Ministerie had kwetsbaarheden in NL-Alert-app eerder moeten melden
Een mogelijk datalek dat vorig jaar in de NL-Alert-app werd gevonden, had eerder gemeld moeten worden bij de Autoriteit Persoonsgegevens (AP). Dat schrijft demissionair minister Ferd Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer.
De NL-Alert-app werd vorig jaar in maart uitgebracht als aanvulling op het nationale alarmsysteem NL-Alert. Dat wordt door de overheid gebruikt om burgers te waarschuwen voor gevaar, bijvoorbeeld bij rampen of extreme drukte. Met de app konden mensen meldingen van incidenten ontvangen, een overzicht van NL-Alerts bekijken en informatie over het voorbereiden op noodsituaties opzoeken.
Maar eind april schreef Grapperhaus dat een mogelijk datalek was gevonden, waardoor locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zonder toestemming bij een externe notificatiedienst terechtgekomen waren. Later werd een tweede kwetsbaarheid gevonden, waarmee de locatie van andere gebruikers kon worden achterhaald.
Ministerie had kwetsbaarheden direct moeten melden
Volgens de AP had het ministerie "bij de eerste signalen van een mogelijke inbreuk" melding moeten maken. Dat onderschrijft Grapperhaus: "De mogelijke inbreuk had onverwijld gemeld moeten worden bij de AP. Ik zie dit als een belangrijk leerpunt dat inmiddels in de werkwijze is verankerd. Bij twijfel of een incident wel of niet bij de AP moet worden gemeld, geldt de regel dat een voorlopige melding wordt gedaan."
De AP merkte verder op dat de beveiliging van de NL-Alert-app niet op orde was. Zo was er een kwetsbaarheid geconstateerd en was er geen herziening geweest op de laatste versie van de app om tekortkomingen op te speuren.
Nadat de kwetsbaarheden vorig jaar werden gevonden, werd de app uit appwinkels gehaald. Toch bleek de app in een grote behoefte te voorzien, schrijft Grapperhaus. Daarom wordt een nieuwe app ontwikkeld, maar die "komt pas beschikbaar voor het publiek als een zorgvuldige (externe) doorlichting op onder andere privacy-eisen en informatiebeveiliging heeft plaatsgevonden."