Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich lieten testen op corona bij U-Diagnostics zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.
Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.
Lees hieronder de volledige reactie van zowel U-Diagnostics als de gedupeerde bedrijven:
De schriftelijke reactie van U-diagnostics:
Directeur Maarten Cuppen: "Ervan uitgaande dat jullie bevindingen kloppen ben ik erg geschrokken. Wij zijn op dit moment doende jullie bevindingen in kaart te brengen, te onderzoeken en te adresseren."
"Zoals jullie weten hechten wij groot belang aan zorgvuldig handelen, dat hebben wij meen ik al laten zien door onze omgaande verbeteringen van de destijds door derden gefalsificeerde non-Covid-19 certificaten voor reizigers naar het buitenland."
"Waar sprake is van gevaar dat privacy gevoelige gegevens ongeoorloofd en ongeautoriseerd zijn of dreigen te worden gedeeld is en wordt terstond actie ondernomen om dit te stoppen."
"Waar dit reeds heeft plaatsgevonden zullen wij de betreffende medewerk(st)ers die dat op hun geweten hebben aanspreken en eventueel (zware) personele maatregelen nemen. Zijn individuen benadeeld zullen wij deze informeren en passende (schadebeperkende) maatregelen nemen."
"De appgroep waarnaar jullie verwijzen wordt er van op de hoogte gesteld dat jullie daar toegang tot is verleend. Er komt een verbod op uitwisselen van uitgebreide persoonsgegevens. Waar persoonsgegevens moeten worden uitgewisseld worden de procedures zonodig verder aangescherpt."
"Het computersysteem waar jullie toegang tot hebben gekregen wordt zo kort mogelijke termijn (vannacht) beter beveiligd, opdat slechts daartoe uitdrukkelijk gemachtigden toegang hebben."
"Wij zijn verder uiteraard doende te onderzoeken hoe een en ander heeft kunnen plaatsvinden. Wij zullen morgen direct een melding doen van een mogelijk datalek bij de Autoriteit Persoonsgegevens en alle medewerking verlenen aan eventueel nader onderzoek door deze dienst."
"Wij zullen contact opnemen met getroffen opdrachtgevers en bezien hoe wij een en ander in overleg kunnen oplossen. Personen die vermoeden dat hun privacy is geschonden kunnen zich bij ons melden."
Corendon
"Wij hebben met bezorgdheid kennisgenomen van uw bevindingen. Wij werken inderdaad samen met U-Diagnostics en stellen onze klanten en in voorkomende gevallen ook onze medewerkers in de gelegenheid zich te laten testen via U-Diagnostics, waarbij wij de kosten dragen. Dat doen we al ruim een half jaar en over het algemeen naar volle tevredenheid. Het staat onze reizigers en medewerkers overigens vrij om ervoor te kiezen zich daar of via een andere organisatie te laten testen. Wij zijn niet betrokken bij de afspraken tussen de klant en U-Diagnostics of het proces van de registratie van persoons- en testgegevens van onze klanten; deze registreren zich zelf en ontvangen de testuitslag ook direct."
"Door Corendon worden er geen klantgegevens aan U-Diagnostics verstrekt en wij worden ook niet op de hoogte gesteld van de uitslag. De beveiliging van persoonsgegevens is de eigen verantwoordelijkheid van U-Diagnostics en zo is dat ook contractueel vastgelegd."
"Wij hebben inmiddels bij U-Diagnostics om opheldering gevraagd naar aanleiding van uw bevindingen, zijn in afwachting van hun reactie en zullen daarna op de kortst mogelijke termijn met hen in overleg treden. Alhoewel U-Diagnostics zelf de volledige verantwoordelijkheid draagt voor de registratie en beveiliging van persoonsgegevens, gaat de privacy van onze klanten en onze medewerkers ons zeer ter harte en verwachten wij van U-Diagnostics een bevestiging dat zij voldoen aan alle wet- en regelgeving op dit gebied en dat zij inmiddels eventuele geconstateerde tekortkomingen hebben gecorrigeerd of onmiddellijk zullen corrigeren zodat we onze samenwerking kunnen voortzetten."
GGNet
"In de samenwerking met U-Diagnostics faciliteren wij onze medewerkers om zich te laten testen. Het is daarmee sowieso uitgesloten dat er gegevens van onze cliënten gelekt zijn."
"Bij het aangaan van de samenwerking met U-Diagnostics was GGNet bekend met het privacyreglement van U-Diagnostics. Tevens heeft U-Diagnostics gesteld te werken conform NEN7510."
"Uiteraard is informatieveiligheid en privacy voor ons als zorgorganisatie van het grootste belang. Bij wet is geregeld dat wij, net als alle andere zorginstellingen, te maken hebben met strenge privacywetgeving. Patiënten en medewerkers moeten er te allen tijde op kunnen vertrouwen dat hun vertrouwelijke gegevens goed beschermd zijn."
"Wij zijn aan het onderzoeken wat er precies aan de hand is en staan daarbij in nauw contact met U-Diagnostics. Of er daadwerkelijk sprake is van een datalek, zoals u stelt, wordt door hen op dit moment nog onderzocht."
TUI
"In het contract dat wij met U-Diagsnotics hebben afgesloten is vastgesteld dat beide partijen (TUI en U-Diagnostics) garanderen dat zij ten aanzien van het ontvangen en uitwisselen van persoonsgegevens te allen tijde zullen voldoen aan de Algemene Verordering Persoonsgegevens. Het is dan ook verontrustend dat, tegen de contractuele afspraken in, persoonsgegevens bij U-Diagnostics kennelijk niet goed beveiligd zijn."
"Vanzelfsprekend is dit niet in lijn met ons eigen strikte beleid wat betreft de bescherming van persoonsgegevens. Wij zullen U-Diagnostics om opheldering vragen. Mocht inderdaad blijken dat de beveiliging van persoons- en medische gegevens niet conform de geldende wet- en regelgeving is, dan zullen wij verdere stappen richting U-Diagnostics ondernemen."
FC Volendam
"Wij hebben een incidentele test laten uitvoeren door U-Diagnostics, zij zijn niet onze vaste partij met wie wij zaken doen. Wij zijn niet op de hoogte van de manier waarop zijn de persoonsgegevens beveiligen."
"Wij schrikken hiervan, want dit kan natuurlijk niet. Het is nooit goed dat persoonsgegevens voor andere partijen inzichtelijk zijn, zo ook dit niet."
"Wij hebben direct met de KNVB geschakeld om te inventariseren of dit geval vaker is voorgekomen. Ook hebben we met U-Diagnostics gesproken en hen aangegeven onaangenaam verrast te zijn met het bericht van Nieuwsuur. Wij willen uiteraard alleen zaken doen met partijen waarvan het databeheer goed is."
FC Utrecht
"FC Utrecht is sinds vandaag op de hoogte van het datalek bij U-Diagnostics en is zeer verbaasd en teleurgesteld dat dit heeft kunnen gebeuren. FC Utrecht vindt als bedrijf zijnde de bescherming van de persoonsgegevens van groot belang en dit verwachten wij ook van de bedrijven waar wij diensten afnemen. Daarom nemen wij de kwestie uiterst serieus en hebben wij om uitleg gevraagd bij U-Diagnostics over de situatie en hoe dit heeft kunnen gebeuren."
"Wij gaan onderzoeken wat het datalek voor gevolgen heeft voor onze organisatie."
Ahold
"Wij zijn vanmiddag door U-Diagnostics geïnformeerd over wat er gebeurd is. We hebben direct actie ondernomen en de samenwerking stopgezet."
Autoriteit Persoonsgegevens:
De Autoriteit Persoonsgegevens bevestigt dat er een melding is gedaan van dit datalek. Op dit moment bestuderen wij deze melding en vragen Defensie om meer informatie. Het is belangrijk om persoonsgegevens goed te beveiligen en ervoor te zorgen dat niet iedereen overal bij kan.
Gegevens over iemands gezondheid zijn gevoelig. De Algemene verordening gegevensbescherming (AVG) bepaalt dan ook dat dit bijzondere persoonsgegevens zijn. Dit soort gegevens moeten extra beschermd worden t.o.v bijvoorbeeld NAW-gegevens.