De uitslagen van coronatesten en andere persoonsgegevens van tienduizenden mensen zijn met een paar klikken simpel te lezen in een database van U-Diagnostics. Dat blijkt onderzoek van Nieuwsuur.
Het commerciële testbedrijf beschikt onder andere over testresultaten van reizigers die via TUI en Corendon hadden geboekt. Ook het Ministerie van Defensie was er klant. Die laat militairen die op het punt staan uitgezonden te worden bij hen testen.
Verder zitten ook spelers van FC Utrecht en gegevens van patiënten van huisartsenpraktijken en een aantal zorginstellingen in het bestand van het bedrijf. Onder de gegevens zitten naast de uitslagen van coronatesten bijvoorbeeld paspoort- en BSN-nummers en mailadressen.
WhatsAppgroep
De onderzoekers konden in de database binnenkomen via een WhatsApp-groep van zeker driehonderd medewerkers van U-Diagnostics. De collega’s deelden daarin inloggegevens voor de database. Nieuwsuur gebruikte ze om in te loggen in de database van het testbedrijf. Dit lukte omdat het bedrijf geen extra beveiliging als tweetrapsauthenticatie had ingebouwd.
Nadat Nieuwsuur het lek had gemeld schortte Defensie het testen via U-Diagnostics meteen op. De Autoriteit Persoonsgegevens is intussen ook op de hoogte. Sinds de melding heeft het bedrijf de database extra beveiligd. Aan het delen van inloggegevens via de WhataAppgroep is geen einde gemaakt.
