Verzuimsoftware lekt duizenden medische dossiers

Medische gegevens van honderdduizenden Nederlanders konden maandenlang worden ingezien en gemanipuleerd via een SQL injectie in de verzuimsoftware Humannet van VCD.

Door verschillende kwetsbaarheden in het veelgebruikte Humannet-systeem konden kwaadwillenden maandenlang beheerderrechten verkrijgen via een SQL injection.

Beheeraccount overgenomen
Op die manier waren zeer privacygevoelige arbeids- en medische gegevens te benaderen en te veranderen. Onder meer verzuimafhandelaar VerzuimReductie maakt gebruik van Humannet, ontwikkeld door het automatiseringsbedrijf VCD.

Dat meldt tv-programma Zembla, dat een tweeluik maakte over misstanden in de commerciŽle arbobranche. Securityprofessor Bart Jacobs van de Radboud Universiteit Nijmegen demonstreerde de SQL-aanval, binnen een kwartier was er controle over een beheeraccount.

Honderdduizenden dossiers
Jacobs spreekt van het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. "Dit is een nachtmerriescenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt hier mensen mee chanteren."

Honderden organisaties en bedrijven werken met de Humannet verzuimsoftware, onder meer Praxis, Bijenkorf, V&D, Hornbach, Beter Bed, Action, de Gemeente Deventer en FC Twente, meldt Zembla.

VCD erkende na aanvankelijke ontkenning dat er verschillende kwetsbaarheden in de Humannet software zitten en heeft een extern bedrijf ingeschakeld om het op te lossen.