De ministeries van Volksgezondheid en Infrastructuur en Waterstaat starten een onderzoek naar de penetratietest die bij het bedrijf Testcoronanu is uitgevoerd. Door een onbeveiligde database van Testcoronanu bleek het voor iedereen mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.
Testcoronanu heeft tien locaties in Amsterdam, Weesp, Nieuwegein, Houten, Zwolle, Alkmaar, Eindhoven, Tilburg, Velp en Utrecht en voert ruim drieduizen testen per dag uit. Het bedrijf was sinds 10 juli aangesloten op CoronaCheck in het kader van Testenvoorjereis. "CoronaCheck sluit aan op de bronsystemen van testaanbieders. Het is allereerst aan elk van de aangesloten partijen om de informatiebeveiliging op orde te hebben", laat De Jonge in een brief aan de Tweede Kamer weten.
Om op CoronaCheck te worden aangesloten moeten testaanbieders ook aan de aansluitvoorwaarden voldoen. Hiervoor moet onder andere een rapport van een penetratietest worden aangeleverd en een DPIA (Data Protection Impact Assesment). Hiermee worden de risico's in kaart gebracht en maatregelen om die te mitigeren.
Beide ministerie starten een onderzoek naar de aangeleverde documenten en in het bijzonder naar de aangeleverde pentest. "Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken. Mocht dit onderzoek hiertoe aanleiding geven dan zullen de aansluiteisen op CoronaCheck worden aangescherpt", aldus De Jonge.
De minister voegt toe dat elke testaanbieder na de aansluiting op CoronaCheck periodiek wordt gemonitord. Vanwege de recente aansluiting was Testcoronanu nog niet aan bod gekomen. Alle overige testaanbieders worden actief gemonitord, laat De Jonge weten.
Vanwege de gevonden kwetsbaarheid is de aansluiting van Testcoronanu per direct opgeschort. Mocht het bedrijf weer willen worden aangesloten zal het niet alleen zelf een audit moeten kunnen overleggen, maar zal ook de overheid een penetratietest laten uitvoeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.