Beveiligingnieuws Logo

Onze partners

Bosch Security Systems

Paraat

ARAS

EAL

Regio Control Veldt

SOBA

Alphatronics

Multiwacht

Seris

Akuvox

Dero Security Products

Seagate

Secusoft

2N

Hanwha Vision Europe

NIBHV

Genetec

HID

Bydemes

Network Optix

VBN

Masset

CDVI

Trigion

Centurion

BHVcertificaat.online

Avigilon Alta

Oribi ID Solutions

ASSA ABLOY

VVNL

Distri Company

Optex

Kidde Commercial

Service Centrale Nederland

Add Secure

Connect Security

NetworxConnect

HD Security

CSL

Top Security

Kiwa

VideoGuard

Intrasec

G4S

Gold-IP

Hikvision

Crown Security Services

PG Security Systems

Sequrix

SmartCell

Nenova

Eizo

Ajax Systems

Eagle Eye Networks

Lobeco

Brivo

SMC Alarmcentrale

OSEC

Unii

Milestone

Aritech

Traka ASSA ABLOY

SmartSD

Advancis

ASIS

Securitas

VAIBS

i-Pro

VEB

Alarm Meldnet

Paxton

IDIS

Uniview

ADI

MOBOTIX

Gegevens commerciële coronatester slecht beveiligd

22 januari 2021
Redactie
12:40

Persoonlijke en medische gegevens van tienduizenden mensen blijkt via een slecht beveiligde database eenvoudig toegankelijk geweest te zijn. Het gaat om klanten van het bedrijf U-Diagnostics dat onder andere toeristen, militairen, sportmensen en huisartsen test op corona. Het datalek werd ontdekt door Nieuwsuur.

De gevoelige gegevens werden gedeeld in een WhatsApp-groep met 300 leden en waren toegankelijk via een slecht beveiligde database. Het gaat onder andere om klanten van TUI en Corendon, personeel van Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook uit te zenden militairen worden getest bij U-Diagnostics. Daarbij worden gegevens als geboortedata, paspoortnummers, BSN-nummers, e-mailadressen, reisbestemmingen en testuitslagen vastgelegd en die waren volgens Nieuwsuur op eenvoudige wijze in te zien door derden. Die kunnen de gegevens misbruiken voor identiteitsfraude.

Privacywetgeving
U-Diagnostics werd op de hoogte gesteld voordat het nieuws naar buiten werd gebracht. Het bedrijf meent echter niet de privacywetgeving te overtreden, omdat in de WhatsApp-groep alleen medewerkers zitten. Wel heeft het bedrijf de database extra beveiligd, zodat die niet langer eenvoudig toegankelijk is voor buitenstaanders.
U-Diagnostics is een grote commerciële coronatester die door het hele land testlocaties heeft onder de merknaam Health Check Centre. Er zouden duizenden mensen per dag worden getest. Het bedrijf gebruikt een WhatsApp-groep als helpdesk voor medewerkers. Daarin worden persoonlijke en medische gegevens van geteste personen uitgewisseld, die door alle medewerkers bekeken kunnen worden. Dat geldt ook voor foto’s van paspoorten, rekeningafschriften en afgenomen tests en testuitslagen.

Slechte beveiliging
Volgens hoogleraar gezondheidsrecht Jaap Sijmons gaat het om medische informatie en die mag volgens hem niet in groepen worden gedeeld. Alleen personen die direct betrokken zijn bij de behandeling mogen informatie van een specifieke patiënt bekijken. De WhatsApp-groep wordt volgens Nieuwsuur ook gebruikt om wachtwoorden op te vragen om in het systeem te komen. De database van U-Diagnostics bleek vervolgens toegankelijk zonder extra beveiliging, zoals tweestapsverificatie. Nieuwsuur vond in de database gegevens van tienduizenden op corona geteste personen, waaronder dus militairen en het land waar deze naar toe zijn gaan. Interessant voor buitenlandse inlichtingendiensten, aldus militair historicus Christ Klep. Het ging onder andere om militairen van de First Combat Group van het Korps Mariniers.

AVG
Volgens directeur Maarten Cuppen van U-Diagnostics hoeven klanten zich geen zorgen te maken. Hij zegt dat zijn platform conform de AVG is ingericht. Daar is hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit het niet mee eens. Volgens hem moet er bij gevoelige databases altijd met een persoonlijke inlog en tweestapsauthenticatie worden gewerkt. Ook Defensie maakt zich zorgen. Er zijn experts naar U-Diagnostics gestuurd om de zaak nader te onderzoeken. Ook is melding gedaan bij de Autoriteit Persoonsgegevens en is het testen bij het bedrijf per direct opgeschort

Deel dit artikel via:

Vlog

Premium partners

Videoguard

Suricat

Distri Company

Seagate

SequriX

Artitech Kidde Commercial

Wordt een partner