Verkeerscontrolesysteem getroffen door datalek

Verkeerscamera neemt voorbijrijdende auto's op

Het verkeerscontrolesysteem van ARS Traffic & Transport Technology bevatte enige tijd een lek. Via een webserver hadden hackers toegang tot een bestandsmap. Daarin waren duizenden beelden van verkeerscontroles door heel Nederland opgeslagen. Deze waren tussen 2017 en 2021 genomen. Het lek is vorige week gedicht. Hoewel de privacyrisico’s van het datalek beperkt zijn, is er uit voorzorg melding gedaan bij de Autoriteit Persoonsgegevens.

Dat schrijft de gemeente De Bilt. De gemeente werd afgelopen week op de hoogte gebracht door een onderzoeksjournalist van het Radio 1 programma Argos.

Hacker had toegang tot duizenden beelden van verkeerscontroles

Gemeente De Bilt zegt dat het verkeerscontrolesysteem geplaatst was in de Korssesteeg in Westbroek om sluipverkeer tussen bepaalde uren tegen te gaan. De gemeente besteedde deze klus uit aan een extern bedrijf. Die sloeg beelden op van de verkeerscontrole.

In het persbericht staat dat iemand zonder autorisatie via een webserver toegang had tot een bestandsmap. Daarin waren duizenden beelden opgeslagen die bij eerdere verkeerscontroles genomen waren tussen 2017 en 2021. Beelden van de spitscamera tegen sluipverkeer aan de Korssesteeg in Westbroek zaten eveneens in het bestand. De map bevatte tevens foto’s die bij verkeerscontroles elders in het land hadden plaatsgevonden.

‘Privacyrisico’s voor kentekenhouders zijn beperkt’

Op de beelden zijn kentekens, locaties en tijdstippen waarop auto’s en vrachtwagens de verkeerscamera’s passeerden. Volgens de Algemene Verordening Gegevensbescherming (AVG) kunnen kentekens als persoonsgegevens beschouwd worden: als je toegang hebt tot het kentekenregister, weet je precies wie de eigenaar van een auto is.

Gemeente De Bilt zegt dat het privacyrisico voor kentekenhouders beperkt is. Uit voorzorg heeft ze, net als de leverancier, melding gedaan bij de Autoriteit Persoonsgegevens. De gemeente erkent ruiterlijk dat ze volgens Europese privacywetgeving verantwoordelijk is voor de verwerking van persoonsgegevens. Afspraken over het gebruik van de gegevens en de beveiliging ervan zijn vastgelegd in een verwerkersovereenkomst tussen de gemeente en de leverancier van het verkeerscontrolesysteem.

Gemeente is ‘enorm teleurgesteld’ in betrouwbaarheid van verkeerscontrolesysteem

De gemeente laat er geen misverstand over bestaan. ARS Traffic & Transport Technology is de overeengekomen veiligheids- en privacyvoorschriften en afspraken over de bewaartermijnen niet nagekomen. Daarnaast hadden de beelden nooit toegankelijk mogen zijn voor onbevoegden. Zodoende heeft het datalek kunnen plaatsvinden.

Wethouder voor Verkeer en Mobiliteit André Landwehr is niet te spreken over de gang van zaken. “We zijn enorm teleurgesteld in de betrouwbaarheid van het verkeerscontrolesysteem van onze leverancier. We hebben vooraf duidelijke afspraken gemaakt over de informatiebeveiliging en die afspraak is geschonden. Als gemeente staan we ervoor de privacy van onze inwoners of bezoekers aan de gemeente te beschermen. Dan is het een hard gelag als blijkt dat een ogenschijnlijk betrouwbare partner dit in zijn processen niet naleeft.”

ARS Traffic & Transport Technology zegt dat het lek is ontstaan door een verkeerde instelling. Zodra hij hoorde over het lek, heeft hij direct ‘adequate beveiligingsinstellingen’ doorgevoerd. Om herhaling in de toekomst te voorkomen heeft de gemeente verscherpte controlemaatregelen en informatiebeveiligingsaudits laten vastleggen in de verwerkersovereenkomst. Het verkeerscontrolesysteem is voorlopig buiten werking gesteld.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen