Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich lieten testen op corona bij U-Diagnostics zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.
Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.
Lees hieronder hoe we te werk zijn gegaan:
Nieuwsuur krijgt onlangs via een interne bron inzage in het berichtenverkeer van een omvangrijke WhatsApp-groep. De bron maakt zich zorgen over de beveiliging van persoonsgegevens bij U-Diagnostics. Er worden op dagelijkse basis persoonsgegevens uitgewisseld in de WhatsApp-groep die het bedrijf gebruikt, met daarin honderden medewerkers. Aan de hand van openbare bronnen kan Nieuwsuur vaststellen dat de deelnemers in de WhatsApp-groep werknemers van het testbedrijf zijn. We krijgen inzage in de chatberichten, en zien zo ook documenten, foto's en screenshots die in de groep werden gepost.
Uit de berichten blijkt dat werknemers dagelijks persoonsgegevens te zien krijgen van patiënten waar ze niet mee te maken hebben. De privacywetgeving schrijft voor dat alleen mensen die direct betrokken zijn bij een patiënt de persoonsgegevens inzien. In dit geval bijvoorbeeld bij het afnemen van de test of het registreren van de uitslag. We hebben onze bevindingen voorgelegd aan zes deskundigen op dit gebied, die in hun oordeel eensluidend zijn: deze werkwijze is volgens de privacywetgeving niet toegestaan.
In de WhatsApp-groep worden ook inloggegevens gedeeld van het systeem waarin gewerkt wordt. Mede aan de hand van die gegevens kan iedere buitenstaander als hij dat wil op eenvoudige wijze in de database van U-Diagnostics komen. Nieuwsuur heeft dat getoetst Er was voor ons geen zichtbare extra beveiliging aanwezig.
Nieuwsuur is uiteraard met grote terughoudendheid te werk gegaan en heeft enkel in het kader van het maatschappelijk belang onderzoek gedaan. De gegevens zijn verder met niemand gedeeld. Kort hierna hebben we het bedrijf ingelicht en de tijd gegeven om intern onderzoek te doen en met een reactie te komen.
Het maatschappelijke belang van dit verhaal is tweeledig. Er bestaat het risico van oplichting, fraude en/of chantage als persoonsgegevens in verkeerde handen vallen. In het geval van militairen kan het zelfs gaan om hun veiligheid. Ook kan het gevolgen hebben voor de bestrijding van de pandemie en de testbereidheid, als blijkt dat testgegevens niet goed worden beveiligd.
