“Wij zullen jouw gegevens niet aan derden verstrekken zonder jouw voorafgaande toestemming, …” jokt de gemeente Den Haag in het privacybeleid van de 2023 editie van Hâck The Hague. Tijdens de 2021 editie van het evenement van de gemeente Den Haag heb ik een paar issues gemeld waarbij de (partner van de) gemeente juist wel zonder toestemming persoonsgegevens aan derden verstrekte en dat proces is behoorlijk slecht bevallen. Dit jaar wilde ik controleren of er geleerd is van de vorige melding. Helaas gaat het nog steeds niet goed.
In 2021 heb ik issues gevonden op de website van het evenement waarbij er niet alleen kwetsbaarheden waren, maar er actief persoonsgegevens van bezoekers van de website zijn gelekt naar vijf verschillende partijen die deze gegevens niet mogen hebben. De afhandeling van die melding was behoorlijk onprettig. De gemeente heeft zonder mijn toestemming mijn melding en persoonsgegevens doorgegeven aan een commerciële partner (Cybersprint) van het evenement die mij vervolgens heeft bedreigd met juridische stappen omdat ik aangaf het CVD beleid van de gemeente waaronder ik de melding had gedaan wilde aanhouden. Het stoppen van het lekken van persoonsgegevens heeft ongeveer een maand gekost, waarbij ik enkele keren heb moeten aangeven dat de getroffen maatregel niet effectief was. Wat wel voorspoedig ging was dat Cybersprint heeft aangegeven een verzoek te hebben gestuurd om de gelekte gegevens te laten verwijderen. Helaas is er geen bevestiging gekomen van de ontvangers dat de gegevens gewist zijn. Het informeren van betrokkenen over wat er is gebeurd leek met bijzonder veel tegenzin te gebeuren, met ruim achteraf een blogpost die waarschijnlijk door vrijwel niemand gelezen is en bij lange na niet voldoet aan de minimale wettelijke eisen.
Met de 2023 editie ging het bij de lancering van de website al meteen fout op een bijna identieke manier. Op maandag 31 juli meld ik dat google.com, youtube.com, doubleclick.net, vimeo.com en translate.google.com zonder toestemming tracking cookies plaatsen en uitlezen op de website van het evenement. Op het moment van schrijven is de meest actuele stand van zaken dat er een gedeeltelijk functionele cookie-consent module is geïmplementeerd. Voor zover ik weet is er geen poging gedaan om de al verzamelde persoonsgegevens te laten verwijderen en betrokkenen zijn ook niet geïnformeerd. De gemeente heeft wel laten weten dat alles te zullen doen, maar niet wanneer en hoe.
| Lekken gestopt | Gegevens vernietigd | Betrokkenen geïnformeerd | |
|---|---|---|---|
| google.com | ❌ | ❌ | ❌ |
| youtube.com | 2023-09-28 | ❌ | ❌ |
| doubleclick.net | 2023-09-28 | ❌ | ❌ |
| vimeo.com | 2023-09-19 of eerder | ❌ | ❌ |
| translate.google.com | ❌ | ❌ | ❌ |
Conclusie
De gemeente lijkt weinig geleerd te hebben van mijn eerste melding in de zin dat na een melding uitgezocht kan worden welke maatregelen genomen kunnen worden om herhaling te voorkomen. Bij de lancering van nieuwe websites is een controle op ePrivacy en AVG compliance waardevol of zelfs noodzakelijk. Dat is hier overduidelijk niet of niet zorgvuldig gebeurt.
Of de afhandeling van mijn melding beter gaat is lastig te vergelijken. Het lijkt er wel op dat er voor mij en intern voor de gemeente veel onduidelijk was wie er precies verantwoordelijk is voor relevante aspecten. Mijn melding gaat typisch over iets waar beveiligingsmensen niet goed over nadenken terwijl het te technisch is voor veel privacy mensen en de website-ontwikkelaars hebben minder kijk op de relevante juridische aspecten. Dat was tijdens de afhandeling een voortdurend obstakel. Dat is ook een reden waarom ik het zo veel mogelijk aanbied om te helpen om een gemeld probleem op te lossen. Die hulp lijkt pas in de paar dagen voor publicatie opgepakt te worden nadat ik op aanraden van de FG de openstaande punten samen met de concept-blogpost aan de afdeling communicatie heb voorgelegd.
Uiteindelijk is het niet gelukt om in de twee maanden voor het evenement zelf alle problemen op te lossen. Er worden nog steeds tracking cookies geplaatst via Google Translate functionaliteit. Deze functionaliteit is ook zonder tracking te implementeren door middel van een statische link naar Google Translate. Op het moment van schrijven zou er nog gewerkt moeten worden aan een oplossing.
Dat er geprobeerd zal worden om de gegevens die onrechtmatig verzameld zijn te verwijderen is pas de laatste werkdag voor publicatie duidelijk. Er is niet gedeeld wanneer dat zal gebeuren. In Mei 2021 heeft de Autoriteit Persoonsgegevens een vergelijkbaar incident gehad waar duidelijk is geworden dat de AP netjes de gelekte persoonsgegevens heeft laten opruimen. Dat zou een goed voorbeeld zijn voor de gemeente om op te volgen.
De gemeente heeft op de laatste werkdag voor publicatie aangegeven van plan te zijn om betrokkenen te informeren. Dit zou in ieder geval gebeuren door het privacystatement op de website aan te passen. Het aanpassen van een privacy statement is een uitzonderlijk ineffectieve manier om mensen te informeren die in het verleden een keer op de website zijn geweest. Wanneer het aangepast zal worden en of alle relevante informatie die verplicht is ook opgenomen zal worden in de communicatie aan de paar mensen die terugkeren naar de website om veranderingen in het privacystatement in de gaten te houden heeft de gemeente niet verteld. Omdat de gemeente verplicht is om de betrokkenen al lang geïnformeerd te hebben vind ik het geoorloofd om op eigen initiatief de gemeente te helpen om gedeeltelijk aan deze verplichting te voldoen door deze blogpost te publiceren.
De gemeente heeft ruim vooraf mijn bevindingen kunnen inzien en daar geen feedback op gegeven. De gemeente heeft mij ook niet verzocht om (delen) niet te publiceren of publicatie uit te stellen. Ik zie ook geen risico voor de betrokkenen als ik deze tekst online publiceer. Hoewel ik ook geen expliciete toestemming heb gekregen van de gemeente om te mogen publiceren vind ik het daarom wel goed te verantwoorden om alsnog te publiceren.
In het CVD beleid van de gemeente zegt de gemeente “De gemeente kan u een beloning geven als dank voor uw hulp. De gemeente bepaalt dit per melding. De grootte van de beloning hangt vooral af van de ernst van de kwetsbaarheid en de kwaliteit van uw melding.”. Het platform dat de gemeente gebruikt voor triage van CVD meldingen heeft aangegeven dergelijke issues als een ‘high’ in te schatten. Maar ik heb bij vorige melding niks gehoord over een beloning. Deze keer heb ik niet via het officiële CVD loket gemeld maar via de FG, maar wel netjes alles afgehandeld alsof het een CVD melding zou zijn. Voor publicatie is dit artikel ook voorgelegd aan de FG, CISO en de woordvoering van de gemeente. De gemeente heeft geen beoordeling gegeven van de melding en geen verwachte datum gegeven voor een oplossing.
Tijdlijn
- 2023-07-31
- Melding per e-mail aan de Functionaris Gegevensbescherming (FG) van de gemeente. De FG is een bij wet onafhankelijke toezichthouder. Door het aan de FG te melding hoop ik de kans op juridische dreigementen te verkleinen Ook heeft de CISO van de gemeente bij mijn vorige melding gesteld dat we nog maar eens de discussie moeten voeren of dit een terechte kwetsbaarheid was om onder CVD te melden. Ik heb aangegeven dat graag te doen, maar op het moment van melden nog geen reactie op gehad van de CISO. De FG leek me dus een beter loket om een melding te maken.
- 2023-08-09
- Met de gedachte dat de gemeente bij CVD meldingen toezicht binnen tien dagen terugkoppelt, heb ik een reminder gestuurd aan de FG.
- 2023-08-11
- Vanwege de dreigementen door mijn vorige melding ben ik wat zenuwachtig. Ik benader dus een privacy officer van de gemeente met mijn zorgen over bedreiging en een korte samenvatting van mijn melding. Die medewerker kan (terecht) niet bij de inbox van de FG en geeft aan dat het vanwege de vakantieperiode wat langer kan duren.
- 2023-08-22
- Ik bel met de gemeente vanwege het uitblijven van een ontvangstbevestiging. De medewerker geeft een terugbelverzoek door aan de FG. Naar aanleiding van dit telefoontje kom ik in telefonisch contact met de FG die mij zijn directe e-mail adres verteld en aangeeft mijn eerdere e-mails nooit te hebben ontvangen. De FG geeft aan dat waarschijnlijk de CISO verantwoordelijk is. Ik stuur mijn eerdere mails door aan dit nieuwe adres.
- 2023-09-19
- Ik stuur een mail aan de FG omdat ik behalve de ontvangstbevestiging nog geen inhoudelijke terugkoppeling heb ontvangen. De FG geeft aan bericht te hebben ontvangen dat de cookieverklaring was aangepast en dat dat niet aan mij was teruggekoppeld. Ik laat weten dat ik aanpassingen aan de website heb opgemerkt, maar nog een groot aantal ongeadresseerde punten zag. De FG heeft aangegeven dat ik eind van de week (22 september) een terugkoppeling krijg.
- 2023-09-22
- Ik stuur een mail met een reminder omdat ik niks heb gehoord.
- 2023-09-25
- Ik krijg terugkoppeling dat de externe webbouwer ter goeder trouw heeft geprobeerd een consent tool in te bouwen en uitleg nodig heeft om te begrijpen wat de openstaande punten zijn. Ik geef aan daar beschikbaar voor te zijn. Ook geef ik aan dat het verwijderen van de gelekte gegevens en het informeren van betrokkenen meestal niet door een externe partij uitgevoerd moeten worden en dat ik daar ook graag contact over heb.
- 2023-09-26
- Op advies van de FG heb ik vanwege mijn voornemen om te publiceren contact opgenomen met de afdeling communicatie van de gemeente.
- 2023-09-28
- Op verzoek van de afdeling communicatie heeft een extern juridisch kantoor contact met me opgenomen om mijn drie vooraf ingestuurde vragen te beantwoorden. Op de vraag of de gemeente een datum had waarop ze verwachtten dat het lekken gestopt is kreeg ik het antwoord dat dat bij haar niet bekend was en bij de gemeente nagevraagd moest worden. Op de vraag of de gemeente van plan was om de onrechtmatig verzamelde gegevens te (laten) vernietigen gaf ze aan dat ze niet wist wat de gemeente van plan was en dat ze dat zou navragen. Wel gaf ze herhaaldelijk aan dat ze mijn vraag kon afhandelen als verwijderverzoek om de gemeente een besluit te laten nemen over het verwijderen van alleen mijn gegevens. Ik heb geen verwijderverzoek ingediend, mijn vraag beperkt zich tot de vraag hoe de gemeente zelf omgaat met het verwijderen van onrechtmatig verzamelde persoonsgegevens. Op de vraag of de gemeente van plan was om de betrokkenen te informeren gaf ze aan dat dat bij haar niet bekend was en bij de gemeente nagevraagd moest worden. Het is onduidelijk wanneer ik een antwoord kan verwachten. Later op de dag heeft iemand van de security afdeling contact opgenomen om te vragen welke cookies nu nog het probleem zijn, maar kon geen verwachte datum geven voor de oplossing en gaf aan dat het verwijderen van de data en het informeren van betrokkenen bij de privacy-afdeling ligt. Later op de avond krijg ik bericht dat de embedded YouTube filmpjes zijn verwijderd en ik geef feedback dat er nog cookies geplaatst worden via de Google Translate functionaliteit.
- 2023-09-29
- Aan het eind van de dag heeft een externe jurist contact opgenomen om te laten weten dat de security afdeling het lek zo spoedig mogelijk (geen datum genoemd) gedicht wordt, dat de gemeente de leveranciers zal verzoeken de onrechtmatig verzamelde persoonsgegevens te laten verwijderen (geen datum genoemd), dat de betrokkenen geïnformeerd zullen worden (geen datum, methode of inhoud genoemd) en dat het privacystatement van de website wordt bijgewerkt met de mededeling dat er per abuis een onjuiste cookieverklaring is geplaatst (geen datum genoemd). Zodra er nieuwe ontwikkelingen zijn zal ik door de gemeente op de hoogte gehouden worden en zal ik deze post ook bijwerken.