Nieuwsuur heeft inzage gehad in de persoonlijke en medische informatie van ten minste tienduizenden mensen die zich op corona hebben laten testen bij het commerciële testbedrijf U-Diagnostics. Volgens het programma was de informatie slecht beveiligd.
Het bedrijf deelde gevoelige persoonsgegevens van klanten in een WhatsApp-groep met ongeveer driehonderd medewerkers. Daarin wisselden de medewerkers onderling persoonlijke en medische gegevens van patiënten uit. "Er komen ook foto's van paspoorten, rekeningafschriften en afgenomen tests en testuitslagen voorbij. Al die persoonsgegevens zijn voor alle leden zichtbaar", aldus Nieuwsuur.
Werknemers van Ahold, zorginstellingen en FC Utrecht
De appgroep wordt ook gebruikt om wachtwoorden op te vragen om in het systeem te komen. Omdat er geen extra beveiliging wordt gehanteerd, zoals een tweestapsverificatie of een persoonlijke sms-code, kon Nieuwsuur ook in de database van U-Diagnostics komen met daarin de gegevens van tienduizenden op corona geteste personen. Het gaat onder meer om werknemers van voedingsmiddelenconcern Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook het ministerie van Defensie liet militairen die uitgezonden worden testen bij U-Diagnostics.
Directeur Maarten Cuppen van U-Diagnostics zegt dat de beveiliging beter had gekund en laat weten maatregelen te hebben genomen.
Het is niet de eerste keer dat de medische gegevens van mensen op straat zijn komen te liggen. Zembla ontdekte in 2013 een groot datalek bij een commercieel verzuimbedrijf. Medische en persoonlijke gegevens van honderdduizenden werknemers kwamen op straat te liggen als gevolg van een amateuristisch lek in de software van het computerprogramma. Kijk de uitzending 'De verzuimpolitie' terug.
Schrijf je in voor de Zembla-nieuwsbrief en blijf op de hoogte van onze onthullende journalistiek.