Opnieuw beveiligingslek in coronasysteem GGD

Volgens de NOS schiet de beveiliging van de website coronatest.nl tekort. Het gaat hier om de overheidswebsite voor het maken van testafspraken en het opvragen van uitslagen, waarvoor inloggen met DigiD vereist is. Er staan gegevens van in van miljoenen mensen die zich bij de GGD hebben laten testen op het coronavirus.

De NOS baseert zich op vertrouwelijke stukken. Hierin staat niet wat het beveiligingsprobleem precies is, maar wel dat het opgelost moet worden, omdat de website anders wordt afgesloten van DigiD.  Coronatest.nl zou aan maar liefst acht eisen niet voldoen, die gesteld worden aan websites die gebruik maken van het inlogsysteem van de overheid. In drie gevallen gaat het om problemen in de categorie ‘hoog risico’. De GGD is al langer op de hoogte van de problemen, maar heeft er tot nu toe maar twee weten op te lossen.

Eerdere problemen
Op coronatest.nl worden onder meer postcodes, telefoonnummers, e-mailadressen en testuitslagen geregistreerd. Op de achtergrond worden ook BSN-nummers verwerkt. Er zou nog geen datalek hebben plaatsgevonden, maar de kans daarop wordt wel groot geacht.
Koepelorganisatie GGD GHOR erkent dat coronatest.nl nog niet voldoet aan de eisen van DigiD, maar zegt daar wel aan te werken. Coronatest.nl zou intussen gewoon toegankelijk blijven via DigiD.
Vorige maand werd bekend dat van een ander GGD-systeem de autorisaties niet goed waren geregeld, waardoor enkele medewerkers tienduizenden persoonsgegevens konden kopiëren en doorverkopen aan criminelen. Behalve dat te veel medewerkers bij te veel gegevens konden komen, werd ook verdacht gedrag niet goed gemonitord. Dezelfde problemen blijken nu ook bij coronatest.nl aan de orde.

Deel dit artikel via: