Vragen van de leden Rajkowski en Aukje de Vries (beiden VVD) aan de Ministers van Justitie en Veiligheid, Infrastructuur en Waterstaat en Volksgezondheid, Welzijn en Sport over Incident Testcoronanu BV en de ernstige tekortkoming in de informatiebeveiliging (kenmerk 3232246-1013066-DICIO) (ingezonden 20 juli 2021).

Vraag 1

Hoeveel mensen zijn de dupe geworden van dit datalek als het gaat om de gevolgen voor hun vakantieplannen? Welke alternatieve mogelijkheden worden de getroffen mensen proactief geboden om een test voor reizen te kunnen krijgen om toch tijdig gereed te zijn voor hun vakantie c.q. reis? Hoe is of wordt hierover gecommuniceerd met de betrokken mensen?

Vraag 2

Klopt het dat in de brief te lezen is dat de testaanbieder verantwoordelijk is te onderzoeken of anderen dan de RTL-journalist zich toegang hebben verschaft tot de database? Gaat u erop toezien dat dit onderzoek degelijk wordt uitgevoerd en dat de bevindingen met u gedeeld worden?

Vraag 3

Deelt u de mening dat het wenselijk is te weten hoeveel mensen uiteindelijk misbruik hebben gemaakt van dit lek en negatieve testbewijzen hebben gegenereerd? Wat gaat u met deze informatie doen? In hoeverre kunnen deze onterecht verkregen negatieve testbewijzen alsnog worden ingetrokken?

Vraag 4

Klopt het dat in de database gegevens van 60.000 mensen te vinden waren inclusief hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, Burgerservicenummers, paspoortnummers en medische gegevens? Zijn er indicaties dat deze gegevens door criminelen zijn buitgemaakt? Zo ja, wat gaat u doen om te voorkomen dat deze mensen slachtoffer worden van bijvoorbeeld phising of identiteitsfraude?

Vraag 5

De Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 heeft in februari en april van dit jaar geadviseerd over privacybescherming en een toelatingskader voor apps met vaccinatie en/of testbewijzen, wat is er met deze adviezen gedaan?

Vraag 6

Klopt het dat in de brief is te lezen dat elke testaanbieder na aansluiting periodiek en actief wordt gemonitord? Wat is het verschil tussen monitoring, actieve en periodieke monitoring en hoe dragen deze verschillende soorten monitoring bij aan de veiligheidswaarborgen?

Vraag 7

In de brief is te lezen dat testaanbieders een pentestrapportage moeten overhandigen, welke eisen worden gesteld aan de pentest? Wat wordt de testaanbieder geacht te doen met de uitkomsten van de pentest en hoe ziet u hierop toe?

Vraag 8

Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?

Vraag 9

Heeft Testcoronanu gebruik gemaakt van externe mensen of partijen bij het maken van hun digitale product? Zo ja, zijn deze mensen of partijen ook betrokken bij andere digitale overheidsoplossingen en deelt u de mening dat die andere oplossingen gecontroleerd moeten worden op privacy, veiligheid en betrouwbaarheid?

Vraag 10

Worden de bewijsstukken van alle aanbieders onderzocht, voordat tot aansluiting wordt overgegaan? Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?

Vraag 11

Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordeelt u dit?

Vraag 12

Bent u bereid de bevindingen van hun onderzoek naar de aangeleverde stukken, zoals een Data Protection Impact Assessment (DPIA) en pentestrapportage met de Tweede Kamer te delen? Zo nee, waarom niet? Zo ja, wanneer kan de Kamer deze verwachten?