Ingediend | 20 juli 2021 |
---|---|
Beantwoord | 24 augustus 2021 (na 35 dagen) |
Indieners | Aukje de Vries (VVD), Queeny Rajkowski (VVD) |
Beantwoord door | Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA), Cora van Nieuwenhuizen (minister infrastructuur en waterstaat) (VVD), Ankie Broekers-Knol (staatssecretaris justitie en veiligheid) (VVD) |
Onderwerpen | gezondheidsrisico's openbare orde en veiligheid organisatie en beleid zorg en gezondheid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z13898.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-3826.html |
Testaanbieder Testcoronanu BV heeft aangegeven dat op het moment van het incident 17.638 mensen nog een testafspraak hadden staan. Ik heb Testcoronanu BV verzocht om mensen die al wel getest waren en op korte termijn reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken. Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hadden staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via het afsprakenportaal. Reeds uitgegeven QR-codes bleven geldig.
Dit klopt. Het Ministerie van VWS maakt het voor testaanbieders mogelijk om aan te sluiten op CoronaCheck en beoordeelt deze aanvragen. In dat kader doet het ministerie onderzoek naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV. Testcoronanu BV is zelf verantwoordelijk voor de veiligheid van hun systemen en persoonsgegevens. De testaanbieder heeft aangegeven een extern onderzoeksbureau te hebben ingeschakeld om dit incident nader te onderzoeken. Ik heb van de testaanbieder begrepen dat hierbij ook wordt nagegaan of anderen, naast de RTL-journalist, zich toegang hebben verschaft tot de betreffende database. In het kader van stelselbewaking (zie ook artikel 14 van de aansluitvoorwaarden) heb ik Testcoronanu BV gevraagd om de uitkomsten van dit onderzoek, zodra dit kan, ook met mij te delen.
Deze mening deel ik. De testaanbieder doet hier nu nader onderzoek. Zie hiervoor ook het antwoord op vraag 2.
De testaanbieder heeft aangegeven dat vanaf het moment van aansluiten tot zaterdag 17 juli de gegevens van in totaal 60.541 personen in de betreffende database hebben gestaan. De database in kwestie werd, aldus de testaanbieder echter periodiek opgeschoond en daarom wordt dit aantal door de testaanbieder als bovengrens gehanteerd. Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database teneinde gegevens in te zien of te wijzigen. Zoals ook in de beantwoording op vraag 2 is aangegeven, doet de testaanbieder hier momenteel nader onderzoek naar.
In de stand van zaken covid-19 brief van 23 februari jl.1ben ik nader ingegaan op het advies van de Begeleidingscommissie Digitale Ondersteuning Covid-19 over het toelatingskader voor apps met vaccinatie- en/of testbewijzen.2 Dit advies zag op applicaties van derden en is nog niet aan de orde geweest omdat ik mijn aandacht vooralsnog richt op door de overheid gerealiseerde toepassingen voor zowel digitale als niet digitale test-, vaccinatie- en herstelbewijzen, in dit geval CoronaCheck. De adviezen gegeven in april jl. met betrekking tot het Europees Digitaal Covid Certificaat (DCC) zijn meegenomen in de uitwerking van het DCC. Hierover heb ik uw Kamer in de stand van zaken covid-19 brief van 28 mei jl. geïnformeerd.3
Het Ministerie van VWS stelt aan testaanbieders die aangesloten willen worden op CoronaCheck strenge aansluitvoorwaarden. Deze voorwaarden zijn ook openbaar in te zien via rijksoverheid.nl.4 Na aansluiting is de testaanbieder zelf verantwoordelijk voor het loggen en monitoren van hun systeem. Het Ministerie van VWS monitort in het kader van stelselcontrole of aangesloten testaanbieders de aansluitvoorwaarden naleven en met pentesten of er kwetsbaarheden zijn die moeten worden opgelost. Bevindingen uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan zoals bij Testcoronanu BV het geval is geweest.
Testaanbieders moeten ervoor zorgdragen dat de aansluiting op CoronaCheck op een wijze is beveiligd die in overeenstemming is met geldende wet- en regelgeving, waaronder in het bijzonder de AVG en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Als onderdeel van de aansluitprocedure wordt gevraagd om ter ondersteuning hiervan bewijsstukken aan te leveren die onder meer bestaan uit een DPIA en een pentestrapportage. De eisen aan de pentestrapportage staan in artikel 9 van de eisen voor informatiebeveiliging en privacybescherming.5
De pentesten moeten opgesteld zijn aan de hand van de internationale standaard Penetration Execution Standard (PTES). De aangeleverde pentestrapportage mag geen openstaande bevindingen met een CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger bevatten. Gevonden risicovolle bevindingen moeten zijn opgelost en er moet een hertest hebben plaatsgevonden. Naast de door de testaanbieder aan te leveren pentestrapportage wordt in de aansluitprocedure nu ook door het Ministerie van VWS een extra controle ter verificatie van de pentest uitgevoerd. Ook hiervoor geldt dat bevindingen opgelost moeten zijn voordat kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.
Zoals ik in mijn antwoord op vraag 2 aangeef, loopt er een onderzoek vanuit het ministerie naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV.
Bij substantiële wijzigingen van bijvoorbeeld de softwarecode moet dit door de aangesloten testaanbieders aan VWS gemeld worden. Er wordt vervolgens nagegaan in welke gevallen een nieuwe beoordeling, en dan ook een nieuwe pentest, voor de aansluiting op CoronaCheck noodzakelijk is.
De testaanbieder heeft aangegeven dat er sprake is van een of meerdere externe dienstverleners die betrokken zijn geweest bij de ontwikkeling. Ik heb geen zicht op de opdrachtenportefeuille van deze dienstverleners.
Testaanbieders moeten ter aansluiting op CoronaCheck voldoen aan een uitgebreide set aansluitvoorwaarden met betrekking tot technische vereisten en informatiebeveiliging. Deze zijn openbaar en te vinden via de website van de rijksoverheid. De aansluitvoorwaarden vormen een juridische overeenkomst tussen de Staat der Nederlanden (het Ministerie van VWS) en de testaanbieder bij de aansluiting op de app. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). De aansluiting vindt via een aantal stappen plaats waarbij er ook naar bewijsstukken zoals een DPIA en pentestrapportage wordt gevraagd. Deze stukken worden met behulp van een beoordelingssjabloon (zie ook bijlage)6 gecontroleerd en beoordeeld aan de hand van de aansluitvoorwaarden. Pas na volledige beoordeling hiervan en mits er geen risicovolle bevindingen meer zijn geconstateerd kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.
Net als u ben ik bekend met de berichtgeving hierover. In het algemeen moet met persoonsgegevens zeer zorgvuldig worden omgegaan, in het bijzonder met medische persoonsgegevens. Het is in deze aan de Autoriteit Persoonsgegevens om hierop toe te zien.
Het Ministerie van VWS heeft nader onderzoek gestart naar de juistheid van de aangeleverde bewijsstukken. Indien deze bevindingen aanleiding geven om de aansluitvoorwaarden aan te passen zal ik deze uiteraard met uw Kamer delen. Ik kan echter niet toezeggen dat ook de door de testaanbieder aangeleverde DPIA’s en pentestrapportages met uw Kamer worden gedeeld. Conform de aansluitvoorwaarden zijn zij zelf verwerkingsverantwoordelijke in het kader van de AVG en voeren eigenstandig een DPIA en beveiligingsonderzoeken uit.