Haagse hackwedstrijd herhaalt gemeentelijke privacyfout uit 2021
Maandag 2 oktober was de 2023-editie van Hâck The Hague, een hackwedstrijd georganiseerd door en voor de gemeente Den Haag. Tijdens de zes uur durende sessie met 116 ethische hackers zijn 65 unieke meldingen van kwetsbaarheden ingediend. Maar daarnaast is een datalekkwestie ruim vooraf gemeld, eentje die in 2021 ook al is gemeld.
"Veel plezier bij @HacktheHague ! Een mooi initiatief hoewel ik wel nog steeds kritiek heb op de verplichte geheimhouding over de aangetroffen issues. Ik heb ook iets gevonden in de conferentie website en twee maanden geleden gemeld", tweette privacy-expert Floor Terra op de maandagochtend van de Haagse hackwedstrijd. Op dat moment was nog niet alles opgelost wat hij eind juli had gemeld.
Openbaar maken
Ondanks dat niet alle kwetsbaarheden waren opgelost "heb ik er voor gekozen om de bevindingen alvast op te schrijven. Om te beginnen zit er in de publicatie geen risico voor betrokkenen. Ten tweede is de gemeente verplicht om zelf betrokkenen te informeren", vervolgde Terra. Die laatste handeling, het informeren van betrokkenen, had volgens hem al lang gedaan moeten zijn.
De gemeente Den Haag heeft nog niet laten weten wanneer dat zal gebeuren. Dus heeft Terra als melder van dit datalek besloten om tot openbaarheid over te gaan, door middel van een blogpost waarin hij uiteenzet hoe de website van de hackwedstrijd de fout in gaat met tracking cookies en een cookie-consentmodule die slechts gedeeltelijk functioneert.
"Voor zover ik weet is er geen poging gedaan om de al verzamelde persoonsgegevens te laten verwijderen en betrokkenen zijn ook niet geïnformeerd. De gemeente heeft wel laten weten dat alles te zullen doen, maar niet wanneer en hoe", schrijft de privacy-expert in zijn openbaarmaking.
2021 in herhaling
Terra heeft tijdens de 2021-editie van Hâck The Hague soortgelijke schendingen gevonden en die toen ook netjes gemeld. De gemeente had twee jaar terug via de commerciële partner voor de hackwedstrijd persoonsgegevens vergaard en zonder toestemming van de betrokken personen verstrekt aan vijf verschillende derde partijen. "Dit jaar wilde ik controleren of er geleerd is van de vorige melding. Helaas gaat het nog steeds niet goed."
Toen in 2021 heeft het ongeveer een maand gekost om het lekken van persoonsgegevens stop te zetten. "Waarbij ik enkele keren heb moeten aangeven dat de getroffen maatregel niet effectief was." Het wettelijk verplichte informeren van betrokkenen is toen volgens Terra ook niet vlot uitgevoerd. Dat "leek met bijzonder veel tegenzin te gebeuren, met ruim achteraf een blogpost die waarschijnlijk door vrijwel niemand gelezen is en bij lange na niet voldoet aan de minimale wettelijke eisen."
Nu in 2023 lijkt de jaarlijkse hackwedstrijd van de gemeente Den Haag deze privacyfouten dunnetjes over te doen. "Voor zover ik weet is er geen poging gedaan om de al verzamelde persoonsgegevens te laten verwijderen en betrokkenen zijn ook niet geïnformeerd. De gemeente heeft wel laten weten dat alles te zullen doen, maar niet wanneer en hoe."
Wachten op antwoorden (en aanpak)
AG Connect heeft maandagochtend meteen vragen hierover gesteld aan de gemeente Den Haag, onder meer of en hoe er vooraf controle is gedaan op compliance met de AVG en voor ePrivacy. Deze vragen hebben de snelle reactie opgeleverd dat de woordvoering ermee aan de slag gaat, maar vervolgens is het stil gebleven. Het is nu dus nog onbekend waarom dit probleem van twee jaar terug niet is voorkomen voor de 2023-editie van Hâck The Hague.
Ook is vooralsnog onduidelijk waarom de gemeente naar de melder toe vaag is over het oplossen van de geconstateerde en ruim vooraf gemelde problemen. Dit betreft dan de termijn voor het (laten) verwijderen van de onrechtmatig verzamelde en onterecht doorgegeven persoonsgegevens. Verder is nog onbekend hoe en wanneer de gemeente betrokken mensen gaat informeren hierover.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeTis toch DIEP treurig!!!