Den Haag zegt sorry voor illegale datadoorgifte (maar geeft gebruikers geen details)
De gemeente Den Haag geeft AG Connect nog wat uitleg over hoe de privacyfout uit 2021 dit jaar weer herhaald is. Plus het geeft gebruikers excuses in een korte blogpost 'Actie ondernomen na onrechtmatig gebruik van cookies'. De melder van beide datalekken heeft nog wel wat op- en aanmerkingen.
De jaarlijkse hackwedstrijd van de gemeente Den Haag heeft dit jaar een herhaling gegeven van een privacyfout die in 2021 al is begaan. Én die toen is gemeld, net zoals dit jaar weer. Door dezelfde privacy-expert, die het verantwoord heeft gerapporteerd aan de gemeente. Vragen van AG Connect over hoe deze herhaling heeft kunnen plaatsvinden en of er dus geen (goede) controle is geweest op e-Privacy- en AVG-compliance hebben in eerste instantie geen sluitende antwoorden opgeleverd. Doorvragen levert nu meer informatie op.
"De bouw van de website is uitbesteed aan een extern communicatiebureau. De gemeente was daarbij in de veronderstelling dat het bureau – zoals ieder andere organisatie - zorg zou dragen voor de geldende wet- en regelgeving", laat de woordvoerster van Den Haag weten. Zij vult aan dat de gemeente betreurt dat de verwachte compliance aan de wet "niet goed is verlopen". En sluit dat antwoord af met: Dit is een belangrijk punt waar we volgend jaar scherp op zullen toezien."
Dus niet gecontroleerd
Ontdekker en melder van het privacylek Floor Terra reageert tegenover AG Connect op die verklaring van de gemeente. "Ik lees hierin niet dat de gemeente gecontroleerd heeft of dat het geval is. Belangrijk: ook bij uitbesteden blijft de gemeente verantwoordelijk. Dat er in de toekomst op gelet gaat worden is goed, maar ik vraag me wel af waarom dat niet naar aanleiding van mijn vorige melding is gebeurd."
De privacy-expert geeft aan dergelijke situaties wel vrij gebruikelijk zijn. "Des te meer belangrijk om er goed op te controleren en te leren om het goed af te handelen als het toch fout gaat." Aanvankelijk heeft de gemeente over de site voor zijn hackwedstrijd aangegeven dat het daarop een cookiebanner heeft geplaatst, om bezoekers te informeren over de datadoorgifte.
Dat heeft toen de kritische reactie van Terra opgeleverd dat een mededeling op een website van een evenement dat voorbij is over het algemeen niet de meest effectieve manier om betrokkenen te informeren. Den Haag heeft inmiddels ook een informatie-update geplaatst op die website: 'Actie ondernomen na onrechtmatig gebruik van cookies'.
Onrechtmatig cookiegebruik
Die mededeling is te vinden bijna onderaan de homepage van het hackevenement. De gemeente uit in dat bericht spijt dat het heeft geconstateerd "dat het gebruik van cookies op onze website tijdelijk niet op een rechtmatige wijze heeft plaatsgevonden". Vervolgens legt het uit dat dit "betekent dat er zonder uw toestemming cookies zijn geplaatst op uw apparaat. Onze welgemeende excuses voor dit voorval".
"We hebben dit zo spoedig mogelijk proberen te verhelpen", stelt de gemeente, die eind juli door Terra al was geïnformeerd over de onrechtmatige datavergaring en datadoorgifte aan derden. Die andere partijen van wie er cookies zijn geplaatst op de website van het hackevent zijn door Den Haag ook gevraagd om de verkregen gegevens te verwijderen. Privacy-expert Terra vertelt AG Connect nog dat hij de gemeente een template heeft verschaft hoe zo'n verzoek geformuleerd zou kunnen worden.
Hij uit nog wel kritiek op de informatie-update die Den Haag op de eventsite heeft gepubliceerd. Kritiekpunt één is dat dit niet een gericht, actief informeren is van betrokkenen die bij de gemeente bekend zijn. De Haagse woordvoerster heeft aan AG Connect uitgelegd dat het niet mogelijk is om websitebezoekers individueel te benaderen. "Juist omdat we – in verband met privacybescherming - geen gegevens opslaan van mensen die de website bezoeken."
Zij stelt dat deelnemers van Hack the Hague wel op de hoogte worden gebracht via e-mail, plus een bericht op de eventwebsite. "Daarbij moet wel opgemerkt worden dat niet alle deelnemers zich hebben aangemeld via de website. Dit is ook via andere wegen gebeurd."
'77 dagen geleden'
Melder Terra zegt echter nog altijd geen terugkoppeling te hebben gekregen, op twee belangrijke punten. Volgens het gemeentebeleid voor gecoördineerde onthulling van kwetsbaarheden (CVD, coordinated vulnerability disclosure) moet de gemeente binnen tien dagen een terugkoppeling geven over een melding en de verwachte termijn voor oplossing daarvan. "Het is nu 77 dagen na mijn melding en ik heb op beide punten nog geen terugkoppeling gekregen."
Kritiekpunt twee van Terra op de websitemededeling is dat inhoudelijk tekortschiet. "Er staat niet aan wie de persoonsgegevens zijn verstrekt, voor welke doelen, dat er doorgifte naar derde landen heeft plaatsgevonden, etc. etc. Zonde dat ze dit dus niet eerst overleggen."
'Details niet te achterhalen door overname'
De woordvoerster van Den Haag is ook nog ingegaan op vragen van AG Connect over het informeren van betrokkenen bij het datalek in 2021. "De verantwoordelijkheid lag destijds bij een andere organisatie. Inmiddels is dit bedrijf overgenomen, dus we kunnen de details niet achterhalen. Wat we wel weten is dat zij destijds een blogpost hebben geplaatst op de website."
Terra reageert op die verklaring met enige twijfel. "Of deze aanpak voldoende is om alsnog aan de informatieverplichtingen uit de AVG te voldoen is nog onduidelijk. Dat is afhankelijk van wat de gemeente exact van plan is en het lijkt erop dat de gemeente dat nog niet weet."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee