Grapperhaus: tweede lek in NL-Alert-app was geen meldplichtig datalek

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zonder toestemming van gebruikers bij een externe notificatiedienst terechtgekomen, en dat is natuurlijk een meldplichtig lek. Maar waarom is dat hier niet het geval?

De NOS legt uit:

De app verwerkt die locatie om gebruikers waarschuwingsmeldingen te versturen die zijn gebaseerd op de plek waar ze zijn. Die locatie-informatie werd echter niet afgeschermd verstuurd. Daardoor zou bijvoorbeeld een boze ex of jaloerse partner tot op de minuut kunnen achterhalen waar iemand uithangt.

Vereist voor deze truc was wel dat je het unieke token uit de app te pakken wist te krijgen. Daarmee kon je je aanmelden voor pushberichten van de gebruiker van die app. Er zat dus alleen geen verdere authenticatie op dat proces, dus wie het token had kon op ieder apparaat pushberichten bestellen van de tokenhouder. Je zou zeggen dat dat een meldplichtig datalek is, want dit is wel érg mager qua beveiliging en onthult zeer kwetsbare informatie.

Maar nee:

Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig datalek.

Pakken we de AVG er even bij. Artikel 33 AVG zegt grofweg dat iéder datalek moet worden gemeld bij de toezichthouder, “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”.

De volkomen onleesbare overweging 75 bevat wat aanwijzingen voor wanneer het wel of niet waarschijnlijk een risico is:

(75) Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer [bijzondere persoonsgegevens[ worden verwerkt (…); wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

Je ziet daarin “locatie te analyseren of voorspellen” staan, dus het lijkt een gelopen race. Maar je moet het zo lezen dat we het een risico vinden dat men door een lek iemands locatie kan achterhalen. De vraag is dus hoe waarschijnlijk het is dat dit risico zich zal verwezenlijken.

Het antwoord van de minister laat zien dat men dit als zeer onwaarschijnlijk inschat. Als je fysiek het toestel in handen moet hebben én er technische kennis nodig is, dan is het lek minder makkelijk te exploiteren. Ook wist kennelijk vrijwel niemand van het lek, waardoor de kans op misbruik ook weer klein is. Anders gezegd: dit was inderdaad een lek maar behoorlijk theoretisch, meteen dichtmaken die handel en klaar.

Voor een bedrijf was het dus genoeg geweest dit in het interne register datalekken (artikel 33 lid 4 AVG) op te nemen en het gat te dichten. Maar als overheid is het wel logisch dat je ook nog even de Kamer informeert.

Arnoud