nieuws

Datalek bij testbedrijf maakte valse testuitslagen mogelijk, gegevens van duizenden mensen op straat

Door een datalek bij een bedrijf voor vakantietesten kon relatief eenvoudig een valse negatieve coronatest worden gemaakt. Dat blijkt uit onderzoek van RTL Nieuws. Ook lekten hierdoor de gegevens van de ongeveer 60 duizend mensen die bij het testbedrijf een test lieten afnemen.

Het ministerie van Volksgezondheid wees in juni bedrijven aan voor gratis vakantietesten, waaronder Testcoronanu. Beeld ANP
Het ministerie van Volksgezondheid wees in juni bedrijven aan voor gratis vakantietesten, waaronder Testcoronanu.Beeld ANP

Als gevolg van het datalek was het voor iedereen mogelijk toegang te krijgen tot de database van het bedrijf. Met het invoeren van de juiste codes kon vervolgens vrij makkelijk een negatief testresultaat in de CoronaCheck-app worden verkregen, zo schrijft RTL Nieuws. Dit zonder daadwerkelijk een test te hebben gedaan.

Het betreft Testcoronanu, een bedrijf dat PCR-swabtesten of antigeentesten afnam die waren bedoeld voor vakanties. De Autoriteit Persoonsgegevens heeft het bedrijf gesommeerd te stoppen met zijn werkzaamheden, bevestigt de autoriteit aan de Volkskrant.

Testcoronanu was zondag nog niet bereikbaar voor commentaar, maar laat op zijn website weten per direct alle tien de testlocaties in Nederland en drie in België ‘vanwege onvoorziene omstandigheden’ te hebben gesloten.

Het datalek maakte niet alleen gesjoemel met testbewijzen voor reizen mogelijk, ook kwamen de privégegevens van dik 60 duizend gebruikers op straat te liggen. Het gaat om volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers en paspoortnummers. Voor cybercriminelen is dit zeer bruikbare informatie.

Instagram

Testcoronanu is in elk geval al sinds november actief met het aanbieden van testen voor vakanties en andere reizen. Op Instagram promoot het bedrijf zijn testen aan de hand van filmpjes van BN’ers zoals Najib Amhali, Défano Holwijn en Josylvio, bij wie een test wordt afgenomen.

Minister Hugo De Jonge besliste in juni na lang aarzelen dat het testen voor vakanties in juli en augustus gratis werd voor Nederlanders. Het ministerie van Volksgezondheid wees bedrijven aan voor deze gratis testen, waaronder Testcoronanu. Het bedrijf werkte sinds 10 juli samen met de overheid en ontving zodoende belastinggeld om de gratis tests mogelijk te maken.

De Autoriteit Persoonsgegevens vindt het datalek ‘heel ernstig’, laat een woordvoerder weten. Het is volgens de autoriteit belangrijk dat het ministerie van te voren controleert of een testaanbieder zijn zaken goed op orde heeft. Ze heeft het ministerie van Volksgezondheid om opheldering gevraagd over de gang van zaken rondom het aanwijzen van de testaanbieders.

Kamerbrief

In een brief aan de Tweede Kamer zondag bevestigt Minister De Jonge dat er bij Testcoronanu inderdaad ‘een ernstige tekortkoming in de informatiebeveiliging aanwezig was’. Het ministerie onderzoekt hoe Testcoronanu ondanks het gat in de database is aangewezen als partner.

De Jonge wil benadrukken dat andere testbedrijven die samenwerken met de overheid een dergelijk datalek niet kennen. Hij beweert dat de veiligheid en betrouwbaarheid van de CoronaCheck-app niet in het geding is gekomen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden