Antwoord op vragen van het lid Veldman over het bericht ‘Minister legt lek infectieradar bij ontwikkelaar, bedrijf reageert verbaasd’

20-07-2020

Minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport beantwoordt Kamervragen van het lid Veldman (VVD) over het bericht 'Minister legt lek infectieradar bij ontwikkelaar, bedrijf reageert verbaasd'.

Vraag 1
Bent u bekend met het bericht ‘Minister legt lek infectieradar bij ontwikkelaar, bedrijf reageert verbaasd’? (1)

Antwoord 1
Ja.

Vraag 2
Kunt u aangeven welke veiligheidsrisico’s nog meer aan het licht zijn gekomen tijdens de veiligheidscheck bij het ontwikkelen van de site?

Antwoord 2
Het RIVM heeft – conform de standaard aanpak bij het RIVM voor informatiebeveiliging en risicomanagement - een quickscan uitgevoerd voor het bepalen van de maatregelen vanuit de Baseline Informatiebeveiliging Overheid / BIO (voorheen Baseline Informatiebeveiliging Rijk / BIR).

Formdesk betreft een zogenaamde SAAS-oplossing (Software As A Service). Hierbij draait de omgeving bij de leverancier en zorgt de leverancier voor het beheer van de omgeving en de ontwikkeling van de software. Het RIVM gebruikt Formdesk voor het online ontwerpen van formulieren, bijvoorbeeld aanvraagformulieren, registratieformulieren, bestelformulieren en enquêteformulieren.

Zoals gebruikelijk bij het gebruik van een SAAS-oplossing heeft het RIVM een risicoanalyse gemaakt en een pentest uitgevoerd. Voor het gebruik van de Formdesk-oplossing voor de Infectieradar is daarnaast ook een Privacy Impact Assessment (PIA) uitgevoerd.

Bij deze analyses zijn – naast het risico op het ontstaan van een datalek - meerdere veiligheidsrisico’s onderkend, namelijk risico’s op:

  • Onbevoegd aanpassen van de enquêteformulieren;
  • Het maken van invoerfouten door formulierbeheerders;
  • Onbevoegd inzien van ingevulde enquêtes vanuit de Formdesk omgeving;
  • Onbevoegd inzien van ingevulde enquêtes tijdens transport van de Formdesk omgeving naar RIVM;
  • Onbevoegd inzien van ingevulde enquêtes binnen het RIVM (scheiding e-mailadressen en symptomen);
  • Manipulatie van de URL in relatie tot het ontwerpen van het enquêteformulier;
  • Niet tijdig uitvoeren van beveiligingsupdates (patchmanagement).

Op alle genoemde risico’s zijn door het RIVM (organisatorische of technische) maatregelen genomen.

Vraag 3
Hoe beoordeelt u de uitspraken van Formdesk dat de kwetsbaarheid niet eerder aan het licht is gekomen en ook niet aan Formdesk teruggekoppeld is

Antwoord 3
Het RIVM heeft voor ingebruikname van de Infectieradar (op 25 maart) contact gehad met de leverancier van Formdesk over het oplossen van het risico op mogelijk misbruik van de URL-gegevens dat bij de risico-analyse van het RIVM geconstateerd was. De leverancier heeft vervolgens aangegeven hoe RIVM dit risico kon vermijden. RIVM heeft de maatregelen genomen die Formdesk heeft geadviseerd.

De feitelijke rolverdeling tussen RIVM en Formdesk wijkt af van hetgeen ik op 9 juni jl. heb gemeld. Toen heb ik, op basis van informatie van het RIVM, gemeld dat Formdesk de maatregel moest doorvoeren. Bij nader onderzoek is gebleken dat, zoals hierboven beschreven, het RIVM de maatregel heeft doorgevoerd die Formdesk heeft geadviseerd.

Op 6 juni bleek dat het risico op manipulatie van URL zich op een andere plek in de Formdesk software had voorgedaan. Dit was niet in de eerste risico-analyse naar voren gekomen, en de door Formdesk voorgestelde maatregelen die het RIVM heeft doorgevoerd, waren daarmee geen oplossing voor dit probleem. Achteraf gezien concludeert het RIVM dat dit probleem op 25 maart opgemerkt had kunnen worden indien ná implementatie van de door de leverancier van Formdesk geadviseerde maatregel en vóór het online plaatsen van Infectieradar een extra test op dit risico was uitgevoerd.

Vraag 4
Kunt u uw uitspraak uit het artikel, dat Formdesk op de hoogte was van het lek, onderbouwen?

Antwoord 4
Ik heb aangegeven dat de leverancier van Formdesk op de hoogte was van het risico dat uit de risico-analyse van het RIVM naar voren is gekomen. Dit risico is door het RIVM en de leverancier van Formdesk besproken naar aanleiding van de uitgevoerde risico-analyse. De leverancier van Formdesk heeft RIVM aangegeven hoe dit risico vermeden kon worden. RIVM heeft de maatregelen genomen die Formdesk heeft geadviseerd. Achteraf is gebleken is dat elders in de software een kwetsbaarheid aanwezig was, en dat daardoor een daadwerkelijk lek is ontstaan.

Vraag 5
Kunt u aangeven of er na de melding van het lek door de NOS contact is geweest met Formdesk? Zo ja, welke vervolgacties zijn er op basis van dit contact ondernomen?

Antwoord 5
RIVM heeft op 6 juni, na de melding van de NOS, onmiddellijk contact gezocht met de leverancier van Formdesk. Vervolgacties waren onder meer het offline halen van Infectieradar en andere toepassingen van Formdesk voor het RIVM. Vervolgens zijn RIVM en de leverancier een onderzoek gestart naar het datalek. De leverancier van Formdesk heeft op dezelfde dag middels een patch het datalek gedicht.

Vraag 6
Kunt u toelichten van hoeveel deelnemers van de infectieradar het aanmeldformulier door andere mensen bekeken is dan henzelf? Kunt u aangeven welke vervolgacties er ondernomen worden voor die deelnemers?

Antwoord 6
De leverancier heeft het RIVM bevestigd dat niemand anders dan de journalist en de aan hen meldende beveiligingsexpert gegevens hebben geopend. Het ging om 49 aanmeldformulieren. Verder zijn de gegevens van de deelnemers van Infectieradar niet door anderen ingezien. Het RIVM heeft een melding gedaan bij de Autoriteit Persoonsgegevens van het datalek. Ook heeft het RIVM de deelnemers waarvan de gegevens zijn ingezien en alle overige deelnemers inmiddels geïnformeerd. De journalist die het lek meldde, heeft het RIVM laten weten dat de geopende formulieren niet zijn ingezien en zijn vernietigd. Zie ook: https://www.rivm.nl/nieuws/geen-misbruik-datalek-infectieradar

Vraag 7
Heeft het datalek in de infectieradar ook effect op alle Nederlanders boven de 18 jaar die hun keuze met het oog op het registreren in het nieuwe donorregister nog moeten maken? Met andere woorden: heeft dit datalek een negatief effect op de bereidheid van de mensen om zich te registreren?

Antwoord 7
Voor de goede orde, dit incident staat los van het Donorregister en de nieuwe donorwet. En dit datalek is onvergelijkbaar met het datalek dat zich bij het Donorregister heeft voorgedaan. Dat gezegd hebbende, is het natuurlijk voorstelbaar dat mensen door dit (nieuwe) incident minder vertrouwen krijgen in de overheid als beheerder van hun gegevens. Ik heb tot op heden echter geen signalen dat dit van significante betekenis is voor mensen om al dan niet hun keuze in te vullen in het Donorregister. Het aantal burgers dat een keuze heeft ingevuld in het Donorregister neemt nog steeds toe.

Vraag 8
Kunt u aangeven hoe u het beschaamde vertrouwen van gebruikers gaat herstellen?

Antwoord 8
Het datalek in de infectieradar is bovenal zeer vervelend voor de deelnemers waarvan de gegevens door de NOS zijn ingezien. Zij zijn via een persoonlijke e-mail hierover geïnformeerd. Daarnaast is het ook vervelend voor het publieke vertrouwen in de infectieradar, wat een nuttig instrument is om verspreiding van infectie te volgen. Burgers mogen erop rekenen dat de overheid zorgvuldig met hun gegevens omgaat. Dit is onvoldoende gebeurd en dat betreurt het RIVM. Om een dergelijke situatie in de toekomst te voorkomen worden de RIVM Formdesk omgevingen pas vrijgegeven als er een extra pentest is uitgevoerd door een externe partij.

Vraag 9
Welk verband ligt er tussen de infectieradar en de grotegriepmeting.nl? Is er contact geweest met de initiatiefnemers van de grotegriepmeting.nl en zo nee, waarom niet?

Antwoord 9
De Grote Griepmeting (GGM) is een onderzoek dat heeft gelopen van 2003 tot 2017. Vanaf de start in 2003 is er nauwe samenwerking geweest tussen GGM en het RIVM. De GGM heeft later deelgenomen aan het Europees samenwerkingsverband Influenzanet (georganiseerd door de ISI-foundation in Italië). Dit samenwerkingsverband heeft EU-gelden ontvangen voor de ontwikkeling van open-source software. De GGM werd daar destijds ook uit betaald voor haar bijdrage aan deze ontwikkelingen. De gegevens van de GGM zijn door het RIVM gebruikt voor de influenza surveillance en er zijn vele wetenschappelijke artikelen gepubliceerd met auteurs van de GGM en het RIVM. Helaas moest de GGM stoppen in 2017 vanwege gebrek aan middelen.

Door de uitbraak van COVID-19 ontstond bij het RIVM de noodzaak om weer informatie te krijgen over mogelijk aan COVID-19 gerelateerde klachten in de bevolking. Daarom werd de Infectieradar opgezet. Tijdens de voorbereiding daarvan heeft het RIVM contact gezocht met de initiatiefnemers van GGM. Helaas bleek een vruchtbare samenwerking niet mogelijk zonder grote investeringen. Het RIVM heeft toen besloten zonder deze samenwerking verder te gaan.

(1) Nu.nl, ‘Minister legt lek infectieradar bij ontwikkelaar, bedrijf reageert verbaasd’, 9 juni 2020, via: https://www.nu.nl/tech/6056789/minister-legt-lek-infectieradar-bij-ontwikkelaar-bedrijf-reageert-verbaasd.html


Deze kamervragen zijn ook te vinden de dossiers Datalek en Coronavirus

bron: Rijksoverheid

Van onze partners

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Vergadersoftware: Beveiliging en Privacy

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer