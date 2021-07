Op de website van het bedrijf, Testcoronanu, was het mogelijk om zelf valse reis- en toegangsbewijzen aan te maken. Deze konden vervolgens worden gebruikt om een geldige QR-code uit de CoronaCheck-app van de overheid te verkrijgen. Ook lekten de persoonsgevens van tienduizenden mensen die bij het bedrijf een test deden, ontdekte RTL Nieuws.

Nadat het lek aan het licht kwam, is het bedrijf uitgesloten van het systeem van de overheid, zegt een woordvoerder van Volksgezondheid. Het ministerie heeft geen signalen te hebben dat anderen dan RTL van het lek gebruik hebben gemaakt, maar stelt tegelijkertijd dat dat „iets is waar de testaanbieder inzicht in heeft.”

Op papier was alles in orde bij het bedrijf, aldus de woordvoerder. Om toegelaten te worden tot het testsysteem van de overheid moet een bedrijf aan strenge eisen voldoen en bewijzen overleggen om aan te tonen dat het aan deze eisen voldoet. Zo moet een bedrijf onder meer een zogenoemde pen(etratie)test doorstaan, waarbij een computersysteem op kwetsbaarheden wordt gecontroleerd.

„Op papier” voldeed Testcoronanu aan alle eisen. „Uit een goede pentest had deze kwetsbaarheid moeten blijken. We gaan onderzoek doen naar hoe deze kwetsbaarheid niettemin heeft kunnen bestaan bij de aanbieder. Indien nodig zullen de aansluiteisen van CoronaCheck worden aangescherpt”, aldus het ministerie.

Bij andere aanbieders die voor de overheid testbewijzen verzorgen is gecheckt of er een soortgelijke kwetsbaarheid in het systeem zit. Dat is volgens de woordvoerder niet het geval.

Testcoronanu laat zelf op zijn website weten alle locaties te hebben gesloten, maar geeft verder geen inhoudelijke verklaring voor de stap. Het bedrijf spreekt alleen van „onvoorziene omstandigheden.” Het contacttelefoonnummer is niet meer in gebruik. Coronatestnu heeft een tiental locaties in Nederland en België. Het bedrijf adviseert mensen een andere testaanbieder te zoeken.