Datalek: Verzuimdossiers 300.000 Nederlandse werknemers gelekt
- 26 april 2012
Bits of Freedom heeft haar Zwartboek Datalekken wederom uitgebreid. Medische gegevens van honderdduizenden Nederlanders konden maandenlang worden ingezien via een lek in de website Humannet van IT-bedrijf VCD.
De meer dan 300.000 personeels- en medische dossiers die beheerd worden via de verzuimsoftware Humannet zijn al maanden slecht beveiligd. Het lek werd ontdekt door journalisten van het programma Zembla van de VARA.
Via het lek was het eenvoudig om inlognamen en wachtwoorden te achterhalen, waarna toegang verschaft kon worden tot de databases met gegevens over het verzuim van 300.000 werknemers. Het betreft contactgegevens en informatie over herstel en re-integratie van medewerkers van honderden bedrijven, zoals FC Twente, de gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed en Action.
Ook waren medische dossiers van bedrijfsartsen en burgerservicenummers op te vragen. De journalisten konden zien hoe het met de gezondheid van de spelers van FC Twente gaat, maar ook wat oud-international Paul Bosvelt verdient als hulptrainer van Go Ahead Eagles. Beide voetbalclubs hebben een contract met Verzuimreductie dat gebruik maakt van Humannet.
Hoogleraar recht en informatica Corien Prins zegt in de Zembla-uitzending dat bedrijven als Verzuimreductie zelf ook verantwoordelijk zijn voor wat er gebeurt met de gegevens die zij onder hun hoede hebben. Ze kunnen zich dus niet verschuilen achter het ICT-bedrijf.
Humannet bleek vatbaar voor SQL-injecties. Bij een SQL-injectie wordt de invoer van de gebruiker, zoals het paginanummer of een zoekterm, onvoldoende gecontroleerd. De gebruiker kan daardoor extra opdrachten aan de databank achter de website geven. Op die manier wordt informatie toegankelijk die dat niet behoort te zijn. Prof. Jacobs van de Radboud Universiteit Nijmegen verifieerde het lek. Het koste hem niet veel moeite om het beheer van de website over te nemen. Hij spreekt van het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis.
VCD heeft een extern bedrijf ingeschakeld om de beveiliging van de website op orde te brengen. Inmiddels is Humannet weer online.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.