Antwoord schriftelijke vragen : Antwoord op vragen van de leden Buitenweg en Ellemeet over het datalek bij de infectieradar website
Vragen van de leden Buitenweg en Ellemeet (beiden GroenLinks) aan de Minister van Volksgezondheid, Welzijn en Sport over het datalek bij de infectieradar website (ingezonden 11 juni 2020).
Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 17 juli
2020).
Vraag 1
Heeft u kennisgenomen van het bericht «Minister legt lek infectieradar bij ontwikkelaar,
bedrijf reageert verbaasd»?1
Antwoord 1
Ja.
Vraag 2
Hoe reageert u op de stellingname van het bedrijf Formdesk dat de kwetsbaarheid in
de Infectieradar site niet eerder aan het licht was gekomen en dat het bedrijf geen
enkele terugkoppeling had ontvangen over mogelijke risico’s en aanvullende maatregelen
die het bedrijf zou moeten doorvoeren?
Antwoord 2
Het is, niet in het minste voor alle deelnemers aan infectieradar, erg vervelend dat
dit is gebeurd. Zowel RIVM als de leverancier van Formdesk betreuren dit.
Het RIVM heeft voor ingebruikname van de Infectieradar (op 25 maart) contact gehad
met de leverancier van Formdesk over het oplossen van het risico op mogelijk misbruik
van de URL-gegevens dat bij de risico-analyse van het RIVM geconstateerd was. De leverancier
heeft vervolgens aangegeven hoe RIVM dit risico kon vermijden. RIVM heeft de maatregelen
genomen die Formdesk heeft geadviseerd.
De feitelijke rolverdeling tussen RIVM en Formdesk wijkt af van hetgeen ik op 9 juni
jl. heb gemeld. Toen heb ik, op basis van informatie van het RIVM, gemeld dat Formdesk
de maatregel moest doorvoeren. Bij nader onderzoek is gebleken dat, zoals hierboven
beschreven, het RIVM de maatregel heeft doorgevoerd die Formdesk heeft geadviseerd.
Op 6 juni bleek dat het risico op manipulatie van URL zich op een andere plek in de
Formdesk software had voorgedaan. Dit was niet in de eerste risico-analyse naar voren
gekomen, en de door Formdesk voorgestelde maatregelen die het RIVM heeft doorgevoerd,
waren daarmee geen oplossing voor dit probleem. Achteraf gezien concludeert het RIVM
dat dit probleem op 25 maart opgemerkt had kunnen worden indien ná implementatie van
de door de leverancier van Formdesk geadviseerde maatregel en vóór het online plaatsen
van Infectieradar een extra test op dit risico was uitgevoerd.
Vraag 3
Hoe valt dit te rijmen met uw beantwoording van mondelinge vragen op 9 juni 2020,
waarin u stelde dat dit specifieke lek als veiligheidsrisico in beeld was gekomen
bij de veiligheidschecks en dat ook was gecommuniceerd aan Formdesk, vergezeld van
oplossingen die het bedrijf zou moeten doorvoeren?
Antwoord 3
Zie antwoord vraag 2.
Vraag 4
Welke partij heeft de veiligheidscheck uitgevoerd waaruit volgens u het mogelijke
veiligheidsrisico naar voren is gekomen?
Antwoord 4
Het RIVM heeft een risico-analyse uitgevoerd en de bevindingen, waaronder het mogelijke
misbruik van url-gegevens én de maatregel daartegen vastgelegd in een risico-acceptatiedocument
in maart 2020.
Vraag 5
Op welke datum is het betreffende veiligheidsrisico in beeld gekomen? Op welke datum
is daarover gecommuniceerd aan het bedrijf Formdesk?
Antwoord 5
Het risico op url-manipulatie is op 24 maart onderkend en opgenomen in het risico
acceptatiedocument. Vervolgens is er op 25 maart mondeling overleg geweest met de
leverancier van Formdesk. Zie verder het antwoord op vraag 2.
Vraag 6
Kunt u nader ingaan op het proces van de lancering van de site sinds de communicatie
aan Formdesk over mogelijke veiligheidsrisico’s? Op welk moment in het proces zou
de dubbelcheck moeten zijn gedaan, als men die niet was vergeten?
Antwoord 6
Het RIVM heeft de oplossing die de leverancier van Formdesk heeft geadviseerd op 25 maart
geïmplementeerd. Vervolgens is er op diezelfde dag een check uitgevoerd op de juiste
werking van de maatregel op de bepaalde plek in de software waar het risico was geconstateerd.
Er was op dat moment geen reden om aan te nemen dat het probleem zich ook op andere
plekken in de software zou kunnen voordoen.
Het RIVM heeft vervolgens het risico-acceptatiedocument afgerond waarin de kwetsbaarheid
en de genomen maatregel zijn genoemd.
Het RIVM besloot op basis daarvan dat de betreffende versie van Infectieradar online
kon worden gezet. Dat is op 26 maart gebeurd.
Op 6 juni bleek dat het risico op manipulatie van URL zich op een andere plek in de
Formdesk software had voorgedaan. Dit was niet in de eerste risico-analyse naar voren
gekomen, en de door Formdesk voorgestelde maatregelen die het RIVM heeft doorgevoerd,
waren daarmee geen oplossing voor dit probleem. Achteraf gezien concludeert het RIVM
dat dit probleem op 25 maart opgemerkt had kunnen worden indien ná implementatie van
de door de leverancier van Formdesk geadviseerde maatregel en vóór het online plaatsen
van Infectieradar een extra test op dit risico was uitgevoerd.
Vraag 7
Heeft uw ministerie contact gehad met het bedrijf Formdesk naar aanleiding van de
berichtgeving over het datalek op 6 juni 2020 en de beantwoording van mondelinge vragen
in de Kamer op 9 juni? Zo nee, waarom niet? Zo ja, hoe kan het dat er dan alsnog een
grote discrepantie lijkt te bestaan tussen uw ministerie en het bedrijf Formdesk over
de feitelijke gang van zaken rond het proces van de veiligheidschecks voor de Infectieradar
site?
Antwoord 7
Het RIVM heeft ook na 6 juni contact gehad met Formdesk. Zowel RIVM als Formdesk waren
tot 6 juni in de veronderstelling dat de genomen maatregel afdoende was. Dat een risico
zich ook op een tweede plek in de software voordeed was tot dat moment voor beide
partijen onbekend. Er is daarover geen verschil van inzicht tussen de leverancier
van Formdesk en het RIVM.
Vraag 8
Kunt u deze vragen één voor één beantwoorden?
Antwoord 8
Ja, zie antwoorden op bovenstaande vragen.
Ondertekenaars
-
Eerste ondertekenaar
H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.