Persoonsgegevens van tienduizenden mensen onvoldoende beveiligd door commercieel testbedrijf

Persoonsgegevens van tienduizenden mensen die zich bij het commerciële testbedrijf U-Diagnostics op het COVID-19 virus lieten testen waren onvoldoende beveiligd. Zowel persoonlijke als medische informatie van tenminste tienduizenden mensen waren toegankelijk.

Dit blijkt uit onderzoek van Nieuwsuur, dat meldt dat de gegevens toegankelijk waren via een slecht beveiligde database. Experts spreken van een datalek en overtreding van de privacywetgeving. Onder meer geboortedata, paspoortnummers, BSN-nummers, e-mailadressen, reisbestemmingen en testuitslagen van deze mensen waren inzichtelijk voor derde.

Gedeeld in WhatsApp-groep

De gegevens werden ook gedeeld in een WhatsApp-groep met zo'n driehonderd medewerkers uit het hele land. Deze groep functioneert als helpdesk waar medewerkers vragen kunnen stellen. Medewerkers wisselen in de appgroep, die zichtbaar is voor alle leden, echter ook persoonlijke en medische gegevens van patiënten uit. Denk hierbij onder meer aan foto's van paspoorten, rekeningafschriften, afgenomen tests en testuitslagen. Deze gegevens zijn inzichtelijk voor alle leden van de WhatsApp-groep. Via de WhatsApp-groep kwamen ook inloggegevens voor de eerder genoemde database voorbij.

U-Diagnostics testte volgens Nieuwsuur onder meer toeristen die via een aantal reisbureau's een vakantie boekten, werknemers van enkele grote bedrijf, huisartsenpraktijken, zorginstellingen en ook spelers van FC Utrecht. Het ministerie van Defensie liet militairen die werden uitgezonden via het bedrijf testen. Deze testen zijn opgeschort na melding van Nieuwsuur en het ministerie meldt melding te hebben gedaan bij de Autoriteit Persoonsgegevens.

U-Diagnostics ontkent overtreden van privacywetgeving

Het bedrijf ontkent zelf tegenover Nieuwsuur de privacywetgeving te hebben overtreden. Directeur Maarten Cuppen meldt aan Nieuwsuur dat het gebruik van een WhatsApp voor het delen van persoons- en medische gegevens geoorloofd is aangezien er alleen medewerkers inzitten. Experts ontkennen niet. Zo wijst hoogleraar gezondheidsrecht Jaap Sijmons erop dat het om medische informatie gaat, die niet in groepen met worden gedeeld. Alleen personen die direct bij de behandeling betrokken zijn mogen toegang hebben tot informatie van deze specifieke patiënt.

Meer informatie is hier beschikbaar.