Demissionair justitieminister Grapperhaus had de gevonden kwetsbaarheden in de app van NL-Alert veel eerder moeten melden bij de Autoriteit Persoonsgegevens. Dat stelt hij zelf in een Kamerbrief.
Het gaat hierbij alleen om de app en dus niet om het meldingssysteem. De app was bedoeld als aanvulling op de meldingen die bij rampen of gevaarlijke situaties. Vorig jaar maart kwam de app in bedrijf. Gebruikers konden naast meldingen ontvangen ook een overzicht opvragen de NL-Alerts in Nederland. Verder stond er ook informatie in over hoe je je moet voorbereiden op eventuele noodsituaties.
De pret was van korte duur want eind april al werd bekend dat er een potentieel datalek was ontdekt. Daaruit bleek dat een externe dienst die de notificaties verzorgt, locatiegegevens van app-gebruikers kon inzien. Kort daarna kwam een tweede kwetsbaarheid aan het licht, waarmee ze locatiegegevens van andere gebruikers van de app konden achterhalen. Beide kwetsbaarheden hadden meteen gemeld moeten worden bij het AP en dat is niet gebeurd.
Terechte kritiek
Grapperhaus zegt erover dat de volgens hem zeer terechte kritiek een belangrijk keerpunt in de werkwijze moet zijn. Ook als er twijfel is of het wel of geen lek is, moet de overheid dit melden.
Naast de zelfkritiek heeft ook het AP kritiek op de app van BL-Alert. Zij stellen dat de beveiliging van de app vanaf het begin al niet goed was. In het begin kwam meteen al een kwetsbaarheid aan het licht die ook in de laatst uitgekomen versie van app nog niets aan gedaan was. Dat had volgens de Autoriteit nooit mogen gebeuren.
De app staat intussen niet meer in de appstores, maar volgens Grapperhaus is een nieuwe versie in de maak. Daarmee komen eerst tests op bruikbaarheid en veiligheid. Pas als die goed uitpakken komt de app weer beschikbaar. Hoe lang dat gaat duren is nog niet bekend.
Lees ook:
- 90% Nederlanders ontvangt NL-Alert controlebericht
- De beveiligingslessen van het Microsoft Exchange-lek
