De app stuurde onder meer locatiegegevens van de gebruiker en informatie over de geïnstalleerde apps naar het externe bedrijf. Omdat die gegevens werden verzonden zonder dat een gebruiker daarvoor toestemming gaf, is het een overtreding van de privacyregels. Het ministerie noemt het zelfs een datalek.

“Dit mag gewoon niet gebeuren, dit is slecht geprogrammeerd en een schending van zowel de AVG als de telecomwet”, zegt privacyjurist Jeroen Terstegge.

Pushberichten

Uit onderzoek van de NOS in samenwerking met software-ontwikkelaars blijkt dat het gaat om het bedrijf OneSignal, een populaire Amerikaanse dienst voor het versturen van pushberichten. De NL-Alert-app gebruikt die dienst om pushberichten gebaseerd op iemands locatie te versturen.

Waardoor de fout precies is ontstaan, is niet bekend. Ook is niet duidelijk waarom informatie over geïnstalleerde apps naar de server werden verzonden, en of dat ook in alle gevallen gebeurde. De kans is groot dat dat alleen bij gebruikers op Android kon. Volgens het bedrijf dat de app maakte, Beeproger, vroeg de overheid de app-bouwer om de externe partij in te bouwen.

Advies app van toestel te verwijderen

Het probleem komt op een onhandig moment, nu de overheid werkt aan een app die moet helpen bij het opsporen van coronabesmettingen. Minister Grapperhaus benadrukt dat burgers erop moeten kunnen vertrouwen dat zorgvuldig met hun persoonsgegevens wordt omgegaan. Hij betreurt de gang van zaken.

Minister Grapperhaus heeft de externe dienst gevraagd te stoppen met het verzamelen van data via de app en de al verzamelde gegevens te vernietigen. Ook is het lek gemeld bij de Autoriteit Persoonsgegevens.

Lees meer op nos.nl