Dit weekend kwam het nieuws naar buiten dat de Infectieradar van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) een datalek bevatte. Het RIVM en de leverancier van het systeem melden echter dat de gegevens van deelnemers door niemand anders zijn ingezien dan door de journalist en een beveiligingsexpert.
De volledige toelichting van het RIVM is als volgt:
Zaterdag 6 juni kregen het RIVM een melding van een datalek binnen Infectieradar. Privacygevoelige informatie was vindbaar door een aantal handelingen uit te voeren in het systeem waarmee wij de vragenlijsten afnemen. Dit ondanks de verschillende veiligheidschecks die van te voren waren uitgevoerd op de software.
Zodra de melding bij ons binnenkwam hebben wij de vragenlijsten offline gehaald en de situatie onderzocht. Op het moment dat het nieuws naar buiten werd gebracht, waren de gegevens veiliggesteld. Uit voorzorg heeft het RIVM ook vragenlijsten van andere onderzoeken die met het systeem werken offline gehaald.
De leverancier en het RIVM hebben bevestigd dat niemand anders dan de journalist en de aan hen meldende beveiligingsexpert gegevens in hebben kunnen zien. Het ging om 49 aanmeldformulieren. Verder zijn de gegevens de deelnemers van Infectieradar niet door anderen ingezien. De journalist en de beveiligingsonderzoeker hebben laten weten de gegevens zo snel mogelijk te vernietigen. Het RIVM heeft een melding gedaan bij de Autoriteit Persoonsgegevens van het datalek. Ook heeft het RIVM de deelnemers waarvan de gegevens zijn ingezien inmiddels geïnformeerd. De journalist die het lek meldde, heeft het RIVM laten weten dat de geopende formulieren niet zijn ingezien en zijn vernietigd.
De leverancier van de software heeft inmiddels een oplossing doorgevoerd. Deze oplossing wordt nu door het RIVM en een externe partij getest. Zodra we zeker weten dat de vragenlijsten veilig worden opgeslagen, gaan we verder met Infectieradar.
Bron: RIVM.nl