Antwoord op vragen van de leden Buitenweg en Ellemeet over het datalek bij de infectieradar website
Antwoord schriftelijke vragen
Nummer: 2020D30106, datum: 2020-07-17, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20192020-3564).
Gerelateerde personen:- Eerste ondertekenaar: H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
Onderdeel van zaak 2020Z10734:
- Gericht aan: H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
- Indiener: K.M. Buitenweg, Tweede Kamerlid
- Medeindiener: C.E. Ellemeet, Tweede Kamerlid
- Voortouwcommissie: TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2019-2020 | Aanhangsel van de Handelingen |
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden |
3564
Vragen van de leden Buitenweg en Ellemeet (beiden GroenLinks) aan de Minister van Volksgezondheid, Welzijn en Sport over het datalek bij de infectieradar website (ingezonden 11 juni 2020).
Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 17 juli 2020).
Vraag 1
Heeft u kennisgenomen van het bericht «Minister legt lek infectieradar bij ontwikkelaar, bedrijf reageert verbaasd»?1
Antwoord 1
Ja.
Vraag 2
Hoe reageert u op de stellingname van het bedrijf Formdesk dat de kwetsbaarheid in de Infectieradar site niet eerder aan het licht was gekomen en dat het bedrijf geen enkele terugkoppeling had ontvangen over mogelijke risico’s en aanvullende maatregelen die het bedrijf zou moeten doorvoeren?
Antwoord 2
Het is, niet in het minste voor alle deelnemers aan infectieradar, erg vervelend dat dit is gebeurd. Zowel RIVM als de leverancier van Formdesk betreuren dit.
Het RIVM heeft voor ingebruikname van de Infectieradar (op 25 maart) contact gehad met de leverancier van Formdesk over het oplossen van het risico op mogelijk misbruik van de URL-gegevens dat bij de risico-analyse van het RIVM geconstateerd was. De leverancier heeft vervolgens aangegeven hoe RIVM dit risico kon vermijden. RIVM heeft de maatregelen genomen die Formdesk heeft geadviseerd.
De feitelijke rolverdeling tussen RIVM en Formdesk wijkt af van hetgeen ik op 9 juni jl. heb gemeld. Toen heb ik, op basis van informatie van het RIVM, gemeld dat Formdesk de maatregel moest doorvoeren. Bij nader onderzoek is gebleken dat, zoals hierboven beschreven, het RIVM de maatregel heeft doorgevoerd die Formdesk heeft geadviseerd.
Op 6 juni bleek dat het risico op manipulatie van URL zich op een andere plek in de Formdesk software had voorgedaan. Dit was niet in de eerste risico-analyse naar voren gekomen, en de door Formdesk voorgestelde maatregelen die het RIVM heeft doorgevoerd, waren daarmee geen oplossing voor dit probleem. Achteraf gezien concludeert het RIVM dat dit probleem op 25 maart opgemerkt had kunnen worden indien ná implementatie van de door de leverancier van Formdesk geadviseerde maatregel en vóór het online plaatsen van Infectieradar een extra test op dit risico was uitgevoerd.
Vraag 3
Hoe valt dit te rijmen met uw beantwoording van mondelinge vragen op 9 juni 2020, waarin u stelde dat dit specifieke lek als veiligheidsrisico in beeld was gekomen bij de veiligheidschecks en dat ook was gecommuniceerd aan Formdesk, vergezeld van oplossingen die het bedrijf zou moeten doorvoeren?
Antwoord 3
Zie antwoord vraag 2.
Vraag 4
Welke partij heeft de veiligheidscheck uitgevoerd waaruit volgens u het mogelijke veiligheidsrisico naar voren is gekomen?
Antwoord 4
Het RIVM heeft een risico-analyse uitgevoerd en de bevindingen, waaronder het mogelijke misbruik van url-gegevens én de maatregel daartegen vastgelegd in een risico-acceptatiedocument in maart 2020.
Vraag 5
Op welke datum is het betreffende veiligheidsrisico in beeld gekomen? Op welke datum is daarover gecommuniceerd aan het bedrijf Formdesk?
Antwoord 5
Het risico op url-manipulatie is op 24 maart onderkend en opgenomen in het risico acceptatiedocument. Vervolgens is er op 25 maart mondeling overleg geweest met de leverancier van Formdesk. Zie verder het antwoord op vraag 2.
Vraag 6
Kunt u nader ingaan op het proces van de lancering van de site sinds de communicatie aan Formdesk over mogelijke veiligheidsrisico’s? Op welk moment in het proces zou de dubbelcheck moeten zijn gedaan, als men die niet was vergeten?
Antwoord 6
Het RIVM heeft de oplossing die de leverancier van Formdesk heeft geadviseerd op 25 maart geïmplementeerd. Vervolgens is er op diezelfde dag een check uitgevoerd op de juiste werking van de maatregel op de bepaalde plek in de software waar het risico was geconstateerd. Er was op dat moment geen reden om aan te nemen dat het probleem zich ook op andere plekken in de software zou kunnen voordoen.
Het RIVM heeft vervolgens het risico-acceptatiedocument afgerond waarin de kwetsbaarheid en de genomen maatregel zijn genoemd.
Het RIVM besloot op basis daarvan dat de betreffende versie van Infectieradar online kon worden gezet. Dat is op 26 maart gebeurd.
Op 6 juni bleek dat het risico op manipulatie van URL zich op een andere plek in de Formdesk software had voorgedaan. Dit was niet in de eerste risico-analyse naar voren gekomen, en de door Formdesk voorgestelde maatregelen die het RIVM heeft doorgevoerd, waren daarmee geen oplossing voor dit probleem. Achteraf gezien concludeert het RIVM dat dit probleem op 25 maart opgemerkt had kunnen worden indien ná implementatie van de door de leverancier van Formdesk geadviseerde maatregel en vóór het online plaatsen van Infectieradar een extra test op dit risico was uitgevoerd.
Vraag 7
Heeft uw ministerie contact gehad met het bedrijf Formdesk naar aanleiding van de berichtgeving over het datalek op 6 juni 2020 en de beantwoording van mondelinge vragen in de Kamer op 9 juni? Zo nee, waarom niet? Zo ja, hoe kan het dat er dan alsnog een grote discrepantie lijkt te bestaan tussen uw ministerie en het bedrijf Formdesk over de feitelijke gang van zaken rond het proces van de veiligheidschecks voor de Infectieradar site?
Antwoord 7
Het RIVM heeft ook na 6 juni contact gehad met Formdesk. Zowel RIVM als Formdesk waren tot 6 juni in de veronderstelling dat de genomen maatregel afdoende was. Dat een risico zich ook op een tweede plek in de software voordeed was tot dat moment voor beide partijen onbekend. Er is daarover geen verschil van inzicht tussen de leverancier van Formdesk en het RIVM.
Vraag 8
Kunt u deze vragen één voor één beantwoorden?
Antwoord 8
Ja, zie antwoorden op bovenstaande vragen.
9 juni 2020;https://www.nu.nl/tech/6056789/minister-legt-lek-infectieradar-bij-ontwikkelaar-bedrijf-reageert-verbaasd.html↩︎