Bewaart het RIVM onze gegevens wel goed?

Het project Infectieradar van het RIVM is als een opgepoetste tweedehands auto; het klinkt best goed maar onder de motorkap is er wel het een en ander mis.

Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) zette onlangs ‘Infectieradar’ online, een webformulier waar Nederlanders een aantal vragen kunnen invullen over eventuele gezondheidsklachten die te maken zouden kunnen hebben met corona. Maar die webformulieren waren niet goed beveiligd, meldde de NOS onlangs.

De overheid en ICT is vaak geen gelukkige combinatie. Bij de Belastingdienst kwamen ze daar al eerder achter en ook het UWV heeft moeite om de informatiebeveiliging op orde te krijgen.
En nu dus het RIVM. Met een eenvoudige truc, namelijk het aanpassen van nummers in de url, was het mogelijk om gegevens van andere personen in te zien. Kinderlijk eenvoudig. Het is echter een stomme fout.

Pijnlijk en kwalijk

In een eerste reactie meldde het RIVM dat het ging om een lek in externe software. Het is wel zwak om direct te verwijzen naar een applicatie van een derde waar de fout in zou zitten. Een simpele test vooraf door het RIVM had dit euvel aan het licht moeten brengen. De fout zit dan misschien in software die door een extern bedrijf is gemaakt, maar het RIVM is op zijn minst nalatig geweest is het testen van haar eigen formulieren. En met zoiets als een vragenlijst over gezondheid en infecties, is dat heel pijnlijk en kwalijk.

Op het moment dat het lek bekend werd, hadden ongeveer 60.000 mensen de vragenlijsten ingevuld. Zij hebben daarbij hun e-mailadres, de cijfers van hun postcode thuis en van hun werklocatie ingevuld, evenals hun geslacht, de gezinssamenstelling, het geboortejaar en nog wat informatie over hun gezondheid. Het RIVM vermeldt in de privacyverklaring dat het e-mailadres zeker 2 jaar na het invullen van de laatste vragenlijst bewaard wordt en de onderzoeksgegevens voor tenminste 10 jaar bewaard zullen worden.

Opgepast

De vraag met dit soort kwetsbaarheden is altijd of er misbruik van is gemaakt. Dat is namelijk moeilijk te meten of na te trekken. Daarom zou ik iedereen die het formulier heeft ingevuld, adviseren om de komende tijd extra voorzichtig te zijn met mailtjes en berichten of linkjes die iets met corona of gezondheid te maken hebben. Nergens direct op klikken en al zeker geen persoonlijke gegevens achterlaten, als daarom wordt gevraagd, tenzij je het echt 100% vertrouwt.

Vertrouwen

Het kwalijke van dit alles is bovendien dat dit incident het vertrouwen van Nederlanders in dergelijke tools van de overheid kan aantasten. Van een Rijksinstituut mag toch iets meer aandacht voor informatieveiligheid worden verwacht dan nu is getoond. Het instituut bewaart namelijk veel meer gegevens over Nederlanders, bijvoorbeeld informatie over de hielprik die bij baby’s wordt afgenomen en over allerlei vaccinaties. Worden die gegevens allemaal wel veilig en goed bewaard? We weten het niet, maar als ik deze actie met Infectieradar heb gezien, heb ik er weinig vertrouwen in.

over Edwin Feldmann

Edwin Feldmann is freelance tech-journalist en tekstschrijver. Hij produceert journalistieke teksten en podcasts en geeft workshops over bloggen. Meer info: contact@edwinf.nl