Den Haag: herhaling van privacyfout uit 2021 ligt aan extern communicatiebureau
De herhaling dit jaar van een datalek bij Den Haag dat in 2021 al was gemeld bij de gemeente wordt geweten aan een extern bureau. De gemeente heeft de website voor zijn hackwedstrijd Hâck The Hague 2023 laten maken door een extern communicatiebureau, dat daarbij niet bleek te voldoen aan wet- en regelgeving. Den Haag belooft nu beterschap.
- Lees ook: ‘Hackathons zijn een technisch carnaval’
Twee maanden voor de start van de 2023-editie van de Haagse hackwedstrijd is een datalek gemeld, dat bij aanvang van het evenement (op 2 oktober) nog niet was opgelost. Bovendien was het gemelde geval soortgelijk aan een privacyschending die privacy-expert Floor Terra al bij de 2021-editie heeft ontdekt en gemeld. Het gaat om doorgifte van persoonsgegevens aan derde partijen, zonder expliciete toestemming daarvoor. AG Connect heeft de gemeente vragen gesteld. Onder meer over waarom dit probleem van enkele jaren terug niet is voorkomen nu in 2023 niet is voorkomen, en of er dus geen goede controle is geweest op compliance qua e-Privacy en de AVG.
Geen antwoord op de vraag
Op die laatste vraag laat de woordvoering van Den Haag weten: "We hebben aan een extern communicatiebureau gevraagd de website voor Hack the Hague te bouwen. Toen aan het licht kwam dat de website niet voldeed aan de wet- en regelgeving is er gelijk actie ondernomen om dit op te lossen." Die reactie geeft geen antwoord op de vraag, merkt ook privacy-expert Terra op.
De vraag waarom dit bekende probleem van enkele jaren terug niet is voorkomen, krijgt als reactie: "Tijdens eerdere edities van Hack the Hague lag de verantwoordelijkheid van het bouwen van de website bij één van de medeorganisatoren en was de gemeente niet betrokken. Dit jaar heeft een extern communicatiebureau – in opdracht van de gemeente – de website gebouwd." Ook dit geeft geen antwoord op de vraag.
De reactie op de vraag over voorkomen vervolgt nog: "Deze melding over doorgifte van persoonsgegevens nemen we zeer serieus en is direct opgepakt. Bij toekomstige edities zullen we hier scherper op toezien." Het is echter nog de vraag hoe dat 'scherpe toezien' vorm gaat krijgen en of het effectief zal zijn. AG Connect heeft namelijk ook gevraagd hoe de gemeente dit gaat aanpakken voor - of eigenlijk dus: vóór - de 2024-editie van Hâck The Hague. Het antwoord daarop laat wat te wensen over.
Voornemen: een privacyrichtlijn
"Er is een cookiebanner geplaatst [op de website van de Haagse hackwedstrijd - red.], waardoor betrokkenen geïnformeerd en om toestemming gevraagd worden. De gemeente streeft ernaar om helemaal geen ‘tracking cookies’ te gebruiken en heeft het voornemen een ‘privacy-richtlijn’ te ontwikkelen. Deze kan dan gedeeld worden met websitebouwers die voor de gemeente actief zijn."
Op de vraag hoe deelnemers aan de 2023-editie worden geïnformeerd, komt een soortgelijk antwoord. "Er wordt gewerkt aan een statement op de website. Daarnaast is er eind augustus een cookiebanner geplaatst zodat bezoekers van de website weten hoe wij de gegevens verwerken."
'Niet de meest effectieve manier'
Terra reageert daar kritisch op: "Het is mij niet exact duidelijk hoe de gemeente betrokkenen gaat informeren, maar over het algemeen is een mededeling op een website van een evenement dat voorbij is niet de meest effectieve manier om betrokkenen te informeren." Hij acht het niet waarschijnlijk dat veel betrokkenen regelmatig terugkomen naar de website van het evenement, dat begin oktober heeft plaatsgevonden. "Een meer voor de hand liggende aanpak zou zijn om tijdens het evenement in ieder geval de deelnemers te informeren."
In 2021 heeft de gemeente al steken laten vallen bij de datadoorgifte van deelnemers aan de hackwedstrijd. Naast het feit dat het toen een maand kostte om dat lekken stop te zetten, is het informeren van betrokkenen niet bepaald vlot verlopen. "Het informeren van betrokkenen over wat er is gebeurd leek met bijzonder veel tegenzin te gebeuren", schrijft Terra in zijn blogpost van begin deze maand, "met ruim achteraf een blogpost die waarschijnlijk door vrijwel niemand gelezen is en bij lange na niet voldoet aan de minimale wettelijke eisen."
De senior adviseur bij Privacy Company is zelf ook een betrokkene en wéét dat de gemeente zijn contactgegevens heeft. Tot op heden heeft hij nog geen communicatie van de gemeente gezien met betrekking tot de verschillende informatieplichten onder de AVG, laat hij nu weten aan AG Connect.
Contact met communicatiebureau
Nu bij de herhaling van de privacyfout uit 2021 lijkt de gemeente opnieuw wat vaag over het oplossen; er worden geen duidelijke termijnen aangegeven voor het (laten) verwijderen van de doorgegeven, onrechtmatig verzamelde persoonsgegevens. De woordvoering laat aan AG Connect weten dat de gemeente direct contact heeft opgenomen met het communicatiebureau om dit aan te passen.
"Helaas zijn zij afhankelijk van externe partijen zoals Google, Youtube, DoubleClick en Vimeo voor de volledige verwijdering. Het communicatiebureau moet samen met deze partijen ervoor zorgen dat de onrechtmatig verzamelde persoonsgegevens verwijderd worden uit hun systemen. Daar hebben wij – helaas- geen invloed op.
Verwerkingsverantwoordelijke
Ook deze reactie wekt verbazing bij Terra. "Ik heb sterk het vermoeden dat onder de AVG de gemeente verwerkingsverantwoordelijke is (gezamenlijk met de genoemde derde partijen), niet het bureau dat de website bouwt." Hij stelt dat het een keuze van de gemeente is om naast het bouwen ook het herstellen uit te besteden aan de websitebouwer. "De gemeente heeft mij overigens wel beloofd om de gegevens te laten verwijderen, dus het is nu vreemd dat ze zeggen daar geen invloed op te hebben."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee