Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 april 2021

Met mijn brief van 30 april 20201 heb ik uw Kamer op de hoogte gebracht van een mogelijk datalek in de toen net ontwikkelde app van NL-Alert. Mijn ministerie heeft in april vorig jaar bij een gespecialiseerd advocatenkantoor advies ingewonnen over een mogelijke inbreuk in verband met persoonsgegevens bij de app van NL-Alert. Dit advocatenkantoor kwam op basis van de toen beschikbare informatie tot de voorlopige bevinding dat er mogelijk sprake was van een datalek, waarna mijn ministerie op 30 april hiervan melding heeft gemaakt bij de Autoriteit Persoonsgegevens (AP). Op 6 mei jl.2 heb ik uw Kamer tevens geïnformeerd over een geconstateerde en verholpen kwetsbaarheid in de app.

Bevindingen Landsadvocaat, Autoriteit Persoonsgegevens, Auditdienst Rijk en Fox-IT

Landsadvocaat

De Landsadvocaat is direct na mijn melding bij de AP gestart met een onderzoek naar het mogelijke datalek. De Landsadvocaat concludeert dat er geen sprake is geweest van een meldplichtig datalek.

Autoriteit Persoonsgegevens

De Auditdienst Rijk

Fox-IT

Over de uitvoering van dit onderzoek bent u reeds geïnformeerd in de brief van 6 mei 20203. Fox-IT heeft in zijn analyse de eerder geconstateerde en verholpen kwetsbaarheid bevestigd. Fox-IT heeft geen verdere kwetsbaarheden in de app aangetroffen die ongeautoriseerde toegang of ongewenste verspreiding van persoonsgegevens mogelijk maakten.

Reactie op de bevindingen

De mogelijke inbreuk had onverwijld gemeld moeten worden bij de AP. Ik zie dit als een belangrijk leerpunt dat inmiddels in de werkwijze is verankerd. Bij twijfel of een incident wel of niet bij de AP moet worden gemeld, geldt de regel dat een voorlopige melding wordt gedaan. Mijn ministerie beschikt over een actueel Stappenplan Meldplicht Datalekken voor medewerkers en leidinggevenden. Dit stappenplan wordt actief onder de aandacht gebracht. Dat gebeurt onder meer in een voor alle medewerkers verplichte e-learning die dit jaar wordt aangeboden. In de e-learning wordt uitgebreid aandacht besteed aan datalekken teneinde te bewerkstelligen dat medewerkers zijn toegerust om privacy bewust te werken. Dat betekent onder meer dat zij datalekken kunnen signaleren en weten waar en wanneer ze datalekken dienen te melden.

Bij de ontwikkeling van de app en de DPIA is onvoldoende expertise ingezet om te toetsen of de verstrekte informatie over de beoogde werking van de app correct en volledig was. De vastgestelde DPIA had geactualiseerd moeten worden op het moment dat daartoe aanleiding was. Daarom worden binnen mijn ministerie maatregelen genomen om de kennis van medewerkers over DPIA’s te vergroten. Tevens is – in afstemming met de AP – een onderzoek ingesteld naar in 2019 en 2020 uitgevoerde relevante DPIA’s waarvoor ik de verwerkingsverantwoordelijke ben, waarbij zal worden beoordeeld of de praktijk van gegevensverwerking in lijn is met de inhoud van de DPIA’s, en of de naar aanleiding van de DPIA’s getroffen maatregelen voldoende zijn gebleken om de vastgestelde risico’s te mitigeren.

Er zal tevens voor worden gezorgd dat in voorkomende gevallen het ontwikkelen van vergelijkbare producten binnen mijn ministerie volgens een projectmatige aanpak plaatsvindt, waarbij informatiebeveiliging en privacy belangrijke pijlers zijn. Bij deze aanpak wordt gebruik gemaakt van projectleiders met ervaring in ICT-projecten en gegevensbeschermingsexperts die gedurende het traject betrokken blijven. Naast privacy by design en privacy by default wordt extra rekening gehouden met de benodigde technische en organisatorische maatregelen. Welke maatregelen moeten worden genomen is afhankelijk van de aard en type van de verwerking. Goede voorbeelden zijn versleuteling, maar ook het inrichten van procedures voor de controle van systemen. Hiermee wordt het risico op kwetsbaarheden, datalekken en andere inbreuken verkleind. Tevens moet waar mogelijk gebruik worden gemaakt van beschikbare interdepartementale expertise en moet opgedane kennis worden uitgewisseld. Tot slot worden binnen het ontwikkelproces voldoende momenten ingebouwd om het product – indien nodig ook extern – te toetsen op de naleving van geldende eisen op het gebied van informatiebeveiliging en privacy.

Toekomstige voorziening

De app was een aanvullend middel op NL-Alert, het alarmmiddel van de overheid in het geval van een noodsituatie. De NL-Alert app was ontwikkeld om twee specifieke doelgroepen te bedienen. De eerste doelgroep betreft mensen met een communicatieve beperking die met een regulier NL-Alert bericht niet altijd worden bereikt. De app is om die reden in goede samenwerking met belangengroepen voor mensen met een visuele en/of auditieve beperking ontwikkeld. De tweede doelgroep betreft bewoners van de grensregio’s die met hun telefoon soms (automatisch) gebruik maken van Belgische en Duitse mobiele netwerken en daardoor niet altijd een regulier NL-Alert bericht ontvangen.

De app bevond zich nog in een pilotfase toen deze in maart 2020 in de appstores werd geplaatst. Personen die betrokken waren bij de ontwikkeling van de app zijn destijds actief gevraagd om de app te downloaden en hun ervaringen te delen. De app werd goed ontvangen door deze personen en bleek in een grote behoefte te voorzien.

Gezien de geconstateerde behoefte heb ik besloten om opnieuw een voorziening te gaan ontwikkelen. Bij dit traject worden de geleerde lessen en de aanbevelingen uit de verschillende onderzoeken ter harte genomen. De voorziening komt pas beschikbaar voor het publiek als een zorgvuldige (externe) doorlichting op onder andere privacy-eisen en informatiebeveiliging heeft plaatsgevonden.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus