Persoonsgegevens van mensen die zich in Heerenveen lieten testen bij commerciële teststraat niet goed beveiligd

HEERENVEEN Ook persoonsgegevens van mensen die zich in Heerenveen in de teststraat van U-Diagnostics zijn getest op corona zijn niet goed beveiligd. Dat meldt Nieuwsuur.

U-Diagnostics biedt in Friesland onder de naam Health Check Center sneltesten voor particulieren aan in Leeuwarden op industrieterrein De Hemrik en was daarvoor actief in een skybox van het Abe Lenstrastadion in Heerenveen. De teststraat in Leeuwarden is een van de 35 die het bedrijf in heel Nederland heeft.

Ook mensen die op vakantie zijn gegaan met TUI of Corendon werden door het bedrijf getest net als voetballers van FC Utrecht en medewerkers van Defensie.

Wachtwoorden in grote WhatsApp-groep
De database met persoonsgegevens bleek eenvoudig in te zien, zo onthult Nieuwsuur, omdat de link, gebruikersnamen en wachtwoorden werden gedeeld in een WhatsApp-groep met zo’n 300 deelnemers. Op die manier waren onder meer geboortedata, BSN-nummers, e-mailadressen en reisbestemmingen in te zien. Ook de testuitslagen stonden in deze slecht beveiligde database.

De WhatsApp-groep werd door medewerkers van U-Diagnostics gebruikt als helpdesk. De medewerkers konden er praktische vragen in stellen maar ook vragen om inloggegevens. Het inloggen op de database was vervolgens niet verder beveiligd met bijvoorbeeld twee-staps-verificatie.

Kwaadwillenden zouden op die manier onder meer toegang kunnen krijgen tot de gegevens van mariniers. In de database zouden ze kunnen vinden waar de mariniers zich hadden laten testen en wat hun reisbestemming was.

Volgens Maarten Cuppen, directeur van U-Diagnostics, is de privacywet niet overtreden. Volgens hem mag een WhatsApp-groep gebruikt worden om persoonsgegevens uit te wisselen zolang er alleen medewerkers in de groep zitten.

Experts laten aan Nieuwsuur weten dat het bedrijf daar fout mee zit. Zij wijzen erop dat alleen de medewerkers die direct te maken hebben met de patiënt toegang mogen hebben tot diens persoonsgegevens. Het gaat dan om de mensen die de test afnemen, de uitslag doorbellen of administratief verwerken.

Voor Defensie is het datalek reden om de samenwerking met het testcentrum stop te zetten.