Het Coronatestbedrijf Testcoronanu heeft opnieuw persoonsgegevens van mensen gelekt, dit keer via een e-mailfout. De VVD heeft demissionair ministers Grapperhaus van Justitie en Veiligheid, De Jonge van Volksgezondheid en Van Nieuwenhuizen van Infrastructuur en Waterstaat om opheldering gevraagd.
Testcoronanu kwam vorige week in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen. Zondag besloot Testcoronanu alle locaties te sluiten. Mensen die een afspraak hadden werden hier via e-mail over ingelicht, maar het testbedrijf plaatste alle e-mailadressen in de cc, zodat die voor alle ontvangers zichtbaar waren, meldt RTL-journalist Daniel Verlaan op Twitter.
Eerder liet minister De Jonge al weten dat het pentestrapport naar de beveiliging van de door Testcoronanu gebruikte systemen zal worden onderzocht. Naar aanleiding van het nieuwe datalek en de penetratietest hebben VVD-Kamerleden Rajkowski en Aukje de Vries om opheldering gevraagd. "Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordeelt u dit?", vragen ze aan de ministers.
De drie bewindslieden moeten ook duidelijk maken welke eisen worden gesteld aan de pentest van testaanbieders, wat die met de uitkomsten moeten doen en hoe de overheid hierop toeziet. Om op CoronaCheck te worden aangesloten moeten testaanbieders aan de aansluitvoorwaarden voldoen. Hiervoor moet onder andere een rapport van een penetratietest worden aangeleverd.
"Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?", vragen Rajkowski en De Vries verder, die tevens willen weten of de bewijsstukken van alle aanbieders worden onderzocht voordat ze worden aangesloten. "Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?", vragen de Kamerleden.
Als laatste moeten De Jonge, Grapperhaus en Van Nieuwenhuizen laten weten of ze de bevindingen van het onderzoek naar de aangeleverde stukken, zoals een Data Protection Impact Assessment (DPIA) en pentestrapportage met de Tweede Kamer willen delen en wanneer die zijn te verwachten. De ministers hebben drie weken de tijd om de vragen te beantwoorden.
Deze posting is gelocked. Reageren is niet meer mogelijk.