Antwoord op vragen van het lid Pouw-Verweij over valse toegangsbewijzen met de app CoronaCheck

Vragen van het lid Pouw-Verweij (JA21) aan de Minister van Volksgezondheid, Welzijn en Sport over valse toegangsbewijzen met de app CoronaCheck (ingezonden 19 juli 2021).

Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 24 augustus 2021).

Vraag 1

Bent u bekend met het bericht dat iedereen met de app CoronaCheck valse toegangsbewijzen kon krijgen?1

Antwoord 1

Ja. Ik heb uw Kamer hierover een brief gestuurd op 18 juli jl. (kenmerk 2021Z13855).2

Vraag 2

Deelt u de constatering van hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit («Veel gevoeliger dan dit wordt het niet. Dit is juist waar medische privacy voor is: dat mensen zich durven te laten testen omdat ze erop moeten kunnen vertrouwen dat hun gegevens veilig zijn. Je merkt dat dit nog niet voldoende leeft bij partijen die sinds kort massaal de testindustrie zijn ingestapt, en daardoor gaat het nu zo mis») dat dit datalek heel schokkend is?

Antwoord 2

Duidelijk is dat er een ernstige tekortkoming in de informatiebeveiliging aanwezig was bij Testcoronanu BV. Dit is één van de op CoronaCheck aangesloten testaanbieders en er zijn daarom direct maatregelen getroffen. De toegang tot CoronaCheck is voor deze testaanbieder afgesloten en de testaanbieder is in het afsprakenportaal op inactief gezet. Daarnaast heeft de testaanbieder aangegeven het lek te hebben gemeld bij de Autoriteit Persoonsgegevens.

Vraag 3

Hoeveel valse toegangsbewijzen zijn (bij benadering) verkregen door het lek bij Testcoronanu?

Antwoord 3

Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database om valse coronabewijzen te verkrijgen. De testaanbieder is verantwoordelijk om hier onderzoek naar te doen. Testcoronanu BV heeft aangegeven een extern onderzoeksbureau in te schakelen om dit incident nader te onderzoeken.

Vraag 4

Kunt u garanderen dat er geen andere lekken optreden of zijn opgetreden?

Antwoord 4

Naar aanleiding van de kwetsbaarheid in de ICT-systemen van Testcoronanu BV heb ik onderzocht of een vergelijkbaar probleem speelt bij andere testaanbieders. Hierbij hebben de onderzoekers niet kunnen vaststellen dat dat het geval is. Testbedrijven die zijn aangesloten op CoronaCheck worden periodiek gemonitord. Het Ministerie van VWS monitort in het kader van stelselcontrole of aangesloten testaanbieders de aansluitvoorwaarden naleven en met pentesten of er kwetsbaarheden zijn die moeten worden opgelost. Bevindingen uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan zoals bij Testcoronanu BV het geval is geweest. Naast de monitoring wordt in het aansluitproces de pentest van de testaanbieder vanaf nu geverifieerd met een extra controle door het Ministerie van VWS.

Vraag 5

Deelt u de mening dat het lek een ernstige ondermijning in de geloofwaardigheid van de app CoronaCheck betekent?

Antwoord 5

Nee. Het gaat hier om een ernstige kwetsbaarheid bij één van de op CoronaCheck aangesloten testaanbieders waarbij direct maatregelen zijn genomen. De veiligheid en betrouwbaarheid van CoronaCheck zijn niet in het geding gekomen.

Vraag 6

Wat betekent het lek voor de acceptatie door andere landen van de Nederlandse app CoronaCheck?

Antwoord 6

Dit incident heeft geen gevolg voor de acceptatie van een Digitaal Corona Certificaat (DCC) via CoronaCheck door andere landen. De reeds uitgegeven QR-codes bleven geldig.

Vraag 7

Waarom grijpt het ministerie pas achteraf in, in plaats van te waarborgen dat alleen met partners in zee wordt gegaan die ervoor in kunnen staan dat geen lekken optreden?

Antwoord 7

Het Ministerie van VWS stelt vooraf strenge aansluitvoorwaarden aan testaanbieders die aangesloten willen worden op CoronaCheck. De testaanbieder moet dat aantonen met bewijsstukken. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513) door onder meer het overleggen van een DPIA en pentestrapportage. Naast deze zelf aan te leveren pentestrapportage wordt in de aansluitprocedure nu ook een extra pentest ter verificatie hiervan uitgevoerd door het Ministerie van VWS, zoals ook te lezen in mijn antwoord op vraag 4. Deze voorwaarden zijn ook openbaar in te zien via rijksoverheid.nl.3 Het Ministerie van VWS start een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV. Mocht dit onderzoek hiertoe aanleiding geven dan zullen de aansluitvoorwaarden op CoronaCheck worden aangescherpt en wordt uw Kamer hierover geïnformeerd.

Vraag 8

Wat zijn de gevolgen voor de klanten van Testcoronanu en hoe zorgt u ervoor dat zij niet de dupe worden van dit falen?

Antwoord 8

Ik heb Testcoronanu BV verzocht om mensen die al wel getest waren en op korte termijn reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken. Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hebben staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via het afsprakenportaal. Reeds uitgegeven QR-codes naar aanleiding van een test door Testcoronanu BV bleven geldig.

Vraag 9

Zijn de «signalen» dat geen andere mensen toegang hebben gehad tot de gegevens gebaseerd op een deugdelijke onderbouwing, of is dit slechts een signaal dat het Ministerie van VWS een slag in de lucht slaat?

Antwoord 9

Nadat de informatie van RTL Nieuws is ontvangen heb ik een externe partij gevraagd om een verificatie te doen van de kwetsbaarheid. Hieruit bleek dat deze inderdaad bestond en er een tekortkoming in de informatiebeveiliging aanwezig was. Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database teneinde gegevens in te zien of te wijzigen. De testaanbieder is verantwoordelijk om hier nader onderzoek naar te doen.

Vraag 10

Kunt u de vragen afzonderlijk beantwoorden?

Antwoord 10

Ja.

Indiener(s)