AP: Beveiliging NL-Alert-app was niet op orde

De app NL-Alert was een aanvullende applicatie voor de NL-Alerts. Via de app kregen gebruikers meldingen van incidenten, een overzicht van de uitgegeven NL-alerts en informatie om zich voor te bereiden op noodsituaties. Eind april werd echter een mogelijk datalek in de app gevonden, waardoor locatiegegevens van gebruikers onterecht bij een externe partij waren aangekomen. Dat lek werd op 30 april gemeld bij de AP, toen minister Grapperhaus van Justitie en Veiligheid het lek ook met de Tweede Kamer deelde.

De AP en de Auditdienst Rijk (ADR) - die door Grapperhaus gevraagd werd om intern onderzoek te doen naar de totstandkoming van de app - concluderen nu dat de beveiliging van de app niet op orde was, zo schrijft de minister in een brief aan de Tweede Kamer. Volgens de AP is dat niet alleen omdat er een kwetsbaarheid geconstateerd werd, maar ook omdat er geen review was uitgevoerd op de laatste versie van de app. Met zo'n review hadden tekortkomingen in de app geïdentificeerd kunnen worden, aldus de AP.

De ADR constateert dezelfde punten als de AP over de informatiebeveiliging en de data protection impact assessment (DPIA), waarmee privacyrisico’s van gegevensverwerkingen in kaart worden gebracht. Volgens de Auditdienst zijn de problemen onder meer ontstaan doordat de betrokken medewerkers weinig ervaring hadden met projectmanagement en inkooptrajecten. Daarnaast misten ze inhoudelijke technische kennis die noodzakelijk is voor dit soort ontwikkeltrajecten, denkt de ADR. "De medewerkers zijn hierdoor onvoldoende in staat geweest om de risico’s te inventariseren en te mitigeren."

Maatregelen genomen

Grapperhaus geeft in zijn brief toe dat er onvoldoende expertise is ingezet bij de ontwikkeling van de app en de DPIA. "De vastgestelde DPIA had geactualiseerd moeten worden op het moment dat daartoe aanleiding was. Daarom worden binnen mijn ministerie maatregelen genomen om de kennis van medewerkers over DPIA’s te vergroten." Daarnaast is er een onderzoek ingesteld naar DPIA's die in 2019 en 2020 zijn uitgevoerd waarvoor de minister verwerkingsverantwoordelijke is. Daarbij moet beoordeeld worden of de gegevensverwerking in de praktijk in lijn is met de inhoud van de DPIA's en of er voldoende maatregelen zijn genomen om aangetroffen risico's te verminderen.

Grapperhaus zegt verder toe dat bij de ontwikkeling van vergelijkbare producten binnen het ministerie een projectmatige aanpak gebruikt gaat worden, waarbij informatiebeveiliging en privacy "belangrijke pijlers" zijn. "Bij deze aanpak wordt gebruik gemaakt van projectleiders met ervaring in ICT-projecten en gegevensbeschermingsexperts die gedurende het traject betrokken blijven." Daarnaast wordt er gewerkt volgens het privacy by design- en privacy by default-principe. Ook wordt "extra rekening gehouden met de benodigde technische en organisatorische maatregelen". Welke maatregelen dat zijn, is volgens Grapperhaus afhankelijk van de aard en type van verwerking. 

"Tot slot worden binnen het ontwikkelproces voldoende momenten ingebouwd om het product – indien nodig ook extern - te toetsen op de naleving van geldende eisen op het gebied van informatiebeveiliging en privacy."

Datalek te laat gemeld

Hoewel de Landsadvocaat na onderzoek concludeert dat er geen sprake was van een meldplichtig datalek, moest het mogelijke lek volgens de AP wel eerder gemeld worden dan nu gebeurd is. Die melding had al moeten komen bij de eerste signalen van een mogelijke inbreuk, "ongeacht of in dat stadium voldoende informatie voorhanden was over de aard en omvang van de mogelijke inbreuk".

Grapperhaus zegt in zijn brief dat hij dit als belangrijk leerpunt ziet dat nu in de werkwijze verankerd is. "Bij twijfel of een incident wel of niet bij de AP moet worden gemeld, geldt de regel dat een voorlopige melding wordt gedaan. Mijn ministerie beschikt over een actueel Stappenplan Meldplicht Datalekken voor medewerkers en leidinggevenden. Dit stappenplan wordt actief onder de aandacht gebracht."

Nieuwe app in de maak

NL-Alert werd vorig jaar na de ontdekking van het datalek uit de appstores gehaald. Maar volgens de minister werd er in een grote behoefte voorzien via de app, waardoor hij nu heeft besloten om een nieuwe voorziening te ontwikkelen.

"Bij dit traject worden de geleerde lessen en de aanbevelingen uit de verschillende onderzoeken ter harte genomen. De voorziening komt pas beschikbaar voor het publiek als een zorgvuldige (externe) doorlichting op onder andere privacy-eisen en informatiebeveiliging heeft plaatsgevonden."