Het beveiligingslek in de coronawebsite (Infectieradar) van het RIVM had volgens het instituut opgemerkt kunnen worden als er een extra test was uitgevoerd voordat de site de lucht in ging. Dat meldt minister Hugo de Jonge (Volksgezondheid) aan de Tweede Kamer.

De bewindsman zei begin vorige maand in de Kamer nog dat de bouwer van de website (Formdesk) had verzuimd het probleem op te lossen. Dat beeld klopt echter niet, aldus de bewindsman. Hij kwam destijds met die verklaring op basis van informatie van het RIVM.

Vóór de website eind maart online ging heeft het RIVM contact met de leverancier gehad over het oplossen van een mogelijk risico op een lek. Op aanwijzing van Formdesk heeft het RIVM toen maatregelen genomen.

Op 6 juni bleek het lek op een andere plek in de software te zitten. Dat was niet uit de eerste risico-analyse van het RIVM naar boven gekomen. Als er toen was gekeken of het risico zich ook elders in de software voordeed was er nooit een probleem gekomen, concludeert het instituut achteraf.

„Zowel RIVM als Formdesk waren tot 6 juni in de veronderstelling dat de genomen maatregel afdoende was. Dat een risico zich ook op een tweede plek in de software voordeed was tot dat moment voor beide partijen onbekend”, schrijft de minister.

Met de Infectieradar wordt informatie verzameld over gezondheidsklachten die kunnen wijzen op corona. Een beveiligingsdeskundige ontdekte het lek en nam erover contact op met de NOS. Er is geen misbruik gemaakt van het gat in de beveiliging. Een nieuwe versie van de Infectieradar gaat vermoedelijk in september weer de lucht in, meldde het RIVM vorige week.