Persoonlijke gegevens en medische informatie van tienduizenden Nederlanders die op corona zijn getest, zijn slecht beveiligd. Het bedrijf in kwestie beschermde de database bijvoorbeeld niet met tweestapsverificatie. Ook werden er privacygevoelige gegevens gedeeld in een WhatsApp-groep die uit ongeveer driehonderd leden bestond. Het ministerie van Defensie, één van de klanten van het coronatestbedrijf, heeft de samenwerking per direct opgeschort en melding gedaan bij de Autoriteit Persoonsgegevens.Dat blijkt uit onderzoek van Nieuwsuur.
De gegevens zijn afkomstig van U-Diagnostics, een commercieel bedrijf dat door het hele land mensen test op corona. Naar eigen zeggen ontvangt het bedrijf dagelijks duizenden mensen die langskomen voor een coronatest. In zijn portfolio heeft het bedrijf bekende namen als luchtvaartmaatschappijen TUI en Corendon, voedingsmiddelenconcern Ahold, voetbalclubs FC Utrecht en FC Volendam, huisartsenpraktijken en zorginstellingen. Ook het ministerie van Defensie is klant bij U-Diagnostics. Soldaten die uitgezonden moeten zich melden bij het bedrijf om zich te laten testen.
U-Diagnostics verwerkt persoonlijke gegevens en medische informatie, waaronder voor- en achternaam, contactgegevens, BSN-nummer, paspoortnummer, reisbestemming, testuitslagen en medische voorgeschiedenis. Het gaat om data waarvan de Algemene Verordening Gegevensbescherming (AVG) van de gegevensverwerker eist dat ze deze goed beveiligt. Verder mogen alleen geautoriseerde personen -zoals een behandelend arts of medisch personeel dat anderszins bij de behandeling van een patiënt betrokken is- deze informatie inzien. Dergelijke gegevens delen met anderen is streng verboden, zo dicteert Europese privacywetgeving.
Het is echter niet goed gesteld met de beveiliging van de database die de persoonlijke en medische gegevens van tienduizenden, op corona geteste Nederlanders bevat. Nieuwsuur slaagde erin om toegang te krijgen tot de database van U-Diagnostics. Ook had het actualiteiten- en opinieprogramma toegang tot een WhatsApp-groep van het bedrijf. Daarin zaten zo’n driehonderd medewerkers die door het hele land coronatests afnemen.
We beginnen met de WhatsApp-groep. Volgens Nieuwsuur fungeerde de chatapplicatie van Facebook als helpdesk. Medewerkers met praktische vragen over het werk, konden hier terecht. Via de groep werden persoonlijke en medische gegevens van patiënten uitgewisseld. Ook foto’s van paspoorten waarop alle gegevens zichtbaar waren, rekeningafschriften, afgenomen tests en testuitslagen passeerden de revue. En deze gegevens waren voor iedereen zichtbaar.
Ook bleek dat de database niet goed beveiligd was. Om in te loggen was een gebruikersnaam (e-mailadres) met wachtwoord nodig. Via de WhatsApp-groep wist Nieuwsuur kinderlijk eenvoudig de inloggegevens van het systeem te bemachtigen. U-Diagnostics had geen extra beveiligingslaag aangebracht, zoals tweestapsverificatie. Naast een gebruikersnaam en wachtwoord heb je tevens een speciale beveiligingscode nodig. Deze wordt veelal via e-mail of sms doorgestuurd. Was dat wel het geval geweest, dan had Nieuwsuur de inhoud van de database nooit kunnen inzien.
Tussen alle gegevens vond het actualiteitenprogramma veel data over soldaten. Naast persoons- en medische gegevens vond Nieuwsuur ook informatie over waar militairen een coronatest hadden laten afnemen, de eenheid waarin ze actief zijn en naar welk land ze worden uitgezonden. Interessante gegevens voor buitenlandse inlichtingendiensten, zo vertelt militair-historicus Christ Klep. “Heel behulpzaam voor wie zich een beeld wil vormen van onze eenheden en de manschappen daarin. Ik zou wel durven zeggen dat met deze informatie de helft van de puzzel al gelegd is.”
Experts spreken van een ernstig datalek. Volgens hen is er geen twijfel dat de AVG is overtreden. Maarten Cuppen, directeur van U-Diagnostics, is van mening dat de privacywetgeving niet is overtreden. Uit uitwisselen van persoons- en medische gegevens via een WhatsApp-groep is in zijn ogen toegestaan “omdat er alleen werknemers in zitten”.
In een reactie zegt Cuppen dat zijn bedrijf correct is omgesprongen met de persoonlijke informatie van militairen. Wel erkent hij dat de beveiliging van de database beter had gekund. Nadat Nieuwsuur het lek bij hem had gemeld, heeft hij de beveiliging van de database direct opgeschroefd. Buitenstaanders kunnen niet langer bij de gegevens, zo belooft hij.
Klanten van U-Diagnostics hoeven zich volgens Cuppen geen zorgen te maken over hun gegevens. “Mensen zijn veilig behandeld en de tests zijn adequaat verwerkt en de uitslagen deugen. We hebben conform de AVG-wet en -regelgeving ons platform ingericht.” De directeur stelt een onderzoek in hoe dit heeft kunnen gebeuren. Alle gedupeerden zijn inmiddels op de hoogte gebracht. Ook de Autoriteit Persoonsgegevens is inmiddels op de hoogte gebracht.
Het ministerie van Defensie spreekt van een ‘kwalijke zaak’. Het departement heeft contact opgenomen met U-Diagnostics om verhaal te halen. Ook zijn defensie-experts op het gebied van informatiebeveiliging naar het bedrijf gestuurd om te kijken hoe dit heeft kunnen gebeuren en hoe het lek kan worden gedicht.
Voorlopig worden er geen soldaten meer getest door het bedrijf: het ministerie schort per direct de samenwerking op. Ook heeft het departement een voorlopige melding gedaan bij de toezichthouder. Militairen worden op de hoogte gebracht van het datalek.
