De Jonge komt terug op uitspraak: Ontwikkelaar wist niet van lek Infectieradar

Minister Hugo de Jonge (Volksgezondheid) is vrijdag teruggekomen op zijn eerdere uitspraak dat het bedrijf Formdesk wist van het beveiligingslek in de Infectieradar, die het bedrijf ontwikkelde voor het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). De minister schrijft in een antwoord op Kamervragen dat een extra test door het RIVM het beveiligingslek had kunnen voorkomen.

Begin juni werd bekend dat de Infectieradar, waarmee mensen hun ziekteverschijnselen rond het coronavirus kunnen doorgeven aan het RIVM, een lek bevatte. Door het webadres aan te passen, kon iemand inzicht krijgen in de gegevens die een ander had ingevuld.

De Jonge beweerde in eerste instantie dat Formdesk wist van het datalek in de software, tot verbazing van Formdesk zelf. Op die uitspraak komt de minister nu terug. "De feitelijke rolverdeling tussen het RIVM en Formdesk wijkt af van hetgeen ik op 9 juni heb gemeld", aldus De Jonge.

Twee verschillende kwetsbaarheden
Uit de antwoorden op de Kamervragen blijkt dat De Jonge begin juni twee verschillende kwetsbaarheden door elkaar haalde. Voordat de Infectieradar online ging, bleek uit een risicoanalyse van het RIVM dat het risico op misbruik van URL-gegevens bestond. Formdesk heeft aan het RIVM doorgegeven hoe dit risico vermeden kon worden en het RIVM heeft die maatregelen doorgevoerd.

Later bleek ook op een andere plek in de software een kwetsbaarheid te zitten. Door deze kwetsbaarheid konden webadressen gemanipuleerd worden. Dit heeft uiteindelijk tot het datalek geleid. Deze kwetsbaarheid was niet eerder aan het licht gekomen en dus ook niet aan Formdesk teruggekoppeld.

Volgens De Jonge had een extra beveiligingscheck van het RIVM na het doorvoeren van de eerdere maatregelen van Formdesk het datalek kunnen voorkomen.

Formdesk bevestigt in gesprek met NU.nl dat het inderdaad om twee verschillende kwetsbaarheden ging en benadrukt dat het bedrijf en het RIVM op goede voet met elkaar staan.