Er wordt bij een persoon een coronatest afgenomen

Persoonsgegevens tienduizenden geteste Nederlanders onvoldoende beveiligd

  • Siebe Sietsma en Machteld Veen

  • Siebe Sietsma en Machteld Veen

Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich op corona lieten testen bij een commercieel bedrijf zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.

Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.

De gegevens zijn van klanten van het testbedrijf U-Diagnostics. Het gaat om bijvoorbeeld toeristen die via TUI of Corendon een vakantie boekten, werknemers van voedingsmiddelenconcern Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook het ministerie van Defensie laat militairen die uitgezonden worden testen bij U-Diagnostics. In een reactie op de berichtgeving van Nieuwsuur, laat het ministerie weten de coronatests voor militairen per direct te hebben opgeschort en een melding te hebben gedaan bij de Autoriteit Persoonsgegevens.

Omvangrijk datalek

Geboortedata, paspoortnummers, BSN-nummers, e-mailadressen, reisbestemmingen en testuitslagen van al deze mensen zijn op eenvoudige wijze in te zien door derden. Er bestaat het risico van oplichting, fraude en chantage als persoonsgegevens in verkeerde handen vallen. Nieuwsuur raadpleegde verschillende deskundigen. Zij spreken van een omvangrijk datalek, omdat het gaat om veel en bovendien gevoelige persoonsgegevens.

U-Diagnostics is voor deze publicatie op de hoogte gesteld van de bevindingen. Zij stellen in een reactie dat ze de privacywetgeving niet overtreden. Het gebruik van een WhatsApp-groep om persoons- en medische gegevens uit te wisselen "is geoorloofd omdat er alleen werknemers in zitten", aldus directeur Maarten Cuppen. De database is desondanks sinds vannacht extra beveiligd en zou nu niet meer eenvoudig toegankelijk zijn voor buitenstaanders.

WhatsApp-groep met 300 medewerkers

U-Diagnostics is een grote commerciële coronatester die door het hele land posten heeft ingericht onder de merknaam Health Check Centre. Naar eigen zeggen test U-Diagnostics duizenden mensen per dag op corona. Nieuwsuur kreeg toegang tot de database van U-Diagnostics en een WhatsApp-groep van het bedrijf met daarin ongeveer 300 medewerkers die op locaties door het hele land testen afnemen.

De WhatsApp-groep functioneert als een helpdesk. Medewerkers die bijvoorbeeld in Groningen of Rotterdam klanten testen, kunnen in de groep praktische vragen stellen. In de appgroep wisselen medewerkers, zichtbaar voor alle leden van de groep, onderling persoonlijke en medische gegevens van patiënten uit. Er komen ook foto's van paspoorten, rekeningafschriften en afgenomen tests en testuitslagen voorbij. Al die persoonsgegevens zijn voor alle leden zichtbaar.

Een foto van een identiteitsbewijs wordt gedeeld in de appgroep

Volgens hoogleraar gezondheidsrecht Jaap Sijmons gaat het om medische informatie, die niet in groepen mag worden gedeeld. "Alleen degene die direct betrokken is bij iemands behandeling, mag toegang hebben tot de informatie van die specifieke patiënt. In dit geval is dat het testen, het mededelen van de testuitslag of het administratief verwerken ervan."

Het delen van de informatie in een WhatsApp-groep met medewerkers uit het hele land, die dus toegang hebben tot patiëntinformatie van testlocaties waar zijzelf niet werken, is niet de bedoeling zegt de hoogleraar. "Dat mag je dus zeker niet op één platform allemaal delen met elkaar."

Persoonlijke gegevens militairen

De WhatsApp-groep wordt door werknemers ook gebruikt om wachtwoorden op te vragen om in het systeem te komen. Deze inloggegevens bestaan uit algemene e-mailadressen en wachtwoorden. De database van U-Diagnostics blijkt toegankelijk zonder extra beveiliging zoals een tweestapsverificatie of een persoonlijke sms-code. In de database treft Nieuwsuur de gegevens van tienduizenden op corona geteste personen.

In die database staat ook het ministerie van Defensie als opdrachtgever voor coronatests vermeld. Persoonlijke gegevens van militairen, inclusief BSN- en paspoortnummers, zijn er allemaal te vinden. Ook kan in het systeem worden opgezocht waar de militairen een coronatest deden en waar ze vervolgens naartoe vertrokken.

Bij zo'n militaire eenheid wil je bij uitstek niet dat hun gegevens op straat komen te liggen.

Militair historicus Christ Klep

"Voor bijvoorbeeld een buitenlandse inlichtingeneenheid zijn al deze gegevens bij elkaar heel interessant", zegt militair historicus Christ Klep. "Heel behulpzaam voor wie zich een beeld wil vormen van onze eenheden en de manschappen daarin. Ik zou wel durven zeggen dat met deze informatie de helft van de puzzel al gelegd is."

In de database vond Nieuwsuur onder meer militairen van de First Combat Group van het Korps Mariniers. "Dat is een eenheid die vaak wordt uitgezonden en in oorlogsgebieden werkt. Daarvan wil je juist bij uitstek niet dat die gegevens op straat komen te liggen", legt Klep uit.

Directeur Maarten Cuppen van U-Diagnostics zegt in een reactie dat het bedrijf correct met de persoonlijke informatie van de militairen is omgesprongen. "Maar ik denk dat het beter beveiligd kon worden. Ik heb inmiddels contact gehad met Defensie en er worden al stappen ondernomen." Volgens Cuppen hoeven klanten van U-Diagnostics zich geen zorgen te maken over hun privé-informatie. "Mensen zijn veilig behandeld en de tests zijn adequaat verwerkt en de uitslagen deugen. We hebben conform de AVG-wet en -regelgeving ons platform ingericht."

Nieuwsuur legde de bevindingen ook voor aan hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. Volgens hem moet er op dit soort databases altijd met een persoonlijke inlog worden gewerkt. "Je kunt iedere medewerker een eigen pasje geven en een login met een persoonlijke code. Of een unieke code die per sms wordt toegestuurd. Als er dan een wachtwoord lekt, kan een kwaadwillende daar alleen nog niet zoveel mee. Dat is hier kennelijk allemaal niet gebeurd en dat is verkeerd."

Deel artikel:

Advertentie via Ster.nl