Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 april 2020

Het Ministerie van Justitie en Veiligheid heeft vandaag melding gemaakt bij de Autoriteit Persoonsgegevens (AP) van een datalek. Het gaat om een datalek in de app van NL-Alert. Deze app staat op zichzelf en maakt geen onderdeel uit van de NL-Alert cell broadcast, het alarmmiddel van de overheid in het geval van een noodsituatie. De NL-alert app is bedoeld voor aanvullende informatiediensten en biedt gebruikers de mogelijkheid om – naast het ontvangen van NL-alerts op de gebruikelijke wijze – een pushbericht via de app op hun toestel te ontvangen.

Aanleiding

De NL-Alert app is door een leverancier ontwikkeld in opdracht van het Ministerie van Justitie en Veiligheid. De NL-Alert app stuurt een pushbericht – ofwel een notificatie – in het geval van een ernstig incident in de nabije omgeving van de gebruiker van de app, zodat aanvullende informatie kan worden opgezocht naar aanleiding van de notificaties die via cell broadcast worden verstuurd. Sinds begin maart hebben circa 58.000 gebruikers deze aanvullende app gedownload.

Eind maart ontdekten medewerkers van mijn ministerie dat de NL-Alert app gebruik maakt van een externe dienst die mogelijk niet voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Naar aanleiding hiervan is binnen mijn ministerie nader onderzoek gedaan naar de werking van de NL-Alert app en is er extern juridisch advies ingewonnen bij een gespecialiseerd advocatenkantoor. Daarbij is ook de vraag aan de orde gekomen of er sprake zou kunnen zijn van een datalek. Uit het extern juridisch advies dat mijn ministerie op 28 april jl. heeft ontvangen blijkt dat dit inderdaad het geval is.

Voor zover ik dat nu heb kunnen achterhalen, zijn via de NL-Alert app locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps, bij de externe dienst terecht gekomen zonder dat de gebruikers daarvoor toestemming hebben gegeven. Na het verschijnen van het extern juridisch advies heb ik de aanbieder van de externe dienst verzocht het verzamelen van data via de app per direct te staken en de al verzamelde data te vernietigen.

Dichten van het datalek

Het dichten van het datalek is mogelijk door middel van een software update of het verwijderen van de app. Omdat ik van mening ben dat het gebruik van de NL-Alert app boven elke twijfel verheven moet zijn, adviseer ik alle gebruikers de app voorlopig te verwijderen van hun toestel. Dit advies zal ook via de websites van NL-Alert (www.nl-alert.nl) en de rijksoverheid (www.rijksoverheid.nl) worden gedeeld. Daarnaast zal er binnen enkele dagen een update van de app worden verspreid waarin de betreffende externe dienst is verwijderd. Hiermee zorgen we ervoor dat het datalek zo snel mogelijk wordt gedicht.

Informeren gebruikers

Inmiddels heeft mijn ministerie melding van dit datalek gemaakt bij de Autoriteit Persoonsgegevens. Indien de komende dagen meer duidelijk wordt over de aard en omvang van het datalek, zal ik deze melding zo nodig aanvullen. Gebruikers van de app zullen via de website van NL-Alert worden geïnformeerd over de voortgang van het onderzoek naar aard en omvang van het datalek. Dit onderzoek is nog gaande.

Daarnaast heb ik de Chief Information Officer van het Rijk (CIO-Rijk) geïnformeerd over de gang van zaken en hem verzocht de informatie met betrekking tot dit datalek te delen met andere delen van de (rijks)overheid.

Tot slot

De NL-Alert app is een waardevolle aanvulling op de crisiscommunicatiemiddelen die de overheid heeft. Tegelijkertijd moeten burgers erop kunnen vertrouwen dat er op zorgvuldige wijze met hun persoonsgegevens wordt omgegaan. Ik betreur deze gang van zaken en heb de Auditdienst Rijk (ADR) gevraagd onderzoek te doen naar de gang van zaken. De ADR heeft hiermee ingestemd.

Ik zal uw Kamer over zowel de aard, omvang en gevolgen van het datalek, als de uitkomsten van het ADR-onderzoek informeren.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus