image

Nieuwsuur: privédata van duizenden op corona geteste personen slecht beveiligd

vrijdag 22 januari 2021, 09:58 door Redactie, 21 reacties

Een bedrijf dat coronatests uitvoert heeft de privégegevens van tienduizenden mensen die zich lieten testen op corona onvoldoende beveiligd, zo stelt Nieuwsuur aan de hand van eigen onderzoek. Persoonsgegevens en medische data werden gedeeld in een WhatsAppgroep met driehonderd leden en waren toegankelijk in een slecht beveiligde database.

Zo konden derden eenvoudig toegang krijgen tot geboortedata, paspoortnummers, BSN-nummers, e-mailadressen, reisbestemmingen en testuitslagen van personen die zich lieten testen bij U-Diagnostics. Toeristen die via TUI of Corendon een vakantie boekten, werknemers van Ahold, spelers van FC Utrecht, huisartsenpraktijken, zorginstellingen en uitgezonden militairen worden door U-Diagnostics getest.

Nieuwsuur kreeg toegang tot de WhatsAppgroep van het bedrijf. Daarin worden persoonlijke en medische gegevens van patiënten uitgewisseld en komen foto's van paspoorten, rekeningafschriften en afgenomen tests en testuitslagen voorbij. Ook worden er wachtwoorden via de groep gedeeld om toegang tot de database van het bedrijf te krijgen. Die is alleen door middel van een e-mailadres en wachtwoord toegankelijk. Een tweede factor is niet nodig.

In de database vindt Nieuwsuur gegevens van tienduizenden op corona geteste personen. Het gaat ook om data van militairen, zoals BSN- en paspoortnummers en waar de militairen worden uitgezonden. Naar aanleiding van de bevindingen heeft het ministerie van Defensie de tests per direct opgeschort en melding van een datalek gedaan bij de Autoriteit Persoonsgegevens.

U-Diagnostics laat in een reactie weten dat de privacywetgeving niet is overtreden. Het delen van persoonsgegevens en medische data via de WhatsAppgroep is volgens de directeur toegestaan omdat er alleen medewerkers in zitten. De database is inmiddels extra beveiligd en zou niet meer zo eenvoudig voor buitenstaanders toegankelijk moeten zijn.

Reacties (21)
22-01-2021, 10:04 door Anoniem
Kijk, zo werkt dat in dit prachtige land!
En inloggegevens... ja, die mogen best 300 medewerkers en veesboek hebben. Daar is toch niks mis mee?

De eerste misser is natuurlijk al het bestaan van die database. Beveiligd of niet. Meer dan een testnummer en een telefoonnummer had daar niet in hoeven staan tenslotte...

Dus naast niet enten (dat moet ook allemaal in een ongetwijfeld fantastisch goed beveiligde database), dus nu ook maar niet meer testen... Tsja...
22-01-2021, 10:28 door Anoniem
Het is gewoon ziek als je die directeur ziet praten en met droge ogen uitleggen dat de wet niet is overtreden. Ok, daar gaan wij hier niet over, laat de AP zijn werk maar goed doen.
Maar op deze manier omgaan met persoonlijke en medische gegevens en de toegang er toe kan gewoon echt niet. Als je dat niet snapt heb je ergens iets gemist in je zakelijke opvoeding. Als dit bedrijf al 20 jaar bestaat dan is dit het topje van de ijsberg.

Wat nog het ergste is, door alle berichtgeving over het niet goed met persoonsgegevens om te gaan in relatie tot covid onderzoeken wordt het vertrouwen van burgers in medische diagnostiek geschaad en dat is erg kwalijk in deze tijd. De toon is al gezet in de pers.
22-01-2021, 10:48 door Anoniem
Kan zo'n directeur nu persoonlijk aansprakelijk worden gesteld voor deze opmerking? Want als intern wel gewaarschuwd is, maar de baas vind het maar onzin want kost meer geld en tijd, wat dan?

Tevens is het systeem niet adequaat beveiligd voor deze informatie, want voor medische info lijkt mij 2FA toch het minimum. En waarom zit het ook niet achter een VPN. Dit is volgens mij gewoon strafbaar/laakbaar.

TheYOSH
22-01-2021, 11:02 door DDK - Bijgewerkt: 22-01-2021, 11:52
dit is o.a. de bevinding:
"Nieuwsuur kreeg toegang tot de WhatsAppgroep van het bedrijf. Daarin worden persoonlijke en medische gegevens van patiënten uitgewisseld en komen foto's van paspoorten, rekeningafschriften en afgenomen tests en testuitslagen voorbij. Ook worden er wachtwoorden via de groep gedeeld om toegang tot de database van het bedrijf te krijgen. Die is alleen door middel van een e-mailadres en wachtwoord toegankelijk. Een tweede factor is niet nodig."

en dit is de reactie van het bedrijf :
"U-Diagnostics laat in een reactie weten dat de privacywetgeving niet is overtreden. Het delen van persoonsgegevens en medische data via de WhatsAppgroep is volgens de directeur toegestaan omdat er alleen medewerkers in zitten"

Nee hoor; dat mag je echt delen in WhatsApp met een grote groep deelnemers zonder extra beveiliging op een platform van een Amerikaans bedrijf met bijzondere persoonsgegevens.

Ik heb een nieuwe hashtag voor dit bedrijf: #WatHebJijVeelBoterOpJeHoofd
22-01-2021, 11:34 door Anoniem
U-Diagnostics laat in een reactie weten dat de privacywetgeving niet is overtreden. Het delen van persoonsgegevens en medische data via de WhatsAppgroep is volgens de directeur toegestaan omdat er alleen medewerkers in zitten. De database is inmiddels extra beveiligd en zou niet meer zo eenvoudig voor buitenstaanders toegankelijk moeten zijn.

De reactie geeft echt veel vertrouwen dat ze de misstanden recht zetten. Not.
22-01-2021, 11:36 door Anoniem
Delen van medische gegevens via WhatsApp is verboden, tenzij het is geanonimiseerd....

Nieuwe richtlijn voor delen medische gegevens via Whatsapp
https://www.parool.nl/nieuws/nieuwe-richtlijn-voor-delen-medische-gegevens-via-whatsapp~bd286ce2/?referrer=https%3A%2F%2Fwww.google.com%2F
22-01-2021, 11:39 door Anoniem
Kan zo'n directeur nu persoonlijk aansprakelijk worden gesteld voor deze opmerking?

Voor de opmerking niet. Voor het onveilig omgaan met medische gegevens wel. Hoe wil je iemand aansprakelijk stellen voor een opmerking ?
22-01-2021, 11:40 door Anoniem
300 man hebben een ''need to know'' bij het uitwisselen van zeer privacy gevoelige gegevens ? Los van de manier waarop uitgewisseld wordt, lijkt het delen met 300 man mij een probleem op zich.....
22-01-2021, 11:42 door Anoniem
Door DDK:
Ik heb een nieuwe hashtag : #WatHebJijVeelBoterOpJeHoofd
De ervaring heeft geleerd dat je dat bij medici opvallend vaak tegenkomt als er iets mis is gegaan.
22-01-2021, 12:09 door Anoniem
De AVG stelt dat je passende maatregelen moet nemen om de persoonsgegevens die je als organisatie verwerkt te beschermen en dat de directie daarvoor verantwoordelijk (accountable) is. Er staat niet dat de maatregelen alleen passend zijn voor de portefeuille van de directie.

Gegevens die nodig zijn voor de toegang tot de persoonsgegevens kun je dan niet met Whatsapp versturen. We leggen de sleutel van de voordeur van ons huis tegenwoordig niet meer onder de mat. Inmiddels mag dit bekend worden geacht. BSN en gezondheidsgegevens zijn bijzondere gegevens die je met meer aandacht zou moeten beschermen. Als je de verantwoordelijkheid kunt dragen! Dit zou uit de DPIA moeten blijken.

In de database waren ook gegevens van militaire opgeslagen. Daar heeft ook Defensie een steek laten vallen door het bedrijf op de blauwe ogen te geloven. Vertrouwen is goed, controleren blijft beter!

Tenslotte is het dankzij journalisten, dat dit euvel boven water komt. Waarom hebben al die gebruikers die zich inmiddels hebben laten testen hierop geen actie ondernomen of is daaraan door het bedrijf geen aandacht besteed? Waar is het gebruikersbewustzijn gebleven. We leven in een digitaal tijdperk. Dus Whatsapp is geen kladblok, je toetsenbord geen potlood en ja alles wat je op het internet zet kan worden gelezen door anderen. Ook door boeven!
22-01-2021, 14:00 door Anoniem
Bij hoeveel mensen (juist ja niet alleen ouderen met een problematisch geheugen) staat het wachtwoord op een briefje geplakt aan de onderkant van de computer. Daar begint het al mee, de digitale variant van de sleutel onder in de bloempot of in het hoekje van het vliegenkastje. Wat helpen de drie sloten op je voordeur als iedereen via het achterbordes vrij naar binnen kan?

Deel dus nooit met een berichten-app wat je niet met de hele wereld wil delen. Is het geschikt om overal ter wereld gelezen te worden, zoals dit berichtje hier, dan is het OK. Anders kom je het later beslist nog eens een keer tegen (ik bedoel tegen je worden gebruikt als het regiem verandert of er een avondklok wordt ingesteld enz.).

Wees ook altijd bedacht op sociale manipulatie uit onverdachte hoek.

Helemaal dus niet zo onvoorstelbaar.

#sockpuppet
22-01-2021, 14:23 door Briolet
Nieuwsuur kreeg toegang tot de WhatsAppgroep van het bedrijf.

Dat gaat niet vanzelf. Een van die 300 medewerkers zal dit bewust doorgegeven hebben in de wetenschap dat hij daarmee persoonlijke gegevens lekte. Zeer waarschijnlijk was het zelfs de bedoeling dat deze data lekte. Waarom anders zou hij/zij toegang gegeven hebben tot nieuwsuur.

Deze persoon zou zwaar bestraft moeten worden.
22-01-2021, 15:31 door Anoniem
Geen grote verrassing. Sinds de AVG organisaties verplicht datalekken te melden is gebleken dat Nederland binnen de 27 EU lidstaten aan kop gaat met 1 op de 4 datalekken...
22-01-2021, 16:06 door DDK
Door Briolet:
Nieuwsuur kreeg toegang tot de WhatsAppgroep van het bedrijf.

Dat gaat niet vanzelf. Een van die 300 medewerkers zal dit bewust doorgegeven hebben in de wetenschap dat hij daarmee persoonlijke gegevens lekte. Zeer waarschijnlijk was het zelfs de bedoeling dat deze data lekte. Waarom anders zou hij/zij toegang gegeven hebben tot nieuwsuur.

Deze persoon zou zwaar bestraft moeten worden.

lekker dan Briolet; dat is de omgekeerde wereld. Iemand bestraffen die iets aan de kaak stelt wat een hoog risico voor de betrokkenen kan betekenen, er zijn nl. niet alleen medische gegevens maar ook paspoorten gelekt waarmee identiteit diefstal lekker makkelijk wordt. Het desbetreffende bedrijf heeft boter op het hoofd.

Beter de publiciteit zoeken via een journalist om het opgelost te krijgen dan het negeren of wachten totdat een kwaadwillige met deze gegevens aan de haal gaat (als dat nog niet is gebeurt...)

En (als het dan al zo zou zijn) dat een medewerker dit aan een journalist laat zien of toegang heeft gegeven dan moet die persoon bestraft worden en niet degene die de zaak heeft veroorzaakt ?
Even los van het feit dat WhatsApp overduidelijk niet geschikt is om dit soort gegevens conform wetgeving te verwerken...

Iemand die dat aan de kaak stelt moet dan zwaar bestraft worden ?? Vreemde benadering !
22-01-2021, 19:13 door Anoniem
Door Anoniem: Kijk, zo werkt dat in dit prachtige land!

Wat heeft een commercieel bedrijf te maken met dit land?
Het is geen GGD en is net als de winkel op de hoek slechts toevallig in Nederland gevestigd.

Opzich bijna bijzonder trouwens dat ze bijna dezelfde bedrijfsnaam dragen als het diagnostiek bedrijf waar een kamerlid ooit een Responsible Disclosure op deed en die toen toch een boete kreeg.
22-01-2021, 20:39 door Anoniem
Wie heeft bedacht dat dergelijk gevoelige gegevens via allerlei gegevensstromen uberhaupt bij dat bedrijf kunnen terechtkomen? Welke verantwoordelijken hebben dat akkoord bevonden? Welke controleurs hebben daar niet hun vinger over opgestoken?

https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken

Daarbij gelden dan minimale eisen (BIO). Zie de pas-toe-of-leg-uit lijst. Allerlei gevoelige gegevens via WhatsApp delen hoort daar niet bij.

https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/informatieveiligheid/kaders-voor-informatieveiligheid/baseline-informatiebeveiliging-overheid/

Is per 1 januari 2020 van kracht.

https://www.informatiebeveiligingsdienst.nl/project/baseline-informatiebeveiliging-overheid/

Men mag van overheden verwachten dat zij zich houden aan wat ze zelf uitspreken.
Het zou mooi zijn als we ze daar ook aan kunnen houden.
23-01-2021, 10:00 door Briolet - Bijgewerkt: 23-01-2021, 10:02
Door DDK:
Door Briolet:
Nieuwsuur kreeg toegang tot de WhatsAppgroep van het bedrijf.

Deze persoon zou zwaar bestraft moeten worden.

lekker dan Briolet; dat is de omgekeerde wereld. Iemand bestraffen die iets aan de kaak stelt wat een hoog risico voor de betrokkenen kan betekenen, er zijn nl. niet alleen medische gegevens maar ook paspoorten gelekt waarmee identiteit diefstal lekker makkelijk wordt. Het desbetreffende bedrijf heeft boter op het hoofd.

Natuurlijk mag deze persoon de bescherming van de gegevens aan de kaak stellen. Maar hij mag niet zover gaan door zelf de gegevens van de geteste personen door te geven. En dat is hier gebeurd. Hij heeft de database met patiëntgegevens doorgespeeld naar nieuwsuur zodat medewerkers van nieuwsuur in deze dossiers konden grasduinen. Dat vind ik kwalijk.
23-01-2021, 18:10 door Anoniem
Natuurlijk dien je de klokkenluiders aan alle vormen van rechtsbepalingen te onderwerpen, niet aan hen die die rechtsbepalingen overboord hebben gesmeten in een bestuurderspositie.

Dit zijn slechts mensen die onrecht aankaarten, niet bestuurders die veel meer op de hoogte zijn van rechtsbepalingen.

Dus logisch dat je de voeten van de klokkenluiders grilt. Toch? Zoiets heet rechtvaardigheid, toch?
25-01-2021, 11:06 door Anoniem
Door DDK:
Door Briolet:
Nieuwsuur kreeg toegang tot de WhatsAppgroep van het bedrijf.

Dat gaat niet vanzelf. Een van die 300 medewerkers zal dit bewust doorgegeven hebben in de wetenschap dat hij daarmee persoonlijke gegevens lekte. Zeer waarschijnlijk was het zelfs de bedoeling dat deze data lekte. Waarom anders zou hij/zij toegang gegeven hebben tot nieuwsuur.

Deze persoon zou zwaar bestraft moeten worden.

lekker dan Briolet; dat is de omgekeerde wereld. Iemand bestraffen die iets aan de kaak stelt wat een hoog risico voor de betrokkenen kan betekenen, er zijn nl. niet alleen medische gegevens maar ook paspoorten gelekt waarmee identiteit diefstal lekker makkelijk wordt. Het desbetreffende bedrijf heeft boter op het hoofd.

Beter de publiciteit zoeken via een journalist om het opgelost te krijgen dan het negeren of wachten totdat een kwaadwillige met deze gegevens aan de haal gaat (als dat nog niet is gebeurt...)

En (als het dan al zo zou zijn) dat een medewerker dit aan een journalist laat zien of toegang heeft gegeven dan moet die persoon bestraft worden en niet degene die de zaak heeft veroorzaakt ?
Even los van het feit dat WhatsApp overduidelijk niet geschikt is om dit soort gegevens conform wetgeving te verwerken...

Iemand die dat aan de kaak stelt moet dan zwaar bestraft worden ?? Vreemde benadering !

Helemaal mee eens. Alle 299 anderen die het niet hebben gemeld zouden bestraft moeten worden. Waarom moeten al deze mensen al die gegevens weten?
25-01-2021, 11:45 door hanspaint
Hoe haal je het in je bolle hoofd om voor dit soort gegevens WhatsApp te gebruiken wat een bizar onbenul.
25-01-2021, 12:14 door Anoniem
Feit uit berichten gedeeld door AP ;

AP heeft vorig jaar +/- 27000 meldingen gehad van AVG overtredingen waarvan 0,4 % daadwerkelijk is gecontroleerd.

Van de 27000 meldingen hebben 0,03 % daadwerkelijk een boete gekregen.

Conclusie is dat de prioriteit niet in het controleren van dit soort gevallen ligt, maar eerder een goed gevoel af te geven dat er een wet is.

Gezien de cijfers, is het creëren van een veilig gevoel het doel van AVG en zeker niet het voorkomen van dit soort problemen.

De vraag is nu wie bepaalt hoe groot het potje is waar de AP het mee moet doen, om vervolgens daar te achterhalen of er wel de wens is om voldoende capaciteit te creëren om een minimum controle aantal van 99% te behalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.