AMSTERDAM - Door een lek in de website van GGZ Drente zijn de persoonlijke gegevens van duizenden gebruikers van een hulpforum toegankelijk geweest.

Inmiddels is het lek gedicht en forum gesloten.

Het lek op de website van de Geestelijke Gezondheidszorg Drente maakte de volledige database toegankelijk. Daarbij gaat het niet om patiëntgegevens, maar wel om zeer persoonlijke informatie, die vaak tot de persoon te herleiden is. In totaal waren er 2988 mensen op het forum ingeschreven.

Achterhalen

Dat ontdekte een lid van het Nederlands Genootschap van Hackende Huisvrouwen dat werkt onder het pseudoniem Estelle. Mensen waren op basis van de gelekte gegevens soms ook daadwerkelijk te identificeren. Ook waren sommige mensen te herkennen aan een studentennummer dat als e-mailadres dient. Wachtwoorden waren leesbaar opgeslagen.

Het lek ontstond omdat in de website een zeer basale fout met de database was gemaakt. Hierdoor vielen gegevens geautomatiseerd op te halen. Dat werd overigens wel snel ontdekt, omdat vrijwel direct het lek werd gedicht. Na confrontatie van de GGZ Drenthe werd duidelijk dat de organisatie nog niet van het probleem op de hoogte was.

“Het gaat om persoonlijke gegevens, die de bezoeker van de website invult. Hierbij valt te denken aan inschrijvingen voor een nieuwsbrief, evenement of een vraag op het forum”, erkent een zegsvrouw tegenover NU.nl. “We betreuren de gang van zaken en doen er alles aan dit in de toekomst te voorkomen.”

Alert

De organisatie heeft alert gereageerd door meteen na melding door NU.nl het forum niet langer toegankelijk te maken. “Alle onderdelen van de website van GGZ Drenthe, waarbij privacygevoelige gegevens opgeslagen worden, zijn afgesloten”, aldus de voorlichter. “De externe webbouwer voert een securityscan uit en brengt de beveiliging op orde.”

Helemaal plat ligt het forum niet. Mensen kunnen wel inloggen op het forum, maar worden na het aanklikken van opties op de website doorgeleid naar de centrale pagina van GGZ Drenthe. Daar staat een boodschap om mensen te waarschuwen. De hacker heeft inmiddels de gegevens vernietigd.

Bijzonder

Estelle noemt het bijzonder dat de aanval wel is gedecteerd, maar dat toch een website is neergezet met basale fouten. “Dan is het mogelijk om in een half uur een gigantische hoeveelheid aan gevoelige data binnen te halen”, verzucht ze. “Het feit dat deze onversleuteld opgeslagen is valt op geen enkele wijze goed te praten.”

Ze is wel tevreden over het snelle handelen van de GGZ-organisatie, maar benadrukt dat dit ernstig is omdat het een kwetsbare groep mensen betreft. Daarom moet het volgens haar beter. “Waar ik echt van door draai is dat personeelsleden wachtwoorden als ‘123456’ en ‘abcde12345’ gebruiken.”