Humannet lekt gegevens zieke werknemers

Afbeelding: Martini Ziekenhuis van Thomas Geersing | Licentie: CC BY 2.0

De medische gegevens van meer dan 300.000 werknemers zijn door een lek maandenlang voor iedereen toegankelijk geweest.

Zembla schrijft in Honderdduizenden medische dossiers toegankelijk:

Medische en persoonlijke gegevens van meer dan 300.000 werknemers zijn door een lek in de software van het computerprogramma Humannet van IT-bedrijf VCD maanden lang toegankelijk geweest voor onbevoegden. Dit blijkt uit onderzoek van ZEMBLA, in de aflevering ‘De verzuimpolitie II’ vrijdag 20 april.

FC Twente, Gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed, Action en honderden andere bedrijven en arbodiensten werken in het computerprogramma Humannet. Ze verwerken in deze verzuimapplicatie adresgegevens, verzuim, herstel en re-integratie van hun werknemers. Medische dossiers van de bedrijfsartsen staan er ook in, evenals burgerservice-nummers. […] Het IT-bedrijf VCD zegt dat er inmiddels alles aan gedaan is om de “zwakke plekken” te dichten.

[…] ‘Zonder te hoeven inbreken, kan ik zien dat dit systeem zo lek is als een mandje. Humannet is vatbaar voor zogeheten SQL injecties, wat een veel voorkomende beveiligingsfout is.’ Een andere kijker is al een stap verder gegaan. Via een eenvoudige hackpoging achterhaalt hij een gebruikersnaam en wachtwoord. En zo kan hij in de database met medische gegevens, zo is te zien in ZEMBLA.

[…] Directeur S. Kuindersma ontkent in eerste instantie dat zijn computerprogramma kinderlijk eenvoudig is gehackt: ‘Er zijn drie zwakke plekken in het systeem. We weten niet hoelang die zwakke plekken er in hebben gezeten. Wij hebben een extern bedrijf ingezet om de problemen op te lossen.’ Later geeft Kuindersma toe dat hij niet kan uitsluiten dat er een SQL-aanval heeft plaatsgevonden.