Lekke software: verzuimgegevens op straat
De medische en persoonlijke gegevens van 300.000 werknemers van honderden organisaties liggen mogelijk op straat door een lek in de slecht beveiligde verzuimsoftware Humannet. Onder andere het eerder in opspraak geraakte bedrijf VerzuimReductie werkte met de software, zo bericht Zembla in een tweede uitzending over malafide verzuimbedrijven.
In de database van Humannet, ontwikkeld door it-bedrijf VCD, stond onder andere personeelsinformatie zoals adressen, verzuim, herstel en re-integratie. Volgens Zembla zijn zelfs medische dossiers van bedrijfsartsen en burgerservicenummers toegankelijk. Honderden bedrijven waaronder Praxis, Bijenkorf en V&D zien hierdoor de gegevens van hun werknemers openbaar gemaakt.
Grootste lek in geschiedenis
Bart Jacobs, professor aan de Radboud Universiteit, spreekt van het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. Kijkers hadden het lek tijdens de uitzending opgemerkt: volgens hen was de verzuimapplicatie vatbaar voor zogeheten ‘sql-injecties’. Een kijker liet vervolgens weten eenvoudig bij de gegevens van de Humannet-database te kunnen komen. Jacobs erkende het lek: “We waren binnen een kwartier in het systeem en hadden daarmee controle over een beheerderaccount. De toegang hiertoe is zo laagdrempelig, het is bijna uitlokking.” Hij wijst erop dat chantage mogelijk is met de gegevens die vrij kunnen zijn gekomen. VCD zegt inmiddels de ‘zwakke plakken’ te hebben gedicht, maar sluit niet uit dat een geslaagde aanval al kan hebben plaatsgevonden.
Niet goed geregeld
Volgens Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens, is de beveiliging van medische databases op dit moment niet goed geregeld. Bovendien kan het College weinig doen: momenteel kan een slecht beveiligd bedrijf een ‘gele kaart’ krijgen, maar zou het eigenlijk een rode kaart en een boete moeten krijgen. Kohnstamm denkt aan hoge boetes: “Dat zouden honderden miljoenen euro’s kunnen zijn.”