Op 31 juli heb ik bij de gemeente Den Haag een aantal issues gemeld. Het hele proces is nogal moeizaam verlopen. Elke keer als ik telefonisch of persoonlijk contact heb met medewerkers van de gemeente heb ik het gevoel dat we elkaar begrijpen, maar van de geschreven communicatie krijg ik het idee dat er gigantische miscommunicatie is of dat de gemeente terugkomt op toezeggingen. Pogingen om in te gaan op de uitnodiging om te overleggen over wat er fout gaat en hoe het beter kan worden door de gemeente genegeerd. Dit is de tweede keer dat ik wat heb proberen te melden bij de gemeente Den Haag en de tweede keer dat het (volgens mij wederzijds) bijzonder slecht is bevallen. Het oplossen van kwetsbaarheden lijkt al lastig genoeg, maar het degelijk herstellen van onrechtmatige verwerkingen is schijnbaar een recept voor conflict.
De eerste versie van deze blogpost was dan ook aanzienlijk negatiever van toon. Bovendien had ik in mijn boosheid en een poging om die boosheid te onderbouwen, verwezen naar gesprekken met de CISO die ik beter niet kan delen. Mocht er in deze versie nog wat onderbouwing lijken te ontbreken, weet dan dat ik bewust niet alles deel over wat zich in dit traject heeft afgespeeld. Bovendien heeft het geholpen dat ik de boosheid even wat heb laten bezinken zodat ik meer opbouwende kritiek heb opgeschreven.
In tegenstelling tot een eerdere CVD melding bij de gemeente heb ik deze keer de melding niet ingediend via het CVD formulier dat de gemeente beschikbaar stelt. Dat heeft twee redenen:
- Na mijn eerste melding heb ik te horen gekregen dat we de discussie nog maar moeten voeren of dit een terechte kwetsbaarheid was of iets anders. Ik heb die mededeling letterlijk geaccepteerd en aangegeven dat ik die discussie graag aanga. De gemeente is daar nooit meer op teruggekomen. Ik heb daaruit ook begrepen dat de gemeente van mening is dat het niet terecht is om een dergelijke melding via het CVD meldpunt te melden. Die voorkeur heb ik gerespecteerd en dit keer mijn CVD melding bij de FG ingediend.
- Vorige keer heeft de gemeente mijn melding, tegen het beleid van de gemeente, doorgegeven aan Cybersprint. De gemeente had, zonder dat dat zichtbaar was voor mij, de verantwoordelijkheid voor het evenement gedeeld met in ieder geval Cybersprint en was schijnbaar niet verantwoordelijk voor de website van het evenement. Vervolgens heeft Cybersprint tegen mij gedreigd met juridische stappen als ik volgens CVD principes én het beleid van de gemeente waar ik mijn melding gedaan heb zou publiceren over de melding. Dit is door Cybersprint nooit teruggenomen, en de gemeente heeft nooit contact met mij opgenomen om te laten blijken dat ze het voor mij als melder opnemen en zich inspannen voor mijn bescherming die ik onder hun voorwaarden had gedaan. De bedreiging die mede is ontstaan omdat de gemeente mijn melding tegen eigen voorwaarden met een derde partij heeft gedeeld trekt de gemeente de handen vanaf. Ook is er nooit opvolging geweest waaruit ik kan opmaken dat er veranderingen zijn doorgevoerd om herhaling te voorkomen. Voor zover ik weet is melden via het CVD formulier dus nog steeds potentieel onveilig voor de melder. Ook daarom heb ik de FG geïnformeerd over mijn melding omdat die een wettelijke geheimhoudingsplicht heeft.
Bij de verschillende medewerkers (inclusief de FG in mijn initiële melding) die ik heb gesproken heb ik expliciet aangegeven dit te bedoelen als CVD melding. Dat heeft de gemeente nooit weersproken (tot de antwoorden hieronder) en in informele gesprekken wel duidelijk bevestigd het ook zo te behandelen.
Op 27 oktober, ongeveer drie maanden na mijn melding, heb ik van de gemeente een e-mail gekregen met antwoorden op openstaande punten waar ik al herhaaldelijk om gevraagd had.
1) een beoordeling van de melding zoals het CVD beleid van de gemeente specificeert. Volgens mij zou dat vier keer ‘high’ moeten zijn volgens de Zerocopter criteria die de gemeente hiervoor gebruikt.
Antwoord: Het CVD beleid van de gemeente Den Haag wordt uitgevoerd in partnerschap met onze leverancier Zerocopter. We hebben op de website vastgesteld dat CVD’s altijd gemeld moeten worden via het platform van Zerocopter (dat kan ook anoniem). Aangezien deze meldingen via de FG zijn gegaan, zijn deze ook niet door de triage behandeld of beoordeeld aan de hand van de criteria die wij gesteld hebben voor CVD-meldingen. Ons advies is om de melding alsnog (anoniem) via het CVD formulier te melden zodat het juiste proces gevolgd wordt.
2) een verwachte datum voor de oplossing van alle openstaande punten volgens het CVD beleid van de gemeente.
Antwoord: Aangezien deze melding nog niet volgens het reguliere CVD-proces verlopen is, kunnen we dus ook nog geen uitspraken doen over de verwachte datum. Dat zullen we doen binnen de genoemde termijn bij punt 1.
3) informatie over eventuele beloningen die de gemeente hiervoor uitdeelt zoals in het CVD beleid staat.
Antwoord: Aangezien deze melding nog niet volgens het reguliere CVD-proces verlopen is, kunnen we dus ook nog geen uitspraken doen over de eventuele beloning hiervoor (zie punt 1). Dat zullen we doen binnen de genoemde termijn bij punt 1.
De gemeente belooft binnen tien werkdagen na de melding een terugkoppeling te geven met een beoordeling van de melding en een verwachte datum voor de oplossing. Na 3 maanden, 47 uitgewisselde e-mails, vele telefoongesprekken en heldere uitleg dat ik dat formuliertje niet heb gebruikt vanwege de voorgaande dreigingen komt de gemeente met het kul-argument dat ik het verkeerde formuliertje heb gebruikt.
De gemeente stelt dat het op de website heeft vastgesteld dat CVD’s gemeld moeten worden via het Zerocopter platform. De gemeente kan melders helemaal niet een dergelijke verplichting opleggen. Als de gemeente een formulering zou gebruiken die beter klopt bij de werkelijkheid zou er iets staan zoals: de gemeente Den Haag kiest ervoor om mensen die de gemeente helpen door problemen te melden maar daarbij, op aandringen van de gemeente, het verkeerde formulier gebruiken niet voorzien van een nette terugkoppeling over de inschatting van de melding, een verwachte datum voor een oplossing en een eventuele beloning.
Dat is een keuze die de gemeente prima kan maken, maar:
- Ik vind het een enorm contraproductieve bureaucratisering van het CVD proces.
- Zorg dat melden via het formulier dan wel veilig is.
- Communiceer consequent over waar de melding thuishoort.
- Laat het snel weten als een melding op de verkeerde plek wordt ingediend.
Maar behalve bureaucratisch gezeur over het juiste loket had de gemeente ook de volgende pragmatische oplossingen kunnen bedenken:
- Vraag Zerocopter om alsnog mijn melding te beoordelen. Daar werken vast mensen die flexibel genoeg zijn om niet in paniek te raken van een vraag die niet via het juiste postvakje binnenkomt.
- Een medewerker van de gemeente had ook mijn melding in kunnen vullen in het Zerocopter formulier.
- Een medewerker van de gemeente had ook zelf een inschatting kunnen geven van mijn melding. We zitten er toch al drie maanden over te overleggen dus de kennis moet er zijn. En voor een verwachte datum voor een oplossing is Zerocopter toch afhankelijk van de gemeente omdat Zerocopter dat zelf helemaal niet kan bepalen.
Op 27 oktober heb ik verschillende tickets ingediend bij Zerocopter met uitleg over de issues. Op 1 november krijg ik een reactie van Zerocopter dat de meldingen zijn doorgegeven aan de gemeente zodat de gemeente mijn meldingen kan onderzoeken en kan reageren. Het is mij niet duidelijk wat de gemeente hiervoor ervan heeft weerhouden om mijn melding te beoordelen wat met deze tussenstap opgelost zou moeten zijn. Indien er na publicatie nog wat uitkomt zal ik deze post updaten.
Update: 10 November 2023 Na 10 werkdagen heeft geen van de tickets een inhoudelijke reactie ontvangen.
Behalve vragen over het CVD proces heb ik ook gevraagd om updates over de oplossingen.
4) informatie over de voortgang op de volgende drie punten (zie ook tabel op https://floort.net/posts/hth2023-cvd/ ) 4.1) het stoppen van het lekken (eerste kolom)
Antwoord: Alle kwesties zijn afgehandeld behalve met betrekking tot Google translate. Er wordt nog uitgezocht of dit op korte termijn opgelost kan worden of dat we ons richten op het voorkomen van deze situatie in 2024.
De gemeente overweegt om door te gaan met het onrechtmatig verstrekken van persoonsgegevens aan Google zonder betrokkenen daarover te informeren zoals voorgeschreven door de AVG. Maar het zou ook kunnen dat ze het op korte termijn oplossen. Eerlijk en helder naar mij. Naar betrokkenen toe vertelt de gemeente nog steeds niet de waarheid in het privacy policy: “Wij zullen jouw gegevens niet aan derden verstrekken zonder jouw voorafgaande toestemming”.
4.2) het verwijderen van de gegevens (tweede kolom)
Antwoord: De gemeente heeft de leverancier schriftelijk instructie gegeven om gegevens te verwijderen. Daarbij heeft de leverancier ook de verplichting om dit met haar leveranciers op te pakken. In dit geval de partijen van wie de cookies zijn geplaatst. Voor de volledigheid zal de gemeente daarbovenop de tech bedrijven ook zelf schriftelijk verzoeken om de gegevens te verwijderen. Nog dank voor het delen van jouw format en ervaringen met dit soort verzoeken.
Dit klinkt positief. Maar geen informatie over wanneer dit verzoek verstuurd gaat worden. Er is mij in ieder geval toegezegd dat ik er geen verdere communicatie over zal ontvangen. Voor alle andere betrokkenen is het natuurlijk ook relevant om te weten of hun onrechtmatig verzamelde persoonsgegevens nog verder verwerkt worden. Het is belangrijk om te benadrukken dat de gemeente niet de volledige controle heeft over de partijen aan wie de persoonsgegevens zijn en worden verstrekt. Het kan zijn dat die weigeren de persoonsgegevens te vernietigen. Het is voor betrokkenen wel relevant om te weten of hun persoonsgegevens nog worden verwerkt zodat ze misschien zelf de ontvangers kunnen benaderen om te verzoeken om verwijdering of een klacht in te dienen bij de Autoriteit Persoonsgegevens. De gemeente laat niet weten wanneer er contact is opgenomen met de ontvangers of wanneer dat zal gebeuren en de gemeente geeft aan mij (als betrokkene en als melder) niet verder te informeren, dus ook niet over de uitkomst van deze verzoeken.
4.3) het informeren van betrokkenen (derde kolom)
Antwoord: Het is niet mogelijk om alle bezoekers van de website te informeren, omdat we geen gegevens opslaan van deze gebruikers. We informeren de deelnemers van het evenement over het feit dat er per abuis onrechtmatig cookies zijn geplaatst op de website. We noemen hierbij de lijst met aanbieders van de cookies die zijn genoemd in de blog. Dit zullen we op korte termijn doen via de e-mail.
Ook hier geen concrete datum. Zoals het er naar uitziet is de gemeente ook niet van plan is om mij te informeren. Ik ben namelijk geen deelnemer geweest van het evenement, maar wel een betrokkene en de gemeente heeft mijn contactgegevens. Hoewel ik hier expliciet om gevraagd heb in een telefoongesprek om mijn vragen uit te leggen, legt de gemeente niet uit waarom ik niet geïnformeerd zou worden. Betrokkenen die niet op het evenement zelf zijn geweest worden daarmee niet geïnformeerd over wie hun persoonsgegevens verwerken, of de persoonsgegevens
5) een gesprek over structurele verbeteringen [verwijzing naar informele toezeggingen]. Volgens mij zou dit vooral over communicatie moeten gaan, zowel intern als extern.
Antwoord: De gemeente staat altijd open voor suggesties om zichzelf te verbeteren. Dat is in dit geval niet anders. Intern hebben er reeds gesprekken plaats gevonden en zijn acties uitgevoerd om de communicatie sneller te laten verlopen. De FG en CISO zijn hier beiden bij betrokken.
Ondanks dat ik meerdere malen heb laten blijken open te staan voor de aanbiedingen van de gemeente om in gesprek te gaan én daar zelf ook herhaaldelijk om verzocht heb, lijkt de gemeente nu dit pad af te sluiten. De gemeente geeft geen uitleg waarom. Snelheid van communicatie was niet het belangrijkste probleem. Ik denk dat de gemeente er baat bij heeft om de volgende punten te verbeteren:
- Helder communiceren dat melders veilig zijn wanneer ze een melding doen, ook als partners die de gemeente erbij betrekt proberen de melder onder druk te zetten. CVD heeft een belangrijke publieke functie die de gemeente zou mogen verdedigen, in aanvulling op de toezeggingen die de gemeente concreet doet in haar eigen beleid.
- Maak intern duidelijk dat de security-afdeling ook moet beschermen tegen onrechtmatige verwerking van persoonsgegevens. Dat betekent niet alleen de preventieve maatregelen om onrechtmatige verwerkingen te voorkomen, maar ook maatregelen zoals het opruimen van gelekte persoonsgegevens om na een incident alsnog zo goed mogelijk de betrokkenen te beschermen.
- De verantwoordelijkheid van de juridische afdeling stopt niet omdat het onderwerp technisch wordt. Werk samen met de security afdeling.
- Betrokkenen moeten ook geïnformeerd worden over verwerkingen die eigenlijk niet de bedoeling waren. Wettelijke transparantie-verplichtingen zijn gedefinieerd in de AVG en zijn vrij helder. Naleving daarvan mag niet zomaar worden uitgesteld tot betrokkenen moeilijker te achterhalen zijn en veel minder mensen de informatie zullen lezen. En verplichte elementen mogen niet weggelaten worden omdat ze ongemakkelijk zijn voor de gemeente.
- Met de FG die hier zo nauw bij betrokken is verbaasd het mij hoeveel relevante wettelijke verplichtingen botweg genegeerd worden door de gemeente. Als de FG al moeite heeft om op zulke concrete punten de gemeente op het rechte pad te krijgen, maak ik mij zorgen over meer impactvolle compliance zaken waar ik geen zicht op heb.
Ik beschouw dit als een mooi voorbeeld van waarom het belangrijk is dat melders onder CVD moeten kunnen publiceren over de bevindingen, ook als het probleem nog niet opgelost is. Aandacht voor transparant herstellen van fouten ontbreekt wat mij betreft nog te vaak. Zoals ik het ervaar gaat de gemeente hier met stevige tegenzin en veel moeite ruim onder het wettelijk minimum aan transparantie een paar stappen vooruit. Ik hoop dat de ongevraagde hulp met transparantie een beetje helpt om de zaken vooruit te helpen.
Bovendien denk ik dat de gemeente wat te veel vertrouwen heeft gehad in haar eigen leervermogen want enkele dagen nadat ik de bovenstaande antwoorden heb ontvangen heeft de gemeente haar nieuwe website (denhaag.nl) gelanceerd, met weer een vergelijkbare fout erin. Ik heb ook dit issue weer via CVD gemeld en dit keer ook formeel een verzoek ingediend bij de FG om de onrechtmatige verzameling van mijn persoonsgegevens te staken en de al verzamelde persoonsgegevens te (laten) verwijderen.
Wederhoor: Deze blogpost is in twee stadia voorgelegd aan de gemeente. Naar aanleiding van feedback van de gemeente heb ik deze post herschreven door onderbouwing uit informele gesprekken te schrappen. In een tweede ronde heeft de gemeente zich beperkt tot de mededeling dat er op een aantal (ongespecificeerde) inhoudelijke punten een verschil van mening is en een (terechte) opmerking dat de gemeente geen directe invloed kan uitoefenen op de ontvangers van de persoonsgegevens. Die laatste opmerking heb ik overgenomen. De gemeente heeft in beide rondes feedback geen feitelijke onjuistheden of vertrouwelijke informatie aangemerkt die in deze blogpost staan.