Testcoronanu; zelf verantwoordelijk voor DPIA en pentest
Testaanbieders moeten ter aansluiting op CoronaCheck voldoen aan een uitgebreide set aansluitvoorwaarden met betrekking tot technische vereisten en informatiebeveiliging. De aansluitvoorwaarden vormen een juridische overeenkomst tussen de Staat der Nederlanden (het ministerie van VWS) en de testaanbieder bij de aansluiting op de app. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). De aansluiting vindt via een aantal stappen plaats waarbij er ook naar bewijsstukken zoals een DPIA en pentestrapportage wordt gevraagd. Deze stukken worden met behulp van een beoordelingsprocedure gecontroleerd en beoordeeld aan de hand van de aansluitvoorwaarden. Pas na volledige beoordeling hiervan en mits er geen risicovolle bevindingen meer zijn geconstateerd kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.
Zo staat er in de aansluitvoorwaarden over het uitvoeren van een DPIA (eis 7):
Testaanbieder levert voor de werking van de systemen die worden toegepast in het kader van CoronaCheck een DPIA aan.
Deze DPIA moet minstens aan onderstaande eisen voldoen:
• de DPIA moet voldoen aan de wettelijke eisen vanuit de AVG en voldoen aan de DPIA Richtsnoeren van de EDPB;
• de DPIA moet expliciet zien op het proces van testaanbieder tot aansluiting op CoronaCheck;
• de DPIA moet blijk geven van de bewustzijn van het gevoelige karakter rond de aard, context en doel van de gegevensverwerking en de eisen vanuit de WGBO.
• doel beschreven;
• noodzaak en proportionaliteit beschreven;
• analyse risico’s voor de betrokkenen;
• risico’s uit preambule 75 geanalyseerd;
• technische en organisatorische maatregelen benoemd;
• informatie met betrekking tot de door Aanbieder geïmplementeerde procedurele maatregelen ten aanzien van door Aanbieder ingeschakelde medewerkers en facilitaire diensten;
• autorisatiematrix voor toegang tot de teststraatapplicatie en lokale IT-omgeving;
• beschrijving van fysiek testkit proces en koppeling met teststraatapplicatie;
• beschrijving proces koppeling testkit aan identiteit van burger, uitgifte van testkit, uitvoering van de test en het transport van de test naar de ruimte waar de test verder wordt verwerkt;
• overige verwerkingen (als die er zijn) benoemd.
Daarnaast moeten partijen een FG hebben aangesteld, wat blijkt uit het FG-advies op de DPIA.
N.a.v. een groot datalek bij Testcoronanu heeft demissionair minister van Volksgezondheid, Welzijn en Sport (VWS) Hugo de Jonge aan de Tweede Kamer laten weten dat hij nader onderzoek doet naar de juistheid van de door Testcoronanu bij de aansluiting op CoronaCheck aangeleverde DPIA en pentest.
Lees hier de hele brief aan de kamer