Tweede Kamer bezorgd over lek bij Testcoronanu

Close-up van vak-K in de Tweede Kamer

De Tweede Kamer maakt zich zorgen over het lek bij Testcoronanu. Volksvertegenwoordigers willen weten hoeveel valse toegangsbewijzen er via het lek zijn aangemaakt. Verder zetten ze vraagtekens bij de werkwijze van het kabinet, dat pas achteraf ingreep, en moet de minister antwoord geven op de vraag hoe klanten niet de dupe worden van het lek.

Dat blijkt uit schriftelijke vragen van Nicki Pouw-Verweij (JA21) aan demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge.

Coronatestbedrijf veroorzaakt twee datalekken in 24 uur tijd

Afgelopen weekend kwam Testcoronanu, een partner die is aangesloten bij het overheidsinitiatief Testenvoorjereis.nl, in een kwaad daglicht te staan. RTL Nieuws ontdekte dat iedereen met een internetverbinding toegang had tot het databasesysteem van het bedrijf. Door twee coderegels via de webbrowser uit te voeren, kon iedereen die dat wilde zijn testuitslag aanpassen. Was je positief getest, dan was dat eenvoudig te veranderen in een negatieve testuitslag. De CoronaCheck-app toonde dan een QR-code tegen een groene achtergrondkleur.

Doordat iedereen read en write permissie had voor de database van Testcoronanu, konden kwaadwillenden niet alleen hun eigen uitslag manipuleren, maar ook die van anderen. Ook waren de privé- en persoonsgegevens van ruim 60.000 Nederlanders voor iedereen toegankelijk. Zaken als namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (BSN), paspoortnummers en medische gegevens lagen voor het oprapen voor hackers en cybercriminelen. Dit soort data gebruiken zij voor spamming, phishing en om identiteitsfraude te plegen.

En tot overmaat van ramp maakte een medewerker een gigantische flater toen hij een e-mail wilde sturen aan alle betrokkenen. In plaats van de e-mailadressen in de bcc-regel te plaatsen, kopieerde hij ze naar de cc-regel. De ontvangers konden zodoende de e-mailadressen van iedereen bekijken. Technisch gesproken is dit een tweede datalek, eentje waarvoor de Autoriteit Persoonsgegevens onlangs nog een boete voor heeft opgelegd.

Ondermijning en acceptatie CoronaCheck-app

Voor Nicki Pouw-Verweij van JA21 was het voorval aanleiding om schriftelijk vragen te stellen aan verantwoordelijk minister Hugo de Jonge. Haar eerste vraag aan De Jonge is of hij dit datalek schokkend vindt. Hiervoor refereert het Kamerlid aan een uitspraak van hoogleraar ICT & Recht aan de Radboud Universiteit Nijmegen Frederik Zuiderveen Borgesius. Over het datalek zei hij het volgende: “Veel gevoeliger dan dit wordt het niet. Dit is juist waar medische privacy voor is: dat mensen zich durven te laten testen omdat ze erop moeten kunnen vertrouwen dat hun gegevens veilig zijn. Je merkt dat dit nog niet voldoende leeft bij partijen die sinds kort massaal de testindustrie zijn ingestapt, en daardoor gaat het nu zo mis.”

Een andere prangende vraag die bij Pouw-Verweij speelt, is hoeveel valse toegangsbewijzen door het lek zijn verkregen. Tevens vraagt ze aan minister de minister van Volksgezondheid of hij kan garanderen dat er geen andere lekken optreden of zijn opgetreden. Ze vraagt zich hardop af of door het voorval de geloofwaardigheid van de CoronaCheck-app niet in het geding is. Ze wil tevens weten of andere landen de Nederlandse app nog accepteren door de gebeurtenissen.

Mensen mogen niet de dupe worden van ‘dit falen’

“Waarom grijpt het ministerie pas achteraf in, in plaats van te waarborgen dat alleen met partners in zee wordt gegaan die ervoor in kunnen staan dat geen lekken optreden?”, vraagt het JA21-Kamerlid aan demissionair minister De Jonge. Tevens is ze bezorgd om de mensen die zich door Testcoronanu hebben laten testen. Ze wil weten hoe de minister ervoor zorgt dat zij niet de dupe worden van ‘dit falen’.

Haar laatste vraag gaat over een uitspraak van minister De Jonge. Hij zei dat er ‘geen signalen’ zijn dat anderen, met uitzondering van RTL Nieuws, toegang hebben gehad tot de persoonsgegevens in de database. Pouw-Verweij wil weten of deze ‘signalen’ gebaseerd zijn op een deugdelijke onderbouwing, of dat zijn ministerie hiermee probeert de gemoederen tot bedaren te brengen.

Kabinet laat pentest onderzoeken

In een brief aan de Tweede Kamer beloofden minister De Jonge en Cora van Nieuwenhuizen-Wijbenga (Infrastructuur en Waterstaat) de pentest van Testcoronanu te zullen onderzoeken. Een penetratie- of pentest is een onderzoek waarbij onafhankelijke experts een computersysteem bestuderen op de aanwezigheid van zwakke plekken en beveiligingsrisico’s. Het testbedrijf heeft een pentest aangeleverd aan het ministerie waaruit zou blijken dat de informatiebeveiliging van de systemen op orde was. Zodoende mocht het bedrijf haar kernsysteem aansluiten op het systeem van de CoronaCheck-app.

“Wij starten een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken en in het bijzonder naar de aangeleverde pentest. Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken”, zo schreven de ministers aan de Tweede Kamer. De bewindslieden beloofden dat de aansluiteisen verder worden aangescherpt als het onderzoek daartoe aanleiding geeft.

Update (21 juli 2021): ook Queeny Rajkowski en Aukje de Vries van de VVD schriftelijke vragen gesteld over dit onderwerp. Net als Nicky Pouw-Verweij (JA21) zit de partij met veel onbeantwoorde vragen. De regeringspartij wil van het kabinet weten hoeveel mensen de dupe zijn geworden van het datalek bij Testcoronanu, welke gevolgen dit heeft voor hun vakantieplannen en hoe de overheid communiceert met de betrokkenen.

De VVD-Kamerleden vragen zich verder af of er persoonsgegevens zijn buitgemaakt door hackers of cybercriminelen. Als dat zo is, hoe denkt het kabinet slachtoffers dan te beschermen tegen zaken als phishing en identiteitsfraude. Ze pleiten er tevens voor dat de overheid extra controleert op privacy, veiligheid en betrouwbaarheid bij andere ‘digitale overheidsoplossingen’. Tot slot willen de politici dat het kabinet de onderzoeksresultaten naar de gegevensbeschermingseffectbeoordeling (DPIA) en pentest deelt met de Tweede Kamer.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen