'Diagnostiek voor U' wijst vooral naar anderen na lekke website

EINDHOVEN - Een dag na de bekendmaking van het lek bij 'Diagnostiek voor U' wil het medisch onderzoekscentrum de schuld niet op zich nemen. Het centrum stelt dat de degenen die illegaal het wachtwoord lekten en gebruikten, de boosdoener zijn. Anderen zeggen juist dat de organisatie beter op haar winkel had moeten passen.

Door het lek op de website Cyberlab, een site voor medische professionals, lagen de medische gegevens van duizenden Brabanders op straat. Kwaadwillenden konden met de code kinderlijk eenvoudig inzien wie bijvoorbeeld HIV heeft, alcoholist is en wie welke medicijnen gebruikt. De vijfcijferige inlognaam voor gebruikers bleek hetzelfde als het wachtwoord. Een lid van de partij van Henk Krol, 50Plus, ontdekte het lek.

'50Plus was fout'
'Diagnostiek voor U', dat vestigingen in heel Brabant heeft, wijst met de vinger naar 50Plus. De partijleden maakten volgens het onderzoekscentrum illegaal gebruik van het systeem met inloggegevens die zij van iemand anders in handen kregen. Onduidelijk is wie er heeft gelekt. Krol wil niet zeggen wie zijn bron is.

Het centrum zoekt nog uit wat precies de oorzaak van het datalek is. Vermoedelijk gaf een arts de inloggegevens aan een patiënt die vervolgens informatie van veel meer patiënten kon zien en 50Plus inseinde. Krol heeft daardoor de medische gegevens van tenminste zeventien Brabanders kunnen inzien. Het is niet duidelijk of de arts de inloggegevens aan meer patiënten verstrekte.

Onderzoek
Momenteel staat de website Cyberlab op zwart. Intern en extern wordt de beveilging doorgelicht. In de tussentijd kunnen huisartsen en verloskundigen niet gebruikmaken van Cyberlab, dat vooral als naslagwerk dient. Dat betekent volgens 'Diagnostiek voor U' niet dat patiënten langer moeten wachten op testuitslagen. Zij krijgen via papier of een e-mail alsnog bericht.

Vooralsnog lijkt het erop dat alleen Krol en zijn partijleden onrechtmatig toegang hadden tot het systeem. De medische gegevens zouden niet zijn gekopieerd en verspreid. Ict-journalist Brenno de Winter vindt echter niet dat daarmee de kous af is. "Je kan hier eigenlijk niet van een beveiliging spreken", zo zei hij eerder tegen Omroep Brabant. "Dit zijn bijzondere gegevens. Dat mag de beveiliging wel een tandje beter."

Maatregelen
Volgens De Winter volstaan een gebruikersnaam en een wachtwoord in dit geval niet. Hij vindt dat het medisch centrum bijvoorbeeld moet werken met een kaartlezer, zoals onder meer banken dat doen. Met dat kastje wordt een code gegenereerd die alleen op dat moment werkt. Als er dan een code uitlekt, is er niets aan de hand, aldus De Winter.

Onder andere naar aanleiding van diverse lekken willen de PvdA, GroenLinks en coalitiepartij CDA dat bedrijven die laks omgaan met gevoelige informatie, hoge boetes krijgen. ''Het wordt tijd dat het College bescherming persoonsgegevens behalve alleen blaffen ook eens kan bijten'', reageert het Bredase Tweede Kamerlid Attje Kuiken van de PvdA.

Op dit moment is er een wetsvoorstel in de maak, waarin staat dat de verantwoordelijke voor de gegevens een datalek meteen moet melden en de slachtoffers moet inlichten. Anders volgt een boete die kan oplopen tot 200.000 euro.

print corrigeer
Publicatie: vrijdag 20 april 2012 - 10:29
Auteur: Yoeri Nijs