De gemeente Eindhoven heeft waarschuwingen over de kwetsbaarheid van de sportpas genegeerd. Dat meldt het Eindhovens Dagblad op basis van (een vertrouwelijk) onderzoek dat de gemeente liet uitvoeren. Vorig jaar werd bekend dat Eindhoven de lokale sportpas van inwoners wegens een kwetsbare QR-code ging vervangen door een pas met chip. Het ging om ruim twaalfduizend passen die inmiddels vervangen zijn.
Tijdens een test door een 'ethisch hacker' werd ontdekt dat de kwetsbare QR-code het mogelijk maakte om met het tegoed van een andere gebruiker het zwembad binnen te komen. Het beveiligingsprobleem was pijnlijk, aangezien de sportpas de stadspas verving die juist wegens privacybezwaren was afgeschaft. Uit het onderzoek dat de gemeente naar de sportpas liet uitvoeren blijkt dat de wettelijk verplichte privacytoets niet was uitgevoerd voordat de pas werd geïntroduceerd.
Toen het data protection impact assessment (DPIA) wel werd opgesteld, werd de interne Functionaris Gegevensbescherming (FG) niet om advies gevraagd over de beheersmaatregelen. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht, zodat er dan maatregelen kunnen worden getroffen om die te beperken. "Zonder de beoordeling van de FG bestaat het gevaar dat kritieke privacykwesties onopgemerkt blijven en niet worden aangepakt, wat kan leiden tot schendingen van de privacywetgeving, datalekken en reputatieschade", aldus het onderzoek.
De onderzoekers stellen verder dat risico’s niet integraal zijn beoordeeld waardoor het stadsbestuur de sportpas invoerde op basis van halve informatie. De gemeente zegt dat het interne processen gaat aanscherpen. De Functionaris Gegevensbescherming meldde in maart van dit jaar dat de audit naar de situatie rond de sportpas 'heldere constateringen' en acht 'waardevolle aanbevelingen' bevat die op het gehele DPIA-proces van de gemeente van toepassing zijn (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.