Eindhoven meldt uit voorzorg datalek
Eindhoven past nieuwe zwemapp aan nadat een gebruiker elf kwetsbaarheden ontdekt.
De gemeente Eindhoven heeft uit voorzorg een datalek bij de Autoriteit Persoonsgegevens (AP) gemeld. Het gaat om een nieuwe zwemapp, waarmee zwemmers onder meer een bezoek aan de plaatselijke zwembaden kunnen reserveren. De app zou ongevraagd persoonsgegevens doorgeven aan Google.
Elf kwetsbaarheden
Een gebruiker meldde bij de gemeente elf kwetsbaarheden in de app, schrijft het Eindhovens Dagblad. Informatie over het appgebruik zou worden gedeeld met Google. Appgebruikers met een Android-besturingssysteem op hun smartphone zouden de app zonder het te weten toegang geven tot contacten, agenda en locatie. Bovendien is een reservering niet mogelijk zonder toestemming te geven voor het gebruik van persoonsgegeven.
De app is inmiddels aangepast om meer dataminimalisatie te garanderen. Gebruikers moeten hiervoor de app updaten. Een woordvoerder van de gemeente zegt tegen het Eindhovens Dagblad dat de melding uit voorzorg is gedaan. Er is geen indicatie dat er sprake is van een datalek.
FG gepasseerd
De melder van de kwetsbaarheden fungeerde al eerder als luis in de pels van de gemeente: anderhalf jaar geleden kraakte hij de sportpas waarmee abonnementhouders de zwembaden binnenkwamen. Het bleek mogelijk om op tegoed van een ander het gemeentelijke zwembad binnen te komen. Waarschuwingen van de functionaris gegevensbescherming (FG) dat de QR-code kwetsbaar was voor misbruik, waren door de gemeente in de wind geslagen.
Verscherpt toezicht
Eindhoven staat sinds maart 2023 onder verscherpt toezicht van de Autoriteit Persoonsgegevens (AP), na waarschuwingen van de FG en de gemeentelijke rekenkamer dat de gemeente verplichte risicoanalyses niet uitvoerde en dat het privacybeleid van de gemeente niet voldeed. Onlangs werd het toezicht verlengd. In een gesprek met de AP liet de gemeente weten welke doelstellingen er voor dit jaar zijn gesteld om de omgang met privacy te verbeteren. De toezichthouder is van plan om het verscherpt toezicht per 1 maart 2025 te beëindigen als de doelstellingen worden behaald.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.