Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 30 april 2020
Het Ministerie van Justitie en Veiligheid heeft vandaag melding gemaakt bij de Autoriteit
Persoonsgegevens (AP) van een datalek. Het gaat om een datalek in de app van NL-Alert.
Deze app staat op zichzelf en maakt geen onderdeel uit van de NL-Alert cell broadcast,
het alarmmiddel van de overheid in het geval van een noodsituatie. De NL-alert app
is bedoeld voor aanvullende informatiediensten en biedt gebruikers de mogelijkheid
om – naast het ontvangen van NL-alerts op de gebruikelijke wijze – een pushbericht
via de app op hun toestel te ontvangen.
Aanleiding
De NL-Alert app is door een leverancier ontwikkeld in opdracht van het Ministerie
van Justitie en Veiligheid. De NL-Alert app stuurt een pushbericht – ofwel een notificatie
– in het geval van een ernstig incident in de nabije omgeving van de gebruiker van
de app, zodat aanvullende informatie kan worden opgezocht naar aanleiding van de notificaties
die via cell broadcast worden verstuurd. Sinds begin maart hebben circa 58.000 gebruikers
deze aanvullende app gedownload.
Eind maart ontdekten medewerkers van mijn ministerie dat de NL-Alert app gebruik maakt
van een externe dienst die mogelijk niet voldoet aan de vereisten van de Algemene
Verordening Gegevensbescherming (AVG). Naar aanleiding hiervan is binnen mijn ministerie
nader onderzoek gedaan naar de werking van de NL-Alert app en is er extern juridisch
advies ingewonnen bij een gespecialiseerd advocatenkantoor. Daarbij is ook de vraag
aan de orde gekomen of er sprake zou kunnen zijn van een datalek. Uit het extern juridisch
advies dat mijn ministerie op 28 april jl. heeft ontvangen blijkt dat dit inderdaad
het geval is.
Voor zover ik dat nu heb kunnen achterhalen, zijn via de NL-Alert app locatiegegevens
van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem
en andere geïnstalleerde apps, bij de externe dienst terecht gekomen zonder dat de
gebruikers daarvoor toestemming hebben gegeven. Na het verschijnen van het extern
juridisch advies heb ik de aanbieder van de externe dienst verzocht het verzamelen
van data via de app per direct te staken en de al verzamelde data te vernietigen.
Dichten van het datalek
Het dichten van het datalek is mogelijk door middel van een software update of het
verwijderen van de app. Omdat ik van mening ben dat het gebruik van de NL-Alert app
boven elke twijfel verheven moet zijn, adviseer ik alle gebruikers de app voorlopig
te verwijderen van hun toestel. Dit advies zal ook via de websites van NL-Alert (www.nl-alert.nl) en de rijksoverheid (www.rijksoverheid.nl) worden gedeeld. Daarnaast zal er binnen enkele dagen een update van de app worden
verspreid waarin de betreffende externe dienst is verwijderd. Hiermee zorgen we ervoor
dat het datalek zo snel mogelijk wordt gedicht.
Informeren gebruikers
Inmiddels heeft mijn ministerie melding van dit datalek gemaakt bij de Autoriteit
Persoonsgegevens. Indien de komende dagen meer duidelijk wordt over de aard en omvang
van het datalek, zal ik deze melding zo nodig aanvullen. Gebruikers van de app zullen
via de website van NL-Alert worden geïnformeerd over de voortgang van het onderzoek
naar aard en omvang van het datalek. Dit onderzoek is nog gaande.
Daarnaast heb ik de Chief Information Officer van het Rijk (CIO-Rijk) geïnformeerd
over de gang van zaken en hem verzocht de informatie met betrekking tot dit datalek
te delen met andere delen van de (rijks)overheid.
Tot slot
De NL-Alert app is een waardevolle aanvulling op de crisiscommunicatiemiddelen die
de overheid heeft. Tegelijkertijd moeten burgers erop kunnen vertrouwen dat er op
zorgvuldige wijze met hun persoonsgegevens wordt omgegaan. Ik betreur deze gang van
zaken en heb de Auditdienst Rijk (ADR) gevraagd onderzoek te doen naar de gang van
zaken. De ADR heeft hiermee ingestemd.
Ik zal uw Kamer over zowel de aard, omvang en gevolgen van het datalek, als de uitkomsten
van het ADR-onderzoek informeren.
De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus