Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 juli 2021

Met deze brief informeren wij uw Kamer over een datalek dat bij Testcoronanu BV heeft plaatsgevonden.

Op 17 juli zijn wij door RTL Nieuws geïnformeerd over een kwetsbaarheid in de ICT systemen van de testaanbieder Testcoronanu BV. Deze testaanbieder is sinds 10 juli aangesloten op CoronaCheck in het kader van Testenvoorjereis. Door deze kwetsbaarheid was het mogelijk dat onbevoegden testuitslagen konden inzien, aanpassen en toevoegen. RTL Nieuws heeft de testaanbieder op 17 juli geïnformeerd en de gelegenheid gegeven om het lek te dichten. De testaanbieder heeft aangegeven van het lek melding te hebben gemaakt bij de Autoriteit Persoonsgegevens.

Nadat de informatie van RTL Nieuws is ontvangen is een externe partij gevraagd om verificatie van de kwetsbaarheid. Hieruit bleek dat deze inderdaad bestond en er een ernstige tekortkoming in de informatiebeveiliging aanwezig was. Derhalve is de toegang tot CoronaCheck voor deze testaanbieder afgesloten en is de testaanbieder in het afsprakenportaal op inactief gezet. Dit betekent dat er vanaf dat moment bij deze testaanbieder geen nieuwe afspraken gemaakt konden worden en uitslagen niet meer konden worden omgezet in QR-codes. Mensen die de helpdesk van CoronaCheck belden werd aangeraden om bij een andere testaanbieder een afspraak te maken. Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database. De testaanbieder is verantwoordelijk om hier onderzoek naar te doen. Testcoronanu BV heeft tien locaties in Amsterdam, Weesp, Nieuwegein, Houten, Zwolle, Alkmaar, Eindhoven, Tilburg, Velp en Utrecht en voert ruim 3000 testen per dag uit.

De ontstane situatie is in het bijzonder vervelend voor reizigers die op het punt staan om met vakantie te gaan en daarvoor bij Testcoronanu BV een test hebben gedaan. Testcoronanu BV is daarom verzocht om mensen die al wel getest waren en op korte termijn reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken. Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hebben staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via het afsprakenportaal. Reeds uitgegeven QR-codes blijven geldig. De testaanbieder zal ons informeren hoeveel reizigers in totaal getroffen zijn.

CoronaCheck sluit aan op de bronsystemen van testaanbieders. Het is allereerst aan elk van de aangesloten partijen om de informatiebeveiliging op orde te hebben. Tegelijkertijd moeten testaanbieders om aangesloten te worden op CoronaCheck voldoen aan strenge aansluitvoorwaarden. De testaanbieder moet dat aantonen met bewijsstukken. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). Het aan te leveren bewijs omvat onder andere een DPIA en een pentestrapportage. Laatstgenoemde is een test waarbij experts het systeem onderzoeken op zwakke plekken en risico’s en deze wegnemen. Ook Testcoronanu BV heeft deze bewijsstukken voorafgaand aan aansluiting overlegd. Wij starten een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken en in het bijzonder naar de aangeleverde pentest. Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken. Mocht dit onderzoek hiertoe aanleiding geven dan zullen de aansluiteisen op CoronaCheck worden aangescherpt.

Elke testaanbieder wordt na aansluiting periodiek gemonitord. Bevindingen worden gedeeld met de testaanbieders zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan. Vanwege de recente aansluiting was Testcoronanu BV nog niet aan bod gekomen. Alle overige testaanbieders worden actief gemonitord. De gevonden kwetsbaarheid bij Testcoronanu BV is zo ernstig dat de aansluiting direct is opgeschort. Mocht deze testaanbieder weer aangesloten willen worden, dan zal dat niet eerder gebeuren dan nadat zowel door de aanbieder zelf een audit kan worden overlegd en zullen wij zelf ook een pentest laten uitvoeren.

CoronaCheck is van grote waarde voor alle reizigers. Wij hechten eraan te benadrukken dat de gevonden ernstige kwetsbaarheid slechts ziet op 1 van de op de CoronaCheck aangesloten testaanbieders en er direct maatregelen zijn getroffen. De veiligheid en betrouwbaarheid van de CoronaCheck app zijn niet in het geding gekomen.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge

De Minister van Infrastructuur en Waterstaat, C. van Nieuwenhuizen Wijbenga