Schriftelijke vragen datalek testbedrijf

Veel mensen moet deze zomer testen voordat ze op vakantie kunnen. Bij één van de betrokken bedrijven is een datalek geconstateerd. De VVD Tweede Kamerleden Aukje de Vries en Queeny Rajkowski hebben daarover vragen gesteld aan de betrokken ministers. Het bedrijf is direct gestopt met de werkzaamheden. de VVD wil weten welke alterantieve mogelijkheden mensen die een afspraak hadden staan voor een test voor reizen kunnen krijgen om toch op vakantie of op reis te kunnen gaan. 

Vragen van de leden Rajkowski en Aukje de Vries (beiden VVD) aan de ministers van Justitie en Veiligheid, Infrastructuur en Waterstaat en Volksgezondheid, Welzijn en Sport betreffende Incident Testcoronanu BV en de ernstige tekortkoming in de informatiebeveiliging .

  1. Hoeveel mensen zijn de dupe geworden van dit datalek als het gaat om gevolgen voor hun vakantieplannen? Welke alternatieve mogelijkheden worden de getroffen mensen pro-actief geboden om een test voor reizen te kunnen krijgen om toch tijdig gereed te zijn voor hun vakantie c.q. reis? Hoe is of wordt hierover gecommuniceerd met de betrokken mensen?
  1. In de brief is te lezen dat de testaanbieder verantwoordelijk is om te onderzoeken of anderen dan de RTL-journalist zich toegang hebben verschaft tot de database. Gaan de ministers erop toezien dat dit onderzoek degelijk wordt uitgevoerd en dat de bevindingen met de ministers gedeeld worden?
  1. Zijn de ministers het met de VVD eens dat het wenselijk is om te weten hoeveel mensen uiteindelijk misbruik hebben gemaakt van dit lek en negatieve testbewijzen gegenereerd? Wat gaan de ministers met deze informatie doen? In hoeverre kunnen deze onterecht verkregen negatieve testbewijzen alsnog worden ingetrokken?
  1. In de database waren gegevens van 60.000 mensen te vinden inclusief hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, Burgerservicenummers, paspoortnummers en medische gegevens. Zijn er indicaties dat deze gegevens door criminelen zijn buitgemaakt? Zo ja, wat gaan de ministers doen om te voorkomen dat deze mensen slachtoffer worden van bijvoorbeeld phising of identiteitsfraude?
  1. De Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 heeft in februari en april van dit jaar geadviseerd over privacybescherming en een toelatingskader voor apps met vaccinatie en/of testbewijzen. Wat is er met deze adviezen gedaan?
  1. In de brief is te lezen dat elke testaanbieder na aansluiting periodiek wordt gemonitord en actief wordt gemonitord. Wat is het verschil tussen monitoring, actieve en periodieke monitoring en hoe dragen deze verschillende soorten monitoring bij aan veiligheidswaarborgen?
  1. In de brief is te lezen dat testaanbieders een pentestrapportage moeten overhandigen. Welke eisen worden er gesteld aan de pentest? Wat wordt de testaanbieder geacht te doen met de uitkomsten van de pentest en hoe zien de ministers hierop toe?
  1. Softwarecode is doorgaans aan verandering onderhevig. Welke criteria stellen de minister aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?
  1. Heeft Testcoronanu gebruik gemaakt van externe mensen of partijen bij het maken van hun digitale product? Zo ja, zijn deze mensen of partijen ook betrokken bij andere digitale overheidsoplossingen en zijn de ministers het met de VVD eens dat die andere oplossingen gecontroleerd moeten worden op privacy, veiligheid en betrouwbaarheid?
  1. Worden de bewijsstukken van alle aanbieders, onderzocht voordat op aansluiting wordt overgegaan? Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?
  1. Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordelen de ministers dit?
  1. Zijn de ministers bereid om de bevindingen van hun onderzoek naar de aangeleverde stukken, zoals een DPIA en pentestrapportage met de Tweede Kamer te delen? Zo nee, waarom niet? Zo ja, wanneer kan de Tweede Kamer deze verwachten?