Mensen die bij een commerciële teststraat een test doen, moeten een burgerservicenummer (BSN) delen en bij sommigen zelfs een paspoortnummer. Klanten maken zich zorgen over de veiligheid van de gegevens. Terecht?

Dit artikel is afkomstig uit de Stentor. Elke dag verschijnt een selectie van de beste artikelen uit de kranten op NU.nl. Daar lees je hier meer over.

Gerrie* uit Apeldoorn kon niet anders. Nadat zij een melding kreeg van de CoronaMelder dat ze in de buurt was geweest bij iemand die besmet was met corona, wilde ze zo snel mogelijk een test doen. Haar vriend, die al anderhalf jaar werkloos thuiszat, had afspraken voor twee meeloopdagen, die konden leiden tot een baan.

Een testuitslag van de GGD duurde te lang, dus maakte Gerrie een afspraak bij spoedtest.nl, een commerciële snelteststraat, met een locatie bij haar om de hoek. Voor de afspraak was ze verplicht BSN en het paspoortnummer te delen. "Het belang om de uitslag snel te weten, was groter dan het belang om deze gegevens niet te delen met een commerciële partij", zegt ze. "Maar het voelde niet prettig."

Door de coronacrisis laat de consument persoonlijke gegevens op veel meer plekken achter dan vroeger, bleek uit eerder onderzoek van deze krant. Bij de horeca. Bij de HEMA. En bij de commerciële snelteststraat. Het delen van gegevens met snelteststraten geeft extra risico's. Uit onderzoek van Nieuwsuur bleek dat de persoonlijke en medische informatie van tienduizenden mensen die zich lieten testen op corona bij U-Diag-nostics, onvoldoende was beveiligd. Open en bloot werden de gegevens gedeeld in WhatsAppgroepen met honderden leden.

Het gebruik van het bsn is aan inflatie onderhevig. Toenmalig staatssecretaris Louw de Graaf zei in 1988 bij de invoering van het sofinummer - voorloper BSN - dat het alleen gebruikt werd voor belastingen, inkomens en uitkeringen. Tegenwoordig wordt het gebruikt door gemeenten, UWV, ziekenhuizen, banken, scholen, GGD en commerciële teststraten. Organisaties buiten de overheid mogen een BSN alleen gebruiken als dit in een specifieke wet is bepaald. De GGD beroept zich op de Wet Publieke Gezondheid.

Persoonsverwisseling

Daarin staat dat als bij een onderzocht persoon een infectieziekte behorend tot groep A - met volgens het RIVM naast pokken, polio en SARS ook corona - wordt vastgesteld, dit moet worden gemeld aan de GGD. Om persoonsverwisseling of administratieve fouten te voorkomen, is een BSN noodzakelijk, meent de GGD.

Volgens Bart van der Sloot, privacydeskundige aan Tilburg University, is het in principe niet toegestaan dat commerciële partijen een BSN vragen. Hij noemt het 'heel onwenselijk' dat bulken met gevoelige informatie terechtkomen bij bedrijven achter de commerciële teststraten. Hij vraagt zich af waarom die partijen, zonder noodzakelijke medische kennis en kennis over databeveiliging, zo'n grote rol kregen in het publieke gezondheidsstelsel. "Zoveel gegevens, soms in handen van beunhazen, dat moet een keer fout gaan."

Door het unieke karakter van het persoonsnummer en het documentnummer zijn de gegevens aantrekkelijk voor fraudeurs en criminelen. Het laatste jaar zijn door datalekken en hacks veel persoonsgegevens in verkeerde handen gekomen. Met die data - of een combinatie van data uit meerdere lekken - kunnen criminelen op naam van anderen bestellingen plaatsen, contracten afsluiten of ze gebruiken voor andere vormen van identiteitsfraude. Ook kan door het verplicht delen van gegevens testbereidheid afnemen. Waarom vragen commerciële teststraten dan toch deze gegevens?

Verplicht

"Wij zijn verplicht een positieve uitslag door te geven aan de GGD", zegt Rasmus Emmelkamp, eigenaar van spoedtest.nl, naar eigen zeggen met 75 teststraten de grootste commerciële aanbieder van coronatesten in Nederland. "Daarvoor is een BSN nodig." Het documentnummer vraagt spoedtest.nl omdat zij standaard een reisverklaring afgeeft. "Andere aanbieders maken daar een extra dienst van, waarvoor zij sneaky 25 euro vragen."

Wetsvoorstel

Hoewel ze tegen verplicht testen is, kwam Fleur Agema (PVV) met D66-collega Jan Paternotte deze maand met een wetsvoorstel waarin wordt verlangd persoonsgegevens van mensen die negatief zijn getest, veel sneller te verwijderen. Voor mensen die 'niet zijn geïnfecteerd' moet de bewaartermijn worden gewijzigd naar ten hoogste vier weken. Nu is dat een jaar.

Voor positieve testuitslagen wordt de bewaartermijn van ten hoogste een jaar gehandhaafd, 'omdat dit wenselijk kan zijn met het oog op mogelijk gebruik van herstelbewijzen voor het eerder terugkrijgen van vrijheden', leest het voorstel. Alle 150 Kamerleden stemden voor het amendement.

Spoedtest.nl verwijdert alle gegevens binnen twee weken, zegt Emmelkamp. "Doordat wij de gegevens van de positieve testen - waarvoor een bewaartermijn geldt van een jaar - doorgeven aan de GGD, menen wij dat wij ook de verantwoordelijkheid voor de bewaarplicht weggeven aan de GGD. Ik wil die gegevens niet hebben. Ik ben liever in de rechtbank omdat ik gegevens heb gewist, dan dat ik daar sta omdat gegevens op straat kwamen te liggen. Mensen komen bij ons voor een snelle uitslag, niet om een medisch dossier op te bouwen. We zijn geen ziekenhuis."

De positieve testen die van commerciële teststraten komen, zijn onderdeel van het totale aantal positieve testen dat het RIVM dagelijks meldt. Onduidelijk is welk percentage van een commerciële teststraat komt. De regionale GGD's geven dagelijks het totaal door aan het RIVM, zonder specificatie van wie de test afnam. "Wij weten wel dat momenteel ongeveer 90 procent van de positieve uitslagen van een GGD-teststraat komt", meldt de GGD. "De overige 10 procent komt bij commerciële teststraten, ziekenhuizen en huisartsen vandaan."

Privacydeskundige Van der Sloot begrijpt dat positieve testen naar de GGD moeten, maar meent dat het ook kan zonder delen van BSN. "En waarom moeten álle mensen hun BSN afstaan en niet alleen mensen die positief testen? Het grootste gedeelte test negatief."

Hij ziet dat sinds de coronacrisis de datahonger van overheid en bedrijven toenam en sommige wetten ten koste van de privacy worden doorgevoerd. "Pas als het een paar keer echt fout gaat, bijvoorbeeld door identiteitsfraude of de komst van een dictatoriaal regime die andere doelen voor ogen heeft met de gegevens, wordt men bewust van het belang van privacy. De vraag is of het dan nog op tijd is."

Cowboys

Met de komst van toegangstesten, waarbij mensen met een negatieve testuitslag een concert, voetbalwedstrijd of een museum mogen bezoeken, groeit het aantal tests door commerciële partijen, omdat deze toegangstesten door de GGD worden gedaan. Er wordt gerekend op een maximale capaciteit van 225.000 tests per dag.

De ondernemers die door het ministerie zijn ingeloot om deze testen af te nemen, worden in NRC omschreven als cowboys, zonder medische ervaring en zonder ervaring met het beschermen van persoonsgegevens. Zij sprongen vorig jaar in het gat dat ontstond omdat bij de GGD grote tekorten waren en mensen lang moesten wachten op een test.

Voor het opzetten van de infrastructuur van de toegangstesten werden zeven bedrijven, voor zeven regio's, geselecteerd door Stichting Open Nederland, in opdracht van de overheid.

Covidtestnederland.nl is een van de vele commerciële aanbieders. Covidtestnederland.nl is een van de vele commerciële aanbieders. Foto: Reinier van Willigen

Die testen moeten de samenleving de komende maanden heropenen, totdat er voldoende mensen zijn gevaccineerd. De selectie was op basis van loting. Oost-Nederland werd gegund aan DAZA BV, het bedrijf achter covidtestnederland.nl. Het bedrijf werd vorig jaar opgericht door een online zorgondernemer en de kroegbaas van The Three Musketeers en 't Neutje in Hengelo.

Covidtestnederland.nl vraagt, zoals het protocol voorschrijft, ook een BSN. Maar een afspraak maken, kan ook zonder deze gegevens te delen. Wel wordt dan gevraagd een identiteitsbewijs of paspoort mee te nemen naar de afspraak.

Kroegbaas

Kroegbaas Mart Groenman, mede-eigenaar van covidtestnederland.nl, zegt dat de kennis van gegevensbescherming bij hen ontbreekt, maar dat er expertise voor is ingehuurd en ze uitgebreid zijn gekeurd. "Er is een zogenoemde penetrationtest uitgevoerd, waarbij wordt gezocht naar zwakke plekken in het systeem, die door hackers kunnen worden misbruikt. Ook zijn wij goedgekeurd door de Inspectie," zegt Groenman.

Ook spoedtest.nl deed mee aan de aanbesteding. Van de 44 aangemelde bedrijven voldeden 17 aan alle voorwaarden, zoals voldoende expertise en ICT-capaciteit. Door loting werden 7 bedrijven geselecteerd, spoedtest.nl viel af. Het bedrijf deed ook mee aan de tweede ronde, waarbij naast de eerdere 120.000 tests per dag nog eens 105.000 stuks per dag worden verdeeld. Weer viel spoedtest.nl af. Esculink kreeg Oost-Nederland. Hestia uit Losser won de loting om de tweede uitvraag in de regio Midden- en West-Brabant, Zeeland, Zuid-Holland Zuid en Rotterdam-Rijnmond.

Sinds ze een test deed bij spoedtest.nl controleert de Apeldoornse Gerrie vaker haar bankafschrijvingen, uit angst dat haar BSN en documentnummer door anderen is gebruikt om aankopen te doen. Ze is huiverig met delen van gegevens. Vorige zomer weigerde Gerrie ook gegevens in te vullen toen ze op een terras wilde zitten. "Je weet nooit precies wat er gebeurt, altijd gebeurt er toch meer met je gegevens dan ze aanvankelijk zeggen."

Onlangs kreeg ze nog e-mail met reclame van spoedtest.nl. "En na het afsluiten van een krantenabonnement zeggen ze dat het na vier weken automatisch stopt, maar dan word je vaak nog gebeld of je toch niet wil verlengen."

De meeloopdagen die haar vriend kon bijwonen dankzij de sneltest, waren een succes, zegt Gerrie. "Een baan heeft het nog niet opgeleverd, maar dat iemand een dag ervaringen kan opdoen, is zeer waardevol."

* Gerrie is een gefingeerde naam. Wegens privacyredenen wil zij niet in de krant met de echte naam, die wel bekend is bij de redactie.