Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

VCD blundert met online verzuimregistratie

20 april 2012 - 09:07ActueelCloud & InfrastructuurVCD
Johannes van Bentum
Johannes van Bentum

De online verzuimapplicatie voor personeel Humannet van leverancier VCD Automatisering is slecht beveiligd door een gevoeligheid voor zogeheten SQL-aanvallen. Hierdoor zijn circa driehonderdduizend personeelsdossiers met medische gegevens vrij eenvoudig toegankelijk te maken. Onder andere de gegevens van de spelers van FC Twente liggen hierdoor op straat, constateert het televisieprogramma Zembla. Het programma besteedt op 20 april 2012 aandacht aan het lek.

VCD levert Humannet al zeven jaar. Het wordt onder andere gebruikt voor het bijhouden van verzuimgegevens van medewerkers van de gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed en Action. Door het lek hadden redacteuren van Zembla toegang tot medische gegevens, maar ook telefoonnummers en adressen van medewerkers van bedrijven en organisaties die de toepassing gebruiken.

In de Zembla-uitzing komt onder andere hoogleraar privacy en computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen aan het woord. Volgens hem gaat het om het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis: ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt mensen hiermee chanteren.'

Ook directeur Sjouke Kuindersma komt in de uitzending aan het woord. Hij zegt dat Humannet niet lek is, maar dat Zembla gebruik heeft gemaakt van gestolen wachtwoorden. Dat wordt tegengesproken door hoogleraar Jacobs, die zelf het systeem binnen is gekomen.

Politie

Aanvankelijk wilde VCD volgens de makers van het programma niets van de kwetsbaarheid van het systeem weten. Toen een Zembla-redacteur van het programma de vondst in Groningen wilde toelichten, besloot het bedrijf zelfs de politie te bellen.

Volgens eigen zeggen is VCD met Hummannet marktleider op het gebied van webbased verzuimapplicaties in Nederland. Via de applicatie worden preventie, verzuim, herstel en re-integratie van honderdduizenden werknemers accuraat gevolgd. De klant heeft op elk gewenst moment en vanaf elke locatie inzicht in , toezicht op en overzicht over hun verzuimproces.

Een folder op de website van VCD meldt dat bij de ontwikkeling gebruik werd gemaakt van . Net en Ajax. Over de beveiliging van de webapplicatie meldt het stuk niets.

Meer over

ECM

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Well-Architected: slim bouwen en beheren in de cloud

    Een paper met concrete handvatten om cloud-architectuur naar een hoger niveau te tillen.

    Meer lezen

    Computable.nl
    ActueelOverheid

    VCD komt met nieuw zorginformatiesysteem

    Computable.nl
    ActueelCarrière

    VCD levert IT voor zorgstelsel BES-eilanden

    Ziekenhuis verpleegster zorg
    ActueelData & AI

    VCD levert BI-software aan Tilburgs ziekenhuis

    Computable.nl
    ActueelData & AI

    VCD regelt facturatie Medisch Spectrum Twente

    Cloud computing
    ActueelData & AI

    VCD Business Intelligence koopt EFM Software

    Magazijn
    ActueelLogistiek

    VCD levert Boon Wise-magazijnbeheer

    22 reacties op “VCD blundert met online verzuimregistratie”

    « Oudere reacties
    1. hk schreef:
      23 april 2012 om 10:54

      @Rein Dekker. Het dubbele zit hem in het aantonen van een veiligheidslek door een bedrijf te hacken en vervolgens dat bedrijf publiekelijk aan de schandpaal te nagelen. Dat vind ik minstens zo crimineel als ordinair “cracken”.
      In het Zembla artikel wordt zelfs gezegd dat de gegevens op straat liggen. Maar het aantonen van een beveiligingslek alleen is toch heel wat anders dan dat de gegevens ook voor iedereen zijn in te zien.
      Hoge boetes zouden er moeten komen voor beveiligingslekken. Welja, en wat gaat er dan met dat geld gebeuren: wordt het ingezet voor de opsporing van “crackers”? Wordt de opbrengst van verkeersboetes ook gebruikt voor het opsporen van wegmisbruikers? Natuurlijk niet, net zomin als de verzekering uitkeert als je je deur niet op slot had.
      En da’s toch raar: waar je thuis aparte beveiliging dient te installeren of in te huren voor jouw spullen, geldt voor ICT dat je daar niet zelf verantwoordelijk voor bent. Maar wie is eigenaar van de gegevens? En wie is daar dus verantwoordelijk voor? Juist.
      Ik moet de eerste “voordeurhacker” nog tegenkomen. Iemand die een briefje op tafel legt waarop staat dat hij binnen is geweest en dat het misschien handig is je huis beter te beveiligen. Als die zijn naam er onder zet heeft ie een probleem. Zo niet in ICT land. Daar moeten we ze dankbaar zijn.

      Login om te reageren
    2. dirk schreef:
      25 april 2012 om 10:48

      @hk welkom in de 21e eeuw. Met enige regelmaat vind ik een kaartje van de politie onder mijn ruitenwisser, waarbij men heeft geconstateerd dat er geen zichtbare voorwerpen van waarde in mijn auto lagen en dat de portieren waren afgesloten. Echte voordeurhackers met briefje dus.
      VCD is vooraf door Zembla in de gelegenheid gesteld om e.e.a. recht te zetten, maar heeft dat beantwoord met de politie. Men wilde dat briefje netjes neerleggen. De schandpaal kwam daaruit voort.
      De eigenaar van de gegevens is in de eerste plaats verantwoordelijk voor het beveiligen van die gegevens, maar dient daarbij ondersteund te worden door, in dit geval, de leverende partij VCD. Daar zit ook een stuk vertrouwen in. Als je een valhelm koopt bij een speciaalzaak, ga je er ook vanuit dat hij het doet.
      I.p.v. hoge boetes zie ik meer in een soort (iso-)certificering voor beveiliging. Dan kan je dat ook in je pakket van eisen meenemen bij het zoeken naar leveranciers of bij aanbesteding.

      Login om te reageren
    « Oudere reacties

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs