Honderdduizenden medische dossiers op straat

Medische en persoonlijke gegevens van meer dan 300.000 werknemers zijn door een lek in de software van een computerprogramma van een IT-bedrijf maanden lang toegankelijk geweest voor onbevoegden. Dit blijkt uit onderzoek van actualiteitenprogramma Zembla. De aflevering ‘De verzuimpolitie II’ wordt vanavond uitgezonden.

Onder meer FC Twente, Gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed, Action en honderden andere bedrijven en arbodiensten werken met het betreffende computerprogramma, Humannet van IT-bedrijf VCD.

Ze verwerken in deze verzuimapplicatie adresgegevens, verzuim, herstel en re-integratie van hun werknemers. Medische dossiers van de bedrijfsartsen staan er ook in, evenals burgerservicenummers.

Volgens prof. Bart Jacobs van de Radboud Universiteit in Nijmegen, expert op het gebied van privacy en computerbeveiliging, is dit het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt hier mensen mee chanteren’, zegt hij in Zembla. Het IT-bedrijf VCD zegt dat er inmiddels alles aan gedaan is om  de ‘zwakke plekken’ te dichten.

Zembla ontdekte het lek na de uitzending ‘De Verzuimpolitie’ van 23 maart, waarin werd aangetoond dat het Hengelose bedrijf Verzuimreductie structureel de privacy van zieke werknemers schendt.

Oplettende kijkers zagen dat dat Verzuimreductie werkt in de verzuimapplicatie Humannet en lieten de redactie weten dat dit systeem zo lek is als een mandje.

Een andere kijker ging een stap verder en achterhaalde via een eenvoudige hackpoging een gebruikersnaam en wachtwoord. En zo kon hij in de database met medische gegevens, is te zien in Zembla.

Prof. Jacobs heeft aan de universiteit zelf de proef op de som genomen en gekeken of het beveiligingssysteem van VCD Humannet inderdaad makkelijk te omzeilen is. ‘Wij hebben ook een SQL-aanval gedaan. We waren binnen een kwartier in het systeem en hadden daarmee controle over een beheersaccount. De toegang hiertoe is zo laagdrempelig, het is bijna uitlokking’, aldus Jacobs.

Directeur S. Kuindersma van VCD ontkent in eerste instantie dat zijn computerprogramma kinderlijk eenvoudig is gehackt, maar moet later toch toegeven dat hij niet kan uitsluiten dat er een SQL-aanval heeft plaatsgevonden.

Zembla: ‘De verzuimpolitie II’, vrijdag 20 april 2012 om 21.20 uur bij de VARA op Nederland 2.

Bron: Zembla

Lees ook:‘Huisarts verdient aan elke patiënt in EPD’
Lees ook:‘Ziekenhuizen onzorgvuldig met medische dossiers’
Lees ook:Baas spreekt werknemer aan op overgewicht
Lees ook:Jij bepaalt waar jouw patientendossier terechtkomt
Lees ook:Werknemers in voedingsmiddelenindustrie vaak te zwaar