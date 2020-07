Na melding door de NOS heeft het RIVM de vragenlijsten zaterdagochtend uit de lucht gehaald. "We zijn het probleem nu aan het oplossen. Het gaat om een lek in externe software", laat een woordvoerder weten. Aanmelden kan nog wel, maar wanneer het invullen van vragenlijsten weer mogelijk is, is niet bekend.

Deelnemers geven bij hun aanmelding antwoord op medische vragen, zoals of ze zwanger zijn, waarvoor ze medicijnen gebruiken, of ze roken en of ze allergieën hebben. Ook geven ze eenmaal per week door of ze corona-gerelateerde klachten hebben. Maar het formulier waarmee al die informatie wordt doorgegeven, bleek dus niet beveiligd.

Maar wie er op 17 maart achterkwam, zou sindsdien de tienduizenden aanmeldingen hebben kunnen inzien. Of dat is gebeurd, is niet bekend.

Het nieuws komt voor het ministerie van Volksgezondheid op een ongelukkig moment: later deze maand moet de corona-app van de overheid worden getest. Om de app succesvol in te zetten is het belangrijk dat een grote groep gebruikers de app genoeg vertrouwt om hem te installeren

Of er misbruik is gemaakt van het softwarelek is onbekend. De afgelopen twee dagen is het in ieder geval twee keer misbruikt, laat het RIVM weten, maar daarbij gaat het waarschijnlijk om de tests van de NOS en onderzoeker Wolters.

Iedere deelnemer aan de Infectieradar krijgt een uniek nummer van acht cijfers. Bij het invullen van de vragenlijst was dat nummer te zien in de adresbalk. Als je dat nummer veranderde, dan kreeg je het formulier van iemand anders. "Dat probleem komt vaak voor, maar is heel makkelijk te voorkomen", zegt onderzoeker Wolters.

Verantwoording

Voor dit verhaal onderzochten we de impact van het datalek in Infectieradar. Daartoe hebben we data van andere gebruikers ingezien. Dat was nodig om de impact te begrijpen: we moesten weten of het cijfermatig verhogen van het unieke nummer genoeg was om gegevens van andere gebruikers te zien te krijgen. Als de nummers willekeurig en onmogelijk te raden zouden zijn, zou het probleem namelijk veel minder groot zijn geweest.

Bovendien wilden we graag weten of het mogelijk was om die informatie geautomatiseerd op te vragen. Daartoe hebben we in circa twee minuten 128 verzoeken naar de RIVM-server gedaan. Daarop kwamen 45 ingevulde formulieren terug, waarbij het in één geval om onze eigen persoonsgegevens ging. Daarna hebben we onze test beëindigd, omdat voldoende duidelijk was dat het geautomatiseerd opvragen inderdaad mogelijk was.

We gebruiken de verzamelde gegevens alleen om aan te tonen dat er sprake was van een datalek. Ze worden zo snel mogelijk vernietigd.