Het ministerie van Justitie en Veiligheid had een mogelijk datalek met de NL-Alert-app die vorig jaar aan het licht kwam eerder bij de Autoriteit Persoonsgegevens moeten melden. Daarnaast was de beveiliging van de app niet op orde, zo blijkt uit onderzoek van de privacytoezichthouder. Aangezien gebruikers de app nuttig vonden heeft demissionair minister Grapperhaus besloten om een nieuwe app te laten ontwikkelen.

De NL-Alert-app staat los van de NL-Alerts die via cell broadcast worden verstuurd en kon in het geval van ernstige incidenten pushberichten naar gebruikers sturen. Daarnaast bood de app de mogelijkheid om ook NL-Alerts voor bepaalde voorkeurslocaties in te stellen en toonde het een overzicht van de NL-Alerts van de afgelopen zeven dagen. In de app was ook te lezen hoe gebruikers zich kunnen voorbereiden op noodsituaties en calamiteiten zoals griepepidemieën, stralingsincidenten en grote branden. De app was dan ook vooral bedoeld als aanvulling op de standaard berichtgeving via de NL-Alertmeldingen op de telefoon.

Vorig jaar mei meldde minister Grapperhaus dat locatiegegevens van 58.000 gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zonder toestemming van gebruikers bij een externe notificatiedienst terecht waren gekomen waar de app gebruik van maakte. Gebruikers kregen het advies van het ministerie om de app te verwijderen. Daarnaast verscheen er een update die voorkomt dat er data naar de externe dienst ging.

Een dag na de aankondiging van de minister bleek dat de app een tweede kwetsbaarheid bevatte waarmee de locatie van andere gebruikers kon worden opgevraagd. Dit beveiligingslek werd op 28 april in de app verholpen. Het beveiligingsprobleem was echter niet gemeld in de Kamerbrief over het datalek bij de externe notificatiedienst.

"Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig datalek", maakte minister Grapperhaus vorig jaar duidelijk.

Eerder melden

De app werd vervolgens uit de appstores verwijderd en de minister kondigde een onderzoek aan, waarvan de resultaten vandaag openbaar zijn gemaakt. Volgens Grapperhaus had het ministerie bij de eerste signalen van een mogelijk datalek dit bij de Autoriteit Persoonsgegevens moeten melden, ongeacht of er voldoende informatie voorhanden was over de aard en omvang van het mogelijke datalek.

"De mogelijke inbreuk had onverwijld gemeld moeten worden bij de AP. Ik zie dit als een belangrijk leerpunt dat inmiddels in de werkwijze is verankerd. Bij twijfel of een incident wel of niet bij de AP moet worden gemeld, geldt de regel dat een voorlopige melding wordt gedaan", laat de minister in een reactie op de bevindingen van de toezichthouder weten.

Daarnaast stelde de AP dat de beveiliging van de app onvoldoende was, omdat onder meer een kwetsbaarheid was geconstateerd en er geen review was uitgevoerd op de laatste versie van de app waarmee de tekortkomingen van de app geïdentificeerd hadden kunnen worden.

Technische kennis

De Auditdienst Rijk (ADR) stelde tekortkomingen vast in de aansturing en beheersing van het project en het toezicht daarop, maar benoemde ook dezelfde punten wat betreft de informatiebeveiliging die eerder door de Autoriteit Persoonsgegevens werden opgemerkt. Volgens de ADR lijken de problemen bij het ontwikkelen van de app onder andere te zijn ontstaan doordat de betrokken medewerkers weinig ervaring hadden met projectmanagement en inkooptrajecten en ook inhoudelijke technische kennis misten die noodzakelijk is voor dit soort ontwikkeltrajecten. "De medewerkers zijn hierdoor onvoldoende in staat geweest om de risico’s te inventariseren en te mitigeren", aldus Grapperhaus.

Nieuwe app

Toen de NL-Alert-app in maart vorig jaar in de appstores werd geplaatst bevond die zich nog in een pilotfase. Gebruikers waren echter positief en de app bleek in een grote behoefte te voorzien, aldus Grapperhaus. "Gezien de geconstateerde behoefte heb ik besloten om opnieuw een voorziening te gaan ontwikkelen", merkt de minister op. Deze app zal echter pas openbaar worden als onder andere de privacy-eisen en informatiebeveiliging "zorgvuldig" zijn doorgelicht.