordat het echt dicht is.
I. Heijnen Ja we hebben daar een aantal keren op moeten aandringen dat we dat snel wilden hebben.
20.03 Voice over Onderhoudsmedewerkers, verpleegkundigen, vrachtwagenchauffeurs en kassières. Allemaal lopen ze het risico dat hun medische gegevens in verkeerde handen zijn gekomen. Maar er staan ook bekende Nederlanders in het gehackte systeem. Zoals de voetballers van FC Twente.
Int. Voetbalclub FC Twente.
B. Jacobs De keeper wordt nu gezocht.
Int. Ja hier, ziet u hem, Sander Boschker, staat ook..
B. Jacobs Alle, z’n privé adres, telefoonnummer, alle contact ah nee ik wil dit helemaal niet zien.
Voice over Verzuimreductie is shirtsponsor van de eerste divisie club Go Ahead Eagles. Oud-profvoetballer Paul Bosvelt is daar assistent-trainer.
Int. Paul Bosvelt, daar staan ook de gegevens van in. Adresgegevens…
B. Jacobs Weer gegevens, ohhh….
Int. Wijzigen salaris. Ik zie hier het salaris staan van meneer Bosvelt.
B. Jacobs waar?
Int. Boerenbach, Michael Boerenbach…
[Titel] B. Jacobs, hoogleraar privacy en computerveiligheid.
B. Jacobs De wet persoonsgegevens in Nederland legt aan de beheerder van vertrouwelijke persoonsgegevens de verplichting op om deze gegevens adequaat te beveiligen, adequaat naar de stand van de techniek en als ze op zo’n website SQI, SQL-injection attacks mogelijk zijn, is het op geen enkele manier naar de stand van de techniek.
Int. Dit is niet adequaat beveiligd?
B. Jacobs Absoluut niet.
Int. Amateurs?
B. Jacobs Amateurs, mensen die niet goed opgelet hebben eh het neefje van de eigenaar van het bedrijf bij wijze van spreken maar hier zit geen professionele ICT’er eh eh eh web, ontwerporganisatie achter.
21.42 Voice over Een amateuristische beveiliging, daar ben je als Go Ahead Eagles of FC Twente mooi klaar mee, want het gaat om de persoonlijke gegevens van jouw werknemers. Juridisch gezien ben je daar als baas zelf verantwoordelijk voor. Gert-Jan Nijweide is bij FC Twente verantwoordelijk voor het personeelsbeleid.
[Titel] G.J. Nijweide, manager FC Twente
G.J. Nijweide Ja dat kan niet, mag niet. Ik bedoel privacy staat volgens mij in Nederland maar ook bij ons zeer hoog in het vaandel. En eh ja dat dat dat kan niet is onacceptabel en dat hebben wij Verzuimreductie ook aangegeven.
22.15 Voice over Trainers, spelers, maar ook de andere medewerkers zijn inmiddels geïnformeerd.
G.J. Nijweide Of het nu een speler is of een medewerker, het is personeel, het zijn personeelsgegevens en dat is onacceptabel dat daar gegevens van op straat liggen, en en uiteraard snap ik dat mensen nu nadrukkelijk kijken naar spelers maar wij hebben ook heel veel overige medewerkers die, waarvan het minimaal net zo belangrijk is dat daar niet de gegevens van op straat liggen.
Voice over De computerkraak blijft in eerste instantie buiten de publiciteit. Maar onder klanten van VCD verspreidt het nieuws zich razendsnel. Er ontstaat grote onrust. Honderden bedrijven en organisaties werken met Human Net. Leidinggevenden van een groot winkelbedrijf vertellen ons, dat er al veel langer zorgen zijn over de veiligheid van Human Net. Ze krijgen ook steeds een foutmelding wanneer ze willen inloggen, zo lezen we in deze mail.
[Quote & Titel] Voor zover ik kan beoordelen (…) is het mogelijk voor een gemiddelde scriptkiddie om erin te komen.
Voice over Schrijven ze. En:
[Quote & Titel] Het lijkt mij aannemelijk dat voor (…) fraudedoeleinden dit soort informatie ook gewild is, en er actief naar gevist wordt.
23.22 Voice over We krijgen een brief in handen die VCD op vrijdag 13 april aan een aantal relaties verstuurt. Volgens het bedrijf zou er slechts sprake zijn van pogingen tot inbraak, ze vervolgen:
[Quote & Titel] Wij nemen deze pogingen zeer serieus en hebben hier direct maatregelen op genomen. Zelf hebben wij nog niet kunnen constateren dat vertrouwelijke informatie is blootgelegd.
Voice over Is het VCD niet opgevallen dat er vertrouwelijke informatie is blootgelegd? Zembla kan al vanaf 27 maart in het systeem. Nadat we tevergeefs een bezoek brachten aan het hoofdkantoor, blijft het stil aan de kant van het softwarebedrijf. Vijf dagen later komt Sjauke Kuindersma, algemeen directeur van VCD, alsnog kijken naar de resultaten van onze computerinbraak.
[Titel] S. Kuindersma, Algemeen directeur VCD
S. Kuindersma Wat wij nu geconstateerd hebben, is dat eh er niet via een hack-aanval men eh met injecties en dat soort dingen toegang gekregen heeft tot het systeem, maar dat men met bekende wachtwoorden in het systeem toegang heeft gekregen en toen wij..
Int. U zegt, dat is niet door een hackpoging gedaan.
S. Kuindersma Nee dat hebben wij tot nu toe dat heeft ons forensisch bureau heeft tot nu toe vastgesteld dat het alleen met bekende wachtwoorden is gebeurd en tot nu toe hebben ze niet kunnen vaststellen dat wachtwoorden vanuit Human Net zijn geconstateerd met een hackpoging.
Voice over Human Net is niet gekraakt via een kinderlijk eenvoudige SQL-aanval, aldus Kuindersma. De wachtwoorden zouden door ons en onze bronnen gewoon zijn gestolen, suggereert hij. We gaan terug naar professor Jacobs, want na het vorige interview met hem hebben zijn eigen onderzoekers aan de universiteit zelf ook een SQL aanval uitgevoerd op de VCD database.
25.12 Int. VCD zegt, dat er geen geslaagd SQL-aanval is geweest, dat wij de wachtwoorden gewoon op een andere manier hebben verkregen, door diefstal bijvoorbeeld.
[Titel] B. Jacobs. Hoogleraar privacy en computerveiligheid
B. Jacobs Ik vind dat een hele vreemde situatie. Wij hebben dus vanuit de universiteit een geslaagde aanval uitgevoerd, en wat heel interessant is, later op die dag is er een officiële klacht binnengekomen bij de universiteit vanuit dat bedrijf VCD waarin ze uitgebreide logs, in uitgebreide logs vertellen wat wij precies gedaan hebben en uit die logs blijkt precies dat wij zo’n zo’n geslaagde SQL aanval uitgevoerd hebben.
Int. Dus ze weten gewoon dat er een geslaagde aanval is geweest maar ze blijven het ontkennen op camera.
B. Jacobs Nou ik begrijp dat de directeur van het bedrijf dit ontkent en kennelijk weet die directeur niet precies wat er in zijn eigen bedrijf gaande is, want dit zijn zijn eigen mensen die aan ons gemeld hebben dat wij een geslaagde aanval uitgevoerd hebben.
26.01 Voice over VCD geeft wel toe dat er zwakke plekken zitten in de beveiliging, dat zou inmiddels door twee externe bureaus zijn vastgesteld.
S. Kuindersma We hebben twee andere bureaus ingehuurd, die speciaal, gespecialiseerd zijn in security van applicaties en die ook onderzoek doen naar hoe veilig een applicatie is. Die hebben we ingehuurd om te kijken van, hoe veilig is onze applicatie?
Int. Ja en wat hebben die dan concreet vastgesteld?
S. Kuindersma Die hebben vastgesteld eh dat er drie zwakke plekken in het systeem zaten en die drie zwakke plekken dat kan ik technisch ook op dit moment niet beoordelen dat doen onze ontwikkelaars.
Int. Maar betekenen die zwakke plek dan bijvoorbeeld dat eh de database gevoelig was voor SQL-injectie aanvallen?
S. Kuindersma Wij hebben, dat zou kunnen, wij hebben gecon-
Int. Dat zou kunnen
S. Kuindersma Wij hebben geconstateerd en daar is ook tussen de verschillende bureaus contact geweest, eh en dat heeft het forensisch lab gedaan die hebben niet geconstateerd dat via SQL injecties die paswoorden tot stand zijn gekomen.
Int. Nee maar dan toch nog even de vraag, dus die zwakke plekken eh wijst dat erop dat de database mogelijk gevoelig is voor SQL-injectie aanvallen, kwam dat uit dat onderzoek?
S. Kuindersma Dat zou, dat zou kunnen. Dat zou kunnen.
27.10 Int. Waarom doen ze daar zo geheimzinnig over?
B. Jacobs Nou ik wil niet speculeren over de intenties van andere mensen maar ja… kijk, ehm, we hebben de afgelopen jaren in Nederland de Diginota affaire gehad, dat, Diginota was een bedrijf met een groot beveiligingsprobleem eh het bedrijf was binnen een maand failliet. De ICT-sector is keihard wat dat betreft, ik kan me toch voorstellen dat deze directeur onder grote druk staat.
Int. Dit is eigenlijk te gênant voor hem om toe te geven?
B. Jacobs Dat moet je maar aan hem vragen.
Voice over Vanaf vorige week donderdag staan alle seinen op rood bij VCD. Verontruste klanten krijgen te horen dat er direct actie is ondernomen. Dertien april, een dag later. Wij willen vaststellen of het systeem inderdaad is afgesloten voor onbevoegden. Nee hoor, we kunnen nog steeds naar binnen. Dit keer bij de gemeente Deventer.
Int. Hallo, is meneer [Heidema] aanwezig?
[Stem] Nee, die is weg.
Int. Oh, want dat is de burgemeester he van de gemeente?
[Stem] Ja.
Int. Waar kan ik hem nu zo snel mogelijk bereiken?
[Titel] Stem: dochter burgemeester Deventer
[Stem] Ehm, op het moment zit hij in Uganda.
[Stem] Met René Nanninga, Team Communicatie.
Int. U bent meneer RW Nanninga?
[Stem] Dat klopt.
Int. Ik kan op dit moment persoonlijke informatie van u ook hier raadplegen, ik zie dat u in Hoogeveen woont, ik zie hier uw mobiele nummer, ik kan het Burger Servicenummer van u achterhalen. Geboortedatum. Nou dat zijn allemaal privacy gevoelige informatie.
[Stem] Ja, ja.
28.50 Voice over We gaan naar Deventer. We hebben een afspraak met locoburgemeester Marco Swart.
Int. Was u op de hoogte dat VCD Human Net een lek had?
[Titel] M. Swart, loco-burgemeester Deventer.
M. Swart Ik heb het gehoord van de voorlichter en die had het van jullie gehoord, ik weet niet of er verder van VSC nog iets onze kant op is gekomen.
Int. 160…700… en het wachtwoord
M. Swart 1234..
Int. Ja en tot en met 8.
Int. 123456 is een wachtwoord wat we hebben gevonden, en 12345678 is een wachtwoord, dus meerdere klanten gebruiken blijkbaar niet zulke hele moeilijke wachtwoorden, is dat dan niet ook zaak bijvoorbeeld dat VCD hun klanten daarover waarschuwt van hee luister eens, jullie werken met hele gevoelige dossiers er staan hele privacygevoelige dingen in, gebruik alsjeblieft een goed wachtwoord.
[Titel] S. Kuindersma, algemeen directeur VCD.
S. Kuindersma Absoluut, wij hebben ook in onze brief van onze klanten waarin het verstrekken van het wachtwoord eh maandagochtend weer uitgegeven is.
Int. Ja achteraf he ik heb het nu even over vooraf, dus deze wachtwoorden zijn gebruikt. Heeft u daar uw gebruikers op gewezen dat het heel belangrijk is dat je goede wachtwoorden gebruikt?
S. Kuindersma Bij de implementatie van onze systemen wordt er absoluut op gewezen. U moet zich..
Int. Controleert u dat ook, of ze wel goede wachtwoorden gebruiken?
S. Kuindersma Wij kunnen niet bij de wachtwoorden van onze klanten die door de applicatie eerder verstrekt worden en ook gewijzigd worden.
Int. Is het dan ook niet jullie zaak om daar de klanten op te wijzen?
S. Kuindersma Maar wij wijzen de klanten daar ook op. Bij de implementatie..
Int. Maar ze luisteren niet naar u.
S. Kuindersma Dat zeg ik niet, dat dat…
Int. Nou dat, blijkbaar..
S. Kuindersma In een aantal gevallen, dat heeft u geconstateerd, worden wachtwoorden gebruikt die niet secure zijn.
Int. Wat vindt u daarvan?
S. Kuindersma Ja dat is absoluut niet goed te praten.
30.23 Voice over Kuindersma legt de bal bij zijn klanten. Die gebruiken te makkelijke wachtwoorden. Maar het is zijn systeem dat via een eenvoudige aanval is gehackt. Daar komt bij dat computerexperts als professor Jacobs vinden dat dergelijke systemen niet alleen met een wachtwoord en gebruikersnaam zouden moeten worden beveiligd.
Int. Is dat een goede beveiliging, alleen maar een gebruikersnaam en een wachtwoord?
S. Kuindersma Dat is een hele ingewikkelde vraag..
Int. Nee ik vind het een hele eenvoudige vraag en ik zou ook graag er antwoord op willen.
S. Kuindersma Dat is niet eh met ja of nee op te antwoorden, veel systemen zijn op deze manier zijn die beveiligd, een betere beveiliging of een optimale beveiliging zou dat zijn om dat met smartcards te doen.
Int. Dat is beter?
S. Kuindersma Eh dat is absoluut beter.
Int. Waarom hebben jullie dat niet gedaan?
S. Kuindersma Alleen eh wat ik wil constateren, is dat ook nog steeds bij banken waar het ook gebeurt en nog steeds..
Int. Ja maar meneer Kuindersma, bij banken staan geen medische gegevens in het dossier en die staan er bij u wel in dus waarom heeft u eigenlijk niet, terwijl u wel zegt het is beter om het met smartcards te doen, waarom heeft u dat niet gedaan?
S. Kuindersma Omdat wij he wat ik u net zei, de wachtwoordbeveiliging zoals wij die gebruiken en zoals onze klanten die gebruiken…
Int. Die is blijkbaar niet goed. Dat hebben we vastgesteld, dat heeft u..
S. Kuindersma Die is niet goed, dat hangt van de procedures van de organisaties af zoals zij ermee omgaan.
Int. Maar wij hebben ook een wachtwoord van uw eigen systeembeheerder kunnen traceren.
S. Kuindersma Ja maar we weten niet hoe dat verkregen is.
31.39 Voice over Ruim twee weken konden wij ongemerkt in de medische dossiers van vele duizenden werknemers. Onduidelijk is hoe lang het systeem al lek was en wie er misbruik van hebben gemaakt of nog zullen maken. Wie waakt er eigenlijk over de veiligheid van onze persoonlijke en medische gegevens? We hebben in ons land het college Bescherming Persoonsgegevens, maar volgens hoogleraar [Corien] Prins is onze privacywaakhond niet opgewassen tegen de enorme digitalisering.
[Titel] C. Prins, hoogleraar recht en informatica
C. Prins Ja je bent als persoon inderdaad heel kwetsbaar ehm want ik ben verplicht de gegevens af te geven, die worden vervolgens gedeeld tussen verschillende organisaties waar ik helemaal niks vanaf weet. Die ik niet kan controleren, de handhavende instantie de toezichthouder is eigenlijk ook niet geëquipeerd om dit te controleren en ik als individuele burger ben uiteindelijk de dupe omdat mijn gegevens op straat liggen.
Int. Als je weet dat jouw baas werkt met dit computerprogramma, heb je geen enkele garantie dat jouw gegevens veilig zijn op dit moment.
B. Jacobs Inderdaad.
Int. Wat vindt u daarvan?
B. Jacobs Schokkend
[Titel] B. Jacobs, hoogleraar privacy en computerveiligheid
B. Jacobs Ja hier moet hard op ingegrepen worden eh het probleem is alleen dat we in Nederland geen structuur hebben op dit moment die er die er direct op in kan grijpen. Het college Bescherming Persoonsgegevens kan onderzoek doen en vervolgens een dwangsom opleggen, maar..
Int. Achteraf
B. Jacobs Ja precies, achteraf, daar zit een zekere vertraging in en misschien moeten we er toch met z’n allen over nadenken in Nederland of er iets moet komen vergelijkbaar met de autoriteit Financiële Markt, iets als een ICT-autoriteit, die eh in dit soort situaties direct subiet kan ingrijpen, kan verordonneren dat deze database direct losgekoppeld wordt van internet.
33.20 Voice over De voorzitter van het college Bescherming Persoonsgegevens, Jacob Kohnstamm, vindt zelf ook dat hij niet hard genoeg kan optreden. Hij wil meer bevoegdheden.
Int. Wat kunt u op dit moment eigenlijk doen als jullie erachter komen dat eh belangrijke gegevens niet goed zijn beveiligd?
[Titel] J. Kohnstamm, college bescherming persoonsgegevens
J. Kohnstamm Dan kunnen we naar dat bedrijf toe gaan, vaststellen dat het niet goed beveiligd is en ze dan een gele kaart geven. Alleen zeggen, daar moet u snel maatregelen treffen bij gebreken waarvan u over drie maanden van ons wel ook geld kwijt bent, terwijl ik vind in dit soort situaties, als beveiliging relevant is en dat is hij steeds meer dan moet de toezichthouder ook een rode kaart kunnen geven, meteen een hoge boete kunnen geven.
Int. U kunt die boetes nu nog niet opleggen?
J. Kohnstamm Nee wij hebben geen boetebevoegdheid, ik pleit ervoor… De boetes waar ik aan denk, zijn zoals ik het wel noem, Neelie Kroes-achtige boetes.
Int. Hoge boetes
J. Kohnstamm Echt hele hoge boetes. Uit Europa komt nu een voorstel dat voor de Europese Unie-landen relevant gaat worden met een boetebevoegdheid van 2% van je jaaromzet, nou ja.
Int. Dan kun je het hebben over miljoenen euro’s dus.
J. Kohnstamm Dan kun je het hebben over, meer dan dat eh voor de hele groten zouden dat honderden miljoenen euro’s kunnen zijn.
34.33 Voice over VCD zegt er alles aan te doen om de problemen op de lossen, maar garanties dat het systeem nu waterdicht is, kan het bedrijf nog niet geven.
34.44 [Aftiteling]
