Deze blogpost is deel vier van een serie en de derde over specifieke issues met betrekking tot Hâck The Hague 2023 en dat geeft gelijk al een hint over het verloop van het CVD proces: langdurig en moeizaam. Dat is niet te wijten aan individuele medewerkers van de gemeente die ik heb gesproken. Zeker als ik ze buiten e-mail om spreek, zijn het stuk voor stuk vriendelijke mensen die dit goed willen oplossen. Maar zodra er iets moet worden afgestemd is dat bijna een garantie voor miscommunicatie, vertraging en het verbreken van afspraken.
Omdat ik CVD als proces belangrijk vind zal ik zowel het proces als de inhoud beschrijven. Deze blogpost is vooraf aan de gemeente voorgelegd. De gemeente heeft geen onjuistheden aangegeven, maar wel bevestigd dat de gemeente betrokkenen niet zal informeren, zelfs niet over de verwerking die op het moment van publiceren nog plaatsvindt. De gemeente heeft wel toegevoegd Google opnieuw om verwijdering te verzoeken nadat het gebruik van Google cookies op denhaag.nl is stopgezet.
Het proces
Op 27 september 2021 meld ik mijn eerste issues bij de gemeente Den Haag. De gemeente organiseert samen met Cybersprint het evenement Hack the Hague. Ik meld aan de gemeente dat de webpagina van de livestream van het evenement persoonsgegevens lekt. De gemeente geeft deze melding, tegen de voorwaarden van haar CVD beleid in, zonder mijn toestemming aan Cybersprint. Cybersprint lost het gedeeltelijk op en bedreigt mij met juridische stappen als ik wil publiceren. Cybersprint legt eenzijdig een NDA op omdat ik het issue bij ze gemeld heb. Dat heb ik nooit gedaan en ik publiceer toch. Cybersprint heeft de bedreiging nooit ingetrokken en de gemeente weigert te erkennen dat dit aan hun kant is fout gegaan. Ik heb toen besloten dat het niet veilig is om op deze manier zaken te melden bij de gemeente.
Op 31 juli 2023 meld ik een aantal vergelijkbare issues voor de net gelanceerde website voor het volgende HTH evenement. Deze melding doe ik bij de FG van de gemeente omdat voor zover ik weet melden via het CVD kanaal niet veilig is. Het duurt bijna twee maanden en vele reminders voordat de FG een gedeeltelijk inhoudelijke reactie geeft. Om de betrokkenen zo goed mogelijk te informeren over wat er gebeurt, publiceer ik op de dag van het evenement voordat het netjes is opgelost een beschrijving van het probleem. Ondanks een verplichting onder de AVG om betrokkenen te informeren weigert de gemeente dit zelf te doen
Op 4 november 2023 publiceer ik een nieuwe blogpost. Ondanks de eerdere bedreiging en ook communicatie vanuit de gemeente waaruit blijkt dat de gemeente de melding eigenlijk niet ziet als een CVD melding krijg ik zeer concreet antwoord. Na een ruime drie maanden tijd te hebben besteed om de gemeente te helpen weigert de gemeente antwoord te geven op basale vragen zoals een planning voor de resterende oplossingen. Als ik alle issues opnieuw indien via het CVD formulier, zou ik wel antwoord krijgen. Ik dien met (achteraf onterechte) goede moed het CVD formulier in en verwacht binnen de beloofde tien werkdagen een planning voor de openstaande oplossingen.
Op 26 januari 2024 kom ik langs op het gemeentehuis. Het CVD beleid geeft aan dat de gemeente:
kan u een beloning geven als dank voor uw hulp. De gemeente bepaalt dit per melding. De grootte van de beloning hangt vooral af van de ernst van de kwetsbaarheid en de kwaliteit van uw melding.
Ik wilde weten hoe mijn zes openstaande CVD meldingen werden gewaardeerd. Ik heb één van de overgebleven HTH2023 goodie pakketten gekregen die voornamelijk bestaat uit een HTH2023 rugzak, hoodie en boekenbon. Ik kan er zelf helaas nooit zelf bij zijn, maar toch tof om HTH2023 goodies te hebben. Hoe representatief dat is voor wat de gemeente normaal geeft is moeilijk te zeggen. Het zijn zes CVD meldingen die het actief lekken van persoonsgegevens beschrijven in plaats van ‘slechts’ kwetsbaarheden met het risico dat er misschien lekken uit kunnen ontstaan. Maar de gemeente wisselt ook regelmatig van mening of ze het überhaupt wel als CVD melding willen behandelen.
Behalve dat ik vooral de hoodie nog met plezier draag, was ik heel blij om de behandelaar van mijn CVD tickets bij Zerocopter persoonlijk te spreken. Het was fijn om in persoon te kunnen bespreken hoe ik op zoek bleef naar een juiste opening om te kunnen helpen en hoe moeizaam het bleef omdat elke keer als er binnen de gemeente moest worden afgestemd over de communicatie er weer afspraken gebroken worden en het vaak onredelijk lang kan duren. Na de opgebouwde frustratie van slechte behandelingen van verschillende CVD meldingen was het ook voor de medewerker van de gemeente goed om wat minder formeel te horen hoe ik probeer te helpen. Ook een wat er in het verleden is misgegaan helpt bij het begrip. Waar het gaat om toezeggingen en beschuldigingen van individuele medewerkers ben ik terughoudend met het publiekelijk benoemen ervan en dat betekent ook dat verschillende collega’s niet altijd op de hoogte zijn van wat er fout gaat.
Helaas heeft dat overleg weinig (voor mij) merkbaar verschil gemaakt. De behandelaar van de CVD meldingen heeft aan mij laten weten dat de afdeling privacy heeft aangegeven dat mijn meldingen volgens de gemeente geen CVD meldingen zijn en dat ze via de afdeling privacy behandeld worden. Dat is niet alleen dezelfde afdeling, maar dezelfde persoon die met volledige kennis van mijn meldingen op 27 oktober 2023 heeft laten weten dat ik pas terugkoppeling zou krijgen als ik mijn meldingen juist wel zou indienen via het CVD formulier.
Op 1 maart 2024 krijg ik eindelijk de planning voor de openstaande punten te horen. Dat is 214 of 126 dagen na de melding, afhankelijk van wanneer je begint te tellen. Met dat heen-en-weer tussen loketten is het een gedoe om de planning bij te houden maar dat is hoe dan ook ruim meer dan de tien werkdagen waarbinnen de gemeente de eerste terugkoppeling met planning belooft.
Ik geef het op met CVD meldingen bij de gemeente. Vrijwel alle personen waarmee ik contact heb gehad zijn vriendelijk en ik verwijt ze niets persoonlijk. De gemeente meld ook ook herhaaldelijk dat men werkt aan verbeteringen. Daar twijfel ik niet aan, maar ik krijg niet te horen welke verbeteringen. Behalve de aankondiging dat de gemeente het CVD beleid gaat aanpassen om meldingen zoals die van mij buiten scope te verklaren. Op zichzelf is het positief dat de gemeente laat weten wat voor issues de gemeente nog niet goed kan afhandelen en aan helder verwachtingsmanagement gaat doen. Ik ben ook uitgenodigd om te praten over verbetermaatregelen, maar als ik (herhaaldelijk) aangeef dat een goed idee te vinden gaat dat toch niet door. De gemeente komt structureel de afspraken niet na. Ik ben door een partner van de gemeente bedreigd met juridische stappen voor het voornemen om te publiceren over mijn bevindingen en hoewel ik geen namen zal noemen heeft een medewerker van de gemeente mij allerlei zaken verweten die niet waar zijn. Vanuit die positie is het lastig om positief te zijn over ongespecificeerde verbetermaatregelen terwijl ik ook echt het gevoel heb dat in ieder geval een aantal medewerkers het echt beter wil doen.
Ik nodig de gemeente van harte uit voor een gesprek over wat er voor de toekomst beter kan, zoals we al meerdere keren hebben afgesproken dat dat een goed idee zou zijn. Zolang dat niet gebeurt is het voor mij een te groot risico om me aan te passen aan het CVD proces van de gemeente. En dat is jammer, want de gemeente heeft hetzelfde probleem dat ik heb gemeld ook nog op andere plekken.
Het lekken stoppen
De gemeente heeft de persoonsgegevens van bezoekers van hun websites verstrekt aan Google en Vimeo. Het gaat daarbij om de bezoekers van de website van het HTH evenement maar ook bezoekers van de algemene website denhaag.nl. De gemeente heeft aangegeven voor 15 maart te stoppen met het verstrekken van persoonsgegevens van hun algemene website aan Google. Dat is 137 dagen nadat ik er melding van gemaakt heb. Op de HTH website is het probleem eerder opgelost.
Ik denk dat het wat lang heeft geduurd, maar er is nu eindelijk een oplossing in zicht.
Gegevens verwijderen
Onrechtmatig verzamelde persoonsgegevens horen ook netjes verwijderd te worden. De gemeente heeft aangegeven op een ongespecificeerde datum voor 1 maart 2024 zowel Google als Vimeo verzocht te hebben om de verzamelde persoonsgegevens te verwijderen. Behalve dat het behoorlijk laat is, is het ook te vroeg. Op het moment van schrijven verstrekt de gemeente nog steeds persoonsgegevens aan Google op hun algemene website. Het ligt voor de hand om eerst de verzameling en verstrekking te stoppen en pas daarna de gegevens op te ruimen. Anders is het dweilen met de kraan open. De gemeente heeft laten weten Google al te hebben gerappelleerd maar nog steeds geen reactie te hebben ontvangen. Vimeo is pas kortgeleden verzocht om de gegevens te verwijderen en die zou later in de maand een herinnering krijgen als er een reactie uitblijft. Op 8 maart heeft de gemeente aangegeven Google opnieuw te verzoeken om de verzamelde persoonsgegevens te verwijderen zodra de website denhaag.nl gerepareerd is en er niet langer nieuwe persoonsgegevens lekken.
Wanneer gezamenlijke verwerkingsverantwoordelijken weigeren om onrechtmatig ontvangen persoonsgegevens te verwijderen is dat erg ongemakkelijk. De gemeente geeft aan daarin geen deadlines te kunnen stellen.
De FG van de gemeente zou wel contact kunnen opnemen met de Autoriteit Persoonsgegevens om advies te vragen. Dit hele incident is potentieel ook aan te merken als een meldplichtige inbreuk op de beveiliging, maar vrijwillig contact opnemen met de AP is ook een optie. Ik denk dat het voor de AP ook heel positief zou zijn als ze kunnen laten zien dat ze als toezichthouder ook organisaties kunnen helpen te herstellen van incidenten, in dit geval door de ontvangers te bevelen om de onrechtmatig ontvangen persoonsgegevens te vernietigen.
Samengevat is dit onderdeel matig opgelost. Het versturen van verzoeken om gelekte gegevens te verwijderen is iets. Maar het is nog niet verwijderd en de betrokkenen om wiens gegevens het gaat weten niet dat hun gegevens niet verwijderd zijn.
Betrokkenen informeren
Er zijn allerlei redenen waarom de gemeente betrokkenen moet informeren over wat er is gebeurd.
In het CVD beleid van de gemeente wordt het volgende beloofd:
De gemeente probeert alle problemen zo snel mogelijk op te lossen en alle betrokkenen daarover te informeren. Voor de bezoekers van de HTH website heeft de gemeente dat een beetje gedaan. Ben je op het evenement geweest heb je op 7 november 2023 een e-mail gekregen waarin tussen een aantal andere mededelingen de volgende tekst stond: Privacy on hackthehague.com We have made a mistake on our website with the use of cookies, and didn’t process those rightfully. You can read the full statement here link:
Actie ondernomen na onrechtmatig gebruik van cookies - Hâck The Hague (hackthehague.com). We apologize for this unlawful use of cookies.
Ik ben niet proactief geïnformeerd, want alleen mensen van wie ze een e-mailadres hadden zijn actief geïnformeerd. Dat is overigens onzin omdat de gemeente weldegelijk mijn e-mailadres had.
Mensen die net als mij wel interesse hadden in het evenement maar zich niet aangemeld hadden moesten na het evenement maar terugkomen naar de website en dit artikel lezen.
Het is te begrijpen dat het achteraf lastig is om alle betrokkenen nog te benaderen. Maar het was in geen enkel opzicht nodig om te wachten tot ruim na het evenement om transparant te zijn. De gemeente had ook tijdens het evenement mensen kunnen informeren om een maximaal publiek te bereiken.
Voor de website denhaag.nl weigert de gemeente botweg betrokkenen te informeren zoals de gemeente beloofd in het CVD beleid. De gemeente geeft als uitleg daarvoor dat het geen contactgegevens van betrokkenen heeft. Waarom er niet net als op de HTH website een nieuwsbericht geplaatst kan worden om betrokkenen te informeren is mij niet uitgelegd.
Naast de toezegging in het CVD beleid heeft de AVG ook enkele verplichtingen om betrokken te informeren. De primaire verplichting komt voort uit artikel 14 van de AVG. Artikel 14 geeft ook aan waarover betrokkenen precies geïnformeerd moeten worden. Zo moet er bijvoorbeeld geïnformeerd worden over het feit dat de persoonsgegevens aan Google en Vimeo zijn verstrekt, de doelen waarvoor de gegevens verwerkt worden en of de gegevens in derde landen verwerkt worden. De gemeente heeft hierover niet geïnformeerd. Niet terwijl de verwerking nog actief plaatsvond en de gemeente hier wel van op de hoogte was. Maar de gemeente heeft ook toegezegd niet van plan te zijn om deze tekortkoming te herstellen. Betrokken weten dus niet bij wie hun persoonsgegevens beland zijn en wordt de mogelijkheid ontnomen om hun rechten uit te oefenen.
Er valt nog over te twisten of dit een bewuste maar onrechtmatige verwerking was van de gemeente of dat het een inbreuk is geweest op het beveiligingsbeleid. In het laatste geval, zeker met de kennis dat de ontvangers niet aangeven de ontvangen persoonsgegevens te willen verwijderen, vallen de incidenten mogelijk onder de meldplicht datalekken. In dat geval had de Autoriteit Persoonsgegevens geïnformeerd moeten worden over het incident en waarschijnlijk (weer vanwege het niet meewerken door de ontvangers) ook de betrokkenen. Het is niet bekend of de gemeente de AP heeft geïnformeerd, maar onder artikel 34 AVG heeft de gemeente in ieder geval de betrokkenen niet geïnformeerd. De informatie op de HTH website is veel te beperkt om aan artikel 34 te voldoen en voor de algemene website informeert de gemeente betrokkenen überhaupt niet.
Dit is een zaak waarvoor ik eventuele opheldering van de AP heel erg zou waarderen. Zorgvuldig en transparant herstel van onrechtmatige verwerkingen en inbreuken op de beveiliging is ongemakkelijk en ongewoon. Niet dat ik hoop op boetes, maar heldere normuitleg wat de gemeente, en anderen in een vergelijkbare situatie, zou moeten doen zou enorm leerzaam zijn.
Er valt nog een hoop te leren als het gaat om transparant en effectief herstellen van onrechtmatige verwerkingen of zelfs datalekken. Niet alleen bij de gemeente Den Haag.