Antwoord op de vragen van de leden Rajkowski en Aukje de Vries over het incident Testcoronanu BV en de ernstige tekortkoming in de informatiebeveiliging

Vragen van de leden Rajkowski en Aukje de Vries (beiden VVD) aan de Ministers van Justitie en Veiligheid, Infrastructuur en Waterstaat en Volksgezondheid, Welzijn en Sport over Incident Testcoronanu BV en de ernstige tekortkoming in de informatiebeveiliging (kenmerk 3232246-1013066-DICIO) (ingezonden 20 juli 2021).

Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 24 augustus 2021).

Vraag 1

Hoeveel mensen zijn de dupe geworden van dit datalek als het gaat om de gevolgen voor hun vakantieplannen? Welke alternatieve mogelijkheden worden de getroffen mensen proactief geboden om een test voor reizen te kunnen krijgen om toch tijdig gereed te zijn voor hun vakantie c.q. reis? Hoe is of wordt hierover gecommuniceerd met de betrokken mensen?

Antwoord 1

Testaanbieder Testcoronanu BV heeft aangegeven dat op het moment van het incident 17.638 mensen nog een testafspraak hadden staan. Ik heb Testcoronanu BV verzocht om mensen die al wel getest waren en op korte termijn reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken. Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hadden staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via het afsprakenportaal. Reeds uitgegeven QR-codes bleven geldig.

Vraag 2

Klopt het dat in de brief te lezen is dat de testaanbieder verantwoordelijk is te onderzoeken of anderen dan de RTL-journalist zich toegang hebben verschaft tot de database? Gaat u erop toezien dat dit onderzoek degelijk wordt uitgevoerd en dat de bevindingen met u gedeeld worden?

Antwoord 2

Dit klopt. Het Ministerie van VWS maakt het voor testaanbieders mogelijk om aan te sluiten op CoronaCheck en beoordeelt deze aanvragen. In dat kader doet het ministerie onderzoek naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV. Testcoronanu BV is zelf verantwoordelijk voor de veiligheid van hun systemen en persoonsgegevens. De testaanbieder heeft aangegeven een extern onderzoeksbureau te hebben ingeschakeld om dit incident nader te onderzoeken. Ik heb van de testaanbieder begrepen dat hierbij ook wordt nagegaan of anderen, naast de RTL-journalist, zich toegang hebben verschaft tot de betreffende database. In het kader van stelselbewaking (zie ook artikel 14 van de aansluitvoorwaarden) heb ik Testcoronanu BV gevraagd om de uitkomsten van dit onderzoek, zodra dit kan, ook met mij te delen.

Vraag 3

Deelt u de mening dat het wenselijk is te weten hoeveel mensen uiteindelijk misbruik hebben gemaakt van dit lek en negatieve testbewijzen hebben gegenereerd? Wat gaat u met deze informatie doen? In hoeverre kunnen deze onterecht verkregen negatieve testbewijzen alsnog worden ingetrokken?

Antwoord 3

Deze mening deel ik. De testaanbieder doet hier nu nader onderzoek. Zie hiervoor ook het antwoord op vraag 2.

Vraag 4

Klopt het dat in de database gegevens van 60.000 mensen te vinden waren inclusief hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, Burgerservicenummers, paspoortnummers en medische gegevens? Zijn er indicaties dat deze gegevens door criminelen zijn buitgemaakt? Zo ja, wat gaat u doen om te voorkomen dat deze mensen slachtoffer worden van bijvoorbeeld phising of identiteitsfraude?

Antwoord 4

De testaanbieder heeft aangegeven dat vanaf het moment van aansluiten tot zaterdag 17 juli de gegevens van in totaal 60.541 personen in de betreffende database hebben gestaan. De database in kwestie werd, aldus de testaanbieder echter periodiek opgeschoond en daarom wordt dit aantal door de testaanbieder als bovengrens gehanteerd. Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database teneinde gegevens in te zien of te wijzigen. Zoals ook in de beantwoording op vraag 2 is aangegeven, doet de testaanbieder hier momenteel nader onderzoek naar.

Vraag 5

De Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 heeft in februari en april van dit jaar geadviseerd over privacybescherming en een toelatingskader voor apps met vaccinatie en/of testbewijzen, wat is er met deze adviezen gedaan?

Antwoord 5

In de stand van zaken covid-19 brief van 23 februari jl.1ben ik nader ingegaan op het advies van de Begeleidingscommissie Digitale Ondersteuning Covid-19 over het toelatingskader voor apps met vaccinatie- en/of testbewijzen.2 Dit advies zag op applicaties van derden en is nog niet aan de orde geweest omdat ik mijn aandacht vooralsnog richt op door de overheid gerealiseerde toepassingen voor zowel digitale als niet digitale test-, vaccinatie- en herstelbewijzen, in dit geval CoronaCheck. De adviezen gegeven in april jl. met betrekking tot het Europees Digitaal Covid Certificaat (DCC) zijn meegenomen in de uitwerking van het DCC. Hierover heb ik uw Kamer in de stand van zaken covid-19 brief van 28 mei jl. geïnformeerd.3

Vraag 6

Klopt het dat in de brief is te lezen dat elke testaanbieder na aansluiting periodiek en actief wordt gemonitord? Wat is het verschil tussen monitoring, actieve en periodieke monitoring en hoe dragen deze verschillende soorten monitoring bij aan de veiligheidswaarborgen?

Antwoord 6

Het Ministerie van VWS stelt aan testaanbieders die aangesloten willen worden op CoronaCheck strenge aansluitvoorwaarden. Deze voorwaarden zijn ook openbaar in te zien via rijksoverheid.nl.4 Na aansluiting is de testaanbieder zelf verantwoordelijk voor het loggen en monitoren van hun systeem. Het Ministerie van VWS monitort in het kader van stelselcontrole of aangesloten testaanbieders de aansluitvoorwaarden naleven en met pentesten of er kwetsbaarheden zijn die moeten worden opgelost. Bevindingen uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan zoals bij Testcoronanu BV het geval is geweest.

Vraag 7

In de brief is te lezen dat testaanbieders een pentestrapportage moeten overhandigen, welke eisen worden gesteld aan de pentest? Wat wordt de testaanbieder geacht te doen met de uitkomsten van de pentest en hoe ziet u hierop toe?

Antwoord 7

Testaanbieders moeten ervoor zorgdragen dat de aansluiting op CoronaCheck op een wijze is beveiligd die in overeenstemming is met geldende wet- en regelgeving, waaronder in het bijzonder de AVG en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Als onderdeel van de aansluitprocedure wordt gevraagd om ter ondersteuning hiervan bewijsstukken aan te leveren die onder meer bestaan uit een DPIA en een pentestrapportage. De eisen aan de pentestrapportage staan in artikel 9 van de eisen voor informatiebeveiliging en privacybescherming.5

De pentesten moeten opgesteld zijn aan de hand van de internationale standaard Penetration Execution Standard (PTES). De aangeleverde pentestrapportage mag geen openstaande bevindingen met een CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger bevatten. Gevonden risicovolle bevindingen moeten zijn opgelost en er moet een hertest hebben plaatsgevonden. Naast de door de testaanbieder aan te leveren pentestrapportage wordt in de aansluitprocedure nu ook door het Ministerie van VWS een extra controle ter verificatie van de pentest uitgevoerd. Ook hiervoor geldt dat bevindingen opgelost moeten zijn voordat kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.

Zoals ik in mijn antwoord op vraag 2 aangeef, loopt er een onderzoek vanuit het ministerie naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV.

Vraag 8

Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?

Antwoord 8

Bij substantiële wijzigingen van bijvoorbeeld de softwarecode moet dit door de aangesloten testaanbieders aan VWS gemeld worden. Er wordt vervolgens nagegaan in welke gevallen een nieuwe beoordeling, en dan ook een nieuwe pentest, voor de aansluiting op CoronaCheck noodzakelijk is.

Vraag 9

Heeft Testcoronanu gebruik gemaakt van externe mensen of partijen bij het maken van hun digitale product? Zo ja, zijn deze mensen of partijen ook betrokken bij andere digitale overheidsoplossingen en deelt u de mening dat die andere oplossingen gecontroleerd moeten worden op privacy, veiligheid en betrouwbaarheid?

Antwoord 9

De testaanbieder heeft aangegeven dat er sprake is van een of meerdere externe dienstverleners die betrokken zijn geweest bij de ontwikkeling. Ik heb geen zicht op de opdrachtenportefeuille van deze dienstverleners.

Vraag 10

Worden de bewijsstukken van alle aanbieders onderzocht, voordat tot aansluiting wordt overgegaan? Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?

Antwoord 10

Testaanbieders moeten ter aansluiting op CoronaCheck voldoen aan een uitgebreide set aansluitvoorwaarden met betrekking tot technische vereisten en informatiebeveiliging. Deze zijn openbaar en te vinden via de website van de rijksoverheid. De aansluitvoorwaarden vormen een juridische overeenkomst tussen de Staat der Nederlanden (het Ministerie van VWS) en de testaanbieder bij de aansluiting op de app. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). De aansluiting vindt via een aantal stappen plaats waarbij er ook naar bewijsstukken zoals een DPIA en pentestrapportage wordt gevraagd. Deze stukken worden met behulp van een beoordelingssjabloon (zie ook bijlage)6 gecontroleerd en beoordeeld aan de hand van de aansluitvoorwaarden. Pas na volledige beoordeling hiervan en mits er geen risicovolle bevindingen meer zijn geconstateerd kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.

Vraag 11

Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordeelt u dit?

Antwoord 11

Net als u ben ik bekend met de berichtgeving hierover. In het algemeen moet met persoonsgegevens zeer zorgvuldig worden omgegaan, in het bijzonder met medische persoonsgegevens. Het is in deze aan de Autoriteit Persoonsgegevens om hierop toe te zien.

Vraag 12

Bent u bereid de bevindingen van hun onderzoek naar de aangeleverde stukken, zoals een Data Protection Impact Assessment (DPIA) en pentestrapportage met de Tweede Kamer te delen? Zo nee, waarom niet? Zo ja, wanneer kan de Kamer deze verwachten?

Antwoord 12

Het Ministerie van VWS heeft nader onderzoek gestart naar de juistheid van de aangeleverde bewijsstukken. Indien deze bevindingen aanleiding geven om de aansluitvoorwaarden aan te passen zal ik deze uiteraard met uw Kamer delen. Ik kan echter niet toezeggen dat ook de door de testaanbieder aangeleverde DPIA’s en pentestrapportages met uw Kamer worden gedeeld. Conform de aansluitvoorwaarden zijn zij zelf verwerkingsverantwoordelijke in het kader van de AVG en voeren eigenstandig een DPIA en beveiligingsonderzoeken uit.

Indiener(s)