Gemeente Eindhoven negeerde privacyrisico’s bij sportpas

Een ethisch hacker ontdekte kwetsbaarheden bij het gebruik van een zogenoemde ‘sportpas’ om digitale poortjes van een zwembad te openen. De gemeente Eindhoven greep vervolgens onmiddellijk in, maar uit een audit blijkt nu dat er al langer gewaarschuwd werd voor privacyrisico’s.

Het Eindhovens Dagblad schrijft dat de gemeente de kwetsbaarheden van de sportpas een dag na de ontdekking meldde bij de Autoriteit Persoonsgegevens. In een vertrouwelijk onderzoek dat na de hack werd uitgevoerd, staat volgens de krant dat er vooraf veel misging. ‘Waarschuwingen werden genegeerd en privacychecks overgeslagen, zodat ook het stadsbestuur geen enkel benul had van de risico’s.’

Verplicht privacyonderzoek overgeslagen

De gemeente introduceerde de pas voor vaste zwembadbezoekers nog voordat er een verplicht privacyonderzoek (DPIA) was afgerond. Er werd gesuggereerd dat de benodigde maatregelen waren uitgevoerd. Uit het onderzoek blijkt nu dat de Functionaris Gegevensbescherming (FG) niet om advies is gevraagd over maatregelen. De pas werd ingevoerd op basis van incomplete informatie. Waarschuwingen van de FG over risico’s bij het gebruik van een QR-code werden in de wind geslagen.

Eindhoven heeft aangegeven dat de processen aangescherpt zullen worden. De gemeente heeft het incident aangegrepen om processen aan te scherpen. ‘De audit laat zien dat we in het proces nog verbeteringen kunnen aanbrengen en we druk bezig zijn met het oppakken van deze verbeteringen.’