De website coronatest.nl voor testaanvragen en -uitslagen blijkt ook niet afdoende beveiligd. Dat blijkt uit vertrouwelijke stukken die in handen zijn van de NOS.
Om welke gegevens het gaat is nog niet helemaal duidelijk. Wel betekent dit dat gegevens van miljoenen mensen op straat kunnen belanden. Het ministerie van Binnenlandse Zaken dreigt intussen de website helemaal van DigiD af te sluiten zodat je helemaal geen afspraken meer kunt maken.
De Rijksoverheid stelt voor het gebruik van DigiD op een website een reeks van eisen. De site van de GGD blijkt aan acht van die eisen. Dat was al zo sinds de site in augustus vorig jaar in bedrijf kwam. De NOS weet van drie incidenten die het predicaat ‘hoog risico’ kregen.
Waarschuwingen
Verder is duidelijk dat de GGD van de problemen wist en daarvoor ook waarschuwingen kreeg maar bijna niet ingreep. In al die tijd loste de instelling twee ernstige problemen op. Alle waarschuwingen en deadlines ten spijt gebeurde er verder weinig.
Wat het geheel ernstig maakt is de grote hoeveelheid persoonsgegevens die op de coronatest.nl rondgaat. Dat zijn naast testuitslagen ook BSN-nummers en NAW-gegevens. Logius, die DigiD voor alle site in beheer heeft, zegt dat er op de site van de GGD niets is gebeurd. Desondanks blijkt uit de stukken dat Binnenlandse Zaken zich wel zorgen maakt.
GGD GHOR zegt zelf tegen de omroep dat coronatest.nl nog flink wat problemen heeft. Ze werken volgens eigen zeggen aan herstel en reparatie. Dit zou geen gevolgen hebben voor het gebruik van de website.
Afspraken
De problemen bij de GGD staan niet op zich. Ruim twee weken geleden bleek dat medewerkers privégegevens hadden verhandeld uit bestanden van mensen die een coronatest hadden gedaan.
Het gaat om een tweetal medewerkers die werkzaam waren bij het afsprakennummer van de GGD om een test te laten doen. Het duo grasduinde in twee systemen. Ten eerste kwamen de data uit het administratiesysteem CoronIT. Alles rond de afspraak komt in dit systeem terecht. Ten tweede zou er privégegevens gestolen zijn uit HPZone, waarin data van mensen die besmet zijn terechtkomen, samen met dat van hun contacten.
Het gaat om miljoenen privégegevens. RTL Nieuws bracht de zaak naar aanleiding van eigen onderzoek aan het rollen. De gestolen gegevens zijn bijvoorbeeld huisadressen BSN-nummers en telefoonnummers. Ze gingen voor dertig tot vijftig euro per persoon over de toonbank via
Nu blijkt dat er ook veel onbevoegden toegang hebben tot ‘de achterkant’ van coronatest.nl. een van de eisen van Binnenlandse Zaken is dan ook dat minder mensen bij de gegevens van de site kunnen. Verder moet de GGD de software beter beveiligen en de software op de server beter en sneller bijwerken.
Reactie GGD
De NOS vroeg GGD GHOR om een reactie. Ze meldden schriftelijk het volgende:
“Het klopt dat we op dit moment nog niet aan alle normeringseisen van DigiD op de website coronatest.nl voldoen. Met DigiD kan worden ingelogd om een testafspraak te maken bij een GGD. Er is voor een tweetal normen zo’n drie weken vertraging opgelopen, waardoor we op dit moment dus nog niet voldoen aan alle eisen. Voor de overige vier normen lopen we op schema en verwachten we een tijdige oplevering.
We hebben hier de toetsende instantie van op de hoogte gebracht. Deze achterstand heeft geen consequenties voor de toegankelijkheid van de website coronatest.nl.”
Lees ook:
- GGD naar politie om medewerkers die privégegevens verhandelden
- Zeker van uw bedrijfskritische applicaties met ALM van Ordina
