De gegevens van duizenden klanten van een aanbieder van onder meer bloedtesten voor thuis zijn gelekt. Het gaat om namen, e-mailadressen, woonplaatsen en postcodes van naar schatting ruim zesduizend mensen die sinds 26 maart 2020 klant zijn geweest bij het Noord-Hollandse bedrijf Labonovum.

De namen en adresgegevens waren voor onbekende tijd openbaar toegankelijk via de site van Labonovums merknaam PostYourLab. De datasets bevatten geen andere persoonlijke gegevens, testuitslagen of andere medische gegevens.

Het lek is snel nadat NU.nl contact opnam met het bedrijf gedicht. NU.nl werd er via tipplatform Publeaks van op de hoogte gesteld dat de gegevens openbaar stonden.

Labonovum biedt onder meer testen aan waarbij mensen een aantal druppels bloed naar een laboratorium kunnen sturen. Het bedrijf belooft op basis daarvan onder meer te kunnen zeggen of in het bloed antistoffen tegen het coronavirus zijn terug te vinden.

Directeur Richard Monkel wil in gesprek met NU.nl niet zeggen of die tests het afgelopen jaar voornamelijk in trek zijn geweest. Labonovum biedt naast tests voor corona-antistoffen "een heel pakket aan diagnostiek" aan.

Monkel zegt dat een hacker heeft ingebroken op een server waar klanten bestellingen kunnen plaatsen. Labonovum is van plan aangifte te doen bij de politie, zegt de directeur. Ook belooft hij dat getroffen klanten nog maandag per e-mail op de hoogte worden gesteld.

Gegevens blijken ondanks belofte niet verwijderd

Op de site van PostYourLab staat dat Labonovum adresgegevens dertig dagen bewaart en daarna verwijdert. Ook staat er dat het bedrijf "nooit [zal] beschikken over de naam van de klant". Uit de gelekte gegevens blijkt dat dat niet klopt.

Monkel erkent dat Labonovum met die tekst niet goed uitlegt hoe het bedrijf met persoonlijke gegevens omgaat. De tekst wordt niet aangepast, maar deze gegevens zullen voortaan wel na dertig dagen verwijderd worden, net zoals bij andere klantgegevens gebeurt, zegt hij.

Het bedrijf onderzoekt nog of het als gevolg van het incident melding moet doen bij de Autoriteit Persoonsgegevens (AP). Het inlichten van de toezichthouder is verplicht als een lek voor betrokkenen waarschijnlijk een risico met zich meebrengt.

