AMSTERDAM - Door een lek in computerprogramma Humannet lagen medische en persoonlijke gegevens van meer dan driehonderdduizend werknemers maandenlang op straat.

Dat blijkt uit onderzoek van Zembla.

Het VARA-programma kreeg tips van kijkers na de uitzending over arbobedrijf Verzuimreductie, die werkte met de bewuste verzuimapplicatie.

Het programma bleek niet te zijn beveiligd tegen SQL-aanvallen, wat een veel voorkomende beveiligingsfout is. Op eenvoudige manier konden gegevens van bedrijven worden bekeken.

Grootste lek

Hoogleraar Bart Jacobs, expert op het gebied van privacy en computerbeveiliging, spreekt van 'het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. "Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend", reageert hij.

Onder meer Praxis, Bijenkorf, V&D en honderden andere bedrijven werken met Humannet. Ook voetbalclub FC Twente is een van de gedupeerden. In de uitzending laat Zembla zien dat al het personeel inclusief de voetballers makkelijk te vinden zijn.

IT-bedrijf VCD, die verantwoordelijk is voor het Humannet, zegt er inmiddels alles aan gedaan te hebben om de 'zwakke plekken' te dichten. Het College bescherming persoonsgegevens (CBP) neemt het lek zeer serieus.

Het CBP vraagt informatie bij VCD, aldus de privacywaakhond vrijdag.

Wachtwoord

Humannet laat in een reactie weten: "Uit het onderzoek van de door ons ingeschakelde onafhankelijke experts is een aantal punten naar voren gekomen die deze inbreuk wellicht hebben mogelijk gemaakt. Deze punten zijn inmiddels verholpen en extra beveiligd."

Volgens het bedrijf komt uit het onderzoek ook naar voren dat 'de ongeoorloofde toegang naar alle waarschijnlijkheid heeft plaatsgevonden middels voorkennis'. Daarmee bedoelt Humannet dat er op onrechtmatige wijze een wachtwoord verkregen is.

Boetes

De PvdA en GroenLinks willen dat bedrijven die laks omgaan met gevoelige informatie, hoge boetes kunnen krijgen van het College Bescherming Persoonsgegevens. Dat stellen de partijen nadat bekend werd dat de medische en persoonlijke gegevens van meer dan 300.000 mensen maandenlang op straat hadden gelegen.

Kamerlid Attje Kuiken van de PvdA noemt de manier waarop overheid en bedrijven soms met persoonlijke gegevens omgaan ''schandelijk'' en pleit via Twitter voor het uitdelen van boetes. Ook Arjan El Fassed van GroenLinks is voorstander van een fikse prent voor overtreders. ''De waarde van privacy moet echt snel omhoog'', vindt hij.

Het CDA wil opheldering over de kwestie en vraagt een brief van minister Edith Schippers (Volksgezondheid). Kamerlid Pieter Omtzigt wil vooral graag weten wie er verantwoordelijk en aansprakelijk is voor het datalek bij IT-bedrijf VCD. Dezelfde vraag stelt hij over het elektronische patiëntendossier, dat in de maak is om zorgverleners medische dossiers van patiënten in te kunnen laten zien.

Incidenten

De afgelopen tijd zijn er enkele incidenten met privacygevoelige medische informatie geweest. Donderdag maakte het Diagnostisch Centrum in Eindhoven en Den Bosch bekend dat het digitale patiëntinformatiesysteem Cyberlab uit de lucht is gehaald vanwege een beveiligingslek.

Het systeem zou kinderlijk eenvoudig toegankelijk zijn voor derden.