Onlangs berichtten wij over het centraal vaccinatieregister. Vandaag berichten wij over een lek in dit register. Met enkel een naam, geboortedatum, historische woonplaats en burgerservicenummer zijn vaccinatiegegevens opvraagbaar over deze persoon door onbevoegden die deze kennis hebben, zonder enige vorm van controle op de identiteit van de aanvrager.
In het vaccinatieregister worden gezondheidsgegevens bijgehouden van mensen die gevaccineerd zijn als onderdeel van het Rijksvaccinatieprogramma.1 Hierin wordt bijgehouden wie welk vaccin wanneer heeft gekregen. Inzage in dit register is mogelijk middels twee online formulieren. Bij het ene formulier kan een papieren kopie worden opgevraagd en via het andere formulier kan een kopie worden opgevraagd dat via e-mail wordt verstuurd. De twee formulieren zijn eenvoudig te bereiken via pagina's op de website van het RIVM.
Elektronische inzage tot gezondheidsgegevens moet plaatsvinden middels twee-factor-authenticatie (2FA). Hierbij moet het gaan om iets dat een persoon en alleen deze persoon weet, heeft of is. Een wachtwoord is een voorbeeld van een factor die iemand weet. Een Google Authenticator token wordt vaak gebruikt als tweede factor. Een soortgelijke factor is bovendien in DigiD gebouwd, waardoor DigiD veilig genoeg is voor het verkrijgen van toegang tot gezondheidsgegevens.
Na het invullen wordt het formulier doorgestuurd naar de Dienst Vaccinvoorziening en Preventieprogramma's van het RIVM. Voor de papieren versie wordt gecontroleerd of het adres en de naam die zijn ingevuld behoren bij het adres van het ingevulde burgerservicenummer. Dit wordt handmatig gecontroleerd in het Basisregistratie Personen (BRP). Na enkele dagen wordt een brief bezorgd met daarin de informatie uit het centrale vaccinatieregister voor de persoon wiens burgerservicenummer is ingevuld. Het RIVM mag het BRP gebruiken voor de controle van de ingevulde adresgegevens en daardoor is deze wijze van inzage veilig genoeg.
Bij het formulier voor elektronische inzage via e-mail is echter geen enkele sprake van 2FA. Opvragen kan door enkel het onderstaande formulier in te vullen.
Op 26 november 2020 hebben wij onze eigen gegevens ingevuld om te kijken of er überhaupt inzage mogelijk is. Dit bleek zo te zijn en wij ontvingen netjes een e-mail met toegang tot onze gegevens. Doordat er geen controle plaatsvindt op de identiteit van de aanvrager (en dit ook niet mogelijk is), wisten wij op dat moment dat misbruik mogelijk was. Wij hebben toen dan ook niet geprobeerd om gegevens van een ander op te vragen.
Op grond van het responsible disclosure beleid van het RIVM hebben wij direct contact gezocht met het Nationaal Cyber Security Centrum (NCSC) om dit te melden. Het NCSC heeft vervolgens direct contact opgenomen met het RIVM. In een eerste reactie, begin december, stelde het RIVM dat achter het formulier een handmatig proces zit en het daardoor niet mogelijk zou zijn om vaccinatiegegevens van een ander op te vragen. Het RIVM heeft echter ook tegen het NCSC gezegd dat er alleen een papieren versie opvraagbaar was. Dit is dus niet het geval.
Het NCSC heeft vervolgens wederom contact opgenomen met het RIVM. Daarna hebben wij geen verdere berichten van het NCSC ontvangen. Daarom hebben ook wij contact gezocht met het RIVM. De woordvoerder meldde dat zij intern gingen onderzoeken of het formulier aan alle eisen voldeed. Na een week ontvingen wij bericht van de afdeling informatiebeveiliging dat niks wees op een lek en daarmee de zaak volgens hen was afgedaan.
Om toch te bewijzen dat misbruik niet alleen in theorie mogelijk is, hebben wij (met toestemming) gegevens van een ander opgevraagd. Door het invullen van het formulier met gegevens van een ander, een door ons nieuw aangemaakt e-mailadres en ons eigen telefoonnummer, ontvingen wij de gegevens van de ander. Hierdoor is er dus sprake van een datalek, omdat wij in beginsel niet bevoegd zijn om inzage te krijgen in deze gegevens.
Controle of de aanvrager daadwerkelijk is wie hij zegt te zijn, is bovendien niet eens mogelijk met de betreffende gegevens in het formulier. Het RIVM weet niet en mag ook niet weten of het e-mailadres en telefoonnummer behoren bij de persoon van wie het burgerservicenummer is, omdat dit niet in het BRP is opgenomen.2
Ook aan de hand van het burgerservicenummer is deze controle niet mogelijk. Dit gegeven mag dan een uniek persoonsnummer zijn, geheim is het allesbehalve. In 2018 concludeerde de Autoriteit Persoonsgegevens bijvoorbeeld dat het btw-nummer van zzp'ers onrechtmatig gelijk werd gesteld met zijn of haar burgerservicenummer.3 De ruim 1 miljoen zzp'ers hebben tot die tijd dus hun burgerservicenummer aan iedereen moeten delen. Ook de naam, geboortedatum en waar diegene vroeger heeft gewoond zijn natuurlijk geen geheime gegevens en eenvoudig op te zoeken via sociale media. Deze gegevens zijn dan wel gegevens die iemand weet, maar zijn in geen enkel ander opzicht vergelijkbaar met een wachtwoord.
Hoe zou het dan wel moeten? Inzage kan bijvoorbeeld via DigiD plaatsvinden. Hierdoor wordt met voldoende zekerheid gecontroleerd of de aanvrager daadwerkelijk degene is die hij zegt te zijn. Daarnaast speelt deze zelfde kwestie natuurlijk bij het nieuw op te zetten register voor vaccinatie tegen Covid-19. Hiervoor heeft de Minister echter gesteld dat er wel degelijk sprake zal zijn van controle van de identiteit, namelijk middels DigiD.4
De vraag resteert dan waarom in dit geval gekozen is voor dit formulier, zonder beveiligingsmaatregelen. Ook kunnen vraagtekens worden gezet bij de beoordeling van de beveiligingsmaatregelen door zowel het RIVM als het NCSC. Met enige basale kennis van authenticatieprocessen zal iedereen concluderen dat hier sprake kan zijn van misbruik. Wij hebben dan ook melding gemaakt bij de Autoriteit Persoonsgegevens van dit lek. Ruim twee maanden na de eerste melding staat het formulier nog steeds online, maar wij hopen dat het RIVM dit zo snel mogelijk offline haalt.
Update 15-01-2021
Het RIVM heeft het formulier inmiddels offline gehaald. Hierbij geven ze aan dat ze dit niet hebben gedaan omdat onbevoegden toegang konden krijgen tot vacciniatiegegevens, maar omdat het formulier "beperkt gebruikt werd".
Wilt u weten of uw organisatie wel voldoet aan de privacywetgeving? Neem dan vrijblijvend contact met ons op.
Voetnoten
- https://rijksvaccinatieprogramma.nl/.
- https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/gegevens-basisadministratie-personen.
- https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/onderzoeksrapport_bsn_in_btw-identificatienummers.pdf.
- https://www.rijksoverheid.nl/onderwerpen/coronavirus-vaccinatie/vraag-en-antwoord/vragen-over-registratie-en-persoonsgegevens-coronavaccinatie.