Minister Hugo de Jonge (Volksgezondheid) is vrijdag teruggekomen op zijn eerdere uitspraak dat bedrijf Formdesk wist van het beveiligingslek in de Infectieradar die het bedrijf ontwikkelde voor het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). Volgens de minister had een extra test door het RIVM het beveiligingslek kunnen voorkomen.
Begin juni werd bekend dat de Infectieradar, waarmee mensen hun ziekteverschijnselen rond het coronavirus kunnen doorgeven aan het RIVM, een lek bevatte. Door het webadres aan te passen, kon iemand inzicht krijgen in de gegevens die een ander had ingevuld.
De Jonge legde het lek in eerste instantie neer bij Formdesk. Het bedrijf zou volgens de minister, tot verbazing van Formdesk zelf, geweten hebben van het datalek. Op die uitspraak komt de minister nu terug. “De feitelijke rolverdeling tussen RIVM en Formdesk wijkt af van hetgeen ik op 9 juni heb gemeld”, aldus De Jonge.
Twee verschillende kwetsbaarheden
Uit de Kamerbrief blijft dat De Jonge begin juni twee verschillende kwetsbaarheden door elkaar haalde. Voordat de Infectieradar online ging bleek uit een risico-analyse van het RIVM dat er risico bestond op misbruik van URL-gegevens. Formdesk heeft aan het RIVM aangegeven hoe dit risico vermeden kon worden, het RIVM heeft de maatregelen toegepast.
Later bleek op een andere plek in de software nog een kwetsbaarheid te zitten. Door deze kwetsbaarheid konden webadressen gemanipuleerd worden, dit heeft uiteindelijk geleid tot het datalek. Deze kwetsbaarheid was niet eerder aan het licht gekomen en dus ook niet aan Formdesk teruggekoppeld.
Volgens De Jonge had een extra beveiligingscheck van het RIVM na het toepassen van de eerdere maatregelen van Formdesk het datalek kunnen voorkomen.
Formdesk bevestigt aan NU.nl dat het inderdaad om twee verschillende kwetsbaarheden ging en benadrukt dat het bedrijf en het RIVM op goede voet staan met elkaar.
