Coronatest.nl voldoet niet aan de veiligheidseisen, hoe erg is dat?
Dat de website Coronatest.nl een halfjaar na de lancering nog altijd niet voldoet aan zes beveiligingsnormen, is een slecht teken. Dat zeggen meerdere deskundigen die zijn gespecialiseerd in beveiligingsonderzoeken zoals die nu lopen bij de GGD tegen de NOS.
Coronatest.nl is de overheidswebsite voor het maken van testafspraken bij de GGD en het opvragen van uitslagen. In totaal waren er acht normen waar de GGD niet aan voldeed; in twee gevallen is het probleem al opgelost.
Omdat Coronatest.nl inloggen via DigiD ondersteunt, moet de site aan strenge eisen voldoen. Vooral bij nieuwe sites die DigiD ondersteunen, is dat een probleem. In 2020 waren er 38 sites met een nieuwe DigiD-koppeling waarbij een of meer zaken moesten worden verbeterd, waaronder ook Coronatest.nl.
"Veel websites voldoen na de lancering niet aan alle eisen", zegt Floris Meijer, die is gespecialiseerd in dit soort zogeheten DigiD-audits. "Maar acht van de twintig is wel uitzonderlijk." Inmiddels zijn twee problemen dus verholpen.
Risico op DigiD-koppeling kwijt te raken
Uit documenten die de NOS in handen heeft, blijkt dat de site uiteindelijk het risico loopt de DigiD-koppeling te verliezen. De eerste stap daartoe wordt deze week gezet. Binnen vier weken moeten de problemen zijn opgelost; volgens de GGD gaat dat lukken.
In de tussentijd zijn er volgens Logius "technische maatregelen" genomen om ervoor te zorgen dat de problemen minder makkelijk kunnen worden misbruikt, zolang ze nog niet volledig zijn opgelost.
Hoe ernstig de tekortkomingen precies zijn, is lastig in te schatten. "Het kan betekenen dat het papierwerk niet op orde is, maar ook dat het hele systeem zo lek als een mandje is", zegt oud-auditor André Koot.
Een andere auditor zegt: "Ik had laatst een audit waarbij iemand een contract was vergeten te ondertekenen. Dan haal je de norm ook niet." Maar: "De meeste van onze klanten slagen met vlag en wimpel."
'Veiligheid niet in geding geweest'
Minister De Jonge van Volksgezondheid zegt dat hij niet op de hoogte was van de veiligheidsproblemen. Hij hoorde er naar eigen zeggen gisteren van en heeft toen de Tweede Kamer erover geïnformeerd.
Volgens De Jonge vallen de problemen mee. "Ik begrijp dat de veiligheid niet in het geding is geweest. De GGD heeft me ervan verzekerd dat er geen veiligheidsrisico's waren of zijn. Ik maak me daar geen zorgen over." Volgens De Jonge gaat het om een 'standaardprocedure' die wordt gevolgd.
Maar in drie gevallen gaat het om een probleem dat als 'hoog risico' is aangemerkt; in één van die drie gebreken is inmiddels verholpen.
Een auditor die niet bij naam wil worden genoemd - "vertrouwelijkheid is ons vak" - stelt dat de kans klein is dat het daarbij gaat om bijvoorbeeld een ontbrekende handtekening. "Dan zou je langer de tijd krijgen om het op te lossen."
Ook Meijer denkt aan een technisch probleem. "Ik denk dat het dan bijvoorbeeld gaat om de kwaliteit van de verbinding", zegt Meijer. "Daarvan lijkt de versleuteling niet in orde te zijn."
Kamer niet geïnformeerd
Kamerleden nemen geen genoegen met de verklaring van De Jonge. Kamerleden Verhoeven (D66) en Agema (PVV) hebben de minister om opheldering gevraagd; ze willen ook weten waarom hij de Kamer niet heeft geïnformeerd. Dat had bijvoorbeeld gekund bij het debat over het GGD-lek, vorige week.
