Door een groot datalek bij Testcoronanu, een testbedrijf met tien locaties in Nederland en drie in België, konden mensen valse reis- en toegangsbewijzen maken voor de CoronaCheck-app. Dat blijkt zondag uit onderzoek van RTL Nieuws. Ook zijn er privégegevens van 60.000 mensen gelekt. Het is niet bekend of er valse bewijzen zijn aangemaakt en hoeveel dat er dan zouden zijn.

Het testbedrijf maakt gebruik van het databasesysteem Firestore van Google. Normaal gesproken heb je als gewone gebruiker geen toegang tot het systeem. Toch konden gebruikers met een Testcoronanu-account toegang krijgen tot de database.

Door het lek konden mensen een negatieve test toevoegen door twee regels code in de browser te zetten. Daarna vulden ze de juiste gegevens in, waardoor ze vervolgens een geldig CoronaCheck-bewijs kregen voor de ingevulde naam. Dit was mogelijk zonder daadwerkelijk te zijn gevaccineerd, getest of hersteld van het coronavirus.

Het valse bewijs gold voor Nederland of Europa. Het reiscertificaat werd automatisch voorzien van een handtekening van een arts.

De gegevens konden naar wens worden ingevoerd, bijvoorbeeld voor jezelf of iemand anders. Het was ook mogelijk om de gegevens van anderen aan te passen, zoals een negatieve test veranderen naar een positieve. Ook konden mensen de testdatum aanpassen, waardoor een coronatest niet meer geldig was.

Ook privégegevens gelekt

Het lek in de database gaf ook toegang tot de privégegevens van ruim 60.000 mensen die een test hadden afgenomen bij Testcoronanu. Volgens RTL Nieuws gaat het onder andere om namen, adressen, paspoortnummers en medische gegevens.

Testcoronanu is verbonden aan het initiatief Testenvoorjereis.nl. Het bedrijf wordt aangeraden door de overheid en met belastinggeld gesubsidieerd. Na de melding van RTL Nieuws is het testbedrijf door het ministerie van Volksgezondheid, Welzijn en Sport (VWS) afgesloten van zijn systemen. Hierdoor kan het geen nieuwe bewijzen opstellen en leveren.

Het testbedrijf laat zelf op zijn website weten alle locaties te hebben gesloten, maar geeft verder geen inhoudelijke verklaring voor de stap. Testcoronanu spreekt alleen van "onvoorziene omstandigheden". Het contacttelefoonnummer is niet meer in gebruik.

Het bedrijf zegt tegen RTL Nieuws dat het alle getroffen klanten zondag informeert. Ook huurt het een externe specialist in om het lek te onderzoeken.

Volgens het ministerie zijn er geen aanwijzingen dat behalve RTL Nieuws iemand anders toegang had tot de gegevens. Naast het dichten van het lek wil de overheidsinstantie kijken naar een oplossing voor mensen die nog wachten op hun testuitslag.

Mensen die vandaag een testafspraak hebben bij Testcoronanu worden verzocht hun afspraak om te boeken naar een andere locatie via de website van de Rijksoverheid of 0800-1202.

AP: 'Testcoronanu moet per direct stoppen met testen'

De Autoriteit Persoonsgegevens (AP) zegt tegen RTL Nieuws dat Testcoronanu per direct moet stoppen met testen, omdat persoonsgegevens daar niet veilig zijn. De waakhond stelt dat het bedrijf weer verder mag met testen en het verwerken van gegevens als "de veiligheid en betrouwbaarheid zijn gegarandeerd".

Een woordvoerder van het ministerie van VWS zegt tegen persbureau ANP dat alles op papier in orde was. Om toegelaten te worden tot het testsysteem van de overheid, moet een bedrijf aan strenge eisen voldoen en bewijzen dat het aan deze eisen voldoet. Zo moet een bedrijf onder meer een test doorstaan waarbij een computersysteem op kwetsbaarheden wordt gecontroleerd.

"Uit een goede test had deze kwetsbaarheid moeten blijken. We gaan onderzoek doen naar hoe deze kwetsbaarheid niettemin heeft kunnen bestaan bij de aanbieder. Indien nodig zullen de aansluiteisen van CoronaCheck worden aangescherpt", aldus het ministerie.

Bij andere aanbieders die voor de overheid testbewijzen verzorgen, is gecheckt of er een soortgelijke kwetsbaarheid in het systeem zit. Dat is volgens het ministerie niet het geval.