toggle menu

Bedrijf Testcoronanu afgesloten van CoronaCheck-app na datalek en valse testbewijzen

Bedrijf Testcoronanu afgesloten van CoronaCheck-app na datalek en valse testbewijzen

Het bedrijf Testcoronanu – dat coronatesten uitvoert – is met onmiddellijke ingang afgesloten van het systeem met de app CoronaCheck vanwege een lek in de database van het bedrijf. Dat bevestigt het ministerie van Volksgezondheid na berichtgeving van RTL Nieuws. De Autoriteit Persoonsgegevens (AP) heeft het bedrijf zaterdag laten weten dat het meteen moet stoppen met testen. Op de website van het bedrijf was het mogelijk om zelf valse reis- en toegangsbewijzen aan te maken. Deze konden vervolgens worden gebruikt om een geldige QR-code uit de CoronaCheck-app van de overheid te verkrijgen.

Ook lekten de persoonsgegevens van tienduizenden mensen die bij het bedrijf een test deden, ontdekte RTL Nieuws. Het bedrijf heeft tien locaties in Nederland en drie in België.

Het bedrijf is uitgesloten van het systeem van de overheid nadat het lek aan het licht was gekomen, zegt een woordvoerder van Volksgezondheid. Het ministerie heeft geen signalen dat anderen dan RTL van het lek gebruik hebben gemaakt, maar stelt tegelijkertijd dat dat 'iets is waar de testaanbieder inzicht in heeft'.

Lek werd in testfase niet ontdekt: 'Op papier was alles in orde'

Op papier was alles in orde bij het bedrijf, aldus de woordvoerder. Om toegelaten te worden tot het testsysteem van de overheid moet een bedrijf aan strenge eisen voldoen en bewijzen overleggen om aan te tonen dat het aan deze eisen voldoet. Zo moet een bedrijf onder meer een zogenoemde pen(etratie)test doorstaan, waarbij een computersysteem op kwetsbaarheden wordt gecontroleerd.

'Op papier' voldeed Testcoronanu dus aan alle eisen. 'Uit een goede pentest had deze kwetsbaarheid moeten blijken. We gaan onderzoek doen naar hoe deze kwetsbaarheid niettemin heeft kunnen bestaan bij de aanbieder. Indien nodig zullen de aansluiteisen van CoronaCheck worden aangescherpt', aldus het ministerie.

Bij andere aanbieders die voor de overheid testbewijzen verzorgen is gecheckt of er een soortgelijke kwetsbaarheid in het systeem zit. Dat is volgens de woordvoerder niet het geval.

Autoriteit Persoonsgegevens: 'Zeer ernstig datalek'

De Autoriteit Persoonsgegevens heeft contact gehad met het bedrijf en met het ministerie, zegt een woordvoerster. Het bedrijf mag pas weer opstarten als dat gegarandeerd veilig en betrouwbaar kan. De privacywaakhond spreekt van een 'zeer ernstig' datalek. De AP wil ook van de overheid opheldering.

Mensen die zich laten testen, moeten er bovendien op kunnen vertrouwen dat hun gegevens 'veilig en met de grootste zorg' worden opgeslagen, stelt de privacywaakhond. 'Dat vertrouwen is essentieel. Als dit wordt ondermijnd, raakt dat het hele vaccinatieprogramma en de betrouwbaarheid van de CoronaCheck-app.'

Ook stelt de AP: 'Het gaat hier om medische gegevens. Deze gegevens zijn niet alleen zeer gevoelig, maar kunnen ook worden misbruikt door criminelen. Juist deze gegevens zijn daarom zeer in trek bij criminelen. Ze gebruiken het bijvoorbeeld om je te hacken, op te lichten, te chanteren of om identiteitsfraude mee te plegen.'

De waakhond vindt daarnaast dat mensen erop moeten kunnen rekenen dat de overheid het goed en veilig regelt. 'En dat zij dus goed onderzoek doet naar betrouwbaarheid van partijen waarmee samengewerkt gaat worden. En dat de overheid daarbij van tevoren zorgt voor voldoende waarborgen van dit soort organisaties om er zeker van te zijn dat deelnemende partijen veilig en betrouwbaar testen uit gaan voeren.'

Testcoronanu sluit locaties, is niet bereikbaar voor een inhoudelijke verklaring

Het bedrijf Testcoronanu was ook aangesloten bij Testenvoorjereis.nl, de website van de overheid waarop Nederlandse vakantiegangers naar het buitenland een afspraak kunnen maken voor een gratis coronatest.

Testcoronanu laat zelf op zijn website weten alle locaties te hebben gesloten, maar geeft verder geen inhoudelijke verklaring voor de stap. Het bedrijf spreekt alleen van 'onvoorziene omstandigheden'. De telefoonlijnen zijn gesloten. Het was zondagochtend niet bereikbaar voor een reactie. Het bedrijf adviseert mensen een andere testaanbieder te zoeken.

Klanten die vandaag een testafspraak hadden met het bedrijf, zijn per e-mail geïnformeerd. Daarbij heeft het bedrijf het gepresteerd om alle mailadressen in de CC te zetten, waardoor deze voor alle ontvangers zichtbaar waren, voegt RTL Nieuws eraan toe.

Bron: ANP / RTL Nieuws

Ook interessant