image

Maassluis lekte telefoonnummers inwoners die melding via Fixi-app maakten

vrijdag 31 maart 2023, 13:19 door Redactie, 8 reacties

De gemeente Maassluis heeft een datalek bij de Autoriteit Persoonsgegevens gemeld, nadat telefoonnummers van inwoners die melding via de Fixi-app maakten voor iedereen zichtbaar bleken. Fixi is een platform waarbij inwoners over allerlei zaken melding bij hun gemeente kunnen maken. Tachtig Nederlandse gemeentes maken inmiddels gebruik van Fixi.

De meldingen die via de app worden gedaan zijn voor iedereen zichtbaar. In het geval van de gemeente Maassluis bleek dat het in de categorie "Dieren en ongedierte" een extra veld had toegevoegd waarbij verplicht een telefoonnummer moest worden ingevuld. Het telefoonnummer van de melder was echter voor iedereen zichtbaar. Het probleem bleek al een half jaar te spelen. In die tijd waren in de betreffende categorie tachtig meldingen gedaan.

De Gemeente Maassluis heeft de meldingen in de dierencategorie dichtgezet en het datalek gemeld bij de Autoriteit van persoonsgegevens. Inwoners kunnen elkaars melding in de dierencategorie vanaf heden tot vorig jaar oktober niet meer bekijken.

Reacties (8)
31-03-2023, 16:31 door Anoniem
https://reports.exodus-privacy.eu.org/en/reports/com.decos.fixi2.citizen/latest hoe krijg je het voor elkaar om als gemeente dit soort apps te gebruiken?
Niemand daar bij de gemeenste Maassluis die ook maar enig besef heeft van privacy?
01-04-2023, 10:40 door Anoniem
Door Anoniem: https://reports.exodus-privacy.eu.org/en/reports/com.decos.fixi2.citizen/latest hoe krijg je het voor elkaar om als gemeente dit soort apps te gebruiken?
Niemand daar bij de gemeenste Maassluis die ook maar enig besef heeft van privacy?
Nou mijn gemeente gebruikt niet de Fixi app maar heeft een eigen meldingspagina, echter waarom denk je dat dat dan
zoveel beter zou zijn?
Hier is men ook al tegen het probleem aangelopen dat er via de meldingenkaart prive informatie te zien zou zijn.
Het is aan de ene kant heel prettig dat als je een melding wilt doen, je meteen kunt zien "oh die melding is al door iemand
anders gedaan". Zowel voor jezelf als voor de gemeente.
Maar bij sommige meldingen is het dan weer vervelend dat je eens even lekker door zo'n kaart kunt browsen om te zien
wat er her en der zoal aan onverkwikkelijke feiten gemeld wordt.
Mijn gemeente publiceerde via deze weg niet de specifieke velden zoals naam, adres, telefoonnummer maar wel de tekst
van de melding, tot dat bleek dat mensen in die tekst gewoon hun hele verhaal plakten inclusief persoonsgegevens.
01-04-2023, 16:08 door Anoniem
Door Anoniem: https://reports.exodus-privacy.eu.org/en/reports/com.decos.fixi2.citizen/latest hoe krijg je het voor elkaar om als gemeente dit soort apps te gebruiken?
Niemand daar bij de gemeenste Maassluis die ook maar enig besef heeft van privacy?

Deze scan is van een jaar geleden. Ze hebben geluisterd want de app kan inmiddels zonder enige machtiging gewoon werken op Android (een foto maken kan natuurlijk alleen met extra tijdelijke machtiging). Cookies staan ook default uit dus dat is wel netjes qua ontwikkeling.
01-04-2023, 16:40 door Anoniem
Door Anoniem:
Door Anoniem: https://reports.exodus-privacy.eu.org/en/reports/com.decos.fixi2.citizen/latest hoe krijg je het voor elkaar om als gemeente dit soort apps te gebruiken?
Niemand daar bij de gemeenste Maassluis die ook maar enig besef heeft van privacy?
Nou mijn gemeente gebruikt niet de Fixi app maar heeft een eigen meldingspagina, echter waarom denk je dat dat dan
zoveel beter zou zijn?
Hier is men ook al tegen het probleem aangelopen dat er via de meldingenkaart prive informatie te zien zou zijn.
Het is aan de ene kant heel prettig dat als je een melding wilt doen, je meteen kunt zien "oh die melding is al door iemand
anders gedaan". Zowel voor jezelf als voor de gemeente.
Maar bij sommige meldingen is het dan weer vervelend dat je eens even lekker door zo'n kaart kunt browsen om te zien
wat er her en der zoal aan onverkwikkelijke feiten gemeld wordt.
Mijn gemeente publiceerde via deze weg niet de specifieke velden zoals naam, adres, telefoonnummer maar wel de tekst
van de melding, tot dat bleek dat mensen in die tekst gewoon hun hele verhaal plakten inclusief persoonsgegevens.
De brievenbus werkt nog steeds
03-04-2023, 16:59 door Anoniem
Door Anoniem: https://reports.exodus-privacy.eu.org/en/reports/com.decos.fixi2.citizen/latest hoe krijg je het voor elkaar om als gemeente dit soort apps te gebruiken?
Niemand daar bij de gemeenste Maassluis die ook maar enig besef heeft van privacy?

Niet alleen de gemeente Maassluis, ook 79 andere gemeenten in NL hebben lak aan de AVG en delen gewoon al je gegegens en je gedrag met Google. Dat terwijl dit helemaal niet nodig is, er is immers ook een hele goede opensource app voor: https://fixmystreet.org/
03-04-2023, 17:00 door Anoniem
Door Anoniem: https://reports.exodus-privacy.eu.org/en/reports/com.decos.fixi2.citizen/latest hoe krijg je het voor elkaar om als gemeente dit soort apps te gebruiken?
Niemand daar bij de gemeenste Maassluis die ook maar enig besef heeft van privacy?

Alle 80 deze gemeenten zijn verplicht een DPIA te doen voor ze zo'n app inzetten. Ik ben heel benieuwd wat er in die DPIA's over de trackers in de app staat.
03-04-2023, 20:11 door Anoniem
De Fixi app is bij veel gemeente en waterschappen in gebruik. De Fixi is een slechte app voor wat betreft beveiliging.

Fixi voldoet niet aan de verplicht overheidsstandaarden van forum standaardisatie. Test fixi maar eens op internet.nl..
Daaruit blijkt dat er oa iets met de HTTPS mis is en dat IP versie 6 niet wordt ondersteund.
Beide zijn verplicht bij de overheid. Veder zijn de Content-Security-Policy niet in orde en ontbreekt de security.txt.
15-05-2023, 12:33 door Anoniem
In Waalwijk was het nog iets erger gesteld.

Wij hebben een email gestuurd naar de gemeente, omdat wij onze groene container moesten laten vervangen.
Een paar weken later kom ik er bij toeval achter dat ze de mail op Fixi hebben gestuurd met adres en huisnummer.
In de mail stond dat we een paar dagen weg waren, leuk voor inbrekers.

Ik heb hiervan een melding gemaakt bij de Gemeente Waalwijk om de melding te verwijderen en in vervolg zorgvuldiger om te gaan met persoonsgegevens,.

Daarnaast hebben we ook een melding ingediend bij de Autoriteit Persoonsgegevens, want dit kan echt niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.