Groot datalek bij coronatestbedrijf

© Pixabay
UTRECHT - Door een groot lek bij een testbedrijf was het voor iedereen mogelijk om valse reis- en toegangsbewijzen in de app CoronaCheck te krijgen. Ook zijn de privégegevens van ruim 60.000 mensen die bij dit bedrijf een coronatest hebben gedaan gelekt, meldt RTL Nieuws. Volgens het bedrijf komt het datalek voort uit een menselijke fouten.
Het lek zit bij Testcoronanu, een testbedrijf met tien locaties in Nederland en drie in België dat is aangesloten bij het initiatief Testenvoorjereis.nl. Het bedrijf wordt daardoor niet alleen door de overheid aangeraden om je te laten testen, maar ook met belastinggeld gesubsidieerd.
Door het lek kon iedereen in de coronadatabase van het testbedrijf neuzen en daar kinderlijk eenvoudig, door twee regels code in je browser in te voeren, je eigen negatieve test toevoegen, aldus RTL Nieuws.

Ook in onze regio fouten gemaakt

Ook in onze regio is het bedrijf actief. Onder meer in Utrecht zit een teststraat, aan de Amsterdamsestraatweg. Mensen die vandaag getest zouden worden, werden vannacht afgemaild. Deze mensen kregen echter niet alleen zelf die mail. Ook de mailadressen van alle andere honderden mensen stonden daar zichtbaar in.
Een man die liever anoniem wil blijven vertelt aan RTV Utrecht: "Dat is volslagen idioot, want ik weet nu ook van al die mensen dat hun huis de komende tijd hoogstwaarschijnlijk leeg staat vanwege vakantie."
Daarnaast vreest hij dat veel van hen hun vakantie uit zullen moeten stellen, omdat ze niet op tijd getest kunnen worden. "Ik kan gelukkig nog snel terecht in Baarn, maar voor wie geen auto heeft is dat niet te doen."
Testcoronanu laat zelf op zijn website weten alle locaties te hebben gesloten, maar geeft verder geen inhoudelijke verklaring voor de stap. Het bedrijf spreekt alleen van "onvoorziene omstandigheden".
De telefoonlijnen zijn gesloten. Het was zondagochtend niet bereikbaar voor een reactie. Het bedrijf adviseert mensen een andere testaanbieder te zoeken.

Paspoortnummers en medische gegevens

Het lek in de database gaf volgens RTL ook toegang tot de privégegevens van ruim 60.000 mensen die bij Testcoronanu een test hebben gedaan. Het gaat om volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn's), paspoortnummers en medische gegevens zoals of je positief of negatief bent getest. Van honderden mensen stond hun positieve coronatest in het systeem.
In een mail aan betrokkenen schrijft Testcoronanu: "Helaas moeten wij u mededelen dat wij melding hebben gedaan van een datalek met betrekking tot persoonsgegevens in onze database. Dit gaat over de gegevens die wij van u hebben ontvangen om onze dienstverlening aan te kunnen bieden. Wij hebben hier direct actie op ondernomen door het boekingssysteem offline te halen en het lek te dichten. Hierop volgend is een intern onderzoek ingesteld."

Reactie ministerie

"Op papier" voldeed Testcoronanu aan alle eisen. "Uit een goede pentest had deze kwetsbaarheid moeten blijken. We gaan onderzoek doen naar hoe deze kwetsbaarheid niettemin heeft kunnen bestaan bij de aanbieder. Indien nodig zullen de aansluiteisen van CoronaCheck worden aangescherpt", aldus het ministerie.