App NL-Alert stuurde privédata naar extern bedrijf: 'Verwijder app'
De app NL-Alert stuurde, zonder dat gebruikers daarvoor toestemming hadden gegeven, privégegevens naar een extern bedrijf. Dat heeft het ministerie van Justitie ontdekt. Het ministerie adviseert gebruikers om de app te deïnstalleren tot er een nieuwe versie is uitgebracht, zonder het probleem.
De NL-Alert-app stuurt bij ernstige incidenten in de nabije omgeving van de gebruiker een pushbericht en is een aanvulling op het reguliere NL Alert-systeem. Gebruikers kunnen dan extra informatie opzoeken. Sinds begin maart hebben 58.000 gebruikers de app geïnstalleerd.
De app stuurde onder meer locatiegegevens van de gebruiker en informatie over de geïnstalleerde apps naar het externe bedrijf. Omdat die gegevens werden verzonden zonder dat een gebruiker daarvoor toestemming gaf, is het een overtreding van de privacyregels. Het ministerie noemt het zelfs een datalek.
Dit mag gewoon niet gebeuren, dit is slecht geprogrammeerd en een schending van de wet
"Dit mag gewoon niet gebeuren, dit is slecht geprogrammeerd en een schending van zowel de AVG als de telecomwet", zegt privacyjurist Jeroen Terstegge.
Pushberichten
Uit onderzoek van de NOS in samenwerking met software-ontwikkelaars blijkt dat het gaat om het bedrijf OneSignal, een populaire Amerikaanse dienst voor het versturen van pushberichten. De NL-Alert-app gebruikt die dienst om pushberichten gebaseerd op iemands locatie te versturen.
Waardoor de fout precies is ontstaan, is niet bekend. Ook is niet duidelijk waarom informatie over geïnstalleerde apps naar de server werden verzonden, en of dat ook in alle gevallen gebeurde. De kans is groot dat dat alleen bij gebruikers op Android kon. Volgens het bedrijf dat de app maakte, Beeproger, vroeg de overheid de app-bouwer om de externe partij in te bouwen.
Advies app van toestel te verwijderen
Het probleem komt op een onhandig moment, nu de overheid werkt aan een app die moet helpen bij het opsporen van coronabesmettingen. Minister Grapperhaus benadrukt dat burgers erop moeten kunnen vertrouwen dat zorgvuldig met hun persoonsgegevens wordt omgegaan. Hij betreurt de gang van zaken.
Minister Grapperhaus heeft de externe dienst gevraagd te stoppen met het verzamelen van data via de app en de al verzamelde gegevens te vernietigen. Ook is het lek gemeld bij de Autoriteit Persoonsgegevens.
Met dank aan Arian van Putten en Benjamin Broersma