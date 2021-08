Een recent datalek met een coronatestbedrijf heeft aangetoond dat de controle op de naleving van de aansluitvoorwaarden onvoldoende was. Er moet dan ook meer regie komen op het toezicht van commerciële testaanbieders, zo heeft de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 aan demissionair minister De Jonge van Volksgezondheid bekendgemaakt. De commissie adviseert de minister over digitale ondersteuning bij de bestrijding van corona.

Testbedrijven kunnen op CoronaCheck worden aangesloten, zodat testresultaten vanuit de app beschikbaar zijn. Het bedrijf Testcoronanu kwam eind juli in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.

Er gelden verschillende voorwaarden om op CoronaCheck aangesloten te worden. "Het recente datalek bij een commerciële testaanbieder heeft duidelijk gemaakt dat de controle op naleving van de aansluitvoorwaarden, waaronder een pentest, voor aanvang niet voldoende is geweest", aldus de Begeleidingscommissie. Die adviseert om controle op naleving van de aansluitvoorwaarden voor aanvang aan te scherpen en grondig te controleren of informatiebeveiligingsmaatregelen op het vereiste niveau zijn.

Eerder stelde De Jonge dat een goede pentest de gevonden kwetsbaarheid had moeten vinden. De minister voegde toe dat elke testaanbieder na de aansluiting op CoronaCheck periodiek wordt gemonitord. Vanwege de recente aansluiting was Testcoronanu nog niet aan bod gekomen. De begeleidingscommissie adviseert om de controle in de eerste week na de aansluiting te laten plaatsvinden.

Verder raadt de Begeleidingsscommissie aan om het monitoringsproces aan te scherpen en de periode tussen de scans na aansluiting zo kort mogelijk te houden. Verder zou een derde partij deze scans in opdracht van het ministerie van Volksgezondheid moeten uitvoeren. "Dit alles om mogelijk volgende incidenten te voorkomen." De minister stelt dat hij ervoor heeft gekozen om extra controles door een team van het ministerie zelf uit te laten voeren. "Ik vind het belangrijk deze kennis zelf in huis te hebben en heb dus niet gekozen voor het inschakelen van een externe partij."