Grapperhaus: ‘Geen aanwijzing voor misbruik datalekken in NL-Alert app’

Grapperhaus: ‘Geen aanwijzing voor misbruik datalekken in NL-Alert app’

Laatst bijgewerkt: 6 mei 2020
Leestijd: 2 minuten, 47 seconden

Volgens Ferd Grapperhaus, minister van Justitie en Veiligheid, zijn er geen aanwijzingen dat de datalekken die afgelopen week werden ontdekt in de NL-Alert app ook daadwerkelijk zijn misbruikt. Om er zeker van te zijn dat de applicatie na de update geen kwetsbaarheden meer bevat, kijkt een onafhankelijke deskundige van Fox-IT naar de app.

Dat schrijft de minister in een brief aan de Tweede Kamer.

Eerste datalek

Vorige week was er enige tijd commotie rondom de NL-Alert app. Medewerkers van het ministerie van Justitie en Veiligheid ontdekten een lek in de applicatie. De locatiegegevens en persoonsgegevens over onder meer het besturingssysteem en geïnstalleerde apps van 58.000 man was bij een externe notificatiedienst beland. Daarmee voldeed de app vanzelfsprekend niet aan de richtlijnen van de Algemene Verordening Gegevensbescherming (AVG), die stelt dat dergelijke gegevens goed beschermd moeten worden.

De minister adviseerde iedereen die de app op zijn of haar smartphone had geïnstalleerd, te verwijderen. Zodra er een nieuwe update beschikbaar was, was het weer verantwoord om de app opnieuw te installeren. Deze update, die ervoor zorgde dat de verzamelde gegevens niet langer bij de externe notificatiedienst belandde, werd op 28 april uitgerold. Op 30 april informeerde Grapperhaus de Tweede Kamer hierover.

Locatiegegevens

Daags daarna, op 1 mei, ontdekte de NOS dat de NL-Alert app nog een tweede beveiligingslek bevatte. Met behulp van een unieke gebruikerscode of token, die noodzakelijk is om de installatie te identificeren, was het mogelijk om via een webadres toegang te verkrijgen tot de locatie van een gebruiker. Anders gezegd, in theorie was het mogelijk om iemands bewegingen tot in detail vast te leggen en te volgen.

Minister Grapperhaus was hiervan op de hoogte. Zodra het lek aan het licht kwam, heeft de minister deze gemeld bij de Autoriteit Persoonsgegevens (AP), Chief Information Officer (CIO) van het Rijk en het Nationaal Cyber Security Centrum (NCSC). Tevens won de minister extern juridisch advies in over de vraag of er een meldingsplicht bestond voor het lek. Dat bleek niet het geval te zijn.

Geen meldingsplicht

“Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid, is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig datalek”, zo lezen we in de brief.

Tevens legde hij het eerder ingewonnen juridische advies voor aan de Landsadvocaat. Die kwam tot dezelfde conclusie, namelijk dat de minister in dit geval niet wettelijk verplicht was om het lek te melden.

Minister Grapperhaus vond het dan ook niet nodig om de Tweede Kamer over het tweede lek te informeren. Achteraf erkent hij dat het verstandiger was geweest om de Kamer op 30 april hierover te informeren.

Voortgang van het onderzoek

Om er zeker van te zijn dat de app geen kwetsbaarheden meer bevat, heeft hij een onafhankelijk expert van Fox-IT gevraagd om de app onder de loep te nemen. De leverancier van de externe dienst is door de Landsadvocaat meerdere malen verzocht om medewerking te verlenen aan het dichten van en het onderzoek naar het datalek. Tevens heeft de Landsadvocaat het bedrijf gesommeerd om alle verzamelde data te vernietigen. Zodra het onderzoek naar het datalek is afgerond, wordt de Tweede Kamer geïnformeerd over de uitkomsten, omvang en impact van het lek.

Tech-journalist
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen