Klantgegevens van De Hoop op straat
DORDRECHT – Door een lek in de systeembeveiliging van een server van zorginstelling De Hoop in Dordrecht zijn klantgegevens toegankelijk geweest voor derden. Patiëntengegevens hebben niet op straat gelegen. De Hoop heeft het lek direct gedicht.
Webwereld, een website met ict-nieuwtjes, maakte dinsdag melding van het lek. De Hoop bewaart persoonlijke gegevens van klanten op een server met tientallen sites. Hacker Pompiedompiedom ontdekte dat de server gevoelig is voor een zogenaamde SQL-injectionaanval. De hacker stelt vaker slechte bescherming van privacygevoelige informatie aan de kaak.
De server met de database is inmiddels offline gehaald, laat Frans Koopmans, woordvoerder van De Hoop desgevraagd weten. „We hebben direct actie ondernomen.” Volgens Webwereld zijn persoonsgegevens van ruim 3300 klanten openbaar geweest, waaronder naam, adres, bankrekeningnummer, e-mailadres, gebruikersnaam om in te loggen met bijbehorend leesbaar wachtwoord.
Ook gegevens over aanmeldingen voor familiesessies, bijeenkomsten voor pastores en andere bijeenkomsten staan in de database, net als de die van 1396 sollicitanten voor een baan en 237 sollicitaties voor vrijwilligerswerk. Ook lijsten met ‘oude’ sollicitaties en andere tabellen bleken toegankelijk.
De instelling erkent het probleem, maar benadrukt dat er „absoluut geen” patiëntgegevens tussen zitten. „Het gaat niet op cruciale bestanden. De gegevens zijn van klanten van de webwinkels die we ook beheren”, legt Koopmans uit. Het gaat „beslist niet” om aanmeldingen van cliënten die zorg afnemen. Hij bevestigt dat gegevens soms te lang zijn bewaard.
Pompiedompiedom benadrukt dat hij zich vooral druk maakt over het feit dat veel van de privacygevoelige informatie online bewaard wordt, terwijl dat helemaal niet nodig is. „Dat moet je snel offline halen, want dit is niet nodig. Natuurlijk kan ik klagen over de beveiliging. Laat ik dat maar eens niet doen. We weten dat langzamerhand wel”, stelt hij in een reactie aan Webwereld.
Nadat Webwereld het lek heeft gemeld aan De Hoop, heeft de organisatie meteen actie ondernomen. Het aantonen van het lek is „niet prettig”, aldus Koopmans. „Zeker niet, omdat wij sterk hechten aan een optimale beveiliging.” De Hoop is wel dankbaar dat er geen misbruik van de gegevens is gemaakt. „We zijn blij dat we hier op geattendeerd zijn.”
Een aantal websites was voor verbetering vatbaar. „We hebben alles nog eens doorgenomen. We blijven de beveiliging kritisch bekijken.” Het uiteindelijke resultaat is volgens hem positief. „De beveiliging is nog verder aangescherpt.”