Privacy Nieuws
Het is technisch gezien niet uit te sluiten of iemand datalekken in de NL-Alert-app heeft misbruikt. Dat meldt minister Ferd Grapperhaus van Justitie en Veiligheid in een Kamerbrief.
Met behulp van een unieke gebruikerscode die te vinden was in de NL-Alert-app, kon de actuele locatie van een appgebruiker achterhaald worden. Die informatie zou gebruikt kunnen worden om iemand te volgen.
Volgens de privacywet moeten gegevens goed beveiligd zijn, onder meer door te voorkomen dat Jan en alleman er toegang tot heeft. Het bijhouden van een logboek is niet verplicht, maar volgens de Autoriteit Persoonsgegevens (AP) in de meeste gevallen wel noodzakelijk.
“Door de logbestanden regelmatig te controleren of automatisch te analyseren, kunt u bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kunt u datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest”, aldus de toezichthouder.
Grapperhaus erkent dat de beveiliging van de NL-Alert-app “boven elke twijfel verheven” moet zijn. Hoewel misbruik niet technisch uit te sluiten is, wijst de minister er in de brief wel op dat iemand toegang moest hebben tot de smartphone van het beoogde slachtoffer. Ook was de kwetsbaarheid niet publiek bekend, wat de kans op misbruik verkleint.
Zowel de eerste als de tweede kwetsbaarheid is in de meest recente versie van de NL-Alert-app verholpen. De update maakt de app echter onbruikbaar.
Minister Grapperhaus adviseert gebruikers om de app te verwijderen. De reguliere NL-Alert wordt via een technische variant op sms verstuurd en is niet afhankelijk van een app.
AVG Awareness, Privacy Nieuws
De officiële NL-Alert-app blijkt eind april locatiegegevens van gebruikers gelekt te hebben. Donderdag kwam al aan het licht dat de app per abuis privégegevens doorstuurde naar de verwerker van de pushnotificaties. Het ministerie van Veiligheid en Justitie schreef aan de Tweede Kamer dat het advies is om de app te deïnstalleren.
De app verwerkt de locatiegegevens om gebruikers waarschuwingsmeldingen te versturen die zijn gebaseerd op de plek waar ze zijn. Die locatie-informatie werd echter niet afgeschermd verstuurd. Daardoor zou bijvoorbeeld een boze ex of jaloerse partner tot op de minuut kunnen achterhalen waar iemand uithangt.
Het ministerie benadrukt dat er geen aanwijzingen zijn dat iemand het lek daadwerkelijk heeft misbruikt.
De NL Alert-app staat los van de dienst NL-Alert, en biedt aanvullende functionaliteit. Sinds de app begin maart werd gelanceerd, is hij 58.000 keer geïnstalleerd.
Het nieuwe beveiligingsprobleem staat daar los van, en werd niet genoemd in een brief aan de Tweede Kamer. “Dit nieuwe lek had natuurlijk ook in de Kamerbrief moeten staan”, zegt D66-Kamerlid Kees Verhoeven. “Dit niet melden suggereert toch dat je niet wil dat het bij het grote publiek bekend wordt.”
Achterhalen
Voor het achterhalen van iemands locatie moest eerst een uniek nummer worden achterhaald. Wie dat unieke nummer kende, kon vervolgens ongemerkt iemands huidige locatie achterhalen, op ongeveer tien meter nauwkeurig.
Corona-app
Het nieuws over de NL-Alert-app komt voor de overheid op een ongelukkig moment: er wordt gewerkt aan een app die moet helpen om corona-besmettingen op te sporen. “Dit raakt aan die discussie”, zegt Kamerlid Verhoeven van coalitiepartij D66. Ook bij de corona-app gaat het immers om in potentie privacygevoelige gegevens die worden verwerkt.
Twee weken geleden kwam aan het licht dat zeven apps die in de running waren als ‘corona-app’ slecht in elkaar zaten. De apps waren nog in de ontwikkelfase, maar waren niet goed beveiligd en slecht geprogrammeerd.
Privacy Nieuws
Twee externe harde schijven met een back-up van 6,9 miljoen donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010 zijn zoekgeraakt, schrijft minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport, in een Kamerbrief.
Het gaat om in totaal 6,9 miljoen formulieren, vertelt een woordvoerder van het CIBG, een uitvoeringsorganisatie van het ministerie van Volksgezondheid, aan NU.nl. Daarin staan de voor -en achternaam, geboortedatum, burgerservicenummers, adresgegevens, en de reden van registratie of wijziging in het donorregister.
Het is niet bekend wanneer de harde schijven zijn verdwenen. Het CIBG ontdekte afgelopen week dat de schijven niet meer in de kluis lagen waar deze werden bewaard. De organisatie wilde het papieren archief van het Donorregister gaan vernietigen. Op de harde schijven staat een digitale kopie van dit archief. Volgens de woordvoerder zijn de harde schrijven “waarschijnlijk niet beveiligd”.
Het CIBG denkt dat het risico op identiteitsfraude op basis van de gegevens beperkt is, omdat het niet gaat om kopieën van identiteitsbewijzen, financiële gegevens of (DigiD-)inlogcodes. “Daarnaast hebben we op dit moment geen aanwijzing dat de gegevens in verkeerde handen zijn. We adviseren u wel om net als altijd alert te zijn op onverwachte post”, aldus het CIBG.
“Ik vind het zeer vervelend dat dit is gebeurd”, schrijft De Jonge in de Kamerbrief. “Het is uitermate belangrijk dat het publiek, aan de vooravond van het van kracht worden van de nieuwe Donorwet op 1 juli aanstaande, kan vertrouwen op een zorgvuldige en goed beveiligde omgang met persoonsgegevens door het Donorregister. Dat vertrouwen kan door een datalek geschaad worden.”
Het CIBG heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en heeft de Auditdienst Rijk (ADR) verzocht een onafhankelijk onderzoek uit te voeren naar het lek. De woordvoerder benadrukt dat er met het digitale donorregister niks is gebeurd. Volgens De Jonge heeft het datalek geen gevolgen voor orgaan- en weefseldonatieprocedures.
Privacy Nieuws
De Nederlandse overheid is er ook bij nader inzien vannovertuigd dat de antivirussoftware van het Russische bedrijf Kaspersky Labs door de Russische overheid misbruikt kan worden voor spionagedoeleinden.
Minister Ferd Grapperhaus (Justitie en Veiligheid) schrijft dinsdag in een brief aan de Tweede Kamer dat het verbod op software van het Russische bedrijf Kaspersky Labs bij de Rijksoverheid om die reden gehandhaafd blijft.
Het Nederlandse kabinet besloot in mei vorig jaar dat het gebruik van Kaspersky-software werd uitgefaseerd.
Kaspersky zei vorig jaar “teleurgesteld” te zijn in het besluit van het kabinet. Het bedrijf diende in maart een schriftelijk heroverwegingsverzoek in. Daarin stond onder meer dat het besluit van de overheid “op onjuiste aannames berust”. Ook zegt Kaspersky aanpassingen te hebben gemaakt “om de integriteit van de antivirussoftware te borgen”.
Maar volgens Grapperhaus is er “geen aanleiding om de voorzorgsmaatregel te heroverwegen”, schrijft hij in de brief aan de Tweede Kamer. “Deze voorzorgsmaatregel is genomen vanwege de mogelijke risico’s voor de nationale veiligheid.”
Privacy Nieuws
Overheid en bedrijfsleven mogen gewoon met Microsoft Office ProPlus blijven werken. Microsoft heeft zijn softwarepakket aangepast om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dat heeft minister Ferd Grapperhaus van Justitie en Veiligheid maandag medegedeeld aan de Tweede Kamer.
Het ministerie van Justitie en Veiligheid maakte in 2018 kenbaar zich zorgen te maken om het gebruik van de producten, omdat ambtenaren geen controle hadden over welke diagnostische gegevens van Office ProPlus naar de Verenigde Staten werden verstuurd en daar werden opgeslagen.
Onder Microsoft Office ProPlus vallen meerdere kantoordiensten, zoals tekstverwerker Word, spreadsheetbewerker Excel, presentatiebewerker PowerPoint en e-maildienst Outlook.
Na constatering van de overtreding beloofde Microsoft zijn Office-kantoorsoftware zo aan te passen dat het versturen van de gegevens beperkt kon worden.
De aanpassing geldt voor het gebruik van alle Microsoft Office ProPlus-software die wereldwijd wordt gebruikt, en niet alleen voor licentie die de Nederlandse overheid heeft afgenomen.
De Nederlandse overheid gaat jaarlijks controleren Office ProPlus in lijn is met de AVG.
