Een onvoldoende beveiligde database van een grote coronatestaanbieder leidde ertoe dat Nieuwsuur medische en persoonlijke gegevens van tienduizenden mensen kon inzien. In de data van het bedrijf U-Diagnostics vonden we gegevens van onder meer vakantiegangers, werknemers van Ahold en honderden militairen. Ook tientallen huisartsenpraktijken gebruiken de testservice.
Volgens experts overtreedt U-Diagnostics op verschillende vlakken de wet en is er sprake van een datalek. Het bedrijf zelf stelt dat ze de privacywetgeving niet overtreden.
Hoe ontdekten we het?
Nieuwsuur begon het onderzoek na een tip van een interne bron bij U-Diagnostics, die zich zorgen maakte over de beveiliging van de privacygevoelige gegevens. We kregen toegang tot een WhatsApp-groep die door ongeveer 300 werknemers van het bedrijf uit het hele land wordt gebruikt als vraagbaak en helpdesk:
Maar het blijft niet bij vragen stellen. Er worden ook gegevens gedeeld, die zichtbaar zijn voor alle 300 medewerkers, van Groningen tot Middelburg. We zien in de appgroep onder andere het mobiele nummer voorbij komen van een Nederlands topmodel, en bijvoorbeeld ook van een jonge profvoetballer.
Namen en geboortedata worden gedeeld, maar ook (foto's) van bankrekeningnummers en informatie uit bankapps:
We legden deze bevindingen voor aan hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. De appgroep voldoet volgens hem niet aan de eisen van de privacywet, de AVG. "De hoofdregel is dat dit soort gegevens goed beveiligd moeten worden. Dat lijkt hier niet op orde te zijn."
De hoogleraar stelt dat het risico op fraude groot is, doordat deze gegevens op WhatsApp worden gedeeld. "Met dat soort gegevens kun je proberen online spullen te bestellen en je uit te geven voor iemand anders", legt hij uit. "En dan de rekening naar die persoon laten sturen. Of je kunt proberen geld te lenen in de naam van iemand anders en het wel uit te geven, maar niet terug te betalen."
Het blijft niet bij rekeningnummers. Ook uitslagen van testen worden met naam en toenaam rondgestuurd, net als foto's van paspoorten en identiteitsbewijzen:
Ook heel fraudegevoelig, volgens Zuiderveen Borgesius. "Met een foto van een paspoort met daarop een BSN-nummer en het paspoortnummer, kun je sommige organisaties al snel overtuigen dat jij die persoon bent."
En dat zo'n 300 andere medewerkers uit het hele land deze gegevens allemaal kunnen inzien, is niet de bedoeling, zegt ook hoogleraar gezondheidsrecht Jaap Sijmons. "Dat mag je niet allemaal op één platform delen met elkaar."
De database van U-Diagnostics blijkt onvoldoende beveiligd
Er zijn meer gegevens die we konden inzien. U-Diagnostics heeft ook een klantendatabase die medewerkers gebruiken. Inlognamen en wachtwoorden daarvan komen voorbij in de appgroep. "Wat is de code van Waalwijk?? Het wachtwoord?", vraagt een medewerker. "CoronaY1!!", antwoordt een ander.
De database blijkt behalve met een algemeen email-adres en een algemeen wachtwoord niet verder beveiligd. We ontdekten dat er veel gevoelige persoonsgegevens te lezen zijn:
Er zijn gedetailleerde gegevens toegankelijk van personeel van Ahold, profvoetballers van FC Volendam en FC Utrecht.
Het ministerie van Defensie blijkt ook een klant van U-Diagnostics. Persoonlijke gegevens van militairen zijn allemaal te vinden. Kijk mee welke gegevens we van honderden militairen konden inzien:
Defensie is juist altijd heel terughoudend met het delen en verwerken van persoonsgegevens van militairen, zegt Defensie-expert Christ Klep. "Dat is ook logisch: je wilt vermijden dat er wraak wordt genomen op mensen die bijvoorbeeld tegen een terreurbeweging hebben gevochten en dan herkenbaar zijn."
"Als je de data uit de U-Diagnostics-database combineert met openbare gegevens, dan kun je er al heel snel achter komen wanneer en waar de militairen hebben gezeten. Dan maak je het wel heel gemakkelijk om die puzzel te leggen."
Opvallend is een groep die wordt getest voor een reis naar Noorwegen, een wintertraining. We zien paspoortnummers en telefoonnummers van een commandant en leden van de zogenoemde 1st Combat Group. Een onderdeel van het Korps Mariniers dat inzetbaar is in het buitenland en ondersteuning biedt aan speciale eenheden bij geheime missies.
"Defensie heeft het actieve beleid om deze vertrouwelijke informatie binnenskamers te houden", zegt Klep. De gevolgen kunnen groot zijn als personen of buitenlandse diensten toegang krijgen tot de database."
U-Diagnostics
U-Diagnostics is voor deze publicatie op de hoogte gesteld van de bevindingen. Zij stellen in een reactie dat ze de privacywetgeving niet overtreden. Het gebruik van een WhatsApp-groep om persoons- en medische gegevens uit te wisselen "is geoorloofd omdat er alleen werknemers in zitten", zegt directeur Maarten Cuppen.
Cuppen zegt dat klanten van zijn bedrijf zich geen zorgen hoeven te maken over hun privé-informatie en dat hij de wet niet heeft overtreden:
De database is desondanks sinds vannacht extra beveiligd en zou nu niet meer eenvoudig toegankelijk zijn voor buitenstaanders.