VREG gooit privégegevens van klanten te grabbel na programmeerfout
Eigenaars van zonnepanelen die dinsdagavond tussen 18 en 22 uur hun meterstand wilden controleren op de website van de Vlaamse Regulator van de Elektriciteits- en Gasmarkt (VREG) kregen persoonlijke gegevens van andere gebruikers te zien. Ze konden zelfs adressen, rekeningnummers en meterstanden aanpassen. Volgens de VREG ging het om een programmeerfout bij de installatie van nieuwe software en niet om kwaad opzet. De website was pas gisterenavond laat terug online.
Bezitters van zonnepanelen kunnen 24 uur op 24 hun meterstand doorgeven via de website https://certificatenbeheer.vreg.be. Ze kunnen er ook nagaan hoe lang het nog duurt voor ze een nieuw groenestroomcertificaat ontvangen. Dat wou ook Wim Hanssen uit Schilde doen. Hij was één van de 523 van de 200.000 Vlaamse eigenaars van zonnepanelen die dinsdagavond tussen 18 en 22 uur even de status van hun zonnepanelen wilden controleren. “Ik stond perplex”, vertelt hij. “Bij het indrukken van de toets ‘Gegevens’ kwamen er allerlei zaken tevoorschijn die niet voor mijn ogen bestemd waren. Zo kreeg ik van verschillende eigenaars alle persoonlijke gegevens te zien, mensen die ik van haar noch pluimen ken.Toen ik naar mijn ouders belde, die ook over zonnepanelen beschikken, en zij naar de bewuste site surften, kregen ook zij allerlei informatie te zien die niet van hen was. Zelfs terwijl ik met hen aan het bellen was, verschenen de gegevens van mijn ouders op het scherm en zag ik hoeveel groenestroomcertificaten zij al verdiend hebben en voor hoeveel euro ze verkocht zijn. Ook hun rekening mét IBAN-nummer stond erbij. En vooral: ik kon alles wijzigen. Je kreeg zelfs de mogelijkheid om een nieuwe meterstand door te geven, om adressen en rekeningnummers aan te passen. Wat als hier iemand misbruik van maakt? Stel je voor dat je certificaten op een ander rekeningnummer zijn uitbetaald.”
Maar dat leek al bij al nog mee te vallen. Van kwaad opzet – hacking dus – is geen sprake. “De oorzaak van het incident ligt bij een fout in de programmeercode”, zegt Sofie Lauwaert van de VREG. De Vlaamse Regulator voor Gas en Elektriciteit haastte zich woensdag toch om de 200.000 eigenaars van zonnepanelen gerust te stellen en zich te excuseren voor de onrust die door het incident was ontstaan. “Het klopt niet dat wie gisterenavond ingelogd was de gegevens van álle 200.000 gebruikers kon bekijken en aanpassen”, vervolgt de woordvoerster. “Enkel wie ingelogd was, kon de gegevens bekijken van wie ook ingelogd was. En dat waren 523 eigenaars van zonnepanelen en zeven eigenaars van tuinbouw-WKK’s (warmtekrachtkoppelingsinstallaties). Gegevens van wie dus niet was ingelogd, konden ook niet door anderen worden gezien. In totaal werden tussen 18 en 22 uur door de gebruikers 21 nieuwe meterstanden ingegeven, maar werden geen gegevens van installaties gewijzigd noch transacties van certificaten uitgevoerd. De 21 meterstanden werden geannuleerd. Aan de betrokken mensen zal worden gevraagd om hun standen opnieuw in te geven zodra de website opnieuw online staat.”
‘Ernstige fout’
De ICT-problemen van de VREG werden ook besproken in het Vlaams Parlement waar minister van Energie Freya Van den Bossche op het matje werd geroepen door Open Vld-parlementslid Mercedes Van Volcem. Volgens Van den Bossche duurde de panne slechts 15 minuten, terwijl de VREG het wel degelijk had over vier uren. De minister had het over een “ernstige fout” die zal worden verhaald op de firma die onder contract ligt bij de VREG, indien er schadegevallen zouden worden gemeld. Die ‘ernstige fout’ kon overigens niet meteen hersteld worden, want pas na meer dan 24 uur na het voorval was de website met de certificatenbank van de VREG opnieuw beschikbaar. “Misschien had het probleem veel ernstiger kunnen zijn in volle zomer”, zegt Dirk Van Der Plas uit De Klinge, en bezitter van 14 zonnepanelen. “Op grijze winterse dagen produceren zonnepanelen immers weinig elektriciteit en ben je als eigenaar veel minder geneigd om naar de certificatenbank te surfen.”
Bron: Het Laatste Nieuws, 13 december 2012