'Medische gegevens 300.000 mensen op straat'

Dat is vanavond te zien in de aflevering ‘de verzuimpolitie II’ van het televisieprogramma Zembla. De beveiliging van het webgebaseerde verzuimregistratiepakket Humannet van VCD schoot ernstig tekort waardoor de medische gegevens van werknemers maandenlang door onbevoegde derden te benaderen waren. Volgens prof. Bart Jacobs van de Radboud Universiteit Nijmegen, expert op het gebied van beveiliging, is dit het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis.

ANPMeer van deze auteur

Ook Capgemini gebruikt Humannet

Bedrijven en organisaties als Capgemini, FC Twente, de gemeente Deventer, Praxis, de Bijenkorf, V&D, Hornbach, Action, tientallen autodealers en honderden andere bedrijven en arbodiensten gebruiken Humannet voor verzuimregistratie van medewerkers. De applicatie is gevoelig voor SQL-injecties, waarmee een hacker code in het systeem injecteert en zich daarmee toegang tot of controle over het systeem verschaft. Volgens Bart Jacobs was ‘de beveiliging van Humannet zo laagdrempelig dat het bijna uitlokking is’.

Kijkers zagen hoe zwak beveiliging was

De bal kwam aan het rollen door de eerste uitzending van ‘De Verzuimpolitie’ van 23 maart. Daarin werd aangetoond dat het Hengelose bedrijf Verzuimreductie structureel de privacy van zieke werknemers schendt. Enkele oplettende kijkers namen waar dat de verzuimapplicatie Humannet van VCD werd gebruikt en zagen de zwakte van het systeem. Een kijker mailde naar de redactie van Zembla: “Zonder te hoeven inbreken, kan ik zien dat dit systeem zo lek is als een mandje. Humannet is vatbaar voor zogeheten SQL injecties, wat een veel voorkomende beveiligingsfout is.”

VCD heeft laten weten dat inmiddels alles is gedaan is om de beveiligingsproblemen op te lossen. Niet duidelijk is of VCD Humannet offline heeft gehaald of niet. Het bedrijf kan niet zeggen of er daadwerkelijk misbruik is gemaakt van de zwakke beveiliging.