Beheer

Privacy
Datalek

'Persoonsgegevens Nederlanders slecht beveiligd door testbedrijf'

Database bevatte geen tweestapsverificatie. 

© CC BY 2.0 - Flickr Blue Coat Photos
22 januari 2021

Database bevatte geen tweestapsverificatie. 

De persoonsgegevens van tienduizenden Nederlanders die zich via het commerciële testbedrijf U-Diagnostics hebben laten testen op corona, zijn ingezien door Nieuwsuur. Het journalistieke programma stelt dat de informatie slecht beveiligd was: persoonsgegevens werden via WhatsApp gedeeld, evenals inloggegevens voor een database.

U-Diagnostics test naar eigen zeggen duizenden mensen per dg op corona via de posten onder de merknaam Health Check Centre. Nieuwsuur ontdekte dat het bedrijf een WhatsApp-groep heeft die functioneert als helpdesk, waarin gegevens over deze mensen werden gedeeld. In de groep zitten ongeveer 300 medewerkers die testen afnemen. Zij stellen via WhatsApp praktische vragen aan collega's. Daarbij worden ook persoonlijke en medische gegevens van patiënten uitgewisseld, net als foto's van paspoorten, rekeningafschriften en testuitslagen. Alle 300 leden kunnen die informatie zien. 

Slecht beveiligde database

De appgroep wordt ook gebruikt om wachtwoorden op te vragen om in het systeem te komen. Omdat er geen extra beveiliging wordt gehanteerd, zoals een tweestapsverificatie of een persoonlijke sms-code, kon Nieuwsuur ook in de database van U-Diagnostics komen met daarin de gegevens van tienduizenden op corona geteste personen. Het gaat onder meer om werknemers van voedingsmiddelenconcern Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen.

Ook het ministerie van Defensie liet militairen die uitgezonden worden testen bij U-Diagnostics. Volgens Nieuwsuur zijn persoonlijke gegevens van militairen, inclusief BSN- en paspoortnummers allemaal in de database te vinden. "Ook kan in het systeem worden opgezocht waar de militairen een coronatest deden en waar ze vervolgens naartoe vertrokken", aldus het programma. 

Defensie laat tegenover Nieuwsuur weten dat het contact heeft opgenomen met U-Diagnostics en samen met het bedrijf beoordelen wat er is gebeurd, hoe dat heeft kunnen gebeuren en hoe het hersteld kan worden. Ook heeft Defensie een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens en is het testen via U-Diagnostics per direct opgeschort. 

Directeur Maarten Cuppen van U-Diagnostics zegt dat de beveiliging beter had gekund en laat weten maatregelen te hebben genomen.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Mark van der Horst 22 januari 2021 14:44

Het toevoegen van meerstapsverificatie maakt deze database nog niet zomaar 'goed beveiligd'. Kennelijk is er nu één (onpersoonlijk) account met toegang tot alle gegevens. In een goed beveiligd systeem heb je een persoonlijk account met alleen toegang tot jouw data.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.