Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 18 juli 2021
Met deze brief informeren wij uw Kamer over een datalek dat bij Testcoronanu BV heeft
plaatsgevonden.
Op 17 juli zijn wij door RTL Nieuws geïnformeerd over een kwetsbaarheid in de ICT
systemen van de testaanbieder Testcoronanu BV. Deze testaanbieder is sinds 10 juli
aangesloten op CoronaCheck in het kader van Testenvoorjereis. Door deze kwetsbaarheid
was het mogelijk dat onbevoegden testuitslagen konden inzien, aanpassen en toevoegen.
RTL Nieuws heeft de testaanbieder op 17 juli geïnformeerd en de gelegenheid gegeven
om het lek te dichten. De testaanbieder heeft aangegeven van het lek melding te hebben
gemaakt bij de Autoriteit Persoonsgegevens.
Nadat de informatie van RTL Nieuws is ontvangen is een externe partij gevraagd om
verificatie van de kwetsbaarheid. Hieruit bleek dat deze inderdaad bestond en er een
ernstige tekortkoming in de informatiebeveiliging aanwezig was. Derhalve is de toegang
tot CoronaCheck voor deze testaanbieder afgesloten en is de testaanbieder in het afsprakenportaal
op inactief gezet. Dit betekent dat er vanaf dat moment bij deze testaanbieder geen
nieuwe afspraken gemaakt konden worden en uitslagen niet meer konden worden omgezet
in QR-codes. Mensen die de helpdesk van CoronaCheck belden werd aangeraden om bij
een andere testaanbieder een afspraak te maken. Er hebben ons geen signalen bereikt
dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database. De
testaanbieder is verantwoordelijk om hier onderzoek naar te doen. Testcoronanu BV
heeft tien locaties in Amsterdam, Weesp, Nieuwegein, Houten, Zwolle, Alkmaar, Eindhoven,
Tilburg, Velp en Utrecht en voert ruim 3000 testen per dag uit.
De ontstane situatie is in het bijzonder vervelend voor reizigers die op het punt
staan om met vakantie te gaan en daarvoor bij Testcoronanu BV een test hebben gedaan.
Testcoronanu BV is daarom verzocht om mensen die al wel getest waren en op korte termijn
reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken.
Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hebben
staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via
het afsprakenportaal. Reeds uitgegeven QR-codes blijven geldig. De testaanbieder zal
ons informeren hoeveel reizigers in totaal getroffen zijn.
CoronaCheck sluit aan op de bronsystemen van testaanbieders. Het is allereerst aan
elk van de aangesloten partijen om de informatiebeveiliging op orde te hebben. Tegelijkertijd
moeten testaanbieders om aangesloten te worden op CoronaCheck voldoen aan strenge
aansluitvoorwaarden. De testaanbieder moet dat aantonen met bewijsstukken. Hieruit
moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor
informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). Het aan te leveren
bewijs omvat onder andere een DPIA en een pentestrapportage. Laatstgenoemde is een
test waarbij experts het systeem onderzoeken op zwakke plekken en risico’s en deze
wegnemen. Ook Testcoronanu BV heeft deze bewijsstukken voorafgaand aan aansluiting
overlegd. Wij starten een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken
en in het bijzonder naar de aangeleverde pentest. Uit een goede pentest had de gevonden
kwetsbaarheid namelijk moeten blijken. Mocht dit onderzoek hiertoe aanleiding geven
dan zullen de aansluiteisen op CoronaCheck worden aangescherpt.
Elke testaanbieder wordt na aansluiting periodiek gemonitord. Bevindingen worden gedeeld
met de testaanbieders zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende
gevallen tot afsluiting worden over gegaan. Vanwege de recente aansluiting was Testcoronanu
BV nog niet aan bod gekomen. Alle overige testaanbieders worden actief gemonitord.
De gevonden kwetsbaarheid bij Testcoronanu BV is zo ernstig dat de aansluiting direct
is opgeschort. Mocht deze testaanbieder weer aangesloten willen worden, dan zal dat
niet eerder gebeuren dan nadat zowel door de aanbieder zelf een audit kan worden overlegd
en zullen wij zelf ook een pentest laten uitvoeren.
CoronaCheck is van grote waarde voor alle reizigers. Wij hechten eraan te benadrukken
dat de gevonden ernstige kwetsbaarheid slechts ziet op 1 van de op de CoronaCheck
aangesloten testaanbieders en er direct maatregelen zijn getroffen. De veiligheid
en betrouwbaarheid van de CoronaCheck app zijn niet in het geding gekomen.
De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge
De Minister van Infrastructuur en Waterstaat,
C. van Nieuwenhuizen Wijbenga