Geen Silverlightplayer? Bekijk de uitzending hier in andere formaten.
Medische en persoonlijke gegevens van meer dan 300.000 werknemers zijn door een lek in de software van het computerprogramma Humannet van IT-bedrijf VCD maanden lang toegankelijk geweest voor onbevoegden. Dit blijkt uit onderzoek van ZEMBLA, in de aflevering ‘De verzuimpolitie II’ vrijdag 20 april.
Nachtmerrie-scenario
FC Twente, Gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed, Action en honderden andere bedrijven en arbodiensten werken in het computerprogramma Humannet. Ze verwerken in deze verzuimapplicatie adresgegevens, verzuim, herstel en re-integratie van hun werknemers. Medische dossiers van de bedrijfsartsen staan er ook in, evenals burgerservice-nummers. Volgens prof. B. Jacobs (Radboud Universiteit Nijmegen), expert op het gebied van privacy en computerbeveiliging, is dit het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt hier mensen mee chanteren” zegt hij in ZEMBLA. Het IT-bedrijf VCD zegt dat er inmiddels alles aan gedaan is om de “zwakke plekken” te dichten.
Systeem zo lek als een mandje
ZEMBLA ontdekt het lek na de uitzending ‘De Verzuimpolitie’ van 23 maart j.l., waarin werd aangetoond dat het Hengelose bedrijf Verzuimreductie structureel de privacy van zieke werknemers schendt. Oplettende kijkers zien dat Verzuimreductie werkt in de verzuimapplicatie Humannet en mailen naar de redactie: ‘Zonder te hoeven inbreken, kan ik zien dat dit systeem zo lek is als een mandje. Humannet is vatbaar voor zogeheten SQL injecties, wat een veel voorkomende beveiligingsfout is.’ Een andere kijker is al een stap verder gegaan. Via een eenvoudige hackpoging achterhaalt hij een gebruikersnaam en wachtwoord. En zo kan hij in de database met medische gegevens, zo is te zien in ZEMBLA.
SQL-aanval
Prof. Jacobs heeft aan de Universiteit zelf de proef op de som genomen en gekeken of het beveiligingssysteem van VCD Humannet inderdaad makkelijk te omzeilen is. ‘Wij hebben ook een SQL-aanval gedaan. We waren binnen een kwartier in het systeem en hadden daarmee controle over een beheersaccount. De toegang hiertoe is zo laagdrempelig, het is bijna uitlokking’, aldus Jacobs.
Reactie VCD
ZEMBLA heeft, zodra er zekerheid bestond over het lek, dit gemeld bij VCD. Directeur S. Kuindersma ontkent in eerste instantie dat zijn computerprogramma kinderlijk eenvoudig is gehackt: ‘Er zijn drie zwakke plekken in het systeem. We weten niet hoelang die zwakke plekken er in hebben gezeten. Wij hebben een extern bedrijf ingezet om de problemen op te lossen.’ Later geeft Kuindersma toe dat hij niet kan uitsluiten dat er een SQL-aanval heeft plaatsgevonden.
Onverantwoord
FC Twente is één van de gedupeerde bedrijven. Al hun personeel inclusief de voetballers staan in de verzuimapplicatie Humannet, zo laat ZEMBLA zien. Algemeen manager G. Nijweide van FC Twente is geschokt: “Ik vind het onacceptabel dat deze gegevens op straat liggen.’ Verzuimreductie heeft Humannet ‘uit de lucht gehaald’ vanwege concrete aanwijzingen van geslaagde inbraakpogingen. Ze vinden het onverantwoord om in deze applicatie te werken.
Hoge boetes
De controle op de beveiliging van medische databases is op dit moment niet goed geregeld. De voorzitter van het College bescherming Persoonsgegevens J. Kohnstamm zegt hierover in ZEMBLA: “‘Wij kunnen naar een bedrijf toegaan, vaststellen dat het niet goed beveiligd is, en ze dan een gele kaart geven. Terwijl ik vind dat in dit soort situaties moet de toezichthouder ook een rode kaart kunnen geven en meteen een boete kunnen geven”. Als het om grote bedrijven gaat denkt Kohnstamm ook aan hoge boetes, “dat zouden honderden miljoenen euro’s kunnen zijn.’
Samenstelling en regie: Ton van der Ham.
Research: Manon Blaas.
Eindredactie: Kees Driehuis.
ZEMBLA: ‘De verzuimpolitie II’, herhaling op tv a.s. dinsdag om 09:15 uur bij de VARA op Nederland 2.
Volg ZEMBLA op Twitter, vind ZEMBLA leuk op Facebook of laat een bericht achter in het forum.
