RIVM: data Infectieradar niet verder gelekt

di 9 juni 2020 - 09:30
Laptop-zoeken-studente
Data
Nieuws

De gegevens van de circa 60.000 deelnemers aan de Infectieradar zijn niet ingezien door andere partijen dan de NOS en beveiligingsonderzoeker Tom Wolters. Dat laat het voor de website verantwoordelijke RIVM weten. Afgelopen zaterdag werd Infectieradar offline gehaald nadat de NOS op basis van onderzoek meldde dat er een ernstig veiligheidslek in zat. Het RIVM gebruikt de website om inzicht te krijgen in de verspreiding van corona.

De kwetsbaarheid in de website bleek al te bestaan sinds de lancering van de website op 17 maart. De NOS heeft het probleem eerst gemeld aan het RIVM, dat direct daarna de website online heeft gehaald. Volgens het instituut waren er wel degelijk voorafgaand aan lancering van Infectieradar veiligheidschecks uitgevoerd op de gebruikte software. Ook werden de vragenlijsten dagelijks geleegd. Uit voorzorg heeft het RIVM ook vragenlijsten van andere onderzoeken die met het systeem werken offline gehaald.

Eenvoudig oplosbaar probleem

Iedere deelnemer aan Infectieradar heeft een uniek nummer van acht cijfers. Bij het invullen van de vragenlijst was dat nummer te zien in de adresbalk. Volgens onderzoeker Wolters een vaak voorkomend, maar eenvoudig op te lossen probleem. Wie het nummer veranderde, kreeg het formulier van iemand anders te zien. Het RIVM vraagt deelnemers niet om hun naam, maar e-mailadres, geboortejaar en de cijfers van de postcode waren wel zichtbaar. Daarmee zou het in veel gevallen mogelijk zijn om de identiteit van deelnemers te herleiden.

De leverancier en het RIVM hebben bevestigd dat niemand anders dan de NOS en de beveiligingsexpert gegevens in hebben kunnen zien. Het ging om 49 aanmeldformulieren. De NOS en de beveiligingsonderzoeker hebben laten weten de gegevens zo snel mogelijk te vernietigen. Het RIVM heeft een melding gedaan bij de Autoriteit Persoonsgegevens van het datalek. Ook heeft het RIVM de deelnemers waarvan de gegevens zijn ingezien inmiddels geïnformeerd. De journalist die het lek meldde, heeft het RIVM laten weten dat de geopende formulieren niet zijn ingezien en zijn vernietigd.

InfectieRadar opgestart als lek is gedicht

De leverancier van de software heeft inmiddels een oplossing doorgevoerd om het lek in de website te dichten. Het RIVM en een externe partij testen deze oplossing momenteel. Zodra het RIVM zeker weet dat de vragenlijsten veilig worden opgeslagen, wordt Infectieradar weer opgestart. Het is tot die tijd niet mogelijk om vragenlijsten in te vullen.

Wel kunnen mensen zich volgens het RIVM veilig aanmelden voor Infectieradar. Deze gegevens worden in een ander systeem opgeslagen. Jaap van Dissel, directeur van het Centrum Infectieziektebestrijding van het RIVM, had onlangs nog de hoop uitgesproken dat het aantal deelnemers aan Infectieradar richting de 100.000 zou gaan.

Inzicht in verspreiding corona

Via Infectieradar kunnen mensen wekelijks doorgeven of ze mogelijk coronagerelateerde gezondheidsklachten hebben, zoals hoesten of koorts. Het RIVM gebruikt Infectieradar als een instrument om te kijken waar en met welke snelheid corona zich in Nederland verspreidt. Een vergelijkbare toepassing is onder meer de app COVID Radar van het LUMC.

Verder heeft de overheid onlangs de eerste versie gelanceerd van een coronadashboard. Dat moet het zicht op en inzicht in de verspreiding van het virus vereenvoudigen en verbeteren, en het oplaaien ervan indammen. Het dashboard toont elke dag de actuele gegevens ten opzichte van zogeheten signaalwaarden, zodat een mogelijke opleving van het virus snel duidelijk wordt.