De gemeente Eindhoven heeft geen verplicht privacyonderzoek naar de Zwemapp uitgevoerd, waarvan het onlangs uit voorzorg een datalek bij de Autoriteit Persoonsgegevens meldde. Via de ZwemApp geeft de gemeente informatie over zwem- en bewegingslessen, zoals lessen, nieuws en belangrijke data. Daarnaast krijgen gebruikers meldingen als lessen uitvallen of als tijden veranderen. Een beveiligingsonderzoeker ontdekte elf kwetsbaarheden in de ZwemApp en meldde die aan de gemeente, zo liet het Eindhovens Dagblad onlangs weten.

"Is een organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is de organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren", zo stelt de Autoriteit Persoonsgegevens. Dat heeft de gemeente voor de Zwemapp niet gedaan, zo blijkt uit een reactie van het college op vragen van de FvD naar aanleiding van het incident.

"Na meldingen van de hacker over kwetsbaarheden van de app, hebben we geconstateerd dat het voorgeschreven proces op het gebied van privacy niet volledig is doorlopen. Bij zwemlesresultaten en afmelden zwemles was er sprake van gebruik van persoonsgegevens in de app; dit was niet vastgelegd", aldus wethouder Maes van Lanschot (pdf). Inmiddels is de gegevensverwerking aangepast en vindt die plaats op de website eindhovensport.nl.

"De app verbindt slechts met de website. Er worden geen persoonsgegevens in de app zelf verwerkt. Dit is ook de reden dat de app in gebruik kan blijven", zo laat Van Lanschot verder weten. Vanwege de melding over de kwetsbaarheden is besloten om de DPIA's voor de Zwemapp alsnog 'met urgentie' uit te voeren. Die zouden in het eerste kwartaal van volgend jaar moeten zijn afgerond.

Verder blijkt dat de gemeente bij de Functionaris Gegevensbescherming (FG) geen advies over de Zwemapp heeft opgevraagd. "Afgelopen week is, naar aanleiding van de signalen van een ethische hacker, alsnog informatie ingewonnen bij de FG over het proces ten aanzien van gegevensbescherming. Op basis van deze informatie is onder andere het actualiseren van de DPIA’s in gang gezet", voegt Van Lanschot toe. Vorig jaar besloot de AP de gemeente Eindhoven onder verscherpt toezicht te plaatsen omdat er niet goed op datalekken werd gereageerd.