Advies: verwijder aanvullende informatie-app NL-Alert wegens data-lek

Het ministerie van Justitie en Veiligheid heeft vandaag melding gemaakt bij de Autoriteit Persoonsgegevens van een data-lek in de aanvullende informatie-app van NL-Alert. Deze app is vrij nieuw en is aanvullend op het algemene NL-Alert alarmmiddel van de overheid in het geval van een noodsituatie. De app kan sinds begin maart worden gedownload door gebruikers van een Android- of iOS-toestel voor aanvullende informatiediensten. Intussen hebben circa 58.000 gebruikers deze extra informatie-app gedownload. Zij krijgen het advies om deze aanvullende NL-Alert-app te verwijderen van hun telefoon. Het verwijderen van de aanvullende app heeft geen gevolgen voor het ontvangen van alarmberichten van NL-Alert zelf, want het is een heel ander systeem.

In een brief aan de Tweede Kamer schrijft minister Grapperhaus van Justitie en Veiligheid dat nader onderzoek wordt gedaan naar de omvang van het data-lek in de aanvullende app en hoe het heeft kunnen ontstaan. Om naast alarmberichten van NL-Alert aanvullende informatiediensten via de app te kunnen leveren, bijvoorbeeld met pushberichten, moeten op dat moment locatiegegevens worden verzameld van de gebruikers die zich dan in een getroffen gebied begeven. Er zijn echter ook locatiegegevens en mogelijk andere persoonsgegevens, zoals informatie over het besturingssysteem en andere geïnstalleerde apps, bij een externe notificatiedienst terecht gekomen zonder dat de gebruikers daarvoor toestemming hebben gegeven. Deze externe dienst is verzocht het verzamelen van data via de app per direct te staken en de al verzamelde data te vernietigen.

Dichten data-lek

Er worden nu maatregelen genomen om de aanvullende app op een andere, veiliger manier in te richten. Zolang dit proces niet is voltooid, is het advies de app te verwijderen. Er zal binnen enkele dagen een update van de app worden verspreid, waarin de betreffende externe dienst is verwijderd. Daarmee wordt het lek zo snel mogelijk gedicht.

De NL-Alert app is een waardevolle aanvulling op de crisiscommunicatiemiddelen van de overheid. Tegelijkertijd moeten burgers erop kunnen vertrouwen dat er op zorgvuldige wijze met hun persoonsgegevens wordt omgegaan. Minister Grapperhaus heeft de Auditdienst Rijk (ADR) gevraagd onderzoek te doen naar de gang van zaken. De ADR heeft hiermee ingestemd.

Zodra er meer bekend is over het data-lek zal die informatie worden verspreid via de website van NL-Alert en wordt ook weer de Tweede Kamer geïnformeerd.