Het ministerie van Justitie en Veiligheid had een mogelijk datalek dat vorig jaar in de NL-Alert-app werd gevonden, eerder moeten melden bij de Autoriteit Persoonsgegevens (AP). Dat schrijft demissionair minister Grapperhaus in een brief aan de Tweede Kamer.
De NL-Alert-app werd vorig jaar in maart uitgebracht als aanvulling op het nationale alarmsysteem NL-Alert. Dat wordt door de overheid gebruikt om burgers te waarschuwen voor gevaar, bijvoorbeeld bij rampen of extreme drukte. Met de app konden mensen meldingen van incidenten ontvangen, een overzicht van NL-Alerts bekijken en informatie over het voorbereiden op noodsituaties opzoeken.
Mogelijk datalek
Maar eind april schreef Grapperhaus dat een mogelijk datalek was gevonden, waardoor locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zonder toestemming bij een externe notificatiedienst terechtgekomen waren. Later werd een tweede kwetsbaarheid gevonden, waarmee de locatie van andere gebruikers kon worden achterhaald.
Kwetsbaarheden direct melden
Volgens de AP had het ministerie “bij de eerste signalen van een mogelijke inbreuk” melding moeten maken. Dat onderschrijft Grapperhaus: “De mogelijke inbreuk had onverwijld gemeld moeten worden bij de AP. Ik zie dit als een belangrijk leerpunt dat inmiddels in de werkwijze is verankerd. Bij twijfel of een incident wel of niet bij de AP moet worden gemeld, geldt de regel dat een voorlopige melding wordt gedaan.”
Beveiliging niet op orde
De AP merkte verder op dat de beveiliging van de NL-Alert-app niet op orde was. Zo was er een kwetsbaarheid geconstateerd en was er geen herziening geweest op de laatste versie van de app om tekortkomingen op te speuren.
Nieuwe app
Nadat de kwetsbaarheden vorig jaar werden gevonden, werd de app uit appwinkels gehaald. Toch bleek de app in een grote behoefte te voorzien, schrijft Grapperhaus. Daarom wordt een nieuwe app ontwikkeld, maar die “komt pas beschikbaar voor het publiek als een zorgvuldige (externe) doorlichting op onder andere privacy-eisen en informatiebeveiliging heeft plaatsgevonden.”
Bron: Brief Tweede Kamer