VVD stelt vragen over informatiebeveiliging Testcoronanu

Geopend hangslot met drie sleutels ligt op een printplaat

Queeny Rajkowski en Aukje de Vries (beiden VVD) hebben vragen over ‘de ernstige tekortkoming in de informatiebeveiliging’ bij Testcoronanu. Ze willen onder meer weten hoeveel mensen de dupe zijn geworden van het datalek en wat het kabinet gaat doen om te voorkomen dat mensen het slachtoffer worden van phishing of identiteitsfraude. Ook vragen ze zich af hoe bewijsstukken van testaanbieders worden gecontroleerd en beoordeeld.

Dat blijkt uit schriftelijke vragen van Rajkowski en De Vries aan demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge, minister van Infrastructuur en Waterstaat Cora van Nieuwenhuizen-Wijbenga en staatssecretaris van Justitie en Veiligheid Ankie Broekers-Knol.

Testcoronanu veroorzaakte meerdere datalekken

Testcoronanu is een van de deelnemers aan Testenvoorjereis.nl, een overheidsinitiatief waarmee de regering Nederlandse vakantiegangers probeert te helpen aan een negatief testbewijs te komen voordat ze naar het buitenland op vakantie gaan. Testaanbieders die hieraan willen deelnemen, moeten hun informatiebeveiliging op orde hebben. Om daarvoor te zorgen heeft het kabinet strenge aansluiteisen geformuleerd. Zo moeten ze een Data Protection Impact Assessment (DPIA) en pentestrapportage aanleveren.

Dat bovenstaande onderzoeken niet alle kwetsbaarheden, privacy- en veiligheidsrisico’s uitsluiten, bleek afgelopen weekend. Toen werd pijnlijk duidelijk dat het autorisatiebeleid niet op orde was. Uit onderzoek van RTL Nieuws bleek dat iedereen met een internetverbinding toegang had tot het databasesysteem van Testcoronanu. Hierdoor was het mogelijk om de testuitslag van een PCR-test aan te passen. Niet alleen die van jezelf, maar ook die van anderen.

Daarnaast waren de privé- en persoonsgegevens van ruim 60.000 Nederlanders voor iedereen in te zien. Namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (BSN), paspoortnummers en medische gegevens lagen voor het oprapen voor hackers en cybercriminelen. Dit soort data gebruiken zij voor spamming, phishing en om identiteitsfraude te plegen.

Tot overmaat van ramp veroorzaakte een medewerker van het bedrijf een tweede datalek toen hij een e-mail wilde sturen aan alle betrokkenen. In plaats van de e-mailadressen in de bcc-regel te plaatsen, kopieerde hij ze naar de cc-regel. De ontvangers konden hierdoor de e-mailadressen van iedereen bekijken. Volgens de Autoriteit Persoonsgegevens is dit een datalek, eentje waarvoor de toezichthouder in het recente verleden een boete voor heeft opgelegd.

VVD zit met veel onbeantwoorde vragen

Queeny Rajkowski en Aukje de Vries zitten met allerlei vragen over het incident. Ze willen van De Jonge, Van Nieuwenhuizen-Wijbenga en Broekers-Knol weten hoeveel mensen de dupe zijn geworden van het datalek, en welke gevolgen dit heeft voor hun vakantieplannen. De VVD-Kamerleden vragen zich af of onterecht verkregen testuitslagen alsnog worden ingetrokken en hoe het kabinet over het datalek communiceert met de betrokkenen. De bewindslieden moeten tevens antwoord geven op de vraag hoe het kabinet erop toeziet dat de testaanbieder gaat onderzoeken wie zich toegang hebben verschaft tot de database.

“Zijn er indicaties dat persoonsgegevens door criminelen zijn buitgemaakt?”, vragen de politici zich af. Als dat het geval is, wat gaat het kabinet dan doen om te voorkomen dat zij het slachtoffer worden van phishing of identiteitsfraude? Rajkowski en De Vries zeggen dat de Begeleidingscommissie Digitale Ondersteuning Bestrijding COVID-19 in februari en april adviezen heeft uitgebracht over privacybescherming en een toelatingskader voor apps met vaccinatie en testbewijzen. Ze willen weten wat er met deze aanbevelingen is gedaan.

De VVD’ers vragen aan de ministers en staatssecretaris hoe actieve en periodieke monitoring bijdraagt aan de veiligheidswaarborgen bij testaanbieders. Tevens zijn ze geïnteresseerd in de eisen die aan een pentest worden gesteld en hoe het kabinet erop toeziet dat de uitkomsten daarvan worden nageleefd door testaanbieders. “Welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?”, zo vragen de Kamerleden aan de bewindslieden.

VVD wil dat kabinet extra controleert

Rajkowski en De Vries willen weten of Testcoronanu externe mensen heeft ingehuurd bij het maken van hun digitale product. Als dat het geval is, zijn deze mensen eveneens betrokken bij ‘andere digitale overheidsoplossingen’? De Kamerleden maken er geen geheim van dat ze in dat geval willen dat andere overheidsoplossingen gecontroleerd worden op privacy, veiligheid en betrouwbaarheid.

Over controle gesproken: de VVD’ers vragen zich af hoe bewijsstukken gecontroleerd en beoordeeld worden door het kabinet voordat testaanbieders aangesloten worden op het systeem van de CoronaCheck-app. Tot slot informeren de politici of Testcoronanu een tweede datalek heeft veroorzaakt door e-mailadressen niet in de bcc-regel, maar in de cc-regel te plaatsen.

VVD: ‘Maak onderzoeksresultaten naar pentest openbaar’

Deze week kondigden minister De Jonge en Van Nieuwenhuizen-Wijbenga aan dat ze de pentest van de testaanbieder gaan onderzoeken. “Wij starten een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken en in het bijzonder naar de aangeleverde pentest. Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken”, zo schreven de bewindslieden aan de Tweede Kamer. Ze beloofden dat de aansluiteisen aan te scherpen als het onderzoek daartoe aanleiding geeft.

Rajkowski en De Vries wensen dat de ministers de resultaten van het onderzoek met de Tweede Kamer delen. Ze vragen of het kabinet daartoe bereid is en wanneer de Kamer deze kan verwachten.

JA21 eveneens bezorgd over lek bij testaanbieder

Nicki Pouw-Verweij (JA21) stelde eerder deze week ook schriftelijke vragen aan minister De Jonge over het lek bij Testcoronanu. Zij vroeg aan de minister hoeveel valse toegangsbewijzen door het lek zijn verkregen. Tevens was ze kritisch over de geloofwaardigheid van de CoronaCheck-app in het buitenland door het incident. Ze vroeg aan De Jonge of andere landen de uitkomsten van deze applicatie nog accepteren na alle gebeurtenissen.

Net als de VVD was Pouw-Verweij bezorgd dat veel Nederlandse vakantiegangers de dupe zouden worden van het lek bij de testaanbieder. Het kabinet moet er in haar ogen alles aan doen om dit te voorkomen. Haar laatste vraag ging over een uitspraak van minister De Jonge. Hij zei dat er ‘geen signalen’ zijn dat anderen toegang hebben gehad tot de persoonsgegevens in de database, met uitzondering van RTL Nieuws. Het JA21-Kamerlid vroeg zich af of deze ‘signalen’ gebaseerd zijn op een deugdelijke onderbouwing, of dat zijn ministerie hiermee probeerde de gemoederen tot bedaren te brengen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen