De persoonsgegevens van naar schatting meer dan zesduizend klanten van Labonovum, dat onder meer corona-antistoffentests verstrekt, waren voor onbekende tijd in te zien via de site van dochterbedrijf PostYourLab. Het lek zou na een hackaanval zijn ontstaan en is inmiddels gedicht.
Labonovum-directeur Richard Monkel zegt tegen NU.nl dat er een hackaanval heeft plaatsgevonden op een server van het bedrijf. Het zou gaan om een server die klantbestellingen afhandelt. Door deze hackaanval zouden namen, e-mailadressen, woonplaatsen en postcodes van de getroffen klanten openbaar toegankelijk zijn geworden via de site van PostYourLab.
Het gaat alleen om de genoemde persoonsgegevens; testuitslagen of andere medische gegevens zijn dus niet uitgelekt. NU.nl kwam het lek op het spoor na een lezerstip; toen de nieuwssite contact opnam met Labonovum is het lek gedicht. Labonovum gaat aangifte doen bij de politie en gaat getroffen klanten maandag per e-mail op de hoogte stellen. Het bedrijf zegt nog te onderzoeken of een melding bij de Autoriteit Persoonsgegevens nodig is.
Overigens blijkt uit de gegevens dat het bedrijf gemaakte beloftes over privacy niet nakomt. Op de site van PostYourLabs staat dat het bedrijf adresgegevens dertig dagen bewaart en daarna verwijdert. Ook zegt het bedrijf volgens NU.nl de naam van een klant niet te bewaren.
NU.nl schrijft dat in het bestand namen en adresgegevens zijn teruggevonden van gebruikers die sinds 29 maart 2020 klant waren bij het bedrijf. Deze gegevens zijn dus niet binnen dertig dagen verwijderd en daarnaast slaat het bedrijf meer op dan dat het zegt. De persoonsgegevens zullen vanaf nu na dertig dagen verwijderd worden, zegt Monkel.
PostYourLab is een jaar geleden opgericht en is een bedrijf dat bloed-, speeksel-, DNA-, en urinetestpakketten verkoopt. Gebruikers ontvangen de test, voeren deze uit en sturen deze weer naar het bedrijf terug. Het bedrijf verkoopt onder meer corona-antistoffentestpakketten.