Privacy Alerts #9: De gebrekkige beveiliging van een overheidsdatabase

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

Een nieuw document van de EDPS en de Spaanse privacytoezichthouder brengt meer duidelijkheid over de invulling van het begrip ‘anonimisering’ in de zin van de AVG. Verder in deze uitgave: een fout in de software van Google en de gebrekkige beveiliging van een database van het Ministerie van Veiligheid en Justitie.

Database Ministerie van Justitie en Veiligheid

VoIPGRID, een Groningse telecomprovider, voert op dit moment een procedure tegen het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Een aantal jaren geleden heeft het CIOT de telecomprovider verzocht om klantgegevens, zoals telefoonnummers en IP-adressen, aan te leveren. VoIPGRID weigerde dit en kreeg hiervoor een boete van het Agentschap Telecom. De telecomprovider twijfelt sterk aan de beveiliging van de CIOT database en heeft meerdere alarmerende ontdekkingen gedaan.

Zo is een database van het Ministerie van Justitie en Veiligheid gelinkt aan de database van het CIOT. Hierdoor beschikt de database van het ministerie over gegevens van bijna iedere Nederlander met een telefoon- of internetabonnement. Deze gegevens kunnen door politie en justitie gebruikt worden bij de opsporing.

Uit onderzoeken die zijn gedeeld tijdens de rechtszaak blijkt dat de beveiliging heel wat gebreken bevat. Zo was er in 2018 een medewerker die niet meer opsporingsbevoegd was, maar wel toegang had tot de database. Daarnaast blijkt de database regelmatig te zijn gebruikt door de politie zonder dat het wettelijk gezien legitiem was.

Op technisch vlak is de beveiliging ook twijfelachtig. De Rijksauditdienst kon niet achterhalen of de gegevens veilig worden aangeleverd aan de database van het ministerie. Onduidelijk was of alle verbindingen wel voldoende waren versleuteld.

Coronamelder-app

Enkele weken geleden was de Coronamelder-app een aantal dagen buiten werking. In de software van Google zat een fout waardoor gegevens van verschillende corona-apps toegankelijk waren voor voorgeïnstalleerde apps op Android-telefoons. Informatie over of iemand besmet is geweest met corona of in de buurt was van een besmet persoon, kon door onbevoegde partijen worden ingezien. Indien deze gegevens gebruikt zouden worden voor verdere verwerking, dan zou dat een grove AVG-schending opleveren, aangezien informatie over iemands gezondheid behoort tot de categorie bijzondere persoonsgegevens.

Minister De Jonge heeft laten weten dat er geen bewijs is dat de voorgeïnstalleerde apps daadwerkelijk gegevens hebben verzameld en verwerkt. Google heeft het datalek gedicht en de app is inmiddels weer actief.

In de VS heeft de fout in de software er zelfs toe geleid dat Google werd aangeklaagd. De aanklagers stellen dat Google al langere tijd op de hoogte was van het datalek, maar te lang bezig was met het updaten van de software om het lek te dichten. De aanklagers beweren dat de gevoelige gezondheidsinformatie hierdoor toegankelijk was voor externe partijen.

Opheldering betekenis anonimisering

De EDPS heeft tezamen met de Spaanse privacytoezichthouder een document gepubliceerd waarin tien misverstanden over anonimisering worden ontkracht.

Op grond van de AVG zijn volledig geanonimiseerde datasets geen persoonsgegevens en daardoor zijn de regels van de AVG hierop niet van toepassing. In de praktijk ontstaat er nogal eens verwarring over de invulling van de begrippen anonimisering en pseudonimisering.

Een aantal weken geleden hebben wij een blog gepubliceerd over de kwestie rondom het CBS en T-Mobile. De vraag die centraal stond: ‘Wat kan in het licht van de AVG worden verstaan onder gepseudonimiseerde persoonsgegevens?’. In deze kwestie was het namelijk niet helemaal duidelijk of T-Mobile de gegevens die het CBS mocht onderzoeken in voldoende mate heeft geanonimiseerd. De uiteindelijk conclusie was dat het antwoord op de vraag afhankelijk is van resultaten uit feitenonderzoeken van de Autoriteit Persoonsgegevens en het Agentschap Telecom.

Als de problematiek die in de blog centraal stond nogmaals bekeken wordt met in gedachte het nieuwe document over de tien misverstanden, lijkt het er toch op dat T-Mobile te weinig heeft gedaan om de privacy voldoende te waarborgen. De eerste twee misverstanden die in het document worden besproken zijn: ‘Pseudonimisering is hetzelfde als anonimisering’ en ‘Encryptie is hetzelfde als anonimisering’. Dit waren precies de twee methoden die door T-Mobile gebruikt werden om de gegevens ‘AVG-proof’ te delen, althans volgens hen.

In het document wordt als toelichting gegeven dat anonimisering strikt geïnterpreteerd moet worden, dus dat het persoonsgegeven daadwerkelijk op geen enkele wijze herleidbaar is naar een persoon. Over encryptie wordt gezegd dat dit ook niet gelijk staat aan anonimisering, maar dat het wel een krachtig middel is voor pseudonimisering. Op dit moment kan, met de informatie uit het nieuwe document, gesteld worden dat T-Mobile te weinig had gedaan om de gegevens te anonimiseren en daardoor mogelijk ook een boete zal krijgen.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.