Een bedrijf dat coronatests uitvoert heeft de privégegevens van tienduizenden mensen die zich lieten testen op corona onvoldoende beveiligd, zo stelt Nieuwsuur aan de hand van eigen onderzoek. Persoonsgegevens en medische data werden gedeeld in een WhatsAppgroep met driehonderd leden en waren toegankelijk in een slecht beveiligde database.
Zo konden derden eenvoudig toegang krijgen tot geboortedata, paspoortnummers, BSN-nummers, e-mailadressen, reisbestemmingen en testuitslagen van personen die zich lieten testen bij U-Diagnostics. Toeristen die via TUI of Corendon een vakantie boekten, werknemers van Ahold, spelers van FC Utrecht, huisartsenpraktijken, zorginstellingen en uitgezonden militairen worden door U-Diagnostics getest.
Nieuwsuur kreeg toegang tot de WhatsAppgroep van het bedrijf. Daarin worden persoonlijke en medische gegevens van patiënten uitgewisseld en komen foto's van paspoorten, rekeningafschriften en afgenomen tests en testuitslagen voorbij. Ook worden er wachtwoorden via de groep gedeeld om toegang tot de database van het bedrijf te krijgen. Die is alleen door middel van een e-mailadres en wachtwoord toegankelijk. Een tweede factor is niet nodig.
In de database vindt Nieuwsuur gegevens van tienduizenden op corona geteste personen. Het gaat ook om data van militairen, zoals BSN- en paspoortnummers en waar de militairen worden uitgezonden. Naar aanleiding van de bevindingen heeft het ministerie van Defensie de tests per direct opgeschort en melding van een datalek gedaan bij de Autoriteit Persoonsgegevens.
U-Diagnostics laat in een reactie weten dat de privacywetgeving niet is overtreden. Het delen van persoonsgegevens en medische data via de WhatsAppgroep is volgens de directeur toegestaan omdat er alleen medewerkers in zitten. De database is inmiddels extra beveiligd en zou niet meer zo eenvoudig voor buitenstaanders toegankelijk moeten zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...
Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.