Antwoord schriftelijke vragen : Antwoord op vragen van het lid Pouw-Verweij over valse toegangsbewijzen met de app CoronaCheck

Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 24 augustus
2021).

Vraag 1

Bent u bekend met het bericht dat iedereen met de app CoronaCheck valse toegangsbewijzen
kon krijgen?1

Antwoord 1

Ja. Ik heb uw Kamer hierover een brief gestuurd op 18 juli jl. (kenmerk 2021Z13855).2

Vraag 2

Deelt u de constatering van hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van
de Radboud Universiteit («Veel gevoeliger dan dit wordt het niet. Dit is juist waar
medische privacy voor is: dat mensen zich durven te laten testen omdat ze erop moeten
kunnen vertrouwen dat hun gegevens veilig zijn. Je merkt dat dit nog niet voldoende
leeft bij partijen die sinds kort massaal de testindustrie zijn ingestapt, en daardoor
gaat het nu zo mis») dat dit datalek heel schokkend is?

Antwoord 2

Duidelijk is dat er een ernstige tekortkoming in de informatiebeveiliging aanwezig
was bij Testcoronanu BV. Dit is één van de op CoronaCheck aangesloten testaanbieders
en er zijn daarom direct maatregelen getroffen. De toegang tot CoronaCheck is voor
deze testaanbieder afgesloten en de testaanbieder is in het afsprakenportaal op inactief
gezet. Daarnaast heeft de testaanbieder aangegeven het lek te hebben gemeld bij de
Autoriteit Persoonsgegevens.

Vraag 3

Hoeveel valse toegangsbewijzen zijn (bij benadering) verkregen door het lek bij Testcoronanu?

Antwoord 3

Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang
hebben verschaft tot de database om valse coronabewijzen te verkrijgen. De testaanbieder
is verantwoordelijk om hier onderzoek naar te doen. Testcoronanu BV heeft aangegeven
een extern onderzoeksbureau in te schakelen om dit incident nader te onderzoeken.

Vraag 4

Kunt u garanderen dat er geen andere lekken optreden of zijn opgetreden?

Antwoord 4

Naar aanleiding van de kwetsbaarheid in de ICT-systemen van Testcoronanu BV heb ik
onderzocht of een vergelijkbaar probleem speelt bij andere testaanbieders. Hierbij
hebben de onderzoekers niet kunnen vaststellen dat dat het geval is. Testbedrijven
die zijn aangesloten op CoronaCheck worden periodiek gemonitord. Het Ministerie van
VWS monitort in het kader van stelselcontrole of aangesloten testaanbieders de aansluitvoorwaarden
naleven en met pentesten of er kwetsbaarheden zijn die moeten worden opgelost. Bevindingen
uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen.
Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan zoals bij
Testcoronanu BV het geval is geweest. Naast de monitoring wordt in het aansluitproces
de pentest van de testaanbieder vanaf nu geverifieerd met een extra controle door
het Ministerie van VWS.

Vraag 5

Deelt u de mening dat het lek een ernstige ondermijning in de geloofwaardigheid van
de app CoronaCheck betekent?

Antwoord 5

Nee. Het gaat hier om een ernstige kwetsbaarheid bij één van de op CoronaCheck aangesloten
testaanbieders waarbij direct maatregelen zijn genomen. De veiligheid en betrouwbaarheid
van CoronaCheck zijn niet in het geding gekomen.

Vraag 6

Wat betekent het lek voor de acceptatie door andere landen van de Nederlandse app
CoronaCheck?

Antwoord 6

Dit incident heeft geen gevolg voor de acceptatie van een Digitaal Corona Certificaat
(DCC) via CoronaCheck door andere landen. De reeds uitgegeven QR-codes bleven geldig.

Vraag 7

Waarom grijpt het ministerie pas achteraf in, in plaats van te waarborgen dat alleen
met partners in zee wordt gegaan die ervoor in kunnen staan dat geen lekken optreden?

Antwoord 7

Het Ministerie van VWS stelt vooraf strenge aansluitvoorwaarden aan testaanbieders
die aangesloten willen worden op CoronaCheck. De testaanbieder moet dat aantonen met
bewijsstukken. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan
de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512,
7513) door onder meer het overleggen van een DPIA en pentestrapportage. Naast deze
zelf aan te leveren pentestrapportage wordt in de aansluitprocedure nu ook een extra
pentest ter verificatie hiervan uitgevoerd door het Ministerie van VWS, zoals ook
te lezen in mijn antwoord op vraag 4. Deze voorwaarden zijn ook openbaar in te zien
via rijksoverheid.nl.3 Het Ministerie van VWS start een nader onderzoek naar de juistheid van de aangeleverde
bewijsstukken door Testcoronanu BV. Mocht dit onderzoek hiertoe aanleiding geven dan
zullen de aansluitvoorwaarden op CoronaCheck worden aangescherpt en wordt uw Kamer
hierover geïnformeerd.

Vraag 8

Wat zijn de gevolgen voor de klanten van Testcoronanu en hoe zorgt u ervoor dat zij
niet de dupe worden van dit falen?

Antwoord 8

Ik heb Testcoronanu BV verzocht om mensen die al wel getest waren en op korte termijn
reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken.
Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hebben
staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via
het afsprakenportaal. Reeds uitgegeven QR-codes naar aanleiding van een test door
Testcoronanu BV bleven geldig.

Vraag 9

Zijn de «signalen» dat geen andere mensen toegang hebben gehad tot de gegevens gebaseerd
op een deugdelijke onderbouwing, of is dit slechts een signaal dat het Ministerie
van VWS een slag in de lucht slaat?

Antwoord 9

Nadat de informatie van RTL Nieuws is ontvangen heb ik een externe partij gevraagd
om een verificatie te doen van de kwetsbaarheid. Hieruit bleek dat deze inderdaad
bestond en er een tekortkoming in de informatiebeveiliging aanwezig was. Er hebben
ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft
tot de database teneinde gegevens in te zien of te wijzigen. De testaanbieder is verantwoordelijk
om hier nader onderzoek naar te doen.

Vraag 10

Kunt u de vragen afzonderlijk beantwoorden?

Antwoord 10

Ja.