Gemeente Eindhoven deed geen verplicht privacyonderzoek naar Zwemapp
De gemeente Eindhoven heeft geen verplicht privacyonderzoek naar de Zwemapp uitgevoerd, waarvan het onlangs uit voorzorg een datalek bij de Autoriteit Persoonsgegevens meldde. Via de ZwemApp geeft de gemeente informatie over zwem- en bewegingslessen, zoals lessen, nieuws en belangrijke data. Daarnaast krijgen gebruikers meldingen als lessen uitvallen of als tijden veranderen. Een beveiligingsonderzoeker ontdekte elf kwetsbaarheden in de ZwemApp en meldde die aan de gemeente, zo liet het Eindhovens Dagblad onlangs weten.
"Is een organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is de organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren", zo stelt de Autoriteit Persoonsgegevens. Dat heeft de gemeente voor de Zwemapp niet gedaan, zo blijkt uit een reactie van het college op vragen van de FvD naar aanleiding van het incident.
"Na meldingen van de hacker over kwetsbaarheden van de app, hebben we geconstateerd dat het voorgeschreven proces op het gebied van privacy niet volledig is doorlopen. Bij zwemlesresultaten en afmelden zwemles was er sprake van gebruik van persoonsgegevens in de app; dit was niet vastgelegd", aldus wethouder Maes van Lanschot (pdf). Inmiddels is de gegevensverwerking aangepast en vindt die plaats op de website eindhovensport.nl.
"De app verbindt slechts met de website. Er worden geen persoonsgegevens in de app zelf verwerkt. Dit is ook de reden dat de app in gebruik kan blijven", zo laat Van Lanschot verder weten. Vanwege de melding over de kwetsbaarheden is besloten om de DPIA's voor de Zwemapp alsnog 'met urgentie' uit te voeren. Die zouden in het eerste kwartaal van volgend jaar moeten zijn afgerond.
Verder blijkt dat de gemeente bij de Functionaris Gegevensbescherming (FG) geen advies over de Zwemapp heeft opgevraagd. "Afgelopen week is, naar aanleiding van de signalen van een ethische hacker, alsnog informatie ingewonnen bij de FG over het proces ten aanzien van gegevensbescherming. Op basis van deze informatie is onder andere het actualiseren van de DPIA’s in gang gezet", voegt Van Lanschot toe. Vorig jaar besloot de AP de gemeente Eindhoven onder verscherpt toezicht te plaatsen omdat er niet goed op datalekken werd gereageerd.
Ik ben niet voorshands de mening toegedaan dat de ZwemApp aan deze criteria voldoet.
a) niet vroegtijdig geconstateerd dat er persoonsgegevens worden verwerkt, dus wss en geen registratie in verwerkingsregister en niet beoordeeld OF een DPIA verplicht is. Het betekent indd niet dat een DPIA verplicht was.
b) het actualiseren van de DPIAs in gang gezet, dit klinkt eerder als controle of er andere gegevensverwerkingen zijn die niet conform stap a zijn beoordeeld.
De headline komt niet overeen met het artikel en geeft een onterechte indruk weer.
Ik ben niet voorshands de mening toegedaan dat de ZwemApp aan deze criteria voldoet.
Ik denk dat veel data over jonge kinderen gaat, dat maakt het toch weer net anders.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.