Datalek: Gemeente Meppel lekt ID-kaarten
- 19 januari 2012
Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. De website van de gemeente Meppel lekt kopieën van identiteitskaarten, burgerservicenummers en mailtjes met ambtenaren.
Via de gemeentelijke website zijn 1.700 dossiers van vergunningaanvragers met hierin burgerservicenummers, handtekeningen en zelfs kopieën van identiteitskaarten van burgers te downloaden. Verder waren handgeschreven notities en e-mails van inwoners aan ambtenaren publiekelijk toegankelijk. Het lek werd aan het licht gebracht door een 26-jarige internetgebruiker. De documenten en gegevens waren toegankelijk door de bovenliggende directories te benaderen van een webadres. Dat kan door het met de hand aanpassen van het adres in de adresbalk van de browser. De technische term hiervoor is directory traversal. Google had de bestanden ook al gevonden en de documenten waren binnen zes stappen in te zien.
De gemeente bagatelliseert het lek en schrijft in een verklaring dat er geen reden tot ongerustheid is, omdat vergunninggegevens voor iedereen inzichtelijk zouden moeten zijn. Het College Bescherming Persoonsgegevens (CBP) denkt daar anders over. Het CBP neemt het lek serieus en doet onderzoek. De gemeente Meppel onderzoekt nu de mogelijkheid om gevoelige informatie apart op te slaan van de algemene vergunningsgegevens.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.