Geen aanwijzingen dat anderen toegang hadden tot database Testcoronanu

Man doorzoekt met zijn vinger mappen in een archiefkast

Er zijn geen signalen dat, met uitzondering van RTL-journalist Daniël Verlaan, anderen zichzelf toegang hebben verschaft tot de database van Testcoronanu. Een extern onderzoeksbureau kijkt of dit daadwerkelijk het geval is. De onderzoeksresultaten worden met de Tweede Kamer gedeeld zodra deze beschikbaar zijn.

Dat schrijft demissionair minister van Volksgezondheid, Welzijn en Sport (VWS) Hugo de Jonge in een brief aan de Tweede Kamer.

Twee datalekken in 24 uur tijd

Testcoronanu is een van de deelnemers aan Testenvoorjereis.nl, een overheidsinitiatief waarmee de regering Nederlandse vakantiegangers probeert te helpen aan een negatief testbewijs te komen voordat ze naar het buitenland op vakantie gaan. Half juli werd het bedrijf ernstig in de verlegenheid gebracht. Techjournalist Daniël Verlaan ontdekte dat iedereen met een internetverbinding de database van het testbedrijf kon raadplegen. Hierdoor was het mogelijk om de testuitslag van een PCR-test te veranderen, bijvoorbeeld van positief naar negatief.

Daarnaast waren de privé- en persoonsgegevens van ruim 60.000 Nederlanders zichtbaar voor iedereen. Namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (BSN), paspoortnummers en medische gegevens lagen voor het oprapen voor hackers en cybercriminelen. Dit soort data gebruiken zij voor spamming, phishing en om identiteitsfraude te plegen.

Door een menselijke fout veroorzaakte Testcoronanu binnen 24 uur tijd een tweede datalek. Het bedrijf stond op het punt om alle gedupeerden een e-mail te sturen. Een medewerker kopieerde daarbij per ongeluk alle e-mailadressen naar het cc-veld in plaats van de bcc-regel. Zodoende waren de e-mailadressen zichtbaar voor alle ontvangers.

Minister wacht op uitkomsten extern onderzoeksbureau

Voor Queeny Rajkowski en Aukje de Vries (beiden VVD) was het incident aanleiding om schriftelijke vragen te stellen aan minister De Jonge. Ze vroegen onder meer aan de minister hoeveel mensen de dupe waren geworden van het datalek en of de persoonsgegevens van hen door meerdere mensen was ingezien. De bewindspersoon schrijft dat op het moment van het voorval 17.638 mensen nog een testafspraak hadden staan. Zij moesten een nieuwe afspraak maken bij een andere testaanbieder. Mensen die reeds getest waren kregen een brief met daarin hun testuitslag. QR-codes die waren uitgegeven bleven geldig.

Minister De Jonge zegt dat hij geen signalen heeft ontvangen dat anderen, behalve de techjournalist van RTL Nieuws, toegang hebben verschaft tot de database. Hij benadrukt dat niet de overheid, maar Testcoronanu verantwoordelijk is voor de veiligheid van hun systemen en persoonsgegevens. “De testaanbieder heeft aangegeven een extern onderzoeksbureau te hebben ingeschakeld om dit incident nader te onderzoeken. Ik heb van de testaanbieder begrepen dat hierbij ook wordt nagegaan of anderen, naast de RTL-journalist, zich toegang hebben verschaft tot de betreffende database”, aldus de minister.

‘Testaanbieders voeren eigen beveiligingsonderzoeken uit’

De minister van Volksgezondheid herhaalt dat testaanbieders die aangesloten willen worden op CoronaCheck aan strenge aansluitvoorwaarden dienen te voldoen. Naast een Data Protection Impact Assessment (DPIA) moeten ze tevens een pentestrapportage aanleveren. Het ministerie van VWS monitort of de aangesloten testaanbieders de aansluitvoorwaarden naleven. Tevens controleert medewerkers van het departement of er kwetsbaarheden zijn die opgelost dienen te worden. “Bevindingen uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen”, zo schrijft minister De Jonge. In het ergste geval kan de minister besluiten om over te gaan op afsluiting.

Als een testaanbieder ‘substantiële wijzigingen’ aanbrengt aan de broncode van de software, moet hij een nieuwe pentestrapportage aanleveren. Doet hij dit niet, dan wordt hij niet aangesloten op CoronaCheck. Minister De Jonge zegt dat Testcoronanu geen gebruik heeft gemaakt van ‘externe mensen of partijen’ bij de ontwikkeling van hun software.

Tot slot schrijft de minister dat zijn ministerie een onderzoek is gestart naar de juistheid van de aangeleverde bewijsstukken van Testcoronanu. Als de uitkomsten aanknopingspunten bieden om de aansluitvoorwaarden aan te passen, belooft hij de Tweede Kamer daarvan op de hoogte te brengen. De Jonge kan niet toezeggen dat hij dit ook doet met de DPIA en pentestrapportage van de testaanbieder. “Conform de aansluitvoorwaarden zijn zij zelf verwerkingsverantwoordelijke in het kader van de AVG en voeren eigenstandig een DPIA en beveiligingsonderzoeken uit”, schrijft de minister.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen